Catalyst 3560 スイッチ コマンド リファレンス Cisco IOS Release 12.2(25)SED
Catalyst 3560 スイッチ Cisco IOS コマンド
Catalyst 3560 スイッチ Cisco IOS コマンド
発行日;2012/02/06 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

Catalyst 3560 スイッチ Cisco IOS コマンド

aaa accounting dot1x

aaa authentication dot1x

action

archive download-sw

archive tar

archive upload-sw

arp access-list

auto qos voip

boot boothlpr

boot config-file

boot enable-break

boot helper

boot helper-config-file

boot manual

boot private-config-file

boot system

channel-group

channel-protocol

class

class-map

clear ip arp inspection log

clear ip arp inspection statistics

clear ip dhcp snooping database

clear ipc

clear l2protocol-tunnel counters

clear lacp

clear mac address-table

clear mac address-table move update

clear pagp

clear port-security

clear spanning-tree counters

clear spanning-tree detected-protocols

clear vmps statistics

clear vtp counters

cluster commander-address

cluster discovery hop-count

cluster enable

cluster holdtime

cluster member

cluster outside-interface

cluster run

cluster standby-group

cluster timer

define interface-range

delete

deny(ARP アクセス リスト コンフィギュレーション)

deny(IPv6 アクセス リスト コンフィギュレーション)

deny(MAC アクセス リスト コンフィギュレーション)

dot1x

dot1x auth-fail max-attempts

dot1x auth-fail vlan

dot1x control-direction

dot1x critical

dot1x default

dot1x guest-vlan

dot1x host-mode

dot1x initialize

dot1x max-reauth-req

dot1x max-req

dot1x multiple-hosts

dot1x port-control

dot1x re-authenticate

dot1x re-authentication

dot1x reauthentication

dot1x timeout

duplex

errdisable detect cause

errdisable recovery

exception crashinfo

flowcontrol

interface port-channel

interface range

interface vlan

ip access-group

ip address

ip arp inspection filter vlan

ip arp inspection limit

ip arp inspection log-buffer

ip arp inspection trust

ip arp inspection validate

ip arp inspection vlan

ip arp inspection vlan logging

ip dhcp snooping

ip dhcp snooping binding

ip dhcp snooping database

ip dhcp snooping information option

ip dhcp snooping information option allow-untrusted

ip dhcp snooping limit rate

ip dhcp snooping trust

ip dhcp snooping verify

ip dhcp snooping vlan

ip igmp filter

ip igmp max-groups

ip igmp profile

ip igmp snooping

ip igmp snooping last-member-query-interval

ip igmp snooping querier

ip igmp snooping report-suppression

ip igmp snooping tcn

ip igmp snooping tcn flood

ip igmp snooping vlan immediate-leave

ip igmp snooping vlan mrouter

ip igmp snooping vlan static

ip source binding

ip ssh

ip verify source

ipv6 access-list

ipv6 mld snooping

ipv6 mld snooping last-listener-query-count

ipv6 mld snooping last-listener-query-interval

ipv6 mld snooping listener-message-suppression

ipv6 mld snooping robustness-variable

ipv6 mld snooping tcn

ipv6 mld snooping vlan

ipv6 traffic-filter

l2protocol-tunnel

l2protocol-tunnel cos

lacp port-priority

lacp system-priority

logging event power-inline-status

logging file

mac access-group

mac access-list extended

mac address-table aging-time

mac address-table move update

mac address-table notification

mac address-table static

mac address-table static drop

macro apply

macro description

macro global

macro global description

macro name

match(アクセス マップ コンフィギュレーション)

match(クラス マップ コンフィギュレーション)

mdix auto

mls qos

mls qos aggregate-policer

mls qos cos

mls qos dscp-mutation

mls qos map

mls qos queue-set output buffers

mls qos queue-set output threshold

mls qos rewrite ip dscp

mls qos srr-queue input bandwidth

mls qos srr-queue input buffers

mls qos srr-queue input cos-map

mls qos srr-queue input dscp-map

mls qos srr-queue input priority-queue

mls qos srr-queue input threshold

mls qos srr-queue output cos-map

mls qos srr-queue output dscp-map

mls qos trust

mls qos vlan-based

monitor session

mvr(グローバル コンフィギュレーション)

mvr(インターフェイス コンフィギュレーション)

pagp learn-method

pagp port-priority

permit(ARP アクセス リスト コンフィギュレーション)

permit(IPv6 アクセス リスト コンフィギュレーション)

permit(MAC アクセス リスト コンフィギュレーション)

police

police aggregate

policy-map

port-channel load-balance

power inline

power inline consumption

priority-queue

private-vlan

private-vlan mapping

queue-set

rcommand

remote-span

renew ip dhcp snooping database

rmon collection stats

sdm prefer

service password-recovery

service-policy

set

setup

setup express

show access-lists

show archive status

show arp access-list

show auto qos

show boot

show cable-diagnostics tdr

show class-map

show cluster

show cluster candidates

show cluster members

show controllers cpu-interface

show controllers ethernet-controller

show controllers power inline

show controllers tcam

show controllers utilization

show dot1q-tunnel

show dot1x

show dtp

show env

show errdisable detect

show errdisable flap-values

show errdisable recovery

show etherchannel

show flowcontrol

show interfaces

show interfaces counters

show inventory

show ip arp inspection

show ip dhcp snooping

show ip dhcp snooping binding

show ip dhcp snooping database

show ip igmp profile

show ip igmp snooping

show ip igmp snooping groups

show ip igmp snooping mrouter

show ip igmp snooping querier

show ip source binding

show ip verify source

show ipc

show ipv6 access-list

show ipv6 mld snooping

show ipv6 mld snooping address

show ipv6 mld snooping mrouter

show ipv6 mld snooping querier

show l2protocol-tunnel

show lacp

show mac access-group

show mac address-table

show mac address-table address

show mac address-table aging-time

show mac address-table count

show mac address-table dynamic

show mac address-table interface

show mac address-table move update

show mac address-table notification

show mac address-table static

show mac address-table vlan

show mls qos

show mls qos aggregate-policer

show mls qos input-queue

show mls qos interface

show mls qos maps

show mls qos queue-set

show mls qos vlan

show monitor

show mvr

show mvr interface

show mvr members

show pagp

show parser macro

show policy-map

show port-security

show power inline

show sdm prefer

show setup express

show spanning-tree

show storm-control

show system mtu

show udld

show version

show vlan

show vlan access-map

show vlan filter

show vmps

show vtp

shutdown

shutdown vlan

snmp-server enable traps

snmp-server host

snmp trap mac-notification

spanning-tree backbonefast

spanning-tree bpdufilter

spanning-tree bpduguard

spanning-tree cost

spanning-tree etherchannel guard misconfig

spanning-tree extend system-id

spanning-tree guard

spanning-tree link-type

spanning-tree loopguard default

spanning-tree mode

spanning-tree mst configuration

spanning-tree mst cost

spanning-tree mst forward-time

spanning-tree mst hello-time

spanning-tree mst max-age

spanning-tree mst max-hops

spanning-tree mst port-priority

spanning-tree mst pre-standard

spanning-tree mst priority

spanning-tree mst root

spanning-tree port-priority

spanning-tree portfast(グローバル コンフィギュレーション)

spanning-tree portfast(インターフェイス コンフィギュレーション)

spanning-tree transmit hold-count

spanning-tree uplinkfast

spanning-tree vlan

speed

srr-queue bandwidth limit

srr-queue bandwidth shape

srr-queue bandwidth share

storm-control

switchport

switchport access

switchport backup interface

switchport block

switchport host

switchport mode

switchport mode private-vlan

switchport nonegotiate

switchport port-security

switchport port-security aging

switchport priority extend

switchport private-vlan

switchport protected

switchport trunk

switchport voice vlan

system env temperature threshold yellow

system mtu

test cable-diagnostics tdr

traceroute mac

traceroute mac ip

trust

udld

udld port

udld reset

vlan(グローバル コンフィギュレーション)

vlan(VLAN コンフィギュレーション)

vlan access-map

vlan database

vlan dot1q tag native

vlan filter

vmps reconfirm(イネーブル EXEC)

vmps reconfirm(グローバル コンフィギュレーション)

vmps retry

vmps server

vtp(グローバル コンフィギュレーション)

vtp(VLAN コンフィギュレーション)

Catalyst 3560 スイッチ Cisco IOS コマンド

aaa accounting dot1x

Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)アカウンティングをイネーブルにし、IEEE 802.1x セッション用に回線またはインターフェイス単位の特定のアカウンティング方式を定義する方式リストを作成するには、 aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ]}

no aaa accounting dot1x { name | default }

 
シンタックスの説明

name

サーバ グループ名。 broadcast group および group キーワードのあとに入力するかどうかは任意になります。

default

次に続くアカウンティング方式をアカウンティング サービスのデフォルトのリストとして使用します。

start-stop

プロセスの開始時には開始アカウンティング通知、プロセスの終了時には停止アカウンティング通知を送信します。開始アカウンティング レコードは、バックグラウンドで送信されます。要求されたユーザのプロセスは、開始アカウンティング通知がアカウンティング サーバによって受信されたかどうかに関係なく動作を開始します。

broadcast

アカウンティング レコードが複数の AAA サーバに送信されるようにし、各グループの最初のサーバにアカウンティング レコードを送信します。最初のサーバが利用できない状態であると、スイッチはバックアップ サーバのリストを使用して最初のサーバを特定します。

group

アカウンティング サービスに使用するサーバ グループを指定します。有効なサーバ グループ名は、次のとおりです。

name ― サーバ グループ名

radius ― すべての RADIUS ホストのリスト

tacacs+ ― すべての TACACS+ ホストのリスト

broadcast group および group キーワードのあとに group キーワードを入力するかどうかは任意になります。オプションの group キーワードを複数入力できます。

radius

(任意)RADIUS 許可をイネーブルにします。

tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

 
デフォルト

AAA アカウンティングはディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドでは、RADIUS サーバへのアクセスが必要となります。

インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。

次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。

Switch(config)# aaa new-model
Switch(config)# aaa accounting dot1x default start-stop group radius

) RADIUS 認証サーバは、AAA クライアントからアップデート パケットまたはウォッチドック パケットを許可し、記録するよう適切に設定されている必要があります。


 
関連コマンド

コマンド
説明

aaa authentication dot1x

IEEE 802.1x を実行しているインターフェイスで使用する 1 つまたは複数の AAA 方式を指定します。

aaa new-model

AAA アクセス制御モデルをイネーブルにします。構文情報については、 Cisco IOS Security Command Reference, Release 12.2 > Authentication, Authorization, and Accounting > Authentication Commands を参照してください。

dot1x reauthentication

定期的な再認証をイネーブルまたはディセーブルにします。

dot1x timeout reauth-period

再認証の間隔(秒)を指定します。

aaa authentication dot1x

IEEE 802.1x に準拠したポートで使用する Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)方式を指定するには、 aaa authentication dot1x グローバル コンフィギュレーション コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication dot1x { default } method1

no aaa authentication dot1x { default }

 
シンタックスの説明

default

この引数に続いて一覧で示された認証方式を、ログイン時のデフォルトの方式として使用します。

method1

すべての RADIUS サーバのリストを認証用に使用するには、 group radius キーワードを入力します。


) その他のキーワードは、コマンドラインのヘルプ ストリングには表示されていますが、default および group radius キーワードだけがサポートされています。


 
デフォルト

認証は実行されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

method 引数は、認証アルゴリズムがクライアントから提供されたパスワードを確認するために試行する方式を、試行する順序で指定します。実際に IEEE 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。

group radius を指定した場合、 radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。

設定された認証方式のリストを表示する場合は、 show running-config イネーブル EXEC コマンドを使用します。

次の例では、AAA をイネーブルにして IEEE 802.1x に準拠している認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試みます。この動作でエラーが返された場合、ユーザはネットワークにアクセスできません。

Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
 

設定を確認するには、 show running-config イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

aaa new-model

AAA アクセス制御モデルをイネーブルにします。構文情報については、 Cisco IOS Security Command Reference, Release 12.2 > Authentication, Authorization, and Accounting > Authentication Commands を参照してください。

show running-config

現在の動作設定を表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を参照してください。

action

VLAN(仮想 LAN)のアクセス マップのエントリに対してアクションを設定するには、 action アクセス マップ コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

action { drop | forward }

no action

 
シンタックスの説明

drop

指定の条件に一致した場合、パケットを廃棄します。

forward

指定の条件に一致した場合、パケットを転送します。

 
デフォルト

デフォルトのアクションは、パケットを転送する設定です。

 
コマンド モード

アクセス マップ コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

vlan access-map グローバル コンフィギュレーション コマンド を使用して、アクセス マップ コンフィギュレーション モードを開始します。

アクションに drop を指定した場合、match 句への Access Control List(ACL; アクセス制御リスト)名の設定を含め、アクセス マップを定義してから VLAN に適用する必要があります。アクセス マップを VLAN に適用しない場合、すべてのパケットは廃棄されます。

アクセス マップ コンフィギュレーション モードで、 match アクセス マップ コンフィギュレーション コマンドを使用し、VLAN マップの一致条件を定義します。パケットが条件に一致した場合に発生するアクションを設定するには、 action コマンドを使用します。

drop および forward のパラメータは、このコマンドの no 形式では使用されません。

次の例では、VLAN のアクセス マップ vmap4 を指定し、VLAN 5 および VLAN 6 に適用することで、アクセス リスト al2 に定義されたパケット一致条件と一致した場合、VLAN の IP パケットを転送させています。

Switch(config)# vlan access-map vmap4
Switch(config-access-map)# match ip address al2
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan filter vmap4 vlan-list 5-6
 

設定を確認するには、 show vlan access-map イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

access-list { deny | permit }

標準の番号制による ACL を設定します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を参照してください。

ip access-list

名前付きアクセス リストを作成します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を参照してください。

mac access-list extended

MAC アドレスの名前付きアクセス リストを作成します。

match(アクセス マップ コンフィギュレーション)

VLAN マップの一致条件を定義します。

show vlan access-map

スイッチで作成された VLAN アクセス マップを表示します。

vlan access-map

VLAN アクセス マップを作成します。

archive download-sw

新しいイメージを TFTP(簡易ファイル転送プロトコル)サーバからスイッチにダウンロードして、既存のイメージを上書きまたは維持するには、 archive download-sw イネーブル EXEC コマンドを使用します。

archive download-sw { /force-reload | /imageonly | /leave-old-sw | /no-set-boot | /overwrite | /reload | /safe } source-url

 
シンタックスの説明

/force-reload

ソフトウェア イメージのダウンロードが成功したあと、システムのリロードを無条件に強制します。

/imageonly

ソフトウェア イメージだけをダウンロードし、組み込まれているデバイス マネージャに関連する HTML ファイルはダウンロードしません。既存のバージョンの HTML ファイルは、既存のバージョンが上書きまたは削除された場合にだけ削除されます。

/leave-old-sw

ダウンロードが成功したあと、古いソフトウェア バージョンを維持します。

/no-set-boot

新しいソフトウェア イメージのダウンロードが成功しても、BOOT 環境変数の設定は新しいソフトウェア イメージを指し示すように変更されません。

/overwrite

ダウンロードされたソフトウェア イメージで、フラッシュ メモリのソフトウェア イメージを上書きします。

/reload

変更された設定が保存されていない場合を除き、イメージのダウンロードに成功したあとでシステムをリロードします。

/safe

現在のソフトウェア イメージを維持します。新しいイメージがダウンロードされるまで、新しいソフトウェア イメージ用の領域を作るために現在のソフトウェア イメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。

source-url

ローカル ファイル システムまたはネットワーク ファイル システム用の送信元 URL エイリアスです。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの場合
flash:

FTP(ファイル転送プロトコル)の場合 ftp: [[ // username [ : password ]@ location ]/ directory ] / image-name .tar

HTTP サーバの場合
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの場合
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

Remote Copy Protocol(RCP)の場合 rcp: [[ // username @ location ]/ directory ] / image-name .tar

TFTP の場合
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、スイッチにダウンロードし、インストールするソフトウェア イメージです。

 
デフォルト

現行のソフトウェア イメージは、ダウンロードされたイメージで上書きされません。

ソフトウェア イメージおよび HTML ファイルの両方がダウンロードされます。

新しいイメージは flash: ファイル システムにダウンロードされます。

BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを指し示すように変更されます。

イメージ名では大文字と小文字が区別されます。イメージ ファイルは tar フォーマットで提供されます。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(20)SE

http および https キーワードが追加されました。

 
使用上のガイドライン

/imageonly オプションは、既存のイメージが削除または置き換えられている場合に、既存のイメージの HTML ファイルを削除します。(HTML ファイルのない)Cisco IOS イメージだけがダウンロードされます。

/safe または /leave-old-sw オプションを使用した場合に、十分なフラッシュ メモリがないと、新しいイメージのダウンロードに失敗する場合があります。ソフトウェアを残すことによってフラッシュ メモリの空き容量が不足し、新しいイメージが入りきらなかった場合に、エラーが発生します。

/leave-old-sw オプションを使用したために、新しいイメージをダウンロードしても古いイメージを上書きしなかった場合、 delete イネーブル EXEC コマンドを使用して古いイメージを削除できます。詳細については、「delete」 を参照してください。

フラッシュ デバイスのイメージを、ダウンロードされたイメージで上書きする場合は、 /overwrite オプションを使用します。

/overwrite オプションを 使用せずに このコマンドを指定する場合、ダウンロード アルゴリズムは、新しいイメージが、スイッチ フラッシュ デバイスのイメージと同じではないことを確認します。イメージが同じである場合には、ダウンロードは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがダウンロードされます。

新しいイメージをダウンロードしたあとで、 reload イネーブル EXEC コマンドを入力して新しいイメージの使用を開始するか、 archive download-sw コマンドの /reload オプションまたは /force-reload オプションを指定してください。

次の例では、172.20.129.10 の TFTP サーバから新しいイメージをダウンロードし、スイッチでイメージを上書きする方法を示します。

Switch# archive download-sw/overwrite tftp://172.20.129.10/test-image.tar
 

次の例では、172.20.129.10 の TFTP サーバからソフトウェア イメージだけをスイッチにダウンロードする方法を示します。

Switch# archive download-sw/imageonly tftp://172.20.129.10/test-image.tar
 

次の例では、ダウンロードが成功したあとで古いソフトウェア バージョンを維持する方法を示します。

Switch# archive download-sw/leave-old-sw tftp://172.20.129.10/test-image.tar

 
関連コマンド

コマンド
説明

archive tar

tar ファイルの作成、tar ファイル内のファイルの一覧表示、tar ファイルからのファイル抽出を実行します。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードします。

delete

フラッシュ メモリ デバイスのファイルまたはディレクトリを削除します。

archive tar

tar ファイルの作成、tar ファイルにあるファイルの一覧表示、または tar ファイルからのファイル抽出を実行するには、 archive tar イネーブル EXEC コマンドを使用します。

archive tar { /create destination-url flash:/ file-url } | { /table source-url } | { /xtract source-url flash:/ file-ur l [ dir/file ...]}

 
シンタックスの説明

/create destination-url flash:/ file-url

ローカル ファイル システムまたはネットワーク ファイル システムに新しい tar ファイルを作成します。

destination-url には、ローカル ファイル システムまたはネットワーク ファイル システムの宛先 URL エイリアス、および作成する tar ファイルの名前を指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの場合
flash:

FTP(ファイル転送プロトコル)の場合 ftp: [[ // username [ : password ]@ location ]/ directory ] / tar-filename .tar

HTTP サーバの場合
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの場合
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

Remote Copy Protocol(RCP)の場合 rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP の場合
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、作成する tar ファイルです。

flash:/ file-url には、新しい tar ファイルが作成されるローカル フラッシュ ファイル システムの場所を指定します。

送信元ディレクトリ内のファイルまたはディレクトリのオプションのリストを指定して、新しい tar ファイルに書き込むことができます。何も指定しないと、このレベルのすべてのファイルおよびディレクトリが、新しく作成された tar ファイルに書き込まれます。

/table source-url

既存の tar ファイルの内容を画面に表示します。

source-url には、ローカル ファイル システムまたはネットワーク ファイル システムの送信元 URL エイリアスを指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの場合
flash:

FTP の場合
ftp: [[ // username [ : password ]@ location ]/ directory ] / tar-filename .tar

HTTP サーバの場合
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの場合
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

RCP の場合
rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP(簡易ファイル転送プロトコル)の場合
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、表示する tar ファイルです。

/xtract source-url flash:/ file-url [ dir/file... ]

tar ファイルからローカル ファイル システムにファイルを抽出します。

source-url には、ローカル ファイル システムの 送信元 URL エイリアスを指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの場合
flash:

FTP の場合 ftp: [[ // username [ : password ]@ location ]/ directory ] / tar-filename .tar

HTTP サーバの場合
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの場合
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

RCP の場合
rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP の場合
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、抽出が行われる tar ファイルです。

flash:/ file-url [ dir/file ...] には、 tar ファイルが抽出されるローカル フラッシュ ファイル システムの場所を指定します。tar ファイルから抽出されるファイルまたはディレクトリのオプション リストを指定するには、 dir/file ...オプションを使用します。何も指定されないと、すべてのファイルとディレクトリが抽出されます。

 
デフォルト

設定なし

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

イメージ名では、大文字と小文字が区別されます。

次の例では、tar ファイルを作成する方法を示します。このコマンドはローカル フラッシュ デバイスの new-configs ディレクトリの内容を、172.20.10.30 の TFTP サーバにある saved.tar という名前のファイルに書き込みます。

Switch# archive tar/create tftp:172.20.10.30/saved.tar flash:/new-configs
 

次の例では、フラッシュ メモリ内にある c3560-ipservices-12-25.SEB.tar ファイルの内容を表示する方法を示します。tar ファイルの内容は画面に表示されます。

Switch# archive tar/table flash:c3560-ipservices-12-25.SEB.tar
info (219 bytes)
 
c3560-ipservices-mz.12-25.SEB/(directory)
c3560-ipservices-mz.12-25.SEB (610856 bytes)
c3560-ipservices-mz.12-25.SEB/info (219 bytes)
info.ver (219 bytes)
 

次の例では、 c3560-ipservices-12-25.SEB/html のディレクトリとその内容のみを表示する方法を示します。

Switch# archive tar/table flash:c3560-ipservices-12-25.SEB.tar c3560-ipservices-12-25/html
c3560-ipservices-mz.12-25.SEB/html/(directory)
c3560-ipservices-mz.12-25.SEB/html/const.htm (556 bytes)
c3560-ipservices-mz.12-25.SEB/html/xhome.htm (9373 bytes)
c3560-ipservices-mz.12-25.SEB/html/menu.css (1654 bytes)
(テキスト出力は省略)
 

次の例では、172.20.10.30 の TFTP サーバ上にある tar ファイルの内容を抽出する方法を示します。ここでは、ローカル フラッシュ ファイル システムのルート ディレクトリに単に new-configs ディレクトリを抽出しています。 saved.tar ファイル内のその他のファイルは無視されます。

Switch# archive tar/xtract tftp:/172.20.10.30/saved.tar flash:/new-configs

 
関連コマンド

コマンド
説明

archive download-sw

TFTP サーバからスイッチに新しいイメージをダウンロードします。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードします。

archive upload-sw

既存のスイッチ イメージをサーバにアップロードするには、 archive upload-sw イネーブル EXEC コマンドを使用します。

archive upload-sw [ /version version_string ] destination-url

 
シンタックスの説明

/version version_string

(任意)アップロードするイメージの特定のバージョンを文字列で指定します。

destination-url

ローカル ファイル システムまたはネットワーク ファイル システムの宛先 URL エイリアス。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの場合
flash:

FTP(ファイル転送プロトコル)の場合 ftp: [[ // username [ : password ]@ location ]/ directory ] / image-name .tar

HTTP サーバの場合
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの場合
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

Remote Copy Protocol(RCP)の場合 rcp: [[ // username @ location ]/ directory ] / image-name .tar

TFTP(簡易ファイル転送プロトコル)の場合
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、サーバに保存するソフトウェア イメージの名前です。

 
デフォルト

flash: ファイル システムから現在実行中のイメージをアップロードします。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

アップロード機能が利用できるのは、組み込まれているデバイス マネージャに関連する HTML ファイルが既存イメージでインストールされている場合に限られます。

Cisco IOS イメージ、HTML ファイル、および info のファイルは、このシーケンスでアップロードされます。これらのファイルがアップロードされると、ソフトウェアは tar ファイルを作成します。

イメージ名では、大文字と小文字が区別されます。

次の例では、現在実行中のイメージを 172.20.140.2 の TFTP サーバへアップロードする方法を示します。

Switch# archive upload-sw tftp://172.20.140.2/test-image.tar

 
関連コマンド

コマンド
説明

archive download-sw

新しいイメージをスイッチにダウンロードします。

archive tar

tar ファイルの作成、tar ファイル内のファイルの一覧表示、tar ファイルからのファイル抽出を実行します。

arp access-list

Address Resolution Protocol(ARP; アドレス解決プロトコル)Access Control List(ACL; アクセス制御リスト)を定義、または定義済みのリストの末尾に句を追加するには、arp access-list グローバル コンフィギュレーション コマンドを使用します。指定された ARP アクセス リストを削除するには、このコマンドの no 形式を使用します。

arp access-list acl-name

no arp access-list acl-name

このコマンドは、スイッチが IP サービス イメージ(従来の Enhanced Multilayer Image [EMI])を稼働している場合にのみ利用できます。

 
シンタックスの説明

acl-name

ACL の名前

 
デフォルト

ARP アクセス リストは定義されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

arp access-list コマンドを入力すると、ARP アクセス リスト コンフィギュレーション モードに入り、次のコンフィギュレーション コマンドが使用可能になります。

default :コマンドをデフォルト設定に戻します。

deny :拒否するパケットを指定します。詳細については、「deny(ARP アクセス リスト コンフィギュレーション)」 を参照してください。

exit :ARP アクセス リスト コンフィギュレーション モードを終了します。

no :コマンドを無効にする、またはデフォルト設定に戻します。

permit :転送するパケットを指定します。詳細については、「permit(ARP アクセス リスト コンフィギュレーション)」 を参照してください。

指定された一致条件に基づいて ARP パケットを転送または廃棄するには、 permit または deny アクセス リスト コンフィギュレーション コマンドを使用します。

ARP ACL が定義されると、 ip arp inspection filter vlan グローバル コンフィギュレーション コマンドを使用して VLAN(仮想 LAN)に ARP ACL を適用できます。IP/MAC(メディア アクセス制御)アドレス バインディングだけを含む ARP パケットが ACL と比較されます。それ以外のすべてのパケット タイプは、検証されずに、入力 VLAN 内でブリッジングされます。ACL がパケットを許可すると、スイッチがパケットを転送します。明示的な拒否ステートメントによって ACL がパケットを拒否すると、スイッチがパケットを廃棄します。暗黙の拒否ステートメントによって ACL がパケットを拒否すると、スイッチはパケットを DHCP バインディングのリストと比較します。ただし、ACL が スタティック (パケットがバインディングと比較されない)である場合を除きます。

次の例では、ARP アクセス リストを定義し、IP アドレスが 1.1.1.1 で MAC アドレスが 0000.0000.abcd のホストからの ARP 要求と ARP 応答の両方を許可する方法を示します。

Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# permit ip host 1.1.1.1 mac host 00001.0000.abcd
Switch(config-arp-nacl)# end
 

設定を確認するには、 show arp access-list イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

deny(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの比較による一致に基づいて ARP パケットを拒否します。

ip arp inspection filter vlan

スタティック IP アドレスで設定されたホストからの ARP 要求および応答を許可します。

permit(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの比較による一致に基づいて ARP パケットを許可します。

show arp access-list

ARP アクセス リストに関する詳細を表示します。

auto qos voip

Quality of Service(QoS; サービス品質)ドメイン内の Voice over IP(VoIP)に対し、QoS を自動的に設定するには、 auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

auto qos voip { cisco-phone | cisco-softphone | trust }

no auto qos voip [ cisco-phone | cisco-softphone | trust ]

 
シンタックスの説明

cisco-phone

このポートが Cisco IP Phone に接続されていると識別し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルが信頼されるのは、Cisco IP Phone が検知される場合に限ります。

cisco-softphone

このポートが Cisco SoftPhone を稼働している装置に接続されていると識別し、自動的に VoIP の QoS を設定します。

trust

このポートが信頼性のあるスイッチまたはルータに接続されていると識別し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルは信頼されます。ルーティングされないポートでは、着信パケットの CoS 値が信頼されます。ルーテッド ポートでは、着信パケットの DSCP 値が信頼されます。

 
デフォルト

Auto-QoS は、ポート上でディセーブルに設定されています。

Auto-QoS がイネーブルの場合、Auto-QoS は入力パケット ラベルを使用して、 表2-1 に示すトラフィックの分類、パケット ラベルの割り当て、および入出力キューの設定を行います。

 

表2-1 トラフィック タイプ、パケット ラベル、およびキュー

VoIP データ トラフィック
VoIP 制御
トラフィック
ルーティング プロトコル
トラフィック
STP1 BPDU2 トラフィック
リアルタイム ビデオ
トラフィック
その他すべてのトラフィック

DSCP3

46

24、26

48

56

34

-

CoS4

5

3

6

7

3

-

CoS から入力キューへのマッピング

2、3、4、5、6、7(キュー 2)

0、1(キュー 1)

CoS から出力キューへのマッピング

5(キュー 1)

3、6、7(キュー 2)

4(キュー 3)

2(キュー 3)

0、1
(キュー 4)

1.STP = Spanning-Tree Protocol(スパニングツリー プロトコル)

2.BPDU = Bridge Protocol Data Unit(ブリッジ プロトコル データ ユニット)

3.DSCP = Differentiated Services Code Point

4.CoS = Class of Service(サービス クラス)

表2-2 に、入力キューに対して生成された Auto-QoS の設定を示します。

 

表2-2 入力キューに対する Auto-QoS の設定

入力キュー
キュー番号
CoS からキューへのマッピング
キュー ウェイト(帯域幅)
キュー(バッファ)サイズ

SRR5共有

1

0、1

81%

67%

プライオリティ

2

2、3、4、5、6、7

19%

33%

5.SRR = Shaped Round Robin(シェイプド ラウンド ロビン)。入力キューは共有モードのみサポートします。

表2-3 に、出力キューに対して生成された Auto-QoS の設定を示します。

 

表2-3 出力キューに対する Auto-QoS の設定

出力キュー
キュー番号
CoS からキューへのマッピング
キュー ウェイト(帯域幅)
ギガビット対応ポートのキュー(バッファ)サイズ
10/100 イーサネット ポートのキュー(バッファ)サイズ

プライオリティ(シェーピング)

1

5

10%

16%

10%

SRR 共有

2

3、6、7

10%

6%

10%

SRR 共有

3

2、4

60%

17%

26%

SRR 共有

4

0、1

20%

61%

54%

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(20)SE

cisco-softphone キーワードが追加され、生成される Auto-QoS の設定が変更されました。

 
使用上のガイドライン

QoS ドメイン内の VoIP トラフィックに適切な QoS を設定する場合は、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類することのできるエッジ装置などが含まれます。

Cisco IOS Release 12.2(20)SE より前のリリースでは、Auto-QoS は、スイッチ ポート上の Cisco IP Phone による VoIP に対してのみスイッチを設定します。

Cisco IOS Release 12.2(20)SE 以降では、Auto-QoS は、スイッチ ポートおよびルーテッド ポート上の Cisco IP Phone による VoIP、Cisco SoftPhone アプリケーションを稼働している装置による VoIP に対してスイッチを設定します。これらのリリースがサポートするのは、Cisco IP SoftPhone Version 1.3(3) 以降だけです。接続装置は、Cisco Call Manager Version 4 以降を使用する必要があります。

Auto-QoS のデフォルトを利用する場合、他の QoS コマンドを設定する前に、Auto-QoS をイネーブルにする必要があります。Auto-QoS をイネーブルにした あとに 、Auto-QoS 設定の調整をできます。


) スイッチは Auto-QoS で生成されたコマンドを、CLI(コマンド ライン インターフェイス)で入力されたコマンドのように適用します。既存のユーザ設定は、生成されたコマンドの適用を妨げる可能性、または生成されたコマンドによって上書きされる可能性があります。これらは警告なしで発生します。生成されたコマンドが正常に適用された場合、上書きされなかったユーザ入力の設定が、実行中の設定に残っています。上書きされたユーザ入力の設定は、現行の設定をメモリに保存せずにスイッチをリロードすることによって、復元できます。生成されたコマンドの適用に失敗した場合、前回実行していた設定が復元されます。


最初に Auto-QoS をイネーブルにしたポートでは、Auto-QoS が生成するグローバル コンフィギュレーション コマンドが実行され、それからインターフェイス コンフィギュレーション コマンドが実行されます。他のポート上で Auto-QoS をイネーブルにした場合、Auto-QoS が生成するインターフェイス コンフィギュレーション コマンドは、そのポート用のみに実行されます。

最初のポート上で Auto-QoS 機能をイネーブルにした場合、次のアクションが自動的に発生します。

QoS がグローバルにイネーブルになり( mls qos グローバル コンフィギュレーション コマンド)、そのあとで他のグローバル コンフィギュレーション コマンドが追加されます。

Cisco IP Phone に接続されたネットワークのエッジにあるポート上で、 auto qos voip cisco-phone インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチは信頼境界機能をイネーブルにします。スイッチは Cisco Discovery Protocol(CDP)を使用し、Cisco IP Phone の有無を検出します。Cisco IP Phone が検出された場合、ポート上の入力分類の際に、パケットで受信された QoS 値を信頼するように設定されます。Cisco IP Phone が検出されない場合、入力分類の際にパケットで受信された QoS 値を信頼しないように設定されます。スイッチは、 表2-2 および 表2-3 の設定に従って、ポート上の入力キューおよび出力キューを構成します。

Cisco SoftPhone を稼働している装置に接続されたネットワークのエッジにあるポート上で、 auto qos voip cisco-softphone インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチはポリシングを使用して、パケットが適合するか不適合かを決定し、パケット上にアクションを指定します。パケットに 24、26、または 46 の DSCP 値が含まれない場合(パケットが不適合)、スイッチは DSCP 値を 0 に変更します。スイッチは、 表2-2 および 表2-3 の設定に従って、ポート上の入力キューおよび出力キューを構成します。

