Catalyst 3560 スイッチ コマンド リファレンス Cisco IOS Release 12.2(55)SE
Catalyst 3560 スイッチ Cisco IOS コマンド-1
Catalyst 3560 スイッチ Cisco IOS コマンド
発行日;2012/02/14 | 英語版ドキュメント(2010/12/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

Catalyst 3560 スイッチ Cisco IOS コマンド

aaa accounting dot1x

aaa authentication dot1x

aaa authorization network

action

archive download-sw

archive tar

archive upload-sw

arp access-list

authentication command bounce-port ignore

authentication command disable-port ignore

authentication control-direction

authentication event

authentication fallback

authentication host-mode

authentication mac-move permit

authentication open

authentication order

authentication periodic

authentication port-control

authentication priority

authentication timer

authentication violation

auto qos classify

auto qos trust

auto qos voip

boot auto-download-sw

boot buffersize

boot config-file

boot enable-break

boot helper

boot helper-config-file

boot manual

boot private-config-file

boot system

cdp forward

channel-group

channel-protocol

cisp enable

class

class-map

clear dot1x

clear eap sessions

clear errdisable interface

clear arp inspection log

clear ip arp inspection statistics

clear ip dhcp snooping

clear ipc

clear ipv6 dhcp conflict

clear l2protocol-tunnel counters

clear lacp

clear mac address-table

clear mac address-table move update

clear nmsp statistics

clear pagp

clear port-security

clear spanning-tree counters

clear spanning-tree detected-protocols

clear vmps statistics

clear vtp counters

cluster commander-address

cluster discovery hop-count

cluster enable

cluster holdtime

cluster member

cluster outside-interface

cluster run

cluster standby-group

cluster timer

define interface-range

delete

deny(ARP アクセス リスト コンフィギュレーション)

deny(IPv6 アクセス リスト コンフィギュレーション)

deny(MAC アクセス リスト コンフィギュレーション)

diagnostic monitor

diagnostic schedule

diagnostic start

dot1x

dot1x auth-fail max-attempts

dot1x auth-fail vlan

dot1x control-direction

dot1x credentials(グローバル コンフィギュレーション)

dot1x critical(グローバル コンフィギュレーション)

dot1x critical(インターフェイス コンフィギュレーション)

dot1x default

dot1x fallback

dot1x guest-vlan

dot1x host-mode

dot1x initialize

dot1x mac-auth-bypass

dot1x max-reauth-req

dot1x max-req

dot1x multiple-hosts

dot1x pae

dot1x port-control

dot1x re-authenticate

dot1x re-authentication

dot1x reauthentication

dot1x supplicant force-multicast

dot1x test eapol-capable

dot1x test timeout

dot1x timeout

dot1x violation-mode

duplex

epm access-control open

errdisable detect cause

errdisable detect cause small-frame

errdisable recovery cause small-frame

errdisable recovery

exception crashinfo

fallback profile

flowcontrol

interface port-channel

interface range

interface vlan

ip access-group

ip address

ip admission

ip admission name proxy http

ip arp inspection filter vlan

ip arp inspection limit

ip arp inspection log-buffer

ip arp inspection trust

ip arp inspection validate

ip arp inspection vlan

ip arp inspection vlan logging

ip device tracking probe

ip device tracking

ip dhcp snooping

ip dhcp snooping binding

ip dhcp snooping database

ip dhcp snooping information option

ip dhcp snooping information option allow-untrusted

ip dhcp snooping information option format remote-id

ip dhcp snooping limit rate

ip dhcp snooping trust

ip dhcp snooping verify

ip dhcp snooping vlan

ip dhcp snooping vlan information option format-type circuit-id string

ip igmp filter

ip igmp max-groups

ip igmp profile

ip igmp snooping

ip igmp snooping last-member-query-interval

ip igmp snooping querier

ip igmp snooping report-suppression

ip igmp snooping tcn

ip igmp snooping tcn flood

ip igmp snooping vlan immediate-leave

ip igmp snooping vlan mrouter

ip igmp snooping vlan static

ip source binding

ip ssh

ip sticky-arp(グローバル コンフィギュレーション)

ip sticky-arp(インターフェイス コンフィギュレーション)

ip verify source

ipv6 access-list

ipv6 address dhcp

ipv6 dhcp client request vendor

ipv6 dhcp ping packets

ipv6 dhcp pool

ipv6 dhcp server

ipv6 mld snooping

ipv6 mld snooping last-listener-query-count

ipv6 mld snooping last-listener-query-interval

ipv6 mld snooping listener-message-suppression

ipv6 mld snooping robustness-variable

ipv6 mld snooping tcn

ipv6 mld snooping vlan

ipv6 traffic-filter

l2protocol-tunnel

l2protocol-tunnel cos

lacp port-priority

lacp system-priority

link state group

link state track

location(グローバル コンフィギュレーション)

location(インターフェイス コンフィギュレーション)

logging event

logging event power-inline-status

logging file

mab request format attribute 32

mac access-group

mac access-list extended

mac address-table aging-time

mac address-table learning vlan

mac address-table move update

mac address-table notification

mac address-table static

mac address-table static drop

match(アクセスマップ コンフィギュレーション)

match(クラスマップ コンフィギュレーション)

mdix auto

media-type(インターフェイス コンフィギュレーション)

mls qos

mls qos aggregate-policer

mls qos cos

mls qos dscp-mutation

mls qos map

mls qos queue-set output buffers

mls qos queue-set output threshold

mls qos rewrite ip dscp

mls qos srr-queue input bandwidth

mls qos srr-queue input buffers

mls qos srr-queue input cos-map

mls qos srr-queue input dscp-map

mls qos srr-queue input priority-queue

mls qos srr-queue input threshold

mls qos srr-queue output cos-map

mls qos srr-queue output dscp-map

mls qos trust

mls qos vlan-based

monitor session

mvr(グローバル コンフィギュレーション)

mvr(インターフェイス コンフィギュレーション)

network-policy

network-policy profile(グローバル コンフィギュレーション)

network-policy profile(ネットワーク ポリシー コンフィギュレーション)

nmsp

nmsp attachment suppress

no authentication logging verbose

no dot1x logging verbose

no mab logging verbose

pagp learn-method

pagp port-priority

permit(ARP アクセス リスト コンフィギュレーション)

permit(IPv6 アクセス リスト コンフィギュレーション)

permit(MAC アクセス リスト コンフィギュレーション)

police

police aggregate

policy-map

port-channel load-balance

power inline

power inline consumption

power rps

priority-queue

private-vlan

private-vlan mapping

queue-set

radius-server dead-criteria

radius-server host

rcommand

remote-span

renew ip dhcp snooping database

reserved-only

Catalyst 3560 スイッチ Cisco IOS コマンド

aaa accounting dot1x

Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)アカウンティングをイネーブルにして、回線単位またはインターフェイス単位で IEEE 802.1x セッションの特定のアカウンティング方式を定義する方式リストを作成するには、 aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ }...]}

no aaa accounting dot1x { name | default }

 
構文の説明

name

サーバ グループ名。これは、 broadcast group および group キーワードのあとに入力する場合に使用するオプションです。

default

デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に使用します。

start-stop

プロセスの最初にアカウンティング開始通知を送信し、プロセスの終了時にアカウンティング終了通知を送信します。アカウンティング開始レコードは、バックグラウンドで送信されます。アカウンティング開始通知がアカウンティング サーバで受信されたかどうかにかかわらず、要求されたユーザ プロセスが開始されます。

broadcast

複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。

group

アカウンティング サービスに使用するサーバ グループを指定します。有効なサーバ グループ名は次のとおりです。

name :サーバ グループ名

radius :すべての RADIUS ホストのリスト

tacacs+ :すべての TACACS+ ホストのリスト

group キーワードは、 broadcast group および group キーワードのあとに入力する場合のオプションです。複数のオプション group キーワードを入力できます。

radius

(任意)RADIUS 認証をイネーブルにします。

tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

 
デフォルト

AAA アカウンティングはディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、RADIUS サーバへのアクセスが必要です。

インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。

次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。

Switch(config)# aaa new-model
Switch(config)# aaa accounting dot1x default start-stop group radius

) RADIUS 認証サーバは、AAA クライアントから更新パケットやウォッチドッグ パケットを受け入れて記録するよう、適切に設定する必要があります。


 
関連コマンド

コマンド
説明

aaa authentication dot1x

IEEE 802.1x が動作しているインターフェイスで使用する 1 つまたは複数の AAA を指定します。

aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

dot1x reauthentication

定期的な再認証をイネーブルまたはディセーブルにします。

dot1x timeout reauth-period

再認証の間隔(秒)を指定します。

aaa authentication dot1x

IEEE 802.1x 認証に準拠するポートで使用する認証、認可、アカウンティング(AAA)方式を指定するには、 aaa authentication dot1x グローバル コンフィギュレーション コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication dot1x { default } method1

no aaa authentication dot1x { default }

 
構文の説明

default

この引数に続ける認証方式をログイン時のデフォルトの方式として使用します。

method1

認証用にすべての RADIUS サーバのリストを使用するには、 group radius キーワードを入力します。


) 他のキーワードがコマンドラインのヘルプ ストリングに表示されますが、サポートされているのは default および group radius キーワードだけです。


 
デフォルト

認証は実行されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために一定の順序で試みる方式を指定します。実際に IEEE 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。

group radius を指定した場合、 radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。

設定された認証方式のリストを表示するには、 show running-config 特権 EXEC コマンドを使用します。

次の例では、AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試行します。この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。

Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

show running-config

現在の動作設定を表示します。

 

aaa authorization network

IEEE 802.1x aaa-user Access Control List(ACL; アクセス コントロール リスト)や VLAN 割り当てなどのすべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を使用するようにスイッチを設定するには、 aaa authorization network グローバル コンフィギュレーション コマンドを使用します。RADIUS ユーザ認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authorization network default group radius

no aaa authorization network default

 
構文の説明

default group radius

デフォルトの認証リストとして、サーバ グループ内のすべての RADIUS ホストのリストを使用します。

 
デフォルト

認証はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

スイッチが、デフォルトの認証リスト内にある RADIUS サーバから IEEE 802.1x 認証パラメータをダウンロードできるようにするには、aaa authorization network default group radius グローバル コンフィギュレーション コマンドを使用します。認証パラメータは、ユーザごとの ACL または VLAN 割り当てなど、RADIUS サーバからパラメータを取得する機能で使用されます。

設定された認証方式リストを表示するには、 show running-config 特権 EXEC コマンドを使用します。

この例では、すべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を行うようスイッチを設定する方法を示します。

Switch(config)# aaa authorization network default group radius
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

現在の動作設定を表示します。

action

VLAN アクセス マップ エントリのアクションを設定するには、 action アクセスマップ コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

action {drop | forward }

no action

 
構文の説明

drop

指定された条件に一致する場合に、パケットをドロップします。

forward

指定された条件に一致する場合に、パケットを転送します。

 
デフォルト

デフォルトのアクションは、パケットの転送です。

 
コマンド モード

アクセスマップ コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

vlan access-mapグローバル コンフィギュレーション コマンド を使用して、アクセスマップ コンフィギュレーション モードを開始します。

アクションが drop の場合は、一致条件にアクセス コントロール リスト(ACL)名を設定後、そのマップを VLAN に適用してアクセス マップを定義する必要があります。定義しない場合、すべてのパケットがドロップされることがあります。

アクセス マップ コンフィギュレーション モードでは、 match アクセス マップ コンフィギュレーション コマンドを使用して、VLAN マップの一致条件を定義できます。 action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。

drop および forward パラメータは、このコマンドの no 形式では使用されません。

次の例では、VLAN アクセス マップ vmap4 を指定し VLAN 5 と VLAN 6 に適用する方法を示します。このアクセス マップは、パケットがアクセス リスト al2 に定義された条件に一致する場合に、VLAN がその IP パケットを転送するように指定します。

Switch(config)# vlan access-map vmap4
Switch(config-access-map)# match ip address al2
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan filter vmap4 vlan-list 5-6
 

設定を確認するには、 show vlan access-map 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

access-list { deny | permit }

番号付き標準 ACL を設定します。

ip access-list

名前付きアクセス リストを作成します。

mac access-list extended

名前付き MAC アドレス アクセス リストを作成します。

match(クラスマップ コンフィギュレーション)

VLAN マップの一致条件を定義します。

show vlan access-map

スイッチで作成された VLAN アクセス マップを表示します。

vlan access-map

VLAN アクセス マップを作成します。

archive download-sw

新しいイメージを TFTP サーバからスイッチにダウンロードし、既存のイメージを上書きまたは保持するには、 archive download-sw 特権 EXEC コマンドを使用します。

archive download-sw {/ allow-feature-upgrade | /directory | /force-reload | /imageonly | /leave-old-sw | /no-set-boot | /no-version-check | /overwrite | /reload | /safe } source-url

 
構文の説明

/allow-feature-upgrade

異なるフィーチャ セットを持つイメージをインストールできます(たとえば、IP ベース イメージから IP サービス イメージへのアップグレード)。

/directory

イメージのディレクトリを指定します。

/force-reload

ソフトウェア イメージのダウンロードが成功したあとで無条件にシステムのリロードを強制します。

/imageonly

ソフトウェア イメージだけをダウンロードし、組み込みデバイス マネージャに関連する HTML ファイルはダウンロードしません。既存のバージョンの HTML ファイルは、既存のバージョンが上書きまたは削除されている場合にだけ削除されます。

/leave-old-sw

ダウンロードに成功したあとで古いソフトウェア バージョンを保存します。

/no-set-boot

新しいソフトウェア イメージのダウンロードに成功したあとに、BOOT 環境変数の設定が新しいソフトウェア イメージを指定するように変更されません。

/no-version-check

スイッチで稼動するイメージのバージョンの互換性を確認せずに、ソフトウェア イメージをダウンロードします。

/overwrite

ダウンロードされたソフトウェア イメージで、フラッシュ メモリのソフトウェア イメージを上書きします。

/reload

変更された設定が保存されていない場合を除き、イメージのダウンロードに成功したあとでシステムをリロードします。

/safe

現在のソフトウェア イメージを保存します。新しいイメージをダウンロードする前に、新しいソフトウェア イメージ用の領域を作るため、現在のソフトウェア イメージを削除しないでください。ダウンロード終了後に現在のイメージが削除されます。

source-url

ローカルまたはネットワーク ファイル システム用の送信元 URL エイリアス。次のオプションがサポートされています。

2 番めのブートローダ(BS1)の構文bs1:
bs1:

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文:
ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

Remote Copy Protocol(RCP; リモート コピー プロトコル)の構文:
rcp: [[ // username @ location ]/ directory ] / image-name .tar

TFTP の構文:
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、スイッチにダウンロードし、インストールするソフトウェア イメージです。

 
デフォルト

現在のソフトウェア イメージは、ダウンロードされたイメージでは上書きされません。

ソフトウェア イメージと HTML ファイルの両方がダウンロードされます。

新しいイメージは flash: ファイル システムにダウンロードされます。

BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを指定するよう変更されます。

イメージ名では大文字と小文字が区別されます。イメージ ファイルは tar 形式で提供されます。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(20)SE

http および https キーワードが追加されました。

12.2(35)SE

allow-feature-upgrade および directory キーワードが追加されました。

 
使用上のガイドライン

/allow-feature-upgrade オプションを使用すると、異なるフィーチャ セットを持つイメージをインストールできます(たとえば、IP ベース イメージから IP サービス イメージへのアップグレード)。

一度に 1 つずつのディレクトリを指定するには、 archive download-sw /directory コマンドを使用します

/imageonly オプションは、既存のイメージが削除または置き換えられている場合に、既存のイメージの HTML ファイルを削除します。(HTML ファイルのない)Cisco IOS イメージだけがダウンロードされます。

/safe または /leave-old-sw オプションを指定すると、十分なフラッシュ メモリがない場合には新しいイメージのダウンロードが行われないようにすることができます。ソフトウェアを残すことによってフラッシュ メモリの空き容量が不足し、新しいイメージが入りきらなかった場合に、エラーが発生します。

/leave-old-sw オプションを使用し、新しいイメージをダウンロードしたときに古いイメージが上書きされなかった場合、 delete 特権 EXEC コマンドを使用して古いイメージを削除できます。詳細については、「delete」を参照してください。

フラッシュ デバイスのイメージを、ダウンロードされたイメージで上書きするには、 /overwrite オプションを使用します。

/overwrite オプション なし でこのコマンドを指定する場合、ダウンロード アルゴリズムは、新しいイメージが、スイッチ フラッシュ デバイスのイメージと同じではないことを確認します。イメージが同じである場合は、ダウンロードは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがダウンロードされます。

新しいイメージをダウンロードしたあとで、 reload 特権 EXEC コマンドを入力して新しいイメージの使用を開始するか、または archive download-sw コマンドの /reload オプションか /force-reload オプションを指定してください。

/directory オプションを使用すると、イメージのディレクトリを指定できます。

次の例では、172.20.129.10 の TFTP サーバから新しいイメージをダウンロードし、スイッチでイメージを上書きする方法を示します。

Switch# archive download-sw /overwrite tftp://172.20.129.10/test-image.tar
 

次の例では、172.20.129.10 の TFTP サーバからソフトウェア イメージだけをスイッチにダウンロードする方法を示します。

Switch# archive download-sw /imageonly tftp://172.20.129.10/test-image.tar
 

次の例では、ダウンロードに成功したあとで古いソフトウェア バージョンを保存する方法を示します。

Switch# archive download-sw /leave-old-sw tftp://172.20.129.10/test-image.tar
 

 
関連コマンド

コマンド
説明

archive tar

tar ファイルを作成し、tar ファイルのファイルを一覧表示し、tar ファイルからファイルを抽出します。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードします。

delete

フラッシュ メモリ デバイスのファイルまたはディレクトリを削除します。

archive tar

tar ファイルの作成、tar ファイル内のファイル一覧表示、tar ファイルからのファイル抽出を実行するには、 archive tar 特権 EXEC コマンドを使用します。

archive tar { /create destination-url flash:/ file-url } | { /table source-url } | { /xtract source-url flash:/ file-ur l [ dir/file ...]}

 
構文の説明

/create destination-url flash:/ file-url

ローカルまたはネットワーク ファイル システムに新しい tar ファイルを作成します。

destination-url には、ローカルまたはネットワーク ファイル システムの宛先 URL エイリアスおよび作成する tar ファイルの名前を指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文:
ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

RCP の構文:
rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP の構文:
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、作成する tar ファイルです。

flash:/ file-url には、新しい tar ファイルが作成されるローカル フラッシュ ファイル システムの場所を指定します。

送信元ディレクトリ内のファイルまたはディレクトリのオプションのリストを指定して、新しい tar ファイルに書き込むことができます。何も指定しないと、このレベルのすべてのファイルおよびディレクトリが、新しく作成された tar ファイルに書き込まれます。

/table source-url

既存の tar ファイルの内容を画面に表示します。

source-url には、ローカルまたはネットワーク ファイル システムの送信元 URL エイリアスを指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文:
ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

RCP の構文:
rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP の構文:
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、表示する tar ファイルです。

/xtract source-url flash:/ file-url [ dir/file... ]

tar ファイルからローカル ファイル システムにファイルを抽出します。

source-url には、ローカル ファイル システムの 送信元 URL エイリアスを指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文:
ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

RCP の構文:
rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP の構文:
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、抽出が行われる tar ファイルです。

flash:/ file-url [ dir/file ...] には、tar ファイルが抽出されるローカル フラッシュ ファイル システムの場所を指定します。 dir/file ... オプションを使用して、tar ファイル内から抽出するファイルまたはディレクトリのオプション リストを指定します。何も指定されないと、すべてのファイルとディレクトリが抽出されます。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

イメージ名では、大文字と小文字が区別されます。

次の例では、tar ファイルを作成する方法を示します。このコマンドはローカル フラッシュ デバイスの new-configs ディレクトリの内容を、172.20.10.30 の TFTP サーバの saved.tar という名前のファイルに書き込みます。

Switch# archive tar /create tftp:172.20.10.30/saved.tar flash:/new_configs
 

次の例では、フラッシュ メモリ内にあるファイルの内容を表示する方法を示します。tar ファイルの内容が画面に表示されます。

Switch# archive tar /table flash:c3560-ipservices-12-25.SEB.tar
info (219 bytes)
 
c3560-ipservices-mz.12-25.SEB/ (directory)
c3560-ipservices-mz.12-25.SEB (610856 bytes)
c3560-ipservices-mz.12-25.SEB/info (219 bytes)
info.ver (219 bytes)
 

次に、 /html ディレクトリおよびその内容のみを表示する例を示します。

flash:c3560-ipservices-12-25.SEB.tar c3560ipservices-12-25/html
c3560-ipservices-mz.12-25.SEB/html/ (directory)
c3560-ipservices-mz.12-25.SEB/html/const.htm (556 bytes)
c3560-ipservices-mz.12-25.SEB/html/xhome.htm (9373 bytes)
c3560-ipservices-mz.12-25.SEB/html/menu.css (1654 bytes)
<output truncated>
 

次に、172.20.10.30 にある TFTP サーバ上の tar ファイルの内容を抽出する例を示します。このコマンドは、 new-configs ディレクトリだけを、ローカル フラッシュ ファイル システムのルート(root)ディレクトリに抽出します。 saved.tar ファイルの残りのファイルは無視されます。

Switch# archive tar /xtract tftp://172.20.10.30/saved.tar flash:/new-configs

 
関連コマンド

コマンド
説明

archive download-sw

TFTP サーバからスイッチに新しいイメージをダウンロードします。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードします。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードするには、 archive upload-sw 特権 EXEC コマンドを使用します。

archive upload-sw [ /version version_string ] destination-url

 
構文の説明

/version version_string

(任意)アップロードするイメージの特定バージョン文字列を指定します。

destination-url

ローカルまたはネットワーク ファイル システムの宛先 URL エイリアスです。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

Secure Copy Protocol (SCP) の構文:
scp: [[ // username @ location ]/ directory ] / image-name .tar

リモート コピー プロトコル(RCP)の構文: rcp: [[ // username @ location ]/ directory ] / image-name .tar

TFTP の構文 :
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、サーバに保存するソフトウェア イメージの名前です。

 
デフォルト

flash: ファイル システムから現在稼動中のイメージをアップロードします。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

組み込みデバイス マネージャに関連付けられている HTML ファイルが既存のイメージとともにインストールされている場合にだけ、アップロード機能を使用します。

ファイルは、Cisco IOS イメージ、HTML ファイル、info の順にアップロードされます。これらのファイルがアップロードされると、ソフトウェアは tar ファイルを作成します。

イメージ名では、大文字と小文字が区別されます。

次の例では、現在実行中のイメージを、172.20.140.2 の TFTP サーバへアップロードする方法を示します。

Switch# archive upload-sw tftp://172.20.140.2/test-image.tar

 
関連コマンド

コマンド
説明

archive download-sw

新しいイメージをスイッチにダウンロードします。

archive tar

tar ファイルを作成し、tar ファイルのファイルを一覧表示し、tar ファイルからファイルを抽出します。

 

arp access-list

Address Resolution Protocol(ARP; アドレス解決プロトコル)アクセス コントロール リスト(ACL)を定義する場合、または以前に定義したリストの末尾にコマンドを追加する場合は、arp access-list グローバル コンフィギュレーション コマンドを使用します。指定された ARP アクセス リストを削除するには、このコマンドの no 形式を使用します。

arp access-list acl-name

no arp access-list acl-name

 
構文の説明

acl-name

ACL の名前

 
デフォルト

ARP アクセス リストは定義されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが追加されました。

 
使用上のガイドライン

arp access-list コマンドを入力すると、ARP アクセス リスト コンフィギュレーション モードに入り、次のコンフィギュレーション コマンドが使用可能になります。

default :コマンドをデフォルト設定に戻します。

deny :パケットを拒否するように指定します。詳細については、「deny(ARP アクセス リスト コンフィギュレーション)」を参照してください。

exit :ARP アクセス リスト コンフィギュレーション モードを終了します。

no :コマンドを無効にするか、またはデフォルト設定に戻します。

permit :パケットを転送するように指定します。詳細については、「permit(ARP アクセス リスト コンフィギュレーション)」を参照してください。

指定された一致条件に基づいて ARP パケットを転送またはドロップするには、 permit または deny アクセス リスト コンフィギュレーション コマンドを使用します。

ARP ACL が定義されると、 ip arp inspection filter vlan グローバル コンフィギュレーション コマンドを使用して VLAN に ARP ACL を適用できます。IP/MAC アドレス バインディングだけを含む ARP パケットが ACL と比較されます。それ以外のすべてのパケット タイプは、検証されずに、入力 VLAN 内でブリッジングされます。ACL がパケットを許可すると、スイッチがパケットを転送します。明示的拒否ステートメントによって ACL がパケットを拒否すると、スイッチがパケットをドロップします。暗黙拒否ステートメントによって ACL がパケットを拒否すると、スイッチはパケットを DHCP バインディングのリストと比較します。ただし、ACL が スタティック (パケットがバインディングと比較されない)である場合を除きます。

次の例では、ARP アクセス リストを定義し、IP アドレスが 1.1.1.1 で MAC アドレスが 0000.0000.abcd のホストからの ARP 要求と ARP 応答の両方を許可する方法を示します。

Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# permit ip host 1.1.1.1 mac host 00001.0000.abcd
Switch(config-arp-nacl)# end
 

設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

deny(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの比較による一致に基づいて ARP パケットを拒否します。

ip arp inspection filter vlan

スタティック IP アドレスで設定されたホストからの ARP 要求および応答を許可します。

permit(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの比較による一致に基づいて ARP パケットを許可します。

show arp access-list

ARP アクセス リストに関する詳細を表示します。

 

authentication command bounce-port ignore

スイッチ スタック上またはスタンドアロン スイッチ上で authentication command bounce-port ignore グローバル コンフィギュレーション コマンドを使用すると、スイッチが一時的にポートをディセーブルにするコマンドを無視するようにできます。デフォルト ステータスに戻すには、このコマンドの no 形式を使用します。

authentication command bounce-port ignore

no authentication command bounce-port ignore

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このスイッチは、RADIUS Change of Authorization(CoA)の bounce port コマンドを受け付けます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

CoA の bounce port コマンドは、リンク フラッピングを発生させますが、これによりホストからの DHCP の再ネゴシエーションがトリガーされます。これは、エンドポイントが変更を検出するサプリカントを持たないデバイス(プリンタなど)であって、VLAN 変更した場合に便利です。 bounce port コマンドを無視するようにスイッチを設定するのに、このコマンドを使用します。

次の例では、スイッチに CoA の bounce port コマンドを無視するように指示する方法を示します。

Switch(config)# authentication command bounce-port ignore

 
関連コマンド

コマンド
説明

authentication command disable-port ignore

CoA の disable port コマンドを無視するようにスイッチを設定します。

 

 

authentication command disable-port ignore

スイッチ スタック上またはスタンドアロン スイッチ上で authentication command disable-port ignore グローバル コンフィギュレーション コマンドを使用すると、スイッチがポートをディセーブルにするコマンドを無視するようにできます。デフォルト ステータスに戻すには、このコマンドの no 形式を使用します。

authentication command disable-port ignore

no authentication command disable-port ignore

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このスイッチは、RADIUS Change of Authorization(CoA)の disable port コマンドを受け付けます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

CoA の disable port コマンドは、セッションをホストしているポートを管理のためにシャットダウンします。これにより、セッションは終了します。このコマンドを無視するようにスイッチを設定するのに、このコマンドを使用します。

次の例では、スイッチに CoA の disable port コマンドを無視するように指示する方法を示します。

Switch(config)# authentication command disable-port ignore

 
関連コマンド

コマンド
説明

authentication command bounce-port ignore

CoA の bounce port コマンドを無視するようにスイッチを設定します。

 

 

authentication control-direction

ポート モードを単一方向または双方向として設定するには、authentication control-direction インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication control-direction {both | in}

no authentication control-direction

 
構文の説明

both

ポートの双方向制御をイネーブルにします。ポートは、ホストにパケットを送受信できません。

in

ポートの単一方向制御をイネーブルにします。ポートは、ホストにパケットを送信できますが、受信はできません。

 
デフォルト

ポートは双方向モードに設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

 
使用上のガイドライン

デフォルト設定(双方向モード)に戻すには、このコマンドの both キーワードまたは no 形式を使用します。

次の例では、双方向モードをイネーブルにする方法を示します。

Switch(config-if)# authentication control-direction both
 

次の例では、単一方向モードをイネーブルにする方法を示します。

Switch(config-if)# authentication control-direction in
 

設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック メカニズムとして Web 認証を使用するようポートを設定します。

authentication host-mode

ポートの認証マネージャ モードを設定します。

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの許可ステートの手動制御をイネーブルにします。

authentication priority

認証方式をポート プライオリティ リストに追加します。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

authentication violation

新しいデバイスがポートに接続された場合、またはすでに最大数のデバイスが接続されているポートに新しいデバイスが接続された場合に発生する違反モードを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

authentication event

ポートの特定の認証イベントに対するアクションを設定するには、 authentication event インターフェイス コンフィギュレーション コマンドを使用します。

authentication event {fail [action [authorize vlan vlan-id | next-method] {| retry {retry count}]} { no-response action authorize vlan vlan-id} {server {alive action reinitialize} | {dead action [authorize | reinitialize vlan vlan-id]}}

no authentication event {fail [action [authorize vlan vlan-id | next-method] {| retry {retry count}]} {no-response action authorize vlan vlan-id} {server {alive action reinitialize} | {dead action [authorize | reinitialize vlan vlan-id]}}

 
構文の説明

action

認証イベントに必要なアクションを設定します。

alive

認証、許可、アカウンティング(AAA)サーバ アライブ アクションを設定します。

authorize

ポートを許可します。

dead

AAA サーバ デッド アクションを設定します。

fail

認証失敗パラメータを設定します。

next-method

次の認証方式に移動します。

no-response

応答のないホスト アクションを設定します。

reinitialize

すべての許可クライアントを再初期化します。

retry

認証失敗後の再試行をイネーブルにします。

retry count

0 ~ 5 の再試行回数。

server

AAA サーバ イベントのアクションを設定します。

vlan

1 ~ 4094 の範囲で認証失敗 VLAN を指定します。

vlan-id

1 ~ 4094 の VLAN ID 番号。

 
デフォルト

ポートにはイベント応答が設定されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

12.2(52)SE

reinitialize キーワードが追加されました。

 
使用上のガイドライン

特定のアクションのスイッチ応答を設定するには、このコマンドに fail、no-response、event のいずれかのキーワードを指定します。

サーバ デッド イベントの場合は、次のようになります。

スイッチが critical-authentication ステートに移行すると、認証を実施しようとしている新しいホストが critical-authentication VLAN(クリティカル VLAN)に移行します。これは、ポートがシングル ホスト、マルチ ホスト、複数認証、MDA のいずれのモードの場合にも適用されます。認証されたホストは認証された VLAN に残り、再認証タイマーはディセーブルになります。

クライアントで Windows XP が稼動し、クライアントの接続先のクリティカル ポートが critical-authentication ステートである場合、Windows XP はインターフェイスが認証されていないことを報告します。

