Catalyst 6500 シリーズ スイッチ ソフトウェア コンフィギュレーション ガイド Software Release 8.4
コンフィギュレーション ファイルの操 作
コンフィギュレーション ファイルの操作
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

コンフィギュレーション ファイルの操作

スイッチ上でのコンフィギュレーション ファイルの操作

コンフィギュレーション ファイルの作成および使用上の注意事項

コンフィギュレーション ファイルの作成

TFTPによるコンフィギュレーション ファイルのスイッチへのダウンロード

TFTPによるコンフィギュレーション ファイルのダウンロードの準備

TFTPサーバ上のファイルを使用したスイッチの設定

フラッシュ デバイス上のファイルを使用したスイッチの設定

TFTPサーバへのコンフィギュレーション ファイルのアップロード

TFTPサーバへのコンフィギュレーション ファイルのアップロードの準備

TFTPサーバへのコンフィギュレーション ファイルのアップロード

SCPまたはRCPを使用したコンフィギュレーションファイルのコピー

RCPの概要

SCPの概要

RCPまたはSCPサーバからのコンフィギュレーション ファイルのダウンロード

RCPまたはSCPによるコンフィギュレーション ファイルのダウンロードの準備

RCPまたはSCPサーバ上のファイルを使用したスイッチの設定

RCPまたはSCPサーバへのコンフィギュレーション ファイルのアップロード

RCPまたはSCPサーバへのコンフィギュレーション ファイルのアップロードの準備

RCPまたはSCPサーバへのコンフィギュレーション ファイルのアップロード

設定の消去

コンフィギュレーション ファイルの比較

コンフィギュレーション ロールバック用のコンフィギュレーション チェックポイント ファイルの作成

MSFC上でのコンフィギュレーション ファイルの操作

TFTPサーバへのコンフィギュレーション ファイルのアップロード

スーパバイザ エンジンのフラッシュPCカードへのコンフィギュレーション ファイルのアップロード

リモート ホストからのコンフィギュレーション ファイルのダウンロード

スーパバイザ エンジンのフラッシュPCカードからのコンフィギュレーション ファイルのダウンロード

プロファイル ファイルの操作

プロファイル ファイルの作成

コンフィギュレーション ファイルの操作

この章では、Catalyst 6500シリーズ スイッチ上でのスイッチ コンフィギュレーション ファイルの操作方法について説明します。


) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。



) フラッシュ デバイス名(slot0:など)はスーパバイザ エンジンのタイプによって変わります。詳細については、「フラッシュ ファイル システムの機能」を参照してください。


この章で説明する内容は、次のとおりです。

「スイッチ上でのコンフィギュレーション ファイルの操作」

「MSFC上でのコンフィギュレーション ファイルの操作」

スイッチ上でのコンフィギュレーション ファイルの操作

ここでは、スイッチ上でのコンフィギュレーション ファイルの操作方法について説明します。

「コンフィギュレーション ファイルの作成および使用上の注意事項」

「コンフィギュレーション ファイルの作成」

「TFTPによるコンフィギュレーション ファイルのスイッチへのダウンロード」

「TFTPサーバへのコンフィギュレーション ファイルのアップロード」

「SCPまたはRCPを使用したコンフィギュレーションファイルのコピー」

「RCPまたはSCPサーバからのコンフィギュレーション ファイルのダウンロード」

「RCPまたはSCPサーバへのコンフィギュレーション ファイルのアップロード」

「設定の消去」

「コンフィギュレーション ファイルの比較」

「コンフィギュレーション ロールバック用のコンフィギュレーション チェックポイント ファイルの作成」


) フラッシュ ファイル システムでのコンフィギュレーション ファイルの操作については、第24章「フラッシュ ファイル システムの使用」を参照してください。


コンフィギュレーション ファイルの作成および使用上の注意事項

コンフィギュレーション ファイルを作成することにより、各スイッチの設定が容易になります。コンフィギュレーション ファイルには、1台または複数のスイッチの設定に必要な一部またはすべてのコマンドを登録することができます。たとえば、同じハードウェア構成の複数のスイッチに同じコンフィギュレーション ファイルをダウンロードすることにより、モジュールおよびポートを同じ設定にできます。

ここでは、コンフィギュレーション ファイル作成時の注意事項について説明します。

コンフィギュレーション ファイルを使用してスイッチを設定する場合、コンソール ポートから接続することを推奨します。Telnetセッションによる接続では、スイッチの設定時にIPアドレスを変更できません。また、ポートおよびモジュールをディセーブルにできません。

スイッチにパスワードを設定していない場合、 set password および set enablepass コマンドを入力して、各スイッチにパスワードを設定する必要があります。 set password および set enablepass コマンドの後ろに空白行を作成してください。パスワードが空テキストとしてコンフィギュレーション ファイルに保存されます。

すでにパスワードを設定している場合は、 set password および set enablepass コマンドは入力できません。パスワード検証エラーになるためです。コンフィギュレーション ファイルにパスワードを入力すると、ファイルの実行時に、パスワードが誤ってコマンドとして実行されます。