ネットワーク内部に接続されたポート上で、 auto qos voip trust インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチは、入力パケットでルーティングされないポートの CoS 値、またはルーテッド ポートの DSCP 値を信頼します(トラフィックが他のエッジ装置ですでに分類されていることが前提条件になります)。スイッチは、 表2-2 および 表2-3 の設定に従って、ポート上の入力キューおよび出力キューを構成します。

スタティック ポート、ダイナミック アクセス ポート、音声 VLAN(仮想 LAN)アクセス ポート、およびトランク ポートで Auto-QoS をイネーブルにできます。ルーテッド ポート上の Cisco IP Phone で Auto-QoS をイネーブルにする場合、IP Phone にスタティック IP アドレスを割り当てる必要があります。


) Cisco SoftPhone を稼働している装置がスイッチ ポートまたはルーテッド ポートに接続されている場合、スイッチは 1 つのポートに対して 1 つの Cisco SoftPhone アプリケーションだけをサポートします。


Auto-QoS をイネーブルにしたあと、 AutoQoS が名前に含まれるポリシー マップまたは集約ポリサーを変更しないでください。ポリシー マップまたは集約ポリサーを変更する必要がある場合は、コピーを作成し、コピーされたポリシー マップまたはポリサーを変更します。生成されたポリシー マップではなく新しいポリシー マップを使用するには、インターフェイスから生成されたポリシー マップを削除し、新しいポリシー マップを適用します。

Auto-QoS がイネーブルのときに、自動生成された QoS 設定を表示するには、Auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos イネーブル EXEC コマンドを使用して、Auto-QoS のデバッグをイネーブルにできます。詳細については、 debug auto qos コマンドを参照してください。

ポート上で Auto-QoS をディセーブルにするには、no auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。このポート用に生成された Auto-QoS インターフェイス コンフィギュレーション コマンドのみ削除されます。Auto-QoS がイネーブルになっている最後のポートで no auto qos voip コマンドを入力した場合、Auto-QoS 生成のグローバル コンフィギュレーション コマンドが残っていたとしても、Auto-QoS はディセーブルになったと認識されます(グローバル コンフィギュレーションに影響を受ける他のポートのトラフィック障害を回避するため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、Auto-QoS 生成のグローバル コンフィギュレーション コマンドをディセーブルにします。QoS がディセーブルの場合、パケットが修正されなくなるため(パケットの CoS、DSCP、および IP precedence の値は変更されません)、ポートの信頼性に関する概念はなくなります。トラフィックはパススルー モードに切り替わります(パケットは修正なしに切り替わり、ポリシーなしのベスト エフォートに分類されます)。

次の例では、Auto-QoS をイネーブルにして、ポートに接続されたスイッチまたはルータが信頼できる装置である場合に、受信した着信パケット内の QoS ラベルを信頼する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# auto qos voip trust
 

設定を確認するには、 show auto qos voip interface interface-id イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

debug auto qos

Auto-QoS 機能のデバッグをイネーブルにします。

mls qos cos

デフォルトのポート CoS 値を定義するか、あるいはポート上のすべての着信パケットにデフォルトの CoS 値を割り当てます。

mls qos map { cos-dscp dscp1 ... dscp8 | dscp-cos dscp-list to cos }

CoS から DSCP へのマッピングまたは DSCP から CoS へのマッピングを定義します。

mls qos queue-set output buffers

キュー セットに対しバッファを割り当てます。

mls qos srr-queue input bandwidth

入力キューに対し Shaped Round Robin(SRR; シェイプド ラウンド ロビン)ウェイトを割り当てます。

mls qos srr-queue input buffers

入力キュー間にバッファを割り当てます。

mls qos srr-queue input cos-map

CoS 値を入力キューにマッピング、または CoS 値をキューおよびスレッシュホールド ID にマッピングします。

mls qos srr-queue input dscp-map

DSCP 値を入力キューにマッピング、または DSCP 値をキューおよびスレッシュホールド ID にマッピングします。

mls qos srr-queue input priority-queue

入力プライオリティ キューを設定し、帯域幅を保証します。

mls qos srr-queue output cos-map

CoS 値を出力キューにマッピング、または CoS 値をキューおよびスレッシュホールド ID にマッピングします。

mls qos srr-queue output dscp-map

DSCP 値を出力キューにマッピング、または DSCP 値をキューおよびスレッシュホールド ID にマッピングします。

mls qos trust

ポートの信頼状態を設定します。

queue-set

キュー セットに対しポートをマッピングします。

show auto qos

Auto-QoS 情報を表示します。

show mls qos interface

ポート レベルで QoS 情報を表示します。

srr-queue bandwidth shape

シェーピングしたウェイトを割り当て、ポートにマッピングされた 4 つの出力キュー上の帯域幅シェーピングをイネーブルにします。

srr-queue bandwidth share

共有のウェイトを割り当て、ポートにマッピングされた 4 つの出力キュー上の帯域幅の共有をイネーブルにします。

boot boothlpr

特別な Cisco IOS イメージをメモリへロードするには、 boot boothlpr グローバル コンフィギュレーション コマンドを使用します。2 つめの Cisco IOS イメージをメモリにロードして起動できます。この変数が使用されるのは、内部開発およびテストだけです。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot boothlpr filesystem :/ file-url

no boot boothlpr

 
シンタックスの説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

起動可能なヘルパー イメージのパス(ディレクトリ)および名前

 
デフォルト

ヘルパー イメージはロードされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、BOOTHLPR 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3560 スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot config-file

システム設定の不揮発性コピーの読み込みおよび書き込みを行うために Cisco IOS が使用するファイル名を指定するには、 boot config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot config-file flash: / file-url

no boot config-file

 
シンタックスの説明

flash:/ file-url

コンフィギュレーション ファイルのパス(ディレクトリ)および名前

 
デフォルト

デフォルトのコンフィギュレーション ファイルは、flash:config.text です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、CONFIG_FILE 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3560 スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot enable-break

自動ブート プロセスの中断をイネーブルにするには、 boot enable-break グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot enable-break

no boot enable-break

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ディセーブル。コンソール上で Break キーを押しても自動ブート プロセスを中断することはできません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを入力すると、フラッシュ ファイル システムが初期化されたあとで Break キーを押すことにより、自動ブート プロセスを中断できます。


) このコマンドの設定に関係なく、スイッチ前面パネルの MODE ボタンを押すと、いつでも自動ブート プロセスを中断できます。


このコマンドは、ENABLE_BREAK 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3560 スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot helper

ブート ローダ初期化中に動的にファイルをロードして、ブート ローダの機能を拡張またはパッチするには、 boot helper グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot helper filesystem :/ file-url ...

no boot helper

 
シンタックスの説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

ローダ初期化中に動的にロードするパス(ディレクトリ)およびロード可能なファイルのリスト。イメージ名はセミコロンで区切ります。

 
デフォルト

ヘルパー ファイルはロードされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

この変数が使用されるのは、内部開発およびテストだけです。

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、HELPER 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3560 スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot helper-config-file

Cisco IOS ヘルパー イメージが使用するコンフィギュレーション ファイルの名前を指定するには、 boot helper-config-file グローバル コンフィギュレーション コマンドを使用します。このコマンドが設定されていない場合は、CONFIG_FILE 環境変数によって指定されたファイルがロードされたすべてのバージョンの Cisco IOS に使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot helper-config-file filesystem :/ file-url

no boot helper-config file

 
シンタックスの説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

ロードするパス(ディレクトリ)およびヘルパー コンフィギュレーション ファイル

 
デフォルト

ヘルパー コンフィギュレーション ファイルは指定されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

この変数が使用されるのは、内部開発およびテストだけです。

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、HELPER_CONFIG_FILE 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3560 スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot manual

次のブート サイクル中にスイッチの手動による起動をイネーブルにするには、 boot manual グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot manual

no boot manual

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

手動による起動はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

次回システムを再起動すると、スイッチはブート ローダ モードで起動します。これは switch: プロンプトによってわかります。システムを起動する場合は、 boot ブート ローダ コマンドを使用して起動可能なイメージの名前を指定します。

このコマンドは、MANUAL_BOOT 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3560 スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot private-config-file

プライベート コンフィギュレーションの不揮発性コピーの読み込みおよび書き込みを行うために Cisco IOS が使用するファイル名を指定するには、 boot private-config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot private-config-file filename

no boot private-config-file

 
シンタックスの説明

filename

プライベート コンフィギュレーション ファイルの名前

 
デフォルト

デフォルトのコンフィギュレーション ファイルは、 private-config です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

ファイル名では、大文字と小文字が区別されます。

次の例では、プライベート コンフィギュレーション ファイルの名前を pconfig と指定する方法を示します。

Switch(config)# boot private-config-file pconfig

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

boot system

次のブート サイクル中にロードする Cisco IOS イメージを指定するには、 boot system グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot system filesystem :/ file-url ...

no boot system

 
シンタックスの説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

起動可能なイメージのパス(ディレクトリ)および名前。各イメージ名はセミコロンで区切ります。

 
デフォルト

スイッチは、BOOT 環境変数内の情報を使用して、自動的にシステムの起動を試行します。この変数が設定されていない場合、スイッチは、フラッシュ ファイル システム全体に再帰的な縦型検索を行って、最初の実行可能イメージをロードして実行を試行します。ディレクトリの縦型検索では、検出した各サブディレクトリを完全に検索してから元のディレクトリでの検索を続けます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

archive download-sw イネーブル EXEC コマンドを使用してシステム イメージを保存している場合、 boot system コマンドを使用する必要はありません。 boot system コマンドは自動的に処理され、ダウンロードされたイメージがロードされます。

このコマンドは、BOOT 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3560 スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

ブート環境変数の設定を表示します。

channel-group

EtherChannel グループにイーサネット ポートを割り当てる、EtherChannel モードを開始する、またはその両方を行うには、 channel-group インターフェイス コンフィギュレーション コマンドを使用します。イーサネット ポートを EtherChannel グループから削除する場合は、このコマンドの no 形式を使用します。

channel-group channel -group-number mode { active | { auto [ non-silent ]} | { desirable [ non-silent ]} | on | passive }

no channel-group

PAgP モード:
channel-group channel -group-number mode { { auto [ non-silent ]} | { desirable [ non-silent}}

LACP モード:
channel-group channel -group-number mode {active | passive}

On モード:
channel-group channel -group-number mode on

 
シンタックスの説明

channel-group-number

チャネル グループ番号を指定します。指定できる範囲は 1 ~ 48 です。

mode

EtherChannel モードを指定します。

active

無条件で Link Aggregation Control Protocol(LACP)をイネーブルにします。

active モードは、ポートをネゴシエーション ステートにします。この場合、ポートは LACP パケットを送信することによって、他のポートとのネゴシエーションを開始します。チャネルは、active モードまたは passive モードになっている別のポート グループで形成されます。

auto

Port Aggregation Protocol(PAgP)装置が検出された場合に限り、PAgP をイネーブルにします。

auto モードは、ポートをパッシブ ネゴシエーション ステートにします。この場合、ポートは受信する PAgP パケットに応答しますが、PAgP パケット ネゴシエーションは開始しません。チャネルは、desirable モードになっている別のポート グループでだけ形成されます。 auto がイネーブルの場合、サイレント動作がデフォルトになります。

desirable

PAgP を無条件でイネーブルにします。

desirable モードは、ポートをアクティブ ネゴシエーション ステートにします。この場合、ポートは PAgP パケットを送信することによって、他のポートとのネゴシエーションを開始します。EtherChannelは、desirable モードまたは auto モードになっている別のポート グループで形成されます。 desirable がイネーブルの場合、サイレント動作がデフォルトになります。

non-silent

(任意)他の装置からのトラフィックが予想されている場合に、PAgP モードで auto キーワードまたは desirable キーワードを使用します。

on

on モードを開始します。

on モードの場合、使用可能な EtherChannel が存在するのは、接続する両方のポート グループが on モードになっている場合だけです。

passive

LACP 装置が検出された場合に限り、LACP をイネーブルにします。

passive モードは、ポートをネゴシエーション ステートにします。この場合、ポートは受信した LACP パケットに応答しますが、LACP パケット ネゴシエーションは開始しません。チャネルは、active モードになっている別のポート グループでだけ形成されます。

 
デフォルト

チャネル グループは割り当てられません。

モードは設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(25)SE

channel -group-number の範囲は、1 ~ 12 から 1 ~ 48 に変更されました。

 
使用上のガイドライン

レイヤ 2 の EtherChannel は、物理ポートをチャネル グループに割り当てる前に、 interface port-channel グローバル コンフィギュレーション コマンドを使用してポート チャネル インターフェイスを作成する必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。論理ポートが作成されていない状態でチャネル グループが最初の物理インターフェイスを取得すると、ポート チャネル インターフェイスは自動的に作成されます。ポート チャネル インターフェイスを最初に作成した場合の channel-group-number は、 port - channel-number と同一にするか、または新しい番号を使用します。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポート チャネルを作成します。

チャネル グループの一部である物理ポートに割り当てられた IP アドレスをディセーブルにする必要はありませんが、これをディセーブルにすることを強く推奨します。

interface port-channel コマンドの次に no switchport インターフェイス コンフィギュレーション コマンドを使用して、レイヤ 3 のポート チャネルを作成できます。インターフェイスをチャネル グループに適用する前に、ポート チャネルの論理インターフェイスを手動で設定してください。

EtherChannel を設定したあと、ポート チャネル インターフェイス上で変更された設定は、ポート チャネル インターフェイスが割り当てられたすべての物理ポートに適用されます。物理ポートに適用された設定の変更は、設定を適用したポートのみに有効です。EtherChannel のすべてのポートのパラメータを変更する場合、ポート チャネル インターフェイスにコンフィギュレーション コマンドを適用します(スパニングツリーのコマンド、またはトランクとしてレイヤ 2 の EtherChannel を設定するコマンドなど)。

auto モードまたは desirable モードとともに non-silent を指定しなかった場合は、サイレントが指定されているものとみなされます。サイレント モードを設定するのは、PAgP 非対応で、かつほとんどパケットを送信しない装置にスイッチを接続する場合です。サイレント パートナーの例は、トラフィックを生成しないファイル サーバ、またはパケット アナライザなどです。この場合、物理インターフェイス ポート上で実行されている PAgP は、そのポートを動作可能にしません。ただし、PAgP は動作可能で、チャネル グループにポートを付与したり、ポートを伝送用に使用したりできます。リンクの両端はサイレントに設定することはできません。

on モードの場合、EtherChannel が存在するのは、 on モードになっているポート グループが、同じく on モードになっている別のポート グループに接続する場合だけです。


注意 on モードを使用する場合は十分に注意してください。これは手動設定です。EtherChannelの両端のポートは同じ設定にする必要があります。グループの設定を誤ると、パケット損失またはスパニングツリーのループが発生することがあります。

PAgP モードおよび LACP モードの両方で EtherChannel を設定することは避けてください。PAgP と LACP の動作している EtherChannel グループを同じスイッチ上に共存させることはできます。個々の EtherChannel グループは PAgP と LACP のどちらかを実行できますが、相互運用することはできません。

channel-protocol インターフェイス コンフィギュレーション コマンドを使用してプロトコルを設定する場合、設定は channel-group インターフェイス コンフィギュレーション コマンドで上書きされることはありません。

IEEE 802.1x のポートとしてアクティブ、またはまだアクティブになっていない EtherChannel のメンバーであるポートを設定することは避けてください。EtherChannel ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。


) Cisco IOS Release 12.2(20)SE より前のソフトウェア リリースでは、まだアクティブになっていない EtherChannel のポートで IEEE 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。


セキュア ポートを EtherChannel のポートとして設定したり、または EtherChannel ポートをセキュア ポートとして設定したりしないでください。

設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。


注意 物理 EtherChannel ポート上で、レイヤ 3 のアドレスをイネーブルにしないでください。物理 EtherChannel ポート上でブリッジ グループを割り当てることは、ループが発生する原因になるため、行わないでください。

次の例では、EtherChannel を設定する方法を示します。VLAN 10 内の 2 つのスタティック アクセス ポートは、PAgP モードが desirable になっているチャネル 5 に割り当てられます。

Switch# configure terminal
Switch(config)# interface range gigabitethernet0/1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode desirable
Switch(config-if-range)# end
 

次の例では、EtherChannel を設定する方法を示します。VLAN 10 内の 2 つのスタティック アクセス ポートは、LACP モードが active になっているチャネル 5 に割り当てられます。

Switch# configure terminal
Switch(config)# interface range gigabitethernet0/1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode active
Switch(config-if-range)# end
 

設定を確認するには、 show running-config イネーブル EXEC コマンドを使用します。

 
関連コマンド

コマンド
説明

channel-protocol

チャネリングを管理するため、ポート上で使用されるプロトコルを制限します。

interface port-channel

ポート チャネルへのアクセスや、ポート チャネルの作成を行います。

show etherchannel

チャネルの EtherChannel 情報を表示します。

show lacp

LACP チャネル グループ情報を表示します。

show pagp

PAgP チャネル グループ情報を表示します。

show running-config

現在の動作設定を表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を参照してください。

channel-protocol

ポートで使用するプロトコルを制限することによりチャネリングを管理するには、 channel-protocol インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

channel-protocol { lacp | pagp }

no channel-protocol

 
シンタックスの説明

lacp

Link Aggregation Control Protocol(LACP)で EtherChannel を設定します。

pagp

Port Aggregation Protocol(PAgP)で EtherChannel を設定します。

 
デフォルト

EtherChannel に割り当てられているプロトコルはありません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

channel-protocol コマンドは、チャネルを LACP または PAgP に制限するためのみに使用します。 channel-protocol コマンドを使用してプロトコルを設定する場合、設定は channel-group インターフェイス コンフィギュレーション コマンドで上書きされることはありません。

channel-group インターフェイス コンフィギュレーション コマンドは、EtherChannel のパラメータ設定に使用してください。また、 channel-group コマンドは、EtherChannel に対しモードを設定することもできます。

EtherChannel グループ上で、PAgP モードと LACP モードの両方をイネーブルにすることはできません。

PAgP と LACP には互換性がありません。チャネルの終端は両方とも同じプロトコルを使用する必要があります。

次の例では、EtherChannel を管理するプロトコルとして LACP を指定する方法を示します。

Switch(config-if)# channel-protocol lacp
 

設定を確認するには、 show etherchannel [ channel-group-number ] protocol イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

show etherchannel protocol

EtherChannel のプロトコル情報を表示します。

class

指定のクラスマップ名のトラフィックを分類する一致条件を( police set trust ポリシー マップ クラス コンフィギュレーション コマンドを使用して)定義するには、class ポリシー マップ コンフィギュレーション コマンドを使用します。既存のクラス マップを削除する場合は、このコマンドのno形式を使用します。

class class-map-name

no class class-map-name

 
シンタックスの説明

class-map-name

クラス マップ名

 
デフォルト

ポリシー マップ クラス マップは定義されていません。

 
コマンド モード

ポリシー マップ コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

class コマンドを使用する前に、 policy-map グローバル コンフィギュレーション コマンドを使用してポリシー マップを識別してから、ポリシー マップ コンフィギュレーション モードを開始します。ポリシー マップを指定すると、ポリシー マップ内で新規クラスのポリシーを設定したり、既存クラスのポリシーを変更したりできます。 service-policy インターフェイス コンフィギュレーション コマンドを使用して、ポリシー マップをポートに適用します。

class コマンドを入力すると、ポリシー マップ クラス コンフィギュレーション モードに入り、次のコマンドが使用可能になります。

exit :ポリシー マップ クラス コンフィギュレーション モードを終了し、ポリシー マップ コンフィギュレーション モードに戻ります。

no :コマンドをデフォルト設定に戻します。

police :分類したトラフィックにポリサーまたは集約ポリサーを定義します。ポリサーは、帯域幅の限度およびその限度を超過した場合に実行するアクションを指定します。詳細については、 police および police aggregate ポリシー マップ クラス コマンドを参照してください。

set :分類されたトラフィックに割り当てる値を指定します。詳細については、 set コマンドを参照してください。

trust class または class-map コマンドで分類されたトラフィックに、信頼状態を定義します。詳細については、 trust コマンドを参照してください。

ポリシー マップ コンフィギュレーション モードに戻るには、 exit コマンドを使用します。イネーブル EXEC モードに戻るには、 end コマンドを使用します。

class コマンドは、 class-map グローバル コンフィギュレーション コマンドと同じ機能を実行します。他のポートと共有されていない新しい分類が必要な場合は、 class コマンドを使用します。多数のポート間でマップを共有する場合には、class-map コマンドを使用します。

次の例では、 policy1 という名前のポリシー マップを作成する方法を示します。このコマンドが入力方向に適用された場合、 class1 で定義されたすべての着信トラフィックのマッチングを行い、IP Differentiated Services Code Point(DSCP)を 10 に設定してから、平均レート 1 Mbps、バースト 20 KB のトラフィックをポリシングします。プロファイルを超過したトラフィックは、DSCP マップのポリシングから得た DSCP 値にマーク ダウンして、送信されます。

Switch(config)# policy-map policy1
Switch(config-pmap)# class class1
Switch(config-pmap-c)# set dscp 10
Switch(config-pmap-c)# police 1000000 20000 exceed-action policed-dscp-transmit
Switch(config-pmap-c)# exit
 

設定を確認するには、 show policy-map イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

class-map

名前を指定したクラスとパケットとの比較に使用されるクラス マップを作成します。

police

分類したトラフィックにポリサーを定義します。

policy-map

複数のポートに適用することによってサービス ポリシーを指定可能にするポリシー マップを作成、または変更します。

set

パケットに DSCP 値、または IP precedence 値を設定することによって、IP トラフィックを分類します。

show policy-map

Quality of Service(QoS; サービス品質)ポリシー マップを表示します。

trust

class ポリシー マップ コンフィギュレーション コマンドまたは class-map グローバル コンフィギュレーション コマンドで分類されたトラフィックに、信頼状態を定義します。

class-map

パケットと名前を指定したクラスとのマッチングを行うためにクラス マップを作成し、クラス マップ コンフィギュレーション モードを開始するには、 class-map グローバル コンフィギュレーション コマンドを使用します。既存のクラス マップを削除し、グローバル コンフィギュレーション モードに戻る場合は、このコマンドのno形式を使用します。

class-map [ match-all | match-any ] class-map-name

no class-map [ match-all | match-any ] class-map-name

 
シンタックスの説明

match-all

(任意)このクラス マップ内のすべての一致ステートメントの論理積をとります。クラス マップ内のすべての基準が一致する必要があります。

match-any

(任意)このクラス マップ内の一致ステートメントの論理和をとります。複数の条件が一致する必要があります。

class-map-name

クラス マップ名

 
デフォルト

クラス マップは定義されません。

match-all または match-any キーワードがどちらとも指定されない場合、デフォルトは match-all になります。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

クラス マップ一致条件を作成または変更したいクラスの名前を指定し、クラス マップ コンフィギュレーション モードを開始する場合は、このコマンドを使用します。

ポートごとに適用される、グローバルに名付けられたサービス ポリシーの一部としてパケットの分類、マーキング、および集約のポリシングを定義する場合は、 class-map コマンドおよびそのサブコマンドを使用します。

Quality of Service(QoS; サービス品質)クラスマップ コンフィギュレーション モードでは、次の設定コマンドを利用できます。

description :クラス マップを記述します(最大 200 文字)。 show class-map イネーブル EXEC コマンドは、クラス マップの記述およびクラス マップ名を表示します

exit :QoS クラスマップ コンフィギュレーション モードを終了します

match :分類基準を設定します。詳細については、 match(クラス マップ コンフィギュレーション) コマンドを参照してください。

no :クラス マップから一致ステートメントを削除します。

rename :現行のクラス マップ名を変更します。すでに使用した名前をクラス マップに適用する場合、 A class-map with this name already exists メッセージが表示されます。

物理ポート ベースでパケットの分類を定義するために、クラス マップごとに match コマンドがサポートされています。この場合、 match-all キーワードと match-any キーワードは同等です。

1 つのクラス マップで設定できる Access Control List(ACL; アクセス制御リスト)は 1 つだけです。ACL には複数の Access Control Entry(ACE; アクセス制御エントリ)を含めることができます。

次の例では、 103 と呼ばれるアクセス リストである 1 つの一致条件を使い、 class1 と呼ばれるクラス マップを設定する方法を示します。

Switch(config)# access-list 103 permit any any dscp 10
Switch(config)# class-map class1
Switch(config-cmap)# match access-group 103
Switch(config-cmap)# exit
 

次の例では、クラス マップの class1 を削除する方法を示します。

Switch(config)# no class-map class1
 

設定を確認するには、 show class-map イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

class

指定のクラス マップ名で、トラフィックの分類一致条件を定義します( police set trust ポリシー マップ クラス コンフィギュレーション コマンドを使用)。

match(クラス マップ コンフィギュレーション)

トラフィックを分類するための一致条件を定義します。

policy-map

複数のポートに適用することによってサービス ポリシーを指定可能にするポリシー マップを作成、または変更します。

show class-map

QoS クラス マップを表示します。

clear ip arp inspection log

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査ログ バッファをクリアするには、 clear ip arp inspection log イネーブル EXEC コマンドを使用します。

clear ip arp inspection log

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

次の例では、ログ バッファの内容をクリアする方法を示します。

Switch# clear ip arp inspection log
 

ログがクリアされたかどうかを確認するには、 show ip arp inspection log イネーブル コマンドを使用します。

 
関連コマンド

コマンド
説明

arp access-list

ARP ACL を定義します。

ip arp inspection log-buffer

ダイナミック ARP 検査ロギング バッファを設定します。

ip arp inspection vlan logging

VLAN 単位で記録するパケットのタイプを制御します。

show inventory log

ダイナミック ARP 検査ログ バッファの設定と内容を表示します。

clear ip arp inspection statistics

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査の統計情報をクリアするには、 clear ip arp inspection statistics イネーブル EXEC コマンドを使用します。

clear ip arp inspection statistics [ vlan vlan-range ]

 
シンタックスの説明

vlan vlan-range

(任意)指定された 1 つまたは複数の VLAN(仮想 LAN)の統計情報をクリアします。

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

次の例では、VLAN 1 の統計情報をクリアする方法を示します。

Switch# clear ip arp inspection statistics vlan 1
 

統計情報が削除されたかどうかを確認するには、 show ip arp inspection statistics vlan 1 イネーブル EXEC コマンドを使用します。

 
関連コマンド

コマンド
説明

show inventory statistics

すべての VLAN または指定された VLAN の転送済みパケット、廃棄済みパケット、MAC(メディア アクセス制御)検証に失敗したパケット、および IP 検証に失敗したパケットの統計情報を表示します。

clear ip dhcp snooping database

DHCP バインディング データベース エージェントの統計情報をクリアするには、 clear ip dhcp snooping database イネーブル EXEC コマンドを使用します。

clear ip dhcp snooping database statistics

このコマンドは、スイッチが IP サービス イメージ(従来の Enhanced Multilayer Image [EMI])を稼働している場合にのみ利用できます。

 
シンタックスの説明

statistics

DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

clear ip dhcp snooping database statistics コマンドを入力すると、スイッチは統計情報をクリアする前にバインディング データベースおよびバインディング ファイル内のエントリを更新しません。

次の例では、DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアする方法を示します。

Switch# clear ip dhcp snooping database statistics
 

統計情報がクリアされたかどうかを確認するには、 show ip dhcp snooping database イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping

DHCP スヌーピングが VLAN(仮想 LAN)でイネーブルになります。

ip dhcp snooping database

DHCP スヌーピング バインディング データベース エージェントまたはバインディング ファイルを設定します。

show ip dhcp snooping binding

DHCP スヌーピング データベース エージェントのステータスを表示します。

clear ipc

Interprocess Communication(IPC; プロセス間通信)プロトコルの統計情報をクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear ipc イネーブル EXEC コマンドを使用します。

clear ipc { queue-statistics | statistics }

 
シンタックスの説明

queue-statistics

IPC キューの統計情報をクリアします。

statistics

IPC の統計情報をクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

clear ipc statistics コマンドを使用してすべての統計情報をクリアできますが、 clear ipc queue-statistics コマンドを使用してキューの統計情報だけをクリアすることもできます。

次の例では、すべての統計情報をクリアする方法を示します。

Switch# clear ipc statistics
 

次の例では、キューの統計情報だけをクリアする方法を示します。

Switch# clear ipc queue-statistics
 

統計情報が削除されたかどうかを確認するには、 show ipc rpc または show ipc session イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ipc { rpc | session }

IPC マルチキャスト ルーティングの統計情報を表示します。

clear l2protocol-tunnel counters

プロトコル トンネル ポートのプロトコル カウンタをクリアするには、 clear l2protocol-tunnel counters イネーブル EXEC コマンドを使用します。

clear l2protocol-tunnel counters [ interface-id ]

 
シンタックスの説明

interface-id

(任意)プロトコル カウンタをクリアするインターフェイス(物理インターフェイスまたはポート チャネル)を指定します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)SE

このコマンドが導入されました。

 
使用上のガイドライン

スイッチまたは指定されたインターフェイスのプロトコル トンネル カウンタをクリアするには、このコマンドを使用します。

次の例では、インターフェイスのレイヤ 2 プロトコル トンネル カウンタをクリアする方法を示します。

Switch# clear l2protocol-tunnel counters gigabitethernet0/3

 
関連コマンド

コマンド
説明

show l2protocol-tunnel

レイヤ 2 プロトコル トンネリングが設定されたポートに関する情報を表示します。

clear lacp

Link Aggregation Control Protocol(LACP)チャネル グループのカウンタをクリアするには、 show lacp イネーブル EXEC コマンドを使用します。

clear lacp { channel-group-number counters | counters }

 
シンタックスの説明

channel-group-number

(任意)チャネル グループ番号。指定できる範囲は 1 ~ 48 です。

counters

トラフィックのカウンタをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(25)SE

channel -group-number の範囲は、1 ~ 12 から 1 ~ 48 に変更されました。

 
使用上のガイドライン

clear lacp counters コマンドを使用して、カウンタをすべてクリアできます。また、指定のチャネル グループのカウンタのみをクリアする場合には、 clear lacp channel-group-number counters コマンドを使用します。

次の例では、すべてのチャネル グループ情報をクリアする方法を示します。

Switch# clear lacp counters
 

次の例では、グループ 4 の LACP トラフィックのカウンタをクリアする方法を示します。

Switch# clear lacp 4 counters
 

情報が削除されたかどうかを確認するには、 show lacp counters または show lacp 4 counters イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show lacp

LACP チャネル グループ情報を表示します。

clear mac address-table

指定のダイナミック アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、または特定の VLAN(仮想 LAN)上のすべてのダイナミック アドレスを MAC(メディア アクセス制御)アドレス テーブルから削除するには、 clear mac address-table イネーブル EXEC コマンドを使用します。また、このコマンドは MAC アドレス通知グローバル カウンタをクリアします。

clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id ] | notification }

 
シンタックスの説明

dynamic

すべてのダイナミック MAC アドレスを削除します。

dynamic address mac-addr

(任意)指定されたダイナミック MAC アドレスを削除します。

dynamic interface interface-id

(任意)指定された物理ポートまたはポート チャネル上のすべてのダイナミック MAC アドレスを削除します。

dynamic vlan vlan-id

(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ~ 4094 です。

notification

履歴テーブルの通知をクリアし、カウンタをリセットします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

次の例では、特定の MAC アドレスをダイナミック アドレス テーブルから削除する方法を示します。

Switch# clear mac address-table dynamic address 0008.0070.0007
 

情報が削除されたかどうかを確認するには、 show mac address-table イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

mac address-table notification

MAC アドレス通知機能をイネーブルにします。

show mac address-table

MAC アドレス テーブルのスタティック エントリおよびダイナミック エントリを表示します。

show mac address-table notification

すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。

snmp trap mac-notification

特定のインターフェイス上の SNMP(簡易ネットワーク管理プロトコル)MAC アドレス通知トラップをイネーブルにします。

clear mac address-table move update

MAC アドレス テーブル移行更新関連カウンタを削除するには、 clear mac address-table move update イネーブル EXEC コマンドを使用します。

clear mac address-table move update

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

次に、MAC アドレス テーブル移行更新関連カウンタをクリアする例を示します。

Switch# clear mac address-table move update
 

情報がクリアされたかどうかを確認するには、 show mac address-table move update イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

mac address-table move update { receive | transmit }

スイッチに MAC アドレス テーブル移行更新を設定します。

show mac address-table move update

スイッチの MAC アドレス テーブル移行更新情報を表示します。

clear pagp

Port Aggregation Protocol(PAgP)チャネル グループ情報をクリアするには、 clear pagp イネーブル EXEC コマンドを使用します。

clear pagp { channel-group-number counters | counters }

 
シンタックスの説明

channel- group-number

(任意)チャネル グループ番号。指定できる範囲は 1 ~ 48 です。

counters

トラフィックのカウンタをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(25)SE

channel -group-number の範囲は、1 ~ 12 から 1 ~ 48 に変更されました。

 
使用上のガイドライン

clear pagp counters コマンドを使用して、カウンタをすべてクリアできます。また、指定のチャネル グループのカウンタのみをクリアする場合には、 clear pagp channel-group-number counters コマンドを使用します。

次の例では、すべてのチャネル グループ情報をクリアする方法を示します。

Switch# clear pagp counters
 

次の例では、グループ 10 の PAgP トラフィックのカウンタをクリアする方法を示します。

Switch# clear pagp 10 counters
 

情報が削除されたかどうかを確認するには、 show pagp イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show pagp

PAgP チャネル グループ情報を表示します。

clear port-security

スイッチまたはインターフェイスの MAC(メディア アクセス制御)アドレス テーブルから、すべてのセキュア アドレスまたは特定のタイプ(設定、ダイナミック、またはスティッキー)のすべてのセキュア アドレスを削除するには、 clear port-security イネーブル EXEC コマンドを使用します。

clear port-security { all | configured | dynamic | sticky } [[ address mac-addr | interface interface-id ] [ vlan { vlan-id | { access | voice}}]]