Windows XP クライアントが DHCP に対応し、DHCP サーバからの IP アドレスを保持している場合、クリティカル ポートで EAP 認証成功メッセージを受信しても、DHCP 設定プロセスは再初期化されません。

応答のないイベントの場合は、次のようになります。

IEEE 802.1x ポートでゲスト VLAN をイネーブルにした場合、認証サーバが Extensible Authentication Protocol over LAN(EAPOL)Request/Identity フレームに対する応答を受信しないか、または EAPOL パケットがクライアントから送信されないと、スイッチはクライアントをゲスト VLAN に割り当てます。

スイッチでは、EAPOL パケット履歴が維持されます。リンクの存続中にポートで別の EAPOL パケットが検出されると、ゲスト VLAN の機能がディセーブルになります。ポートがすでにゲスト VLAN ステートにある場合、ポートは無許可ステートに戻り、認証が再開されます。EAPOL 履歴は消去されます。

スイッチ ポートがゲスト VLAN(マルチホスト モード)に移行すると、複数の IEEE 802.1x 非対応クライアントがアクセスを許可されます。IEEE 802.1x 対応クライアントが、ゲスト VLAN を設定しているポートと同じポートに加入すると、ポートは RADIUS 設定 VLAN またはユーザ設定アクセス VLAN では無許可ステートに移行し、認証が再開されます。

Remote Switched Port Analyzer(RSPAN; リモート スイッチド ポート アナライザ)VLAN、プライマリ プライベート VLAN、または音声 VLAN 以外のアクティブなすべての VLAN は、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN 機能は、アクセス ポートでだけサポートされます。内部 VLAN(ルーテッド ポート)とトランク ポートではサポートされません。

MAC 認証バイパスは IEEE 802.1x ポートでイネーブルの場合、スイッチは、EAPOL メッセージ交換を待機している間に IEEE 802.1x 認証が期限切れになると、クライアントの MAC アドレスに基づいてクライアントを許可できます。スイッチは、IEEE 802.1x ポート上のクライアントを検出したあとで、クライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-access/request フレームを認証サーバに送信します。

認証に成功すると、スイッチはクライアントにネットワークへのアクセスを許可します。

認証に失敗すると、スイッチはポートにゲスト VLAN を割り当てます(指定されていない場合)。

詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with MAC Authentication Bypass」を参照してください。

認証失敗イベントの場合は、次のようになります。

サプリカントが認証に失敗すると、ポートは制限 VLAN に移行し、EAP 認証成功メッセージがサプリカントに送信されます。これは、サプリカントには、実際の認証失敗が通知されないためです。

EAP の成功メッセージが送信されない場合、サプリカントは 60 秒ごと(デフォルト)に EAP 開始メッセージを送信して認証を行おうとします。

一部のホスト(たとえば、Windows XP を実行中のデバイス)は、EAP の成功メッセージを受け取るまで DHCP を実行できません。

制限 VLAN は、シングルホスト モード(デフォルトのポート モード)でのみサポートされます。ポートを制限 VLAN に配置すると、サプリカントの MAC アドレスが MAC アドレス テーブルに追加されます。ポートのそれ以外の MAC アドレスは、セキュリティ違反として扱われます。

レイヤ 3 ポートの内部 VLAN は制限 VLAN として設定できません。制限 VLAN と音声 VLAN に同じ VLAN を指定できません。

制限 VLAN での再認証をイネーブルにします。再認証がディセーブルになっている場合、制限 VLAN のポートは再認証要求を受け取りません。

再認証プロセスを開始するには、制限 VLAN がポートからリンクダウン イベントまたは Extensible Authentication Protocol(EAP)ログオフ イベントを受け取る必要があります。ホストがハブ経由で接続されている場合は、次のようになります。

ポートは、そのホストが切断されると、リンクダウン イベントを受け取らなくなります。

次に再認証が試行されるまで、ポートは新しいホストを検出しなくなります。

制限 VLAN を異なるタイプの VLAN として再設定すると、制限 VLAN のポートも、現在認証されたステートに移行し、そのステートのままになります。

次の例では、authentication event fail コマンドを設定する方法を示します。

Switch(config-if)# authentication event fail action authorize vlan 20
 

次の例では、応答のないアクションを設定する方法を示します。

Switch(config-if)# authentication event no-response action authorize vlan 10
 

次の例では、サーバ応答アクションを設定する方法を示します。

Switch(config-if)# authentication event server alive action reinitialize
 

次の例では、RADIUS サーバが使用不可な場合に新規、既存双方のホストをクリティカルな VLAN に送信するよう、ポートを設定する方法を示します。このコマンドは、マルチ認証(multiauth)モードのポートに使用するか、またはポートの音声ドメインが MDA モードになっている場合に、次のように使用します。

Switch(config-if)# authentication event server dead action authorize vlan 10
 

次の例では、RADIUS サーバが使用不可な場合に新規、既存双方のホストをクリティカルな VLAN に送信するよう、ポートを設定する方法を示します。このコマンドは、マルチ ホストまたはマルチ認証モードのポートに使用します。

 
Switch(config-if)# authentication event server dead action reinitialize vlan 10
 

設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向として設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック メカニズムとして Web 認証を使用するようポートを設定します。

authentication host-mode

ポートの認証マネージャ モードを設定します。

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの許可ステートの手動制御をイネーブルにします。

authentication priority

認証方式をポート プライオリティ リストに追加します。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

authentication violation

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアントに対し、Web 認証をフォールバック方式として使用するようにポートを設定するには、authentication fallback インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication fallback name

no authentication fallback name

 
構文の説明

name

Web 認証のフォールバック プロファイルを指定します。

 
デフォルト

フォールバックはイネーブルではありません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

 
使用上のガイドライン

フォールバック方式を設定する前に、authentication port-control auto インターフェイス コンフィギュレーション コマンドを入力する必要があります。

Web 認証をフォールバック方式として設定できるのは 802.1x または MAB に限られるため、フォールバックをイネーブルにするには、これらの認証方式のいずれかまたは両方を設定する必要があります。

次の例では、ポートのフォールバック プロファイルを指定する方法を示します。

Switch(config-if)# authentication fallback profile1
 

設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向として設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication host-mode

ポートの認証マネージャ モードを設定します。

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの許可ステートの手動制御をイネーブルにします。

authentication priority

認証方式をポート プライオリティ リストに追加します。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

authentication violation

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

authentication host-mode

ポートに認証マネージャ モードを設定するには、authentication host-mode インターフェイス コンフィギュレーション コマンドを使用します。

authentication host-mode [multi-auth | multi-domain | multi-host | single-host]

no authentication host-mode [multi-auth | multi-domain | multi-host | single-host]

 
構文の説明

multi-auth

ポートでマルチ許可モード(multiauth モード)をイネーブルにします。

multi-domain

ポートのマルチドメイン モードをイネーブルにします。

multi-host

ポートのマルチホスト モードをイネーブルにします。

single-host

ポートのシングルホスト モードをイネーブルにします。

 
デフォルト

シングルホスト モードがイネーブルになっています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

 
使用上のガイドライン

接続されているデータ ホストが 1 つだけである場合は、シングルホスト モードを設定する必要があります。認証する音声デバイスをシングルホスト ポートに接続しないでください。そのポートに音声 VLAN が設定されていないと、音声デバイス認証は失敗します。

データ ホストが IP Phone 経由でポートに接続されている場合は、マルチドメイン モードを設定する必要があります。音声デバイスを認証する必要がある場合は、マルチドメイン モードを設定する必要があります。

ハブの背後に最大 8 台のデバイスを配置して個々の認証でポート アクセスのセキュリティを確保するには、マルチ認証モードを設定する必要があります。音声 VLAN が設定されている場合、このモードでは 1 台の音声デバイスだけを認証できます。

また、マルチホスト モードでは、ハブの背後にある複数のホストからポートにアクセスできるようになりますが、最初のユーザが認証されたあと、それらのホストからポートへのアクセスが無制限になります。

次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode multi-auth
 

次の例では、ポートのマルチドメイン モードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode multi-domain

次の例では、ポートのマルチホスト モードをイネーブルにする方法を示します。

Switch(config)# authentication host-mode multi-host

次の例では、ポートのシングルホスト モードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode single-host

設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向として設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック メカニズムとして Web 認証を使用するようポートを設定します。

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの許可ステートの手動制御をイネーブルにします。

authentication priority

認証方式をポート プライオリティ リストに追加します。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

authentication violation

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

 

authentication mac-move permit

スイッチでの MAC 移動をイネーブルにするには、authentication mac-move permit グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication mac-move permit

no authentication mac-move permit

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

MAC 移動はイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、認証されたホストがスイッチ上の 802.1x 対応ポート間を移動できるようにします。たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが他のポートに移動する場合、認証セッションが最初のポートから削除され、ホストは新しいポート上で再認証されます。

MAC 移動がディセーブルになっており、認証されたホストが他のポートに移動した場合は、再認証は行われず、違反エラーが発生します。

MAC 移動はポート セキュリティ対応 802.1x ポートではサポートされません。MAC 移動がスイッチでグローバルに設定されていて、ポート セキュリティ対応ホストが 802.1x 対応のポートに移動されると、違反エラーが発生します。

次の例では、スイッチで MAC 移動をイネーブルにする方法を示しています。

Switch(config)# authentication mac-move permit

 
関連コマンド

コマンド
説明

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック メカニズムとして Web 認証を使用するようポートを設定します。

authentication host-mode

ポートの認証マネージャ モードを設定します。

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの許可ステートの手動制御をイネーブルにします。

authentication priority

認証方式をポート プライオリティ リストに追加します。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

authentication violation

新しいデバイスがポートに接続された場合、またはすでに最大数のデバイスが接続されているポートに新しいデバイスが接続された場合に発生する違反モードを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

 

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにするには、authentication open インターフェイス コンフィギュレーション コマンドを使用します。オープン アクセスをディセーブルにするには、このコマンドの no 形式を使用します。

authentication open

no authentication open

 
デフォルト

オープン アクセスはディセーブルになっています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

 
使用上のガイドライン

デバイスを認証するのにそのデバイスからネットワークへのアクセスが必要になる場合は、オープン認証をイネーブルにする必要があります。

オープン認証をイネーブルにするときは、ポート ACL を使用してホストへのアクセスを制限してください。

次の例では、ポートのオープン アクセスをイネーブルにする方法を示します。

Switch(config-if)# authentication open
 

次の例では、オープン アクセスをディセーブルにするようにポートを設定する方法を示します。

Switch(config-if)# no authentication open

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向として設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック メカニズムとして Web 認証を使用するようポートを設定します。

authentication host-mode

ポートの認証マネージャ モードを設定します。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの許可ステートの手動制御をイネーブルにします。

authentication priority

認証方式をポート プライオリティ リストに追加します。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

authentication violation

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

 

authentication order

ポートで使用する認証方式の順序を設定するには、authentication order インターフェイス コンフィギュレーション コマンドを使用します。

authentication order [dot1x | mab] {webauth}

no authentication order

 
構文の説明

dot1x

認証方式の並び順に 802.1x を追加します。

mab

認証方式の並び順に MAC Authentication Bypass(MAB; MAC 認証バイパス)を追加します。

webauth

認証方式の並び順に Web 認証を追加します。

 
コマンド デフォルト

デフォルトの認証順序は、dot1x、mab、webauth となっています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

 
使用上のガイドライン

順序付けによって、スイッチのポートに新しいデバイスを接続した場合に試行される認証方式の順序が決まります。認証方式リストのある方式が失敗した場合は、その次にある方式が試行されます。

どの方式も、1 回だけ入力できます。順序を柔軟に設定できるのは、802.1x と MAB との間に限られます。

Web 認証は、スタンドアロン方式か、または 802.1x や MAB よりも後の最後の方式として設定できます。Web 認証は、dot1x または mab に対するフォールバックとしてだけ設定してください。

次の例では、802.1x を最初の認証方式として、MAB を 2 番目の認証方式として、Web 認証を 3 番目の認証方式として追加する方法を示します。

Switch(config-if)# authentication order dotx mab webauth
 

次の例では、MAB を最初の認証方式として、Web 認証を 2 番目の認証方式として追加する方法を示します。

Switch(config-if)# authentication order mab webauth
 

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向として設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック メカニズムとして Web 認証を使用するようポートを設定します。

authentication host-mode

ポートの認証マネージャ モードを設定します。

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにします。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの許可ステートの手動制御をイネーブルにします。

authentication priority

認証方式をポート プライオリティ リストに追加します。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

authentication violation

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定します。

mab

ポートの MAC 認証バイパスをイネーブルにします。

mab eap

Extensible Authentication Protocol(EAP)を使用するようにポートを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

 

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにするには、authentication periodic インターフェイス コンフィギュレーション コマンドを使用します。再認証をディセーブルにする場合は、このコマンドの no 形式を入力します。

authentication periodic

no authentication periodic

 
コマンド デフォルト

再認証はディセーブルになっています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

 
使用上のガイドライン

定期的に再認証を試行する間隔を設定するには、authentication timer reauthentication インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、ポートの定期的な再認証をイネーブルにする方法を示します。

Switch(config-if)# authentication periodic
 

次の例では、ポートの定期的な再認証をディセーブルにする方法を示します。

Switch(config-if)# no authentication periodic
 

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向として設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック メカニズムとして Web 認証を使用するようポートを設定します。

authentication host-mode

ポートの認証マネージャ モードを設定します。

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication port-control

ポートの許可ステートの手動制御をイネーブルにします。

authentication priority

認証方式をポート プライオリティ リストに追加します。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

authentication violation

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

authentication port-control

ポートの許可ステートを手動で制御するには、authentication port-control インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication port-control {auto | force-authorized | force-un authorized}

no authentication port-control {auto | force-authorized | force-un authorized}

 
構文の説明

auto

ポートの IEEE 802.1x 認証をイネーブルにします。ポートは、スイッチとクライアント間の IEEE 802.1x 認証交換に基づいて、許可ステートまたは無許可ステートに変わります。

force-authorized

ポートの IEEE 802.1x 認証をディセーブルにします。ポートは、認証交換なしで許可ステートに変わります。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。

force-un authorized

ポートのすべてのアクセスを拒否します。ポートは無許可ステートに変わり、クライアントからの認証の試みをすべて無視します。スイッチはポートを介してクライアントに認証サービスを提供できません。

 
デフォルト

デフォルトの設定は force-authorized です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

 
使用上のガイドライン

次のポート タイプのいずれか 1 つに対してだけ auto キーワードを使用します。

トランク ポート:トランク ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック ポート:ダイナミック ポートは、トランク ポートへの変更をネイバーとネゴシエートする場合があります。ダイナミック ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック アクセス ポート:ダイナミック アクセス(VLAN Query Protocol(VQP))ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミック VLAN に変更しようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート:アクティブまたはアクティブでない EtherChannel メンバーを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。

Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および Remote SPAN(RSPAN)宛先ポート:SPAN または RSPAN 宛先ポートであるポートの IEEE 802.1x 認証をイネーブルにできます。ただし、そのポートが SPAN または RSPAN 宛先として削除されるまで、IEEE 802.1x 認証はディセーブルのままです。SPAN または RSPAN 送信元ポートでは IEEE 802.1x 認証をイネーブルにできます。

スイッチの IEEE 802.1x 認証をグローバルにディセーブルにするには、no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。特定のポートの IEEE 802.1x 認証をディセーブルにするには、no authentication port-control インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、ポート ステートを自動に設定する方法を示します。

Switch(config-if)# authentication port-control auto
 

次の例では、ポート ステートを force-authorized ステートに設定する方法を示します。

Switch(config-if)# authentication port-control force-authorized
 

次の例では、ポート ステートを force-unauthorized ステートに設定する方法を示します。

Switch(config-if)# authentication port-control force-unauthorized
 

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向として設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック メカニズムとして Web 認証を使用するようポートを設定します。

authentication host-mode

ポートの認証マネージャ モードを設定します。

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication priority

認証方式をポート プライオリティ リストに追加します。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

authentication violation

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

 

authentication priority

認証方式をポート プライオリティ リストに追加するには、authentication priority インターフェイス コンフィギュレーション コマンドを使用します。

auth priority [dot1x | mab] {webauth}

no auth priority [dot1x | mab] {webauth}

 
構文の説明

dot1x

認証方式の並び順に 802.1x を追加します。

mab

認証方式の並び順に MAC 認証バイパス(MAB)を追加します。

webauth

認証方式の並び順に Web 認証を追加します。

 
コマンド デフォルト

デフォルトのプライオリティは 802.1x 認証、MAC 認証バイパス、Web 認証の順となっています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

 
使用上のガイドライン

順序付けによって、スイッチのポートに新しいデバイスを接続した場合に試行される認証方式の順序が決まります。

ポートに複数のフォールバック方式を設定するときは、Web 認証(webauth)を最後にします。

それぞれの認証方式にプライオリティを割り当てると、プライオリティの低い認証方式の実行中にプライオリティの高い認証方式を割り込ませることができます。


) クライアントがすでに認証されている場合でも、プライオリティの高い方式による割り込みが発生したときに再認証することが可能です。


認証方式のデフォルトのプライオリティは、実行順序に占める認証方式の位置に等しく、802.1x 認証、MAC 認証バイパス、Web 認証の順となります。このデフォルトの順序を変更するには、dot1x、mab、webauth の各キーワードを使用します。

次の例では、802.1x を最初の認証方式として、Web 認証を 2 番目の認証方式として設定する方法を示します。

Switch(config-if)# authentication priority dotx webauth
 

次の例では、MAB を最初の認証方式として、Web 認証を 2 番目の認証方式として設定する方法を示します。

Switch(config-if)# authentication priority mab webauth
 

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向として設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック メカニズムとして Web 認証を使用するようポートを設定します。

authentication host-mode

ポートの認証マネージャ モードを設定します。

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの許可ステートの手動制御をイネーブルにします。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

authentication violation

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定します。

mab

ポートの MAC 認証バイパスをイネーブルにします。

mab eap

Extensible Authentication Protocol(EAP)を使用するようにポートを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

 

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定するには、authentication timer インターフェイス コンフィギュレーション コマンドを使用します。

authentication timer {{[inactivity | reauthenticate] [server | am]} {restart value}}

no authentication timer {{[inactivity | reauthenticate] [server | am]} {restart value}}

 
構文の説明

inactivity

アクティビティがない場合にクライアントを無許可とするまでの間隔(秒単位)。

reauthenticate

自動再認証を開始するまでの時間(秒単位)。

server

無許可ポートの認証を試行するまでの間隔(秒単位)。

restart

無許可ポートの認証を試行するまでの間隔(秒単位)。

value

1 ~ 65535 の値を入力します(秒単位)。

 
デフォルト

inactivity、server、restart の各キーワードはオフに設定されています。reauthenticate キーワードは 1 時間に設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

 
使用上のガイドライン

タイムアウト値を設定しないと、802.1x セッションを許可した状態が続くことになります。他のどのホストもそのポートを使用できなくなり、そのポートに接続されたホストは同じスイッチの別のポートに移動させることができません。

次の例では、認証非アクティビティ タイマーを 60 秒に設定する方法を示します。

Switch(config-if)# authentication timer inactivity 60
 

次の例では、再認証タイマーを 120 秒に設定する方法を示します。

Switch(config-if)# authentication timer restart 120
 

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向として設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック メカニズムとして Web 認証を使用するようポートを設定します。

authentication host-mode

ポートの認証マネージャ モードを設定します。

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの許可ステートの手動制御をイネーブルにします。

authentication priority

認証方式をポート プライオリティ リストに追加します。

authentication violation

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

 

authentication violation

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定するには、authentication violation インターフェイス コンフィギュレーション コマンドを使用します。

authentication violation {protect | replace | restrict | shutdown}

no authentication violation {protect | replace | restrict | shutdown}

 
構文の説明

protect

予期しない着信 MAC アドレスをドロップします。Syslog エラーは生成しません。

replace

現在のセッションを終了して、新しいホストによる認証を開始します。

restrict

違反エラーが発生した場合に Syslog エラーを生成します。

shutdown

予期しない MAC アドレスが発生したポートまたは仮想ポートを errordisable にします。

 
デフォルト

デフォルトでは認証違反シャットダウン モードがイネーブルになっています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

12.2(55)SE

replace キーワードが追加されました。

次の例では、IEEE 802.1x 対応ポートを errordisable として設定し、新しいデバイスがそのポートに接続されたときにシャットダウンする方法を示します。

Switch(config-if)# authentication violation shutdown
 

次の例では、新しいデバイスが接続されたら、システム エラー メッセージを生成し、制限モードに遷移するように、802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation restrict
 

次の例では、新しいデバイスが接続されたら、そのデバイスを無視するように、802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation protect
 

次の例では、新しいデバイスが接続されたら、現在のセッションを終了して、そのデバイスによる認証を開始するように 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation replace
 

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

authentication control-direction

ポート モードを単一方向または双方向として設定します。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

802.1x 認証をサポートしていないクライアント用のフォールバック方式として Web 認証を使用するようにポートを設定します。

authentication host-mode

ポートの認証マネージャ モードを設定します。

authentication open

ポートのオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの許可ステートの手動制御をイネーブルにします。

authentication priority

認証方式をポート プライオリティ リストに追加します。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。

show authentication

スイッチの許可マネージャ イベントに関する情報を表示します。

 

auto qos classify

Quality of Service(QoS)ドメイン内の信頼できないデバイスに関する QoS 分類を自動的に設定するには、 auto qos classify インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

auto qos classify [ police ]

no auto qos classify [ police ]

 
構文の説明

police

(任意)信頼できないデバイスに関する QoS ポリシングを設定します。

 
デフォルト

auto-QoS 分類は、ポート上で使用できません。

auto-QoS がイネーブルの場合は、入力パケット ラベルを使用して、トラフィックの分類、パケット ラベルの割り当て、および入力/出力キューの設定を行います。

 

表 2-1 入力キューに対する auto-QoS の設定

入力キュー
キュー番号
CoS からキューへのマッピング
キューの重み(帯域幅)
キュー(バッファ)サイズ

SRR1 共有

1

0、1、2、3、6、7

70%

90%

プライオリティ

2

4、5

30%

10%

1.SRR = Shaped Round Robin(シェイプド ラウンド ロビン)。入力キューは共有モードのみサポートします。

 

表 2-2 に、出力キューに対して生成される auto-QoS の設定を示します。

 

表 2-2 出力キューに対する auto-QoS の設定

出力キュー
キュー番号
CoS からキューへのマッピング
キューの重み(帯域幅)
ギガビット対応ポートのキュー(バッファ)サイズ
10/100 イーサネット ポートのキュー(バッファ)サイズ

プライオリティ(シェイプド)

1

4、5

最大 100%

25%

15%

SRR 共有

2

2、3、6、7

10%

25%

25%

SRR 共有

3

0

60 %

25%

40%

SRR 共有

4

1

20 %

25%

20 %

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(55)SE

このコマンドが追加されました。

 
使用上のガイドライン

QoS ドメイン内の信頼できるインターフェイスに関する QoS を設定するには、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、および QoS に関する着信トラフィックを分類可能なエッジ デバイスが含まれています。

Auto-QoS は、スイッチの信頼できるインターフェイスとの接続を設定します。着信パケットの QoS ラベルは信頼されます。非ルーテッド ポートの場合は、着信パケットの CoS 値が信頼されます。ルーテッド ポートでは、着信パケットの DSCP 値が信頼されます。

auto-QoS のデフォルトを利用するには、auto-QoS をイネーブルにしてから、その他の QoS コマンドを設定する必要があります。auto-QoS をイネーブルにした あと に、auto-QoS を調整できます。

auto qos classify コマンドが設定されている場合のポリシー マップを次に示します。

policy-map AUTOQOS-SRND4-CLASSIFY-POLICY
class AUTOQOS_MULTIENHANCED_CONF_CLASS
set dscp af41
class AUTOQOS_BULK_DATA_CLASS
set dscp af11
class AUTOQOS_TRANSACTION_CLASS
set dscp af21
class AUTOQOS_SCAVANGER_CLASS
set dscp cs1
class AUTOQOS_SIGNALING_CLASS
set dscp cs3
class AUTOQOS_DEFAULT_CLASS
set dscp default
 

auto qos classify police コマンドが設定されている場合のポリシー マップを次に示します。

policy-map AUTOQOS-SRND4-CLASSIFY-POLICE-POLICY
class AUTOQOS_MULTIENHANCED_CONF_CLASS
set dscp af41
police 5000000 8000 exceed-action drop
class AUTOQOS_BULK_DATA_CLASS
set dscp af11
police 10000000 8000 exceed-action policed-dscp-transmit
class AUTOQOS_TRANSACTION_CLASS
set dscp af21
police 10000000 8000 exceed-action policed-dscp-transmit
class AUTOQOS_SCAVANGER_CLASS
set dscp cs1
police 10000000 8000 exceed-action drop
class AUTOQOS_SIGNALING_CLASS
set dscp cs3
police 32000 8000 exceed-action drop
class AUTOQOS_DEFAULT_CLASS
set dscp default
police 10000000 8000 exceed-action policed-dscp-transmit

) スイッチは、Command-Line Interface(CLI; コマンドライン インターフェイス)からコマンドが入力された場合と同じように、auto-QoS によって生成されたコマンドを適用します。既存のユーザ設定では、生成されたコマンドの適用に失敗することがあります。また、生成されたコマンドで既存の設定が上書きされることもあります。これらのアクションは、警告を表示せずに実行されます。生成されたコマンドがすべて正常に適用された場合、上書きされなかったユーザ入力の設定は実行コンフィギュレーション内に残ります。上書きされたユーザ入力の設定は、現在の設定をメモリに保存せずに、スイッチをリロードすると復元できます。生成されたコマンドの適用に失敗した場合は、前の実行コンフィギュレーションが復元されます。


auto-QoS をイネーブルにしたあと、名前に AutoQoS を含むポリシー マップや集約ポリサーを変更しないでください。ポリシー マップや集約ポリサーを変更する必要がある場合、そのコピーを作成し、コピーしたポリシー マップやポリサーを変更します。生成されたポリシー マップの代わりに新しいポリシー マップを使用するには、生成したポリシー マップをインターフェイスから削除して、新しいポリシー マップを適用します。

auto-QoS がイネーブルのときに自動的に生成される QoS の設定を表示するには、auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos 特権 EXEC コマンドを使用すると、auto-QoS のデバッギングがイネーブルになります。詳細については、 debug auto qos コマンドを参照してください。

ポート上の auto-QoS をディセーブルにするには、 no auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。このポートに対して、auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが削除されます。auto-QoS をイネーブルにした最後のポートで、 no auto qos trust コマンドを入力すると、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドが残っている場合でも、auto-QoS はディセーブルとみなされます(グローバル コンフィギュレーションによって影響を受ける他のポートでのトラフィックの中断を避けるため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドをディセーブルにできます。QoS がディセーブルの場合は、パケットが変更されないため、信頼できるポートや信頼できないポートという概念はなくなります。パケット内の CoS、DSCP、および IP precedence の値は変更されません。トラフィックは Pass-Through モードでスイッチングされます。パケットは書き換えられることなくスイッチングされ、ポリシングなしのベスト エフォートに分類されます。

次の例では、信頼できないデバイスの auto-QoS 分類をイネーブルにし、トラフィックをポリシングする方法を示します。

Switch(config)# interface gigabitethernet2/0/1
Switch(config)# interface gigabitethernet1/1
Switch(config-if)# auto qos classify police
 

設定を確認するには、 show auto qos interface interface-id 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

debug auto qos

auto-QoS 機能のデバッグをイネーブルにします。

mls qos trust

ポートの信頼状態を設定します。

srr-queue bandwidth share

共有する重みを割り当て、ポートにマッピングされた出力キュー 4 つで帯域幅を共有します。

queue-set

キューセットに対するポートをマッピングします。

show auto qos

auto-QoS 情報を表示します。

show mls qos interface

ポート レベルで QoS 情報を表示します。

 

auto qos trust

QoS ドメイン内の信頼できないインターフェイスに関する QoS を自動的に設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で auto qos trust インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

auto qos trust { cos | dscp }

no auto qos trust { cos | dscp }

 
構文の説明

cos

CoS パケット分類を信頼します。

dscp

DSCP パケット分類を信頼します。

 
デフォルト

auto-QoS 信頼は、ポート上で使用できません。

auto-QoS がイネーブルの場合は、入力パケット ラベルを使用して、トラフィックの分類、パケット ラベルの割り当て、および入力/出力キューの設定を行います。

 

表 2-3 トラフィック タイプ、パケット ラベル、およびキュー

 
VoIP データ トラフィック
VoIP 制御
トラフィック
ルーティング プロトコル トラフィック
STP2 BPDU3 トラフィック
リアルタイム ビデオ トラフィック
その他すべてのトラフィック

DSCP4

46

24、26

48

56

34

-

CoS5

5

3

6

7

3

-

CoS から入力キューへのマッピング

4、5(キュー 2)

0、1、2、3、6、7(キュー 1)

CoS から出力キューへのマッピング

4、5
(キュー 1)

2、3、6、7(キュー 2)

0(キュー 3)

2
(キュー 3)

0、1(キュー 4)

2.STP = Spanning-Tree Protocol(スパニング ツリー プロトコル)

3.BPDU = Bridge Protocol Data Unit(ブリッジ プロトコル データ ユニット)

4.DSCP = Differentiated Service Code Point(Diffserv コード ポイント)

5.CoS = Class of Service(サービス クラス)

 

表 2-4 入力キューに対する auto-QoS の設定

入力キュー
キュー番号
CoS からキューへのマッピング
キューの重み(帯域幅)
キュー(バッファ)サイズ

SRR6 共有

1

0、1、2、3、6、7

70%

90%

プライオリティ

2

4、5

30%

10%

6.SRR = Shaped Round Robin(シェイプド ラウンド ロビン)。入力キューは共有モードのみサポートします。

 

 

表 2-5 出力キューに対する auto-QoS の設定

出力キュー
キュー番号
CoS からキューへのマッピング
キューの重み(帯域幅)
ギガビット対応ポートのキュー(バッファ)サイズ
10/100 イーサネット ポートのキュー(バッファ)サイズ

プライオリティ(シェイプド)

1

4、5

最大 100%

25%

15%

SRR 共有

2

2、3、6、7

10%

25%

25%

SRR 共有

3

0

60 %

25%

40%

SRR 共有

4

1

20 %

25%

20 %

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(55)SE

このコマンドが追加されました。

 
使用上のガイドライン

QoS ドメイン内の信頼できるインターフェイスに関する QoS を設定するには、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、および QoS に関する着信トラフィックを分類可能なエッジ デバイスが含まれています。

Auto-QoS は、スイッチの信頼できるインターフェイスとの接続を設定します。着信パケットの QoS ラベルは信頼されます。非ルーテッド ポートの場合は、着信パケットの CoS 値が信頼されます。ルーテッド ポートでは、着信パケットの DSCP 値が信頼されます。

auto-QoS のデフォルトを利用するには、auto-QoS をイネーブルにしてから、その他の QoS コマンドを設定する必要があります。auto-QoS をイネーブルにした あと に、auto-QoS を調整できます。

ポートが auto-QoS 信頼を使用して設定されている場合は、ポート上のすべてのパケットが信頼されます。パケットが DSCP または CoS 値でマークされていない場合は、デフォルト マーキングが使用されます。