コンフィギュレーション ファイルに指定するコマンドによっては、コマンドの後ろに空白行を入力する必要があります。空白行を入力しないと、これらのコマンドによってTelnetセッションが切断される可能性があります。セッションを切断する前に、スイッチから確認を求めるプロンプトが出されます。空白行は、CR(復帰)の役割を果たすので、プロンプトに対する否定応答となり、Telnetセッションを継続することができます。

コンフィギュレーション ファイルに次のコマンドを指定する場合は、各コマンドを入力するたびに、空白行を挿入してください。

set interface sc0 ip_addr netmask

set interface sc0 disable

set module disable mod

set port disable mod/port

コンフィギュレーション ファイルの作成

コンフィギュレーション ファイルを作成する場合には、システムが正しく応答できるように、論理的な順序でコマンドを指定する必要があります。コンフィギュレーション ファイルを作成するには、次の手順を実行します。


ステップ 1 スイッチから既存の設定をダウンロードします。

ステップ 2 UNIXのviまたはemacs、PCのメモ帳などのテキスト エディタで、コンフィギュレーション ファイルを開きます。

ステップ 3 コンフィギュレーション ファイルから必要なコマンドの部分を抜き出し、新しいファイルとして保存します。ファイルの先頭に独立した行として begin 、ファイルの末尾に end を指定する必要があります。

ステップ 4 ワークステーションの適切なTrivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)ディレクトリ(UNIXワークステーション上の / tftpboot)に、新しいコンフィギュレーション ファイルをコピーします。

ステップ 5 ファイルに対する許可がworld-readに設定されていることを確認します。


 

次に、コンフィギュレーション ファイルの例を示します。このファイルを使用して、複数のスイッチにDomain Name System(DNS;ドメイン ネーム システム)を設定できます。

begin
 
!
#dns
set ip dns server 172.16.10.70 primary
set ip dns server 172.16.10.140
set ip dns enable
set ip dns domain corp.com
end

TFTPによるコンフィギュレーション ファイルのスイッチへのダウンロード

各スイッチは、作成したコンフィギュレーション ファイルを使用して設定することも、別のスイッチからコンフィギュレーション ファイルをダウンロードして設定することもできます。また、フラッシュ ファイル システムをサポートしているハードウェア上のフラッシュ デバイスにコンフィギュレーション ファイルを保存しておき、フラッシュ デバイス上のコンフィギュレーション ファイルを使用してスイッチを設定することもできます。

ここでは、TFTPサーバからダウンロードしたコンフィギュレーション ファイル、またはフラッシュ デバイス上のコンフィギュレーション ファイルを使用して、スイッチを設定する手順について説明します。

「TFTPによるコンフィギュレーション ファイルのダウンロードの準備」

「TFTPサーバ上のファイルを使用したスイッチの設定」

「フラッシュ デバイス上のファイルを使用したスイッチの設定」

TFTPによるコンフィギュレーション ファイルのダウンロードの準備

TFTPを使用してコンフィギュレーション ファイルをダウンロードする前に、次の作業が必要です。

TFTPサーバとして動作するワークステーションが、正しく設定されていることを確認します。Sunワークステーション上で、/etc/inetd.confファイルに次の行が含まれていることを確認します。

tftp dgram udp wait root /usr/etc/in.tftpd in.tftpd -p -s /tftpboot
 

/etc/servicesファイルに次の行が含まれていることを確認します。

tftp 69/udp

) /etc/inetd.confファイルおよび/etc/servicesファイルを変更したあとで、inetdデーモンを再起動する必要があります。デーモンを再起動するには、inetdプロセスをいったん中止してから再起動するか、fastbootコマンド(SunOS 4.x)またはrebootコマンド(Solaris 2.xまたはSunOS 5.x)を入力します。TFTPデーモンの詳しい使用手順については、使用しているワークステーションのマニュアルを参照してください。


スイッチにTFTPサーバへのルートが設定されていることを確認します。サブネット間でトラフィックをルーティングするルータを設定していない場合、スイッチとTFTPサーバは同じサブネットに置かれていなければなりません。 ping コマンドを使用して、TFTPサーバに接続できるかどうかを確認してください。

ダウンロードするコンフィギュレーション ファイルが、TFTPサーバの正しいディレクトリ(UNIXワークステーションでは / tftpboot)に存在していることを確認します。

ファイルに対する許可が正しく設定されていることを確認します。ファイルの許可はworld-readに設定されていなければなりません。

TFTPサーバ上のファイルを使用したスイッチの設定

TFTPサーバからダウンロードしたコンフィギュレーション ファイルを使用してスイッチを設定するには、次の手順を実行します。


ステップ 1 コンフィギュレーション ファイルをワークステーション上の適切なTFTPディレクトリにコピーします。

ステップ 2 コンソール ポートまたはTelnetセッションを使用して、スイッチにログインします。

ステップ 3 copy tftp config コマンドを入力し、TFTPサーバからダウンロードしたコンフィギュレーション ファイルを使用してスイッチを設定します。TFTPサーバのIPアドレスまたはホスト名、およびダウンロードするファイル名を指定します。