 
シンタックスの説明

all

すべてのセキュア MAC アドレスを削除します。

configured

設定されたセキュア MAC アドレスを削除します。

dynamic

ハードウェアによって自動学習されたセキュア MAC アドレスを削除します。

sticky

自動学習または設定されたセキュア MAC アドレスを削除します。

address mac-addr

(任意)指定されたダイナミック セキュア MAC アドレスを削除します。

interface interface-id

(任意)指定された物理ポートまたは VLAN(仮想 LAN)上のすべてのダイナミック セキュア MAC アドレスを削除します。

vlan

(任意)指定されたセキュア MAC アドレスを、指定された VLAN から削除します。 vlan キーワードの入力後に、次のいずれかのオプションを入力してください。

vlan-id ― トランク ポートで、このアドレスをクリアする VLAN の VLAN ID を指定します。

access ― アクセス ポートで、アクセス VLAN 上の指定のセキュア MAC アドレスをクリアします。

voice ― アクセス ポートで、音声 VLAN 上の指定のセキュア MAC アドレスをクリアします。


) voice キーワードが使用できるのは、ポート上で音声 VLAN が設定されていて、そのポートがアクセス VLAN でない場合のみです。


 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)SEA

このコマンドが導入されました。

12.2(25)SEB

access および voice キーワードが追加されました。

次の例では、MAC アドレス テーブルからすべてのセキュア アドレスをクリアする方法を示します。

Switch# clear port-security all
 

次の例では、MAC アドレス テーブルから特定の設定されたセキュア アドレスを削除する方法を示します。

Switch# clear port-security configured address 0008.0070.0007

次の例では、特定のインターフェイスで学習されたすべてのダイナミック セキュア アドレスを削除する方法を示します。

Switch# clear port-security dynamic interface gigabitethernet0/1
 

次の例では、アドレス テーブルからすべてのダイナミック セキュア アドレスを削除する方法を示します。

Switch# clear port-security dynamic
 

情報が削除されたかどうかを確認するには、 show port-security イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

switchport port-security

インターフェイスのポート セキュリティをイネーブルにします。

switchport port-security mac-address mac-address

セキュア MAC アドレスを設定します。

switchport port-security maximum value

セキュア インターフェイス上のセキュア MAC アドレスの最大数を設定します。

show port-security

インターフェイスまたはスイッチのポート セキュリティ設定を表示します。

clear spanning-tree counters

スパニングツリーのカウンタをクリアするには、 clear spanning-tree counters イネーブル EXEC コマンドを使用します。

clear spanning-tree counters [ interface interface-id ]

 
シンタックスの説明

interface interface-id

(任意)指定のインターフェイス上にあるすべてのスパニングツリーのカウンタをクリアします。有効なインターフェイスとしては、物理ポート、VLAN(仮想 LAN)、およびポート チャネルがあります。VLAN の使用範囲は 1 ~ 4094 です。ポート チャネルの使用範囲は 1 ~ 48 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

interface-id が指定されていない場合、すべてのインターフェイス上にあるスパニングツリーのカウンタがクリアされます。

次の例では、すべてのインターフェイス上でスパニングツリーのカウンタをクリアする方法を示します。

Switch# clear spanning-tree counters

 
関連コマンド

コマンド
説明

show spanning-tree

スパニングツリー ステート情報を表示します。

clear spanning-tree detected-protocols

すべてのインターフェイス、または指定されたインターフェイスでプロトコル移行プロセスを再開する(強制的に近接スイッチと再度ネゴシエートさせる)には、 clear spanning-tree detected-protocols イネーブル EXEC コマンドを使用します。

clear spanning-tree detected-protocols [ interface interface-id ]

 
シンタックスの説明

interface interface-id

(任意)指定されたインターフェイスでプロトコル移行プロセスを再開します。有効なインターフェイスとしては、物理ポート、VLAN(仮想 LAN)、およびポート チャネルがあります。VLAN の使用範囲は 1 ~ 4094 です。ポート チャネルの使用範囲は 1 ~ 48 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

Rapid Per-VLAN Spanning-Tree Plus(Rapid-PVST+)プロトコル、または Multiple Spanning-Tree Protocol(MSTP)が動作するスイッチは、組み込みのプロトコル移行機能をサポートしているため、IEEE 802.1D のレガシー スイッチと相互運用させることができます。Rapid-PVST+ スイッチまたは MSTP スイッチが、プロトコルのバージョンが 0 に設定されているレガシー IEEE 802.1D コンフィギュレーション Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を受信した場合は、そのポート上で IEEE 802.1D BPDU だけを送信します。Multiple Spanning-Tree(MST; 多重スパニングツリー)スイッチは、レガシー BPDU、別のリージョンに関連付けられた MST BPDU(バージョン 3)、または Rapid Spanning-Tree(RST)BPDU(バージョン 2)を受信したときは、そのポートがリージョンの境界にあることを検知します。

ただし、スイッチは、IEEE 802.1D BPDU を受信しなくなった場合であっても、自動的に Rapid-PVST+ または MSTP モードに戻りません。これは、レガシー スイッチが指定スイッチでなければ、リンクから削除されたかどうかを学習できないためです。この状況では、 clear spanning-tree detected-protocols コマンドを使用します。

次の例では、ポートでプロトコル移行プロセスを再開する方法を示します。

Switch# clear spanning-tree detected-protocols interface gigabitethernet0/1

 
関連コマンド

コマンド
説明

show spanning-tree

スパニングツリー ステート情報を表示します。

spanning-tree link-type

デフォルト リンクタイプの設定を上書きし、RST でのフォワーディング ステートへの変更をイネーブルにします。

clear vmps statistics

VLAN Query Protocol(VQP)クライアントが保持する統計情報をクリアするには、 clear vmps statistics イネーブル EXEC コマンドを使用します。

clear vmps statistics

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

次の例では、VLAN Membership Policy Server(VMPS; VLAN メンバーシップ ポリシー サーバ)統計情報をクリアする方法を示します。

Switch# clear vmps statistics
 

情報が削除されたかどうかを確認するには、 show vmps statistics イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show vmps

VQP バージョン、再確認間隔、再試行回数、VMPS IP アドレス、および現在のサーバとプライマリ サーバを表示します。

clear vtp counters

VLAN Trunking Protocol(VTP; VLAN トランキング プロトコル)およびプルーニング カウンタをクリアするには、 clear vtp counters イネーブル EXEC コマンドを使用します。

clear vtp counters

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

次の例では、VTP カウンタをクリアする方法を示します。

Switch# clear vtp counters
 

情報が削除されたかどうかを確認するには、 show vtp counters イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show vtp

VTP 管理ドメイン、ステータス、カウンタの一般情報を表示します。

cluster commander-address

このコマンドを入力する必要はありません。クラスタ コマンド スイッチは、スイッチがクラスタに加入した場合、MAC(メディア アクセス制御)アドレスをクラスタ メンバーのスイッチに自動的に提供します。クラスタ メンバー スイッチは、この情報および他のクラスタ情報をその実行コンフィギュレーション ファイルに追加します。デバッグまたはリカバリ手順の間だけスイッチをクラスタから削除する場合は、クラスタ メンバー スイッチ コンソール ポートから、このグローバル コンフィギュレーション コマンドの no 形式を使用します。

cluster commander-address mac-address [ member number name name ]

no cluster commander-address

 
シンタックスの説明

mac-address

クラスタ コマンド スイッチの MAC アドレス

member number

(任意)設定されたクラスタ メンバー スイッチの番号。指定できる範囲は 0 ~ 15 です。

name name

(任意)設定されたクラスタの名前(最大 31 文字)

 
デフォルト

このスイッチはどのクラスタのメンバーでもありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、クラスタ コマンド スイッチでのみ実行できます。

各クラスタ メンバーは、クラスタ コマンド スイッチを 1 つしか持てません。

クラスタ メンバー スイッチは、mac-address パラメータにより、システム リロード時にもクラスタ コマンド スイッチの ID を保持し続けます。

あるクラスタ メンバー スイッチで no 形式を入力すれば、デバッグまたはリカバリ手順の間そのメンバー スイッチをクラスタから削除できます。通常は、メンバーがクラスタ コマンド スイッチと通信ができなくなった場合にのみ、クラスタ メンバー スイッチ コンソール ポートからこのコマンドを入力することになります。通常のスイッチ構成では、クラスタ コマンド スイッチで no cluster member n グローバル コンフィギュレーション コマンドを入力することによってのみ、クラスタ メンバー スイッチを削除することを推奨します。

スタンバイ クラスタ コマンド スイッチがアクティブになった場合(クラスタ コマンド スイッチになった場合)、このスイッチは cluster commander-address 行をその設定から削除します。

次の例では、実行しているクラスタ メンバーの設定から、その出力の一部を示します。

Switch(config)# show running-configuration
 
(テキスト出力は省略)
 
cluster commander-address 00e0.9bc0.a500 member 4 name my_cluster
 
(テキスト出力は省略)
 

次の例では、クラスタ メンバー コンソールでクラスタからメンバーを削除する方法を示します。

Switch # configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# no cluster commander-address
 

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster discovery hop-count

候補スイッチの拡張検出用にホップ カウントの制限を設定するには、クラスタ コマンド スイッチ上で cluster discovery hop-count グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster discovery hop-count number

no cluster discovery hop-count

 
シンタックスの説明

number

クラスタ コマンド スイッチが候補の検出を制限するクラスタ エッジからのホップ数。指定できる範囲は 1 ~ 7 です。

 
デフォルト

ホップ カウントは 3 に設定されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、クラスタ コマンド スイッチでのみ実行できます。このコマンドは、クラスタ メンバー スイッチでは機能しません。

ホップ カウントが 1 に設定された場合、拡張検出はディセーブルになります。クラスタ コマンド スイッチは、クラスタのエッジから 1 ホップの候補だけを検出します。クラスタのエッジとは、最後に検出されたクラスタのメンバー スイッチと最初に検出された候補スイッチの間の点です。

次の例では、ホップ カウント制限を 4 に設定する方法を示します。このコマンドは、クラスタ コマンド スイッチから実行されます。

Switch(config)# cluster discovery hop-count 4
 

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

show cluster candidates

候補スイッチのリストを表示します。

cluster enable

このコマンド対応スイッチをクラスタ コマンド スイッチとしてイネーブルにし、クラスタ名を割り当て、任意でメンバー番号を割り当てるには、コマンド対応スイッチ上で cluster enable グローバル コンフィギュレーション コマンドを使用します。すべてのメンバーを削除して、このコマンド スイッチを候補スイッチにする場合は、このコマンドの no 形式を使用します。

cluster enable name [ command-switch-member-number ]

no cluster enable

 
シンタックスの説明

name

クラスタ名(最大 31 文字)。指定できる文字は、英数字、ダッシュ、および下線です。

command-switch-member-number

(任意)クラスタのクラスタ コマンド スイッチにメンバー番号を割り当てます。指定できる範囲は 0 ~ 15 です。

 
デフォルト

このスイッチはクラスタ コマンド スイッチではありません。

クラスタ名は定義されていません。

スイッチがクラスタ コマンド スイッチである場合、メンバー番号は 0 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、どのクラスタにも属していない任意のコマンド対応スイッチ上で入力します。装置がすでにクラスタのメンバーとして設定されている場合、コマンドはエラーとなります。

クラスタ コマンド スイッチをイネーブルにするときには、クラスタに名前を付けてください。スイッチがすでにクラスタ コマンド スイッチとして設定されており、クラスタ名が以前の名前と異なっている場合、コマンドはクラスタ名を変更します。

次の例では、クラスタ コマンド スイッチをイネーブルにし、クラスタに名前を付け、クラスタ コマンド スイッチ メンバー番号を 4 に設定する方法を示します。

Switch(config)# cluster enable Engineering-IDF4 4
 

クラスタ コマンド スイッチ上で設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster holdtime

スイッチ(コマンドまたはクラスタ メンバー スイッチ)が、他のスイッチのハートビート メッセージを受信しなくなってからそのスイッチのダウンを宣言するまでの期間を秒単位で設定するには、 cluster holdtime グローバル コンフィギュレーション コマンドを使用します。期間をデフォルト値に設定する場合は、このコマンドの no 形式を使用します。

cluster holdtime holdtime-in-secs

no cluster holdtime

 
シンタックスの説明

holdtime-in-secs

スイッチ(コマンドまたはクラスタ メンバー スイッチ)が、他のスイッチのダウンを宣言するまでの期間(秒)。指定できる範囲は 1 ~ 300 秒です。

 
デフォルト

デフォルトのホールド時間は 80 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

クラスタ コマンド スイッチ上でのみ、このコマンドと cluster timer グローバル コンフィギュレーション コマンドを入力してください。設定がクラスタ内のすべてのスイッチ間で一貫性を持つよう、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバーに伝播します。

ホールド時間は、通常インターバル タイマー( クラスタ タイマー )の倍数として設定されます。たとえば、(ホールド時間/間隔)(いずれも単位は秒)回のハートビート メッセージが連続して抜けると、スイッチのダウンが宣言されます。

次の例では、クラスタ コマンド スイッチでインターバル タイマーおよび期間を変更する方法を示します。

Switch(config)# cluster timer 3
Switch(config)# cluster holdtime 30
 

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster member

クラスタに候補を追加するには、クラスタ コマンド スイッチ上で cluster member グローバル コンフィギュレーション コマンドを使用します。メンバーをクラスタから削除する場合は、このコマンドの no 形式を使用します。

cluster member [ n ] mac-address H.H.H [ password enable-password ] [ vlan vlan-id ]

no cluster member n

 
シンタックスの説明

n

クラスタ メンバーを識別する番号。指定できる範囲は 0 ~ 15 です。

mac-address H.H.H

クラスタ メンバー スイッチの MAC(メディア アクセス制御)アドレス(16 進数)

password enable-password

候補スイッチのパスワードをイネーブルにします。候補スイッチにパスワードがない場合、パスワードは必要ありません。

vlan vlan-id

(任意)クラスタ コマンド スイッチが候補をクラスタに追加するときに使用される VLAN(仮想 LAN)ID。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

新しくイネーブルになったクラスタ コマンド スイッチには、関連するクラスタ メンバーはありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、候補をクラスタに追加したり、メンバーをクラスタから削除したりする場合にクラスタ コマンド スイッチでのみ入力できます。このコマンドをクラスタ コマンド スイッチ以外のスイッチで入力すると、スイッチはコマンドを拒否し、エラー メッセージを表示します。

スイッチをクラスタから削除する場合はメンバー番号を入力してください。ただし、スイッチをクラスタに追加する場合には、メンバー番号を入力する必要はありません。クラスタ コマンド スイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。

候補スイッチがクラスタに加入した場合には、認証を行うためにそのスイッチのイネーブル パスワードを入力してください。パスワードは、実行コンフィギュレーションまたはスタートアップ コンフィギュレーションには保存されません。候補スイッチがクラスタのメンバーになったあと、そのパスワードはクラスタ コマンド スイッチ パスワードと同じになります。

スイッチが、設定されたホスト名を持たない場合、クラスタ コマンド スイッチは、メンバー番号をクラスタ コマンド スイッチ ホスト名に追加し、これをクラスタ メンバー スイッチに割り当てます。

VLAN ID を指定していない場合、クラスタ コマンド スイッチは自動的に VLAN を選択し、候補をクラスタに追加します。

次の例では、スイッチをメンバー 2、MAC アドレス 00E0.1E00.2222、パスワード key としてクラスタに追加する方法を示しています。クラスタ コマンド スイッチは、VLAN 3 を経由して候補をクラスタに追加します。

Switch(config)# cluster member 2 mac-address 00E0.1E00.2222 password key vlan 3
 

次の例では、MAC アドレス 00E0.1E00.3333 のスイッチをクラスタに追加する方法を示します。このスイッチにはパスワードはありません。クラスタ コマンド スイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。

Switch(config)# cluster member mac-address 00E0.1E00.3333
 

設定を確認するには、クラスタ コマンド スイッチで show cluster members イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

show cluster candidates

候補スイッチのリストを表示します。

show cluster members

クラスタ メンバーに関する情報を表示します。

cluster outside-interface

クラスタの Network Address Translation(NAT; ネットワーク アドレス変換)の外部インターフェイスを設定し、IP アドレスのないメンバーがクラスタの外部にある装置と通信できるようにするには、 cluster outside-interface グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster outside-interface interface-id

no cluster outside-interface

 
シンタックスの説明

interface-id

外部インターフェイスとして機能するインターフェイス。有効なインターフェイスとしては、物理インターフェイス、ポート チャネル、または VLAN(仮想 LAN)があります。ポートチャネルの範囲は 1 ~ 48 です。指定できる VLAN 範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトの外部インターフェイスは、クラスタ コマンド スイッチによって自動的に選択されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、クラスタ コマンド スイッチ上でのみ入力できます。クラスタ メンバー スイッチでコマンドを入力すると、エラー メッセージが表示されます。

次の例では、VLAN 1 に外部インターフェイスを設定する方法を示します。

Switch(config)# cluster outside-interface vlan 1
 

設定を確認するには、 show running-config イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

現在の動作設定を表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を参照してください。

cluster run

スイッチ上でクラスタリングをイネーブルにするには、 cluster run グローバル コンフィギュレーション コマンドを使用します。スイッチでクラスタリングをディセーブルにする場合は、このコマンドの no 形式を使用します。

cluster run

no cluster run

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

すべてのスイッチでクラスタリングがイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

クラスタ コマンド スイッチ上で no cluster run コマンドを入力すると、クラスタ コマンド スイッチはディセーブルになります。クラスタリングはディセーブルになり、スイッチは候補スイッチになることができません。

クラスタ メンバー スイッチで no cluster run コマンドを入力すると、このメンバー スイッチはクラスタから削除されます。クラスタリングはディセーブルになり、スイッチは候補スイッチになることができません。

クラスタに属していないスイッチで no cluster run コマンドを入力すると、クラスタリングはそのスイッチ上でディセーブルになります。このスイッチは候補スイッチになることができません。

次の例では、クラスタ コマンド スイッチでクラスタリングをディセーブルにする方法を示します。

Switch(config)# no cluster run
 

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster standby-group

既存の Hot Standby Router Protocol(HSRP)にクラスタをバインドすることにより、クラスタ コマンド スイッチの冗長性をイネーブルにするには、 cluster standby-group グローバル コンフィギュレーション コマンドを使用します。routing-redundancy キーワードを入力することで、同一の HSRP グループが、クラスタ コマンド スイッチの冗長性およびルーティングの冗長性に対して使用できるようになります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster standby-grou p HSRP-group-name [ routing-redundancy ]

no cluster standby-group

 
シンタックスの説明

HSRP-group-name

クラスタにバインドされる HSRP グループの名前。グループ名は 32 文字までです。

routing-redundancy

(任意)同一の HSRP スタンバイ グループをイネーブルにし、クラスタ コマンド スイッチの冗長性およびルーティングの冗長性に対して使用します。

 
デフォルト

クラスタは、どの HSRP グループにもバインドされていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、クラスタ コマンド スイッチ上でのみ入力できます。クラスタ メンバー スイッチでこれを入力すると、エラー メッセージが表示されます。

クラスタ コマンド スイッチは、クラスタ HSRP バインディング情報をすべてのクラスタ HSRP 対応メンバーに伝播します。各クラスタ メンバー スイッチはバインディング情報を NVRAM(不揮発性 RAM)に保存します。HSRP グループ名は、有効なスタンバイ グループである必要があります。そうでない場合、エラーが発生してコマンドが終了します。

クラスタにバインドする HSRP スタンバイ グループのすべてのメンバーに同じグループ名を使用する必要があります。バインドされる HSRP グループのすべてのクラスタ HSRP 対応メンバーに同じ HSRP グループ名を使用してください(クラスタを HSRP グループにバインドしない場合には、クラスタのコマンド スイッチおよびメンバーに異なった名前を使用できます)。

次の例では、 my_hsrp という名前の HSRP グループをクラスタにバインドする方法を示します。このコマンドは、クラスタ コマンド スイッチ上から実行します。

Switch(config)# cluster standby-group my_hsrp
 

次の例では、ルーティングの冗長性およびクラスタの冗長性に対して my_hsrp という名前の HSRP グループを使用する方法を示します。

Switch(config)# cluster standby-group my_hsrp routing-redundancy
 

次の例では、このコマンドがクラスタ コマンド スイッチから実行され、指定された HSRP スタンバイ グループが存在しない場合のエラー メッセージを示します。

Switch(config)# cluster standby-group my_hsrp
%ERROR: Standby (my_hsrp) group does not exist
 

次の例では、このコマンドがクラスタ メンバー スイッチで実行された場合のエラー メッセージを示します。

Switch(config)# cluster standby-group my_hsrp routing-redundancy
%ERROR: This command runs on a cluster command switch
 

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。クラスタ内の冗長性がイネーブルになっているかどうかは出力から確認できます。

 
関連コマンド

コマンド
説明

standby ip

インターフェイスで HSRP をイネーブルにします。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を参照してください。

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

show standby

スタンバイ グループ情報を表示します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を参照してください。

cluster timer

ハートビート メッセージの間隔を秒単位で設定するには、 cluster timer グローバル コンフィギュレーション コマンドを使用します。間隔をデフォルト値に設定する場合は、このコマンドの no 形式を使用します。

cluster timer interval-in-secs

no cluster timer

 
シンタックスの説明

interval-in-secs

ハートビート メッセージの間隔(秒)。指定できる範囲は 1 ~ 300 秒です。

 
デフォルト

8 秒間隔です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドと cluster holdtime グローバル コンフィギュレーション コマンドは、クラスタ コマンド スイッチ上でのみ入力してください。設定がクラスタ内のすべてのスイッチ間で一貫性を持つよう、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバーに伝播します。

ホールド時間は通常ハートビート インターバル タイマー( クラスタ タイマー )の倍数として設定されます。たとえば、(ホールド時間/間隔)(いずれも単位は秒)回のハートビート メッセージが連続して抜けると、スイッチのダウンが宣言されます。

次の例では、クラスタ コマンド スイッチでハートビート間隔のタイマーおよび期間を変更する方法を示します。

Switch(config)# cluster timer 3
Switch(config)# cluster holdtime 30
 

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

define interface-range

インターフェイス レンジ マクロを作成するには、 define interface-range グローバル コンフィギュレーション コマンドを使用します。定義されたマクロを削除する場合は、このコマンドの no 形式を使用します。

define interface-range macro-name interface-range

no define interface-range macro-name interface-range

 
シンタックスの説明

macro-name

インターフェイス レンジ マクロの名前(最大 32 文字)

interface-range

インターフェイス範囲。インターフェイス範囲の有効値については、「使用上のガイドライン」を参照してください。

 
デフォルト

このコマンドにはデフォルト設定がありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

マクロ名は、最大 32 文字の文字列です。

マクロには、最大 5 つの範囲を含めることができます。

1 つの範囲内ではすべてのインターフェイスが同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN(仮想 LAN)のいずれかでなければなりません。ただし、マクロ内では複数のインターフェイス タイプを組み合わせることができます。

interface-range を入力する場合は、次のフォーマットを使用します。

type { first-interface } - { last-interface }

interface-range を入力するときは、最初のインターフェイス番号とハイフンの間にスペースを入れます。たとえば、 gigabitethernet 0/1 - 2 ならば範囲は指定されますが、 gigabit ethernet 0/1-2 では指定されません。

type および interface の有効値は次のとおりです。

vlan vlan-id - vlan-id vlan-id の範囲は 1 ~ 4094)

VLAN インターフェイスは、 interface vlan コマンドで設定してください( show running-config イネーブル EXEC コマンドは、設定された VLAN インターフェイスを表示します)。 show running-config コマンドで表示されない VLAN インターフェイスは、 interface-range では使用できません。

port-channel port-channel-number port-channel-number の範囲は 1 ~ 48)

fastethernet module/{ first port } - { last port }

gigabitethernet module/{ first port } - { last port }

物理インターフェイス

モジュールは常に 0 です。

使用可能範囲は、type 0/number - number です(例:gigabitethernet 0/1 - 2)。

範囲を定義するときは、ハイフン(-)の前にスペースが必要です。次に例を示します。

gigabitethernet0/1 - 2

複数の範囲を入力することもできます。複数の範囲を定義するときは、カンマ(,)の前の最初のエントリのあとにスペースが必要です。カンマのあとのスペースは任意になります。次に例を示します。

fastethernet0/3, gigabitethernet0/1 - 2

fastethernet0/3 - 4, gigabitethernet0/1 - 2

次の例では、複数のインターフェイス マクロを作成する方法を示します。

Switch(config)# define interface-range macro1 fastethernet0/1 - 2, gigabitethernet0/1 - 2

 
関連コマンド

コマンド
説明

interface range

複数のポートで 1 つのコマンドを同時に実行します。

show running-config

定義されたマクロを含む現在稼働中のコンフィギュレーションを表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を参照してください。

delete

フラッシュ メモリ デバイス上のファイルまたはディレクトリを削除するには、 delete イネーブル EXEC コマンドを使用します。

delete [ /force ] [/ recursive ] filesystem :/ file-url

 
シンタックスの説明

/force

(任意)削除を確認するプロンプトを抑制します。

/recursive

(任意)指定されたディレクトリおよびそのディレクトリに含まれるすべてのサブディレクトリおよびファイルを削除します。

filesystem :

フラッシュ ファイル システムのエイリアスです。

ローカル フラッシュ ファイル システムの場合
flash:

/ file-url

削除するパス(ディレクトリ)およびファイル名

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

/force キーワードを使用すると、削除プロセスにおいて削除の確認を要求するプロンプトが、最初の 1 回のみとなります。

/force キーワードを指定せずに /recursive キーワードを使用すると、ファイルごとに削除の確認を要求するプロンプトが表示されます。

プロンプト動作は、 file prompt グローバル コンフィギュレーション コマンドの設定によって異なります。デフォルトでは、スイッチは、破壊的ファイル操作に関する確認をプロンプトで要求します。このコマンドの詳細については、『 Cisco IOS Command Reference for Release 12.1 』を参照してください。

次の例では、新しいイメージのダウンロードが正常に終了したあとに、古いソフトウェア イメージを含むディレクトリを削除する方法を示します。

Switch# delete/force/recursive flash:/old-image
 

ディレクトリが削除されたかどうかを確認するには、 dir filesystem: イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

archive download-sw

新しいイメージをスイッチにダウンロードし、既存のイメージを上書きまたは維持します。

deny(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの一致に基づいて Address Resolution Protocol(ARP; アドレス解決プロトコル)パケットを拒否するには、 deny ARP アクセス リスト コンフィギュレーション コマンドを使用します。アクセス リストから指定された Access Control Entry(ACE; アクセス制御エントリ)を削除する場合は、このコマンドの no 形式を使用します。

deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

no deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

このコマンドは、スイッチが IP サービス イメージ(従来の Enhanced Multilayer Image [EMI])を稼働している場合にのみ利用できます。

 
シンタックスの説明

request

(任意)ARP 要求との一致を定義します。request を指定しない場合は、すべての ARP パケットに対して照合が行われます。

ip

送信側 IP アドレスを指定します。

any

すべての IP アドレスまたは MAC(メディア アクセス制御)アドレスを拒否します。

host sender-ip

指定された送信側 IP アドレスを拒否します。

sender-ip sender-ip-mask

指定された範囲の送信側 IP アドレスを拒否します。

mac

送信側 MAC アドレスを拒否します。

host sender-mac

特定の送信側 MAC アドレスを拒否します。

sender-mac sender-mac-mask

指定された範囲の送信側 MAC アドレスを拒否します。

response ip

ARP 応答の IP アドレス値を定義します。

host target-ip

指定されたターゲット IP アドレスを拒否します。

target-ip target-ip-mask

指定された範囲のターゲット IP アドレスを拒否します。

mac

ARP 応答の MAC アドレス値を拒否します。

host target-mac

指定されたターゲット MAC アドレスを拒否します。

target-mac target-mac-mask

指定された範囲のターゲット MAC アドレスを拒否します。

log

(任意)ACE と一致するパケットを記録します。

 
デフォルト

デフォルト設定はありません。ただし、ARP アクセス リストの末尾に暗黙の deny ip any mac any コマンドがあります。

 
コマンド モード

ARP アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

deny 句を追加すると、一致条件に基づいて ARP パケットを廃棄できます。

次の例では、ARP アクセス リストを定義し、IP アドレスが 1.1.1.1 で MAC アドレスが 0000.0000.abcd のホストからの ARP 要求と ARP 応答の両方を拒否する方法を示します。

Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# deny ip host 1.1.1.1 mac host 0000.0000.abcd
Switch(config-arp-nacl)# end
 

設定を確認するには、 show arp access-list イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP ACL を定義します。

ip arp inspection filter vlan

スタティック IP アドレスで設定されたホストからの ARP 要求および応答を許可します。

permit(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの一致に基づいて ARP パケットを許可します。

show arp access-list

ARP アクセス リストに関する詳細を表示します。

deny(IPv6 アクセス リスト コンフィギュレーション)

IPv6 アクセス リストに拒否条件を設定するには、IPv6アクセス リスト コンフィギュレーション モードで deny コマンドを使用します。 拒否条件を削除する場合は、このコマンドの no 形式を使用します。

deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

no deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

Internet Control Message Protocol(ICMP)

deny icmp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ icmp-type [ icmp-code ] | icmp-message ] [ dscp value ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

Transmission Control Protocol(TCP; 伝送制御プロトコル)

deny tcp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ ack ] [ dscp value ] [ established ] [ fin ] [ log ] [ log-input ] [ neq { port | protocol }] [ psh ] [ range { port | protocol }] [ rst ] [ sequence value ] [ syn ] [ time-range name ] [ urg ]

User Datagram Protocol(UDP)

deny udp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ log ] [ log-input ] [ neq { port | protocol }] [ range { port | protocol }] [ sequence value ] [ time-range name ]


) このコマンドは、スイッチがアドバンスト IP サービス イメージを稼働し、スイッチ上にデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にのみ利用できます。


 
シンタックスの説明

protocol

インターネット プロトコルの名前または番号。 ahp esp icmp ipv6 pcp sctp tcp 、または udp キーワードの 1 つ、あるいは IPv6 プロトコル番号を表す 0 ~ 255 の整数です。

source-ipv6-prefix / prefix-
length

拒否条件を設定する送信元 IPv6 ネットワークまたはネットワークのクラス。

この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。


) CLI ヘルプでは/0 ~/128 のプレフィクス長が表示されますが、スイッチは集約可能なグローバル ユニキャストおよびリンク ローカル ホスト アドレスの/0 ~/64 のプレフィクス、および Extended Universal Identifier(EUI)ベースの/128 プレフィクスに対してのみ IPv6 アドレス照合をサポートします。


any

IPv6 プレフィクス ::/0 の省略形

host source-ipv6-address

拒否条件を設定する送信元 IPv6 ホスト アドレス。

この source-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

operator [ port-number ]

(任意)指定のプロトコルの送信元または宛先ポートを比較する演算子を指定します。演算子は、 lt (less than:未満)、 gt (greater than:より大きい)、 eq (equal:一致)、 neq (not equal:不一致)、 range (inclusive range:包含範囲)です。

source-ipv6-prefix / prefix-length 引数の後ろに演算子が置かれた場合、送信元ポートと一致する必要があります。

destination-ipv6-prefix/prefix-length 引数の後ろに演算子が置かれた場合、宛先ポートと一致する必要があります。

range 演算子には 2 つのポート番号が必要です。他の演算子は 1 つのポート番号が必要です。

任意の port-number 引数は 10 進数、または TCP あるいは UDP ポートの名前です。ポート番号の範囲は 0 ~ 65535 です。TCP ポート名は TCP をフィルタリングする場合にのみ使用できます。UDP ポート名は UDP をフィルタリングする場合にのみ使用できます。

destination-ipv6-prefix /
prefix-length

拒否条件を設定する宛先 IPv6 ネットワークまたはネットワークのクラス。

この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。


) CLI ヘルプでは/0 ~/128 のプレフィクス長が表示されますが、スイッチは集約可能なグローバル ユニキャストおよびリンク ローカル ホスト アドレスの/0 ~/64 のプレフィクス、および EUI ベースの/128 プレフィクスに対してのみ IPv6 アドレス照合をサポートします。


host destination-ipv6-address

拒否条件を設定する宛先 IPv6 ホスト アドレス。

この destination-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

dscp value

(任意)各 IPv6 パケット ヘッダーのトラフィック クラス フィールドのトラフィック クラス値と Differentiated Services Code Point(DSCP)値を照合します。指定できる範囲は 0 ~ 63 です。

fragments

(任意)フラグメント拡張ヘッダーに 0 以外のフラグメント オフセットが含まれる場合、非初期フラグメント パケットを照合します。プロトコルが ipv6 operator [ port-number ] 引数が指定されていない場合にのみ、 fragments キーワードは任意で指定できます。

log

(任意)エントリと一致するパケットに関する情報ロギング メッセージをコンソールに送信します(コンソールに送信するメッセージのレベルは logging console コマンドで制御します)。

メッセージには、アクセス リスト名、シーケンス番号、パケットが拒否されたかどうか、プロトコル(TCP、UDP、ICMPまたは番号のいずれか)、適正な場合には送信元/宛先アドレス、送信元/宛先ポート番号が含まれます。メッセージは、一致した最初のパケットに対して生成され、その後、5 分間隔で拒否されたパケット数を含めて生成されます。


) ロギングはポート ACL ではサポートされません。


log-input

(任意) log キーワードと同じ機能を提供します(ただし、ロギング メッセージには受信インターフェイスも表示されます)。

sequence value

(任意)アクセス リスト ステートメントのシーケンス番号を指定します。指定できる範囲は 1 ~ 4294967295 です。

time-range name

(任意)拒否ステートメントに適用する時間範囲を指定します。時間範囲の名前と制限事項は、 time-range コマンドと、 absolute または periodic コマンドによってそれぞれ指定します。

icmp-type

(任意)ICMP パケットのフィルタリングに ICMP メッセージ タイプを指定します。ICMP パケットは ICMP メッセージ タイプによってフィルタリングできます。メッセージ タイプの番号は 0 ~ 255 です。

icmp-code

(任意)ICMP パケットのフィルタリングに ICMP メッセージ コードを指定します。ICMP メッセージ タイプによってフィルタリングされる ICMP パケットは、ICMP メッセージ コードによってもフィルタリングできます。メッセージ コードの番号は 0 ~ 255 です。

icmp-message

(任意)ICMP パケットのフィルタリングに ICMP メッセージ名を指定します。ICMP パケットは、ICMP メッセージ名、または ICMP メッセージ タイプおよびコードによってフィルタリングできます。使用可能な名前については、「使用上のガイドライン」を参照してください。

ack

(任意)TCP プロトコルの場合の ACK ビット設定

established

(任意)TCP プロトコル専用です。これは接続が確立されていることを意味します。TCP データグラムに ACK または RST ビットが設定されている場合、照合が行われます。接続するための初期 TCP データグラムの場合には照合は行われません。

fin

(任意)TCP プロトコルの場合の FIN ビット設定。これ以上、送信元からのデータはありません。

neq { port | protocol }

(任意)指定のポート番号上にないパケットのみを照合します。

psh

(任意)TCP プロトコルの場合の PSH ビット セット設定

range { port | protocol }

(任意)ポート番号範囲のパケットのみを照合します。

rst

(任意)TCP プロトコルの場合の RST ビット設定

syn

(任意)TCP プロトコルの場合の SYN ビット設定

urg

(任意)TCP プロトコルの場合の URG ビット設定


flow-labelrouting、および undetermined-transport キーワードはコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。