) スイッチは、Command-Line Interface(CLI; コマンドライン インターフェイス)からコマンドが入力された場合と同じように、auto-QoS によって生成されたコマンドを適用します。既存のユーザ設定では、生成されたコマンドの適用に失敗することがあります。また、生成されたコマンドで既存の設定が上書きされることもあります。これらのアクションは、警告を表示せずに実行されます。生成されたコマンドがすべて正常に適用された場合、上書きされなかったユーザ入力の設定は実行コンフィギュレーション内に残ります。上書きされたユーザ入力の設定は、現在の設定をメモリに保存せずに、スイッチをリロードすると復元できます。生成されたコマンドの適用に失敗した場合は、前の実行コンフィギュレーションが復元されます。


auto-QoS をイネーブルにしたあと、名前に AutoQoS を含むポリシー マップや集約ポリサーを変更しないでください。ポリシー マップや集約ポリサーを変更する必要がある場合、そのコピーを作成し、コピーしたポリシー マップやポリサーを変更します。生成されたポリシー マップの代わりに新しいポリシー マップを使用するには、生成したポリシー マップをインターフェイスから削除して、新しいポリシー マップを適用します。

auto-QoS がイネーブルのときに自動的に生成される QoS の設定を表示するには、auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos 特権 EXEC コマンドを使用すると、auto-QoS のデバッギングがイネーブルになります。詳細については、 debug auto qos コマンドを参照してください。

ポート上の auto-QoS をディセーブルにするには、 no auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。このポートに対して、auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが削除されます。auto-QoS をイネーブルにした最後のポートで、 no auto qos trust コマンドを入力すると、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドが残っている場合でも、auto-QoS はディセーブルと見なされます(グローバル コンフィギュレーションの影響を受ける他のポート上のトラフィックを中断させないため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドをディセーブルにできます。QoS がディセーブルの場合は、パケットが変更されない(パケット内の CoS、DSCP、および IP precedence 値は変更されない)ため、信頼できるポートまたは信頼できないポートといった概念はありません。トラフィックは Pass-Through モードでスイッチングされます(パケットは書き換えられることなくスイッチングされ、ポリシングなしのベスト エフォートに分類されます)。

次の例では、特定の cos 分類を使用して信頼できるインターフェイスに関する auto-QoS をイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# auto qos trust cos
 

設定を確認するには、 show auto qos interface interface-id 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

debug auto qos

auto-QoS 機能のデバッグをイネーブルにします。

mls qos trust

ポートの信頼状態を設定します。

srr-queue bandwidth share

共有する重みを割り当て、ポートにマッピングされた出力キュー 4 つで帯域幅を共有します。

queue-set

キューセットに対するポートをマッピングします。

show auto qos

auto-QoS 情報を表示します。

show mls qos interface

ポート レベルで QoS 情報を表示します。

 

auto qos voip

QoS(Quality of Service)ドメイン内の Voice over IP(VoIP)に対し、QoS を自動的に設定するには、 auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

auto qos voip { cisco-phone | cisco-softphone | trust }

no auto qos voip [ cisco-phone | cisco-softphone | trust ]

 
構文の説明

cisco-phone

このポートが Cisco IP Phone に接続されていると判断し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルが信頼されるのは、IP Phone が検知される場合に限ります。

cisco-softphone

このポートが Cisco SoftPhone が動作している装置に接続されていると判断し、自動的に VoIP の QoS を設定します。

trust

このポートが信頼できるスイッチまたはルータに接続されていると判断し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルは信頼されます。非ルーテッド ポートの場合は、着信パケットの CoS 値が信頼されます。ルーテッド ポートでは、着信パケットの DSCP 値が信頼されます。

 
デフォルト

auto-QoS がイネーブルの場合は、入力パケット ラベルを使用して、トラフィックの分類、パケット ラベルの割り当て、および入力/出力キューの設定を行います。

 

表 2-6 トラフィック タイプ、パケット ラベル、およびキュー

 
VoIP データ トラフィック
VoIP 制御
トラフィック
ルーティング プロトコル トラフィック
STP7 BPDU8 トラフィック
リアルタイム ビデオ トラフィック
その他すべてのトラフィック

DSCP[DSCP]9

46

24、26

48

56

34

-

CoS10

5

3

6

7

3

-

CoS から入力キューへのマッピング

4、5(キュー 2)

0、1、2、3、6、7(キュー 1)

CoS から出力キューへのマッピング

4、5
(キュー 1)

2、3、6、7(キュー 2)

0(キュー 3)

2
(キュー 3)

0、1(キュー 4)

7.STP = Spanning-Tree Protocol(スパニング ツリー プロトコル)

8.BPDU = Bridge Protocol Data Unit(ブリッジ プロトコル データ ユニット)

9.DSCP = Differentiated Service Code Point(Diffserv コード ポイント)

10.CoS = Class of Service(サービス クラス)

 

表 2-7 入力キューに対する auto-QoS の設定

入力キュー
キュー番号
CoS からキューへのマッピング
キューの重み(帯域幅)
キュー(バッファ)サイズ

SRR11 共有

1

0、1、2、3、6、7

70%

90%

プライオリティ

2

4、5

30%

10%

11.SRR = Shaped Round Robin(シェイプド ラウンド ロビン)。入力キューは共有モードのみサポートします。

 

表 2-8 出力キューに対する auto-QoS の設定

出力キュー
キュー番号
CoS からキューへのマッピング
キューの重み(帯域幅)
ギガビット対応ポートのキュー(バッファ)サイズ
10/100 イーサネット ポートのキュー(バッファ)サイズ

プライオリティ(シェイプド)

1

4、5

最大 100%

25%

15%

SRR 共有

2

2、3、6、7

10 %

25%

25%

SRR 共有

3

0

60 %

25%

40%

SRR 共有

4

1

20 %

25%

20 %

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(20)SE

cisco-softphone キーワードが追加され、生成される auto-QoS の設定が変更されました。

12.2(40)SE

コマンド出力の情報が変更されました。

12.2(55)SE

拡張 auto-QoS に対するサポートが追加されました。

 
使用上のガイドライン

QoS ドメイン内の VoIP トラフィックに適切な QoS を設定する場合は、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類することのできるエッジ装置などが含まれます。

auto-QoS はスイッチとルーテッド ポート上の Cisco IP Phone を使用した VoIP と、Cisco SoftPhone アプリケーションが動作する装置を使用した VoIP に対してスイッチを設定します。これらのリリースは Cisco IP SoftPhone バージョン 1.3(3)以降のみをサポートします。接続される装置は Cisco CallManager バージョン 4 以降を使用する必要があります。

show auto qos コマンドの出力には、Cisco IP Phone のサービス ポリシー情報が表示されます。

auto-QoS のデフォルトを利用するには、auto-QoS をイネーブルにしてから、その他の QoS コマンドを設定する必要があります。auto-QoS をイネーブルにした あと に、auto-QoS を調整できます。


) スイッチは、Command-Line Interface(CLI; コマンドライン インターフェイス)からコマンドが入力された場合と同じように、auto-QoS によって生成されたコマンドを適用します。既存のユーザ設定では、生成されたコマンドの適用に失敗することがあります。また、生成されたコマンドで既存の設定が上書きされることもあります。これらのアクションは、警告を表示せずに実行されます。生成されたコマンドがすべて正常に適用された場合、上書きされなかったユーザ入力の設定は実行コンフィギュレーション内に残ります。上書きされたユーザ入力の設定は、現在の設定をメモリに保存せずに、スイッチをリロードすると復元できます。生成されたコマンドの適用に失敗した場合は、前の実行コンフィギュレーションが復元されます。


これが auto-QoS をイネーブルにする最初のポートの場合は、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドに続いてインターフェイス コンフィギュレーション コマンドが実行されます。別のポートで auto-QoS をイネーブルにすると、そのポートに対して auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが実行されます。

最初のポートで auto-QoS 機能をイネーブルにすると、次の自動アクションが実行されます。

QoS はグローバルにイネーブル化され( mls qos グローバル コンフィギュレーション コマンド)、その他のグローバル コンフィギュレーション コマンドが追加されます。

スイッチ ポートが Cisco IOS Release 12.2(37)SE かそれよりも前のリリースで auto qos voip cisco-phone インターフェイス コンフィギュレーション コマンドを使用して設定された場合、auto-QoS によって Cisco IOS Release 12.2(40)SE に新しく生成されたコマンドは、ポートに適用されません。このようなコマンドを自動的に適用するには、設定を削除してからポートに再度適用する必要があります。

Cisco SoftPhone が動作する装置に接続されたネットワーク エッジにあるポートに auto qos voip cisco-softphone インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチはポリシングを使用してパケットがプロファイル内かプロファイル外かを判断し、パケットに対するアクションを指定します。パケットに 24、26、または 46 という DSCP 値がない場合、またはパケットがプロファイル外にある場合、スイッチは DSCP 値を 0 に変更します。スイッチは、ポートの入力キューと出力キューを、 表 2-7 および 表 2-8 の設定値に従って設定します。

ネットワーク内部に接続されたポート上で、 auto qos voip trust インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチは、入力パケットでルーティングされないポートの CoS 値、またはルーテッド ポートの DSCP 値を信頼します(トラフィックが他のエッジ装置ですでに分類されていることが前提条件になります)。スイッチは、ポートの入力キューと出力キューを、 表 2-7 および 表 2-8 の設定値に従って設定します。

スタティック ポート、ダイナミック アクセス ポート、音声 VLAN アクセス ポート、およびトランク ポートで auto-QoS をイネーブルにできます。ルーテッド ポートにある Cisco IP Phone で auto-QoS をイネーブルにする場合、スタティック IP アドレスを IP Phone に割り当てる必要があります。


) Cisco SoftPhone が動作する装置がスイッチまたはルーテッド ポートに接続されている場合、スイッチはポートごとに 1 つの Cisco SoftPhone アプリケーションのみをサポートします。


auto-QoS をイネーブルにしたあと、名前に AutoQoS を含むポリシー マップや集約ポリサーを変更しないでください。ポリシー マップや集約ポリサーを変更する必要がある場合、そのコピーを作成し、コピーしたポリシー マップやポリサーを変更します。生成されたポリシー マップの代わりに新しいポリシー マップを使用するには、生成したポリシー マップをインターフェイスから削除して、新しいポリシー マップを適用します。

auto-QoS がイネーブルのときに自動的に生成される QoS(Quality of Service)の設定を表示するには、auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos 特権 EXEC コマンドを使用すると、auto-QoS のデバッギングがイネーブルになります。

ポートの auto-QoS をディセーブルにするには、no auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。このポートに対して、auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが削除されます。auto-QoS をイネーブルにした最後のポートで、 no auto qos voip コマンドを入力すると、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドが残っている場合でも、auto-QoS はディセーブルとみなされます(グローバル コンフィギュレーションによって影響を受ける他のポートでのトラフィックの中断を避けるため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドをディセーブルにできます。QoS がディセーブルの場合は、パケットが変更されない(パケット内の CoS、DSCP、および IP precedence 値は変更されない)ため、信頼できるポートまたは信頼できないポートといった概念はありません。トラフィックは Pass-Through モードでスイッチングされます(パケットは書き換えられることなくスイッチングされ、ポリシングなしのベスト エフォートに分類されます)。

auto qos voip コマンドがイネーブルになっているポート上では、生成される queue-set ID がインターフェイスによって異なります。

ファスト イーサネット インターフェイスの場合は、auto-QoS によって queue-set 1(デフォルト)が生成されます。

ギガビット イーサネット インターフェイスの場合は、auto-QoS によって queue-set 2 が生成されます。

auto qos voip cisco-phone コマンドの拡張設定を次に示します。

Switch(config)# mls qos map policed-dscp 0 10 18 to 8
Switch(config)# mls qos map cos-dscp 0 8 16 24 32 46 48 56
Switch(config)# class-map match-all AUTOQOS_VOIP_DATA_CLASS
Switch(config-cmap)# match ip dscp ef
Switch(config)# class-map match-all AUTOQOS_DEFAULT_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-DEFAULT
Switch(config)# class-map match-all AUTOQOS_VOIP_SIGNAL_CLASS
Switch(config-cmap)# match ip dscp cs3
Switch(config)# policy-map AUTOQOS-SRND4-CISCOPHONE-POLICY
Switch(config-pmap)# class AUTOQOS_VOIP_DATA_CLASS
Switch(config-pmap-c)# set dscp ef
Switch(config-pmap-c)# police 128000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_VOIP_SIGNAL_CLASS
Switch(config-pmap-c)# set dscp cs3
Switch(config-pmap-c)# police 32000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_DEFAULT_CLASS
Switch(config-pmap-c)# set dscp default
Switch(config-pmap-c)# police 10000000 8000 exceed-action policed-dscp-transmit
Switch(config-if)# service-policy input AUTOQOS-SRND4-CISCOPHONE-POLICY
 

auto qos voip cisco-softphone コマンドの拡張設定を次に示します。

 
Switch(config)# mls qos map policed-dscp 0 10 18 to 8
Switch(config)# mls qos map cos-dscp 0 8 16 24 32 46 48 56
Switch(config)# class-map match-all AUTOQOS_MULTIENHANCED_CONF_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-MULTIENHANCED-CONF
Switch(config)# class-map match-all AUTOQOS_VOIP_DATA_CLASS
Switch(config-cmap)# match ip dscp ef
Switch(config)# class-map match-all AUTOQOS_DEFAULT_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-DEFAULT
Switch(config)# class-map match-all AUTOQOS_TRANSACTION_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-TRANSACTIONAL-DATA
Switch(config)# class-map match-all AUTOQOS_VOIP_SIGNAL_CLASS
Switch(config-cmap)# match ip dscp cs3
Switch(config)# class-map match-all AUTOQOS_SIGNALING_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-SIGNALING
Switch(config)# class-map match-all AUTOQOS_BULK_DATA_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-BULK-DATA
Switch(config)# class-map match-all AUTOQOS_SCAVANGER_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-SCAVANGER
 
Switch(config)# policy-map AUTOQOS-SRND4-SOFTPHONE-POLICY
Switch(config-pmap)# class AUTOQOS_VOIP_DATA_CLASS
Switch(config-pmap-c)# set dscp ef
Switch(config-pmap-c)# police 128000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_VOIP_SIGNAL_CLASS
Switch(config-pmap-c)# set dscp cs3
Switch(config-pmap-c)# police 32000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_MULTIENHANCED_CONF_CLASS
Switch(config-pmap-c)# set dscp af41
Switch(config-pmap-c)# police 5000000 8000 exceed-action drop
Switch(config-pmap)# class AUTOQOS_BULK_DATA_CLASS
Switch(config-pmap-c)# set dscp af11
Switch(config-pmap-c)# police 10000000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_TRANSACTION_CLASS
Switch(config-pmap-c)# set dscp af21
Switch(config-pmap-c)# police 10000000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_SCAVANGER_CLASS
Switch(config-pmap-c)# set dscp cs1
Switch(config-pmap-c)# police 10000000 8000 exceed-action drop
Switch(config-pmap)# class AUTOQOS_SIGNALING_CLASS
Switch(config-pmap-c)# set dscp cs3
Switch(config-pmap-c)# police 32000 8000 exceed-action drop
Switch(config-pmap)# class AUTOQOS_DEFAULT_CLASS
Switch(config-pmap-c)# set dscp default
Switch(config-if)# service-policy input AUTOQOS-SRND4-SOFTPHONE-POLICY

次の例では、ポートに接続されているスイッチまたはルータが信頼できる装置である場合に、auto-QoS をイネーブルにし、着信パケットで受信した QoS ラベルを信頼する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# auto qos voip trust
 

設定を確認するには、 show auto qos interface interface-id 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

debug auto qos

auto-QoS 機能のデバッグをイネーブルにします。

mls qos cos

デフォルトのポート CoS 値を定義するか、あるいはポートのすべての着信パケットにデフォルトの CoS 値を割り当てます。

mls qos map

CoS/DSCP マップまたは DSCP/CoS マップを定義します。

mls qos queue-set output buffers

バッファをキューセットに割り当てます。

mls qos srr-queue input bandwidth

Shaped Round Robin(SRR; シェイプド ラウンド ロビン)の重みを入力キューに割り当てます。

mls qos srr-queue input buffers

入力キュー間のバッファを割り当てます。

mls qos srr-queue input cos-map

CoS 値を入力キューにマッピングするか、または CoS 値をキューとしきい値 ID にマッピングします。

mls qos srr-queue input dscp-map

DSCP 値を入力キューにマッピングするか、または DSCP 値をキューとしきい値 ID にマッピングします。

mls qos srr-queue input priority-queue

入力プライオリティ キューを設定し、帯域幅を保証します。

mls qos srr-queue output cos-map

CoS 値を出力キューにマッピング、または CoS 値をキューおよびしきい値 ID にマッピングします。

mls qos srr-queue output dscp-map

DSCP 値を出力キュー、またはキューとしきい値 ID にマッピングします。

mls qos trust

ポートの信頼状態を設定します。

queue-set

キューセットに対するポートをマッピングします。

show auto qos

auto-QoS 情報を表示します。

show mls qos interface

ポート レベルで QoS 情報を表示します。

srr-queue bandwidth shape

シェーピングされた重みを割り当て、ポートにマッピングされた出力キュー 4 つで帯域幅をシェーピングします。

srr-queue bandwidth share

共有する重みを割り当て、ポートにマッピングされた出力キュー 4 つで帯域幅を共有します。

boot auto-download-sw

ソフトウェアの自動アップグレードで使用する URL パス名を指定するには、 boot auto-download-sw グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot auto-download-sw source-url

no boot auto-download-sw

 
構文の説明

source-url

自動アップグレードのためのソース URL エイリアス。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文:
flash:

FTP の構文:
ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar

HTTP サーバの構文:
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

セキュア HTTP サーバの構文:
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

リモート コピー プロトコル(RCP)の構文:
rcp: [[ // username @ location ]/ directory ] / image-name .tar

TFTP の構文:
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、スイッチにダウンロードし、インストールするソフトウェア イメージです。

 
デフォルト

ディセーブル。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(35)SE

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、ソフトウェアの自動アップグレードのために使用する URL パスを指定します。

このコマンドを使用して、バージョンのミスマッチの場合にアクセスするマスタースイッチの URL を設定できます。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

 

boot buffersize

NVRAM サイズを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で boot buffersize グローバル コンフィギュレーション コマンドを使用します。このコマンドをデフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot buffersize size

no boot buffersize

 
構文の説明

size

KB 単位の NVRAM バッファ サイズ。

有効な範囲は 4096 ~ 1048576 です。

 
デフォルト

NVRAM バッファ サイズのデフォルトは 512 KB です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(55)SE

このコマンドが追加されました。

 
使用上のガイドライン

NVRAM バッファ サイズのデフォルトは 512 KB です。コンフィギュレーション ファイルが大きくなりすぎて NVRAM に保存できない場合があります。通常、この現象はスイッチ スタック内のスイッチが多い場合に発生します。より大きなコンフィギュレーション ファイルをサポートするように NVRAM バッファのサイズを設定することができます。新しい NVRAM バッファ サイズは既存のメンバー スイッチと新しいメンバー スイッチのすべてに同期されます。

NVRAM バッファ サイズを設定したら、スイッチまたはスイッチ スタックをリロードします。

スイッチをスタックに追加して、NVRAM サイズと一致しなかった場合は、新しいスイッチがスタックに同期され、自動的にリロードされます。

次の例では、NVRAM バッファ サイズを設定する方法を示します。

Switch(config)# boot buffersize 524288
Switch(config)# end

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot config-file

Cisco IOS がシステム設定の不揮発性コピーの読み書きに使用するファイル名を指定するには、 boot config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot config-file flash: / file-url

no boot config-file

 
構文の説明

flash:/ file-url

コンフィギュレーション ファイルのパス(ディレクトリ)および名前です。

 
デフォルト

デフォルトのコンフィギュレーション ファイルは、flash:config.text です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

このコマンドは、CONFIG_FILE 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3560 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot enable-break

自動ブート プロセスの中断をイネーブルにするには、 boot enable-break グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot enable-break

no boot enable-break

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ディセーブル。コンソール上で Break キーを押しても自動ブート プロセスを中断することはできません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを入力すると、フラッシュ ファイル システムが初期化されたあとで Break キーを押して、自動ブート プロセスを中断できます。


) このコマンドの設定に関係なく、スイッチ前面パネルの MODE ボタンを押すと、いつでも自動ブート プロセスを中断できます。


このコマンドは、ENABLE_BREAK 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3560 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot helper

ブート ローダ初期化中にダイナミックにファイルをロードして、ブート ローダの機能を拡張するかまたは機能にパッチを当てるには、 boot helper グローバル コンフィギュレーション コマンドを使用します。このコマンドをデフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot helper filesystem :/ file-url ...

no boot helper

 
構文の説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

ローダ初期化中に動的にロードするためのパス(ディレクトリ)およびロード可能なファイルのリストです。イメージ名はセミコロンで区切ります。

 
デフォルト

ヘルパー ファイルはロードされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

この変数は、内部開発およびテスト専用です。

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

このコマンドは、HELPER 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3560 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot helper-config-file

Cisco IOS ヘルパー イメージが使用するコンフィギュレーション ファイルの名前を指定するには、 boot helper-config-file グローバル コンフィギュレーション コマンドを使用します。このコマンドが設定されていない場合は、CONFIG_FILE 環境変数によって指定されたファイルが、ロードされたすべてのバージョンの Cisco IOS に使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot helper-config-file filesystem :/ file-url

no boot helper-config file

 
構文の説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

ロードするパス(ディレクトリ)およびヘルパー コンフィギュレーション ファイル

 
デフォルト

ヘルパー コンフィギュレーション ファイルは指定されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

この変数は、内部開発およびテスト専用です。

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

このコマンドは、HELPER_CONFIG_FILE 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3560 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot manual

次回ブート サイクル中にスイッチの手動起動をイネーブルにするには、 boot manual グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot manual

no boot manual

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

手動による起動はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

次回システムを再起動すると、スイッチはブート ローダ モードで起動します。これは switch: プロンプトによってわかります。システムを起動するには、 boot ブート ローダ コマンドを使用して起動可能なイメージの名前を指定します。

このコマンドは、MANUAL_BOOT 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3560 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot private-config-file

Cisco IOS がプライベート設定の不揮発性コピーの読み書きに使用するファイル名を指定するには、 boot private-config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot private-config-file filename

no boot private-config-file

 
構文の説明

filename

プライベート コンフィギュレーション ファイルの名前

 
デフォルト

デフォルトのコンフィギュレーション ファイルは、 private-config です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名は、大文字と小文字を区別します。

次の例では、プライベート コンフィギュレーション ファイルの名前を pconfig と指定する方法を示します。

Switch(config)# boot private-config-file pconfig

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot system

次回のブート サイクル中にロードする Cisco IOS イメージを指定するには、 boot system グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot system filesystem :/ file-url ...

no boot system

 
構文の説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。

/ file-url

ブート可能なイメージのパス(ディレクトリ)および名前。各イメージ名はセミコロンで区切ります。

 
デフォルト

スイッチは、BOOT 環境変数内の情報を使用して、自動的にシステムを起動しようとします。この変数が設定されていない場合、スイッチは、フラッシュ ファイル システム全体に再帰的な縦型検索を行って、最初の実行可能イメージをロードして実行しようとします。ディレクトリの縦型検索では、検出した各サブディレクトリを完全に検索してから元のディレクトリでの検索を続けます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名は、大文字と小文字を区別します。

 

archive download-sw 特権 EXEC コマンドを使用してシステム イメージを保存している場合、 boot system コマンドを使用する必要はありません。 boot system コマンドは自動的に処理され、ダウンロードされたイメージがロードされます。

このコマンドは、BOOT 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3560 スイッチ ブートローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

cdp forward

CDP トラフィック用の入力/出力スイッチ ポートを指定するには、 cdp forward グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cdp forward ingress port-id egress port-id

no cdp forward ingress port-id

 
構文の説明

ingress port-id

IP 電話機から CDP パケットを受信するスイッチ ポートを指定します。

egress port-id

CDP パケットを Cisco TelePresence System に転送するスイッチ ポートを指定します。

 
デフォルト

スイッチを通過する CDP パケットのデフォルト パスは、任意の入力ポートから Cisco TelePresence System に接続された出力ポートの方向です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(53)SE

このコマンドが追加されました。

 
使用上のガイドライン

TelePresence E911 IP Phone のサポートでは CDP 対応の電話機だけを使用する必要があります。

スイッチ スタックの 2 つのポートを介して IP 電話と Cisco TelePresence System のコーデックを接続できます。

Switch# configure terminal
Enter configuration commands, one per line.End with CNTL/Z.
Switch(config)# cdp forward ingress gigabitethernet0/1 egress gigabitethernet0/12
Switch(config)# cdp forward ingress gigabitethernet0/2 egress gigabitethernet0/13
Switch(config)# end
Switch# show running-config | include cdp
cdp forward ingress GigabitEthernet0/1 egress GigabitEthernet0/12
cdp forward ingress GigabitEthernet0/2 egress GigabitEthernet0/13
Switch# show cdp forward
Ingress Egress # packets # packets
Port Port forwarded dropped
-------------------------------------------------------------
Gi0/1 Gi0/12 0 0
Gi0/2 Gi0/13 0 0

 
関連コマンド

コマンド
説明

show cdp forward

CDP 転送テーブルを表示します。

 

channel-group

EhterChannel グループにイーサネット ポートを割り当てたり、EtherChannel モードをイネーブルにしたりするには、 channel-group インターフェイス コンフィギュレーション コマンドを使用します。イーサネット ポートを EtherChannel グループから削除する場合は、このコマンドの no 形式を使用します。

channel-group channel -group-number mode { active | { auto [ non-silent ]} | { desirable [ non-silent ]} | on | passive }

no channel-group

PAgP モード:
channel-group channel -group-number mode { { auto [ non-silent ]} | { desirable [ non-silent}}

LACP モード:
channel-group channel -group-number mode {active | passive}

On モード:
channel-group channel -group-number mode on

 
構文の説明

channel-group-number

チャネル グループ番号を指定します。指定できる範囲は 1 ~ 48 です。

mode

EtherChannel モードを指定します。

active

無条件に Link Aggregation Control Protocol(LACP)をイネーブルにします。

active モードは、ポートをネゴシエーション ステートにします。この場合、ポートは LACP パケットを送信することによって、他のポートとのネゴシエーションを開始します。チャネルは、active モードまたは passive モードの別のポート グループで形成されます。

auto

Port Aggregation Protocol(PAgP; ポート集約プロトコル)装置が検出された場合に限り、PAgP をイネーブルにします。

auto モードは、ポートをパッシブ ネゴシエーション ステートにします。この場合、ポートは受信する PAgP パケットに応答しますが、PAgP パケット ネゴシエーションを開始することはありません。チャネルは、desirable モードの別のポート グループでだけ形成されます。 auto がイネーブルの場合は、デフォルトでサイレント動作となります。

desirable

無条件に PAgP をイネーブルにします。

desirable モードは、ポートをアクティブ ネゴシエーション ステートにします。この場合、ポートは PAgP パケットを送信することによって、他のポートとのネゴシエーションを開始します。EtherChannel は、desirable モードまたは auto モードの別のポート グループで形成されます。 desirable がイネーブルの場合は、デフォルトでサイレント動作となります。

non-silent

(任意)他の装置からのトラフィックが予想されている場合に PAgP モードで auto または desirable キーワードとともに使用されます。

on

on モードをイネーブルにします。

on モードでは、使用可能な EtherChannel が存在するのは両方の接続ポート グループが on モードの場合のみです。

passive

LACP 装置が検出された場合に限り、LACP をイネーブルにします。

passive モードは、ポートをネゴシエーション ステートにします。この場合、ポートは受信した LACP パケットに応答しますが、LACP パケット ネゴシエーションを開始することはありません。チャネルは、active モードの別のポート グループでだけ形成されます。

 
デフォルト

チャネルグループは割り当てられません。

モードは設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(25)SE

channel -group-number 範囲が 1 ~ 12 から 1 ~ 48 に変更されました。

 
使用上のガイドライン

レイヤ 2 EtherChannel の場合、物理ポートをチャネル グループに割り当てる前に、先に interface port-channel グローバル コンフィギュレーション コマンドを使用してポートチャネル インターフェイスを作成しておく必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。論理インターフェイスがまだ作成されていない場合は、チャネル グループが最初の物理ポートを取得した時点で、自動的にポートチャネル インターフェイスが作成されます。最初にポートチャネル インターフェイスを作成する場合は、 channel-group-number port - channel-number と同じ番号にしても、新しい番号にしてもかまいません。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポート チャネルを作成します。

チャネル グループの一部である物理ポートに割り当てられた IP アドレスをディセーブルにする必要はありませんが、これをディセーブルにすることを強く推奨します。

interface port-channel コマンドの次に no switchport インターフェイス コンフィギュレーション コマンドを使用して、レイヤ 3 のポート チャネルを作成できます。インターフェイスをチャネル グループに適用する前に、ポートチャネルの論理インターフェイスを手動で設定してください。

EtherChannel を設定したあと、ポートチャネル インターフェイスに加えられた設定の変更は、そのポートチャネル インターフェイスに割り当てられたすべての物理ポートに適用されます。物理ポートに適用された設定の変更は、その設定を適用しているポートだけに影響します。EtherChannel 内のすべてのポートのパラメータを変更するには、ポートチャネル インターフェイスに対してコンフィギュレーション コマンドを適用します。たとえば、spanning-tree コマンドを使用して、レイヤ 2 EtherChannel をトランクとして設定します。

auto モードまたは desirable モードとともに non-silent を指定しなかった場合は、サイレントが指定されているものとみなされます。サイレント モードを設定するのは、PAgP 非対応で、かつほとんどパケットを送信しない装置にスイッチを接続する場合です。サイレント パートナーの例は、トラフィックを生成しないファイル サーバ、またはパケット アナライザなどです。この場合は、物理ポートで PAgP を稼動して、ポートが動作可能にならないようにします。ただし、PAgP によって、ポートは動作可能となり、そのポートをチャネル グループへ接続したり、伝送用として使用したりすることができます。リンクの両端はサイレントに設定することはできません。

on モードでは、使用可能な EtherChannel が存在するのは、 on モードのポート グループが、 on モードの別のポート グループに接続する場合だけです。


注意 on モードを使用する場合、注意が必要です。これは手動の設定であり、EtherChannel の両端にあるポートで同じ設定になっている必要があります。グループの設定を誤ると、パケット損失またはスパニング ツリー ループが発生することがあります。

EtherChannel は、PAgP と LACP の両方のモードには設定しないでください。PAgP と LACP が稼動している EtherChannel グループは同じスイッチ上に共存できます。個々の EtherChannel グループは PAgP または LACP のどちらかを稼動できますが、それらを相互に稼動することはできません。

channel-protocol インターフェイス コンフィギュレーション コマンドを使用してプロトコルを設定した場合、設定値は、 channel-group インターフェイス コンフィギュレーション コマンドによっては上書きされません。

アクティブまたはアクティブでない EtherChannel メンバーを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。