コンフィギュレーション ファイルがダウンロードされ、ファイルの各行に指定されているコマンドが、順に実行されます。


 

次に、TFTPサーバからダウンロードしたコンフィギュレーション ファイルを使用してスイッチを設定する例を示します。

Console> (enable) copy tftp config
IP address or name of remote host []? 172.20.52.3
Name of file to copy from []? dns-config.cfg
 
Configure using tftp:dns-config.cfg (y/n) [n]? y
/
Finished network download. (134 bytes)
>>
>> set ip dns server 172.16.10.70 primary
172.16.10.70 added to DNS server table as primary server.
>> set ip dns server 172.16.10.140
172.16.10.140 added to DNS server table as backup server.
>> set ip dns enable
DNS is enabled
>> set ip dns domain corp.com
Default DNS domain name set to corp.com
Console> (enable)

フラッシュ デバイス上のファイルを使用したスイッチの設定

フラッシュ デバイス上のフラッシュ ファイル システムに保存されているコンフィギュレーション ファイルを使用してスイッチを設定するには、次の手順を実行します。


ステップ 1 コンソール ポートまたはTelnetセッションを使用して、スイッチにログインします。

ステップ 2 cd および dir コマンドを使用して、コンフィギュレーション ファイルを検索します(詳細については、 第24章「フラッシュ ファイル システムの使用」 を参照)。

ステップ 3 copy file-id config コマンドを使用し、フラッシュ デバイスに保存されているコンフィギュレーション ファイルを使用してスイッチを設定します。

ファイルが行単位で読み取られ、指定されているコマンドが実行されます。


 

次に、フラッシュ デバイスに保存されているコンフィギュレーション ファイルを使用してスイッチを設定する例を示します。

Console> (enable) copy slot0:dns-config.cfg config
 
Configure using slot0:dns-config.cfg (y/n) [n]? y
 
Finished network download. (134 bytes)
>>
>> set ip dns server 172.16.10.70 primary
172.16.10.70 added to DNS server table as primary server.
>> set ip dns server 172.16.10.140
172.16.10.140 added to DNS server table as backup server.
>> set ip dns enable
DNS is enabled
>> set ip dns domain corp.com
Default DNS domain name set to corp.com
Console> (enable)

TFTPサーバへのコンフィギュレーション ファイルのアップロード

ここでは、実行コンフィギュレーションまたはフラッシュ デバイスに保存されているコンフィギュレーション ファイルを、TFTPサーバにアップロードする手順について説明します。

「TFTPサーバへのコンフィギュレーション ファイルのアップロードの準備」

「TFTPサーバへのコンフィギュレーション ファイルのアップロード」

TFTPサーバへのコンフィギュレーション ファイルのアップロードの準備

TFTPサーバにコンフィギュレーション ファイルをアップロードする前に、次の作業が必要です。

TFTPサーバとして動作するワークステーションが、正しく設定されていることを確認します。Sunワークステーション上で、/etc/inetd.confファイルに次の行が含まれていることを確認します。

tftp dgram udp wait root /usr/etc/in.tftpd in.tftpd -p -s /tftpboot
 

/etc/servicesファイルに次の行が含まれていることを確認します。

tftp 69/udp

) /etc/inetd.confファイルおよび/etc/servicesファイルを変更したあとで、inetdデーモンを再起動する必要があります。デーモンを再起動するには、inetdプロセスをいったん中止してから再起動するか、fastbootコマンド(SunOS 4.x)またはrebootコマンド(Solaris 2.xまたはSunOS 5.x)を入力します。TFTPデーモンの詳しい使用手順については、使用しているワークステーションのマニュアルを参照してください。


スイッチにTFTPサーバへのルートが設定されていることを確認します。サブネット間でトラフィックをルーティングするルータを設定していない場合、スイッチとTFTPサーバは同じサブネットに置かれていなければなりません。 ping コマンドを使用して、TFTPサーバに接続できるかどうかを確認してください。

必要に応じて、コンフィギュレーション ファイルをアップロードする前に、TFTPサーバ上に空のファイルを作成します。空のファイルを作成するには、 touch filename コマンドを入力します。 filename は、サーバにコンフィギュレーション ファイルをアップロードするときに使用するファイル名です。

既存ファイル(作成済みの空のファイルを含む)を上書きする場合は、ファイル許可が正しく設定されていることを確認します。ファイルの許可はworld-writeに設定されていなければなりません。

TFTPサーバへのコンフィギュレーション ファイルのアップロード

スイッチからTFTPサーバにコンフィギュレーション ファイルをアップロードして保存するには、次の手順を実行します。


ステップ 1 コンソール ポートまたはTelnetセッションを使用して、スイッチにログインします。

ステップ 2 copy config tftp コマンドを使用して、TFTPにスイッチ コンフィギュレーションをアップロードします。TFTPサーバのIPアドレスまたはホスト名、および宛先ファイル名を指定します。

TFTPサーバにファイルがアップロードされます。


 

次に、TFTPサーバに実行コンフィギュレーションをアップロードして保存する例を示します。

Console> (enable) copy config tftp
IP address or name of remote host []? 172.20.52.3
Name of file to copy to []? cat6000_config.cfg
 
Upload configuration to tftp:cat6000_config.cfg, (y/n) [n]? y
.....
..........
.......
 