 
デフォルト

IPv6 アクセス リストは定義されていません。

 
コマンド モード

IPv6 アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

deny (IPv6 アクセス リスト コンフィギュレーション モード) コマンドは、IPv6 固有である点を除き、 deny (IPv4 アクセス リスト コンフィギュレーション モード)コマンドと類似しています。

IPv6 アクセス リスト コンフィギュレーション モードを開始し、パケットがアクセス リストを通過する条件を定義するには、 ipv6 access-list コマンドの後ろに deny (IPv6) コマンドを使用します。

protocol 引数に IPv6 を指定すると、パケットの IPv6 ヘッダーに対して照合を行います。

デフォルトでは、アクセス リストの最初のステートメントは 10 で、その次のステートメントからは 10 ずつ増加します。

リスト全体を再入力しないで、 permit deny 、または remark ステートメントを既存のアクセス リストに追加できます。リストの最後以外の場所に新しいステートメントを追加するには、挿入する場所を示す、既存の 2 つのエントリ番号の間にある適切なエントリ番号を持った新しいステートメントを作成します。


) 各 IPv6 ACL には最後の一致条件として、暗黙の permit icmp any any nd-napermit icmp any any nd-ns、および deny ipv6 any any ステートメントがあります。このうちの 2 つの permit 条件は、 ICMPv6 近隣探索を許可します。ICMPv6 近隣探索を許可しないで icmp any any nd-na または icmp any any nd-ns を拒否するには、明示的な拒否エントリが ACL 内にある必要があります。暗黙的な deny ipv6 any any ステートメントを有効にするには、IPv6 ACL に 1 つ以上のエントリを含める必要があります。

IPv6 近隣探索プロセスでは、IPv6 ネットワーク レイヤ サービスを使用します。したがってデフォルトでは、IPv6 ACL により、IPv6 近隣探索パケットのインターフェイス上での送受信が暗黙的に許可されます。IPv4 では、IPv6 近隣探査プロセスと同等の Address Resolution Protocol(ARP; アドレス解決プロトコル)は、別のデータリンク レイヤ プロトコルを使用します。したがってデフォルトでは、IPv4 ACL により、ARP パケットのインターフェイス上での送受信が暗黙的に許可されます。


source-ipv6-prefix / prefix-length destination-ipv6-prefix / prefix-length の両方の引数をトラフィック フィルタリングに使用します(送信元プレフィクスはトラフィックの送信元に基づいて、宛先プレフィクスはトラフィックの宛先に基づいてトラフィックをフィルタリングします)。

スイッチは集約可能なグローバル ユニキャストおよびリンク ローカル ホスト アドレスの/0 ~/64 のプレフィクスと EUI ベースの/128 プレフィクスのみをサポートします。

プロトコルが ipv6 operator [ port-number ] 引数が指定されていない場合にのみ、 fragments キーワードを任意で指定できます。

次に、ICMP メッセージ名を表示します。

 

beyond-scope

destination-unreachable

echo-reply

echo-request

header

hop-limit

mld-query

mld-reduction

mld-report

nd-na

nd-ns

next-header

no-admin

no-route

packet-too-big

parameter-option

parameter-problem

port-unreachable

reassembly-timeout

renum-command

renum-result

renum-seq-number

router-advertisement

router-renumbering

router-solicitation

time-exceeded

unreachable

次の例では、CISCO という名の IPv6 アクセス リストを設定し、そのアクセス リストをレイヤ 3 インターフェイス上の発信トラフィックに適用する方法を示します。リストの最初の拒否エントリは、5000 より大きい宛先 TCP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。リストの 2 番めの拒否エントリは、5000 未満の送信元 UDP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。また、この 2 番めの拒否エントリは、すべての一致をコンソールに表示します。リストの最初の許可エントリは、すべての ICMP パケットのインターフェイスでの送信を許可します。リストの2 番めの許可エントリは、その他すべてのトラフィックのインターフェイスでの送信を許可します。すべてのパケットを拒否する暗黙の条件が各 IPv6 アクセス リストの末尾にあるので、この 2 番めの許可エントリが必要となります。

Switch(config)# ipv6 access-list CISCO
Switch(config-ipv6-acl)# deny tcp any any gt 5000
Switch config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log
Switch(config-ipv6-acl)# permit icmp any any
Switch(config-ipv6-acl)# permit any any
Switch(config-ipv6-acl)# exit
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# no switchport
Switch(config-if)# ipv6 address 2001::/64 eui-64
Switch(config-if)# ipv6 traffic-filter CISCO out

 
関連コマンド

コマンド
説明

ipv6 access-list

IPv6 アクセス リストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。

ipv6 traffic-filter

インターフェイス上の着信または発信 IPv6 トラフィックをフィルタリングします。

permit(IPv6 アクセス リスト コンフィギュレーション)

IPv6 アクセス リストに許可条件を設定します。

show ipv6 access-list

現在の IPv6 アクセス リストすべての内容を表示します。

deny(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に、非 IP トラフィックの転送を回避するには、 deny MAC(メディア アクセス制御)アクセス リスト コンフィギュレーション コマンドを使用します。名前付き MAC アクセス リストから拒否条件を削除する場合は、このコマンドの no 形式を使用します。

{ deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask |mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

no { deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

 
シンタックスの説明

any

あらゆる送信元または宛先 MAC アドレスを拒否するために指定するキーワード

host src MAC-addr |
src-MAC-addr mask

ホスト MAC アドレスおよび任意のサブネット マスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr |
dst-MAC-addr mask

宛先 MAC アドレスおよびオプションのサブネット マスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)Ethernet II または SNAP カプセル化パケットの Ethertype 番号で、パケットのプロトコルを識別します。

指定できる type の範囲は 0 ~ 65535 です(16 進数)。

mask は、照合の前に Ethertype に適用される don’t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を選択します。

amber

(任意)EtherType DEC-Amber を選択します。

cos cos

(任意)0 ~ 7 の Class of Service(CoS; サービス クラス)値を選択し、プライオリティを設定します。CoS のフィルタリングはハードウェアでのみ実行可能です。 cos オプションが設定されると、警告メッセージが表示されます。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニングツリーを選択します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを選択します。

diagnostic

(任意)EtherType DEC-Diagnostic を選択します。

dsm

(任意)EtherType DEC-DSM を選択します。

etype-6000

(任意)EtherType 0x6000 を選択します。

etype-8042

(任意)EtherType 0x8042 を選択します。

lat

(任意)EtherType DEC-LAT を選択します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を選択します。

lsap lsap-number mask

(任意)802.2 カプセル化パケットの LSAP 番号(0 ~ 65535)で、パケットのプロトコルを識別します。

mask は、照合の前に LSAP 番号に適用される don’t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を選択します。

mop-dump

(任意)EtherType DEC-MOP Dump を選択します。

msdos

(任意)EtherType DEC-MSDOS を選択します。

mumps

(任意)EtherType DEC-MUMPS を選択します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NETBIOS)を選択します。

vines-echo

(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)Echo を選択します。

vines-ip

(任意)EtherType VINES IP を選択します。

xns-idp

(任意)10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems(XNS)プロトコル スイート(0 ~ 65535)を選択します。


appletalk は、コマンドラインのヘルプ ストリングには表示されますが、一致条件としてサポートされていません。


IPX トラフィックをフィルタリングする場合、使用される IPX のカプセル化タイプに応じて、 type mask または lsap lsap mask キーワードを使用します。 表2-4 に、Novell 用語および Cisco IOS 用語で指定の IPX のカプセル化タイプのフィルタ条件を示します。

 

表2-4 IPX のフィルタリング条件

IPX カプセル化タイプ
フィルタ条件
Cisco IOS 名
Novell 名

arpa

Ethernet II

Ethertype 0x8137

snap

Ethernet-snap

Ethertype 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

 
デフォルト

このコマンドには、デフォルトはありません。ただし、名前付き MAC Access Contorol List(ACL; アクセス制御リスト)のデフォルト アクションは「拒否」です。

 
コマンド モード

MAC アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

mac access-list extended グローバル コンフィギュレーション コマンドを使用して、MAC アクセス リスト コンフィギュレーション モードを開始します。

host キーワードを使用した場合、アドレス マスクを入力できません。 host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。

Access Control Entry(ACE; アクセス制御エントリ)を ACL に追加しても、リストの最後には暗黙の deny - any - any 条件が存在します。すなわち、すべての条件に一致しない場合でも、パケットは拒否されます。ただし、最初の ACE が追加される前は、リストはすべてのパケットを許可します。

名前付き MAC 拡張アクセス リストに関する詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、MAC アドレス 00c0.00a0.03fa へ送信されるあらゆる送信元の NETBIOS トラフィックを拒否するための名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。

Switch(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
 

次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。

Switch(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
 

次の例では、Ethertype 0x4321 のすべてのパケットが拒否されます。

Switch(config-ext-macl)# deny any any 0x4321 0
 

設定を確認するには、 show access-lists イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

mac access-list extended

非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。

permit(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に、非 IP トラフィックの転送を許可します。

show access-lists

スイッチに設定された ACL を表示します。

dot1x

IEEE 802.1x をグローバルにイネーブルにするには、 dot1x グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x { system-auth-control } | { guest-vlan supplicant }

no dot1x { system-auth-control } | { guest-vlan supplicant }

 
シンタックスの説明

system-auth-control

スイッチ上で IEEE 802.1x をグローバルにイネーブルにします。

guest-vlan supplicant

スイッチ上でオプションのゲスト VLAN(仮想 LAN)動作をグローバルにイネーブルにします。

 
デフォルト

IEEE 802.1x およびオプションのゲスト VLAN 動作はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(25)SE

guest-vlan supplicant キーワードが追加されました。

 
使用上のガイドライン

IEEE 802.1x をグローバルにイネーブルにする前に、Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)をイネーブルにし、認証方式のリストを指定する必要があります。方式のリストには、ユーザを認証するために使用する順番と認証方式が記載されています。

スイッチの IEEE 802.1x をグローバルにイネーブルする前に、IEEE 802.1x および EtherChannel が設定されているインターフェイスから EtherChannel の設定を削除してください。

EAP-Transparent LAN Services(TLS)および EAP-MD5 で IEEE 802.1x を認証する Cisco Access Control Server(ACS)アプリケーションが稼働する装置を使用している場合は、装置で ACS Version 3.2.1 以降が稼働していることを確認してください。

guest-vlan supplicant キーワードを使用して、スイッチ上でオプションの IEEE 802.1x ゲスト VLAN 動作をグローバルにイネーブルにできます。詳細については、 dot1x guest-vlan コマンドを参照してください。

次の例では、スイッチ上で IEEE 802.1x をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control
 

次の例では、スイッチ上でオプションのゲスト VLAN 動作をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x guest-vlan supplicant
 

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x guest-vlan

アクティブな VLAN を IEEE 802.1x のゲスト VLAN としてイネーブルにし、指定します。

dot1x port-control

ポートの許可ステートの手動制御をイネーブルにします。

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x auth-fail max-attempts

ポートが制限 VLAN(仮想 LAN)に移行する前に試行する最大認証回数を設定するには、 dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x auth-fail max-attempts max-attempts

no dot1x auth-fail max-attempts

 
シンタックスの説明

max-attempts

ポートが制限 VLANに移行する前に試行できる最大認証回数を指定します。指定できる範囲は 1 ~ 3 です。デフォルト値は 3 です。

 
デフォルト

デフォルト値は 3 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

VLAN によって許可された最大認証試行回数を再設定する場合、その変更は再認証タイマーが満了したあとに有効になります。

次の例では、ポートがポート 3 上の制限 VLANに移行する前に試行できる最大認証回数を 2 に設定する方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x auth-fail max-attempts 2
Switch(config-if)# end
Switch(config)# end
Switch#
 

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x auth-fail vlan [ vlan id ]

任意の制限 VLAN 機能をイネーブルにします。

dot1x max-reauth-req [ count]

ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再始動する最大回数を設定します。

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x auth-fail vlan

ポートで制限 VLAN(仮想 LAN)をイネーブルにするには、 dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x auth-fail vlan vlan-id

no dot1x auth-fail vlan vlan-id

 
シンタックスの説明

vlan-id

VLAN を 1 ~ 4094 の範囲で指定します。

 
デフォルト

制限 VLAN は設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

設定されたポート上に制限 VLAN を次のように設定できます。

シングルホスト(デフォルト)モード

認証用自動モード

再認証をイネーブルにする必要があります。制限 VLAN のポートがディセーブルの場合、再認証要求を受信しません。再認証プロセスを開始するには、制限 VLAN はポートからリンクダウン イベントまたはExtensible Authentication Protocol(EAP)ログオフ イベントを受信する必要があります。ホストがハブ経由で接続されている場合、ホストが切断されているとポートはリンクダウン イベントを受信しません。その結果、次の再認証試行が行われるまで新しいホストを検出しません。

サプリカントが認証に失敗すると、ポートは制限 VLAN に移行し、EAP 認証成功 メッセージがサプリカントに送信されます。実際の認証失敗はサプリカントに通知されないので、この制限ネットワーク アクセスに混乱が発生します。EAP 認証成功メッセージは、次の理由で送信されます。

EAP 認証成功メッセージが送信されないと、サプリカントは EAP 開始メッセージを送信することで 60 秒毎(デフォルト)に認証を試行します。

一部のホスト(たとえば、Windows XP を稼働する装置)は、EAP 認証成功メッセージを受信するまで、DHCP を実行できません。

サプリカントはオーセンティケータから EAP 認証成功メッセージを受信したあと、適切でないユーザ名とパスワードの組み合わせをキャッシュし、再認証を試行するたびにその情報を使用します。サプリカントが正しいユーザ名とパスワードの組み合わせを送信するまで、ポートは制限 VLAN に留まります。

レイヤ 3 ポートに使用する内部 VLAN は、制限 VLAN として設定できません。

VLAN を、制限 VLAN と音声 VLAN の両方としては設定できません。このような設定をした場合、Syslog メッセージが生成されます。

制限 VLAN ポートが無許可ステートに移行した場合、認証プロセスが再始動します。サプリカントが認証プロセスに再び失敗した場合、オーセンティケータは held ステートで待機します。サプリカントが正しく再認証したあと、すべての IEEE 802.1x ポートは再初期化され、通常の IEEE 802.1x ポートとして処理されます。

制限 VLAN を別の VLAN として再設定した場合、制限 VLAN 内のポートも移行し、ポートは現在の許可ステートになります。

制限 VLAN をシャットダウンまたは VLAN データベースから削除する場合、制限 VLAN のポートはただちに無許可ステートに移行し、認証プロセスが再始動します。制限 VLAN 設定がまだ存在するので、オーセンティケータは held ステートで待機しません。制限 VLAN が非アクティブの間、制限 VLAN がアクティブになったときにポートをただちに制限 VLAN に移行させるために、すべての認証試行はカウントされます。

制限 VLAN はシングルホスト モード(デフォルト ポート モード)でのみサポートされます。したがって、ポートが制限 VLAN に移行すると、サプリカントの MAC(メディア アクセス制御)アドレスは MAC アドレス テーブルに追加され、ポートに現れるその他の MAC アドレスはセキュリティ違反として処理されます。

次の例では、ポート 1 に制限 VLAN を設定する方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x auth-fail vlan 40
Switch(config-if)# end
Switch(config)# end
Switch#
 

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x auth-fail max-attempts [ max-attempts]

サプリカントを制限 VLAN に割り当てる前に、試行可能な認証回数を設定します。

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x control-direction

ポート制御を単一方向制御または双方向制御に変更するには、 dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x control-direction { in | both }

no dot1x control-direction { in | both }

 
シンタックスの説明

in

ポートの単一方向制御をイネーブルにします。

both

ポートの双方向制御をイネーブルにします。

 
デフォルト

ポートは双方向モードに設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEC

このコマンドが導入されました。

 
使用上のガイドライン

キーワード both を使用した場合と、このコマンドの no 形式を使用した場合の処理内容は同じです。

キーワード both またはこのコマンドの no 形式を使用すると、ポートの設定が、デフォルト設定である双方向に変わります。

次の例では、単一方向制御をイネーブルにする方法を示します。

Switch(config-if)# dot1x control-direction in
 

次の例では、双方向制御をイネーブルにする方法を示します。

Switch(config-if)# dot1x control-direction both
Switch(config-if)# no dot1x control-direction
 

設定を確認するには、 show dot1x all イネーブル EXEC コマンドを入力します。

show dot1x all イネーブル EXEC コマンドの出力内容は、ポート名とポートの状態以外は、どのスイッチでも同じです。ホストがポートに接続されてはいても認証がまだ行われていない場合、表示は以下のようになります。

Supplicant MAC 0002.b39a.9275
AuthSM State = CONNECTING
BendSM State = IDLE
PortStatus = UNAUTHORIZED
 

dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力して単一方向制御をイネーブルにした場合、 show dot1x all コマンドの出力内容は以下のようになります。

ControlDirection = In
 

dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力しても、設定の競合によりポートでこのモードがサポートできない場合、 show dot1x all コマンドの出力内容は以下のようになります。

ControlDirection = In (Disabled due to port settings)

 
関連コマンド

コマンド
説明

show dot1x all [ interface interface-id ]

(任意)指定されたインターフェイスのポートの制御方向設定状態を表示します。

dot1x critical

アクセス不能認証バイパス機能をイネーブルにするには、 dot1x critical インターフェイス コンフィギュレーション コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

dot1x critical

no dot1x critical

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

アクセス不能認証バイパス機能はディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

この機能は、シングルホスト モードの IEEE 802.1x ポートでのみサポートされます。クリティカル ポートとしてポートを設定しようとしたり、ホスト モードをマルチホスト モードに変更しようとしたりすると、次のメッセージが表示されます。

%Command rejected:Critical ports are only allowed in single-host mode
 

クライアントで Windows XP を稼働し、クライアントが接続されているクリティカル ポートが critical-authentication ステートである場合、Windows XP はインターフェイスが認証されていないことを報告します。

Windows XP クライアントに DHCP が設定され、DHCP サーバからのIPアドレスがある場合、クリティカル ポートで EAP 認証成功メッセージを受信しても DHCP 設定プロセスを再初期化しません。

アクセス不能認証バイパス機能および制限 VLAN を IEEE 802.1x ポート上に設定できます。スイッチが制限 VLAN のクリティカル ポートの再認証を試行し、すべての RADIUS サーバを使用できない場合、スイッチはポート ステートを critical authentication ステートに変更して制限 VLAN に留まります。

アクセス不能認証バイパス機能とポート セキュリティは、同じスイッチ ポートに設定できます。

次の例では、アクセス不能認証バイパス機能をポート 1 上でイネーブルにする方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x critical
Switch(config-if)# end
Switch(config)# end
Switch#
 

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x default

IEEE 802.1x のパラメータをデフォルト値にリセットするには、 dot1x default インターフェイス コンフィギュレーション コマンドを使用します。

dot1x default

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト値は次のとおりです。

各ポートの IEEE 802.1x プロトコルのイネーブル ステートはディセーブルです(強制許可)。

再認証の試行間隔の秒数は 3600 秒です。

定期的な再認証はディセーブルです。

待機時間は 60 秒です。

再伝送時間は 30 秒です。

最大再伝送回数は 2 回です。

ホスト モードはシングル ホストです。

クライアントのタイムアウト時間は 30 秒です。

認証サーバのタイムアウト時間は 30 秒です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

次の例では、ポート上の IEEE 802.1x パラメータをリセットする方法を示します。

Switch(config-if)# dot1x default
 

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x guest-vlan

アクティブな VLAN(仮想 LAN)を IEEE 802.1x のゲスト VLAN として指定するには、 dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x guest-vlan vlan-id

no dot1x guest-vlan

 
シンタックスの説明

vlan-id

アクティブな VLAN を IEEE 802.1x のゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

ゲスト VLAN は設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(25)SE

デフォルトのゲスト VLAN 動作を変更するために、このコマンドが変更されました。

12.2(25)SEC

使用上のガイドラインが変更されました。

 
使用上のガイドライン

次のスイッチ ポートのいずれかでゲスト VLAN を設定できます。

非プライベート VLAN に属するスタティック アクセス ポート。

セカンダリ プライベート VLAN に属するプライベート VLAN ポート。スイッチ ポートに接続されているホストは、状態の検証の成否にかかわらず、すべてプライベート VLAN に割り当てられます。スイッチは、スイッチでのプライマリ プライベート VLAN とセカンダリ プライベート VLAN の関連付けに基づき、プライマリ プライベート VLAN を判断します。

スイッチの各 IEEE 802.1x ポートには、ゲスト VLAN を設定して、現在 IEEE 802.1x を稼働していないクライアント(スイッチに接続された装置またはワークステーション)に、限定されたサービスを提供できます。このようなユーザは、IEEE 802.1x 認証用にシステムをアップグレード中の可能性があり、また、Windows 98 システムなどの一部のホストは IEEE 802.1x 対応でない可能性があります。

IEEE 802.1x ポートでゲスト VLAN をイネーブルにすると、スイッチが Extensible Authentication Protocol over LAN(EAPOL)-Request/Identity フレームの応答を受信しない場合、または EAPOL パケットがクライアントによって送信されない場合に、スイッチがクライアントをゲスト VLAN に割り当てます。

Cisco IOS Release 12.2(25)SE より前のリリースでは、スイッチは EAPOL パケット履歴を維持せず、インターフェイスで EAPOL パケットが検出されたかどうかに関係なく、認証に失敗したクライアントがゲスト VLAN にアクセスできました。 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用して、この任意の動作をイネーブルにできます。

Cisco IOS Release 12.2(25)SE 以降では、スイッチは EAPOL パケット履歴を維持します。リンクがまだ有効なときにインターフェイスで別の EAPOL パケットが検出されると、ゲスト VLAN 機能がディセーブルになります。ポートがすでにゲスト VLAN ステートになっている場合、ポートは無許可ステートに戻り、認証が再始動されます。リンクが無効になると、EAPOL 履歴がリセットされます。

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを入力すると、この動作をディセーブルにできます。

スイッチ ポートがゲスト VLAN に移行されると、無制限の IEEE 802.1x 非対応クライアントのアクセスが許可されるようになります。ゲスト VLAN が設定されている同一のポートに IEEE 802.1x 対応クライアントが加わると、ポートがユーザ設定のアクセス VLAN で無許可ステートに置かれ、認証が再始動します。

ゲスト VLAN は、シングルホスト モードまたはマルチホスト モードの IEEE 802.1x ポート上でサポートされます。

Remote Switched Port Analyzer(RSPAN; リモート スイッチド ポート アナライザ)VLAN、プライマリ プライベート VLAN、または音声 VLAN 以外のアクティブなすべての VLAN は、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN の機能は、内部 VLAN(ルーテッド ポート)またはトランク ポート上ではサポートされません。サポートされるのはアクセス ポートのみです。

DHCP クライアントが接続されている IEEE 802.1x ポートのゲスト VLAN を設定したあと、DHCP サーバからホスト IP アドレスを取得する必要がある場合があります。クライアント上の DHCP プロセスが時間切れとなり、DHCP サーバからホスト IP アドレスを取得しようとする前にスイッチ上の IEEE 802.1x 認証プロセスを再始動する設定を変更できます。IEEE 802.1x 認証プロセスの設定を減らします( dot1x timeout quiet-period および dot1x timeout tx-period インターフェイス コンフィギュレーション コマンド)。設定を減らす量は、接続した IEEE 802.1x クライアント タイプによって異なります。

次の例では、VLAN 5 を IEEE 802.1x のゲスト VLAN として指定する方法を示します。

Switch(config-if)# dot1x guest-vlan 5
 

次の例では、スイッチ上の待機時間を 3 に設定し、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を 15 に設定し、IEEE 802.1x ポートが DHCP クライアントに接続されている場合に VLAN 2 を IEEE 802.1x ゲスト VLAN としてイネーブルにする方法を示します。

Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2
 

次の例では、オプションのゲスト VLAN 動作をイネーブルにし、VLAN 5 を IEEE 802.1x のゲスト VLAN として指定する方法を示します。

Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x guest-vlan 5
 

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x

オプションのゲスト VLAN サプリカント機能をイネーブルにします。

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x host-mode

dot1x port-control インターフェイス コンフィギュレーション コマンドを auto に設定された IEEE 802.1x 許可ポート上で、ホスト(クライアント)数を 1 つ、または複数に設定するには、 dot1x host-mode インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x host-mode { multi-host | single-host }

no dot1x host-mode [ multi-host | single-host ]

 
シンタックスの説明

multi-host

スイッチ上でマルチホスト モードをイネーブルにします。

single-host

スイッチ上でシングルホスト モードをイネーブルにします。

 
デフォルト

デフォルト設定は、シングルホスト モードです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

IEEE 802.1x 対応のポートを単一のクライアントに制限する場合、または IEEE 802.1x 対応ポートに複数のクライアントを適用する場合にこのコマンドを使用します。マルチホスト モードでは、接続されたホストのうち 1 つが許可されれば、すべてのホストのネットワーク アクセスも許可されます。ポートが無許可ステートになった場合(再認証が失敗した場合、または Extensible Authentication Protocol over LAN [EAPOL]-Logoff メッセージを受信した場合)には、接続されたすべてのクライアントがネットワーク アクセスを拒否されます。

このコマンドを入力する前に、使用するポート上で dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認してください。

次の例では、IEEE 802.1x をグローバルにイネーブルにする方法、ポート上で IEEE 802.1x をイネーブルにする方法、およびマルチホスト モードをイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
 

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x initialize

ポート上で新しく認証セッションを初期化する前に、指定の IEEE 802.1x 対応ポートを、手動で無許可ステートに戻すには、 dot1x initialize イネーブル EXEC コマンドを使用します。

dot1x initialize interface interface-id

 
シンタックスの説明

interface interface-id

初期化されるポートです。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを使用し、IEEE 802.1x の状態にあるマシンを初期化することで、認証環境を新規に設定します。このコマンドを入力したあと、ポートの状態は無許可になります。

このコマンドに no 形式はありません。

次の例では、ポートを手動で初期化する方法を示します。

Switch# dot1x initialize interface gigabitethernet0/2
 

無許可のポートの状態を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x max-reauth-req

ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再始動する最大回数を設定するには、 dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max -reauth -req count

no dot1x max -reauth -req

 
シンタックスの説明

count

ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再始動する回数。指定できる範囲は 0 ~ 10 です。

 
デフォルト

デフォルトは 2 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(18)SE

このコマンドが導入されました。

12.2(25)SEC

count の指定可能範囲が変更されました。

 
使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

次の例では、ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再始動する回数を 4 に設定する方法を示します。

Switch(config-if)# dot1x max-reauth-req 4
 

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x max-req

スイッチが認証プロセスを再始動する前に(応答を受信しないことが前提)、EAP フレームを認証サーバに送信する最大回数を設定します。

dot1x timeout tx-period

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x max-req

スイッチが認証プロセスを再始動する前に(応答を受信しないことが前提)、認証サーバから Extensible Authentication Protocol(EAP)フレームをクライアントに送信する最大回数を設定するには、 dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max-req count

no dot1x max-req

 
シンタックスの説明

count

スイッチが認証プロセスを再始動する前に、認証サーバから EAP フレームを再送信する回数。指定できる範囲は 1 ~ 10 です。

 
デフォルト

デフォルトは 2 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

次の例では、スイッチが認証プロセスを再始動する前に、認証サーバからクライアントへ EAP フレームを送信する回数として 5 を設定する方法を示します。

Switch(config-if)# dot1x max-req 5
 

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x timeout tx-period

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x multiple-hosts

このコマンドは現在使用されていません。

過去のリリースで、dot1x multiple-hosts インターフェイス コンフィギュレーション コマンドは、IEEE 802.1x の許可ポートで複数のホスト(クライアント)を設定するために使用されていました。

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
関連コマンド

コマンド
説明

dot1x host-mode

ポート上で、IEEE 802.1x ホストのモードを設定します。

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。

dot1x port-control

ポートの許可ステートを手動で制御するには、 dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x port-control { auto | force-authorized | force-unauthorized }

no dot1x port-control

 
シンタックスの説明

auto

ポート上で IEEE 802.1x 認証をイネーブルにし、スイッチとクライアントの間の IEEE 802.1x 認証交換に基づきポートを許可または無許可ステートに移行させます。

force-authorized

ポート上で IEEE 802.1x 認証をディセーブルにし、認証情報の交換なしで、ポートを許可ステートに移行させます。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。

force-unauthorized

クライアントからの認証試行をすべて無視し、ポートを強制的に無許可ステートに移行させることによって、このポート経由のすべてのアクセスを拒否します。スイッチはポートを通してクライアントに認証サービスを提供できません。

 
デフォルト

デフォルトの設定は force-authorized です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

指定のポート上で IEEE 802.1x をイネーブルにする前に、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用し、スイッチ上の IEEE 802.1x をグローバルにイネーブルにする必要があります。

IEEE 802.1x プロトコルは、レイヤ 2 のスタティック アクセス ポート、音声 VLAN(仮想 LAN)のポート、およびレイヤ 3 のルーテッド ポート上でサポートされます。

ポートが、次の項目の 1 つとして設定されていない場合に auto キーワードを使用できます。

トランク ポート ― トランク ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック ポート ― ダイナミック モードのポートは、ネイバとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック アクセス ポート ― ダイナミック アクセス(VLAN Query Protocol [VQP])ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート ― IEEE 802.1x のポートとしてアクティブ、またはまだアクティブになっていない EtherChannel のメンバーであるポートを設定しないでください。EtherChannel ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。


) Cisco IOS Release 12.2(20)SE より前のソフトウェア リリースで、まだアクティブになっていない EtherChannel のポートで IEEE 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。


Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および Remote SPAN(RSPAN; リモートSPAN)の宛先ポート ― SPAN または RSPAN の宛先ポート上の IEEE 802.1x をイネーブルにできます。ただし、SPAN または RSPAN の宛先としてポートが削除されないかぎり、IEEE 802.1x はディセーブルです。SPAN または RSPAN 送信元ポートでは IEEE 802.1x をイネーブルにできます。

スイッチ上で、IEEE 802.1x をグローバルにディセーブルにする場合、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。特定のポート上で、IEEE 802.1x をディセーブルにする場合、 no dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、ポートで IEEE 802.1x をイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x port-control auto
 

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x re-authenticate

指定の IEEE 802.1x 対応ポートの再認証を手動で開始するには、 dot1x re-authenticate イネーブル EXEC コマンドを使用します。

dot1x re-authenticate interface interface-id

 
シンタックスの説明

interface interface-id

再認証するインターフェイスのモジュール、およびポート番号

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを使用すれば、再認証(re-authperiod)および自動再認証の間に設定した秒数を待つことなくクライアントを再認証できます。

次の例では、ポートに接続された装置を手動で再認証する方法を示します。

Switch# dot1x re-authenticate interface gigabitethernet0/1

 
関連コマンド

コマンド
説明

dot1x reauthentication

クライアントの定期的再認証をイネーブルにします。

dot1x timeout reauth-period

再認証の間隔(秒)を指定します。

dot1x re-authentication

このコマンドは現在使用されていません。

過去のリリースで、 dot1x re-authentication グローバル コンフィギュレーション コマンドは、定期的な再認証の実行間隔を設定するのに使用されていました。

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
関連コマンド

コマンド
説明

dot1x reauthentication

再認証の間隔(秒)を指定します。

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。

dot1x reauthentication

定期的なクライアントの再認証をイネーブルにするには、 dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x reauthentication

no dot1x reauthentication

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

定期的な再認証はディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用して、定期的に再認証を行う間隔の時間数を設定します。

次の例では、クライアントの定期的な再認証をディセーブルにする方法を示します。

Switch(config-if)# no dot1x reauthentication
 

次の例では、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
 

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x re-authenticate

すべての IEEE 802.1x 対応ポートの再認証を手動で開始します。

dot1x timeout reauth-period

再認証の間隔(秒)を指定します。

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

dot1x timeout

IEEE 802.1x のタイマーを設定するには、 dot1x timeout インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x timeout { quiet-period seconds | reauth-period { seconds | server } | server-timeout seconds | supp-timeout seconds | tx-period seconds }

no dot1x timeout { quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }

 
シンタックスの説明

quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数。指定できる範囲は 1 ~ 65535 です。

reauth-period { seconds | server }

再認証の試行間隔(秒)を指定します。

キーワードの意味は次のとおりです。

seconds 1 ~ 65535 の間で秒数を設定します。デフォルトは 3600 秒です。

server ― Session-Timeout RADIUS 属性(Attribute[27])の値として秒数を設定します。

server-timeout seconds

認証サーバに対して、スイッチのパケット再送信を待機する秒数。指定できる範囲は 30 ~ 65535 です。

supp-timeout seconds

IEEE 802.1x クライアントに対して、スイッチのパケット再送信を待機する秒数。指定できる範囲は 30 ~ 65535 です。

tx-period seconds

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数。指定できる範囲は 5 ~ 65535 です。

 
デフォルト

デフォルトの設定は次のとおりです。

reauth-period は 3600 秒です。

quiet-period は 60 秒です。

tx-period は 5 秒です。

supp-timeout は 30 秒です。

server-timeout は 30 秒です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(20)SE

server-timeout supp-timeout 、および tx-period キーワードの範囲が変更されました。

12.2(25)SEC

tx-period キーワードの指定可能範囲が変更され、 reauth-period server キーワードが追加されました。

 
使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにしただけの場合、 dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、スイッチの動作に影響します。

待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

次の例では、定期的な再認証をイネーブルにし、再認証試行の間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
 