セキュア ポートを EtherChannel の一部として、または EtherChannel ポートをセキュア ポートとしては設定しないでください。

設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。


注意 物理 EtherChannel ポート上で、レイヤ 3 のアドレスをイネーブルにしないでください。物理 EtherChannel ポート上でブリッジ グループを割り当てることは、ループが発生する原因になるため、行わないでください。

次の例では、単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN 10 のスタティックアクセス ポート 2 つを PAgP モード desirable であるチャネル 5 に割り当てます。

Switch# configure terminal
Switch(config)# interface range gigabitethernet 0/1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode desirable
Switch(config-if-range)# end
 

次の例では、単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN 10 のスタティックアクセス ポート 2 つを LACP モード active であるチャネル 5 に割り当てます。

Switch# configure terminal
Switch(config)# interface range gigabitethernet 0/1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode active
Switch(config-if-range)# end
 
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-protocol

チャネリングを管理するため、ポート上で使用されるプロトコルを制限します。

interface port-channel

ポート チャネルへのアクセスや、ポート チャネルの作成を行います。

show etherchannel

チャネルの EtherChannel 情報を表示します。

show lacp

LACP チャネル グループ情報を表示します。

show pagp

PAgP チャネル グループ情報を表示します。

show running-config

現在の動作設定を表示します。

channel-protocol

チャネリングを管理するポート上で使用されるプロトコルを制限するには、 channel-protocol インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

channel-protocol { lacp | pagp }

no channel-protocol

 
構文の説明

lacp

Link Aggregation Control Protocol(LACP)で EtherChannel を設定します。

pagp

Port Aggregation Protocol(PAgP; ポート集約プロトコル)EtherChannel を設定します。

 
デフォルト

プロトコルは EtherChannel に割り当てられていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

LACP または PAgP に制限する場合にだけ、 channel-protocol コマンドを使用してください。 channel-protocol コマンドを使用してプロトコルを設定した場合、設定値は、 channel-group インターフェイス コンフィギュレーション コマンドによっては上書きされません。

EtherChannel パラメータを設定するには、 channel-group インターフェイス コンフィギュレーション コマンドを使用する必要があります。 channel-group コマンドを使用して、EtherChannel のモードを設定することもできます。

EtherChannel グループ上で、PAgP および LACP モードの両方をイネーブルにすることはできません。

PAgP と LACP には互換性がありません。チャネルの両側で同じプロトコルを使用する必要があります。

次の例では、EtherChannel を管理するプロトコルとして LACP を指定する方法を示します。

Switch(config-if)# channel-protocol lacp
 

設定を確認するには、 show etherchannel [ channel-group-number ] protocol 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

show etherchannel protocol

EtherChannel のプロトコル情報を表示します。

cisp enable

サプリカント スイッチに対するオーセンティケータとして機能するようにスイッチで Client Information Signaling Protocol(CISP)をイネーブルにするには、cisp enable グローバル コンフィギュレーション コマンドを使用します。

cisp enable

no cisp enable

 
構文の説明

cisp enable

CISP をイネーブルにします。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

 
使用上のガイドライン

オーセンティケータとサプリカント スイッチ間のリンクはトランクです。どちらのスイッチでも VTP をイネーブルにするときは、VTP ドメイン名が同じであり、VTP モードがサーバである必要があります。

VTP モードを設定するときは、MD5 チェックサムのミスマッチ エラーを避けるため、次の点を確認してください。

VLAN が 2 台の異なるスイッチに設定されていないこと。設定すると、同じドメインに VTP サーバが 2 台存在することになります。

どちらのスイッチにもそれぞれ異なるコンフィギュレーション リビジョン番号が設定されていること。

次の例では、CISP をイネーブルにする方法を示します。

switch(config)# cisp enable

 
関連コマンド

コマンド
説明

dot1x credentials(グローバル コンフィギュレーション) profile

サプリカント スイッチにプロファイルを設定します。

show cisp

特定のインターフェイスの CISP 情報を表示します。

 

class

指定のクラス マップ名のトラフィックを分類する一致条件を( police set 、および trust ポリシーマップ クラス コンフィギュレーション コマンドを使用して)定義するには、class ポリシーマップ コンフィギュレーション コマンドを使用します。既存のクラス マップを削除する場合は、このコマンドの no 形式を使用します。

class { class-map-name | class-default }

no class { class-map-name | class-default }

 
構文の説明

class-map-name

クラス マップ名です。

class-default

未分類パケットと一致するシステム デフォルト クラスです。

 
デフォルト

ポリシー マップ クラス マップは定義されていません。

 
コマンド モード

ポリシーマップ コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(55)SE

class-default キーワードが追加されました。

 
使用上のガイドライン

class コマンドを使用する前に、 policy-map グローバル コンフィギュレーション コマンドを使用してポリシー マップを識別し、ポリシーマップ コンフィギュレーション モードを開始する必要があります。ポリシー マップを指定すると、ポリシー マップ内で新規クラスのポリシーを設定したり、既存クラスのポリシーを変更したりすることができます。 service-policy インターフェイス コンフィギュレーション コマンドを使用して、ポリシー マップをポートへ添付できます。

class コマンドを入力すると、ポリシー マップ クラス コンフィギュレーション モードに入り、次のコンフィギュレーション コマンドが使用可能になります。

exit :ポリシーマップ クラス コンフィギュレーション モードを終了し、ポリシーマップ コンフィギュレーション モードに戻ります。

no :コマンドをデフォルト設定に戻します。

police :分類したトラフィックにポリサーまたは集約ポリサーを定義します。ポリサーは、帯域幅の限度およびその限度を超過した場合に実行するアクションを指定します。詳細については、 police および police aggregate ポリシーマップ クラス コマンドを参照してください。

set :分類したトラフィックに割り当てる値を指定します。詳細については、 set コマンドを参照してください。

trust class コマンドまたは class-map コマンドで分類したトラフィックの信頼状態を定義します。詳細については、 trust コマンドを参照してください。

ポリシーマップ コンフィギュレーション モードに戻るには、 exit コマンドを使用します。特権 EXEC モードに戻るには、 end コマンドを使用します。

class コマンドは、 class-map グローバル コンフィギュレーション コマンドと同じ機能を実行します。他のポートと共有していない新しい分類が必要な場合は、 class コマンドを使用します。多数のポート間でマップを共有する場合には、class-map コマンドを使用します。

デフォルト クラスは、 class class-default ポリシー マップ コンフィギュレーション コマンドを使用して設定することができます。未分類トラフィック(トラフィック クラスで指定された一致基準を満たさないトラフィック)はデフォルト トラフィックとして処理されます。

次の例では、 policy1 という名前のポリシー マップを作成する方法を示します。このコマンドが入力方向に添付された場合、 class1 で定義されたすべての着信トラフィックのマッチングを行い、IP Differentiated Service Code Point(DSCP; DiffServ コード ポイント)を 10 に設定し、平均レート 1 Mb/s、バースト 20 KB のトラフィックをポリシングします。プロファイルを超えるトラフィックは、ポリシング設定 DSCP マップから取得した DSCP 値がマークされてから送信されます。

Switch(config)# policy-map policy1
Switch(config-pmap)# class class1
Switch(config-pmap-c)# set dscp 10
Switch(config-pmap-c)# police 1000000 20000 exceed-action policed-dscp-transmit
Switch(config-pmap-c)# exit
 

次の例では、デフォルト トラフィック クラスをポリシー マップに設定する方法を示します。

Switch# configure terminal
Switch(config)# class-map cm-3
Switch(config-cmap)# match ip dscp 30
Switch(config-cmap)# match protocol ipv6
Switch(config-cmap)# exit
Switch(config)# class-map cm-4
Switch(config-cmap)# match ip dscp 40
Switch(config-cmap)# match protocol ip
Switch(config-cmap)# exit
Switch(config)# policy-map pm3
Switch(config-pmap)# class class-default
Switch(config-pmap-c)# set dscp 10
Switch(config-pmap-c)# exit
Switch(config-pmap)# class cm-3
Switch(config-pmap-c) set dscp 4
Switch(config-pmap-c)# exit
Switch(config-pmap)# class cm-4
Switch(config-pmap-c)# trust cos
Switch(config-pmap-c)# exit
Switch(config-pmap)# exit
 

設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。

 

次の例では、 class-default が先に設定されていた場合でも、デフォルト トラフィック クラスが自動的にポリシー マップ pm3 の最後に配置される方法を示します。

Switch# show policy-map pm3
Policy Map pm3
Class cm-3
set dscp 4
Class cm-4
trust cos
Class class-default
set dscp 10
Switch#

 
関連コマンド

コマンド
説明

class-map

名前を指定したクラスとパケットとの比較に使用されるクラス マップを作成します。

police

分類したトラフィックにポリサーを定義します。

policy-map

複数のポートに適用することによってサービス ポリシーを指定できるポリシー マップを作成または変更します。

set

パケットに DSCP 値または IP precedence 値を設定することによって、IP トラフィックを分類します。

show policy-map

QoS(Quality of Service)ポリシー マップを表示します。

trust

class ポリシーマップ コンフィギュレーション コマンドまたは class-map グローバル コンフィギュレーション コマンドを使用して分類されたトラフィックの信頼状態を定義します。

class-map

パケットと名前を指定したクラスとの照合に使用するクラス マップを作成し、クラスマップ コンフィギュレーション モードを開始するには、 class-map グローバル コンフィギュレーション コマンドを使用します。既存のクラス マップを削除し、グローバル コンフィギュレーション モードに戻るには、このコマンドの no 形式を使用します。

class-map [ match-all | match-any ] class-map-name

no class-map [ match-all | match-any ] class-map-name

 
構文の説明

match-all

(任意)このクラス マップ内のすべての一致ステートメントの論理積をとります。クラス マップ内のすべての基準が一致する必要があります。

match-any

(任意)このクラス マップ内の一致ステートメントの論理和をとります。1 つまたは複数の条件が一致していなければなりません。

class-map-name

クラス マップ名です。

 
デフォルト

クラス マップは定義されていません。

match-all または match-any のどちらのキーワードも指定されていない場合、デフォルトは match-all です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

クラス マップ一致基準を作成または変更したいクラスの名前を指定し、クラス マップ コンフィギュレーション モードを開始するには、このコマンドを使用します。

グローバルに名前が付けられたポートごとに適用されるサービス ポリシーの一部としてパケットの分類、マーキング、および集約ポリシングを定義するには、 class-map コマンドおよびそのサブコマンドを使用します。

QoS(Quality of Service)クラスマップ コンフィギュレーション モードでは、次のコンフィギュレーション コマンドを使用できます。

description :クラス マップを説明します(最大 200 文字)。 show class-map 特権 EXEC コマンドは、クラスマップの説明と名前を表示します。

exit :QoS クラスマップ コンフィギュレーション モードを終了します。

match :分類基準を設定します。詳細については、 match(クラスマップ コンフィギュレーション) コマンドを参照してください。

no :クラス マップから一致ステートメントを削除します。

rename :現在のクラス マップの名前を変更します。クラス マップ名をすでに使用されている名前に変更すると、「 A class-map with this name already exists 」というメッセージが表示されます。

物理ポート単位でパケット分類を定義するため、クラス マップごとに 1 つずつのみ match コマンドがサポートされています。この状況では、 match-all キーワードと match-any キーワードは同じです。

1 つのクラス マップで設定できるアクセス コントロール リスト(ACL)は 1 つだけです。ACL には複数の Access Control Entry(ACE; アクセス コントロール エントリ)を含めることができます。

次の例では、クラス マップ class1 に 1 つの一致基準(アクセス リスト 103 )を設定する方法を示します。

Switch(config)# access-list 103 permit ip any any dscp 10
Switch(config)# class-map class1
Switch(config-cmap)# match access-group 103
Switch(config-cmap)# exit
 

次の例では、クラス マップ class1 を削除する方法を示します。

Switch(config)# no class-map class1
 

設定を確認するには、 show class-map 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

class

指定されたクラスマップ名のトラフィック分類一致条件( police set 、および trust ポリシーマップ クラス コンフィギュレーション コマンドによる)を定義します。

match(クラスマップ コンフィギュレーション)

トラフィックを分類するための一致条件を定義します。

policy-map

複数のポートに適用することによってサービス ポリシーを指定できるポリシー マップを作成または変更します。

show class-map

QoS クラス マップを表示します。

clear dot1x

スイッチまたは指定されたポートの IEEE 802.1x 情報を消去するには、 clear dot1x 特権 EXEC コマンドを使用します。

clear dot1x { all | interface interface-id }

 
構文の説明

all

スイッチのすべての IEEE 802.1x 情報を消去します。

interface interface-id

指定されたインターフェイスの IEEE 802.1x 情報を消去します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)SEE

このコマンドが追加されました。

 
使用上のガイドライン

clear dot1x all コマンドを使用して、すべての情報を消去できます。また、 clear dot1x interface interface-id コマンドを使用して、指定されたインターフェイスの情報のみを消去することもできます。

次の例では、すべての IEEE 802.1x 情報を消去する方法を示します。

Switch# clear dot1x all
 

次の例では、指定されたインターフェイスの IEEE 802.1x 情報を消去する方法を示します。

Switch# clear dot1x interface gigabithethernet0/1
Switch# clear dot1x interface gigabithethernet1/1
 

情報が削除されたかどうかを確認するには、 show dot1x 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。

clear eap sessions

スイッチまたは指定されたポートの Extensible Authentication Protocol(EAP)セッション情報を消去するには、 clear eap sessions 特権 EXEC コマンドを使用します。

clear eap sessions [ credentials name [ interface interface-id ] | interface interface-id | method name | transport name ] [ credentials name | interface interface-id | transport name ] ...

 
構文の説明

credentials name

指定されたプロファイルの EAP クレデンシャル情報を消去します。

interface interface-id

指定されたインターフェイスの EAP 情報を消去します。

method name

指定された方式の EAP 情報を消去します。

transport name

指定された下位レベルの EAP トランスポート情報を消去します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)SEE

このコマンドが追加されました。

 
使用上のガイドライン

clear eap sessions コマンドを使用すると、すべてのカウンタを消去できます。キーワードを指定すると、特定の情報だけを消去できます。

次の例では、すべての EAP 情報を消去する方法を示します。

Switch# clear eap
 

次の例では、指定されたプロファイルの EAP セッション クレデンシャル情報を消去する方法を示します。

Switch# clear eap sessions credential type1

 

情報が削除されたかどうかを確認するには、 show dot1x 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show eap

スイッチまたは特定のポートの EAP のレジストレーション情報およびセッション情報を表示します。

clear errdisable interface

errdisable になった VLAN を再びイネーブルにするには clear errdisable interface 特権 EXEC コマンドを使用します。

clear errdisable interface interface-id vlan [vlan-list]

 
構文の説明

vlan list

(任意)再びイネーブルにする VLAN のリストを指定します。vlan-list を指定しない場合は、すべての VLAN が再びイネーブルになります。

 
コマンド デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(37)SE

このコマンドが追加されました。

 
使用上のガイドライン

shutdown および no shutdown のインターフェイス コンフィギュレーション コマンドを使用してポートを再びイネーブルにするか、clear errdisable interface コマンドを使用して VLAN の errdisable を消去します。

次の例では、errdisable ステートになっているポート 2 上のすべての VLAN を再度イネーブルにする方法を示します。

Switch# clear errdisable interface GigabitEthernet 0/2 vlan

 
関連コマンド

コマンド
説明

errdisable detect cause

特定の原因、またはすべての原因に対して errdisable 検出をイネーブルにします。

errdisable recovery

回復メカニズム変数を設定します。

show errdisable detect

errdisable 検出ステータスを表示します。

show errdisable recovery

errdisable 回復タイマー情報を表示します。

show interfaces status err-disabled

errdisable ステートになっているインターフェイスのリストのインターフェイス ステータスを表示します。

clear arp inspection log

ダイナミック アドレス解決プロトコル(ARP)インスペクション ログ バッファを消去するには、 clear ip arp inspection log 特権 EXEC コマンドを使用します。

clear ip arp inspection log

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが追加されました。

次の例では、ログ バッファの内容を消去する方法を示します。

Switch# clear ip arp inspection log
 

ログが消去されたかどうかを確認するには、 show ip arp inspection log 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP ACL を定義します。

ip arp inspection log-buffer

ダイナミック ARP インスペクション ログ バッファを設定します。

ip arp inspection vlan logging

VLAN 単位で記録するパケットのタイプを制御します。

show inventory log

ダイナミック ARP インスペクション ログ バッファの設定と内容を表示します。

 

clear ip arp inspection statistics

ダイナミック アドレス解決プロトコル(ARP)インスペクション ログ バッファを消去するには、 clear ip arp inspection log 特権 EXEC コマンドを使用します。

clear ip arp inspection statistics [ vlan vlan-range ]

 
構文の説明

vlan vlan-range

(任意)指定された 1 つまたは複数の VLAN の統計情報を消去します。

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが追加されました。

次の例では、VLAN 1 の統計情報を消去する方法を示します。

Switch# clear ip arp inspection statistics vlan 1
 

統計情報が削除されたかどうかを確認するには、 show ip arp inspection statistics vlan 1 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show inventory statistics

すべての VLAN または指定された VLAN の転送済みパケット、ドロップ済みパケット、MAC 検証に失敗したパケット、および IP 検証に失敗したパケットの統計情報を表示します。

 

clear ip dhcp snooping

DHCP スヌーピング バインディング データベース、DHCP スヌーピング バインディング データベース エージェントの統計情報、または DHCP スヌーピング統計カウンタを消去するには、 clear ip dhcp snooping 特権 EXEC コマンドを使用します。

clear ip dhcp snooping { binding {* | ip-address | interface interface-id | vlan vlan-id } | database statistics | statistics }

 
構文の説明

binding

DHCP スヌーピング バインディング データベースを消去します。

*

すべての自動バインディングを消去します。

ip-address

バインディング エントリ IP アドレスを消去します。

interface interface-id

バインディング入力インターフェイスを消去します。

vlan vlan-id

バインディング エントリ VLAN を消去します。

database statistics

DHCP スヌーピング バインディング データベース エージェントの統計情報を消去します。

statistics

DHCP スヌーピング統計カウンタを消去します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが追加されました。

12.2(37)SE

statistics キーワードが追加されました。

12.2(44)SE

* ip-address interface interface-id および vlan vlan-id キーワードが追加されました。

 
使用上のガイドライン

clear ip dhcp snooping database statistics コマンドを入力すると、スイッチは統計情報を消去する前にバインディング データベースおよびバインディング ファイル内のエントリを更新しません。

次の例では、DHCP スヌーピング バインディング データベース エージェントの統計情報を消去する方法を示します。

Switch# clear ip dhcp snooping database statistics
 

統計情報が消去されたかどうかを確認するには、 show ip dhcp snooping database 特権 EXEC コマンドを入力します。

次の例では、DHCP スヌーピング統計カウンタを消去する方法を示します。

Switch# clear ip dhcp snooping statistics
 

統計情報が消去されたかどうかを確認するには、 show ip dhcp snooping statistics ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping

VLAN 上で DHCP スヌーピングをイネーブルにします。

ip dhcp snooping database

DHCP スヌーピング バインディング データベース エージェントまたはバインディング ファイルを設定します。

show ip dhcp snooping binding

DHCP スヌーピング データベース エージェントのステータスを表示します。

show ip dhcp snooping database

DHCP スヌーピング バインディング データベース エージェントの統計情報を表示します。

show ip dhcp snooping statistics

DHCP スヌーピングの統計情報を表示します。

clear ipc

Interprocess Communications Protocol(IPC)統計情報を消去するには、 clear ipc 特権 EXEC コマンドを使用します。

clear ipc { queue-statistics | statistics }

 
構文の説明

queue-statistics

IPC キューの統計情報を消去します。

statistics

IPC の統計情報を消去します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが追加されました。

 
使用上のガイドライン

clear ipc statistics コマンドを使用してすべての統計情報を消去できますが、 clear ipc queue-statistics コマンドを使用してキューの統計情報だけを消去することもできます。

次の例では、すべての統計情報を消去する方法を示します。

Switch# clear ipc statistics
 

次の例では、キューの統計情報だけを消去する方法を示します。

Switch# clear ipc queue-statistics
 

統計情報が削除されたかどうかを確認するには、 show ipc rpc または show ipc session 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ipc { rpc | session }

IPC マルチキャスト ルーティングの統計情報を表示します。

clear ipv6 dhcp conflict

DHCP for IPv6(DHCPv6)サーバ データベースからのアドレスの衝突を消去するには、 clear ipv6 dhcp conflict 特権 EXEC コマンドを使用します。

clear ipv6 dhcp conflict {* | IPv6-address}


) このコマンドは、スイッチでデュアル IPv4/IPv6 SDM テンプレートが設定されている場合にだけ使用可能です。


 
構文の説明

*

すべてのアドレスの衝突を消去します。

IPv6-address

衝突するアドレスを含んだホストの IPv6 アドレスを消去します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(46)SE

このコマンドが追加されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

衝突を削除するよう DHCPv6 サーバを設定する際、ping を使用します。クライアントはネイバー探索を使用してクライアントを検出し、DECLINE メッセージを通じてサーバに報告します。アドレスの衝突が検出されると、アドレスはプールから削除されます。管理者が衝突リストからアドレスを削除するまでアドレスは割り当てられません。

アスタリスク(*)文字をアドレス パラメータとして使用すると、DHCP はすべての衝突を消去します。

次の例では、DHCPv6 サーバ データベースからすべてのアドレスの衝突を消去する方法を示します。

Switch# clear ipv6 dhcp conflict *

 
関連コマンド

コマンド
説明

show ipv6 dhcp conflict

DHCPv6 サーバが検出したアドレスの衝突、またはクライアントからの DECLINE メッセージを通じて報告されたアドレスの衝突を表示します。

clear l2protocol-tunnel counters

プロトコル トンネル ポートのプロトコル カウンタを消去するには、 clear l2protocol-tunnel counters 特権 EXEC コマンドを使用します。

clear l2protocol-tunnel counters [ interface-id ]

 
構文の説明

interface-id

(任意)プロトコル カウンタを消去するインターフェイス(物理インターフェイスまたはポート チャネル)を指定します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)SE

このコマンドが追加されました。

 
使用上のガイドライン

スイッチまたは指定されたインターフェイスのプロトコル トンネル カウンタを消去するには、このコマンドを使用します。

次の例では、インターフェイスのレイヤ 2 プロトコル トンネル カウンタを消去する方法を示します。

Switch# clear l2protocol-tunnel counters gigabitethernet0/3

 
関連コマンド

コマンド
説明

show l2protocol-tunnel

レイヤ 2 プロトコル トンネリングが設定されたポートに関する情報を表示します。

 

clear lacp

Link Aggregation Control Protocol(LACP)チャネル グループ カウンタを消去するには、 clear lacp 特権 EXEC コマンドを使用します。

clear lacp { channel-group-number counters | counters }

 
構文の説明

channel-group-number

(任意)チャネル グループ番号。指定できる範囲は 1 ~ 48 です。

counters

トラフィックのカウンタを消去します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(25)SE

channel -group-number 範囲が 1 ~ 12 から 1 ~ 48 に変更されました。

 
使用上のガイドライン

clear lacp counters コマンドを使用すると、すべてのカウンタを消去できます。また、 clear lacp channel-group-number counters コマンドを使用すると、指定のチャネル グループのカウンタだけを消去できます。

次の例では、すべてのチャネル グループ情報を消去する方法を示します。

Switch# clear lacp counters
 

次の例では、グループ 4 の LACP トラフィックのカウンタを消去する方法を示します。

Switch# clear lacp 4 counters
 

情報が消去されたかどうかを確認するには、 show lacp counters または show lacp 4 counters 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show lacp

LACP チャネル グループ情報を表示します。

 

clear mac address-table

MAC アドレス テーブルから特定のダイナミック アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、または特定の VLAN 上のすべてのダイナミック アドレスを削除するには、 clear mac address-table 特権 EXEC コマンドを使用します。このコマンドはまた MAC アドレス通知グローバル カウンタも消去します。

clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id ] | notification }

 
構文の説明

dynamic

すべてのダイナミック MAC アドレスを削除します。

dynamic address mac-addr

(任意)指定されたダイナミック MAC アドレスを削除します。

dynamic interface interface-id

(任意)指定された物理ポートまたはポート チャネル上のすべてのダイナミック MAC アドレスを削除します。

dynamic vlan vlan-id

(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ~ 4094 です。

notification

履歴テーブルの通知を消去し、カウンタをリセットします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

次の例では、ダイナミック アドレス テーブルから指定の MAC アドレスを削除する方法を示します。

Switch# clear mac address-table dynamic address 0008.0070.0007
 

情報が削除されたかどうかを確認するには、 show mac address-table 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

mac address-table notification

MAC アドレス通知機能をイネーブルにします。

show mac access-group

MAC アドレス テーブルのスタティック エントリおよびダイナミック エントリを表示します。

show mac address-table notification

すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。

snmp trap mac-notification change

特定のインターフェイス上の SNMP(簡易ネットワーク管理プロトコル)MAC アドレス通知トラップをイネーブルにします。

clear mac address-table move update

MAC アドレス テーブルの移行更新関連カウンタを消去するには、 clear mac address-tablemove update 特権 EXEC コマンドを使用します。

clear mac address-table move update

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが追加されました

次の例では、MAC アドレス テーブル移行更新関連カウンタを消去する方法を示します。

Switch# clear mac address-table move update
 

情報が消去されたかどうかを確認するには、 show mac address-table move update 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

mac address-table move update { receive | transmit }

スイッチ上の MAC アドレス テーブル移行更新を設定します。

show mac address-table move update

スイッチに MAC アドレス テーブル移行更新情報を表示します。

clear nmsp statistics

Network Mobility Services Protocol(NMSP; ネットワーク モビリティ サービス プロトコル)統計情報を消去するには、 clear nmsp statistics 特権 EXEC コマンドを使用します。このコマンドは、スイッチが暗号化ソフトウェア イメージを実行している場合にだけ使用できます。

clear nmsp statistics

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

次の例では、NMSP 統計情報を消去する方法を示します。

Switch# clear nmsp statistics
 

情報が削除されたかどうかを確認するには、 show nmsp statistics 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show nmsp

NMSP 情報を表示します。

 

clear pagp

Port Aggregation Protocol(PAgP; ポート集約プロトコル)チャネル グループ情報を消去するには、 clear pagp 特権 EXEC コマンドを使用します。

clear pagp { channel-group-number counters | counters }

 
構文の説明

channel- group-number

(任意)チャネル グループ番号。指定できる範囲は 1 ~ 48 です。

counters

トラフィックのカウンタを消去します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(25)SE

channel -group-number 範囲が 1 ~ 12 から 1 ~ 48 に変更されました。

 
使用上のガイドライン

すべてのカウンタを消去するには、 clear pagp counters コマンドを使用します。また、 clear pagp channel-group-number counters コマンドを使用すると、指定のチャネル グループのカウンタだけを消去できます。

次の例では、すべてのチャネル グループ情報を消去する方法を示します。

Switch# clear pagp counters
 

次の例では、グループ 10 の PAgP トラフィックのカウンタを消去する方法を示します。

Switch# clear pagp 10 counters
 

情報が削除されたかどうかを確認するには、 show pagp 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show pagp

PAgP チャネル グループ情報を表示します。

 

clear port-security

MAC アドレス テーブルからすべてのセキュア アドレスを削除するか、またはスイッチかインターフェイス上の特定のタイプ(設定済み、ダイナミック、スティッキ)のすべてのセキュア アドレスを削除するには、 clear port-security 特権 EXEC コマンドを使用します。

clear port-security { all | configured | dynamic | sticky } [[ address mac-addr | interface interface-id ] [ vlan { vlan-id | { access | voice}}]]

 
構文の説明

all

すべてのセキュア MAC アドレスを削除します。

configured

設定済みセキュア MAC アドレスを削除します。

dynamic

ハードウェアによって自動学習されたセキュア MAC アドレスを削除します。

sticky

自動学習または設定済みセキュア MAC アドレスを削除します。

address mac-addr

(任意)指定されたダイナミック セキュア MAC アドレスを削除します。

interface interface-id

(任意)指定された物理ポートまたは VLAN 上のすべてのダイナミック セキュア MAC アドレスを削除します。

vlan

(任意)指定された VLAN から指定されたセキュア MAC アドレスを削除します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。

vlan-id :トランク ポート上で、消去する必要のあるアドレスの VLAN の VLAN ID を指定します。

access :アクセス ポートで、アクセス VLAN 上の指定されたセキュア MAC アドレスを消去します。

voice :アクセス ポートで、音声 VLAN 上の指定されたセキュア MAC アドレスを消去します。

(注) voice キーワードは、音声 VLAN がポートに設定されてそのポートがアクセス VLAN でない場合のみ利用可能です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)SEA

このコマンドが追加されました。

12.2(25)SEB

access および voice キーワードが追加されました。

次の例では、MAC アドレス テーブルからすべてのセキュア アドレスを削除する方法を示します。

Switch# clear port-security all
 

次の例では、MAC アドレス テーブルから特定の設定済みセキュア アドレスを削除する方法を示します。

Switch# clear port-security configured address 0008.0070.0007
 

次の例では、特定のインターフェイスで学習されたすべてのダイナミック セキュア アドレスを削除する方法を示します。

Switch# clear port-security dynamic interface gigabitethernet0/1
 

次の例では、アドレス テーブルからすべてのダイナミック セキュア アドレスを削除する方法を示します。

Switch# clear port-security dynamic
 

情報が削除されたかどうかを確認するには、 show port-security 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

switchport port-security

インターフェイス上でポート セキュリティをイネーブルにします。

switchport port-security mac-address mac-address

セキュア MAC アドレスを設定します。

switchport port-security maximum value

セキュア インターフェイスにセキュア MAC アドレスの最大数を設定します。

show port-security

インターフェイスまたはスイッチに定義されたポート セキュリティ設定を表示します。

 

clear spanning-tree counters

スパニングツリー カウンタを消去するには、 clear spanning-tree counters 特権 EXEC コマンドを使用します。

clear spanning-tree counters [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)指定のインターフェイスのスパニング ツリー カウンタをすべて消去します。有効なインターフェイスとしては、物理ポート、VLAN、およびポート チャネルがあります。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 48 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

interface-id が指定されていない場合は、すべてのインターフェイスのスパニング ツリー カウンタが消去されます。

次の例では、すべてのインターフェイスのスパニング ツリー カウンタを消去する方法を示します。

Switch# clear spanning-tree counters

 
関連コマンド

コマンド
説明

show spanning-tree

スパニング ツリー ステート情報を表示します。

clear spanning-tree detected-protocols

すべてのインターフェイス、または指定されたインターフェイスでプロトコル移行プロセスを再開する(強制的にネイバー スイッチと再度ネゴシエートさせる)には、 clear spanning-tree detected-protocols 特権 EXEC コマンドを使用します。

clear spanning-tree detected-protocols [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)指定されたインターフェイスでプロトコル移行プロセスを再開します。有効なインターフェイスとしては、物理ポート、VLAN、およびポート チャネルがあります。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 48 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