..........
...........
..
/
Configuration has been copied successfully.
Console> (enable)

SCPまたはRCPを使用したコンフィギュレーションファイルのコピー

ここでは、SCPまたはRCPを使用してファイルをコピーする方法について説明します。

「RCPの概要」

「SCPの概要」

RCPの概要

Remote Copy Protocol(RCP)を使用して、リモート ホストとスイッチ間でコンフィギュレーションのダウンロード、アップロード、およびコピーを行うこともできます。UDPを使用するTFTPと異なり、コネクションレス プロトコルであるRCPは、コネクション型のTCPを使用します。

RCPを使用してファイルをコピーするには、ファイルのコピー先またはコピー元となるサーバがRCPをサポートしていなければなりません。RCPのcopyコマンドは、リモート システムのRemote Shell(RSH)サーバ(またはデーモン)に依存します。RCPを使用してファイルをコピーする場合、TFTPと異なり、ファイル配布用のサーバを作成する必要はありません。RSHをサポートするサーバにアクセスするだけです(大部分のUNIXシステムはRSHをサポートしています)。ある場所から別の場所へファイルをコピーするので、コピー元ファイルに対して読み取り権限、コピー先ファイルに対して書き込み権限が必要です。コピー先ファイルが存在していない場合は、RCPがユーザに代わってファイルを作成します。

SCPの概要

Secure Copy(SCP;セキュア コピー)は、暗号化イメージ ファイルのコピーを安全に行います。SCPはSecure Shell(SSH)に依存していて、暗号化チャネルを使用してシステムで暗号化ファイルをコピーできます。

RCPまたはSCPサーバからのコンフィギュレーション ファイルのダウンロード

ここでは、RCPまたはSCPサーバから実行コンフィギュレーションまたはフラッシュ デバイスに、コンフィギュレーション ファイルをダウンロードする方法について説明します。

「RCPまたはSCPによるコンフィギュレーション ファイルのダウンロードの準備」

「RCPまたはSCPサーバ上のファイルを使用したスイッチの設定」

RCPまたはSCPによるコンフィギュレーション ファイルのダウンロードの準備

RCPまたはSCPを使用してコンフィギュレーション ファイルをダウンロードする前に、次の作業が必要です。

RCPサーバとして動作するワークステーションが、RSHをサポートしていることを確認します。

SCPサーバとして動作するワークステーションが、SSHをサポートしていることを確認します。

スイッチにRCPまたはSCPサーバへのルートが設定されていることを確認します。サブネット間でトラフィックをルーティングするルータを設定していない場合、スイッチとサーバが同じサブネットに置かれていなければなりません。 ping コマンドを使用して、RCPサーバに接続できるかどうかを確認してください。

有効なユーザ名を使用しないでコンソールまたはTelnetセッション経由でスイッチにアクセスしている場合、現在のRCPユーザ名がRCPダウンロードに使用する名前であることを確認してください。show usersコマンドを入力すると、現在の有効なユーザ名を調べることができます。現在のユーザ名を使用しない場合は、set rcp usernameコマンドで新しいユーザ名を作成します。新しいユーザ名はNVRAM(不揮発性RAM)に保存されます。有効なユーザ名を使用してTelnetセッション経由でスイッチにアクセスしている場合、このユーザ名が使用されるので、RCPユーザ名を設定する必要はありません。

RCPまたはSCPサーバ上のファイルを使用したスイッチの設定

RCPまたはSCPサーバからダウンロードしたコンフィギュレーション ファイルを使用して、Catalyst 6500シリーズ スイッチを設定するには、次の手順を実行します。


ステップ 1 コンフィギュレーション ファイルをワークステーション上の適切なRCPディレクトリにコピーします。

ステップ 2 コンソール ポートまたはTelnetセッションを使用して、スイッチにログインします。SCPを使用している場合、SSHセッションを使用してログインします。

ステップ 3 copy rcp | scp config コマンドを入力し、サーバからダウンロードしたコンフィギュレーション ファイルを使用してスイッチを設定します。サーバのIPアドレスまたはホスト名、およびダウンロードするファイル名を指定します。

コンフィギュレーション ファイルがダウンロードされ、ファイルの各行に指定されているコマンドが、順に実行されます。


 

次に、サーバからダウンロードしたコンフィギュレーション ファイルを使用して、Catalyst 6500シリーズ スイッチを設定する例を示します。

Console> (enable) copy rcp config
IP address or name of remote host []? 172.20.52.3
Name of file to copy from []? dns-config.cfg
 