次の例では、定期的な再認証をイネーブルにし、Session-Timeout RADIUS 属性の値を再認証試行の間隔の秒数として指定する方法を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period server
 

次の例では、スイッチの待機時間を 30 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout quiet-period 30
 

次の例では、スイッチから認証サーバへの再送信時間として、45 秒に設定する方法を示します。

Switch(config)# dot1x timeout server-timeout 45
 

次の例では、EAP-Request フレームに対してスイッチからクライアントへの再送信時間に、45 秒を設定する方法を示します。

Switch(config-if)# dot1x timeout supp-timeout 45
 

次の例では、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout tx-period 60
 

設定を確認するには、 show dot1x イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x max-req

スイッチが、認証プロセスを再始動する前に、EAP-Request/Identity フレームを送信する最大回数を設定します。

dot1x reauthentication

クライアントの定期的再認証をイネーブルにします。

show dot1x

すべてのポートの IEEE 802.1x の状態を表示します。

duplex

ポートのデュプレックス動作モードを指定するには、 duplex インターフェイス コンフィギュレーション コマンドを使用します。ポートをデフォルト値に戻すには、このコマンドの no 形式を使用します。

duplex { auto | full | half }

no duplex

 
シンタックスの説明

auto

自動によるデュプレックス設定をイネーブルにします(接続された装置モードにより、ポートが自動的に全二重モードか半二重モードかを判断します)。

full

全二重モードをイネーブルにします。

half

半二重モードをイネーブルにします(10 または 100 Mbps で動作のインターフェイスのみ)。1,000 または 10,000 Mbps で動作のインターフェイスには、半二重モードを設定できません。

 
デフォルト

デフォルトは、ファスト イーサネットおよびギガビット イーサネット ポートでは auto です。

デフォルトは、100BASE- x (- x が -BX、-FX、-FX-FE、- LX の場合)SFP モジュールでは full です。

デュプレックス オプションは、1000BASE- x (- x が -BX、-CWDM、-LX、-SX、-ZX の場合)SFP モジュールではサポートされません。

スイッチでサポートされている SFP モジュールについては、製品リリース ノートを参照してください。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.1(20)SE

100BASE-FX SFP モジュールに対して half キーワードのサポートが追加されました。

 
使用上のガイドライン

ファスト イーサネット ポートでは、接続された装置がデュプレックス パラメータの自動ネゴシエーションを行わない場合にポートを auto に設定すると、 half を指定するのと同じ効果があります。

ギガビット イーサネット ポートでは、接続された装置がデュプレックス パラメータの自動ネゴシエーションを行わない場合にポートを auto に設定すると、 half を指定するのと同じ効果があります。


) デュプレックス モードが auto で、接続装置が半二重で動作している場合、ギガビット イーサネット インターフェイス上で半二重モードがサポートされます。ただし、ギガビット イーサネット インターフェイスには、半二重モードに設定できません。


一部のポートは、全二重または半二重に設定できます。このコマンドを使用できるかどうかは、スイッチが接続されている装置によって異なります。

回線の両端が自動ネゴシエーションをサポートしている場合、デフォルトの自動ネゴシエーションを使用することを強く推奨します。片方のインターフェイスが自動ネゴシエーションをサポートし、もう片方がサポートしていない場合、両方のインターフェイス上でデュプレックスと速度を設定し、サポートされている側で auto の設定を使用してください。

速度が auto に設定されている場合、スイッチはリンクの反対側の装置と速度設定についてネゴシエートし、速度をネゴシエートされた値に強制的に設定します。デュプレックス設定はリンクの両端での設定が引き継がれますが、これにより、デュプレックス設定に矛盾が生じることがあります。

Cisco IOS Release 12.2(20)SE1 から、速度が auto に設定されている場合に、デュプレックス設定を設定できるようになりました。


注意 インターフェイスの速度およびデュプレックス モードの設定を変更することで、再設定の間、インターフェイスのシャットダウンとインターフェイスの再イネーブル化が発生する場合があります。

スイッチの速度およびデュプレックスのパラメータの設定に関する注意事項は、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring Interface Characteristics」を参照してください。

次の例では、全二重で動作するようインターフェイスを設定する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# duplex full
 

設定を確認するには、 show interfaces イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces

スイッチのインターフェイスの設定を表示します。

speed

10/100 または 10/100/1000 Mbps インターフェイスの速度を設定します。

errdisable detect cause

特定の原因、またはすべての原因に対して、errdisable 検出をイネーブルにするには、 errdisable detect cause グローバル コンフィギュレーション コマンドを使用します。errdisable 検出の機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

errdisable detect cause { all | arp-inspection | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap }

no errdisable detect cause { all | arp-inspection | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | pagp-flap }

 
シンタックスの説明

all

すべての errdisable の原因に対して、エラー検出をイネーブルにします。

arp-inspection

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査のエラー検出をイネーブルにします。

dhcp-rate-limit

DHCP スヌーピングのエラー検出をイネーブルにします。

dtp-flap

Dynamic Trunking Protocol(DTP)フラップのエラー検出をイネーブルにします。

gbic-invalid

無効な GBIC(ギガビット インターフェイス コンバータ)モジュールに対して、エラー検出をイネーブルにします。


) Catalyst 3560 スイッチ上では、このエラーは無効な Small Form-factor Pluggable(SFP)モジュールであることを指します。


l2ptguard

レイヤ 2 プロトコル トンネルの errdisable 原因に対するエラー検出をイネーブルにします。

link-flap

リンクステートのフラップに対して、エラー検出をイネーブルにします。

loopback

検出されたループバックに対して、エラー検出をイネーブルにします。

pagp-flap

Port Aggregation Protocol(PAgP)フラップ errdisable の原因に対してエラー検出をイネーブルにします。

 
コマンドのデフォルト設定

検出はすべての原因に対してイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(20)SE

arp-inspection キーワードが追加されました。

12.2(25)SE

l2ptguard キーワードが追加されました。

 
使用上のガイドライン

原因( all dhcp-rate-limit など)は、errdisable ステートが発生した理由です。原因がインターフェイス上で検出された場合、インターフェイスは errdisable ステートとなり、リンクダウン ステートに類似した動作ステートとなります。

この原因に対して、 errdisable recovery グローバル コンフィギュレーション コマンドを入力し、原因の回復メカニズムを設定した場合、インターフェイスは errdisable ステートから抜け出し、すべての原因がタイムアウトになったときに動作を再開します。回復メカニズムを設定していない場合、 shutdown および no shutdown コマンドを入力し、errdisable ステートから手動でインターフェイスを回復させる必要があります。

次の例では、リンクフラップ errdisable 原因の errdisable 検出をイネーブルにする方法を示します。

Switch(config)# errdisable detect cause link-flap
 

設定を確認するには、 show errdisable detect イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show errdisable detect

errdisable の検出情報を表示します。

show interfaces status err-disabled

インターフェイスのステータスまたは errdisable ステートのインターフェイスのリストを表示します。

errdisable recovery

回復メカニズムの変数を設定するには、 errdisable recovery グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | udld | vmps } | { interval interval }

no errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | udld | vmps } | { interval interval }

 
シンタックスの説明

cause

errdisable メカニズムをイネーブルにして、特定の原因から回復します。

all

すべての errdisable 原因から回復するためのタイマーをイネーブルにします。

bpduguard

Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)ガードによる errdisable ステートから回復するためのタイマーをイネーブルにします。

arp-inspection

Address Resolution Protocol(ARP; アドレス解決プロトコル)検査による errdisable ステートから回復するためのタイマーをイネーブルにします。

channel-misconfig

EtherChannel の誤った設定による errdisable ステートから回復するためのタイマーをイネーブルにします。

dhcp-rate-limit

DHCP スヌーピングによる errdisable ステートから回復するためのタイマーをイネーブルにします。

dtp-flap

Dynamic Trunking Protocol(DTP)フラップによる errdisable ステートから回復するためのタイマーをイネーブルにします。

gbic-invalid

無効な GBIC(ギガビット インターフェイス コンバータ)モジュールによる errdisable ステートから回復するためのタイマーをイネーブルにします。


) Catalyst 3560 スイッチ上では、このエラーは無効な Small Form-factor Pluggable(SFP)errdisable ステートであることを指します。


l2ptguard

レイヤ 2 プロトコル トンネルによる errdisable ステートから回復するためのタイマーをイネーブルにします。

link-flap

リンクフラップによる errdisable ステートから回復するためのタイマーをイネーブルにします。

loopback

ループバックによる errdisable ステートから回復するためのタイマーをイネーブルにします。

pagp-flap

Port Aggregation Protocol(PAgP)フラップによる errdisable ステートから回復するためのタイマーをイネーブルにします。

psecure-violation

ポート セキュリティ違反によるディセーブル ステートから回復するためのタイマーをイネーブルにします。

security-violation

IEEE 802.1x の違反によるディセーブル ステートから回復するためのタイマーをイネーブルにします。

udld

UniDirectional Link Detection(UDLD; 単一方向リンク検出)によるerrdisable ステートから回復するためのタイマーをイネーブルにします。

vmps

VLAN(仮想 LAN)Membership Policy Server(VMPS; VLAN メンバーシップ ポリシー サーバ)による errdisable ステートから回復するためのタイマーをイネーブルにします。

interval interval

指定された errdisable ステートから回復する時間を指定します。指定できる範囲は 30 ~ 86400 秒です。すべての原因に同じ間隔が適用されます。デフォルト間隔は 300 秒です。


) errdisable 回復のタイマーは、設定された間隔値からランダムな差で初期化されます。実際のタイムアウト値と設定された値の差は、設定された間隔の 15% まで有効です。


 
デフォルト

すべての原因に対して回復はディセーブルです。

デフォルトの回復間隔は 300 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(18)SE

channel-misconfig キーワードが追加されました。

12.2(20)SE

arp-inspection キーワードが追加されました。

12.2(25)SE

l2ptguard キーワードが追加されました。

 
使用上のガイドライン

原因( all bpduguard など)は、errdisable ステートが発生した理由として定義されます。原因がインターフェイス上で検出された場合、インターフェイスは errdisable ステートとなり、リンクダウン ステートに類似した動作ステートとなります。その原因に対して回復をイネーブルにしない場合、インターフェイスは、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドが入力されるまで、errdisable ステートのままになります。原因の回復をイネーブルにした場合、インターフェイスは errdisable ステートから抜け出し、すべての原因がタイムアウトになったときに動作を再開できるようになります。

それを行わない場合、手動でインターフェイスを errdisable ステートから回復するには、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力します。

次の例では、BPDU ガード errdisable 原因に対して回復タイマーをイネーブルにする方法を示します。

Switch(config)# errdisable recovery cause bpduguard
 

次の例では、タイマーを 500 秒に設定する方法を示します。

Switch(config)# errdisable recovery interval 500
 

設定を確認するには、 show errdisable recovery イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show errdisable recovery

errdisable 回復タイマーの情報を表示します。

show interfaces status err-disabled

インターフェイスのステータスまたは errdisable ステートにあるインターフェイスのリストを表示します。

exception crashinfo

Cisco IOS イメージが失敗したときにスイッチが拡張 crashinfo ファイルを作成するよう設定するには、 exception crashinfo グローバル コンフィギュレーション コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

exception crashinfo

no exception crashinfo

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

スイッチは拡張 crashinfo ファイルを作成します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEC

このコマンドが導入されました。

 
使用上のガイドライン

基本 crashinfo ファイルには、失敗した Cisco IOS イメージ名とバージョン、プロセッサ レジスタのリスト、スタック トレースが記録されます。拡張 crashinfo ファイルには、スイッチ障害の原因を特定する情報も記録されます。

スタック マスター上で exception crashinfo グローバル コンフィギュレーション コマンドを入力すると、スタック メンバーの Cisco IOS イメージが失敗した場合にすべてのスタック メンバーが拡張 crashinfo ファイルを作成するようにスイッチが設定されます。

拡張 crashinfo ファイルを作成しないようにスイッチを設定するには、 no exception crashinfo グローバル コンフィギュレーション コマンドを使用します。

次の例では、拡張 crashinfo ファイルを作成しないようにスイッチを設定する方法を示します。

Switch(config)# no exception crashinfo
 

設定を確認するには、 show running-config イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

定義されたマクロを含む稼働中のコンフィギュレーションを表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を参照してください。

flowcontrol

インターフェイスに対するフロー制御ステートを設定するには、 flowcontrol インターフェイス コンフィギュレーション コマンドを使用します。特定の装置に対して send が実行可能、かつオンの状態で、接続のもう一方の側で輻輳を検出した場合、ポーズ フレームを送信することによって、リンクの相手側またはリモート装置に輻輳を通知します。装置に対してフロー制御 receive がオンであり、ポーズ フレームを受信した場合、データ パケットの送信を停止します。こうすることにより、輻輳期間中にデータ パケットの損失を防ぎます。

フロー制御をディセーブルにする場合は、 receive off キーワードを使用します。

flowcontrol receive { desired | off | on }


) Catalyst 3560 スイッチはポーズ フレームを送信できませんが受信できます。


 
シンタックスの説明

receive

インターフェイスがリモート装置からフロー制御パケットを受信できるかどうかを設定します。

desired

インターフェイスは、接続された装置でフロー制御パケットを送信する必要があるもの、またはフロー制御パケットを送信する必要はないが送信することのできるものと連携して稼働できます。

off

接続された装置がフロー制御パケットをインターフェイスに送信する機能はオフになります。

on

インターフェイスは、接続された装置でフロー制御パケットを送信する必要があるもの、またはフロー制御パケットを送信する必要はないが送信することのできるものと連携して稼働できます。

 
デフォルト

デフォルトは、 flowcontrol receive off に設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このスイッチでは、送信フロー制御のポーズ フレームはサポートされません。

on および desired キーワードは同一の結果になることに注意してください。

flowcontrol コマンドを使用してポートが輻輳中にトラフィック レートを制御するよう設定する場合、フロー制御はポート上で次の条件のうちの 1 つに設定されます。

receive on または desired ポートはポーズ フレームを送信できませんが、接続された装置でポーズ フレームを送信しなければならないもの、または送信できるものと組み合わせて使用できます。ポーズ フレームの受信は可能です。

receive off :フロー制御はどちらの方向にも動作しません。輻輳が生じても、リンクの相手側に通知はなく、どちら側の装置もポーズ フレームの送受信を行いません。

表2-5 は、各設定の組み合わせによるローカル ポートおよびリモート ポート上のフロー制御の結果を示したものです。テーブルは receive desired キーワードの使用時と receive on キーワードの使用時の結果が同一になることを前提としています。

 

表2-5 フロー制御設定およびローカル/リモート ポート フロー制御解決

フロー制御設定
フロー制御解決
ローカル装置
リモート装置
ローカル装置
リモート装置

send off/receive on

send on/receive on

send on/receive off

send desired/receive on

send desired/receive off

send off/receive on

send off/receive off

受信のみ行います。

受信のみ行います。

受信のみ行います。

受信のみ行います。

受信のみ行います。

送受信を行いません。

送受信を行います。

送信のみ行います。

送受信を行います。

送信のみ行います。

受信のみ行います。

送受信を行いません。

send off/receive off

send on/receive on

send on/receive off

send desired/receive on

send desired/receive off

send off/receive on

send off/receive off

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

次の例では、リモート ポートによってフロー制御がサポートされないようにローカル ポートを設定する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# flowcontrol receive off
 

設定を確認するには、 show interfaces イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces

入出力フロー制御を含むスイッチのインターフェイス設定を表示します。

interface port-channel

ポート チャネルの論理インターフェイスへのアクセス、または作成を行うには、 interface port-channel グローバル コンフィギュレーション コマンドを使用します。ポート チャネルを削除する場合は、このコマンドの no 形式を使用します。

interface port-channel port - channel-number

no interface port-channel port - channel-number

 
シンタックスの説明

port-channel-number

ポート チャネル番号。指定できる範囲は 1 ~ 48 です。

 
デフォルト

ポート チャネル論理インターフェイスは定義されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(25)SE

port - channel -number の範囲は、1 ~ 12 から 1 ~ 48 に変更されました。

 
使用上のガイドライン

レイヤ 2 の EtherChannel に関しては、物理ポートをチャネル グループに割り当てる前にポート チャネル インターフェイスを作成する必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。チャネル グループが最初の物理ポートを取得すると、ポート チャネル インターフェイスは自動的に作成されます。ポート チャネル インターフェイスを最初に作成した場合の channel-group-number は、 port - channel-number と同一にするか、または新しい番号を使用します。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポート チャネルを作成します。

interface port-channel コマンドの次に no switchport インターフェイス コンフィギュレーション コマンドを使用して、レイヤ 3 のポート チャネルを作成できます。インターフェイスをチャネル グループに適用する前に、ポート チャネルの論理インターフェイスを手動で設定してください。

チャネル グループ内の 1 つのポート チャネルだけが許可されます。


注意 ポート チャネル インターフェイスをルーテッド ポートとして使用する場合、チャネル グループに割り当てられた物理ポート上のレイヤ 3 に、アドレスを割り当てないようにしてください。


注意 レイヤ 3 のポート チャネル インターフェイスとして使用されているチャネル グループの物理ポート上で、ブリッジ グループを割り当てることは、ループ発生の原因になるため行わないようにしてください。スパニングツリーもディセーブルにする必要があります。

interface port-channel コマンドを使用する場合は、次の注意事項に従ってください。

Cisco Discovery Protocol(CDP)を使用する場合には、これを物理ポート上でのみ設定してください。ポート チャネル インターフェイスでは設定できません。

IEEE 802.1x のポートとしてアクティブな EtherChannel のメンバーであるポートを設定することは避けてください。まだアクティブになっていない EtherChannel 上のポートで IEEE 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。

設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。

次の例では、ポート チャネル番号 5 でポート チャネル インターフェイスを作成する方法を示します。

Switch(config)# interface port-channel 5
 

設定を確認するには、 show running-config または show etherchannel channel-group-number detail イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

show etherchannel

チャネルの EtherChannel 情報を表示します。

show running-config

現在の動作設定を表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を参照してください。

interface range

インターフェイス レンジ コンフィギュレーション モードの開始、および複数のポートにおけるコマンドを同時に実行するには、 interface range グローバル コンフィギュレーション コマンドを使用します。インターフェイス範囲を削除する場合は、このコマンドの no 形式を使用します。

interface range { port-range | macro name }

no interface range { port-range | macro name }

 
シンタックスの説明

port-range

ポート範囲。 port-range の有効値のリストについては、「使用上のガイドライン」を参照してください。

macro name

マクロ名を指定します。

 
デフォルト

このコマンドにはデフォルト設定がありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

インターフェイス範囲を設定するモードを開始して入力した、すべてのインターフェイスのパラメータは、その範囲内のすべてのインターフェイスに対する属性になります。

VLAN(仮想 LAN)では、既存の VLAN の Switch Virtual Interface(SVI)でのみ interface range コマンドを使用できます。VLAN の SVI を表示する場合は、 show running-config イネーブル EXEC コマンドを入力します。表示されない VLAN は、 interface range コマンドで使用することはできません。 interface range コマンドのもとで入力したコマンドは、この範囲のすべての既存の VLAN SVI に適用されます。

あるインターフェイス範囲に対して行われた設定変更は、すべて NVRAM(不揮発性 RAM)に保存されますが、 インターフェイス範囲 自体は NVRAM に保存されません。

インターフェイス範囲は 2 つの方法で入力できます。

最大 5 つまでのインターフェイス範囲を指定

定義済みのインターフェイス レンジ マクロ設定を指定

範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、各範囲をカンマ(,)で区切ることにより、1 つのコマンドで最大 5 つのインターフェイス範囲を定義できます。

port-range タイプおよびインターフェイス の有効値は次のとおりです。

vlan vlan-ID - vlan-ID vlan-ID の範囲は 1 ~ 4094)

fastethernet module/{ first port } - { last port }(module は常に 0

gigabitethernet module/{ first port } - { last port }(module は常に 0

物理インターフェイス

module は常に 0 です。

使用可能範囲は、type 0/number - number です(例:gigabitethernet0/1 - 2)。

port-channel port-channel-number - port-channel-number port-channel-number の範囲は 1 ~ 48)


) ポート チャネルのinterface range コマンドを使用した場合、範囲内の最初と最後のポート チャネル番号はアクティブなポート チャネルである必要があります。


範囲を定義するときは、最初のエントリとハイフン(-)の間にスペースが必要です。

interface range gigabitethernet0/1 -2
 

複数の範囲を定義するときは、カンマ(,)の前に入力される最初のエントリのあとにもスペースが必要です。

interface range fastethernet0/1 - 2, gigabitethernet0/1 - 2
 

同じコマンドでマクロとインターフェイス範囲の両方を指定することはできません。

port-range には、インターフェイスを 1 つだけ指定することもできます(この場合、 interface interface-id グローバル コンフィギュレーション コマンドと類似)。

インターフェイスの範囲の設定に関する詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、 interface range コマンドを使用して、インターフェイス レンジ コンフィギュレーション モードを開始し、2 つのポートにコマンドを適用する方法を示します。

Switch(config)# interface range gigabitethernet0/1 - 2
Switch(config-if-range)#
 

次の例では、同じ機能に対して 1 つのポート レンジ マクロ macro1 を使用する方法を示します。この設定の利点は、 macro1 を削除するまで再利用できることです。

Switch(config)# define interface-range macro1 gigabitethernet0/1 - 2
Switch(config)# interface range macro macro1
Switch(config-if-range)#

 
関連コマンド

コマンド
説明

define interface-range

インターフェイス範囲のマクロを作成します。

show running-config

スイッチで現在稼働している設定情報を表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を参照してください。

interface vlan

ダイナミックな Switch Virtual Interface(SVI)へのアクセス、または作成を行い、インターフェイス コンフィギュレーション モードを開始するには、 interface vlan グローバル コンフィギュレーション コマンドを使用します。SVI を削除する場合は、このコマンドの no 形式を使用します。

interface vlan vlan-id

no interface vlan vlan-id

 
シンタックスの説明

vlan-id

VLAN(仮想 LAN)番号。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトの VLAN インターフェイスは VLAN 1 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

SVI は、特定の VLAN に対して、初めて interface vlan vlan-id コマンドを入力すると作成されます。 vlan-id は、ISL(スイッチ間リンク)上のデータ フレーム、IEEE 802.1Q カプセル化トランク、またはアクセス ポートで設定された VLAN ID と関連した VLAN タグに対応します。


) 物理ポートと関連付けられていない場合、SVI を作成してもアクティブにはなりません。


no interface vlan vlan -id コマンドを入力して SVI を削除した場合、削除されたインターフェイスは show interfaces イネーブル EXEC コマンドからの出力には表示されなくなります。


) VLAN 1 インターフェイスは削除できません。


削除した SVI は、削除したインターフェイスに対して interface vlan vlan-id コマンドを入力することで、元に戻すことができます。インターフェイスは復元しますが、以前の設定は失われることになります。

スイッチ上で設定された SVI の数と、他の設定された機能の数の相互関係によっては、ハードウェアの制限から、CPU の使用率に影響がでる可能性もあります。 sdm prefer グローバル コンフィギュレーション コマンドを使用し、システムのハードウェア リソースを、テンプレートおよび機能テーブルに基づいて再度割り当てることができます。詳細については、 sdm prefer コマンドを参照してください。

次の例では、VLAN ID 23 で新しい SVI を作成し、インターフェイス コンフィギュレーション モードを開始する方法を示します。

Switch(config)# interface vlan 23
Switch(config-if)#
 

設定を確認するには、 show interfaces および show interfaces vlan vlan-id イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces vlan vlan-id

すべてのインターフェイスまたは指定の VLAN の管理ステータスおよび動作ステータスを表示します。

ip access-group

レイヤ 2 またはレイヤ 3 インターフェイスへのアクセスを制御するには、 ip access-group インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスからすべてのアクセス グループ、または指定のアクセス グループを削除する場合は、このコマンドの no 形式を使用します。

ip access-group { access-list-number | name } { in | out }

no ip access-group [ access-list-number | name ] { in | out }

 
シンタックスの説明

access-list-number

IP Access Control List(ACL; アクセス制御リスト)の番号。指定できる範囲は 1 ~ 199、または 1300 ~ 2699 です。

name

ip access-list グローバル コンフィギュレーション コマンドで指定された IP ACL 名

in

着信パケットに対するフィルタリングを指定します。

out

発信パケットに対するフィルタリングを指定します。このキーワードは、レイヤ 3 のインターフェイス上でのみ有効です。

 
デフォルト

インターフェイスにアクセス リストは適用されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

インターフェイスに、名前付き/番号付き標準 IP アクセス リストまたは拡張 IP アクセス リストを適用できます。名前によるアクセス リストを定義する場合、 ip access-list グローバル コンフィギュレーション コマンドを使用します。番号付けされたアクセス リストを定義する場合、 access list グローバル コンフィギュレーション コマンドを使用します。標準アクセス リストの範囲は 1 ~ 99 および 1300 ~ 1999、または拡張アクセス リストの範囲は 100 ~ 199 および 2000 ~ 2699 の番号を使用できます。

このコマンドを使用し、アクセス リストをレイヤ 2 またはレイヤ 3 のインターフェイスに適用できます。ただし、レイヤ 2 のインターフェイス(ポート ACL)には、次のような制限があることに注意してください。

ACL は受信方向に対してのみ適用できます。 out キーワードはレイヤ 2 のインターフェイスでサポートされていません。

インターフェイスごとの IP ACL および MAC(メディア アクセス制御)ACL は 1 つずつのみ適用できます。

レイヤ 2 のインターフェイスはロギングをサポートしていません。 log キーワードが IP ACL で指定された場合、無視されます。

レイヤ 2 のインターフェイスに適用された IP ACL は IP パケットのみをフィルタリングします。非 IP パケットをフィルタにかける場合、 mac access-group インターフェイス コンフィギュレーション コマンドを MAC 拡張 ACL で使用します。

ユーザは同一のスイッチ上で、ルータ ACL、入力ポート ACL、VLAN(仮想 LAN)マップを使用できます。ただし、ポートの ACL はルータの ACL、または VLAN マップより優先されます。

入力ポートの ACL がインターフェイスに適用され、さらにインターフェイスがメンバーとなっている VLAN に VLAN マップが適用された場合、ACL のポート上で受信した着信パケットは、そのポート ACL でフィルタリングされます。他のパケットは VLAN マップのフィルタが適用されます。

入力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。他のポートで受信した着信のルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

出力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。発信するルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

VLAN マップ、入力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタのみが適用されます。他のポートで受信した着信のルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタのみ適用されます。

VLAN マップ、出力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタのみが適用されます。発信するルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタのみ適用されます。

IP の ACL は、送信側または受信側のレイヤ 3 インターフェイス両方に適用できます。

レイヤ 3 のインターフェイスでは、IP の ACL を各方向に 1 つ適用できます。

VLAN インターフェイス上の各方向(入力および出力)に VLAN マップおよびルータの ACL を 1 つずつのみ設定できます。

通常の着信アクセス リストでは、スイッチがパケットを受信したあと、アクセス リストと照合することでパケットの送信元アドレスを確認します。IP の拡張アクセス リストは任意で、宛先 IP アドレスやプロトコル タイプ、ポート番号など、パケットの他のフィールドの部分を確認できます。アクセス リストがパケットを許可した場合、スイッチはパケットの処理を継続します。アクセス リストがパケットを拒否した場合、スイッチはパケットを廃棄します。アクセス リストがレイヤ 3 のインターフェイスに適用された場合、パケットの廃棄にともない(デフォルト設定)、Internet Control Message Protocol(ICMP)の Host Unreachable のメッセージが生成されます。ICMP Host Unreachable メッセージは、レイヤ 2 インターフェイスで廃棄されたパケットに対しては生成されません。

通常の発信アクセス リストでは、パケットを受信して、それを制御されたインターフェイスへ送信したあと、スイッチがアクセス リストと照合することでパケットを確認します。アクセス リストがパケットを許可した場合、スイッチはパケットを送信します。アクセス リストがパケットを拒否した場合、スイッチはパケットを廃棄し、デフォルトの設定では、ICMP Host Unreachable メッセージが生成されます。

指定のアクセス リストが存在しない場合、すべてのパケットが通過します。

次の例では、IP アクセス リスト 101 をポートの着信パケットに適用する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 101 in
 

設定を確認するには、 show ip interface、show access-lists 、または show ip access-lists イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

access list

番号付けされた ACL を設定します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を参照してください。

ip access-list

名前付き ACL を設定します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を参照してください。

show access-lists

スイッチで設定される ACL を表示します。

show ip access-lists

スイッチで設定される IP ACL を表示します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を参照してください。

show ip interface

インターフェイスのステータスおよび設定情報を表示します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を参照してください。

ip address

レイヤ 2 スイッチの IP アドレス、各 Switch Virtual Interface(SVI)の IP アドレス、またはレイヤ 3 スイッチのルーテッド ポートの IP アドレスを設定するには、 ip address インターフェイス コンフィギュレーション コマンドを使用します。IP アドレスを削除したり、IP 処理をディセーブルにしたりする場合は、このコマンドの no 形式を使用します。

ip address ip-address subnet-mask [ secondary ]

no ip address [ ip-address subnet-mask ] [ secondary ]

 
シンタックスの説明

ip-address

IP アドレス

subnet-mask

関連する IP サブネットのマスク

secondary

(任意)設定されたアドレスをセカンダリ IP アドレスに指定します。このキーワードが省略された場合、設定されたアドレスはプライマリ IP アドレスになります。

 
デフォルト

IP アドレスは定義されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

Telnet のセッションで、スイッチの IP アドレスを削除した場合、スイッチの接続が切断されます。

ホストは Internet Control Message Protocol(ICMP)Mask Request メッセージを使用してサブネット マスクを見つけることができます。ルータは、この ICMP Mask Reply メッセージの要求に対して応答します。

no ip address コマンドを使用して IP アドレスを削除することで、特定のインターフェイス上の IP 処理をディセーブルにできます。スイッチが、その IP アドレスのうちの 1 つを使用している他のホストを検出した場合、コンソールにエラー メッセージを送信します。

オプションで secondary キーワードを使用して、セカンダリ アドレスの番号を無制限に指定できます。システムがセカンダリの送信元アドレスのルーティングの更新以外にデータグラムを生成しないということを除けば、セカンダリ アドレスはプライマリ アドレスのように処理されます。IP ブロードキャストおよび ARP 要求は適切に処理され、インターフェイスも IP のルーティング テーブルでルーティングします。


) ネットワーク セグメント上のすべてのルータがセカンダリのアドレスを使用した場合、同一のセグメント上にある他の装置も、同一のネットワークまたはサブネットからセカンダリ アドレスを使用しなければなりません。ネットワーク セグメント上のセカンダリ アドレスに整合性がないと、すぐにルーティングでループが発生します。


Open Shortest Path First(OSPF)のルーティングの場合、インターフェイスのすべてのセカンダリ アドレスが、プライマリ アドレスと同一の OSPF 領域にあることを確認してください。

スイッチが、Bootstrap Protocol(BOOTP)または DHCP サーバから IP アドレスを受信し、そのスイッチ IP アドレスを no ip address コマンドで削除した場合、IP 処理はディセーブルとなり、BOOTP または DHCP サーバは、再びアドレスを割り当てることはできません。

レイヤ 3 スイッチは、各ルーテッド ポートおよび SVI に割り当てられた IP アドレスを持つことができます。設定するルーテッド ポートおよび SVI の数はソフトウェアでは制限されていません。ただし、この番号と設定された他の機能との相互関係によっては、ハードウェア制限により、CPU 使用率に影響がでる可能性があります。 sdm prefer グローバル コンフィギュレーション コマンドを使用し、システムのハードウェア リソースを、テンプレートおよび機能テーブルに基づいて再度割り当てることができます。詳細については、 sdm prefer コマンドを参照してください。

次の例では、サブネット ネットワークでレイヤ 2 スイッチの IP アドレスを設定する方法を示します。

Switch(config)# interface vlan 1
Switch(config-if)# ip address 172.20.128.2 255.255.255.0
 

次の例では、レイヤ 3 スイッチ上のポートに IP アドレスを設定する方法を示します。

Switch(config)# ip multicast-routing
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# no switchport
Switch(config-if)# ip address 172.20.128.2 255.255.255.0
 

設定を確認するには、 show running-config イネーブル EXEC コマンドを使用します。

 
関連コマンド

コマンド
説明

show running-config

スイッチの実行コンフィギュレーションを表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を参照してください。

ip arp inspection filter vlan

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査がイネーブルの場合にスタティック IP アドレスで設定されたホストからの ARP 要求および応答を許可または拒否するには、ip arp inspection filter vlan グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection filter arp-acl-name vlan vlan-range [ static ]

no ip arp inspection filter arp-acl-name vlan vlan-range [ static ]

 
シンタックスの説明

arp-acl-name

ARP Access Control List(ACL; アクセス制御リスト)の名前

vlan-range

VLAN(仮想 LAN)の番号または範囲

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は 1 ~ 4094 です。

static

(任意)ARP ACL 内の暗黙の拒否を明示的な拒否として取り扱い、ACL 内の前の句に一致しないパケットを廃棄するために、 static を指定します。DHCP バインディングは使用されません。

このキーワードを指定しない場合は、パケットを拒否する明示的な拒否が ACL 内にないことを意味し、パケットが ACL 内の句に一致しないと DHCP バインディングがパケットの許可または拒否を決定します。

 
デフォルト

VLAN には、定義された ARP ACL が適用されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

ARP ACL を VLAN に適用してダイナミック ARP 検査を行う場合は、IP/MAC(メディア アクセス制御)バインディングを含む ARP パケットのみが ACL と比較されます。ACL がパケットを許可すると、スイッチがパケットを転送します。それ以外のすべてのパケット タイプは、検証されずに、入力 VLAN 内でブリッジングされます。

スイッチが ACL 内の明示的な拒否ステートメントによってパケットを拒否すると、パケットが廃棄されます。スイッチが暗黙の拒否ステートメントによってパケットを拒否すると、パケットは DHCP バインディングのリストと照合されます。ただし、ACL が スタティック (パケットがバインディングと比較されない)である場合を除きます。

ARP ACL を定義、または定義済みのリストの末尾に句を追加するには、 arp access-list acl-name グローバル コンフィギュレーション コマンドを使用します。