Rapid Per-VLAN Spanning-Tree Plus(rapid PVST+)プロトコルまたは Multiple Spanning-Tree Protocol(MSTP)が稼動するスイッチは、組み込み済みのプロトコル移行メカニズムをサポートしています。それによって、スイッチはレガシー IEEE 802.1D スイッチと相互に動作できるようになります。rapid PVST+ スイッチまたは MSTP スイッチが、プロトコルのバージョンが 0 に設定されているレガシー IEEE 802.1D コンフィギュレーション Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を受信した場合は、そのポートで IEEE 802.1D BPDU だけを送信します。Multiple Spanning-Tree(MST)スイッチが、レガシー BPDU、別のリージョンに関連付けられた MST BPDU(バージョン 3)、または Rapid Spanning-Tree(RST; 高速スパニング ツリー)BPDU(バージョン 2)を受信したときは、そのポートがリージョンの境界にあることを検知します。

ただし、スイッチは、IEEE 802.1D BPDU を受信しなくなった場合であっても、自動的には rapid PVST+ モードまたは MSTP モードには戻りません。これは、レガシー スイッチが指定スイッチでなければ、リンクから削除されたかどうかを学習できないためです。この状況では、 clear spanning-tree detected-protocols コマンドを使用します。

次の例では、ポートでプロトコル移行プロセスを再開する方法を示します。

Switch# clear spanning-tree detected-protocols interface gigabitethernet0/1

 
関連コマンド

コマンド
説明

show spanning-tree

スパニング ツリー ステート情報を表示します。

spanning-tree link-type

デフォルト リンクタイプ設定を上書きし、スパニング ツリーがフォワーディング ステートに高速移行できるようにします。

 

clear vmps statistics

VLAN Query Protocol(VQP)クライアントが保持する統計情報を消去するには、 clear vmps statistics 特権 EXEC コマンドを使用します。

clear vmps statistics

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

次の例では、VLAN Membership Policy Server(VMPS; VLAN メンバシップ ポリシー サーバ)統計情報を消去する方法を示します。

Switch# clear vmps statistics
 

情報が削除されたかどうかを確認するには、 show vmps statistics 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show vmps

VQP バージョン、再確認間隔、再試行回数、VMPS IP アドレス、および現在のサーバとプライマリ サーバを表示します。

clear vtp counters

VLAN Trunking Protocol(VTP; VLAN トランキング プロトコル)およびプルーニング カウンタを消去するには、 clear vtp counters 特権 EXEC コマンドを使用します。

clear vtp counters

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

次の例では、VTP カウンタを消去する方法を示します。

Switch# clear vtp counters
 

情報が削除されたかどうかを確認するには、 show vtp counters 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show vtp

VTP 管理ドメイン、ステータス、カウンタの一般情報を表示します。

cluster commander-address

このコマンドは、スタンドアロン クラスタ メンバー スイッチから 入力する必要はありません。クラスタ コマンド スイッチは、メンバー スイッチがクラスタに加入した場合に、MAC アドレスをそのメンバー スイッチに自動的に提供します。クラスタ メンバー スイッチは、この情報および他のクラスタ情報をその実行コンフィギュレーション ファイルに追加します。デバッグまたはリカバリ手順の間だけスイッチをクラスタから削除する場合は、クラスタ メンバー スイッチ コンソール ポートから、 この グローバル コンフィギュレーション コマンドの no 形式を使用します。

cluster commander-address mac-address [ member number name name ]

no cluster commander-address

 
構文の説明

mac-address

クラスタ コマンド スイッチの MAC アドレス

member number

(任意)設定されたクラスタ メンバー スイッチの番号。指定できる範囲は 0 ~ 15 です。

name name

(任意)設定されたクラスタの名前(最大 31 文字)

 
デフォルト

このスイッチはどのクラスタのメンバーでもありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、クラスタ コマンド スイッチ上でのみ利用できます。

各クラスタ メンバーは、クラスタ コマンド スイッチを 1 つしか持てません。

クラスタ メンバー スイッチは、mac-address パラメータによりシステム リロード中にクラスタ コマンド スイッチの ID を保持します。

特定のクラスタ メンバー スイッチで no 形式を入力すると、デバッグまたはリカバリ手順の間、そのクラスタ メンバー スイッチをクラスタから削除できます。通常、メンバーがクラスタ コマンド スイッチと通信ができなくなった場合にだけ、クラスタ メンバー スイッチ コンソール ポートからこのコマンドを入力します。通常のスイッチ構成では、クラスタ コマンド スイッチで no cluster member n グローバル コンフィギュレーション コマンドを入力することによってのみ、クラスタ メンバー スイッチを削除することを推奨します。

スタンバイ クラスタ コマンド スイッチがアクティブになった場合(クラスタ コマンド スイッチになった場合)、このスイッチは cluster commander-address 行をその設定から削除します。

次の例は、クラスタ メンバーの実行コンフィギュレーションの出力の一部です。

Switch(config)# show running-configuration
 
<output truncated>
 
cluster commander-address 00e0.9bc0.a500 member 4 name my_cluster
 
<output truncated>
 

次の例では、クラスタ メンバー コンソールでクラスタからメンバーを削除する方法を示します。

Switch # configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# no cluster commander-address
 

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

debug cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster discovery hop-count

候補スイッチの拡張検出用にホップカウントの制限を設定するには、クラスタ コマンド スイッチ上で cluster discovery hop-count グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster discovery hop-count number

no cluster discovery hop-count

 
構文の説明

number

クラスタ コマンド スイッチが候補の検出を制限するクラスタ エッジからのホップの数。指定できる範囲は 1 ~ 7 です。

 
デフォルト

ホップ カウントは 3 に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、クラスタ コマンド スイッチ上でのみ利用できます。このコマンドは、クラスタ メンバー スイッチでは機能しません。

ホップ カウントが 1 に設定された場合、拡張検出はディセーブルになります。クラスタ コマンド スイッチは、クラスタのエッジから 1 ホップの候補だけを検出します。クラスタのエッジとは、最後に検出されたクラスタ メンバー スイッチと最初に検出された候補スイッチの間のポイントです。

次の例では、ホップ カウント制限を 4 に設定する方法を示します。このコマンドは、クラスタ コマンド スイッチで実行します。

Switch(config)# cluster discovery hop-count 4
 

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

show cluster candidates

候補スイッチのリストを表示します。

cluster enable

コマンド対応スイッチをクラスタ コマンド スイッチとしてイネーブルにし、クラスタ名を割り当て、任意でメンバー番号を割り当てるには、そのコマンド対応スイッチ上で cluster enable グローバル コンフィギュレーション コマンドを使用します。すべてのメンバーを削除して、このクラスタ コマンド スイッチを候補スイッチにするには、このコマンドの no 形式を使用します。

cluster enable name [ command-switch-member-number ]

no cluster enable

 
構文の説明

name

クラスタ名(最大 31 文字)。指定できる文字は、英数字、ダッシュ、および下線のみです。

command-switch-member-number

(任意)クラスタのクラスタ コマンド スイッチにメンバー番号を割り当てます。指定できる範囲は 0 ~ 15 です。

 
デフォルト

このスイッチはクラスタ コマンド スイッチではありません。

クラスタ名は定義されません。

スイッチがクラスタ コマンド スイッチである場合、メンバー番号は 0 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、どのクラスタにも属していない任意のコマンド対応スイッチで入力します。装置がすでにクラスタのメンバーとして設定されている場合、コマンドはエラーとなります。

クラスタ コマンド スイッチをイネーブルにするときには、クラスタに名前を付けてください。スイッチがすでにクラスタ コマンド スイッチとして設定されており、クラスタ名が以前の名前と異なっている場合、コマンドはクラスタ名を変更します。

次の例では、クラスタ コマンド スイッチをイネーブルにし、クラスタに名前を付け、クラスタ コマンド スイッチ メンバー番号を 4 に設定する方法を示します。

Switch(config)# cluster enable Engineering-IDF4 4
 

設定を確認するには、クラスタ コマンド スイッチで show cluster 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster holdtime

スイッチ(コマンドまたはクラスタ メンバー スイッチ)が、他のスイッチのハートビート メッセージを受信しなくなってからそのスイッチのダウンを宣言するまでの期間を秒単位で設定するには、クラスタ コマンド スイッチ上で cluster holdtime グローバル コンフィギュレーション コマンドを使用します。デフォルト設定時間に戻すには、このコマンドの no 形式を使用します。

cluster holdtime holdtime-in-secs

no cluster holdtime

 
構文の説明

holdtime-in-secs

スイッチ(コマンドまたはクラスタ メンバー スイッチ)が、他のスイッチのダウンを宣言するまでの期間(秒)。指定できる範囲は 1 ~ 300 秒です。

 
デフォルト

デフォルトのホールドタイムは 80 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、 cluster timer グローバル コンフィギュレーション コマンドとともにクラスタ コマンド スイッチでのみ使用します。クラスタ内のすべてのスイッチ間で設定の一貫性が保たれるように、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバーに伝播します。

ホールドタイムは通常インターバル タイマー( cluster timer )の倍数として設定されます。たとえば、スイッチのダウンを宣言するまで、「ホールド タイムをインターバル タイムで割った秒数」回の一連のハートビート メッセージが受信されない必要があります。

次の例では、クラスタ コマンド スイッチでインターバル タイマーおよびホールド タイム時間を変更する方法を示します。

Switch(config)# cluster timer 3
Switch(config)# cluster holdtime 30
 

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster member

クラスタに候補を追加するには、クラスタ コマンド スイッチ上で cluster member グローバル コンフィギュレーション コマンドを使用します。メンバーをクラスタから削除するには、このコマンドの no 形式を使用します。

cluster member [ n ] mac-address H.H.H [ password enable-password ] [ vlan vlan-id ]

no cluster member n

 
構文の説明

n

クラスタ メンバーを識別する番号。指定できる範囲は 0 ~ 15 です。

mac-address H.H.H

クラスタ メンバー スイッチの MAC アドレス(16 進数)。

password enable-password

候補スイッチのパスワードをイネーブルにします。候補スイッチにパスワードがない場合、パスワードは必要ありません。

vlan vlan-id

(任意)クラスタ コマンド スイッチが候補をクラスタに追加するときに使用される VLAN ID。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

新しくイネーブルになったクラスタ コマンド スイッチには、関連するクラスタ メンバーはありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、候補をクラスタに追加したり、メンバーをクラスタから削除したりする場合にクラスタ コマンド スイッチでのみ入力できます。このコマンドをクラスタ コマンド スイッチ以外のスイッチで入力すると、スイッチはコマンドを拒否し、エラー メッセージを表示します。

スイッチをクラスタから削除する場合はメンバー番号を入力してください。ただし、スイッチをクラスタに追加する場合には、メンバー番号を入力する必要はありません。クラスタ コマンド スイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。

候補スイッチがクラスタに加入した場合には、認証を行うためにそのスイッチのイネーブル パスワードを入力してください。パスワードは、実行コンフィギュレーションまたはスタートアップ コンフィギュレーションには保存されません。候補スイッチがクラスタのメンバーになったあと、そのパスワードはクラスタ コマンド スイッチ パスワードと同じになります。

スイッチにホスト名が設定されていない場合、クラスタ コマンド スイッチは、メンバー番号をクラスタ コマンド スイッチ ホスト名に追加し、これをクラスタ メンバー スイッチに割り当てます。

VLAN ID を指定していない場合、クラスタ コマンド スイッチは自動的に VLAN を選択し、候補をクラスタに追加します。

次の例では、スイッチをメンバー 2、MAC アドレス 00E0.1E00.2222、パスワード key としてクラスタに追加する方法を示します。クラスタ コマンド スイッチは、VLAN 3 を経由して候補をクラスタに追加します。

Switch(config)# cluster member 2 mac-address 00E0.1E00.2222 password key vlan 3
 

次の例では、MAC アドレス 00E0.1E00.3333 のスイッチをクラスタに追加する方法を示します。このスイッチにはパスワードはありません。クラスタ コマンド スイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。

Switch(config)# cluster member mac-address 00E0.1E00.3333
 

設定を確認するには、クラスタ コマンド スイッチで show cluster members 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

show cluster candidates

候補スイッチのリストを表示します。

show cluster members

クラスタ メンバーに関する情報を表示します。

cluster outside-interface

クラスタの Network Address Translation(NAT; ネットワーク アドレス変換)の外部インターフェイスを設定し、IP アドレスのないメンバーがクラスタの外部にある装置と通信できるようにするには、クラスタ コマンド スイッチ上で cluster outside-interface グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster outside-interface interface-id

no cluster outside-interface

 
構文の説明

interface-id

外部インターフェイスとして機能するインターフェイス。有効なインターフェイスとしては、物理インターフェイス、ポート チャネル、または VLAN があります。ポート チャネル範囲は 1 ~ 48 です。指定できる VLAN 範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトの外部インターフェイスは、クラスタ コマンド スイッチによって自動的に選択されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを入力できるのは、クラスタ コマンド スイッチだけです。クラスタ メンバー スイッチでコマンドを入力すると、エラー メッセージが表示されます。

次の例では、VLAN 1 に外部インターフェイスを設定する方法を示します。

Switch(config)# cluster outside-interface vlan 1
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

現在の動作設定を表示します。

cluster run

スイッチでクラスタ処理をイネーブルにするには、 cluster run グローバル コンフィギュレーション コマンドを使用します。スイッチでクラスタ処理をディセーブルにするには、このコマンドの no 形式を使用します。

cluster run

no cluster run

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

すべてのスイッチでクラスタ処理がイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

クラスタ コマンド スイッチ上で no cluster run コマンドを入力すると、クラスタ コマンド スイッチはディセーブルになります。クラスタリングはディセーブルになり、スイッチは候補スイッチにはなれません。

クラスタ メンバー スイッチで no cluster run コマンドを入力すると、このメンバー スイッチはクラスタから削除されます。クラスタリングはディセーブルになり、スイッチは候補スイッチにはなれません。

クラスタに属していないスイッチで no cluster run コマンドを入力すると、クラスタ処理はそのスイッチでディセーブルになります。このスイッチは候補スイッチにはなれません。

次の例では、クラスタ コマンド スイッチでクラスタ処理をディセーブルにする方法を示します。

Switch(config)# no cluster run
 

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

cluster standby-group

既存の Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)にクラスタをバインドして、クラスタ コマンド スイッチ冗長をイネーブルにするには、 cluster standby-group グローバル コンフィギュレーション コマンドを使用します。routing-redundancy キーワードを入力すると、同じ HSRP グループを使用して、クラスタ コマンド スイッチ冗長とルーティング冗長を確立できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster standby-grou p HSRP-group-name [ routing-redundancy ]

no cluster standby-group

 
構文の説明

HSRP-group-name

クラスタにバインドされる HSRP グループの名前。設定できるグループ名は 32 文字までです。

routing-redundancy

(任意)同じ HSRP スタンバイ グループを使用して、クラスタ コマンド スイッチ冗長とルーティング冗長を確立できます。

 
デフォルト

クラスタは、どの HSRP グループにもバインドされていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドが入力できるのは、クラスタ コマンド スイッチだけです。クラスタ メンバー スイッチでこれを入力すると、エラー メッセージが表示されます。

クラスタ コマンド スイッチは、クラスタ HSRP バインディング情報をすべてのクラスタ HSRP 対応メンバーに伝播します。各クラスタ メンバー スイッチはバインディング情報を NVRAM(不揮発性 RAM)に保存します。HSRP グループ名は、有効なスタンバイ グループである必要があります。そうでない場合、エラーが発生してコマンドが終了します。

クラスタにバインドする HSRP スタンバイ グループのすべてのメンバーに同じグループ名を使用してください。バインドされる HSRP グループのすべてのクラスタ HSRP 対応メンバーに同じ HSRP グループ名を使用してください(クラスタを HSRP グループにバインドしない場合には、クラスタ コマンダおよびメンバーに異なる名前を使用できます)。

次の例では、 my_hsrp という名前の HSRP グループをクラスタにバインドする方法を示します。このコマンドは、クラスタ コマンド スイッチで実行します。

Switch(config)# cluster standby-group my_hsrp
 

次の例では、同じ HSRP グループ名 my_hsrp を使用して、ルーティング冗長とクラスタ冗長を確立する方法を示します。

Switch(config)# cluster standby-group my_hsrp routing-redundancy
 

次の例では、このコマンドがクラスタ コマンド スイッチから実行され、指定された HSRP スタンバイ グループが存在しない場合のエラー メッセージを示します。

Switch(config)# cluster standby-group my_hsrp
%ERROR: Standby (my_hsrp) group does not exist
 

次の例では、このコマンドがクラスタ メンバー スイッチで実行された場合のエラー メッセージを示します。

Switch(config)# cluster standby-group my_hsrp routing-redundancy
%ERROR: This command runs on a cluster command switch
 

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。出力は、クラスタ内の冗長性がイネーブルになったかどうかを示します。

 
関連コマンド

コマンド
説明

standby ip

インターフェイスで HSRP をイネーブルにします。

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

show standby

スタンバイ グループ情報を表示します。

cluster timer

ハートビート メッセージ間の秒単位での間隔を指定するには、クラスタ コマンド スイッチ上で cluster timer グローバル コンフィギュレーション コマンドを使用します。デフォルト設定の間隔に戻すには、このコマンドの no 形式を使用します。

cluster timer interval-in-secs

no cluster timer

 
構文の説明

interval-in-secs

ハートビート メッセージ間の間隔(秒)。指定できる範囲は 1 ~ 300 秒です。

 
デフォルト

間隔は 8 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、 cluster holdtime グローバル コンフィギュレーション コマンドとともにクラスタ コマンド スイッチでのみ使用します。クラスタ内のすべてのスイッチ間で設定の一貫性が保たれるように、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバーに伝播します。

ホールドタイムは通常ハートビート インターバル タイマー( cluster timer )の倍数として設定されます。たとえば、スイッチのダウンを宣言するまで、「ホールド タイムをインターバル タイムで割った秒数」回の一連のハートビート メッセージが受信されない必要があります。

次の例では、クラスタ コマンド スイッチでハートビート間隔のタイマーおよび期間を変更する方法を示します。

Switch(config)# cluster timer 3
Switch(config)# cluster holdtime 30
 

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show cluster

スイッチが属するクラスタのステータスおよびサマリーを表示します。

define interface-range

インターフェイス範囲マクロを作成するには、 define interface-range グローバル コンフィギュレーション コマンドを使用します。定義されたマクロを削除するには、このコマンドの no 形式を使用します。

define interface-range macro-name interface-range

no define interface-range macro-name interface-range

 
構文の説明

macro-name

インターフェイス範囲マクロの名前(最大 32 文字)

interface-range

インターフェイス範囲です。インターフェイス範囲の有効値については、「使用上のガイドライン」を参照してください。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

マクロ名は、最大 32 文字の文字列です。

マクロには、最大 5 つの範囲を含めることができます。

1 つの範囲内ではすべてのインターフェイスが同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、マクロ内では複数のインターフェイス タイプを組み合わせることができます。

interface-range を入力する場合は、次のフォーマットを使用します。

type { first-interface } - { last-interface }

interface-range を入力するときは、最初のインターフェイス番号とハイフンの間にスペースを入れます。たとえば、 gigabitethernet 0/1 - 2 であれば範囲は指定されますが、 gigabit ethernet 0/1 -2 では指定されません。

type および interface の有効値は次のとおりです。

vlan vlan-id - vlan-id (vlan-id の範囲は 1 ~ 4094)

VLAN インターフェイスは、 interface vlan コマンドで設定してください( show running-config 特権 EXEC コマンドは、設定された VLAN インターフェイスを表示します)。 show running-config コマンドで表示されない VLAN インターフェイスは、 interface-range では使用できません。

port-channel port-channel-number 、ここで、 port-channel-number は 1 ~ 48 です。

fastethernet stack member/module/{ first port } - { last port }

gigabitethernet module/{ first port } - { last port }

物理インターフェイス

モジュールは常に 0 です。

範囲は type 0/number - number(例:gigabitethernet 0/1/1 - 2)です。

範囲を定義するときは、ハイフン(-)の前にスペースが必要です。次に例を示します。

gigabitethernet0/1/1 - 2

複数の範囲を入力することもできます。複数の範囲を定義するときは、最初のエントリとカンマ(,)の間にスペースが必要です。カンマの後ろのスペースは任意です。次に例を示します。

fastethernet0/1/3, gigabitethernet 0/1/1 - 2

fastethernet0/1/3 -4, gigabitethernet 0/1/1 - 2

次の例では、複数のインターフェイス マクロを作成する方法を示します。

Switch(config)# define interface-range macro1 fastethernet0/1 - 2, gigabitethernet0/1 - 2

 
関連コマンド

コマンド
説明

interface range

複数のポートで同時にコマンドを実行します。

show running-config

定義されたマクロを含む現在の動作設定を表示します。構文情報については、[Cisco IOS Configuration Fundamentals Command Reference, Release 12.2] > [File Management Commands] > [Configuration File Management Commands] を選択してください。

delete

フラッシュ メモリ デバイスのファイルまたはディレクトリを削除するには、 delete 特権 EXEC コマンドを使用します。

delete [ /force ] [/ recursive ] filesystem :/ file-url

 
構文の説明

/force

(任意)削除を確認するプロンプトを抑制します。

/recursive

(任意)指定されたディレクトリ、そのディレクトリに含まれるすべてのサブディレクトリ、およびファイルを削除します。

filesystem :

フラッシュ ファイル システムのエイリアスです。

/ file-url

削除するパス(ディレクトリ)およびファイル名

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

/force キーワードを使用すると、削除プロセスの最初に 1 回だけ削除の確認を要求するプロンプトが表示されます。

/force キーワードを指定せずに /recursive キーワードを使用すると、ファイルごとに削除の確認を要求するプロンプトが表示されます。

プロンプト動作は、 file prompt グローバル コンフィギュレーション コマンドの設定によって異なります。デフォルトでは、スイッチは、破壊的なファイル操作に関する確認をプロンプトで要求します。このコマンドの詳細については、『 Cisco IOS Command Reference for Release 12.1 』を参照してください。

次の例では、新しいイメージが正常にダウンロードされたあとに、古いソフトウェア イメージを含むディレクトリを削除する方法を示します。

Switch# delete /force /recursive flash:/old-image
 

ディレクトリが削除されたかどうかを確認するには、 dir filesystem : 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

archive download-sw

新しいイメージをスイッチにダウンロードし、既存のイメージを上書きまたは保存します。

deny(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの照合に基づいて Address Resolution Protocol(ARP; アドレス解決プロトコル)パケットを拒否するには、 deny ARP アクセス リスト コンフィギュレーション コマンドを使用します。アクセス リストから指定された Access Control Entry(ACE; アクセス コントロール エントリ)を削除するには、このコマンドの no 形式を使用します。

deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

no deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

 
構文の説明

request

(任意)ARP 要求との一致を定義します。request を指定しない場合は、すべての ARP パケットに対して照合が行われます。

ip

送信側 IP アドレスを指定します。

any

すべての IP アドレスまたは MAC アドレスを拒否します。

host sender-ip

指定された送信側 IP アドレスを拒否します。

sender-ip sender-ip-mask

指定された範囲の送信側 IP アドレスを拒否します。

mac

送信側 MAC アドレスを拒否します。

host sender-mac

特定の送信側 MAC アドレスを拒否します。

sender-mac sender-mac-mask

指定された範囲の送信側 MAC アドレスを拒否します。

response ip

ARP 応答の IP アドレス値を定義します。

host target-ip

指定されたターゲット IP アドレスを拒否します。

target-ip target-ip-mask

指定された範囲のターゲット IP アドレスを拒否します。

mac

ARP 応答の MAC アドレス値を拒否します。

host target-mac

指定されたターゲット MAC アドレスを拒否します。

target-mac target-mac-mask

指定された範囲のターゲット MAC アドレスを拒否します。

log

(任意)ACE と一致するパケットを記録します。

 
デフォルト

デフォルト設定はありません。ただし、ARP アクセス リストの末尾に暗黙の deny ip any mac any コマンドがあります。

 
コマンド モード

ARP アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(20)SE

このコマンドが追加されました。

 
使用上のガイドライン

deny 句を追加すると、一致条件に基づいて ARP パケットをドロップできます。

次の例では、ARP アクセス リストを定義し、IP アドレスが 1.1.1.1 で MAC アドレスが 0000.0000.abcd のホストからの ARP 要求と ARP 応答の両方を拒否する方法を示します。

Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# deny ip host 1.1.1.1 mac host 0000.0000.abcd
Switch(config-arp-nacl)# end
 

設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP ACL を定義します。

ip arp inspection filter vlan

スタティック IP アドレスで設定されたホストからの ARP 要求および応答を許可します。

permit(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングとの一致に基づいて ARP パケットを許可します。

show arp access-list

ARP アクセス リストに関する詳細を表示します。

 

deny(IPv6 アクセス リスト コンフィギュレーション)

Ipv6 アクセス リストに拒否条件を設定するには、Ipv6 アクセス リスト コンフィギュレーション モードで deny コマンドを使用します。拒否条件を削除するには、このコマンドの no 形式を使用します。

deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

no deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)

deny icmp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ icmp-type [ icmp-code ] | icmp-message ] [ dscp value ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

Transmission Control Protocol(TCP; 伝送制御プロトコル)

deny tcp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ ack ] [ dscp value ] [ established ] [ fin ] [ log ] [ log-input ] [ neq { port | protocol }] [ psh ] [ range { port | protocol }] [ rst ] [ sequence value ] [ syn ] [ time-range name ] [ urg ]

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)

deny udp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ log ] [ log-input ] [ neq { port | protocol }] [ range { port | protocol }] [ sequence value ] [ time-range name ]


) このコマンドは、スイッチでデュアル IPv4/IPv6 SDM テンプレートが設定されている場合にだけ使用可能です。


 
構文の説明

protocol

インターネット プロトコルの名前または番号。 ahp esp icmp ipv6 pcp sctp tcp 、または udp キーワードの 1 つ、あるいは IPv6 プロトコル番号を示す 0 ~ 255 の範囲の整数にすることができます。

source-ipv6-prefix / prefix-length

拒否条件を設定する送信元 IPv6 ネットワークまたはネットワークのクラス。

この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

(注) CLI ヘルプでは /0 ~ /128 のプレフィクス長が表示されますが、スイッチは集約可能なグローバル ユニキャストおよびリンク ローカル ホスト アドレスの /0 ~ /64 のプレフィクス、および Extended Universal Identifier(EUI)ベースの /128 プレフィクスに対してのみ IPv6 アドレス照合をサポートします。

any

IPv6 プレフィクス ::/0 の省略形

host source-ipv6-address

拒否条件を設定する送信元 IPv6 ホスト アドレス。

この source-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

operator [ port-number ]

(任意)指定のプロトコルの送信元または宛先ポートを比較する演算子を指定します。演算子は、 lt (less than:未満)、 gt (greater than:より大きい)、 eq (equal:一致)、 neq (not equal:不一致)、 range (inclusive range:包含範囲)です。

source-ipv6-prefix / prefix-length 引数の後ろに演算子が置かれた場合、送信元ポートと一致する必要があります。

destination-ipv6-prefix/prefix-length 引数の後ろに演算子が置かれた場合、宛先ポートと一致する必要があります。

range 演算子には 2 つのポート番号が必要です。他の演算子は 1 つのポート番号が必要です。

任意の port-number 引数は 10 進数、または TCP あるいは UDP ポートの名前です。ポート番号の範囲は 0 ~ 65535 です。TCP ポート名は TCP をフィルタリングする場合にだけ使用できます。UDP ポート名は UDP をフィルタリングする場合にのみ使用できます。

destination-ipv6-prefix /
prefix-length

拒否条件を設定する宛先 IPv6 ネットワークまたはネットワークのクラス。

この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

(注) CLI ヘルプでは /0 ~ /128 のプレフィクス長が表示されますが、スイッチは集約可能なグローバル ユニキャストおよびリンク ローカル ホスト アドレスの /0 ~ /64 のプレフィクス、および EUI ベースの /128 プレフィクスに対してのみ IPv6 アドレス照合をサポートします。

host destination-ipv6-address

拒否条件を設定する宛先 IPv6 ホスト アドレス。

この destination-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

dscp value

(任意)各 IPv6 パケット ヘッダーのトラフィック クラス フィールドのトラフィック クラス値と DiffServ コード ポイント(DSCP)値を照合します。指定できる範囲は 0 ~ 63 です。

fragments

(任意)フラグメント拡張ヘッダーに 0 以外のフラグメント オフセットが含まれる場合、非初期フラグメント パケットを照合します。プロトコルが ipv6 で、 operator [ port-number ] 引数が指定されていない場合にのみ、 fragments キーワードは任意で指定できます。

log

(任意)エントリと一致するパケットに関する情報ロギング メッセージをコンソールに送信します(コンソールに送信するメッセージ レベルは logging console コマンドで制御します)。

メッセージには、アクセス リスト名、シーケンス番号、パケットが拒否されたかどうか、プロトコル(TCP、UDP、ICMP または番号のいずれか)、適正な場合には送信元/宛先アドレス、送信元/宛先ポート番号が含まれます。メッセージは、一致した最初のパケットに対して生成され、その後、5 分間隔で拒否されたパケット数を含めて生成されます。

(注) ロギングはポート ACL ではサポートされません。

log-input

(任意) log キーワードと同じ機能を提供します(ただし、ロギング メッセージには受信インターフェイスも表示されます)。

sequence value

(任意)アクセス リスト ステートメントのシーケンス番号を指定します。指定できる範囲は 1 ~ 4294967295 です。

time-range name

(任意)拒否ステートメントに適用する時間範囲を指定します。時間範囲の名前と制限事項は、 time-range コマンドと、 absolute または periodic コマンドによってそれぞれ指定します。

icmp-type

(任意)ICMP パケットのフィルタリングに ICMP メッセージ タイプを指定します。ICMP パケットは ICMP メッセージ タイプによってフィルタリングできます。メッセージ タイプの番号は 0 ~ 255 です。

icmp-code

(任意)ICMP パケットのフィルタリングに ICMP メッセージ コードを指定します。ICMP メッセージ タイプによってフィルタリングされる ICMP パケットは、ICMP メッセージ コードによってもフィルタリングできます。メッセージ コードの番号は 0 ~ 255 です。

icmp-message

(任意)ICMP パケットのフィルタリングに ICMP メッセージ名を指定します。ICMP パケットは、ICMP メッセージ名、または ICMP メッセージ タイプおよびコードによってフィルタリングできます。使用可能な名前については、「使用上のガイドライン」を参照してください。

ack

(任意)TCP プロトコル専用:ACK ビット設定。

established

(任意)TCP プロトコル専用:これは接続が確立されていることを意味します。TCP データグラムに ACK または RST ビットが設定されている場合、照合が行われます。接続するための初期 TCP データグラムの場合は照合しません。

fin

(任意)TCP プロトコル専用:FIN ビット設定。送信元からのデータはこれ以上ありません。

neq { port | protocol }

(任意)指定のポート番号上にないパケットのみを照合します。

psh

(任意)TCP プロトコル専用:PSH ビット設定。

range { port | protocol }

(任意)ポート番号範囲のパケットのみを照合します。

rst

(任意)TCP プロトコル専用:RST ビット設定。

syn

(任意)TCP プロトコル専用:SYN ビット設定。

urg

(任意)TCP プロトコル専用:URG ビット設定。


flow-label, routing および undetermined-transport キーワードはコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。