Configure using rcp:dns-config.cfg (y/n) [n]? y
/
Finished network download. (134 bytes)
>>
>> set ip dns server 172.16.10.70 primary
172.16.10.70 added to DNS server table as primary server.
>> set ip dns server 172.16.10.140
172.16.10.140 added to DNS server table as backup server.
>> set ip dns enable
DNS is enabled
>> set ip dns domain corp.com
Default DNS domain name set to corp.com
Console> (enable)

RCPまたはSCPサーバへのコンフィギュレーション ファイルのアップロード

ここでは、実行コンフィギュレーションまたはフラッシュ デバイスに保存されているコンフィギュレーション ファイルを、RCPまたはSCPサーバにアップロードする手順について説明します。

「RCPまたはSCPサーバへのコンフィギュレーション ファイルのアップロードの準備」

「RCPまたはSCPサーバへのコンフィギュレーション ファイルのアップロード」

RCPまたはSCPサーバへのコンフィギュレーション ファイルのアップロードの準備

RCPまたはSCPサーバにコンフィギュレーション ファイルをアップロードする前に、次の作業が必要です。

RCPまたはSCPサーバとして動作するワークステーションが、正しく設定されていることを確認します。

スイッチにRCPまたはSCPサーバへのルートが設定されていることを確認します。サブネット間でトラフィックをルーティングするルータを設定していない場合、システムとサーバが同じサブネットに置かれていなければなりません。 ping コマンドを使用して、サーバに接続できるかどうかを確認してください。

既存ファイル(作成済みの空のファイルを含む)を上書きする場合は、ファイル許可が正しく設定されていることを確認します。ファイルの許可はuser-writeに設定されていなければなりません。

RCPまたはSCPサーバへのコンフィギュレーション ファイルのアップロード

スイッチからRCPまたはSCPサーバにコンフィギュレーション ファイルをアップロードして保存するには、次の手順を実行します。


ステップ 1 コンソール ポートまたはTelnetセッションを使用して、スイッチにログインします。SCPを使用している場合、SSHセッションを使用してスイッチにログインします。

ステップ 2 copy config rcp | scp コマンドを入力して、RCPサーバにスイッチの設定をアップロードします。RCPサーバのIPアドレスまたはホスト名、および宛先ファイル名を指定します。

サーバにファイルがアップロードされます。


 

次に、RCPサーバにCatalyst 6500シリーズ スイッチの実行コンフィギュレーションをアップロードして保存する例を示します。

Console> (enable) copy config rcp
IP address or name of remote host []? 172.20.52.3
Name of file to copy to []? cat6000_config.cfg
 
Upload configuration to rcp:cat6000_config.cfg, (y/n) [n]? y
.....
..........
.......
 
..........
...........
..
/
Configuration has been copied successfully.
Console> (enable)
 

次に、SCPサーバにCatalyst 6500シリーズ スイッチの実行コンフィギュレーションをアップロードして保存する例を示します。

Console> (enable) copy scp flash scp
IP address or name of remote host []? 172.20.52.3
Name of file to copy from []? cat6000-sup720cvk9.8-3-1.bin
Username for scp[bob]?
Password for User bob[]:
CCC/
File has been copied successfully.

設定の消去

スイッチ全体の設定を消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

スイッチの設定を消去します。

clear config all

次に、スイッチ全体の設定を消去する例を示します。

Console> (enable) clear config all
This command will clear all configuration in NVRAM.
This command will cause ifIndex to be reassigned on the next system startup.
Do you want to continue (y/n) [n]? y
........
.............................
 
System configuration cleared.
Console> (enable)
 

個々のモジュールの設定を消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

特定のモジュールの設定を消去します。

clear config mod


) モジュールを取り外して、異なるタイプのモジュールに交換すると(10/100イーサネット モジュールからギガビット イーサネット モジュールに交換する場合など)、モジュールの設定の不一致が生じます。show moduleコマンドを実行すると、出力結果から問題がわかります。この不一致を解消するには、モジュール上の設定を消去する必要があります。


次に、特定のモジュールの設定を消去する例を示します。

Console> (enable) clear config 2
This command will clear module 2 configuration.
Do you want to continue (y/n) [n]? y
.............................
Module 2 configuration cleared.
Console> (enable)

コンフィギュレーション ファイルの比較

コンフィギュレーション ファイル間の違いを判断したり、システム コンフィギュレーションが変更されたかどうかをチェックするために、システムに保存されているコンフィギュレーション ファイルを比較できます。コンフィギュレーション ファイルを比較するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

コンフィギュレーション ファイル間の違いを比較します。

show config differences {all file | context val | file | ignorecase}

次に、2つの異なるコンフィギュレーション ファイルの違いを比較する例を示します。

Console> (enable) show config differences 1.cfg 2.cfg
--- bootflash:1.cfg
+++ bootflash:2.cfg
@@ -8,1 +8,1 @@
-#version 8.2(0.11-Eng)DEL
+#VERSION 8.2(0.11-eNG)del
@@ -11,1 +11,1 @@
-set config mode text auto-save interval 1
+SET CONFIG MODE TEXT AUTO-SAVE INTERVAL 1
Console> (enable)
 