次の例では、ダイナミック ARP 検査用に ARP ACL static-hosts を VLAN 1 に適用する方法を示します。

Switch(config)# ip arp inspection filter static-hosts vlan 1
 

設定を確認するには、 show ip arp inspection vlan 1 イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP ACL を定義します。

deny(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの一致に基づいて ARP パケットを拒否します。

permit(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの一致に基づいて ARP パケットを許可します。

show arp access-list

ARP アクセス リストに関する詳細を表示します。

show inventory vlan vlan-range

指定された VLAN のダイナミック ARP 検査の設定および動作ステートを表示します。

ip arp inspection limit

インターフェイスの着信 Address Resolution Protocol(ARP; アドレス解決プロトコル)要求および応答のレートを制限するには、ip arp inspection limit インターフェイス コンフィギュレーション コマンドを使用します。DoS 攻撃が発生した場合にダイナミック ARP 検査によってスイッチ リソースのすべてが消費されないようにします。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection limit { rate pps [ burst interval seconds ] | none }

no ip arp inspection limit

 
シンタックスの説明

rate pps

1 秒間に処理される着信パケット数の上限を指定します。範囲は、0 ~ 2048 pps です。

burst interval seconds

(任意)インターフェイスで高速 ARP パケットをモニタするインターバルを秒単位で指定します。範囲は 1 ~ 15 秒です。

none

処理可能な着信 ARP パケットのレートに上限を指定しません。

 
デフォルト

1 秒間に 15 台の新規ホストに接続するホストが配置されたスイッチド ネットワークの場合、信頼できないインターフェイスのレートは 15 pps に設定されます。

信頼できるすべてのインターフェイスでは、レートは無制限です。

バースト インターバルは 1 秒に設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

レートは、信頼できるインターフェイスおよび信頼できないインターフェイスの両方に適用されます。複数のダイナミック ARP 検査対応 VLAN(仮想 LAN)でパケットを処理するようにトランクに適切なレートを設定するか、none キーワードを使用してレートを無制限にします。

スイッチがバースト期間中に設定されたレートを超えるレートでパケットを継続して受信すると、インターフェイスが errdisable ステートになります。

インターフェイス上のレート制限を明示的に設定しないかぎり、インターフェイスの信頼状態を変更することは、レート制限を信頼状態のデフォルト値に変更することになります。レート制限を設定すると、信頼状態が変更された場合でもインターフェイスはレート制限を保ちます。 no ip arp inspection limit インターフェイス コンフィギュレーション コマンドを入力すると、インターフェイスはデフォルトのレート制限に戻ります。

トランク ポートは、集約が反映されるように、より大きなレートに設定する必要があります。着信パケットのレートがユーザが定義したレートを超えると、スイッチはインターフェイスを errdisable ステートにします。errdisable 回復機能は、回復の設定に従ってポートを errdisable ステートから自動的に移行させます。

EtherChannel ポートの着信 ARP パケットのレートは、すべてのチャネル メンバーの着信 ARP パケット レートの合計と同じです。EtherChannel ポートのレート制限は、必ずすべてのチャネル メンバーの着信 ARP パケットのレートを調べてから設定してください。

次の例では、ポート上の着信 ARP 要求のレートを 25 pps に制限し、インターフェイスのモニタリング インターバルを 5 秒間に設定する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip arp inspection limit rate 25 burst interval 5
 

設定を確認するには、 show ip arp inspection interfaces interface-id イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show inventory interfaces

指定されたインターフェイスまたはすべてのインターフェイスの ARP パケットの信頼状態およびレート制限を表示します。

ip arp inspection log-buffer

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査ロギング バッファを設定するには、ip arp inspection log-buffer グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection log-buffer { entries number | logs number interval seconds }

no ip arp inspection log-buffer { entries | logs }

 
シンタックスの説明

entries number

バッファに記録されるエントリ数。指定できる範囲は 0 ~ 1024 です。

logs number interval seconds

システム メッセージを生成するために、指定されたインターバルで必要なエントリ数

指定できる logs number の範囲は 0 ~ 1024 です。値が 0 の場合、エントリがログ バッファに置かれますが、システム メッセージが生成されません。

指定できる interval seconds の範囲は 0 ~ 86400 秒(1 日)です。値が 0 の場合、システム メッセージがただちに生成され、ログ バッファは常に空の状態です。

 
デフォルト

ダイナミック ARPがイネーブル化されると、拒否または廃棄された ARP が記録されます。

ログ エントリ数は、32 です。

システム メッセージ数は、1 秒あたり 5 に制限されています。

ロギングレート インターバルは、1 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

0 の値は、 logs および interval キーワードの両方で許可されていません。

logs および interval の設定は、相互に作用します。 logs number X が interval seconds Y より大きい場合、X 割る Y(X/Y)のシステム メッセージが毎秒送信されます。そうでない場合、1 つのシステム メッセージが Y 割る X(Y/X)秒ごとに送信されます。たとえば、 logs number が 20 で、 interval seconds が 4 の場合、スイッチはログ バッファにエントリがある間、5 エントリのシステム メッセージを毎秒生成します。

ログ バッファ エントリは、2 つ以上のパケットを表すことができます。たとえば、インターフェイスが同一の VLAN(仮想 LAN)上のパケットを同一の ARP パラメータで多数受信すると、スイッチは、ログ バッファ内の 1 つのエントリとしてパケットを結合し、1 つのエントリとしてシステム メッセージを生成します。

ログ バッファが溢れる場合は、ログ イベントがログ バッファに収まらないことを意味しており、 show ip arp inspection log イネーブル EXEC コマンドの出力が影響を受けます。パケット数および時間以外のすべてのデータの代わりに [--] が表示されます。このエントリには、これ以外の統計情報が提供されません。出力にこのようなエントリが表示される場合、ログ バッファ内のエントリ数を増やすか、ロギング レートを増やします。

次の例では、最大 45 のエントリを保持できるようにロギング バッファを設定する方法を示します。

Switch(config)# ip arp inspection log-buffer entries 45
 

次の例では、ロギング レートを 4 秒あたり 20 のログ エントリに設定する方法を示します。この設定では、スイッチはログ バッファにエントリがある間、5 エントリのシステム メッセージを毎秒生成します。

Switch(config)# ip arp inspection log-buffer logs 20 interval 4
 

設定を確認するには、 show ip arp inspection log イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP ACL を定義します。

clear ip arp inspection log

ダイナミック ARP 検査ログ バッファをクリアします。

ip arp inspection vlan logging

VLAN 単位で記録するパケットのタイプを制御します。

show inventory log

ダイナミック ARP 検査ログ バッファの設定と内容を表示します。

ip arp inspection trust

検査する着信 Address Resolution Protocol(ARP; アドレス解決プロトコル)パケットを決定するインターフェイスの信頼状態を設定するには、ip arp inspection trust インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection trust

no ip arp inspection trust

このコマンドは、スイッチが IP サービス イメージ(従来の Enhanced Multilayer Image [EMI])を稼働している場合にのみ利用できます。

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

インターフェイスは、信頼できない状態です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

スイッチは、信頼できるインターフェイス上で受信した ARP パケットを確認せず、単純にパケットを転送します。

信頼できないインターフェイスでは、スイッチはすべての ARP 要求と応答を代行受信します。ローカル キャッシュを更新し、該当する宛先にパケットを転送する前に、代行受信したパケットが有効な IP/MAC(メディア アクセス制御)アドレス バインディングを持つかどうかを検証します。スイッチは、無効なパケットを廃棄し、 ip arp inspection vlan logging グローバル コンフィギュレーション コマンドで指定されたロギング設定に従ってログ バッファに記録します。

次の例では、ポートを信頼できる状態に設定する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip arp inspection trust
 

設定を確認するには、 show ip arp inspection interfaces interface-id イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip arp inspection log-buffer

ダイナミック ARP 検査ロギング バッファを設定します。

show inventory interfaces

指定されたインターフェイスまたはすべてのインターフェイスの ARP パケットの信頼状態およびレート制限を表示します。

show inventory log

ダイナミック ARP 検査ログ バッファの設定と内容を表示します。

ip arp inspection validate

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査の特定のチェックを実行するには、ip arp inspection validate グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection validate {[ src-mac ] [ dst-mac ] [ ip ]}

no ip arp inspection validate [ src-mac ] [ dst-mac ] [ ip ]

このコマンドは、スイッチが IP サービス イメージ(従来の Enhanced Multilayer Image [EMI])を稼働している場合にのみ利用できます。

 
シンタックスの説明

src-mac

イーサネット ヘッダー内の送信元 MAC(メディア アクセス制御)アドレスと、ARP 本体内の送信側 MAC アドレスを比較します。このチェックは、ARP 要求と応答の両方に対して行われます。

このチェックがイネーブルの場合、異なる MAC アドレスを持つパケットは無効として分類され、廃棄されます。

dst-mac

イーサネット ヘッダー内の宛先 MAC アドレスと、ARP 本体内のターゲット MAC アドレスを比較します。このチェックは、ARP 応答に対して行われます。

このチェックがイネーブルの場合、異なる MAC アドレスを持つパケットは無効として分類され、廃棄されます。

ip

ARP 本体内で、無効な予期しない IP アドレスを比較します。このようなアドレスには、0.0.0.0、255.255.255.255、およびすべての IP マルチキャスト アドレスが含まれます。

送信側 IP アドレスは、すべての ARP 要求および応答と比較されます。ターゲット IP アドレスは ARP 応答でのみチェックされます。

 
デフォルト

チェックは行われません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

少なくとも 1 つのキーワードを指定する必要があります。コマンドを実行するたびに、その前のコマンドの設定は上書きされます。つまり、コマンドが src-mac および dst-mac の検証をイネーブルにし、2 番めのコマンドが IP 検証のみをイネーブルにすると、2 番めのコマンドによって src-mac および dst-mac の検証がディセーブルになります。

最初に src-mac キーワードを指定する場合は、 dst-mac および ip キーワードも指定できます。最初に ip キーワードを指定する場合、その他のキーワードを指定できません。

このコマンドの no 形式を使用すると、指定されたチェックのみがディセーブルになります。どのオプションもイネーブルにしない場合は、すべてのチェックがディセーブルになります。

次の例では、送信元 MAC の検証をイネーブルにする方法を示します。

Switch(config)# ip arp inspection validate src-mac
 

設定を確認するには、 show ip arp inspection vlan vlan-range イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show inventory vlan vlan-range

指定された VLAN のダイナミック ARP 検査の設定および動作ステートを表示します。

ip arp inspection vlan

VLAN(仮想 LAN)単位でダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査をイネーブルにするには、ip arp inspection vlan グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection vlan vlan-range

no ip arp inspection vlan vlan-range

このコマンドは、スイッチが IP サービス イメージ(従来の Enhanced Multilayer Image [EMI])を稼働している場合にのみ利用できます。

 
シンタックスの説明

vlan-range

VLAN の番号または範囲

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

すべての VLAN で ARP 検査はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

ダイナミック ARP 検査をイネーブルにする VLAN を指定する必要があります。

ダイナミック ARP 検査は、アクセス ポート、トランク ポート、EtherChannel ポートおよびプライベート VLAN ポートでサポートされます。

次の例では、VLAN 1 でダイナミック ARP 検査をイネーブルにする方法を示します。

Switch(config)# ip arp inspection vlan 1
 

設定を確認するには、 show ip arp inspection vlan vlan-range イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP ACL を定義します。

show inventory vlan vlan-range

指定された VLAN のダイナミック ARP 検査の設定および動作ステートを表示します。

ip arp inspection vlan logging

VLAN(仮想 LAN)単位で記録されるパケット タイプを制御するには、ip arp inspection vlan logging グローバル コンフィギュレーション コマンドを使用します。このロギング制御をディセーブルにするには、このコマンドの no 形式を使用します。

ip arp inspection vlan vlan-range logging { acl-match { matchlog | none } | dhcp-bindings { all | none | permit }}

no ip arp inspection vlan vlan-range logging { acl-match | dhcp-bindings }

このコマンドは、スイッチが IP サービス イメージ(従来の Enhanced Multilayer Image [EMI])を稼働している場合にのみ利用できます。

 
シンタックスの説明

vlan-range

ロギングに対して設定された VLAN を指定します。

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は 1 ~ 4094 です。

acl-match { matchlog | none }

Access Control List(ACL; アクセス制御リスト)との一致に基づいたパケットのロギングを指定します。

キーワードの意味は次のとおりです。

matchlog ― Access Control Entries(ACE; アクセス制御エントリ)に指定されたロギング設定に基づいてパケットを記録します。このコマンドに matchlog キーワード、 permit または deny ARP アクセス リスト コンフィギュレーション コマンドに log キーワードを指定すると、ACL によって許可または拒否された Address Resolution Protocol(ARP; アドレス解決プロトコル)パケットが記録されます。

none ― ACL に一致するパケットを記録しません。

dhcp-bindings { permit | all | none }

Dynamic Host Configuration Protocol(DHCP)バインディングとの一致に基づいたパケットのロギングを指定します。

キーワードの意味は次のとおりです。

all ― DHCP バインディングに一致するすべてのパケットを記録します。

none ― DHCP バインディングに一致するパケットを記録しません。

permit ― DHCP バインディングに許可されたパケットを記録します。

 
デフォルト

拒否または廃棄されたパケットは、すべて記録されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

logged の用語は、エントリがログ バッファに置かれ、システム メッセージが生成されることを意味します。

acl-match キーワードと dhcp-bindings キーワードは連携しています。ACL の一致を設定すると、DHCP バインディングの設定はディセーブルになりません。ロギング基準をデフォルトにリセットするには、このコマンドの no 形式を使用します。いずれのオプションも指定しない場合は、ARP パケットが拒否されたときに、すべてのロギング タイプが記録されるようにリセットされます。使用できるオプションは、次の 2 つです。

acl-match ― 拒否されたパケットが記録されるように、ACL との一致に関するロギングがリセットされます。

dhcp-bindings ― 拒否されたパケットが記録されるように、DHCP バインディングとの一致に関するロギングがリセットされます。

acl-match キーワードと dhcp-bindings キーワードのどちらも指定されないと、拒否されたすべてのパケットが記録されます。

ACL の末尾にある暗黙の拒否には、 log キーワードが含まれません。つまり、 ip arp inspection filter vlan グローバル コンフィギュレーション コマンドで static キーワードを使用した場合、ACL は DHCP バインディングを上書きします。ARP ACL の末尾で明示的に deny ip any mac any log ACE を指定しないかぎり、拒否された一部のパケットが記録されない場合があります。

次の例では、ACL 内の permit コマンドと一致するパケットを記録するように、VLAN 1 の ARP 検査を設定する方法を示します。

Switch(config)# arp access-list test1
Switch(config-arp-nacl)# permit request ip any mac any log
Switch(config-arp-nacl)# permit response ip any any mac any any log
Switch(config-arp-nacl)# exit
Switch(config)# ip arp inspection vlan 1 logging acl-match matchlog
 

設定を確認するには、 show ip arp inspection vlan vlan-range イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP ACL を定義します。

clear ip arp inspection log

ダイナミック ARP 検査ログ バッファをクリアします。

ip arp inspection log-buffer

ダイナミック ARP 検査ロギング バッファを設定します。

show inventory log

ダイナミック ARP 検査ログ バッファの設定と内容を表示します。

show inventory vlan vlan-range

指定された VLAN のダイナミック ARP 検査の設定および動作ステートを表示します。

ip dhcp snooping

DHCP スヌーピングをグローバルにイネーブルにするには、 ip dhcp snooping グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping

no ip dhcp snooping

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

DHCP スヌーピングはディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

DHCP スヌーピング設定を有効にするには、DHCP スヌーピングをグローバルにイネーブルにする必要があります。

ip dhcp snooping vlan vlan-id グローバル コンフィギュレーション コマンドを使用して、VLAN(仮想 LAN)でスヌーピングをイネーブルにしないと、DHCP スヌーピングはアクティブになりません。

次の例では、DHCP スヌーピングをイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping
 

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping vlan

DHCP スヌーピングが VLAN でイネーブルになります。

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

ip dhcp snooping binding

DHCP スヌーピング バインディング データベースを設定し、データベースにバインディング エントリを追加するには、 ip dhcp snooping binding イネーブル EXEC コマンドを使用します。バインディング データベースからエントリを削除するには、このコマンドの no 形式を使用します。

ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id expiry seconds

no ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id

このコマンドは、スイッチが IP サービス イメージ(従来の Enhanced Multilayer Image [EMI])を稼働している場合にのみ利用できます。

 
シンタックスの説明

mac-address

MAC(メディア アクセス制御)アドレスを指定します。

vlan vlan-id

VLAN(仮想 LAN)番号を指定します。指定できる範囲は 1 ~ 4094 です。

ip-address

IP アドレスを指定します。

interface interface-id

バインディング エントリを追加または削除するインターフェイスを指定します。

expiry seconds

バインディング エントリが無効になるまでのインターバル(秒)を指定します。指定できる範囲は 1 ~ 4294967295 です。

 
デフォルト

デフォルトのデータベースは定義されていません。

 
コマンド モード

イネーブル EXEC

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、スイッチをテストまたはデバッグするときに使用します。

DHCP スヌーピング バインディング データベースでは、各データベース エントリ(別名、バインディング)には、IP アドレス、関連付けられた MAC アドレス、リース時間(16 進数)、バインディングが適用されるインターフェイス、およびインターフェイスが所属する VLAN が含まれます。データベースには、8192 のバインディングを含めることができます。

設定されたバインディングだけを表示するには、 show ip dhcp snooping binding イネーブル EXEC コマンドを使用します。動的および静的に設定されたバインディングを表示するには、 show ip source binding イネーブル EXEC コマンドを使用します。

次の例では、VLAN 1 のポートに、有効期限が 1000 秒の DHCP バインディング設定を生成する方法を示します。

Switch# ip dhcp snooping binding 0001.1234.1234 vlan 1 172.20.50.5 interface gigabitethernet0/1 expiry 1000
 

設定を確認するには、 show ip dhcp snooping binding または show ip dhcp source binding イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping

DHCP スヌーピングが VLAN でイネーブルになります。

show ip dhcp snooping binding

DHCP スヌーピング バインディング データベース内の動的に設定されたバインディングおよび設定情報を表示します。

show ip source binding

DHCP スヌーピング バインディング データベース内の動的および静的に設定されたバインディングを表示します。

ip dhcp snooping database

DHCP スヌーピング バインディング データベース エージェントを設定するには、 ip dhcp snooping database グローバル コンフィギュレーション コマンドを使用します。エージェントのディセーブル化、タイムアウト値のリセット、または書き込み遅延値のリセットを行うには、このコマンドの no 形式を使用します。

ip dhcp snooping database {{ flash:/ filename | ftp:// user:password @host/filename | http://[[ username:password ]@]{ hostname | host-ip }[ /directory ] /image-name .tar | rcp:// user @host/filename | tftp:// host/filename } | timeout seconds | write-delay seconds }

no ip dhcp snooping database [ timeout | write-delay ]

このコマンドは、スイッチが IP サービス イメージ(従来の Enhanced Multilayer Image [EMI])を稼働している場合にのみ利用できます。

 
シンタックスの説明

flash:/ filename

データベース エージェントまたはバインディング ファイルがフラッシュ メモリにあることを指定します。

ftp:// user : password @ host / filename

データベース エージェントまたはバインディング ファイルが FTP(ファイル転送プロトコル)サーバにあることを指定します。

http: //[[username : password ]@]
{ hostname | host-ip }[ /directory ]
/image-name . tar

データベース エージェントまたはバインディング ファイルが FTP サーバにあることを指定します。

rcp:// user @ host / filename

データベース エージェントまたはバインディング ファイルが Remote Copy Protocol(RCP)サーバにあることを指定します。

tftp:// host / filename

データベース エージェントまたはバインディング ファイルが Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバにあることを指定します。

timeout seconds

データベース転送プロセスを打ち切るまでの時間(秒)を指定します。

デフォルト値は 300 秒です。範囲は、0 ~ 86400 です。無期限の期間を定義するには、0 を使用します。これは転送を無期限に続けることを意味します。

write-delay seconds

バインディング データベースが変更されたあとに、転送を遅らせる期間(秒)を指定します。デフォルト値は 300 秒です。指定できる範囲は 15 ~ 86400 です。

 
デフォルト

データベース エージェントまたはバインディング ファイルの URL は、定義されていません。

タイムアウト値は、300 秒(5 分)です。

書き込み遅延値は、300 秒(5 分)です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

DHCP スヌーピング バインディング データベースには、8192 のバインディングを含めることができます。

データベース内のリース時間を正確な時間にするには、Network Time Protocol(NTP)をイネーブルにし、次の機能を設定することを強く推奨します。

NTP 認証

NTP ピアおよびサーバ アソシエーション

NTP ブロードキャスト サービス

NTP アクセス制限

NTP パケット送信元 IP アドレス

NTP が設定されている場合、スイッチのシステム クロックが NTP と同期化されたときにだけ、スイッチがバインディングの変更内容を書き込みます。

NVRAM(不揮発性 RAM)とフラッシュ メモリの両方のストレージ容量には限りがあるため、バインディング ファイルを TFTP サーバ上に保存することを推奨します。スイッチがネットワークベースの URL(TFTP や FTP など)の設定済み URL 内のバインディング ファイルにバインディングを書き込む前に、この URL に空のファイルを作成しておく必要があります。

NVRAM に DHCP スヌーピング バインディング データベースを保存するには、ip dhcp snooping database flash:/ filename コマンドを使用します。 ip dhcp snooping database timeout コマンドに 0 秒を指定し、データベースを TFTP ファイルに書き込んでいるときに TFTP サーバがダウンした場合、データベース エージェントは転送を無期限に続けようとします。この転送が進行中の間、他の転送は開始されません。サーバがダウンしている場合、ファイルを書き込むことができないので、これはあまり重要ではありません。

エージェントをディセーブルにするには、no ip dhcp snooping database コマンドを使用します。

タイムアウト値をリセットするには、no ip dhcp snooping database timeout コマンドを使用します。

書き込み遅延値をリセットするには、no ip dhcp snooping database write-delay コマンドを使用します。

次の例では、IP アドレス 10.1.1.1 の directory という名前のディレクトリ内にバインディング ファイルを保存する方法を示します。TFTP サーバに file という名前のファイルが存在しなければなりません。

Switch(config)# ip dhcp snooping database tftp://10.1.1.1/directory/file
 

次の例では、 file01.txt という名前のバインディング ファイルをスタック マスター NVRAM に保存する方法を示します。

Switch(config)# ip dhcp snooping database flash:file01.txt
 

設定を確認するには、 show ip dhcp snooping database イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping

DHCP スヌーピングが VLAN(仮想 LAN)でイネーブルになります。

ip dhcp snooping binding

DHCP スヌーピング バインディング データベースを設定します。

show ip dhcp snooping database

DHCP スヌーピング データベース エージェントのステータスを表示します。

ip dhcp snooping information option

DHCP オプション 82 データ挿入をイネーブルにするには、 ip dhcp snooping information option グローバル コンフィギュレーション コマンドを使用します。DHCP オプション 82 データ挿入をディセーブルにするには、このコマンドの no 形式を使用します。

ip dhcp snooping information option

no ip dhcp snooping information option

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

DHCP オプション 82 データを挿入します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

DHCP スヌーピング設定を有効にするには、 ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して DCHP スヌーピングをグローバルにイネーブルにする必要があります。

オプション 82 機能がイネーブルで、スイッチが DHCP 要求をホストから受信した場合、オプション 82 情報がパケットに追加されます。オプション 82 情報には、スイッチ MAC(メディア アクセス制御)アドレス(リモート ID サブオプション)およびパケットが受信されたポート ID、 vlan-mod-port (回線 ID サブオプション)が含まれています。スイッチは、オプション 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。

DHCP サーバがパケットを受信する際、IP アドレスの割り当てや、単一のリモート ID や回線 ID に割り当て可能な IP アドレス数の制限といったポリシーの適用に、リモート ID、回線 ID、またはこの両方を使用できます。DHCP サーバは DHCP 応答のオプション 82 フィールドをエコーします。

DHCP サーバは、スイッチによって要求がサーバにリレーされた場合に、スイッチへの応答をユニキャストします。クライアントとサーバが同じサブネット上にある場合、サーバは応答をブロードキャストします。スイッチは、リモート ID と、可能であれば回線 ID を検査して、初めからオプション 82 データが挿入されていたかを確認します。スイッチはオプション 82 フィールドを削除し、DHCP 要求を送信した DHCP ホストを接続するスイッチ ポートにそのパケットを転送します。

次の例では、DHCP オプション 82 データ挿入をイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping information option
 

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

ip dhcp snooping information option allow-untrusted

エッジ スイッチに接続した信頼できないポート上で受信された、オプション 82 情報を含む DHCP パケットを受け付けるように集約スイッチを設定するには、 ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping information option allow-untrusted

no ip dhcp snooping information option allow-untrusted

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

スイッチは、 エッジ スイッチに接続した信頼できないポート上で受信されたオプション 82 情報を含む DHCP パケットを廃棄します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEA

このコマンドが導入されました。

 
使用上のガイドライン

エッジ スイッチには、ネットワークのエッジで DHCP オプション 82 情報を挿入するためのホストを接続できます。また集約スイッチでは、DHCP スヌーピング、IP ソース ガード、またはダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査などの DHCP セキュリティ機能をイネーブルにすることもできます。ただし、集約スイッチで DHCP スヌーピングをイネーブルにすると、スイッチは信頼できないポートで受信したオプション 82 情報を含むパケットを廃棄し、信頼できるインターフェイスに接続されている装置に対する DHCP スヌーピング バインディングを学習しません。

ホストが接続されているエッジ スイッチがオプション 82 情報を挿入している状態で、集約スイッチで DHCP スヌーピングを使用するには、集約スイッチに ip dhcp snooping information option allow-untrusted コマンドを入力します。これにより、集約スイッチは信頼できないポートで DHCP スヌーピング パケットを受信した場合でも、ホストに対するバインディングを学習できます。集約スイッチで DHCP セキュリティ機能をイネーブルにすることもできます。エッジ スイッチの、集約スイッチが接続されるポートは信頼できるポートとして設定される必要があります。


) 信頼できない装置が接続されている集約スイッチには、ip dhcp snooping information option allow-untrusted コマンドを入力しないでください。このコマンドを入力すると、信頼できない装置はオプション 82 情報をスプーフィングできるようになります。


次の例では、エッジ スイッチからの信頼できないパケット内のオプション 82 情報をチェックせずにパケットを受け付けるように、アクセス スイッチを設定する方法を示します。

Switch(config)# ip dhcp snooping information option allow-untrusted
 

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

ip dhcp snooping limit rate

インターフェイスが受信可能な DHCP メッセージの数を秒単位で設定するには、 ip dhcp snooping limit rate インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping limit rate rate

no ip dhcp snooping limit rate

 
シンタックスの説明

rate

インターフェイスが秒単位で受信可能な DHCP メッセージ数。指定できる範囲は 1 ~ 2048 です。

 
デフォルト

DHCP スヌーピング レート制限はディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

12.2(18)SE

範囲が、1 ~ 2048 に変更されました。

 
使用上のガイドライン

通常、レート制限は信頼性のないインターフェイスに適用されます。信頼性のあるインターフェイスにレート制限を設定したい場合、信頼性のあるインターフェイスはスイッチ内にある(スヌーピングされていないものも含む)複数の VLAN(仮想 LAN)上の DHCP トラフィックを集計する場合があり、インターフェイスのレート制限を高めの値に調整する必要があることに留意してください。

レート制限を超過した場合、インターフェイスは errdisable になります。 errdisable recovery dhcp-rate-limit グローバル コンフィギュレーション コマンドを入力してエラー回復をイネーブルにした場合、すべての原因がタイムアウトになると、インターフェイスは動作を再試行します。エラー回復メカニズムをイネーブルにしていない場合、インターフェイスは、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドが入力されるまで errdisable ステートに置かれます。

次の例では、メッセージのレート制限をインターフェイスで 1 秒につき 150 メッセージに設定する方法を示します。

Switch(config-if)# ip dhcp snooping limit rate 150
 

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

errdisable recovery

回復メカニズムを設定します。

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

ip dhcp snooping trust

DHCP スヌーピングのためにポートを信頼性があるものとして設定するには、 ip dhcp snooping trust インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping trust

no ip dhcp snooping trust

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

DHCP スヌーピング信頼性はディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

DHCP サーバまたは他のスイッチやルータに接続されたポートを信頼すると設定します。DHCP クライアントに接続されたポートを信頼しないと設定します。

次の例では、ポートで DHCP スヌーピング信頼性をイネーブルにする方法を示します。

Switch(config-if)# ip dhcp snooping trust
 

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

ip dhcp snooping verify

DHCP パケット内の送信元 MAC(メディア アクセス制御)アドレスがクライアントのハードウェア アドレスに一致するかどうかについて、信頼できないポートで検証するようにスイッチを設定するには、 ip dhcp snooping verify グローバル コンフィギュレーション コマンドを使用します。MAC アドレスを検証しないようにスイッチを設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping verify mac-address

no ip dhcp snooping verify mac-address

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

スイッチは、信頼できないポートで受信された DHCP パケット内の送信元 MAC アドレスがパケット内のクライアントのハードウェア アドレスに一致するかどうかを検証します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

サービス プロバイダーのネットワークでは、スイッチが信頼できないポートで DHCP クライアントからのパケットを受信すると、自動的に送信元 MAC アドレスと DHCP クライアントのハードウェア アドレスが一致するかどうかを検証します。アドレスが一致すると、スイッチはパケットを転送します。アドレスが一致しないと、スイッチはパケットを廃棄します。

次の例では、MAC アドレスの検証をディセーブルにする方法を示します。

Switch(config)# no ip dhcp snooping verify mac-address
 

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

ip dhcp snooping vlan

VLAN(仮想 LAN)上で DHCP スヌーピングをイネーブルにするには、 ip dhcp snooping vlan グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping vlan vlan-range

no ip dhcp snooping vlan vlan-range

 
シンタックスの説明

vlan vlan-range

DHCP スヌーピングをイネーブルにする VLAN ID または VLAN の範囲を指定します。指定できる範囲は 1 ~ 4094 です。

VLAN ID 番号で識別される単一の VLAN ID、カンマで区切った一連の VLAN ID、ハイフンで区切った VLAN ID の範囲、または開始の VLAN ID と終了の VLAN ID をスペースで区切って入力した VLAN ID の範囲を入力できます。

 
デフォルト

すべての VLAN で DHCP スヌーピングはディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

VLAN で DHCP スヌーピングをイネーブルにするには、まず DCHP スヌーピングをグローバルにイネーブルにする必要があります。

次の例では、DHCP スヌーピングを VLAN 10 でイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping vlan 10
 

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

ip igmp filter

インターフェイスに Internet Group Management Protocol(IGMP)を適用することで、レイヤ 2 インターフェイス上のすべてのホストが 1 つまたは複数の IP マルチキャスト グループに参加できるかどうかを制御するには、 ip igmp filter インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスから指定されたプロファイルを削除するには、このコマンドの no 形式を使用します。

ip igmp filter profile number

no ip igmp filter

 
シンタックスの説明

profile number

適用する IGMP プロファイル番号。指定できる範囲は 1 ~ 4294967295 です。

 
デフォルト

IGMP のフィルタは適用されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

IGMP フィルタはレイヤ 2 の物理インターフェイスのみに適用できます。ルーテッド ポート、Switch Virtual Interface(SVI)、または EtherChannel グループに属するポートに対して IGMP フィルタを適用することはできません。

IGMP のプロファイルは 1 つまたは複数のポート インターフェイスに適用できますが、1 つのポートに対して 1 つのプロファイルのみ適用できます。

次の例では、ポートに IGMP プロファイルの 22 を適用する方法を示します。

Switch(config)# interface gigabitethernet0/2
Switch(config-if)# ip igmp filter 22
 

設定を確認するには、 show running-config イネーブル EXEC コマンドを使用してインターフェイスを指定します。

 
関連コマンド

コマンド
説明

ip igmp profile

指定の IGMP プロファイル番号を設定します。

show ip igmp profile

指定の IGMP プロファイルの特性を表示します。

show running-config interface interface-id

スイッチのインターフェイス上で実行している設定を(インターフェイスに適用している IGMP プロファイルがある場合はそれを含み)表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を参照してください。

ip igmp max-groups

レイヤ 2 インターフェイスが参加可能な Internet Group Management Protocol(IGMP)グループの最大数を設定したり、転送テーブル内でエントリが最大数に達した場合の IGMP スロットリング動作を設定したりするには、 ip igmp max-groups インターフェイス コンフィギュレーション コマンドを使用します。最大数を制限なしのデフォルト設定に戻したり、レポートを廃棄するデフォルトのスロットリング動作に戻したりするには、このコマンドの no 形式を使用します。

ip igmp max-groups { number | action { deny | replace }}

no ip igmp max-groups { number | action }

 
シンタックスの説明

number

インターフェイスが加入できる IGMP グループの最大数。指定できる範囲は 0 ~ 4294967294 です。デフォルトの設定に制限はありません。

action deny

IGMP スヌーピング転送テーブル内のエントリが最大数に達すると、次の IGMP 加入レポートを廃棄します。これがデフォルトの動作になります。

action replace

IGMP スヌーピング転送テーブル内のエントリが最大数に達すると、既存のグループを IGMP レポートを受信した新しいグループに置き換えます。

 
デフォルト

最大グループ数のデフォルト設定は、無制限です。

スイッチがインターフェイス上の IGMP グループ エントリの最大数を学習したあとに行われるデフォルトのスロットリング動作は、インターフェイスが受信した次の IGMP レポートを廃棄することで、インターフェイスへの IGMP のエントリを追加しません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、レイヤ 2 物理インターフェイスと論理 EtherChannel インターフェイスでのみ使用可能です。ルーテッド ポート、Switch Virtual Interface(SVI)、または EtherChannel グループに属するポートに対して IGMP 最大グループ数を設定することはできません。

IGMP スロットリング動作を設定するときには、次の注意事項に従ってください。

スロットリング動作を deny と設定して最大グループ制限を設定した場合、すでに転送テーブル内にあるエントリは、削除されませんが期限切れになります。これらのエントリが期限切れになると、転送テーブル内のエントリが最大数に達したときに、スイッチはインターフェイスで次に受信する IGMP レポートを廃棄します。