 
デフォルト

IPv6 アクセス リストは定義されていません。

 
コマンド モード

IPv6 アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが追加されました。

 
使用上のガイドライン

deny (IPv6 アクセス リスト コンフィギュレーション モード)コマンドは、IPv6 固有である点を除き、 deny (IPv4 アクセス リスト コンフィギュレーション モード)コマンドと類似しています。

IPv6 アクセス リスト コンフィギュレーション モードを開始し、パケットがアクセス リストを通過する条件を定義するには、 ipv6 access-list コマンドの後ろに deny (IPv6)コマンドを使用します。

protocol 引数に IPv6 を指定すると、パケットの IPv6 ヘッダーに対して照合を行います。

デフォルトでは、アクセス リストの最初のステートメントは 10 で、その次のステートメントからは 10 ずつ増加します。

リスト全体を再入力しないで、 permit deny 、または remark ステートメントを既存のアクセス リストに追加できます。リストの最後以外の場所に新しいステートメントを追加するには、挿入する場所を示す、既存の 2 つのエントリ番号の間にある適切なエントリ番号を持った新しいステートメントを作成します。


) 各 IPv6 ACL には最後の一致条件として、暗黙の permit icmp any any nd-napermit icmp any any nd-ns、および deny ipv6 any any ステートメントがあります。このうち 2 つの permit 条件は、ICMPv6 ネイバー探索を許可します。ICMPv6 ネイバー探索を許可しないで icmp any any nd-na または icmp any any nd-ns を拒否するには、明示的な拒否エントリが ACL 内にある必要があります。暗黙的な deny ipv6 any any ステートメントを有効にするには、IPv6 ACL に 1 つまたは複数のエントリを含める必要があります。

IPv6 ネイバー探索プロセスでは、IPv6 ネットワーク レイヤ サービスを使用します。したがって、デフォルトでは IPv6 ACL により、IPv6 ネイバー探索パケットのインターフェイス上での送受信が暗黙に許可されます。IPv4 では、IPv6 ネイバー探査プロセスと同等のアドレス解決プロトコル(ARP)は、別のデータリンク レイヤ プロトコルを使用します。したがってデフォルトでは、IPv4 ACL により、ARP パケットのインターフェイス上での送受信が暗黙に許可されます。


source-ipv6-prefix / prefix-length destination-ipv6-prefix / prefix-length の両方の引数をトラフィック フィルタリングに使用します(送信元プレフィクスはトラフィックの送信元に基づいて、宛先プレフィクスはトラフィックの宛先に基づいてトラフィックをフィルタリングします)。

スイッチは集約可能なグローバル ユニキャストおよびリンク ローカル ホスト アドレスの /0 ~ /64 のプレフィクスと EUI ベースの /128 プレフィクスのみをサポートします。

プロトコルが ipv6 operator [ port-number ] 引数が指定されていない場合にのみ、 fragments キーワードは任意で指定できます。

次に、ICMP メッセージ名を表示します。

 

beyond-scope

destination-unreachable

echo-reply

echo-request

header

hop-limit

mld-query

mld-reduction

mld-report

nd-na

nd-ns

next-header

no-admin

no-route

packet-too-big

parameter-option

parameter-problem

port-unreachable

reassembly-timeout

renum-command

renum-result

renum-seq-number

router-advertisement

router-renumbering

router-solicitation

time-exceeded

unreachable

 

次の例では、CISCO という名の IPv6 アクセス リストを設定し、そのアクセス リストをレイヤ 3 インターフェイス上の発信トラフィックに適用する方法を示します。リストの最初の拒否エントリは、5000 より大きい宛先 TCP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。リストの 2 番目の拒否エントリは、5000 未満の送信元 UDP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。また、この 2 番目の拒否エントリは、すべての一致をコンソールに表示します。リストの最初の許可エントリは、すべての ICMP パケットのインターフェイスでの送信を許可します。リストの 2 番目の許可エントリは、その他すべてのトラフィックのインターフェイスでの送信を許可します。すべてのパケットを拒否する暗黙の条件が各 IPv6 アクセス リストの末尾にあるので、この 2 番目の許可エントリが必要となります。

Switch(config)# ipv6 access-list CISCO
Switch(config-ipv6-acl)# deny tcp any any gt 5000
Switch config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log
Switch(config-ipv6-acl)# permit icmp any any
Switch(config-ipv6-acl)# permit any any
Switch(config-ipv6-acl)# exit
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# no switchport
Switch(config-if)# ipv6 address 2001::/64 eui-64
Switch(config-if)# ipv6 traffic-filter CISCO out

 
関連コマンド

コマンド
説明

ipv6 access-list

IPv6 アクセス リストを拒否し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。

ipv6 traffic-filter

インターフェイス上の着信または発信 IPv6 トラフィックをフィルタリングします。

permit(IPv6 アクセス リスト コンフィギュレーション)

IPv6 アクセス リストに許可条件を設定します。

show ipv6 access-list

現在の IPv6 アクセス リストすべての内容を表示します。

deny(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に、非 IP トラフィックの転送を回避するには、 deny MAC アクセス リスト コンフィギュレーション コマンドを使用します。拒否条件を名前付き MAC アクセス リストから削除するには、このコマンドの no 形式を使用します。

{ deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask |mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

no { deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

 
構文の説明

any

あらゆる送信元または宛先 MAC アドレスを拒否するために指定するキーワードです。

host src MAC-addr |
src-MAC-addr mask

ホスト MAC アドレスと任意のサブネット マスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr |
dst-MAC-addr mask

宛先 MAC アドレスと任意のサブネット マスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)パケットの Ethertype 番号と、Ethernet II または Subnetwork Access Protocol(SNAP)カプセル化を使用して、パケットのプロトコルを識別します。

type には、0 ~ 65535 の 16 進数を指定できます。

mask は、マッチングを行う前に Ethertype に適用される don’t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を選択します。

amber

(任意)EtherType DEC-Amber を選択します。

cos cos

(任意)プライオリティを設定するため、0 ~ 7 までの Class of Service(CoS; サービス クラス)値を選択します。CoS に基づくフィルタリングは、ハードウェアでのみ実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニング ツリーを選択します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを選択します。

diagnostic

(任意)EtherType DEC-Diagnostic を選択します。

dsm

(任意)EtherType DEC-DSM を選択します。

etype-6000

(任意)EtherType 0x6000 を選択します。

etype-8042

(任意)EtherType 0x8042 を選択します。

lat

(任意)EtherType DEC-LAT を選択します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を選択します。

lsap lsap-number mask

(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を使用して、パケットのプロトコルを識別します。

mask は、マッチングを行う前に LSAP 番号に適用される don’t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を選択します。

mop-dump

(任意)EtherType DEC-MOP Dump を選択します。

msdos

(任意)EtherType DEC-MSDOS を選択します。

mumps

(任意)EtherType DEC-MUMPS を選択します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NETBIOS)を選択します。

vines-echo

(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)を選択します。

vines-ip

(任意)EtherType VINES IP を選択します。

xns-idp

(任意)10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType XNS プロトコル スイート(0 ~ 65535)を選択します。


appletalk は、コマンドラインのヘルプ ストリングには表示されますが、一致条件としてはサポートされていません。


IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。 表 2-9 に、Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を一覧表示します。

 

表 2-9 IPX フィルタ基準

IPX カプセル化タイプ
フィルタ基準
Cisco IOS 名
Novel 名

arpa

Ethernet II

Ethertype 0x8137

snap

Ethernet-snap

Ethertype 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

 
デフォルト

このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルト アクションは拒否です。

 
コマンド モード

MAC アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

mac access-list extended グローバル コンフィギュレーション コマンドを使用して、MAC アクセス リスト コンフィギュレーション モードを開始します。

host キーワードを使用した場合、アドレス マスクは入力できません。 host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。

アクセス コントロール エントリ(ACE)が ACL に追加された場合、リストの最後には暗黙の deny - any - any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

名前付き MAC 拡張アクセス リストの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。

Switch(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
 

次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。

Switch(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
 

次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。

Switch(config-ext-macl)# deny any any 0x4321 0
 

設定を確認するには、 show access-lists 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

mac access-list extended

非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。

permit(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックが転送されるのを許可します。

show access-lists

スイッチに設定された ACL を表示します。

diagnostic monitor

ヘルス モニタリング診断テストを設定するには、 diagnostic monitor グローバル コンフィギュレーション コマンドを使用します。テストをディセーブルにし、デフォルト設定に戻すには、このコマンドの no 形式を使用します。

diagnostic monitor test { test-id | test-id-range | all }

diagnostic monitor interval test { test-id | test-id-range | all } hh:mm:ss milliseconds day

diagnostic monitor syslog

diagnostic monitor threshold test { test-id | test-id-range | all } count failure count

no diagnostic monitor test { test-id | test-id-range | all }

no diagnostic monitor interval test { test-id | test-id-range | all }

no diagnostic monitor syslog

no diagnostic monitor threshold test { test-id | test-id-range | all } failure coun t

 
構文の説明

test

実行するテストを指定します。

test-id

実行するテストの識別番号。その他の情報については、「使用上のガイドライン」を参照してください。

test-id-range

実行するテストの識別番号の範囲。その他の情報については、「使用上のガイドライン」を参照してください。

all

すべての診断テストを実行します。

interval

テストを実行する間隔を指定します。

hh:mm:ss

テストの間隔を指定します。形式については、「使用上のガイドライン」を参照してください。

milliseconds

時間(ミリ秒)を指定します。指定できる範囲は 0 ~ 999 です。

day

テストの間隔(日数)を指定します。形式については、「使用上のガイドライン」を参照してください。

syslog

ヘルス モニタリング診断テストが失敗した場合に Syslog メッセージを生成します。

threshold

障害しきい値を指定します。

failure count count

障害しきい値のカウントを指定します。

 
デフォルト

モニタリングはディセーブルです。

syslog がイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(35)SE

このコマンドが追加されました。

 
使用上のガイドライン

テストをスケジューリングする場合、次の注意事項があります。

test-id :テスト ID リストを表示するには、 show diagnostic content 特権 EXEC コマンドを 使用 します

test-id-range :テスト ID リストを表示するには、 show diagnostic content コマンドを 使用 します 。カンマおよびハイフンで区切られた整数で範囲を入力します(例:1,3-6 はテスト ID 1、3、4、5 および 6)。

hh: 時間(0 ~ 23)を入力します。

mm: 分(0 ~ 60)を入力します。

ss: 秒(0 ~ 60)を入力します。

milliseconds: ミリ秒(0 ~ 999)を入力します。

day: 0 ~ 20 の数字として日を入力します。

diagnostic monitor test { test-id | test-id-range | all } コマンドを入力する場合は、次の注意事項に従ってください。

すべての接続ポートをディセーブルにし、ネットワーク トラフィックを隔離します。テスト中はテスト パケットを送出できません。

システムまたはテスト済みモジュールをリセットしたあとで、システムを通常の動作モードに戻します。

次の例では、2 分ごとに指定したテストを行うように設定する方法を示します。

Switch(config)# diagnostic monitor interval test 1 00:02:00 0 1

 

次の例では、ヘルス モニタリング テストが失敗した場合に Syslog メッセージの生成をイネーブルにする方法を示します。

Switch(config)# diagnostic monitor syslog

 
関連コマンド

コマンド
説明

show diagnostic

オンライン診断テストの結果を表示します。

diagnostic schedule

診断テストをスケジューリングするには、 diagnostic schedule 特権 EXEC コマンドを使用します。スケジューリングを削除し、デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

diagnostic schedule test { test-id | test-id-range | all | basic | non-disruptive } { daily hh : mm | on mm dd yyyy hh : mm | weekly day-of-week hh : mm }

no diagnostic schedule test { test-id | test-id-range | all | basic | non-disruptive } { daily hh : mm | on mm dd yyyy hh : mm | weekly day-of-week hh : mm }

 
構文の説明

test

スケジューリングするテストを指定します。

test-id

実行するテストの識別番号。その他の情報については、「使用上のガイドライン」を参照してください。

test-id-range

実行するテストの識別番号の範囲。その他の情報については、「使用上のガイドライン」を参照してください。

all

すべての診断テストを実行します。

basic

基本的なオンデマンドの診断テストを実行します。

non-disruptive

ノンディスラプティブ ヘルスモニタ テストを実行します。

daily hh : mm

テストベースの診断タスクのスケジュール(日単位)を指定します。形式については、「使用上のガイドライン」を参照してください。

on mm dd yyyy hh : mm

テストベースの診断タスクのスケジュールを指定します。形式については、「使用上のガイドライン」を参照してください。

weekly day-of-week hh : mm

テストベースの診断タスクのスケジュール(週単位)を指定します。形式については、「使用上のガイドライン」を参照してください。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(35)SE

このコマンドが追加されました。

 
使用上のガイドライン

テストをスケジューリングする場合、次の注意事項があります。

test-id :テスト ID リストを表示するには、 show diagnostic content コマンドを 使用 します

test-id-range :テスト ID リストを表示するには、 show diagnostic content コマンドを 使用 します 。カンマおよびハイフンで区切られた整数で範囲を入力します(例:1,3-6 はテスト ID 1、3、4、5 および 6)。

hh : mm 2 桁の数字(24 時間表記)で時間および分を入力します。コロン( : )が必要です。

mm: January、February ~ December のように、月を入力します(大文字でも小文字でも可)

dd 2 桁の数字で日を入力します。

yyyy 4 桁の数字で年を入力します。

day-of-week Monday、Tuesday ~ Sunday のように、曜日を入力します(大文字でも小文字でも可)

次に、特定のスイッチに対して、特定の日時にオンデマンド診断テストを実行するようにスケジューリングする例を示します。

Switch(config)# diagnostic schedule test 1,2,4-6 on january 3 2006 23:32
 

次の例では、毎週特定の時間に診断テストを行うようスケジューリングする方法を示します。

Switch(config)# diagnostic schedule test 1,2,4-6 weekly friday 09:23

 
関連コマンド

コマンド
説明

show diagnostic

オンライン診断テストの結果を表示します。

 

diagnostic start

特定の診断テストを実行するには、 diagnostic start ユーザ コマンドを使用します。

diagnostic start test { test-id | test-id-range | all | basic | non-disruptive }

 
構文の説明

test

実行するテストを指定します。

test-id

実行するテストの識別番号。その他の情報については、「使用上のガイドライン」を参照してください。

test-id-range

実行するテストの識別番号の範囲。その他の情報については、「使用上のガイドライン」を参照してください。

all

すべての診断テストを実行します。

basic

基本的なオンデマンドの診断テストを実行します。

non-disruptive

ノンディスラプティブ ヘルスモニタ テストを実行します。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

ユーザ EXEC

 
コマンド履歴

リリース
変更内容

12.2(35)SE

このコマンドが追加されました。

 
使用上のガイドライン

テスト ID リストを表示するには、 show diagnostic content コマンドを 使用 します

test-id-range をカンマおよびハイフンで区切られた整数で入力します(例:1,3-6 はテスト ID 1、3、4、5、および 6)。

次の例では、スイッチですべての診断テストを実行する方法を示します。

Switch#diagn start test all
Diagnostic[]: Running test(s) 2-6 will cause the switch under test to reload after completion of the test list.
Diagnostic[]: Running test(s) 2-6 may disrupt normal system operation
Do you want to continue?[no]:
Switch#

 
関連コマンド

コマンド
説明

show diagnostic

オンライン診断テストの結果を表示します。

 

dot1x

IEEE 802.1x 認証をグローバルにイネーブルにするには、 dot1x グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x { critical { eapol | recovery delay milliseconds } | { guest-vlan supplicant } | system-auth-control }

no dot1x { critical { eapol | recovery delay } | { guest-vlan supplicant } | system-auth-control }


credentials name キーワードは、コマンドラインのヘルプ ストリングには表示されますが、サポートされていません。


 
構文の説明

critical { eapol | recovery delay milliseconds }

アクセス不能な認証バイパス パラメータを設定します。詳細については、 dot1x critical(グローバル コンフィギュレーション) コマンドを参照してください。

guest-vlan supplicant

スイッチで任意のゲスト VLAN 動作をグローバルにイネーブルにします。

system-auth-control

スイッチで IEEE 802.1x 認証をグローバルにイネーブルにします。

 
デフォルト

IEEE 802.1x 認証はディセーブルです。任意のゲスト VLAN 動作はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(25)SE

guest-vlan supplicant キーワードが追加されました。

12.2(25)SEE

critical { eapol | recovery delay milliseconds } キーワードが追加されました。

 
使用上のガイドライン

IEEE 802.1x 認証をグローバルにイネーブルにする前に、Authentication, Authorization and Accounting(AAA; 認証、許可、アカウンティング)をイネーブルにし、認証方式リストを指定する必要があります。方式リストには、ユーザの認証に使用する順序と認証方式が記述されています。

スイッチの IEEE 802.1x 認証をグローバルにイネーブルにする前に、IEEE 802.1x 認証および EtherChannel が設定されているインターフェイスから EtherChannel の設定を削除します。

EAP-Transparent LAN Service(TLS; 透過型 LAN サービス)および EAP-MD5 で IEEE 802.1x を認証する Cisco Access Control Server(ACS)アプリケーションが稼動する装置を使用している場合、装置が ACS バージョン 3.2.1 以降で稼動していることを確認します。

スイッチで任意の IEEE 802.1x ゲスト VLAN 動作をグローバルにイネーブルにするには、 guest-vlan supplicant キーワードを使用できます。詳細については、 dot1x guest-vlan コマンドを参照してください。

次の例では、スイッチで IEEE 802.1x 認証をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control
 

次の例では、スイッチで任意のゲスト VLAN 動作をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x guest-vlan supplicant
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x critical(グローバル コンフィギュレーション)

スイッチ上で、アクセス不能な認証バイパス機能のパラメータを設定します。

dot1x guest-vlan

アクティブ VLAN をイネーブルにし、IEEE 802.1x ゲスト VLAN として指定します。

dot1x port-control

ポートの許可ステートの手動制御をイネーブルにします。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x auth-fail max-attempts

ポートが制限 VLAN に移行するまでに許容可能な最大認証試行回数を設定するには、 dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x auth-fail max-attempts max-attempts

no dot1x auth-fail max-attempts

 
構文の説明

max-attempts

ポートが制限 VLAN に移行するまでに許容される最大の認証試行回数を指定します。指定できる範囲は 1 ~ 3 です。デフォルト値は 3 です。

 
デフォルト

デフォルト値は 3 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが追加されました。

 
使用上のガイドライン

VLAN で許容される最大の認証試行回数を再設定する場合、変更内容は再認証タイマーが期限切れになったあとで反映されます。

次の例では、ポート 3 の制限 VLAN にポートが移行する前に許容される最大の認証試行回数を 2 に設定する方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x auth-fail max-attempts 2
Switch(config-if)# end
Switch(config)# end
Switch#
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x auth-fail vlan [ vlan id]

オプションの制限 VLAN の機能をイネーブルにします。

dot1x max-reauth-req [ count]

ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する最大回数を設定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x auth-fail vlan

ポートで制限 VLAN をイネーブルにするには、 dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x auth-fail vlan vlan-id

no dot1x auth-fail v lan

 
構文の説明

vlan-id

VLAN を 1 ~ 4094 の範囲で指定します。

 
デフォルト

制限 VLAN は設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが追加されました。

 
使用上のガイドライン

次のように設定されたポートで制限 VLAN を設定できます。

シングルホスト(デフォルト)モード

認証用 auto モード

再認証をイネーブルにする必要があります。ディセーブルになっていると、制限 VLAN のポートは再認証要求を受け取りません。再認証プロセスを開始するには、制限 VLAN がポートからリンクダウン イベントまたは Extensible Authentication Protocol(EAP)ログオフ イベントを受け取る必要があります。ホストがハブを介して接続されている場合、ホストが切断されているとポートがリンクダウン イベントを受け取ることができず、次の再認証試行が行われるまで新しいホストが検出されないことがあります。

サプリカントが認証に失敗すると、ポートは制限 VLAN に移行し、EAP 認証成功 メッセージがサプリカントに送信されます。サプリカントには実際の認証失敗が通知されないため、この制限ネットワーク アクセスに混乱が生じることがあります。EAP の成功メッセージは、次の理由で送信されます。

EAP の成功メッセージが送信されない場合、サプリカントは 60 秒ごと(デフォルト)に EAP 開始メッセージを送信して認証を行おうとします。

一部のホスト(たとえば、Windows XP を実行中のデバイス)は、EAP の成功メッセージを受け取るまで DHCP を実行できません。

サプリカントは、認証から EAP 成功メッセージを受け取ったあとに不正なユーザ名とパスワードの組み合わせをキャッシュし、再認証のたびにその情報を使用する可能性があります。サプリカントが正しいユーザ名とパスワードの組み合わせを送信するまで、ポートは制限 VLAN のままになります。

レイヤ 3 ポートに使用する内部 VLAN は、制限 VLAN として設定することはできません。

VLAN を制限 VLAN と音声 VLAN の両方に設定することはできません。そのように設定すると、Syslog メッセージが生成されます。

制限 VLAN ポートが無許可ステートに移行すると、認証プロセスが再起動されます。サプリカントが再度認証プロセスに失敗すると、認証は保持ステートで待機します。サプリカントが正常に再認証されたあと、すべての IEEE 802.1x ポートが再初期化され、通常の IEEE 802.1x ポートとして扱われます。

制限 VLAN を異なる VLAN として再設定すると、制限 VLAN のポートも移行し、そのポートは現在認証されたステートのままになります。

制限 VLAN をシャットダウンするか VLAN データベースから削除すると、制限 VLAN のポートはただちに無許可ステートに移行し、認証プロセスが再起動します。制限 VLAN 設定がまだ存在するため、認証は保持ステートで待機しません。制限 VLAN が非アクティブである間も、制限 VLAN がアクティブになったときにポートがただちに制限 VLAN になるように、すべての認証試行がカウントされます。

制限 VLAN は、シングルホスト モード(デフォルトのポート モード)でのみサポートされます。そのため、ポートが制限 VLAN になると、サプリカントの MAC アドレスが MAC アドレス テーブルに追加され、ポートに表示される他の MAC アドレスは、セキュリティ違反として扱われます。

次の例では、ポート 1 で制限 VLAN を設定する方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x auth-fail vlan 40
Switch(config-if)# end
Switch#
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x auth-fail max-attempts [ max-attempts]

サプリカントを制限 VLAN に割り当てる前に、試行可能な認証回数を設定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x control-direction

WoL 機能を搭載した IEEE 802.1x 認証をイネーブルにし、ポート制御を単一方向または双方向に設定するには、 dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x control-direction { both | in }

no dot1x control-direction

 
構文の説明

both

ポートの双方向制御をイネーブルにします。ポートは、ホストにパケットを送受信できません。

in

ポートの単一方向制御をイネーブルにします。ポートは、ホストにパケットを送信できますが、受信はできません。

 
デフォルト

ポートは双方向モードに設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEC

このコマンドが追加されました。

 
使用上のガイドライン

デフォルト設定の双方向モードに戻すには、このコマンドの both キーワードまたは no 形式を使用します。

WoL の詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with Wake-on-LAN」を参照してください。

次の例では、単一方向制御をイネーブルにする方法を示します。

Switch(config-if)# dot1x control-direction in
 

次の例では、双方向制御をイネーブルにする方法を示します。

Switch(config-if)# dot1x control-direction both
 

設定を確認するには、 show dot1x all 特権 EXEC コマンドを入力します。

show dot1x all 特権 EXEC コマンド出力は、ポート名とポートのステートを除き、すべてのスイッチで同一です。ホストがポートに接続されていてまだ認証されていない場合、次のように表示されます。

Supplicant MAC 0002.b39a.9275
AuthSM State = CONNECTING
BendSM State = IDLE
PortStatus = UNAUTHORIZED
 

dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力して単一方向制御をイネーブルにする場合、これが show dot1x all コマンド出力で次のように表示されます。

ControlDirection = In
 

dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力しても、設定の競合によりポートでこのモードをサポートできない場合、 show dot1x all コマンド出力で次のように表示されます。

ControlDirection = In (Disabled due to port settings)

 
関連コマンド

コマンド
説明

show dot1x [ all | interface interface-id ]

指定したインターフェイスに対する制御方向のポート設定ステータスを表示します。

dot1x credentials(グローバル コンフィギュレーション)

サプリカント スイッチにプロファイルを設定するには、dot1x credentials グローバル コンフィギュレーション コマンドを使用します。

dot1x credentials profile

no dot1x credentials profile

 
構文の説明

profile

サプリカント スイッチのプロファイルを指定します。

 
デフォルト

スイッチのプロファイルは設定されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(50)SE

このコマンドが追加されました。

 
使用上のガイドライン

このスイッチをサプリカントにするには、別のスイッチをオーセンティケータとして設定する必要があります。

次の例では、スイッチをサプリカントとして設定する方法を示します。

Switch(config)# dot1x credentials profile
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

cisp enable

CISP をイネーブルにします。

show cisp

特定のインターフェイスの CISP 情報を表示します。

 

dot1x critical(グローバル コンフィギュレーション)

アクセス不能な認証バイパス機能(クリティカル認証または Authentication, Authorization and Accounting(AAA; 認証、許可、アカウンティング)失敗ポリシーとも言う)のパラメータを設定するには、 dot1x critical グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x critical { eapol | recovery delay milliseconds }

no dot1x critical { eapol | recovery delay }

 
構文の説明

eapol

スイッチによりクリティカルなポートが critical-authentication ステートに置かれた場合、EAPOL-Success メッセージを送信するようスイッチを指定します。

recovery delay milliseconds

リカバリ遅延期間(ミリ秒)を指定します。指定できる範囲は 1 ~ 10000 ミリ秒です。

 
デフォルト

クリティカルなポートを critical-authentication ステートに置くことによって認証に成功した場合に、スイッチは EAPOL-Success メッセージをホストに送信しません。

リカバリ遅延期間は、1000 ミリ秒(1 秒)です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEE

このコマンドが追加されました。

 
使用上のガイドライン

クリティカルなポートが critical-authentication ステートに置かれた場合、スイッチが EAPOL-Success メッセージを送信するよう指定するには、 eapol キーワードを使用します。

使用不能な RADIUS サーバが使用可能になった場合に、スイッチがクリティカルなポートを再初期化するために待機するリカバリ遅延期間を設定するには、 recovery delay milliseconds キーワードを使用します。デフォルトのリカバリ遅延期間は 1000 ミリ秒です。ポートは、秒単位で再初期化できます。

アクセス不能な認証バイパスをポート上でイネーブルにするには、 dot1x critical インターフェイス コンフィギュレーション コマンドを使用します。スイッチがクリティカルなポートに割り当てるアクセス VLAN を設定するには、 dot1x critical vlan vlan-id インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、リカバリ遅延期間として 200 をスイッチに設定する方法を示します。

Switch# dot1x critical recovery delay 200
 

設定を確認するには、 show dot1x 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x critical(インターフェイス コンフィギュレーション)

アクセス不能な認証バイパス機能をイネーブルにし、この機能にアクセス VLAN を設定します。

show dot1x

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x critical(インターフェイス コンフィギュレーション)

アクセス不能な認証バイパス機能(クリティカル認証または Authentication, Authorization and Accounting(AAA; 認証、許可、アカウンティング)失敗ポリシーとも言う)をイネーブルにするには、 dot1x critical インターフェイス コンフィギュレーション コマンドを使用します。ポートが critical-authentication ステートに置かれた場合に、スイッチがクリティカルなポートに割り当てるアクセス VLAN を設定することもできます。この機能をディセーブルにするか、またはデフォルトに戻すには、このコマンドの no 形式を使用します。

dot1x critical [ recovery action reinitialize | vlan vlan-id ]

no dot1x critical [ recovery | vlan ]

 
構文の説明

recovery action reinitialize

アクセス不能な認証バイパスのリカバリ機能をイネーブルにし、認証サーバが使用可能になった場合にリカバリ アクションによりポートを認証するよう指定します。

vlan vlan-id

スイッチがクリティカルなポートに割り当てることのできるアクセス VLAN を指定します。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

アクセス不能認証バイパス機能はディセーブルです。

リカバリ アクションは設定されていません。

アクセス VLAN は設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが追加されました。

12.2(25)SEE

vlan vlan-id キーワードが追加されました。

 
使用上のガイドライン

ポートが critical-authentication ステートに置かれた場合にスイッチがクリティカルなポートに割り当てるアクセス VLAN を指定するには、 vlan vlan-id キーワードを使用します。指定された VLAN タイプは、次のポート タイプに適合している必要があります。

クリティカルなポートがアクセス ポートの場合、VLAN はアクセス VLAN でなければなりません。

クリティカルなポートがプライベート VLAN のホスト ポートである場合、VLAN はセカンダリ プライベート VLAN でなければなりません。

クリティカルなポートがルーテッド ポートの場合、VLAN を指定できます(指定は任意)。

クライアントで Windows XP を稼動し、クライアントが接続されているクリティカル ポートが critical-authentication ステートである場合、Windows XP はインターフェイスが認証されていないことを報告します。

Windows XP クライアントで DHCP が設定され、DHCP サーバからの IP アドレスがある場合、クリティカル ポートで EAP 認証成功メッセージを受信しても DHCP 設定プロセスを再初期化しません。

アクセス不能認証バイパス機能および制限 VLAN を IEEE 802.1x ポート上に設定できます。スイッチが制限付き VLAN でクリティカル ポートの再認証を試行し、RADIUS サーバがすべて使用できない場合、ポートの状態はクリティカル認証ステートに移行し、ポートは制限付き VLAN のままとなります。

アクセス不能認証バイパス機能とポート セキュリティは、同じスイッチ ポートに設定できます。

次の例では、ポートのアクセス不能認証バイパス機能をイネーブルにする方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x critical
Switch(config-if)# end
Switch(config)# end
Switch#
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x critical(グローバル コンフィギュレーション)

スイッチ上で、アクセス不能な認証バイパス機能のパラメータを設定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x default

IEEE 802.1x パラメータをデフォルト値にリセットするには、 dot1x default インターフェイス コンフィギュレーション コマンドを使用します。

dot1x default

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト値は次のとおりです。

ポート単位の IEEE 802.1x プロトコルのイネーブル ステートはディセーブルです(force-authorized)。

再認証の試行間隔の秒数は 3600 秒です。

定期的な再認証はディセーブルです。

待機時間は 60 秒です。

再送信時間は 30 秒です。

最大再送信回数は、2 回です。

ホスト モードはシングル ホストです。

クライアントのタイムアウト時間は 30 秒です。

認証サーバのタイムアウト時間は 30 秒です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

次の例では、ポート上の IEEE 802.1x パラメータをリセットする方法を示します。

Switch(config-if)# dot1x default
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x fallback

IEEE 802.1x 認証をサポートしないクライアントに対し、Web 認証をフォールバック方式として使用するようにポートを設定するには、 dot1xfallback インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x fallback profile

no dot1x fallback

 
構文の説明

profile

IEEE 802.1x 認証をサポートしていないクライアントのフォールバック プロファイルを指定します。

 
デフォルト

フォールバックはイネーブルではありません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(35)SE

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを入力する前に、スイッチで dot1x port-control auto インターフェイス コンフィギュレーション コマンドを入力する必要があります。