次に、大文字と小文字の違いは無視してコンフィギュレーション ファイルの違いを比較する例を示します。

Console> (enable) show config differences ignorecase 1.cfg 2.cfg
Files bootflash:1.cfg and bootflash:2.cfg are identical
Console> (enable)

コンフィギュレーション ロールバック用のコンフィギュレーション チェックポイント ファイルの作成

現在のファイルによって望ましくない結果がシステムで生じる場合、現在のスイッチ コンフィギュレーション ファイルを以前に保存したコンフィギュレーション ファイル(別名、「チェックポイント」ファイル)にロール バックできます。このロールバック機能によって、1つのコマンドに複数のコンフィギュレーション「チェックポイント」ファイルを設定できます。現在のコンフィギュレーション ファイルをスイッチ上で実行したくない場合、速やかにコンフィギュレーション チェックポイント ファイルのいずれかに戻し、スイッチ機能への障害をできるだけ少なくすることができます。

コンフィギュレーション チェックポイント ファイルの作成時には、次の注意事項に従ってください。

コンフィギュレーション チェックポイント ファイルは、ファイルの作成時に指定する名前によって特定されます。コンフィギュレーション チェックポイント ファイル名は、15文字以内にする必要があります。名前を指定しない場合、システムによって名前が生成されます。システムによって生成される名前は、CKPi_MMDDYYHHMMの形式になります。「i」はチェックポイント番号を表します。

チェックポイント ファイルは、ブートフラッシュまたはslotX/diskXに保存されます。装置を指定しない場合、ファイルは現在のデフォルト装置に保存されます。

コンフィギュレーション チェックポイント ファイルは、読み取りおよび編集が可能なテキスト ファイルに保存されます。ファイルを編集しないことを強く推奨します。

チェックポイント ファイル名がシステムから消去されると、関連するコンフィギュレーション チェックポイント ファイルが削除されます。スペースを確保するために装置をスクイーズする必要があります。

システム上に最大5つのコンフィギュレーション チェックポイント ファイルを作成できます。保存されたすべてのコンフィギュレーション チェックポイント ファイルに任意の順序でロール バックできます。これらのファイルは完全なコンフィギュレーションを使用して生成されるので、相互に独立しています。

チェックポイント コンフィギュレーションはNVRAMに保存されます。 clear config all コマンドを入力した場合、コンフィギュレーションは消去されません。

この機能は、冗長スーパバイザ エンジンを搭載したシステムでサポートされています。チェックポイント コンフィギュレーション ファイルおよび関連するファイルはスタンバイ スーパバイザ エンジンに同期化されます。

コンフィギュレーション チェックポイント ファイルを作成するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

コンフィギュレーション チェックポイント ファイルを作成します。

set config checkpoint [ name name ]
[
device device ]

コンフィギュレーション チェックポイント ファイル名を確認します。

show config checkpoints

次に、コンフィギュレーション チェックポイント ファイルを作成し、作成されたことを確認する例を示します。

Console> (enable) set config checkpoint
Configuration checkpoint CKP0_0722040905 creation successful.
Console> (enable) show config checkpoints
Checkpoint File id Date
========== ======= ====
CKP0_0722040905 bootflash:CKP0_07220409058.4(0.79)COC Thu Jul 22 2000, 09:05:31
Console> (enable)
 

現在のコンフィギュレーション ファイルを以前に作成されたコンフィギュレーション チェックポイント ファイルにロール バックするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

現在のコンフィギュレーション ファイルをコンフィギュレーション チェックポイント ファイルにロール バックします。

set config rollback name

すべてのコンフィギュレーション チェックポイント ファイルまたは特定のコンフィギュレーション チェックポイント ファイルを消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

すべてのコンフィギュレーション チェックポイント ファイルまたは特定のコンフィギュレーション チェックポイント ファイルを消去します。

clear config checkpoint { all | name }

コンフィギュレーション チェックポイント ファイル名を確認します。

show config checkpoints

次に、すべてのコンフィギュレーション チェックポイント ファイルを消去し、消去されたことを確認する例を示します。

Console> (enable) clear config checkpoint all
All configuration checkpoints cleared.
Console> (enable) show config checkpoints
No Checkpoints defined.
Console> (enable)

MSFC上でのコンフィギュレーション ファイルの操作

ここでは、Multilayer Switch Feature Card(MSFC;マルチレイヤ スイッチ フィーチャ カード)上のコンフィギュレーション ファイルの操作について説明します。

「TFTPサーバへのコンフィギュレーション ファイルのアップロード」

「スーパバイザ エンジンのフラッシュPCカードへのコンフィギュレーション ファイルのアップロード」

「リモート ホストからのコンフィギュレーション ファイルのダウンロード」

「スーパバイザ エンジンのフラッシュPCカードからのコンフィギュレーション ファイルのダウンロード」

MSFCの稼働時は、設定情報は2つの場所にあります。NVRAM内のデフォルト(永続的)設定とRAM内の実行(一時的)メモリです。NVRAMの情報は電源を切断しても保持されるので、デフォルト設定は常時、使用できます。現在の実行メモリは、システムの電源を切断すると失われます。現在の設定には、 configure または setup コマンドを入力することにより、またはコンフィギュレーション ファイルを編集することにより追加された、デフォルト以外のすべての設定情報が含まれています。