スロットリング動作を replace と設定して最大グループ制限を設定した場合、すでに転送テーブル内にあるエントリが削除されます。転送テーブル内のエントリが最大数に達すると、スイッチは無作為に選んだマルチキャスト エントリを削除して受信した IGMP レポートを追加します。

グループの最大数制限がデフォルト(無制限)に設定されている場合、 ip igmp max-groups { deny | replace } コマンドを入力しても無効になります。

次の例では、ポートが加入できる IGMP グループ数を 25 に制限する方法を示します。

Switch(config)# interface gigabitethernet0/2
Switch(config-if)# ip igmp max-groups 25
 

次の例では、転送テーブルのエントリが最大数に達した場合に、スイッチが既存のグループを IGMP レポートを受信した新しいグループに置き換える方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip igmp max-groups action replace
 

設定を確認するには、 show running-config イネーブル EXEC コマンドを使用してインターフェイスを指定します。

 
関連コマンド

コマンド
説明

show running-config interface interface-id

インターフェイスが加入できる IGMP グループの最大数やスロットリング動作など、スイッチのインターフェイス上で実行している設定を表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を参照してください。

ip igmp profile

Internet Group Management Protocol(IGMP)プロファイルを作成し、IGMP プロファイル コンフィギュレーション モードを開始するには、 ip igmp profile グローバル コンフィギュレーション コマンドを使用します。このモードから、スイッチポートの IGMP メンバーシップ レポートをフィルタリングするために使用する、IGMP プロファイルの構成を指定します。IGMP プロファイルを削除する場合は、このコマンドの no 形式を使用します。

ip igmp profile profile number

no ip igmp profile profile number

 
シンタックスの説明

profile number

設定する IGMP プロファイル番号。指定できる範囲は 1 ~ 4294967295 です。

 
デフォルト

IGMP プロファイルは定義されていません。設定された場合、デフォルトの IGMP プロファイルとの照合機能は、一致するアドレスを拒否する設定になります。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

IGMP プロファイル コンフィギュレーション モードでは、次のコマンドを使用することでプロファイルを作成できます。

deny :一致するアドレスを拒否します(デフォルト設定の状態)。

exit :IGMP プロファイル コンフィギュレーション モードを終了します。

no :コマンドを無効にする、またはデフォルトにリセットします。

permit :一致するアドレスを許可します。

range :プロファイルに対する IP アドレスの範囲を指定します。1 つの IP アドレス、またはアドレスの最初と最後で範囲を指定することもできます。

範囲を入力する場合、小さい方の IP マルチキャスト アドレスを入力してからスペースを入力し、次に大きい方の IP マルチキャスト アドレスを入力します。

IGMP のプロファイルを、1 つまたは複数のレイヤ 2 インターフェイスに適用できますが、各インターフェイスに適用できるプロファイルは 1 つのみです。

次の例では、IP マルチキャスト アドレスの範囲を指定した IGMP プロファイル 40 の設定方法を示します。

Switch(config)# ip igmp profile 40
Switch(config-igmp-profile)# permit
Switch(config-igmp-profile)# range 233.1.1.1 233.255.255.255
 

コマンド設定を確認するには、 show ip igmp profile イネーブル EXEC コマンドを使用します。

 
関連コマンド

コマンド
説明

ip igmp filter

指定のインターフェイスに対し、IGMP を適用します。

show ip igmp profile

すべての IGMP プロファイル、または指定の IGMP プロファイル番号の特性を表示します。

ip igmp snooping

Internet Group Management Protocol(IGMP)スヌーピングをスイッチ上でグローバルにイネーブル、または VLAN(仮想 LAN)単位でイネーブルにするには、 ip igmp snooping グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping [ vlan vlan-id ]

no ip igmp snooping [ vlan vlan-id ]

 
シンタックスの説明

vlan vlan-id

(任意)指定の VLAN で IGMP スヌーピングをイネーブルにします。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。

 
デフォルト

スイッチ上で、IGMP スヌーピングはグローバルにイネーブルです。

VLAN インターフェイス上で、IGMP スヌーピングはイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

IGMP スヌーピングがグローバルにイネーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがイネーブルになります。IGMP スヌーピングがグローバルにディセーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがディセーブルになります。

1002 ~ 1005 の VLAN ID は、トークンリング VLAN および FDDI VLAN のために予約されているため、IGMP スヌーピングには使用できません。

次の例では、IGMP スヌーピングをグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping
 

次の例では、IGMP スヌーピングを VLAN 1 でイネーブルにする方法を示します。

Switch(config)# ip igmp snooping vlan 1
 

設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping mrouter

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチに設定された IGMP クエリアの設定および動作情報を表示します。

ip igmp snooping last-member-query-interval

Internet Group Management Protocol(IGMP)設定可能脱退タイマーをグローバルにまたは VLAN(仮想 LAN)単位でイネーブルにするには、 ip igmp snooping last-member-query-interval グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping [ vlan vlan-id ] last-member-query-interval time

no ip igmp snooping [ vlan vlan-id ] last-member-query-interval

 
シンタックスの説明

vlan vlan-id

(任意)指定の VLAN で IGMP スヌーピングおよび脱退タイマーをイネーブルにします。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。

time

間隔のタイムアウト(秒)。指定できる範囲は 100 ~ 5000 ミリ秒です。

 
デフォルト

デフォルトのタイムアウト設定は 1000 ミリ秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEB

このコマンドが導入されました。

 
使用上のガイドライン

IGMP スヌーピングがグローバルにイネーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがイネーブルになります。IGMP スヌーピングがグローバルにディセーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがディセーブルになります。

1002 ~ 1005 の VLAN ID は、トークンリング VLAN および FDDI VLAN のために予約されているため、IGMP スヌーピングには使用できません。

VLAN で脱退タイマーを設定すると、グローバル設定が上書きされます。

IGMP 設定可能脱退タイマーは、IGMP バージョン 2 が稼働している装置でのみサポートされます。

設定は、NVRAM(不揮発性 RAM)に保存されます。

次の例では、IGMP 脱退タイマーを 2000 ミリ秒としてグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping last-member-query-interval 2000
 

次の例では、VLAN 1 で IGMP 脱退タイマーを 3000 ミリ秒として設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 last-member-query-interval 3000
 

設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping

スイッチ上または VLAN 上の IGMP スヌーピングをイネーブルにします。

ip igmp snooping vlan immediate-leave

IGMP 即時脱退処理をイネーブルにします。

ip igmp snooping vlan mrouter

レイヤ 2 ポートをマルチキャスト ルータ ポートとして設定します。

ip igmp snooping vlan static

レイヤ 2 ポートをグループのメンバーとして設定します。

show ip igmp snooping

IGMP スヌーピング設定を表示します。

ip igmp snooping querier

レイヤ 2 ネットワーク内で Internet Group Management Protocol(IGMP)クエリア機能をグローバルにイネーブルするには、 ip igmp snooping querier グローバル コンフィギュレーション コマンドを使用します。キーワードと合わせてコマンドを使用し、VLAN(仮想 LAN)インターフェイス上で IGMP クエリア機能をイネーブルにして設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping querier [ vlan vlan-id ] [ address ip-address | max-response-time response-time | query-interval interval-count | tcn query [ count count | interval interval ] | timer expiry | version version ]

no ip igmp snooping querier [ vlan vlan-id ] [ address | max-response-time | query-interval | tcn query { count count | interval interval } | timer expiry | version ]

 
シンタックスの説明

vlan vlan-id

(任意)指定の VLAN で IGMP スヌーピングおよび IGMP クエリア機能をイネーブルにします。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。

address ip-address

(任意)送信元 IP アドレスを指定します。IP アドレスを指定しない場合は、クエリアは IGMP クエリアに対して設定されたグローバル IP アドレスを使用します。

max-response-time response-time

(任意)IGMP クエリア レポートを待機する最大時間を設定します。指定できる範囲は 1 ~ 25 秒です。

query-interval interval-count

(任意)IGMP クエリアの間隔を設定します。指定できる範囲は 1 ~ 18000 秒です。

tcn query [ count count | interval interval ]

(任意)Topology Change Notifications(TCN; トポロジー変更通知)に関連するパラメータを設定します。キーワードの意味は次のとおりです。

count count ― TCN 間隔内に実行される TCN クエリーの回数を設定します。指定できる範囲は 1 ~ 10 です。

interval interval ― TCN クエリー間隔を設定します。指定できる範囲は 1 ~ 255 です。

timer expiry

(任意)IGMP クエリアが期限切れになるまでの時間を設定します。指定できる範囲は 60 ~ 300 秒です。

version version

(任意)クエリア機能が使用する IGMP バージョン番号を選択します。1 または 2 を選択できます。

 
デフォルト

スイッチの IGMP スヌーピング クエリア機能はグローバルにディセーブルです。

イネーブルの場合、マルチキャストがイネーブルになっている装置からの IGMP トラフィックを検出すると、IGMP スヌーピング クエリアは自身をディセーブルにします。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEA

このコマンドが導入されました。

 
使用上のガイドライン

IGMP クエリー メッセージを送信する装置( クエリア )の IGMP バージョンと IP アドレスを検出するために IGMP スヌーピングをイネーブルするには、このコマンドを使用します。

デフォルトでは、IGMP スヌーピング クエリアは IGMP バージョン 2 (IGMPv2)を使用する装置を検出するが、IGMP バージョン 1 (IGMPv1)を使用するクライアントを検出しないように設定されます。装置が IGMPv2 を使用する場合は、 max-response-time 値を手動で設定できます。装置が IGMPv1 を使用する場合は、 max-response-time を設定できません(値は設定できず、0 に固定されます)。

IGMPv1 を実行する非 RFC 準拠装置は、 max-response-time 値として 0 以外の値を持つ IGMP 汎用クエリー メッセージを拒絶する場合があります。装置が IGMP 汎用クエリー メッセージを受け付けるようにするには、IGMPv1 を実行するように IGMP スヌーピング クエリアを設定します。

1002 ~ 1005 の VLAN ID は、トークンリング VLAN および FDDI VLAN のために予約されているため、IGMP スヌーピングには使用できません。

次の例では、IGMP スヌーピング クエリア機能をグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping querier
 

次の例では、IGMP スヌーピング クエリア最大応答時間を 25 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier max-response-time 25
 

次の例では、IGMP スヌーピング クエリア間隔を 60 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier query-interval 60
 

次の例では、IGMP スヌーピング クエリア TCN クエリー回数を 25 に設定する方法を示します。

Switch(config)# ip igmp snooping querier tcn count 25
 

次の例では、IGMP スヌーピング クエリア タイムアウトを 60 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier timeout expiry 60
 

次の例では、IGMP スヌーピング クエリア機能をバージョン 2 に設定する方法を示します。

Switch(config)# ip igmp snooping querier version 2
 

設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

IGMP スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping mrouter

IGMP スヌーピング ルータ ポートを表示します。

ip igmp snooping report-suppression

Internet Group Management Protocol(IGMP)レポート抑制をイネーブルにするには、 ip igmp snooping report-suppression グローバル コンフィギュレーション コマンドを使用します。IGMP レポート抑制をディセーブルにしてすべての IGMP レポートをマルチキャスト ルータに転送するには、このコマンドの no 形式を使用します。

ip igmp snooping report-suppression

no ip igmp snooping report-suppression

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

IGMP レポート抑制はイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

IGMP レポート抑制は、マルチキャスト クエリーに IGMPv1 および IGMPv2 レポートがある場合のみサポートされます。この機能は、クエリーに IGMPv1 レポートが含まれている場合はサポートされません。

スイッチは IGMP レポート抑制を使用してマルチキャスト ルータ クエリーごとに 1 つの IGMP レポートをマルチキャスト装置に転送します。IGMP ルータ抑制がイネーブル(デフォルト)の場合、スイッチはグループのすべてのホストの中から最初に来る IGMP レポートを、すべてのマルチキャスト ルータに転送します。スイッチは、グループの残りの IGMP レポートをマルチキャスト ルータに送信しません。この機能により、マルチキャスト装置に重複レポートを送信することが避けられます。

マルチキャスト ルータ クエリーに、IGMPv1 および IGMPv2 レポートのみに対する要求が含まれている場合、スイッチはグループのすべてのホストの中から最初に来る IGMPv1 または IGMPv2 レポートのみを、すべてのマルチキャスト ルータに転送します。マルチキャスト ルータのクエリーに IGMPv3 レポートに対する要求も含まれている場合、スイッチはグループのすべての IGMPv1、IGMPv2、および IGMPv3 レポートをマルチキャスト装置に転送します。

no ip igmp snooping report-suppression コマンドを入力して IGMP レポート抑制をディセーブルにする場合、すべての IGMP レポートがすべてのマルチキャスト ルータに転送されます。

次の例では、レポート抑制をディセーブルにする方法を示します。

Switch(config)# no ip igmp snooping report-suppression
 

設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping

スイッチ上または VLAN 上の IGMP スヌーピングをイネーブルにします。

show ip igmp snooping

スイッチまたは VLAN の IGMP スヌーピング設定を表示します。

ip igmp snooping tcn

Internet Group Management Protocol(IGMP)Topology Change Notifications(TCN; トポロジー変更通知)動作を設定するには、 ip igmp snooping tcn グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping tcn { flood query count count | query solicit }

no ip igmp snooping tcn { flood query count | query solicit }

 
シンタックスの説明

flood query count count

マルチキャスト トラフィックをフラッディングする場合の IGMP 汎用クエリー数を指定します。指定できる範囲は 1 ~ 10 です。

query solicit

IGMP Leave メッセージ(グローバル Leave)を送信して、TCN イベント中に発生したフラッディング モードからの回復プロセスを早めます。

 
デフォルト

TCN フラッディング クエリー数は 2 です。

TCN クエリー送信請求はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEB

このコマンドが導入されました。

 
使用上のガイドライン

TCN イベントのあとにマルチキャスト トラフィックをフラッディングする時間を制御するには、 ip igmp snooping tcn flood query count グローバル コンフィギュレーション コマンドを使用します。 ip igmp snooping tcn flood query count コマンドを使用して TCN フラッディング クエリー数を 1 に設定した場合、汎用クエリーを 1 つ受信してからフラッディングを停止します。回数を 7 に設定すると、汎用クエリーを 7 個を受信するまで TCN イベントによるマルチキャスト トラフィックのフラッディングが続きます。TCN イベント中に受信した汎用クエリーに基づいて、グループが再学習されます。

スイッチをイネーブルにして、スイッチがスパニングツリー ルートかどうかにかかわらずグローバル Leave メッセージを送信するには、 ip igmp snooping tcn query solicit グローバル コンフィギュレーション コマンドを使用します。また、このコマンドは TCN イベント中に発生したフラッディング モードからの回復プロセスを早めます。

次の例では、マルチキャスト トラフィックをフラッディングする場合の IGMP 汎用クエリーの数を 7 に指定する方法を示します。

Switch(config)# no ip igmp snooping tcn flood query count 7
 

設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping

スイッチ上または VLAN 上の IGMP スヌーピングをイネーブルにします。

ip igmp snooping tcn flood

インターフェイス上のフラッディングを IGMP スヌーピング スパニングツリーの TCN 動作として指定します。

show ip igmp snooping

スイッチまたは VLAN の IGMP スヌーピング設定を表示します。

ip igmp snooping tcn flood

マルチキャスト フラッディングをInternet Group Management Protocol(IGMP)スヌーピング スパニングツリー Topology Change Notifications(TCN; トポロジー変更通知)動作として指定するには、 ip igmp snooping tcn flood インターフェイス コンフィギュレーション コマンドを使用します。 マルチキャスト フラッディングをディセーブルにするには、このコマンドの no 形式を使用します。

ip igmp snooping tcn flood

no ip igmp snooping tcn flood

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

マルチキャスト フラッディングは、スパニングツリー TCN イベント中はインターフェイス上でイネーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEB

このコマンドが導入されました。

 
使用上のガイドライン

スイッチが TCN を受信すると、汎用クエリーを 2 つ受信するまでマルチキャスト トラフィックはすべてのポートにフラッディングされます。スイッチに、別のマルチキャスト グループに加入している接続ホストを持ったポートが多数ある場合、フラッディングはリンクの容量を超えてパケット損失を発生させることがあります。

ip igmp snooping tcn flood query count count グローバル コンフィギュレーション コマンドを使用することで、フラッディング クエリー数を変更できます。

次の例では、インターフェイスでマルチキャスト フラッディングをディセーブルにする方法を示します。

Switch(config)# interface gigabitethernet0/2
Switch(config-if)# no ip igmp snooping tcn flood
 

設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping

スイッチ上または VLAN(仮想 LAN)上の IGMP スヌーピングをイネーブルにします。

ip igmp snooping tcn

スイッチに IGMP TCN 動作を設定します。

show ip igmp snooping

スイッチまたは VLAN の IGMP スヌーピング設定を表示します。

ip igmp snooping vlan immediate-leave

VLAN(仮想 LAN)単位で Internet Group Management Protocol(IGMP)スヌーピング即時脱退処理をイネーブルにするには、 ip igmp snooping immediate-leave グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id immediate-leave

no ip igmp snooping vlan vlan-id immediate-leave

 
シンタックスの説明

vlan-id

指定の VLAN で IGMP スヌーピングおよび即時脱退機能をイネーブルにします。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。

 
デフォルト

IGMP の即時脱退処理はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

1002 ~ 1005 の VLAN ID は、トークンリング VLAN および FDDI VLAN のために予約されているため、IGMP スヌーピングには使用できません。

VLAN のすべてのポート上にレシーバーが 1 つ(最大数)存在している場合のみ、即時脱退処理機能を設定してください。設定は、NVRAM(不揮発性 RAM)に保存されます。

即時脱退機能をサポートするのは、IGMP バージョン 2 が稼働しているホストだけです。

次の例では、VLAN 1で IGMP 即時脱退処理をイネーブルにする方法を示します。

Switch(config)# ip igmp snooping vlan 1 immediate-leave
 

設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping mrouter

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチに設定された IGMP クエリアの設定および動作情報を表示します。

ip igmp snooping vlan mrouter

マルチキャスト ルータ ポートを追加する、またはマルチキャスト学習方法を設定するには、 ip igmp snooping mrouter グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id mrouter { interface interface-id | learn { cgmp | pim-dvmrp }}

no ip igmp snooping vlan vlan-id mrouter { interface interface-id | learn { cgmp | pim-dvmrp }}

 
シンタックスの説明

vlan-id

IGMP スヌーピングをイネーブルにし、指定の VLAN のポートをマルチキャスト ルータ ポートとして追加します。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。

interface interface-id

ネクスト ホップ インターフェイスをマルチキャスト ルータに指定します。キーワードの意味は次のとおりです。

fastethernet interface number ― ファスト イーサネット IEEE 802.3 インターフェイス

gigabitethernet interface number ― ギガビット イーサネット IEEE 802.3z インターフェイス

port-channel interface number ― チャネル インターフェイス。指定できる範囲は 0 ~ 48 です。

learn { cgmp | pim-dvmrp }

マルチキャスト ルータ学習方法を指定します。キーワードの意味は次のとおりです。

cgmp ― Cisco Group Management Protocol(CGMP)パケットでのスヌーピングによりスイッチがマルチキャスト ルータ ポートを学習するよう設定します。

pim-dvmrp ― IGMP クエリーおよび Protocol-Independent Multicasting-Distance Vector Multicast Routing Protocol(PIM-DVMRP)パケットによりスイッチがマルチキャスト ルータ ポートを学習するよう設定します。

 
デフォルト

マルチキャスト ルータ ポートはありません。

デフォルトの学習方式は pim-dvmrp です。IGMP クエリーおよび PIM-DVMRP パケットをスヌーピングします。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

1002 ~ 1005 の VLAN ID は、トークンリング VLAN および FDDI VLAN のために予約されているため、IGMP スヌーピングには使用できません。

CGMP の学習方式は制御トラフィックの削減に役立ちます。

設定は、NVRAM(不揮発性 RAM)に保存されます。

次の例では、ポートをマルチキャスト ルータ ポートとして設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 mrouter interface gigabitethernet0/2
 

次の例では、マルチキャスト ルータ学習方式を CGMP として指定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 mrouter learn cgmp
 

設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping mrouter

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチに設定された IGMP クエリアの設定および動作情報を表示します。

ip igmp snooping vlan static

Internet Group Management Protocol(IGMP)スヌーピングをイネーブルにし、マルチキャスト グループのメンバーとしてレイヤ 2 ポートを静的に追加するには、 ip igmp snooping static グローバル コンフィギュレーション コマンドを使用します。スタティック マルチキャスト グループのメンバーとして指定されたポートを削除するには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id static ip-address interface interface-id

no ip igmp snooping vlan vlan-id static ip-address interface interface-id

 
シンタックスの説明

vlan-id

指定の VLAN で IGMP スヌーピングをイネーブルにします。指定できる範囲は 1 ~ 1001 および 1006 ~ 4094 です。

ip-address

指定のグループ IP アドレスを持ったマルチキャスト グループのメンバーとして、レイヤ 2 ポートを追加します。

interface interface-id

メンバー ポートのインターフェイスを指定します。キーワードの意味は次のとおりです。

fastethernet interface number ― ファスト イーサネット IEEE 802.3 インターフェイス

gigabitethernet interface number ― ギガビット イーサネット IEEE 802.3z インターフェイス

port-channel interface number ― チャネル インターフェイス。指定できる範囲は 0 ~ 48 です。

 
デフォルト

デフォルトでは、マルチキャスト グループのメンバーとして静的に設定されたポートはありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

1002 ~ 1005 の VLAN ID は、トークンリング VLAN および FDDI VLAN のために予約されているため、IGMP スヌーピングには使用できません。

設定は、NVRAM(不揮発性 RAM)に保存されます。

次の例では、インターフェイス上でホストを静的に設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 static 0100.5e02.0203 interface gigabitethernet0/1
Configuring port gigabitethernet0/1 on group 0100.5e02.0203
 

設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping mrouter

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチに設定された IGMP クエリアの設定および動作情報を表示します。

ip source binding

スイッチにスタティック IP 送信元バインディングを設定するには、 ip source binding グローバル コンフィギュレーション コマンドを使用します。スタティック バインディングを削除する場合は、このコマンドの no 形式を使用します。

ip source binding mac-address vlan vlan-id ip-address interface interface-id

no source binding mac-address vlan vlan-id ip-address interface interface-id

このコマンドは、スイッチが IP サービス イメージ(従来の Enhanced Multilayer Image [EMI])を稼働している場合にのみ利用できます。

 
シンタックスの説明

mac-address

MAC(メディア アクセス制御)アドレスを指定します。

vlan vlan-id

VLAN(仮想 LAN)番号を指定します。指定できる範囲は 1 ~ 4094 です。

ip-address

IP アドレスを指定します。

interface interface-id

IP 送信元バインディングを追加または削除するインターフェイスを指定します。

 
デフォルト

IP 送信元バインディングは設定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

スタティック IP 送信元バインディング エントリには、IP アドレス、関連付けられた MAC アドレス、および関連付けられた VLAN 番号が含まれます。エントリは、MAC アドレスおよび VLAN 番号に基づいています。IP アドレスのみの変更でエントリを変更する場合は、スイッチは新しいエントリを作成せずに、エントリを更新します。

次の例では、スタティック IP 送信元バインディングを追加する方法を示します。

Switch(config)# ip source binding 0001.1234.1234 vlan 1 172.20.50.5 interface gigabitethernet0/1
 

次の例では、スタティック バインディングを追加してから、その IP アドレスを変更する方法を示します。

Switch(config)# ip source binding 0001.1357.0007 vlan 1 172.20.50.25 interface gigabitethernet0/1
Switch(config)# ip source binding 0001.1357.0007 vlan 1 172.20.50.30 interface gigabitethernet0/1
 

コマンド設定を確認するには、 show ip source binding イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip verify source

インターフェイス上の IP 送信元ガードをイネーブルにします。

show ip source binding

スイッチ上の IP 送信元バインディングを表示します。

show ip verify source

スイッチ上または特定のインターフェイス上の IP 送信元ガードの設定を表示します。

ip ssh

Secure Shell(SSH; セキュア シェル)バージョン 1 または SSH バージョン 2 を実行するようにスイッチを設定するには、 ip ssh グローバル コンフィギュレーション コマンドを使用します。このコマンドを使用するには、スイッチで暗号化ソフトウェア イメージが実行されている必要があります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip ssh version [ 1 | 2 ]

no ip ssh version [ 1 | 2 ]

 
シンタックスの説明

1

(任意)SSH バージョン 1(SSHv1)を実行するようにスイッチを設定します。

2

(任意)SSH バージョン 2(SSHv2)を実行するようにスイッチを設定します。

 
デフォルト

デフォルトのバージョンは、SSH クライアントがサポートする最新の SSH バージョンです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを入力しない場合、またはキーワードを指定しない場合、SSH サーバは SSH クライアントがサポートする最新の SSH バージョンを選択します。たとえば、SSH クライアントが SSHv1 と SSHv2 をサポートする場合、SSH サーバは SSHv2 を選択します。

スイッチは SSHv1 または SSHv2 サーバをサポートします。また、SSHv1 クライアントについてもサポートします。SSH サーバおよび SSH クライアントに関する詳細情報は、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

SSHv1 サーバで生成される Rivest, Shamir, and Adelman(RSA)鍵ペアは SSHv2 サーバで使用可能で、その逆も可能です。

次の例では、SSH バージョン 2 を実行するようにスイッチを設定する方法を示します。

Switch(config)# ip ssh version 2
 

コマンド設定を確認するには、 show ip ssh または show ssh イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip ssh

SSH サーバがイネーブルであるかどうかを表示し、SSH サーバのバージョンと設定情報を表示します。構文情報については、 Cisco IOS Release 12.2 Configuration Guides and Command References > Cisco IOS Security Command Reference, Release 12.2 > Other Security Features > Secure Shell Commands を参照してください。

show ssh

SSH サーバのステータスを表示します。構文情報については、 Cisco IOS Release 12.2 Configuration Guides and Command References > Cisco IOS Security Command Reference, Release 12.2 > Other Security Features > Secure Shell Commands を参照してください。

ip verify source

インターフェイス上の IP 送信元ガードをイネーブルにするには、 ip verify source インターフェイス コンフィギュレーション コマンドを使用します。IP 送信元ガードをディセーブルにするには、このコマンドの no 形式を使用します。

ip verify source [ port-security ]

no ip verify source

 
シンタックスの説明

port-security

(任意)IP および MAC(メディア アクセス制御)アドレス フィルタリングによる IP 送信元ガードをイネーブルにします。

port-security キーワードを入力しない場合、IP アドレス フィルタリングによる IP 送信元ガードがイネーブルになります。

 
デフォルト

IP 送信元ガードはディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが導入されました。

 
使用上のガイドライン

送信元 IP アドレス フィルタリングによる IP 送信元ガードをイネーブルにするには、 ip verify source インターフェイス コンフィギュレーション コマンドを使用します。

送信元 IP および MAC アドレス フィルタリングによる IP 送信元ガードをイネーブルにするには、 ip verify source port-security インターフェイス コンフィギュレーション コマンドを使用します。

送信元 IP および MAC アドレス フィルタリングによる IP 送信元ガードをイネーブルにするには、インターフェイスのポート セキュリティをイネーブルにする必要があります。

次の例では、送信元 IP アドレス フィルタリングによる IP 送信元ガードをイネーブルにする方法を示します。

Switch(config-if)# ip verify source
 

次の例では、送信元 IP および MAC アドレス フィルタリングによる IP 送信元ガードをイネーブルにする方法を示します。

Switch(config-if)# ip verify source port-security
 

コマンド設定を確認するには、 show ip source binding イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip source binding

スイッチにスタティック バインディングを設定します。

show ip verify source

スイッチ上または特定のインターフェイス上の IP 送信元ガードの設定を表示します。

ipv6 access-list

IPv6 アクセス リストを定義し、スイッチで IPv6 アクセス リスト コンフィギュレーション モードを開始するには、 ipv6 access-list グローバル コンフィギュレーション コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。

ipv6 access-list access-list-name

no ipv6 access-list access-list-name


) このコマンドは、スイッチがアドバンスト IP サービス イメージを稼働し、スイッチ上にデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にのみ利用できます。


 
シンタックスの説明

access-list-name

IPv6 アクセス リスト名。名前にはスペースまたは引用符を含めることはできません。また、数字で始めることはできません。

 
デフォルト

IPv6 アクセス リストは定義されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

IPv6 専用である点を除くと、 ipv6 access-list コマンドは ip access-list コマンドと類似しています。


) IPv6 ACL(アクセス制御リスト)は一意な名前によって定義されます(IPv6 は番号付けされた ACL をサポートしません)。IPv4 ACL と IPv6 ACL は同じ名前を共有できません。


IPv6 オプション ヘッダーに基づいた IPv6 トラフィックのフィルタリングに関する情報と任意の上位層プロトコル タイプ情報の詳細については、 ipv6 access-list および permit(IPv6 アクセス リスト コンフィギュレーション) コマンドを参照してください。変換された IPv6 ACL の設定例については、「例」を参照してください。


) 各 IPv6 ACL には最後の一致条件として、暗黙の permit icmp any any nd-napermit icmp any any nd-ns、および deny ipv6 any any ステートメントがあります。このうちの 2 つの permit 条件は、ICMPv6 近隣探索を許可します。ICMPv6 近隣探索を許可しないで icmp any any nd-na または icmp any any nd-ns を拒否するには、明示的な拒否エントリが ACL 内にある必要があります。暗黙的な deny ipv6 any any ステートメントを有効にするには、IPv6 ACL に 1 つ以上のエントリを含める必要があります。
IPv6 近隣探索プロセスでは、IPv6 ネットワーク レイヤ サービスを使用します。したがって、デフォルトでは、IPv6 ACL により、IPv6 近隣探索パケットのインターフェイス上での送受信が暗黙的に許可されます。IPv4 では、IPv6 近隣探査プロセスと同等の Address Resolution Protocol(ARP; アドレス解決プロトコル)は、別のデータリンク レイヤ プロトコルを使用します。したがってデフォルトでは、IPv4 ACL により、ARP パケットのインターフェイス上での送受信が暗黙的に許可されます。


IPv6 ACL を IPv6 インターフェイスに適用するには、 access-list-name 引数を指定して ipv6 traffic-filter インターフェイス コンフィギュレーション コマンドを使用します。着信および発信 IPv6 ACL を レイヤ 3 物理インターフェイス、またはルーテッド ACL の Switch Virtual Interface(SVI)に適用できますが、ポート ACL のレイヤ 2 インターフェイスに適用できるのは、着信 IPv6 ACL のみです。


ipv6 traffic-filter コマンドでインターフェイスに適用された IPv6 ACL は、スイッチによって転送されるトラフィックはフィルタリングしますが、スイッチによって生成されたトラフィックはフィルタリングしません。


次の例では、スイッチを IPv6 アクセス リスト コンフィギュレーション モードにし、list2 という名の IPv6 ACL を設定し、その ACL をインターフェイス上の発信トラフィックに適用します。最初の ACL エントリは、ネットワーク FE80:0:0:2::/64 からのすべてのパケット(送信元 IPv6 アドレスの最初の 64 ビットとして、リンクローカル プレフィクス FE80:0:0:2 のあるパケット)がインターフェイスから送信されるのを防ぎます。ACL の 2 番めのエントリは、その他すべてのトラフィックがインターフェイスから送信されるのを許可します。すべてのパケットを拒否する暗黙の条件が各 IPv6 ACL の末尾にあるので、この 2 番めのエントリが必要となります。

Switch(config)# ipv6 access-list list2
Switch(config-ipv6-acl)# deny FE80:0:0:2::/64 any
Switch(config-ipv6-acl)# permit any any
Switch(config-ipv6-acl)# exit
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# no switchport
Switch(config-if)# ipv6 address 2001::/64 eui-64
Switch(config-if)# ipv6 traffic-filter list2 out

) 暗黙の拒否条件に依存する、または deny any any ステートメントを指定してトラフィックをフィルタリングする IPv6 ACL には、プロトコル パケットのフィルタリングを避けるためリンクローカル アドレスに対する permit ステートメントを含める必要があります。また、deny ステートメントを使用してトラフィックをフィルタリングする IPv6 ACL では、permit any any ステートメントをリストの最後のステートメントとして使用する必要があります。


 
関連コマンド

コマンド
説明

deny(IPv6 アクセス リスト コンフィギュレーション)

IPv6 アクセス リストに拒否条件を設定します。

ipv6 traffic-filter

インターフェイス上の着信または発信 IPv6 トラフィックをフィルタリングします。

permit(IPv6 アクセス リスト コンフィギュレーション)

IPv6 アクセス リストに許可条件を設定します。

show ipv6 access-list

現在の IPv6 アクセス リストすべての内容を表示します。

ipv6 mld snooping

IP version 6(IPv6)Multicast Listener Discovery(MLD)スヌーピングをグローバルに、または指定の VLAN 上でイネーブルにするには、キーワードを指定しないで ipv6 mld snooping グローバル コンフィギュレーション コマンドを使用します。MLD スヌーピングをスイッチまたは VLAN(仮想 LAN)でディセーブルにするには、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ]

no ipv6 mld snooping [ vlan vlan-id ]


) このコマンドは、スイッチがアドバンスト IP サービス イメージを稼働し、スイッチ上にデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にのみ利用できます。


 
シンタックスの説明

vlan vlan-id

(任意)指定の VLAN で IPv6 MLD スヌーピングをイネーブルまたはディセーブルにします。指定できる VLAN ID 範囲は 1 ~ 1001 または 1006 ~ 4094 です。

 
デフォルト

スイッチ上で、MLD スヌーピングはグローバルにディセーブルです。

すべての VLAN で MLD スヌーピングはイネーブルです。ただし、VLAN スヌーピングが実行される前に、MLD スヌーピングをグローバルにイネーブルにする必要があります。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

MLD スヌーピングがグローバルにディセーブルである場合、すべての既存の VLAN インターフェイスで MLD スヌーピングがディセーブルになります。MLD スヌーピングをグローバルにイネーブルにすると、デフォルトの状態(イネーブル)であるすべての VLAN インターフェイス上でMLD スヌーピングがイネーブルになります。VLAN 設定は、MLD スヌーピングがディセーブルのインターフェイス上のグローバル コンフィギュレーションを上書きします。