次の例では、IEEE 802.1x 認証用に設定されているスイッチ ポートにフォールバック プロファイルを指定する方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x fallback profile1
Switch(config-fallback-profile)# exit
Switch(config)# end
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

fallback profile

Web 認証のフォールバック プロファイルを作成します。

ip admission

ポートで Web 認証をイネーブルにします。

ip admission name proxy http

スイッチで Web 認証をグローバルにイネーブルにします。

dot1x guest-vlan

アクティブな VLAN を IEEE 802.1x のゲスト VLAN として指定するには、 dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x guest-vlan vlan-id

no dot1x guest-vlan

 
構文の説明

vlan-id

アクティブ VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

ゲスト VLAN は設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(25)SE

このコマンドは、デフォルトのゲスト VLAN の動作を変えるように変更されました。

 
使用上のガイドライン

次のいずれかのスイッチポートにゲスト VLAN を設定できます。

非プライベート VLAN に属するスタティックアクセス ポート。

セカンダリ プライベート VLAN に属するプライベート VLAN ポート。スイッチ ポートに接続されるすべてのホストは、端末状態の妥当性の評価に成功したかどうかにかかわらず、プライベート VLAN に割り当てられます。スイッチが、スイッチのプライマリおよびセカンダリ プライベート VLAN の対応付けを使用してプライマリ プライベート VLAN を判別します。

スイッチの IEEE 802.1x ポートごとにゲスト VLAN を設定して、現在 IEEE 802.1x 認証を実行していないクライアント(スイッチに接続されているデバイスまたはワークステーション)へのサービスを制限できます。こうしたユーザは IEEE 802.1x 認証のためにシステムをアップグレードできますが、Windows 98 システムなどのホストでは IEEE 802.1x に対応できません。

IEEE 802.1x ポートでゲスト VLAN をイネーブルにした場合、認証サーバが Extensible Authentication Protocol over LAN(EAPOL)Request/Identity フレームに対する応答を受信しないと、あるいは EAPOL パケットがクライアントから送信されないと、スイッチではクライアントをゲスト VLAN に割り当てます。

スイッチでは、EAPOL パケット履歴が維持されます。リンクの存続中にインターフェイスで別の EAPOL パケットが検出されると、ゲスト VLAN の機能がディセーブルになります。ポートがすでにゲスト VLAN ステートにある場合、ポートは無許可ステートに戻り、認証が再開されます。EAPOL 履歴はリンクの損失でリセットされます。

Cisco IOS Release 12.2(25)SE より前のスイッチでは、EAPOL パケット履歴を保持していなかったため、インターフェイスで EAPOL パケットが検出されたかどうかに関係なく、ゲスト VLAN への認証アクセスに失敗したクライアントを許可しました。Cisco IOS Release 12.2(25)SE で、このオプションの動作をイネーブルにするには、 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用します。

ただし、Cisco IOS Release 12.2(25)SEE では、 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドはすでにサポートされていません。 dot1x auth-fail vlan vlan-id インターフェイス コンフィギュレーション コマンドを入力すると、制限 VLAN を使用して、認証に失敗したクライアントにネットワーク アクセスを与えることができます。

スイッチ ポートがゲスト VLAN に移行すると、IEEE 802.1x 非対応クライアントはいくつでもアクセスが許可されます。IEEE 802.1x 対応クライアントが、ゲスト VLAN を設定しているポートと同じポートに加入すると、ポートは RADIUS 設定 VLAN またはユーザ設定アクセス VLAN では無許可ステートに移行し、認証が再開されます。

ゲスト VLAN は、シングルホスト モードとマルチホスト モードの IEEE 802.1x ポートでサポートされます。

Remote Switched Port Analyzer(RSPAN)VLAN、プライマリ プライベート VLAN、または音声 VLAN 以外のアクティブなすべての VLAN は、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN の機能は、内部 VLAN(ルーテッド ポート)またはトランク ポート上ではサポートされません。サポートされるのはアクセス ポートのみです。

DHCP クライアントが接続されている IEEE 802.1x ポートのゲスト VLAN を設定したあと、DHCP サーバからホスト IP アドレスを取得する必要があります。クライアント上の DHCP プロセスが時間切れとなり DHCP サーバからホスト IP アドレスを取得しようとする前に、スイッチ上の IEEE 802.1x 認証プロセスを再起動する設定を変更できます。IEEE 802.1x 認証プロセスの設定を減らします( dot1x timeout quiet-period および dot1x timeout tx-period インターフェイス コンフィギュレーション コマンド)。設定の減少量は、接続された IEEE 802.1x クライアントのタイプによって異なります。

スイッチは MAC 認証バイパス をサポートします。MAC 認証バイパスは IEEE 802.1x ポートでイネーブルの場合、スイッチは、EAPOL メッセージ交換を待機している間に IEEE 802.1x 認証が期限切れになると、クライアントの MAC アドレスに基づいてクライアントを許可できます。スイッチは、IEEE 802.1x ポート上のクライアントを検出したあとで、クライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-access/request フレームを認証サーバに送信します。認証に成功すると、スイッチはクライアントにネットワークへのアクセスを許可します。認証に失敗すると、スイッチはポートにゲスト VLAN を割り当てます(指定されていない場合)。詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with MAC Authentication Bypass」を参照してください。

次の例では、VLAN 5 を IEEE 802.1x ゲスト VLAN として指定する方法を示します。

Switch(config-if)# dot1x guest-vlan 5
 

次の例では、スイッチの待機時間を 3 秒に設定し、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を 15 に設定する方法、および IEEE 802.1x ポートが DHCP クライアントに接続されているときに VLAN 2 を IEEE 802.1x ゲスト VLAN としてイネーブルにする方法を示します。

Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2
 

次の例では、オプションのゲスト VLAN の動作をイネーブルにし、VLAN 5 を IEEE 802.1x ゲスト VLAN として指定する方法を示します。

Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x guest-vlan 5
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x

オプションのゲスト VLAN のサプリカント機能をイネーブルにします。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x host-mode

IEEE 802.1x 許可ポート上で、単一ホスト(クライアント)または複数のホストを許可するには、 dot1x host-mode インターフェイス コンフィギュレーション コマンドを使用します。IEEE 802.1x 許可ポート上で、マルチドメイン認証(MDA)をイネーブルにするには、multi-domain キーワードを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x host-mode { multi-host | single-host | multi-domain }

no dot1x host-mode [ multi-host | single-host | multi-domain }

 
構文の説明

multi-host

スイッチのマルチホスト モードをイネーブルにします。

single-host

スイッチのシングルホスト モードをイネーブルにします。

multi-domain

スイッチ ポートで MDA をイネーブルにします。

 
デフォルト

デフォルトは、シングルホスト モードです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(35)SE

multi-domain キーワードが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、IEEE 802.1x 対応ポートを単一のクライアントに限定したり、複数のクライアントを IEEE 802.1x 対応ポートに接続したりすることができます。マルチホスト モードでは、接続されたホストの 1 つが許可されるだけで、すべてのホストのネットワーク アクセスが許可されます。ポートが無許可ステートになった場合(再認証が失敗した場合、または Extensible Authentication Protocol over LAN [EAPOL]-logoff メッセージを受信した場合)には、接続されたすべてのクライアントがネットワーク アクセスを拒否されます。

ポートで MDA をイネーブルにするには、multi-domain キーワードを使用します。MDA はポートをデータ ドメインと音声ドメインの両方に分割します。MDA により、データ装置と IP Phone などの音声装置(シスコ製品またはシスコ以外の製品)の両方が同じ IEEE 802.1x 対応ポート上で許可されます。

このコマンドを入力する前に、指定のポートで dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認します。

次の例では、IEEE 802.1x 認証をグローバルにイネーブルにして、ポートの IEEE 802.1x 認証をイネーブルにし、マルチホスト モードをイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
 

次の例では、IEEE 802.1x 認証をグローバルにイネーブルにし、IEEE 802.1x 認証をイネーブルにし、指定したポートで MDA をイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-domain
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x initialize

ポート上で新しく認証セッションを開始する前に、指定の IEEE 802.1x 対応ポートを手動で無許可ステートに戻すには、 dot1x initialize 特権 EXEC コマンドを使用します。

dot1x initialize [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)ポートを初期化します。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、IEEE 802.1x ステート マシンを初期化し、新たな認証環境を設定します。このコマンドを入力したあと、ポートの状態は無許可になります。

このコマンドには、 no 形式はありません。

次の例では、ポートを手動で初期化する方法を示します。

Switch# dot1x initialize interface gigabitethernet01/2
 

ポート ステータスが無許可になっていることを確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

 

dot1x mac-auth-bypass

MAC 認証バイパス機能をイネーブルにするには、 dot1x mac-auth-bypass インターフェイス コンフィギュレーション コマンドを使用します。MAC 認証バイパス機能をディセーブルにするには、このコマンドの no 形式を使用します。

dot1x mac-auth-bypass [ eap | timeout inactivity value ]

no dot1x mac-auth-bypass

 
構文の説明

eap

(任意)認証に Extensible Authentication Protocol(EAP)を使用するようスイッチを設定します。

timeout inactivity value

(任意)接続されたホストが無許可ステートになる前に非アクティブである秒数を設定します。指定できる範囲は 1 ~ 65535 です。

 
デフォルト

MAC 認証バイパスはディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEE

このコマンドが追加されました。

12.2(35)SE

timeout activity value キーワードが追加されました

 
使用上のガイドライン

特に記載がない限り、MAC 認証バイパス機能の使用上のガイドラインは IEEE 802.1x 認証の使用上のガイドラインと同じです。

ポートが MAC アドレスで認証されたあとで、ポートから MAC 認証バイパス機能をディセーブルにした場合、ポート ステートには影響ありません。

ポートが未許可ステートであり、クライアント MAC アドレスが認証サーバ データベースにない場合、ポートは未許可ステートのままです。ただし、クライアント MAC アドレスがデータベースに追加されると、スイッチは MAC 認証バイパス機能を使用してポートを再認証できます。

ポートが認証ステートにない場合、再認証が行われるまでポートはこのステートを維持します。

リンクのライフタイム中に EAPOL パケットがインターフェイス上で検出された場合、スイッチは、そのインターフェイスに接続されているデバイスが IEEE 802.1x 対応サプリカントであることを確認し、(MAC 認証バイパス機能ではなく)IEEE 802.1x 認証を使用してインターフェイスを認証します。

MAC 認証バイパスで認証されたクライアントは再認証できます。

MAC 認証バイパスおよび IEEE 802.lx 認証の相互作用の詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Understanding IEEE 802.1x Authentication with MAC Authentication Bypass」および「IEEE 802.1x Authentication Configuration Guidelines」を参照してください。

次の例では、MAC 認証バイパスをイネーブルにし、認証に EAP を使用するようスイッチを設定する方法を示します。

Switch(config-if)# dot1x mac-auth-bypass eap
 

次の例では、MAC 認証バイパスをイネーブルにし、接続されたホストが 30 秒間非アクティブである場合にタイムアウトを設定する方法を示します。

Switch(config-if)# dot1x mac-auth-bypass timeout inactivity 30
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x max-reauth-req

ポートが無許可ステートに変わるまでに、スイッチが認証プロセスを再起動する上限回数を設定するには、 dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max -reauth -req count

no dot1x max -reauth -req

 
構文の説明

count

スイッチが認証プロセスを開始するために EAPOL-Identity-Request フレームを再送信する回数を設定します。この回数を超えると、ポートが無許可ステートに移行します。802.1x 非対応デバイスがポートに接続されている場合、スイッチは、デフォルトで 2 回認証試行を再試行します。ポートにゲスト VLAN が設定されている場合は、2 回の再認証試行の後、デフォルトで、ポートはゲスト VLAN に対して許可されます。指定できる範囲は 1 ~ 10 です。デフォルト値は 2 です。

 
デフォルト

デフォルトは 2 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(18)SE

このコマンドが追加されました。

12.2(25)SEC

count 範囲が変更されました。

 
使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

次の例では、ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する回数を 4 に設定する方法を示します。

Switch(config-if)# dot1x max-reauth-req 4
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x max-req

スイッチが認証プロセスを再起動する前に、EAP フレームを認証サーバに送信する最高回数を設定します(応答を受信しないと仮定)。

dot1x timeouttx-period

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x max-req

スイッチが認証プロセスを再始動する前に、Extensible Authentication Protocol(EAP)フレームを認証サーバからクライアントに送信する最大回数を設定するには(応答を受信しないことが前提) dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max-req count

no dot1x max-req

 
構文の説明

count

スイッチが EAPOL DATA パケットの再送信を試みる回数。この回数に達すると、認証プロセスが再起動されます。たとえば、認証プロセスの途中にサプリカントがあって問題が発生した場合、オーセンティケータがデータ要求を 2 回再送信し、応答がなければプロセスを中止します。指定できる範囲は 1 ~ 10 であり、デフォルト値は 2 です。

 
デフォルト

デフォルトは 2 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

次の例では、認証プロセスを再起動する前に、スイッチが EAP フレームを認証サーバからクライアントに送信する回数を 5 回に設定する方法を示します。

Switch(config-if)# dot1x max-req 5
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x timeouttx-period

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x multiple-hosts

このコマンドは、現在は使用されていません。

過去のリリースで、dot1x multiple-hosts インターフェイス コンフィギュレーション コマンドは、IEEE 802.1x の許可ポートで複数のホスト(クライアント)を設定するために使用されていました。

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 

 
関連コマンド

コマンド
説明

dot1x host-mode

ポートの IEEE 802.1x ホスト モードを設定します。

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。

 

dot1x pae

IEEE 802.1x Port Access Entity(PAE)オーセンティケータとしてポートを設定するには、 dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。IEEE 802.1x 認証をポート上でディセーブルにするには、このコマンドの no 形式を使用します。

dot1x pae authenticator

no dot1x pae

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ポートは IEEE 802.1x PAE オーセンティケータではありません。IEEE 802.1x 認証はポート上でディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEE

このコマンドが追加されました。

 
使用上のガイドライン

IEEE 802.1x 認証をポート上でディセーブルにする場合は、このコマンドの no dot1x pae 形式を使用します。

dot1x port-control インターフェイス コンフィギュレーション コマンドを入力するなどしてポート上で IEEE 802.1x 認証を設定した場合、スイッチは自動的にポートを IEEE 802.1x オーセンティケータとして設定します。オーセンティケータの PAE 動作は、 no dot1x pae インターフェイス コンフィギュレーション コマンドを入力したあとでディセーブルになります。

次の例では、ポートの IEEE 802.1x 認証をディセーブルにする方法を示します。

Switch(config-if)# no dot1x pae
 

設定を確認するには、 show dot1x または show eap 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。

show eap

スイッチまたは特定のポートの EAP のレジストレーション情報およびセッション情報を表示します。

 

dot1x port-control

ポートの許可ステートを手動で制御するには、 dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x port-control { auto | force-authorized | force-unauthorized }

no dot1x port-control

 
構文の説明

auto

ポートで IEEE 802.1x 認証をイネーブルにし、スイッチおよびクライアント間の IEEE 802.1x 認証交換に基づきポートを許可または無許可ステートに変更します。

force-authorized

ポートで IEEE 802.1x 認証をディセーブルにすれば、認証情報の交換をせずに、ポートを許可ステートに移行します。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。

force-unauthorized

クライアントからの認証の試みをすべて無視し、ポートを強制的に無許可ステートに変更することにより、このポート経由のすべてのアクセスを拒否します。スイッチはポートを介してクライアントに認証サービスを提供できません。

 
デフォルト

デフォルトの設定は force-authorized です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

特定のポートの IEEE 802.1x 認証をイネーブルにする前に、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用して、スイッチの IEEE 802.1x 認証をグローバルにイネーブルにする必要があります。

IEEE 802.1x 標準は、レイヤ 2 のスタティック アクセス ポート、音声 VLAN のポート、およびレイヤ 3 のルーテッド ポート上でサポートされます。

ポートが、次の項目の 1 つとして設定されていない場合に auto キーワードを使用できます。

トランク ポート:トランク ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック ポート:ダイナミック モードのポートは、ネイバーとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック アクセス ポート:ダイナミック アクセス(VLAN Query Protocol(VQP))ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート:アクティブまたはアクティブでない EtherChannel メンバーを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。

スイッチド ポート アナライザ(SPAN)および Remote SPAN(RSPAN)宛先ポート:SPAN または RSPAN 宛先ポートであるポートの IEEE 802.1x 認証をイネーブルにできます。ただし、そのポートが SPAN または RSPAN 宛先として削除されるまで、IEEE 802.1x 認証はディセーブルのままです。SPAN または RSPAN 送信元ポートでは IEEE 802.1x 認証をイネーブルにできます。

スイッチの IEEE 802.1x 認証をグローバルにディセーブルにするには、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。特定のポートの IEEE 802.1x 認証をディセーブルにするには、 no dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、ポートの IEEE 802.1x 認証をイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet0/2
Switch(config-if)# dot1x port-control auto
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x re-authenticate

指定の IEEE 802.1x 対応ポートの再認証を手動で開始するには、 dot1x re-authenticate 特権 EXEC コマンドを使用します。

dot1x re-authenticate [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)再認証するインターフェイスのモジュールおよびポート番号

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、再認証試行間隔(re-authperiod)および自動再認証の設定秒数を待たずにクライアントを再認証できます。

次の例では、ポートに接続されたデバイスを手動で再認証する方法を示します。

Switch# dot1x re-authenticate interface gigabitethernet0/2

 
関連コマンド

コマンド
説明

dot1x reauthentication

クライアントの定期的再認証をイネーブルにします。

dot1x timeout reauth-period

再認証の間隔(秒)を指定します。

dot1x re-authentication

このコマンドは、現在は使用されていません。

過去のリリースで、 dot1x re-authentication グローバル コンフィギュレーション コマンドは、定期的な再認証の試行間隔を設定するために使用されていました。

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 

 
関連コマンド

コマンド
説明

dot1x reauthentication

再認証の間隔(秒)を指定します。

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。

 

dot1x reauthentication

クライアントの定期的な再認証をイネーブルにするには、 dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x reauthentication

no dot1x reauthentication

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

定期的な再認証はディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用して、定期的再認証の試行間隔の時間を設定します。

次の例では、クライアントの定期的な再認証をディセーブルにする方法を示します。

Switch(config-if)# no dot1x reauthentication
 

次の例では、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x re-authenticate

すべての IEEE 802.1x 対応ポートの再認証を手動で初期化します。

dot1x timeout reauth-period

再認証の間隔(秒)を指定します。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

dot1x supplicant force-multicast

サプリカント スイッチが、マルチキャストまたはユニキャスト EAPOL パケットを受信したときには必ず強制的にマルチキャスト Extensible Authentication Protocol over LAN(EAPOL)パケット だけ を送信するようにするには、 dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x supplicant force-multicast

no dot1x supplicant force-multicast

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

サプリカント スイッチは、ユニキャスト EAPOL パケットを受信した場合には、ユニキャスト EAPOL パケットを送信します。同様に、マルチキャスト EAPOL パケットを受信した場合には、マルチキャスト EAPOL パケットを送信します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

Network Edge Access Topology(NEAT)がすべてのホスト モードで機能するようにするには、サプリカント スイッチ上でこのコマンドをイネーブルにします。

次の例では、サプリカント スイッチからオーセンティケータ スイッチに強制的にマルチキャスト EAPOL パケットを送信させる方法を示します。

Switch(config)# dot1x supplicant force-multicast

 
関連コマンド

コマンド
説明

cisp enable

スイッチ上での Client Information Signalling Protocol(CISP)をイネーブルにして、スイッチがサプリカント スイッチに対してオーセンティケータとして機能するようにします。

dot1x credentials

ポートの 802.1x サプリカント クレデンシャルを設定します。

dot1x pae supplicant

インターフェイスをサプリカントとしてだけ機能するように設定します。

dot1x test eapol-capable

すべてのスイッチ ポート上の IEEE 802.1x アクティビティをモニタし、IEEE 802.1x をサポートするポートに接続されたデバイスに関する情報を表示するには、 dot1x test eapol-capable 特権 EXEC コマンドを使用します。

dot1x test eapol-capable [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)ポートを照会します。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(44)SE

このコマンドが追加されました。

 
使用上のガイドライン

スイッチ上のすべてのポートまたは特定のポートに接続されたデバイスの IEEE 802.1x 機能をテストするには、このコマンドを使用します。

このコマンドには、 no 形式はありません。

次の例では、スイッチ上の IEEE 802.1x 状態チェックをイネーブルにしてポートを照会する方法を示します。また、照会済みポートから受信した応答も示し、接続しているデバイスが IEEE 802.1x 対応であることを確認します。

Switch# dot1x test eapol-capable interface gigabitethernet0/13
 
DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet0/13 is EAPOL capable
 

 
関連コマンド

コマンド
説明

dot1x test timeout timeout

IEEE 802.1x 状態クエリーに対する EAPOL 応答を待つのに使用するタイムアウトを設定します。

dot1x test timeout

IEEE 802.1x 状態について照会されるポートからの EAPOL 応答を待つのに使用するタイムアウトを設定するには、 dot1x test timeout グローバル コンフィギュレーション コマンドを使用します。

dot1x test timeout timeout

 
構文の説明

timeout

EAPOL 応答を待つ時間(秒単位)。指定できる範囲は 1 ~ 65535 秒です。

 
デフォルト

デフォルト設定は 10 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(44)SE

このコマンドが追加されました。

 
使用上のガイドライン

EAPOL 応答を待つのに使用するタイムアウトを設定するには、このコマンドを使用します。

このコマンドには、 no 形式はありません。

次の例では、スイッチが EAPOL 応答を待つ時間を 27 秒に設定する方法を示します。

Switch# dot1x test timeout 27
 

タイムアウト設定ステータスを確認するには、 show run 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x test eapol-capable [ interface interface-id ]

すべてのまたは指定された IEEE 802.1x 対応ポートに接続されたデバイス上の IEEE 802.1x 状態をチェックします。

dot1x timeout

IEEE 802.1x タイマーを設定するには、 dot1x timeout インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x timeout { quiet-period seconds | ratelimit-period seconds | reauth-period { seconds | server } | server-timeout seconds | supp-timeout seconds | tx-period seconds }

no dot1x timeout { quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }

 
構文の説明

quiet- period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数。指定できる範囲は 1 ~ 65535 です。

ratelimit- period seconds

この期間中に認証に成功したクライアントからの Extensible Authentication Protocol over LAN(EAPOL)パケットをスイッチが無視した秒数。指定できる範囲は 1 ~ 65535 です。

reauth-period { seconds | server }

再認証の間隔(秒)を指定します。

キーワードの意味は次のとおりです。

seconds 1 ~ 65535 の範囲で秒数を指定します 。デフォルトは 3600 秒です。

server :セッションタイムアウト RADIUS 属性(属性 [27])の値として秒数を設定します。

server-timeout seconds

認証サーバに対して、スイッチのパケット再送信を待機する秒数。

指定できる範囲は 1 ~ 65535 です。ただし、30 以上の値を設定することを推奨します。

supp-timeout seconds

スイッチが IEEE 802.1x クライアントへパケットを再送信する前に待機する秒数。指定できる範囲は 30 ~ 65535 です。

tx- period seconds

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。指定できる範囲は 1 ~ 65535 です。

 
デフォルト

デフォルトの設定は次のとおりです。

reauth-period は 3600 秒です。

quiet-period は 60 秒です。

tx-period は 5 秒です。

supp-timeout は 30 秒です。

server-timeout は 30 秒です。

rate-limit は、1 秒です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(20)SE

server-timeout supp-timeout 、および tx-period キーワードの範囲が変更されました。

12.2(25)SEC

tx-period キーワードの範囲が変更され、 reauth-period server キーワードが追加されました。

12.2(25)SEE

ratelimit-period キーワードが追加されました。

12.2(40)SE

tx-period seconds の範囲が間違っています。正しい範囲は 1 ~ 65535 です。

 
使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにした場合のみ、 dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、スイッチの動作に影響します。

待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

ratelimit-period が 0(デフォルト)に設定された場合、スイッチは認証に成功したクライアントからの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。

次の例では、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
 

次の例では、定期的な再認証をイネーブルにし、再認証の間隔としてセッションタイムアウト RADIUS 属性の値を指定する方法を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period server
 

次の例では、スイッチの待機時間を 30 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout quiet-period 30
 

次の例では、スイッチから認証サーバへの再送信時間を 45 秒に設定する方法を示します。

Switch(config)# dot1x timeout server-timeout 45
 

次の例では、EAP request フレームに対するスイッチからクライアントへの再送信時間を 45 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout supp-timeout 45
 

次の例では、EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout tx-period 60
 

次の例では、認証に成功したクライアントからの EAPOL パケットをスイッチが無視する秒数を 30 と設定する方法を示します。

Switch(config-if)# dot1x timeout ratelimit-period 30
 

設定を確認するには、 show dot1x 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x max-req

スイッチが、認証プロセスを再始動する前に、EAP-Request/Identity フレームを送信する最高回数を設定します。

dot1x reauthentication

クライアントの定期的再認証をイネーブルにします。

show dot1x

すべてのポートの IEEE 802.1x ステータスを表示します。

dot1x violation-mode

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定するには、 dot1x violation-mode インターフェイス コンフィギュレーション コマンドを使用します。

dot1x violation-mode {shutdown | restrict | protect}

no dot1x violation-mode

 
構文の説明

shutdown

新しい予期しない MAC アドレスが発生したポートまたは仮想ポートを errordisable にします。

restrict

違反エラーが発生した場合に Syslog エラーを生成します。

protect

新しい MAC アドレスからのパケットをそのまますべて廃棄します。これは、デフォルト設定です。

 
デフォルト

デフォルトでは、dot1x violation-mode protect はイネーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(46)SE1

このコマンドが追加されました。

次の例では、IEEE 802.1x 対応ポートを errordisable として設定し、新しいデバイスがポートに接続されたときにシャットダウンする方法を示します。

Switch(config-if)# dot1x violation-mode shutdown
 

次の例では、新しいデバイスがポートに接続されたときにシステム エラー メッセージを生成し、ポートを制限モードに変更するよう IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# dot1x violation-mode restrict
 

次の例では、新しいデバイスがポートに接続されたときにデバイスを無視するよう IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# dot1x violation-mode protect
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

duplex

ポートがデュプレックス モードで動作するよう指定するには、 duplex インターフェイス コンフィギュレーション コマンドを使用します。ポートをデフォルト値に戻すには、このコマンドの no 形式を使用します。

duplex { auto | full | half }

no duplex

 
構文の説明

auto

自動デュプレックス設定をイネーブルにします。ポートは、接続する装置のモードに応じて、全二重または半二重のどちらのモードで稼動する必要があるかを自動的に検出します。

full

全二重モードをイネーブルにします。

half

半二重モードをイネーブルにします(10 または 100 Mb/s で動作するインターフェイス用のみ)。1000 または 10000 Mb/s で動作するインターフェイスに対して半二重モードを設定できません。

 
デフォルト

ファスト イーサネット ポートおよびギガビット イーサネット ポートに対するデフォルトは auto です。

デフォルトは、100BASE-x(-x は -BX、-FX、-FX-FE、または -LX)Small Form-factor Pluggable(SFP)モジュール用の half です。

二重オプションは、1000BASE- x (- x は -BX、-CWDM、-LX、-SX、または -ZX)SFP モジュールではサポートされていません。

ご使用のスイッチでサポートされている SFP モジュールについては、製品のリリース ノートを参照してください。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.1(20)SE

100 BASE-FX SFP モジュール用に half キーワードのサポートが追加されました。

 
使用上のガイドライン

ファスト イーサネット ポートでは、接続された装置がデュプレックス パラメータの自動ネゴシエーションを行わない場合にポートを auto に設定すると、 half を指定するのと同じ効果があります。

ギガビット イーサネット ポートでは、接続装置がデュプレックス パラメータを自動ネゴシエートしない場合にポートを auto に設定すると、 full を指定するのと同じ効果があります。


) デュプレックス モードが auto で接続されている装置が半二重で動作している場合、半二重モードはギガビット イーサネット インターフェイスでサポートされます。ただし、これらのインターフェイスを半二重モードで動作するように設定することはできません。


特定のポートを全二重または半二重のどちらかに設定できます。このコマンドの適用可能性は、スイッチが接続されているデバイスによって異なります。

回線の両方のエンドが自動ネゴシエーションをサポートしている場合は、デフォルトの自動ネゴシエーション設定を使用することを強く推奨します。片方のインターフェイスが自動ネゴシエーションをサポートし、もう片方がサポートしていない場合、両方のインターフェイス上でデュプレックスと速度を設定し、サポートされている側で auto の設定を使用してください。

速度が auto に設定されている場合、スイッチはリンクの反対側のデバイスと速度設定についてネゴシエートし、速度をネゴシエートされた値に強制的に設定します。デュプレックス設定はリンクの両端での設定が引き継がれますが、これにより、デュプレックス設定に矛盾が生じることがあります。

速度が auto に設定されている場合、デュプレックス設定を行うことができます。


注意 インターフェイス速度とデュプレックス モードの設定を変更すると、再設定中にインターフェイスがシャットダウンし、再度イネーブルになる場合があります。

スイッチの速度およびデュプレックスのパラメータの設定に関する注意事項は、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring Interface Characteristics」の章を参照してください。

次の例では、インターフェイスを全二重動作に設定する方法を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# duplex full
 

設定を確認するには、 show interfaces 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces

スイッチのインターフェイスの設定を表示します。

speed

10/100 または 10/100/1000 Mb/s インターフェイスの速度を設定します。

 

epm access-control open

ACL が設定されていないポートに関するオープン ディレクティブを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で epm access-control open グローバル コンフィギュレーション コマンドを使用します。オープン ディレクティブをディセーブルにするには、このコマンドの no 形式を使用します。

epm access-control open

no epm access-control open

 
構文の説明

このコマンドには、キーワードと引数はありません。

 
デフォルト

デフォルト ディレクティブが適用されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

 
使用上のガイドライン

認証ポリシーを使用せずにホストから静的 ACL で設定されたポートにアクセスできるようにするには、このコマンドを使用します。このコマンドを設定していない場合は、ポートによって、設定された ACL のポリシーがトラフィックに適用されます。ポート上に静的 ACL が設定されていない場合は、デフォルト ディレクティブとオープン ディレクティブの両方でポートにアクセスできます。

次の例では、オープン ディレクティブを設定する方法を示します。

Switch(config)# epm access-control open
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

動作設定を表示します。構文情報については、次の Cisco IOS Release 12.2 Command Reference リスティング ページへのリンクを使用します。 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html
コマンドへ移動するには、『 Cisco IOS Commands Master List, Release 12.2 』を選択します。

 

 

errdisable detect cause

特定の原因、またはすべての原因に対して、errdisable 検出をイネーブルにするには、 errdisable detect cause グローバル コンフィギュレーション コマンドを使用します。errdisable 検出機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

errdisable detect cause { all | arp-inspection | bpduguard | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | l2ptguard | link-flap | loopback | pagp-flap | security-violation shutdown vlan | sfp-config-mismatch }

no errdisable detect cause { all | arp-inspection | bpduguard | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | l2ptguard | link-flap | loopback | pagp-flap | security-violation shutdown vlan | sfp-config-mismatch }