電源を切断しても現在の設定が失われないようにするには、 copy running-config startup-config コマンドを使用して現在の設定をNVRAMのデフォルト設定に追加します。システムの設定を変更する場合は、必ず copy running-config startup-config コマンドを実行し、新しい設定を保存してください。

MSFCを交換する場合には、設定全体を交換する必要があります。MSFCを取り外す前にコンフィギュレーション ファイルをリモート サーバにアップロード(コピー)しておけば、新しいMSFCを取り付けたあと、元の設定をNVRAMに戻すことができます。コンフィギュレーション ファイルをアップロードしない場合には、新しいMSFCを取り付けたあと、 configure コマンドを入力して設定情報を再入力する必要があります。

MSFCを一時的に取り外して再び取り付ける場合には、コンフィギュレーション ファイルを保存して戻す必要はありません。リチウム電池により、設定情報がメモリに保存されています。この作業では、EXECコマンド インタープリタのイネーブル レベルにアクセスする必要があり、通常、パスワードが必要になります。

TFTPサーバへのコンフィギュレーション ファイルのアップロード

TFTPファイル サーバに実行コンフィギュレーションをアップロードする前に、次のことを確認してください。

コンソール端末から、またはTelnetセッションによりリモートでMSFCに接続できること。

MSFCがファイル サーバ(リモート ホスト)をサポートしているネットワークに接続していること。

リモート ホストがTFTPアプリケーションをサポートしていること。

使用できるリモート ホストのIPアドレスまたはホスト名がわかっていること。

リモート ホストに情報を保存するには、 write network イネーブルEXECコマンドを使用します。このコマンドに、宛先ホストのアドレスおよびファイル名を入力し、指示した情報を確認します。情報を確認すると、MSFCにより、現在の実行コンフィギュレーションがリモート ホストに送信されます。システムのデフォルトでは、設定はMSFCの名前に -confg が付加されたファイル名で保存されます。 Return キーを押してデフォルト ファイル名を使用するか、別のファイル名を入力して Return キーを押します。

現在の実行コンフィギュレーションをリモート ホストにアップロードするには、次の手順を実行します。


ステップ 1 システム プロンプトに、EXECコマンド インタープリタのイネーブル レベルを示すポンド記号(#)が表示されていることを確認します。

ステップ 2 ping コマンドを入力して、MSFCとリモート ホストとの接続を確認します。

ステップ 3 write term コマンドを入力して、現在の実行コンフィギュレーションを端末に表示し、設定情報が完全で正しいことを確認します。情報が正しくない場合には、 configure コマンドを使用して既存の設定に追加または変更を行います。

ステップ 4 write net コマンドを入力します。EXECコマンド インタープリタによって、コンフィギュレーション ファイルを受信するリモート ホストの名前またはIPアドレスの入力を求めるプロンプトが表示されます(プロンプトにデフォルトのファイル サーバの名前またはアドレスが示されていることもあります)。

Router# write net
Remote host []?
 

ステップ 5 リモート ホストの名前またはIPアドレスを入力します。次の例では、リモート サーバ名 servername を入力しています。

Router# write net
Remote host []? servername
Translating "servername"...domain server (1.1.1.1) [OK]
 

ステップ 6 設定を保存するファイル名を指定するように要求されます。デフォルトでは、MSFC名に -confg を付加した新しいファイル名が作成されます。 Return キーを押してデフォルト ファイル名を使用するか、別のファイル名を入力して Return を押します。次の例ではデフォルトがそのまま使用されています。

Name of configuration file to write [Router-confg]?
Write file Router-confg on host 1.1.1.1? [confirm]
Writing Router-confg .....
 

ステップ 7 MSFCによりコピー処理が開始される前に、指定した情報が表示されるので確認します。指定した内容が正しくない場合には、 n (no)を入力し、 Return キーを押して処理を中止します。指定した内容を確定するには、 Return キーを押すか、 y (yes)を入力して Return キーを押します。コピー処理が開始されます。次の例ではデフォルトがそのまま使用されています。

Write file Router-confg on host 1.1.1.1? [confirm]
Writing Router-confg: !!!! [ok]
 

MSFCがリモート ホストに設定をコピーしている間、一連の感嘆符(! ! !)またはピリオド(. . .)を表示します。! ! ! および[ok]は、処理が成功したことを示しています。失敗すると、ピリオドの連続(. . .)と[timed out]または[failed]が表示されます。この場合、ネットワークに障害があるか、リモート ファイル サーバ上に読み書き可能なファイルが存在しない可能性があります。

ステップ 8 処理が成功していれば(! ! !および[ok]が表示されている状態)、アップロードは完了です。設定は、リモート ファイル サーバ上の一時ファイルに保存されます。

処理が失敗すると、次の例のようにピリオドの連続(.. . )が表示されます。

Writing Router-confg .....
 