MLD スヌーピングがグローバルにディセーブルである場合、VLAN 上でMLD スヌーピングをイネーブルにできません。MLD スヌーピングがグローバルにイネーブルである場合、個々の VLAN 上でMLD スヌーピングをディセーブルにできます。

IPv6 マルチキャスト ルータが Catalyst 6500 スイッチであり、拡張 VLAN(範囲 1006 ~ 4094)を使用する場合、Catalyst 3750 または Catalyst 3560 スイッチが VLAN 上でクエリーを受信できるようにするため、IPv6 MLD スヌーピングを Catalyst 6500 スイッチの拡張 VLAN でイネーブルにする必要があります。標準範囲 VLAN(1 ~ 1005)の場合、IPv6 MLD スヌーピングを Catalyst 6500 スイッチの VLAN でイネーブルにする必要はありません。

1002 ~ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

次の例では、MLD スヌーピングをグローバルにイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping
 

次の例では、MLD スヌーピングを VLAN でディセーブルにする方法を示します。

Switch(config)# no ipv6 mld snooping vlan 11
 

設定を確認するには、 show ipv6 mld snooping ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping

MLD スヌーピング設定を表示します。

ipv6 mld snooping last-listener-query-count

IP version 6(IPv6)Multicast Listener Discovery Mulitcast Address Specific Queries(MASQ)を設定する、または クライアントが期限切れになる前に送信するよう設定するには、 ipv6 mld snooping last-listener-query-count グローバル コンフィギュレーション コマンドを使用します。クエリー カウントをデフォルト設定にリセットする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ] last-listener-query-count integer_value

no ipv6 mld snooping [ vlan vlan-id ] last-listener-query-count


) このコマンドは、スイッチがアドバンスト IP サービス イメージを稼働し、スイッチ上にデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にのみ利用できます。


 
シンタックスの説明

vlan vlan-id

(任意)指定の VLAN(仮想 LAN)で last-listener クエリー カウントを設定します。指定できる VLAN ID 範囲は 1 ~ 1001 または 1006 ~ 4094 です。

integer_value

指定できる範囲は 1 ~ 7 です。

 
コマンドのデフォルト設定

デフォルトのグローバル カウントは 2 です。

デフォルトの VLAN カウントは 0 です(グローバル カウントを使用します)。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

MLD スヌーピングでは、IPv6 マルチキャスト ルータはマルチキャスト グループに所属するホストにクエリーを定期的に送信します。ホストがマルチキャスト グループを脱退する場合、ホストは静かに脱退する、または Multicast Listener Done メッセージでクエリーに応答できます(IGMP Leave メッセージに相当)。即時脱退が設定されていない場合(1 つのグループに対し複数のクライアントが同じポート上に存在する場合は設定しない)、設定された last-listener クエリー カウントにより、MLD クライアントが期限切れになる前に送信する MASQ の数が決定します。

last-listener クエリー カウントが VLAN 用に設定されている場合、このカウントはグローバルに設定された値より優先されます。VLAN カウントが設定されていない(デフォルトの 0 に設定されている)場合は、グローバル カウントが使用されます。

1002 ~ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

次の例では、last-listener クエリー カウントをグローバルに設定する方法を示します。

Switch(config)# ipv6 mld snooping last-listener-query-count 1
 

次の例では、last-listener クエリー カウントを VLAN 10 に設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 10 last-listener-query-count 3
 

設定を確認するには、 show ipv6 mld snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ipv6 mld snooping last-listener-query-interval

IPv6 MLD スヌーピング last-listener クエリー間隔を設定します。

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping querier

MLD スヌーピング設定を表示します。

ipv6 mld snooping last-listener-query-interval

IP version 6(IPv6)Multicast Listener Discovery(MLD)スヌーピング last-listener クエリー間隔をスイッチまたは VLAN に設定にするには、 ipv6 mld snooping last-listener-query-interval グローバル コンフィギュレーション コマンドを使用します。この時間間隔は、 Mulitcast Address Specific Query(MASQ)を送信したあとマルチキャスト グループからポートを削除する前にマルチキャスト ルータが待機する最大時間です。クエリー時間をデフォルト設定にリセットする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ] last-listener-query-interval integer_value

no ipv6 mld snooping [ vlan vlan-id ] last-listener-query-interval


) このコマンドは、スイッチがアドバンスト IP サービス イメージを稼働し、スイッチ上にデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にのみ利用できます。


 
シンタックスの説明

vlan vlan-id

(任意)指定の VLAN で last-listener クエリー時間を設定します。指定できる VLAN ID 範囲は 1 ~ 1001 または 1006 ~ 4094 です。

integer_value

MASQ を送信したあとマルチキャスト グループからポートを削除する前に MASQ マルチキャスト ルータが待機する時間(1000 秒単位)を設定します。指定できる範囲は 100 ~ 32,768 です。デフォルト値は 1000(1 秒)です。

 
コマンドのデフォルト設定

デフォルトのグローバル クエリー間隔(最大応答時間)は 1000(1 秒)です。

デフォルトの VLAN クエリー間隔(最大応答時間)は 0 です(グローバル カウントが使用されます)。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

MLD スヌーピングでは、IPv6 マルチキャスト ルータが MLD 脱退メッセージを受信すると、マルチキャスト グループに所属するホストにクエリーを送信します。一定の時間、ポートから MASQ への応答がない場合、ルータはマルチキャスト アドレスのメンバーシップ データベースからそのポートを削除します。last listener クエリー間隔は、応答のないポートをマルチキャスト グループから削除する前にルータが待機する最大時間です。

VLAN クエリー間隔が設定されていると、グローバル クエリー間隔より優先されます。VLAN 間隔が 0 に設定されていると、グローバル値が使用されます。

1002 ~ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

次の例では、last-listener クエリー間隔を 2 秒にグローバルに設定する方法を示します。

Switch(config)# ipv6 mld snooping last-listener-query-interval 2000
 

次の例では、VLAN 1 用の last-listener クエリー間隔を 5.5 秒に設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 1 last-listener-query-interval 5500
 

設定を確認するには、 show ipv6 MLD snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ipv6 mld snooping last-listener-query-count

IPv6 MLD スヌーピング last-listener クエリー カウントを設定します。

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping querier

IPv6 MLD スヌーピング last-listener クエリー間隔を設定します。

ipv6 mld snooping listener-message-suppression

IP version 6(IPv6)Multicast Listener Discovery(MLD)スヌーピング リスナー メッセージ抑制をイネーブルにするには、 ipv6 mld snooping listener-message-suppression グローバル コンフィギュレーション コマンドを使用します。MLD スヌーピング リスナー メッセージ抑制をディセーブルにする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping listener-message-suppression

no ipv6 mld snooping listener-message-suppression


) このコマンドは、スイッチがアドバンスト IP サービス イメージを稼働し、スイッチ上にデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にのみ利用できます。


 
コマンドのデフォルト設定

デフォルトでは、MLD スヌーピング リスナー メッセージ抑制はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

MLD スヌーピング リスナー メッセージ抑制は、IGMP レポート抑制に相当します。イネーブルの場合、グループに対する受信 MLDv1 レポートはレポート転送時間ごとに 1 回だけ IPv6 マルチキャスト ルータに転送されます。これにより、重複レポートの転送を避けられます。

次の例では、MLD スヌーピング リスナー メッセージ抑制をイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping listener-message-suppression
 

次の例では、MLD スヌーピング リスナー メッセージ抑制をディセーブルにする方法を示します。

Switch(config)# no ipv6 mld snooping listener-message-suppression
 

設定を確認するには、 show ipv6 mld snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ipv6 mld snooping

IPv6 MLD スヌーピングをイネーブルにします。

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping

MLD スヌーピング設定を表示します。

ipv6 mld snooping robustness-variable

応答しないリスナーを削除する前にスイッチが送信する IP version 6(IPv6)Multicast Listener Discovery(MLD)クエリーの数を設定する、または VLAN 単位で設定するために VLAN ID を入力するには、 ipv6 mld snooping robustness-variable グローバル コンフィギュレーション コマンドを使用します。変数をデフォルト設定にリセットする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ] robustness-variable integer_value

no ipv6 mld snooping [ vlan vlan-id ] robustness-variable


) このコマンドは、スイッチがアドバンスト IP サービス イメージを稼働し、スイッチ上にデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にのみ利用できます。


 
シンタックスの説明

vlan vlan-id

(任意)指定の VLAN にロバストネス変数を設定します。指定できる VLAN ID 範囲は 1 ~ 1001 または 1006 ~ 4094 です。

integer_value

指定できる範囲は 1 ~ 3 です。

 
コマンドのデフォルト設定

デフォルトのグローバル ロバストネス変数(リスナーを削除する前のクエリー数)は、2 です。

デフォルトの VLAN ロバストネス変数(マルチキャスト アドレスが期限切れになる前のクエリー数)は 0 です。リスナーの期限の判断には、グローバル ロバストネス変数が使用されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

ロバストネスは、ポートをマルチキャスト グループから削除する前に送信された応答がなかった MLDv1 クエリー数の点から測定されます。設定された回数送信された MLDv1 クエリーに対して受信した MLDv1 レポートがない場合、ポートが削除されます。グローバル値により、スイッチが応答しないリスナーを削除する前に待機するクエリー数が決定し、VLAN 値が設定されていない VLAN すべてに適用します。

VLAN に設定されたロバストネス値はグローバル値より優先されます。VLAN ロバストネス値が 0(デフォルト)の場合、グローバル値が使用されます。

1002 ~ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

次の例では、スイッチが応答しないリスナー ポートを削除する前に 3 個のクエリーを送信するようグローバル ロバストネス変数を設定する方法を示します。

Switch(config)# ipv6 mld snooping robustness-variable 3
 

次の例では、VLAN 1 にロバストネス変数を設定する方法を示します。この値は VLAN のグローバル コンフィギュレーションより優先されます。

Switch(config)# ipv6 mld snooping vlan 1 robustness-variable 1
 

設定を確認するには、 show ipv6 MLD snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ipv6 mld snooping last-listener-query-count

IPv6 MLD スヌーピング last-listener クエリー カウントを設定します。

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping

MLD スヌーピング設定を表示します。

ipv6 mld snooping tcn

IP version 6(IPv6)Multicast Listener Discovery(MLD)Topology Change Notifications(TCN; トポロジー変更通知)を設定するには、 ipv6 mld snooping tcn グローバル コンフィギュレーション コマンドを使用します。デフォルト設定にリセットする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping tcn { flood query count integer_value | query solicit }

no ipv6 mld snooping tcn { flood query count integer_value | query solicit }


) このコマンドは、スイッチがアドバンスト IP サービス イメージを稼働し、スイッチ上にデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にのみ利用できます。


 
シンタックスの説明

flood query count integer_value

フラッディング クエリー カウントを設定します。これは、クエリー の受信を要求したポートに対しマルチキャスト データを転送する前に送信されるクエリー数です。指定できる範囲は 1 ~ 10 です。

query solicit

TCN クエリーの送信請求をイネーブルにします。

 
コマンドのデフォルト設定

TCN クエリー送信請求はディセーブルです。

イネーブルの場合、デフォルトのフラッディング クエリー カウントは 2 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

次の例では、TCN クエリー送信請求をイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping tcn query solicit.
 

次の例では、フラッディング クエリー カウントを 5 に設定する方法を示します。

Switch(config)# ipv6 mld snooping tcn flood query count 5.
 

設定を確認するには、 show ipv6 MLD snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping

MLD スヌーピング設定を表示します。

ipv6 mld snooping vlan

IP version 6(IPv6)Multicast Listener Discovery(MLD)スヌーピング パラメータを VLAN(仮想 LAN)インターフェイスに設定するには、 ipv6 mld snooping vlan グローバル コンフィギュレーション コマンドを使用します。パラメータをデフォルト設定にリセットする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping vlan vlan-id [ immediate-leave | mrouter interface interface-id | static ipv6-multicast-address interface interface-id ]

no ipv6 mld snooping vlan vlan-id [ immediate-leave | mrouter interface interface-id | static ip-address interface interface-id ]


) このコマンドは、スイッチがアドバンスト IP サービス イメージを稼働し、スイッチ上にデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にのみ利用できます。


 
シンタックスの説明

vlan vlan-id

VLAN 番号を指定します。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。

immediate-leave

(任意)VLAN インターフェイス上で、MLD の即時脱退処理をイネーブルにします。この機能をインターフェイス上でディセーブルにする場合は、このコマンドの no 形式を使用します。

mrouter interface

(任意)マルチキャスト ルータ ポートを設定します。設定を削除する場合は、このコマンドの no 形式を使用します。

static ipv6-multicast-address

(任意)指定の IPv6 マルチキャスト アドレスでマルチキャスト グループを設定します。

interface interface-id

レイヤ 2 ポートをグループに追加します。マルチキャスト ルータまたはスタティック インターフェイスは、物理ポートまたはインターフェイス範囲 1 ~ 48 の ポートチャネル インターフェイスにすることができます。

 
コマンドのデフォルト設定

MLD スヌーピング即時脱退処理はディセーブルです。

デフォルトでは、スタティック IPv6 マルチキャスト グループは設定されていません。

デフォルトでは、マルチキャスト ルータ ポートは設定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

VLAN の各ポート上に 1 つのレシーバーだけが存在する場合、即時脱退処理の機能だけを設定してください。設定は、NVRAM(不揮発性 RAM)に保存されます。

static キーワードは MLD メンバー ポートを静的に設定するために使用されます。

設定およびスタティック ポートとグループは、NVRAM に保存されます。

IPv6 マルチキャスト ルータが Catalyst 6500 スイッチであり、拡張 VLAN(範囲 1006 ~ 4094)を使用する場合、Catalyst 3750 または Catalyst 3560 スイッチが VLAN 上でクエリーを受信できるようにするため、IPv6 MLD スヌーピングを Catalyst 6500 スイッチの拡張 VLAN でイネーブルにする必要があります。標準範囲 VLAN(1 ~ 1005)の場合、IPv6 MLD スヌーピングを Catalyst 6500 スイッチの VLAN でイネーブルにする必要はありません。

1002 ~ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

次の例では、VLAN 1で MLD 即時脱退処理をイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping vlan 1 immediate-leave
 

次の例では、VLAN 1で MLD 即時脱退処理をディセーブルにする方法を示します。

Switch(config)# no ipv6 mld snooping vlan 1 immediate-leave
 

次の例では、ポートをマルチキャスト ルータ ポートとして設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 1 mrouter interface gigabitethernet1/0/2
 

次の例では、スタティック マルチキャスト グループを設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 2 static FF12::34 interface gigabitethernet1/0/2
 

設定を確認するには、 show ipv6 mld snooping vlan vlan-id ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ipv6 mld snooping

IPv6 MLD スヌーピングをイネーブルにします。

ipv6 mld snooping vlan

VLAN で IPv6 MLD スヌーピングを設定します。

sdm prefer

スイッチの使用方法に基づきシステム リソースを最適化するよう SDM テンプレートを設定します。

show ipv6 mld snooping

IPv6 MLD スヌーピング設定を表示します。

ipv6 traffic-filter

インターフェイスで IPv6 トラフィックをフィルタリングするには、 ipv6 traffic-filter インターフェイス コンフィギュレーション コマンドを使用します。レイヤ 3 インターフェイス(ルータ ACL [アクセス制御リスト])で着信と発信の両方の IPv6 トラフィックをフィルタリングできますが、レイヤ 2 インターフェイス(ポート ACL)でフィルタリングされるのは着信トラフィックだけです。インターフェイスでの IPv6 トラフィックのフィルタリングをディセーブルにするには、このコマンドの no 形式を使用します。

ipv6 traffic-filter access-list-name { in | out }

no ipv6 traffic-filter access-list-name { in | out }


) このコマンドは、スイッチがアドバンスト IP サービス イメージを稼働し、スイッチ上にデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートを設定している場合にのみ利用できます。


 
シンタックスの説明

access-list-name

IPv6 アクセス名を指定します。

in

着信 IPv6 トラフィックを指定します。

out

発信 IPv6 トラフィックを指定します。


) このキーワードは、レイヤ 2 インターフェイスではサポートされません。


 
デフォルト

インターフェイス上での IPv6 トラフィックのフィルタリングは設定されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが導入されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

物理インターフェイス(レイヤ 2 またはレイヤ 3 ポート)、レイヤ 3 ポート チャネル、またはSwitch Virtual Interface(SVI)で ipv6 traffic-filter コマンドを使用できます。

スイッチは、レイヤ 3 インターフェイス(ルータ ACL)で着信および発信フィルタリングをサポートしますが、レイヤ 2 ポート(ポート ACL)でサポートされるのは着信フィルタリングだけです。

いずれか のポート ACL(IPv4、IPv6、またはMAC[メディア アクセス制御])がインターフェイスに適用された場合、そのポート ACL を使用してパケットをフィルタリングし、ポート VLAN の SVI のルータ ACL は無視されます。

次の例では、 cisco という名のアクセス リストの定義に従って、IPv6 設定のインターフェイスで着信 IPv6 トラフィックをフィルタリングする方法を示します。

Switch (config)# interface gigabitethernet0/1
Switch(config-if)# no switchport
Switch(config-if)# ipv6 address 2001::/64 eui-64
Switch(config-if)# ipv6 traffic-filter cisco in

 
関連コマンド

コマンド
説明

ipv6 access-list

IPv6 アクセス リストを定義し、定義されたアクセス リストに拒否または許可条件を設定します。

show ipv6 access-list

現在の IPv6 アクセス リストすべての内容を表示します。

show ipv6 interface

ipv6 用に設定されたインターフェイスのユーザビリティ ステータスを表示します。

l2protocol-tunnel

アクセス ポート、IEEE 802.1Q トンネル ポート、またはポート チャネル上のレイヤ 2 プロトコルのトンネリングをイネーブルにするには、 l2protocol-tunnel インターフェイス コンフィギュレーション コマンドを使用します。Cisco Discovery Protocol(CDP)、Spanning Tree Protocol(STP; スパニングツリー プロトコル)、または VLAN(仮想 LAN)Trunking Protocol(VTP; VLAN トランキング プロトコル)パケットのトンネリングをイネーブルにできます。また、Port Aggregation Protocol(PAgP)、Link Aggregation Control Protocol(LACP)、または UniDirectional Link Detection(UDLD; 単一方向リンク検出)パケットのポイントツーポイント トンネリングをイネーブルにできます。インターフェイスでトンネリングをディセーブルにする場合は、このコマンドの no 形式を使用します。

l2protocol-tunnel [ cdp | stp | vtp ] [ point-to-point [ pagp | lacp | udld ]] | [ shutdown-threshold
[ cdp | stp | vtp ] [ point-to-point [ pagp | lacp | udld ]]] value ] | [ drop-threshold [ cdp | stp | vtp ] [ point-to-point [ pagp | lacp | udld ]] value ]

no l2protocol-tunnel [ cdp | stp | vtp ] [ point-to-point [ pagp | lacp | udld ]] | [ shutdown-threshold
[ cdp | stp | vtp ] [ point-to-point [ pagp | lacp | udld ]]] | [ drop-threshold [ cdp | stp | vtp ] [ point-to-point [ pagp | lacp | udld ]]]

 
シンタックスの説明

l2protocol-tunnel

CDP、STP、および VTP パケットのポイントツーマルチポイント トンネリングをイネーブルにします。

cdp

(任意)CDP のトンネリングをイネーブルにします。または、CDP のシャットダウン スレッシュホールドまたは廃棄スレッシュホールドを指定します。

stp

(任意)STP のトンネリングをイネーブルにします。または、STP のシャットダウン スレッシュホールドまたは廃棄スレッシュホールドを指定します。

vtp

(任意)VTP のトンネリングをイネーブルにします。または、VTP のシャットダウン スレッシュホールドまたは廃棄スレッシュホールドを指定します。

point-to-point

(任意)PAgP、LACP、および UDLD パケットのポイントツーポイント トンネリングをイネーブルにします。

pagp

(任意)PAgP のポイントツーポイント トンネリングをイネーブルにします。または、PAgP のシャットダウン スレッシュホールドまたは廃棄スレッシュホールドを指定します。

lacp

(任意)LACP のポイントツーポイント トンネリングをイネーブルにします。または、LACP のシャットダウン スレッシュホールドまたは廃棄スレッシュホールドを指定します。

udld

(任意)UDLD のポイントツーポイント トンネリングをイネーブルにします。または、UDLD のシャットダウン スレッシュホールドまたは廃棄スレッシュホールドを指定します。

shutdown-threshold

(任意)インターフェイスがシャットダウンするまでに受信されるシャットダウン スレッシュホールドをレイヤ 2 プロトコル pps(パケット/秒)の最大レートで設定します。

drop-threshold

(任意)インターフェイスがパケットを廃棄するまでに受信される廃棄スレッシュホールドをレイヤ 2 プロトコル pps(パケット/秒)の最大レートで設定します。

value

インターフェイスがシャットダウンするまでにカプセル化に対して受信されるスレッシュホールドを pps(パケット/秒)で指定します。または、インターフェイスがパケットを廃棄するまでのスレッシュホールドを指定します。指定できる範囲は 1 ~ 4096 です。デフォルトでは、スレッシュホールドは設定されていません。

 
デフォルト

デフォルトでは、レイヤ 2 プロトコルのトンネリングは設定されていません。

デフォルトでは、レイヤ 2 プロトコル パケット数のシャットダウン スレッシュホールドは設定されていません。

デフォルトでは、レイヤ 2 プロトコル パケット数の廃棄スレッシュホールドは設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SE

このコマンドが導入されました。

 
使用上のガイドライン

レイヤ 2 パケットをトンネリングするには、このコマンドを入力する必要があります(必要な場合は、プロトコル タイプを指定)。

このコマンドをポート チャネルで入力する場合、チャネル内のすべてのポートが同じ設定になる必要があります。

サービス プロバイダー ネットワーク内のレイヤ 2 プロトコル トンネリングは、レイヤ 2 の情報が確実にネットワーク内のすべての顧客に伝播するようにします。プロトコル トンネリングがイネーブルになると、ネットワーク内の伝送用に、プロトコル パケットがシスコの既知のマルチキャスト アドレスでカプセル化されます。パケットが宛先に到着すると、既知の MAC(メディア アクセス制御)アドレスがレイヤ 2 プロトコル MAC アドレスに置き換えられます。

CDP、STP、および VTP のレイヤ 2 プロトコル トンネリングは、個別にまたは 3 つすべてのプロトコルに対してイネーブルにできます。

サービス プロバイダー ネットワークでは、ポイントツーポイント ネットワーク トポロジーをエミュレートして EtherChannel の作成を強化するのに、レイヤ 2 プロトコル トンネルを使用できます。PAgP または LACP のプロトコル トンネリングがサービス プロバイダーのスイッチでイネーブルにされている場合、リモート カスタマー スイッチは、Protocol Data Unit(PDU)を受信し、EtherChannel の自動作成をネゴシエートできます。

PAgP、LACP、および UDLD パケットのトンネリングをイネーブルにするには、ポイントツーポイント ネットワーク トポロジーが必要になります。リンクダウン検出時間を減らすには、PAgP または LACP パケットのトンネリングをイネーブルにするときにインターフェイスで UDLD もイネーブルにする必要があります。

PAgP、LACP、および UDLD のポイントツーポイント プロトコル トンネリングは、個別にまたは 3 つすべてのプロトコルに対してイネーブルにできます。


注意 PAgP、LACP、および UDLD トンネリングは、ポイントツーポイント トポロジーをエミュレートすることだけを目的としています。設定を間違えたことによりトンネリング パケットが多くのポートに送信されると、ネットワーク障害が発生する可能性があります。

shutdown-threshold キーワードを入力して、シャットダウンするまでにインターフェイスで受信されるプロトコルの pps(パケット/秒)数を制御します。このキーワードにプロトコル オプションが指定されていない場合は、スレッシュホールドが各トンネリング レイヤ 2 プロトコル タイプに適用されます。インターフェイスに廃棄スレッシュホールドも設定する場合は、シャットダウン スレッシュホールド値が廃棄スレッシュホールド値以上でなければなりません。

シャットダウンのスレッシュホールドに到達すると、インターフェイスが errdisable になります。 errdisable recovery cause l2ptguard グローバル コンフィギュレーション コマンドを入力し、エラー回復をイネーブルにした場合、インターフェイスは errdisable ステートから抜け出し、すべての原因がタイムアウトになったときに動作を再開します。 l2ptguard でエラー回復メカニズムをイネーブルにしない場合、インターフェイスは、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドが入力されるまで errdisable ステートのままになります。

drop-threshold キーワードを入力して、インターフェイスがパケットを廃棄するまでにインターフェイスで受信されるプロトコルの pps(パケット/秒)数を制御します。このキーワードにプロトコル オプションが指定されていない場合は、スレッシュホールドが各トンネリング レイヤ 2 プロトコル タイプに適用されます。インターフェイスにシャットダウン スレッシュホールドも設定する場合は、廃棄スレッシュホールド値がシャットダウン スレッシュホールド値以下でなければなりません。

廃棄のスレッシュホールドに到達すると、受信されるレートが廃棄スレッシュホールドを下回るまでインターフェイスがレイヤ 2 プロトコル パケットを廃棄します。

設定は、NVRAM(不揮発性 RAM)に保存されます。

レイヤ 2 プロトコル トンネリングに関する詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、CDP パケットのプロトコル トンネリングをイネーブルにし、シャットダウン スレッシュホールドを 50 pps に設定する方法を示します。

Switch(config-if)# l2protocol-tunnel cdp
Switch(config-if)# l2protocol-tunnel shutdown-threshold cdp 50
 

次の例では、STP パケットのプロトコル トンネリングをイネーブルにし、廃棄スレッシュホールドを 400 pps に設定する方法を示します。

Switch(config-if)# l2protocol-tunnel stp
Switch(config-if)# l2protocol-tunnel drop-threshold stp 400
 

次の例では、PAgP および UDLD パケットのポイントツーポイント プロトコル トンネリングをイネーブルにし、PAgP 廃棄スレッシュホールドを 1000 pps に設定する方法を示します。

Switch(config-if)# l2protocol-tunnel point-to-point pagp
Switch(config-if)# l2protocol-tunnel point-to-point udld
Switch(config-if)# l2protocol-tunnel drop-threshold point-to-point pagp 1000
 

 
関連コマンド

コマンド
説明

l2protocol-tunnel cos

すべてのトンネリング レイヤ 2 プロトコル パケットに対して Class of Service(CoS; サービス クラス)値を設定します。

show errdisable recovery

errdisable 回復タイマーの情報を表示します。

show l2protocol-tunnel

レイヤ 2 プロトコル トンネリングが設定されたポートに関する情報(ポート、プロトコル、CoS、およびスレッシュホールドを含む)を表示します。

l2protocol-tunnel cos

すべてのトンネリング レイヤ 2 プロトコル パケットに対して Class of Service(CoS; サービス クラス)を設定するには、 l2protocol-tunnel cos グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

l2protocol-tunnel cos value

no l2protocol-tunnel cos

 
シンタックスの説明

value

トンネリング レイヤ 2 プロトコル パケットのCoSプライオリティ値を指定します。CoS 値がインターフェイスのデータ パケットに対して設定されている場合、デフォルトでこの CoS 値が使用されます。インターフェイスに CoS 値が設定されていない場合は、デフォルトは 5 です。指定できる範囲は 0 ~ 7 です。7 が最も高いプライオリティです。

 
デフォルト

デフォルトでは、インターフェイス上のデータに対して設定された CoS 値が使用されます。CoS 値が設定されていない場合は、すべてのトンネリング レイヤ 2 プロトコル パケットのデフォルトは 5 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SE

このコマンドが導入されました。

 
使用上のガイドライン

イネーブルの場合、トンネリング レイヤ 2 プロトコル パケットがこの CoS 値を使用します。

NVRAM(不揮発性 RAM)に値が保存されます。

次の例では、レイヤ 2 プロトコル トンネルの CoS 値を 7 に設定する方法を示します。

Switch(config)# l2protocol-tunnel cos 7

 
関連コマンド

コマンド
説明

show l2protocol-tunnel

レイヤ 2 プロトコル トンネリングが設定されたポートに関する情報(CoSを含む)を表示します。

lacp port-priority

Link Aggregation Control Protocol(LACP)のポート プライオリティを設定するには、 lacp port-priority インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

lacp port-priority priority

no lacp port-priority

 
シンタックスの説明

priority

LACP のポート プライオリティ。指定できる範囲は 1 ~ 65535 です。

 
デフォルト

デフォルト値は 32768 です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

lacp port-priority インターフェイス コンフィギュレーション コマンドにより、LACP チャネル グループに 8 個より多くのポートがある場合にバンドルするポートとホットスタンバイ モードにするポートが決定します。

LACP チャネル グループには、最大 16 個の同じタイプのイーサネット ポートが存在できます。最大 8 個のポートがアクティブになることができ、最大 8 個のポートをスタンバイ モードにすることができます。

プライオリティの比較においては、 低い 値ほどプライオリティが 高く なります。LACP チャネル グループに 9 個以上のポートがある場合、LACP ポート プライオリティの値が低い方(高いプライオリティ値)から 8 個のポートはチャネル グループにバンドルされ、それらより高い値のプライオリティのポートがスタンバイ モードになります。2 つ以上のポートが同じ LACP ポート プライオリティ(例:デフォルト設定 65535)である場合、ポート番号の内部値によってプライオリティが決定します。


) LACP ポート プライオリティは、LACP リンクを制御するスイッチ上にポートがある場合にのみ有効です。リンクを制御するスイッチの決定については、lacp system-priority グローバル コンフィギュレーション コマンドを参照してください。


LACP ポート プライオリティおよび内部ポート番号の値を表示するには、 show lacp internal イネーブル EXEC コマンドを使用します。

物理ポート上の LACP の設定に関する情報については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。

次の例では、ポートで LACP ポート プライオリティを設定する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# lacp port-priority 1000
 

設定を確認するには、 show lacp [ channel-group-number ] internal イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

lacp system-priority

LACP システム プライオリティを設定します。

show lacp [ channel-group-number ] internal

すべてのチャネル グループまたは指定のチャネル グループの内部情報を表示します。

lacp system-priority

Link Aggregation Control Protocol(LACP)のシステム プライオリティを設定するには、 lacp system-priority グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

lacp system-priority priority

no lacp system-priority

 
シンタックスの説明

priority

LACP のシステム プライオリティ。指定できる範囲は 1 ~ 65535 です。

 
デフォルト

デフォルト値は 32768 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

lacp system-priority コマンドにより、LACP リンクのどのスイッチがポート プライオリティを制御するかを決定します。

LACP チャネル グループには、最大 16 個の同じタイプのイーサネット ポートが存在できます。最大 8 個のポートがアクティブになることができ、最大 8 個のポートをスタンバイ モードにすることができます。LACP チャネル グループに 9 個以上のポートがある場合、リンクの制御端にあるスイッチは、ポート プライオリティを使用してチャネルにバンドルするポートとホットスタンバイ モードにするポートを決定します。別のスイッチ(リンクの制御端以外)にあるポート プライオリティは無視されます。

プライオリティの比較においては、低い値ほどプライオリティが高くなります。したがって、LACP システム プライオリティで低い値(高いプライオリティ値)を持ったシステムが制御システムになります。両方のスイッチが同じ LACP システム プライオリティ(例:デフォルト設定 32768)である場合、LACP システム ID(スイッチ MAC [メディア アクセス制御] アドレス)によって制御するスイッチが決定します。

lacp system-priority コマンドは、スイッチのすべての LACP EtherChannel に適用されます。

ホットスタンバイ モード(出力のポート ステート フラグの H で表示)のポートを判断するには、 show etherchannel summary イネーブル EXEC コマンドを使用します。

物理ポート上の LACP の設定に関する詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。

次の例では、LACP のシステム プライオリティを設定する方法を示します。

Switch(config)# lacp system-priority 20000
 

設定を確認するには、 show lacp sys-id イネーブル EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

lacp port-priority

LACP ポート プライオリティを設定します。

show lacp sys-id

LACP で使用されるシステム ID を表示します。

logging event power-inline-status

Power over Ethernet(PoE)イベントのロギングをイネーブルにするには、 logging event power-inline-status インターフェイス コンフィギュレーション コマンドを使用します。PoE 状態イベントのロギングをディセーブルにする場合は、このコマンドの no 形式を使用しますが、このコマンドの no 形式を使用しても、PoE エラー イベントはディセーブルになりません。

logging event power-inline-status

no logging event power-inline-status

 
シンタックスの説明

power-inline-status

PoE メッセージのロギングをイネーブルにします。

 
デフォルト

PoE イベントのロギングはイネーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが導入されました。

 
使用上のガイドライン

power-inline-status キーワードは、PoE インターフェイスでのみ使用できます。

次の例では、ポート上で PoE イベントのロギングをイネーブルにする方法を示します。

Switch(config-if)# interface fastethernet0/1
Switch(config-if)# logging event power-inline-status
Switch(config-if)#

 
関連コマンド

コマンド
説明

power inline

指定した PoE ポートまたはすべての PoE ポートの電力管理モードを設定します。

show controllers power inline

指定した PoE コントローラのレジスタの値を表示します。

logging file

ロギング ファイルのパラメータを設定するには、 logging file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

logging file filesystem : filename [ max-file-size | nomax [ min-file-size ]] [ severity-level-number | type ]

no logging file filesystem: filename [ severity-level-number | type ]

 
シンタックスの説明

filesystem : filename

フラッシュ ファイル システムのエイリアスです。ログ メッセージが記録されるファイルのパスおよび名前を含みます。

ローカル フラッシュ ファイル システムの場合
flash:

max-file-size

(任意)ロギング ファイルの最大サイズを指定します。指定できる範囲は 4096 ~ 2147483647 です。

nomax

(任意)ファイルの最大サイズ 2147483647 を指定します。

min-file-size

(任意)ロギング ファイルの最小サイズを指定します。指定できる範囲は 1024 ~ 2147483647 です。

severity-level-number

(任意)ロギングの重大度のレベルを指定します。指定できる範囲は 0 ~ 7 です。各レベルの意味については type オプションを参照してください。

type

(任意)ロギング タイプを指定します。次のキーワードが有効です。

emergencies ― システムは使用不可(重大度 0)

alerts ― 早急な対応が必要(重大度 1)

critical ― 危険な状態(重大度 2)

errors ― エラーが発生している状態(重大度 3)

warnings ― 警告状態(重大度 4)

notifications ― 通常ではあるが、重要なメッセージ(重大度 5)