BPDU ガード機能およびポートセキュリティ機能の場合はこのコマンドを使用し、違反の発生時にポート全体をシャットダウンする代わりに、ポートで問題となっている VLAN だけをシャットダウンするようにスイッチをグローバルに設定できます。

VLAN ごとに errdisable 機能をオフにしていて BPDU ガード違反が発生した場合は、ポート全体がディセーブルになります。VLAN ごとに errdisable 機能をディセーブルにするには、このコマンドの no 形式を使用します。

errdisable detect cause bpduguard shutdown vlan

no errdisable detect cause bpduguard shutdown vlan

 
構文の説明

all

すべての errdisable の原因に対して、エラー検出をイネーブルにします。

arp-inspection

ダイナミック アドレス解決プロトコル(ARP)インスペクションのエラー検出をイネーブルにします。

bpduguard shutdown vlan

BPDU ガードで VLAN ごとに errdisable をイネーブルにします。

dhcp-rate-limit

DHCP スヌーピング用のエラー検出をイネーブルにします。

dtp-flap

Dynamic Trunking Protocol(DTP; ダイナミック トランキング プロトコル)フラッピングのエラー検出をイネーブルにします。

gbic-invalid

無効な Gigabit Interface Converter(GBIC; ギガビット インターフェイス コンバータ)モジュール用のエラー検出をイネーブルにします。

(注) このエラーは、スイッチの Small Form-Factor Pluggable(SFP)モジュールが無効であることを示しています。

inline-power

インライン パワーに対し、エラー検出をイネーブルにします。

l2ptguard

レイヤ 2 プロトコル トンネルの errdisable 原因に対し、エラー検出をイネーブルにします。

link-flap

リンク ステート フラッピングのエラー検出をイネーブルにします。

loopback

検出されたループバックのエラー検出をイネーブルにします。

pagp-flap

Port Aggregation Protocol(PAgP; ポート集約プロトコル)フラップの errdisable 原因のエラー検出をイネーブルにします。

security-violation shutdown vlan

音声対応 802.1x セキュリティをイネーブルにします。

sfp-config-mismatch

SFP 設定の不一致でエラー検出をイネーブルにします。

 
コマンド デフォルト

検出はすべての原因に対してイネーブルです。すべての原因(VLAN 単位の errordisable を除く)により、ポート全体をシャットダウンするよう設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(20)SE

arp-inspection キーワードが追加されました。

12.2(25)SE

l2ptguard キーワードが追加されました。

12.2(37)SE

VLAN ごとのエラー検出機能が追加されました。 inline-power キーワードおよび sfp-config-mismatch キーワードが追加されました。

12.2(46)SE

security-violation shutdown vlan キーワードが追加されました。

 
使用上のガイドライン

原因(link-flap、 dhcp-rate-limit など)は、errdisable ステートが発生した理由です。原因がポートで検出された場合、ポートは errdisable ステート(リンクダウン ステートに類似した動作ステート)となります。

ポートが errdisable になっているときは事実上シャットダウンし、トラフィックはポートで送受信されません。BPDU 機能、音声対応 802.1x セキュリティ機能、ガード機能、およびポートセキュリティ機能の場合は、違反の発生時にポート全体をシャットダウンする代わりに、ポートで問題となっている VLAN のみをシャットダウンするようにスイッチを設定できます。

原因に対して errdisable recovery グローバル コンフィギュレーション コマンドを入力し、原因の回復メカニズムが設定されている場合は、すべての原因がタイムアウトになった時点で、ポートは errdisable ステートから抜け出し、動作を再試行できます。回復メカニズムが設定されていない場合は、手動でポートを errdisable ステートから回復するために、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力する必要があります。

次の例では、リンクフラップ errdisable 原因の errdisable 検出をイネーブルにする方法を示します。

Switch(config)# errdisable detect cause link-flap
 

次のコマンドでは、VLAN ごとの errdisable で BPDU ガードをグローバルに設定する方法を示します。

Switch(config)# errdisable detect cause bpduguard shutdown vlan
 

次のコマンドでは、音声対応 802.1x セキュリティを VLAN ごとにグローバルに errordisable に設定する方法を示します。

Switch(config)# errdisable detect cause security-violation shutdown vlan
 

設定を確認するには、 show errdisable detect 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show errdisable detect

errdisable 検出情報を表示します。

show interfaces status err-disabled

インターフェイスのステータスまたは errdisable ステートにあるインターフェイスのリストを表示します。

clear errdisable interface

VLAN ごとの errdisable 機能によって errdisable になったポートまたは VLAN から errdisable ステートを消去します。

errdisable detect cause small-frame

着信 VLAN タグ付きパケットが小さなフレーム(67 バイト以下)かつ最小設定レート(しきい値)で着信する場合にスイッチ ポートを errordisable にするには、errdisable detect cause small-frame グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable detect cause small-frame

no errdisable detect cause small-frame

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(44)SE

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、小さなフレームの着信機能をグローバルにイネーブルにします。ポートごとにしきい値を設定するには、small violation-rate インターフェイス コンフィギュレーション コマンドを使用します。

errdisable recovery cause small-frame グローバル コンフィギュレーション コマンドを使用して、ポートを自動的に再イネーブルにするよう設定できます。errdisable recovery interval グローバル コンフィギュレーション コマンド を使用して、リカバリ時間を設定します。

次の例では、小さな着信フレームが設定されたしきい値で着信した場合にスイッチ ポートを errordisable にできる方法を示します。

Switch(config)# errdisable detect cause small-frame
 

設定を確認するには、show interfaces 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

errdisable recovery cause small-frame

リカバリ タイマーをイネーブルにします。

errdisable recovery interval interval

指定された errdisable ステートから回復する時間を指定します。

show interfaces

入出力フロー制御を含む、スイッチのインターフェイス設定を表示します。

small violation-rate

ポートを errordisable ステートにする小さな着信パケットのレート(しきい値)を設定します。

errdisable recovery cause small-frame

小さなフレームの着信によりポートが errordisable になったあと、ポートを自動的に再イネーブルにするリカバリ タイマーをイネーブルにするには、スイッチで errdisable recovery cause small-frame グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable recovery cause small-frame

no errdisable recovery cause small-frame

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(44)SE

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、errordisable であるポートのリカバリ タイマーをイネーブルにします。errdisable recovery interval interval インターフェイス コンフィギュレーション コマンド を使用して、リカバリ時間を設定します。

次の例では、リカバリ タイマーを設定する方法を示します。

Switch(config)# errdisable recovery cause small-frame
 

設定を確認するには、show interfaces ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

errdisable detect cause small-frame

着信フレームが設定された最小サイズよりも小さく、指定のレート(しきい値)で着信する場合、スイッチ ポートを errordisable ステートにできます。

show interfaces

入出力フロー制御を含む、スイッチのインターフェイス設定を表示します。

small violation-rate

ポートを errordisable ステートにする(小さな)着信フレームのサイズを設定します。

 

errdisable recovery

回復メカニズム変数を設定するには、 errdisable recovery グローバル コンフィギュレーション コマンドを設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | sfp-mismatch | udld | vmps } | { interval interval }

no errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | sfp-mismatch | udld | vmps } | { interval interval }

 
構文の説明

cause

特定の原因から回復するように errdisable メカニズムをイネーブルにします。

all

すべての errdisable の原因から回復するタイマーをイネーブルにします。

bpduguard

ブリッジ プロトコル データ ユニット(BPDU)ガード errdisable ステートから回復するタイマーをイネーブルにします。

arp-inspection

アドレス解決プロトコル(ARP)検査による errdisable ステートから回復するためのタイマーをイネーブルにします。

channel-misconfig

EtherChannel の設定矛盾による errdisable ステートから回復するタイマーをイネーブルにします。

dhcp-rate-limit

DHCP スヌーピング errdisable ステートから回復するタイマーをイネーブルにします。

dtp-flap

ダイナミック トランキング プロトコル(DTP)フラップ errdisable ステートから回復するタイマーをイネーブルにします。

gbic-invalid

無効なギガビット インターフェイス コンバータ(GBIC)モジュールの errdisable ステートから回復するタイマーをイネーブルにします。

(注) このエラーは無効な Small Form-Factor Pluggable(SFP)の errdisable ステートを意味します。

inline-power

インライン パワーに対し、エラー検出をイネーブルにします。

l2ptguard

レイヤ 2 プロトコル トンネルによる errdisable ステートから回復するためのタイマーをイネーブルにします。

link-flap

リンクフラップ errdisable ステートから回復するタイマーをイネーブルにします。

loopback

ループバック errdisable ステートから回復するタイマーをイネーブルにします。

pagp-flap

ポート集約プロトコル(PAgP)フラップ errdisable ステートから回復するタイマーをイネーブルにします。

psecure-violation

ポート セキュリティ違反ディセーブル ステートから回復するタイマーをイネーブルにします。

security-violation

IEEE 802.1x 違反ディセーブル ステートから回復するタイマーをイネーブルにします。

sfp-mismatch

SFP 設定の不一致でエラー検出をイネーブルにします。

udld

UniDirectional Link Detection(UDLD; 単方向リンク検出)errdisable ステートから回復するタイマーをイネーブルにします。

vmps

VLAN メンバシップ ポリシー サーバ(VMPS)errdisable ステートから回復するタイマーをイネーブルにします。

interval interval

指定された errdisable ステートから回復する時間を指定します。指定できる範囲は 30 ~ 86400 秒です。すべての原因に同じ間隔が適用されます。デフォルト間隔は 300 秒です。

(注) errdisable 回復タイマーの開始時には、設定された間隔値からランダムな誤差があります。実際のタイムアウト値と設定された値の差は、設定された間隔の 15 % まで認められます。

 
デフォルト

すべての原因に対して回復はディセーブルです。

デフォルトの回復間隔は 300 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(18)SE

channel-misconfig キーワードが追加されました。

12.2(20)SE

arp-inspection キーワードが追加されました。

12.2(25)SE

l2ptguard キーワードが追加されました。

12.2(37)SE

VLAN ごとのエラー検出機能が追加されました。inline-power キーワードおよび sfp-mismatch キーワードが追加されました。

 
使用上のガイドライン

原因( link-flap bpduguard など)は、errdisable ステートが発生した理由として定義されます。原因がポートで検出された場合、ポートは errdisable ステート(リンクダウン ステートに類似した動作ステート)となります。

ポートが errdisable になっているときは事実上シャットダウンし、トラフィックはポートで送受信されません。BPDU ガード機能およびポートセキュリティ機能の場合は、違反の発生時にポート全体をシャットダウンする代わりに、ポートで問題となっている VLAN のみをシャットダウンするようにスイッチを設定できます。

その原因に対して errdisable の回復をイネーブルにしない場合、ポートは、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドが入力されるまで errdisable ステートのままです。原因の回復をイネーブルにした場合、ポートは errdisable ステートから回復し、すべての原因がタイムアウトになったときに処理を再開できるようになります。

原因の回復をイネーブルにしない場合、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力して、手動でポートを errdisable ステートから回復させる必要があります。

次の例では、BPDU ガード errdisable 原因に対して回復タイマーをイネーブルにする方法を示します。

Switch(config)# errdisable recovery cause bpduguard
 

次の例では、タイマーを 500 秒に設定する方法を示します。

Switch(config)# errdisable recovery interval 500
 

設定を確認するには、 show errdisable recovery 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show errdisable recovery

errdisable 回復タイマーの情報を表示します。

show interfaces status err-disabled

インターフェイスのステータスまたは errdisable ステートにあるインターフェイスのリストを表示します。

clear errdisable interface

VLAN ごとの errdisable 機能によって errdisable になったポートまたは VLAN から errdisable ステートを消去します。

 

exception crashinfo

Cisco IOS イメージのエラー時にスイッチで拡張クラッシュ情報ファイルが作成されるよう設定するには、 exception crashinfo グローバル コンフィギュレーション コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

exception crashinfo

no exception crashinfo

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

スイッチが拡張 crashinfo ファイルを作成します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEC

このコマンドが追加されました。

 
使用上のガイドライン

基本 crashinfo ファイルには、失敗した Cisco IOS のイメージ名とバージョン、およびプロセッサ レジスタのリストが含まれます。拡張 crashinfo ファイルには、スイッチの障害の原因を判別するのに役立つその他の追加情報が含まれます。

スイッチが拡張 crashinfo ファイルを作成しないように設定するには、 no exception crashinfo グローバル コンフィギュレーション コマンドを使用します。

次の例では、スイッチが拡張 crashinfo ファイルを作成しないように設定する方法を示します。

Switch(config)# no exception crashinfo
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

定義されたマクロを含む現在の動作設定を表示します。

fallback profile

Web 認証用にフォールバック プロファイルを作成するには、fallback profile グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

fallback profile profile

no fallback profile

 
構文の説明

profile

IEEE 802.1x 認証をサポートしていないクライアントのフォールバック プロファイルを指定します。

 
デフォルト

フォールバック プロファイルは設定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(35)SE

このコマンドが追加されました。

 
使用上のガイドライン

フォールバック プロファイルは、サプリカントを持たない IEEE 802.1x ポートの IEEE 802.1x フォールバック動作を定義するために使用されます。サポートされる動作は、Web 認証へのフォールバックのみです。

fallback profile コマンドを入力すると、プロファイル コンフィギュレーション モードが開始され、次のコンフィギュレーション コマンドが使用可能になります。

ip:IP コンフィギュレーションを作成します。

access-group:まだ認証されていないホストによって送信されたパケットのアクセス コントロールを指定します。

admission:IP アドミッション ルールを適用します。

次の例では、Web 認証で使用されるフォールバック プロファイルの作成方法を示します。

Switch# configure terminal
Switch(config)# ip admission name rule1 proxy http
Switch(config)# fallback profile profile1
Switch(config-fallback-profile)# ip access-group default-policy in Switch(config-fallback-profile)# ip admission rule1
Switch(config-fallback-profile)# exit
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# dot1x fallback profile1
Switch(config-if)# end
 

設定を確認するには、 show running-configuration [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック メカニズムとして Web 認証を使用するようポートを設定します。

ip admission

スイッチ ポートで Web 認証をイネーブルにします。

ip admission name proxy http

スイッチで Web 認証をグローバルにイネーブルにします。

show dot1x [ interface interface-id ]

指定したポートの IEEE 802.1x ステータスを表示します。

show fallback profile

スイッチの設定済みプロファイルを表示します。

flowcontrol

インターフェイスの受信フロー制御ステート を設定するには、 flowcontrol インターフェイス コンフィギュレーション コマンドを使用します。ある装置に対して send が動作可能でオンになっていて、接続のもう一方の側で輻輳が検出された場合、休止フレームを送信することによって、リンクの相手側またはリモート装置に輻輳を通知します。ある装置に対してフロー制御 receive がオンで、休止フレームを受信した場合、データ パケットの送信は停止します。こうすることにより、輻輳期間中にデータ パケットの損失を防ぎます。

フロー制御をディセーブルにするには、 receive off キーワードを使用します。

flowcontrol receive { desired | off | on }


) スイッチは、ポーズ フレームを受信できますが、送信はできません。


 
構文の説明

receive

インターフェイスがリモート装置からフロー制御パケットを受信できるかどうかを設定します。

desired

インターフェイスを、フロー制御パケットを送信する必要がある接続装置またはフロー制御パケットを送信する必要はないが送信することのできる接続装置とともに稼動させることができます。

off

接続装置がフロー制御パケットをインターフェイスへ送信する機能をオフにします。

on

インターフェイスを、フロー制御パケットを送信する必要がある接続装置またはフロー制御パケットを送信する必要はないが送信することのできる接続装置とともに稼動させることができます。

 
デフォルト

デフォルトは、 flowcontrol receive off に設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

このスイッチでは、送信フロー制御の休止フレームはサポートされません。

on および desired キーワードは同一の結果になることに注意してください。

flowcontrol コマンドを使用してポートが輻輳中にトラフィック レートを制御するよう設定する場合、フロー制御はポート上で次の条件のうちの 1 つに設定されます。

receive on または desired ポートはポーズ フレームを送信できませんが、ポーズ フレームを送信する必要がある装置、または送信可能な接続装置と連動できます。ポートはポーズ フレームを受信できます。

receive off :フロー制御はどちらの方向にも動作しません。輻輳が生じても、リンクの相手側に通知はなく、どちら側の装置も休止フレームの送受信を行いません。

表 2-10 は、各設定の組み合わせによるローカル ポートおよびリモート ポート上のフロー制御の結果を示したものです。表は receive desired キーワードの使用時と receive on キーワードの使用時の結果が同一になることを前提としています。

 

表 2-10 フロー制御設定およびローカル/リモート ポート フロー制御解決

フロー制御設定
フロー制御解決
ローカル デバイス
リモート デバイス
ローカル デバイス
リモート デバイス

send off/receive on

send on/receive on

send on/receive off

send desired/receive on

send desired/receive off

send off/receive on

send off/receive off

受信のみ行います。

受信のみ行います。

受信のみ行います。

受信のみ行います。

受信のみ行います。

送受信を行いません。

送受信を行います。

送信のみ行います。

送受信を行います。

送信のみ行います。

受信のみ行います。

送受信を行いません。

send off/receive off

send on/receive on

send on/receive off

send desired/receive on

send desired/receive off

send off/receive on

send off/receive off

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

次の例では、リモート ポートによってフロー制御がサポートされないようにローカル ポートを設定する方法を示します。

Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# flowcontrol receive off
 

設定を確認するには、 show interfaces 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces

入出力フロー制御を含む、スイッチのインターフェイス設定を表示します。

interface port-channel

ポート チャネルの論理インターフェイスへのアクセス、または作成を行うには 、 interface port-channel グローバル コンフィギュレーション コマンドを使用します。ポート チャネルを削除する場合は、このコマンドの no 形式を使用します。

interface port-channel port - channel-number

no interface port-channel port - channel-number

 
構文の説明

port-channel-number

ポート チャネル番号。指定できる範囲は 1 ~ 48です。

 
デフォルト

ポート チャネル論理インターフェイスは定義されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

12.2(25)SE

port - channel -number 範囲が 1 ~ 12 から 1 ~ 48 に変更されました。

 
使用上のガイドライン

レイヤ 2 EtherChannel では、物理ポートをチャネル グループに割り当てる前にポートチャネル インターフェイスを作成する必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。チャネル グループが最初の物理ポートを獲得すると、ポートチャネル インターフェイスは自動的に作成されます。最初にポートチャネル インターフェイスを作成する場合は、 channel-group-number port - channel-number と同じ番号にしても、新しい番号にしてもかまいません。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポート チャネルを作成します。

interface port-channel コマンドの次に no switchport インターフェイス コンフィギュレーション コマンドを使用して、レイヤ 3 のポート チャネルを作成できます。インターフェイスをチャネル グループに適用する前に、ポートチャネルの論理インターフェイスを手動で設定してください。

チャネル グループ内の 1 つのポート チャネルだけが許可されます。


注意 ポート チャネル インターフェイスをルーテッド ポートとして使用する場合、チャネル グループに割り当てられた物理ポート上のレイヤ 3 に、アドレスを割り当てないようにしてください。


注意 レイヤ 3 のポート チャネル インターフェイスとして使用されているチャネル グループの物理ポート上で、ブリッジ グループを割り当てることは、ループ発生の原因になるため行わないようにしてください。スパニング ツリーもディセーブルにする必要があります。

interface port-channel コマンドを使用する場合は、次の注意事項に従ってください。

Cisco Discovery Protocol(CDP; シスコ検出プロトコル)を使用する場合には、物理ポートのみでこれを設定してください。ポート チャネル インターフェイスでは設定できません。

EtherChannel のアクティブ メンバーであるポートを IEEE 802.1x ポートとして設定しないでください。まだアクティブになっていない EtherChannel のポートで IEEE 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。

設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。

次の例では、ポート チャネル番号 5 でポートチャネル インターフェイスを作成する方法を示します。

Switch(config)# interface port-channel 5
 

設定を確認するには、 show running-config 特権 EXEC コマンドまたは show etherchannel channel-group-number detail 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

show etherchannel

チャネルの EtherChannel 情報を表示します。

show running-config

現在の動作設定を表示します。

interface range

インターフェイス レンジ コンフィギュレーション モードの開始、および複数のポートでコマンドを同時に実行するには、 interface range グローバル コンフィギュレーション コマンドを使用します。インターフェイス範囲を削除する場合は、このコマンドの no 形式を使用します。

interface range { port-range | macro name }

no interface range { port-range | macro name }

 
構文の説明

port-range

ポート範囲。 port-range の有効値のリストについては、「使用上のガイドライン」を参照してください。

macro name

マクロ名を指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス範囲コンフィギュレーション モードを開始して入力した、すべてのインターフェイスのパラメータは、その範囲内のすべてのインターフェイスに対する属性になります。

VLAN については、既存の VLAN Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)でだけ interface range コマンドを使用できます。VLAN の SVI を表示する場合は、 show running-config 特権 EXEC コマンドを入力します。表示されない VLAN は、 interface range コマンドで使用することはできません。 interface range コマンドのもとで入力したコマンドは、この範囲のすべての既存の VLAN SVI に適用されます。

あるインターフェイス範囲に対して行われた設定変更は、すべて NVRAM(不揮発性 RAM)に保存されますが、 インターフェイス範囲 自体は NVRAM に保存されません。

インターフェイス範囲は 2 つの方法で入力できます。

最大 5 つまでのインターフェイス範囲を指定。

定義済みのインターフェイス範囲マクロ設定を指定。

範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、各範囲をカンマ(,)で区切ることにより、1 つのコマンドで最大 5 つのインターフェイス範囲を定義できます。

port-range タイプおよびインターフェイスの有効値は次のとおりです。

vlan vlan-ID - vlan-ID (vlan ID の範囲は 1 ~ 4094)

fastethernet module/{ first port } - { last port }(module は常に 0

gigabitethernet module/{ first port } - { last port }(module は常に 0

物理インターフェイス

モジュールは常に 0 です。

指定できる範囲は、type 0/number - number です(例:gigabitethernet0/1 - 2)。

port-channel port-channel-number - port-channel-number port-channel-number は 1 ~ 48 です。


) ポート チャネルの interface range コマンドを使用した場合、範囲内の最初と最後のポート チャネル番号はアクティブなポート チャネルである必要があります。


範囲を定義するときは、最初の入力とハイフン(-)の間にスペースが必要です。

interface range gigabitethernet0/1 -2
 

複数の範囲を定義するときは、最初のエントリとカンマ(,)の間にスペースが必要です。

interface range fastethernet0/1 - 2, gigabitethernet0/1 - 2
 

同じコマンドでマクロとインターフェイス範囲の両方を指定することはできません。

また、 port-range で単一インターフェイスを指定することもできます。つまりこのコマンドは、 interface interface-id グローバル コンフィギュレーション コマンドに類似しています。

インターフェイスの範囲の設定に関する詳細は、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、 interface range コマンドを使用して、インターフェイス範囲コンフィギュレーション モードを開始し、2 つのポートにコマンドを入力する方法を示します。

Switch(config)# interface range gigabitethernet0/1 - 2
 

次の例では、同じ機能に対して 1 つのポート範囲マクロ macro1 を使用する方法を示します。この利点は、 macro1 を削除するまで再利用できることです。

Switch(config)# define interface-range macro1 gigabitethernet0/1 - 2
Switch(config)# interface range macro macro1
Switch(config-if-range)#

 
関連コマンド

コマンド
説明

define interface-range

インターフェイス範囲のマクロを作成します。

show running-config

スイッチで現在の動作設定情報を表示します。

interface vlan

動的な Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)を作成、またはこれにアクセスし、インターフェイス コンフィギュレーション モードを開始するには、 interface vlan グローバル コンフィギュレーション コマンドを使用します。SVI を削除するには、このコマンドの no 形式を使用します。

interface vlan vlan-id

no interface vlan vlan-id

 
構文の説明

vlan-id

VLAN 番号 指定できる範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトの VLAN インターフェイスは VLAN 1 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

SVI は、特定の VLAN に対して、初めて interface vlan vlan-id コマンドを入力したときに作成されます。 vlan-id は、Inter Switch Link(ISL; スイッチ間リンク)または IEEE 802.1Q カプセル化トランクのデータ フレームに関連付けられた VLAN タグ、またはアクセス ポートに設定された VLAN ID に相当します。


) 物理ポートと関連付けられていない場合、SVI を作成してもアクティブにはなりません。


no interface vlan vlan -id コマンドで SVI を削除すると、削除されたインターフェイスは、それ以降、 show interfaces 特権 EXEC コマンドの出力には表示されません。


) VLAN 1 インターフェイスを削除することはできません。


削除した SVI は、削除したインターフェイスに対して interface vlan vlan-id コマンドを入力することで、元に戻すことができます。インターフェイスはバックアップとなりますが、それまでの設定は削除されます。

スイッチ上で設定された SVI の数と、設定された他の機能の数の相互関係によっては、ハードウェア制限により、CPU 使用率に影響がでる可能性もあります。 sdm prefer グローバル コンフィギュレーション コマンドを使用し、システムのハードウェア リソースを、テンプレートおよび機能テーブルに基づいて再度割り当てることができます。詳細については、 sdm prefer コマンドを参照してください。

次の例では、VLAN ID 23 の新しい SVI を作成し、インターフェイス コンフィギュレーション モードを開始する方法を示します。

Switch(config)# interface vlan 23
Switch(config-if)#
 

設定を確認するには、 show interfaces

および show interfaces vlan vlan-id 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces vlan vlan-id

すべてのインターフェイスまたは指定の VLAN の管理ステータスおよび動作ステータスを表示します。

ip access-group

レイヤ 2 またはレイヤ 3 インターフェイスへのアクセスを制御するには、 ip access-group インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスからすべてまたは指定のアクセス グループを削除するには、このコマンドの no 形式を使用します。

ip access-group { access-list-number | name } { in | out }

no ip access-group [ access-list-number | name ] { in | out }

 
構文の説明

access-list-number

IP アクセス コントロール リスト(ACL)の番号です。指定できる範囲は、1 ~ 199 または 1300 ~ 2699 です。

name

ip access-list グローバル コンフィギュレーション コマンドで指定された IP ACL 名です。

in

入力パケットに対するフィルタリングを指定します。

out

発信パケットに対するフィルタリングを指定します。このキーワードは、レイヤ 3 インターフェイス上でのみ有効です。

 
デフォルト

アクセス リストは、インターフェイスには適用されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(19)EA1

このコマンドが追加されました。

 
使用上のガイドライン

名前付きまたは番号付きの標準/拡張 IP アクセス リストをインターフェイスに適用できます。名前を付けてアクセス リストを定義するには、 ip access-list グローバル コンフィギュレーション コマンドを使用します。番号付きアクセス リストを定義するには、 access list グローバル コンフィギュレーション コマンドを使用します。1 ~ 99 および 1300 ~ 1999 の範囲の番号付き標準アクセス リスト、または 100 ~ 199 および 2000 ~ 2699 の範囲の番号付き拡張アクセス リストを使用できます。

このコマンドを使用し、アクセス リストをレイヤ 2 またはレイヤ 3 のインターフェイスに適用できます。ただし、レイヤ 2 インターフェイス(ポート ACL)には、次のような制限があることに注意してください。

レイヤ 2 ポートへの ACL は、受信方向に対してのみ適用できます。

インターフェイスごとに 1 つの IP ACL と 1 つの MAC(メディア アクセス制御)ACL のみを適用できます。

レイヤ 2 のインターフェイスはロギングをサポートしていません。 log キーワードが IP ACL で指定された場合、無視されます。

レイヤ 2 のインターフェイスに適用された IP ACL は、IP パケットのみをフィルタにかけます。非 IP パケットをフィルタリングするには、MAC 拡張 ACL とともに mac access-group インターフェイス コンフィギュレーション コマンドを使用します。

ユーザは同一のスイッチ上で、ルータ ACL、入力ポート ACL、VLAN マップを使用できます。ただし、ポートの ACL は、ルータの ACL または VLAN マップより優先されます。

入力ポートの ACL がインターフェイスに適用され、さらにインターフェイスがメンバーとなっている VLAN に VLAN マップが適用された場合、ACL のポート上で受信した着信パケットは、そのポート ACL でフィルタリングされます。その他のパケットは、VLAN マップによってフィルタリングされます。

入力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。他のポートで受信した着信のルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

出力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。発信するルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

VLAN マップ、入力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタのみが適用されます。他のポートで受信した着信のルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタのみ適用されます。

VLAN マップ、出力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタのみが適用されます。発信するルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタのみ適用されます。

IP ACL は、送信側と受信側のレイヤ 3 インターフェイスの両方に適用できます。

レイヤ 3 のインターフェイスでは、IP の ACL を各方向に 1 つ適用できます。

VLAN インターフェイス上の各方向(入力および出力)に VLAN マップおよびルータの ACL を 1 つずつのみ設定できます。

標準入力アクセス リストでは、スイッチは、パケットを受信すると、パケットの送信元アドレスをアクセス リストに比較して検査します。IP 拡張アクセス リストでは、任意で、宛先 IP アドレス、プロトコル タイプ、ポート番号などのパケット内の他のフィールドを検査できます。アクセス リストがパケットを許可する場合に、スイッチはパケットの処理を続行します。アクセス リストがパケットを拒否する場合は、スイッチはそのパケットをドロップします。アクセス リストがレイヤ 3 のインターフェイスに適用された場合、パケットのドロップにともない(デフォルト設定)、インターネット制御メッセージ プロトコル(ICMP)の Host Unreachable のメッセージが生成されます。ICMP Host Unreachable メッセージは、レイヤ 2 インターフェイスでドロップされたパケットに対しては生成されません。

通常の発信アクセス リストでは、パケットを受信して、それを制御されたインターフェイスへ送信したあと、スイッチがアクセス リストと照合することでパケットを確認します。アクセス リストがパケットを許可した場合、スイッチはパケットを送信します。アクセス リストがパケットを拒否した場合、スイッチはパケットをドロップし、デフォルトの設定では、ICMP Host Unreachable メッセージが生成されます。

指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。

次の例では、ポートの入力パケットに IP アクセス リスト 101 を適用する方法を示します。

Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ip access-group 101 in
 

設定を確認するには、 show ip interface, show access-lists, または show ip access-lists 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

access list

番号付き ACL を設定します。

ip access-list

名前付き ACL を設定します。

show access-lists

スイッチで設定された ACL を表示します。

show ip access-lists

スイッチで設定された IP ACL を表示します。

show ip interface

インターフェイスのステータスと設定に関する情報を表示します。

ip address

レイヤ 2 スイッチの IP アドレス、またはレイヤ 3 スイッチの各スイッチ仮想インターフェイス(SVI)またはルーテッド ポートの IP アドレスを設定するには、 ip address インターフェイス コンフィギュレーション コマンドを使用します。IP アドレスを削除したり、IP 処理をディセーブルにしたりするには、このコマンドの no 形式を使用します。

ip address ip-address subnet-mask [ secondary ]

no ip address [ ip-address subnet-mask ] [ secondary ]

 
構文の説明

ip-address

IP アドレス

subnet-mask

関連する IP サブネットのマスク

secondary

(任意)設定されたアドレスをセカンダリ IP アドレスに指定します。このキーワードが省略された場合、設定されたアドレスはプライマリ IP アドレスになります。

 
デフォルト

IP アドレスは定義されていません。