この場合、設定は保存されていません。上記の手順を再度実行するか、別のリモート ファイル サーバを選択して同じ手順を繰り返してください。

リモート ホストに設定を正常にコピーできない場合には、ネットワーク管理者に連絡してください。


 

スーパバイザ エンジンのフラッシュPCカードへのコンフィギュレーション ファイルのアップロード

スーパバイザ エンジンのフラッシュPCカードにコンフィギュレーション ファイルをアップロードするには、次の作業を行います。

 

作業
コマンド

ステップ 1

EXECプロンプトで、イネーブル モードを開始します。

Router> enable

ステップ 2

スタートアップ コンフィギュレーション ファイルをスロット0にコピーします。

Router# copy startup-config sup-slot0: file_name

ステップ 3

実行コンフィギュレーション ファイルをスロット0にコピーします。

Router# copy running-config sup-slot0: file_name

リモート ホストからのコンフィギュレーション ファイルのダウンロード

新しいMSFCを搭載したあと、保存した設定を検索して、NVRAMにコピーすることができます。コンフィギュレーション モードを開始し、ネットワーク経由でMSFCの設定を行います。システム プロンプトにホスト名、アドレス、およびホストに保存されているコンフィギュレーション ファイル名を入力し、リモート ファイルを使用した再起動を指示します。

リモート ホストから現在の実行コンフィギュレーションをダウンロードするには、次の手順を実行します。


ステップ 1 システム プロンプトに、EXECコマンド インタープリタのイネーブル レベルを示すポンド記号(#)が表示されていることを確認します。


) 元の設定を検索して戻すまで、MSFCはNVRAM上のデフォルト設定を実行します。設定を戻すまでは、システムに設定していたパスワードは無効になります。


ステップ 2 ping コマンドを入力して、ルータとリモート ホストとの接続を確認します。

ステップ 3 システム プロンプトに configure network コマンドを入力し、 Return キーを押してコンフィギュレーション モードを開始します。(デフォルトのコンソール端末を使用するのではなく)ネットワーク装置からシステムの設定を行うことを指定します。

Router# configure network
 

ステップ 4 ホストまたはネットワーク上のコンフィギュレーション ファイルを選択するように要求されます。デフォルトはホスト上のファイルです。デフォルトを確定するには、 Return キーを押します。

Host or network configuration file [host]?
 

ステップ 5 ホストのIPアドレスを入力するように要求されます。リモート ホスト(コンフィギュレーション ファイルをアップロードしたリモート ファイル サーバ)のIPアドレスまたは名前を入力します。

IP address of remote host [255.255.255.255]? 1.1.1.1
 

ステップ 6 コンフィギュレーション ファイル名を入力します。ファイルのアップロード時のデフォルト名は、MSFC名に -confg を付けたファイル名(次の例では router-confg )です。設定のアップロード時にデフォルト以外のファイル名を指定した場合は、そのファイル名を入力します。デフォルト名を使用した場合には、 Return キーを押します。

Name of configuration file [router-confg]?
 

ステップ 7 新しい設定でシステムを再起動する前に、指定した情報が表示されるので確認します。指定した内容が正しくない場合には、 n (no)を入力し、 Return キーを押して処理を中止します。指定した内容を確定するには、 Return キーを押すか、 y を入力して Return キーを押します。

Configure using router-confg from 1.1.1.1? [confirm]
Booting router-confg from 1.1.1.1: ! ! [OK - 874/16000 bytes]
 

MSFCがリモート ホスト上の設定の検索およびシステム再起動を開始すると、コンソールに処理が成功したかどうかが示されます。一連の!!!および[ok](前述の例を参照)は、処理が成功したことを示します。ピリオドの連続( . . .)と[timed out]または[failed]は、処理が失敗したことを示します(ネットワークに障害があるか、指定したサーバ名、アドレス、またはファイル名が間違っている可能性があります)。次に、リモート サーバからのシステム再起動に失敗した例を示します。

Booting Router-confg ..... [timed out]
 

ステップ 8 処理に成功した場合は、次の手順に進みます。

処理に失敗した場合は、リモート サーバの名前またはアドレスおよびファイル名が正しいかどうか確認し、前の手順を繰り返してください。設定を正常に検索できない場合には、ネットワーク管理者に連絡してください。

ステップ 9 write term コマンドを入力して、現在の実行コンフィギュレーションを端末に表示します。表示されたコンフィギュレーション情報が完全で、正しいことを確認します。正しくない場合は、ファイル名を確認してから前の手順を繰り返して正しいファイルを検索するか、 configure コマンドを入力して既存の設定に追加または変更を行います(システム、各インターフェイス、特定の設定手順で利用できる設定オプションについては、該当するソフトウェアのマニュアルを参照してください)。

ステップ 10 現在の実行コンフィギュレーションが正しいことを確認したら、 copy running-config startup-config コマンドを入力して、検索した設定をNVRAMに保存します。保存しないと、システムを再起動した場合に、検索した設定は失われます。


 

スーパバイザ エンジンのフラッシュPCカードからのコンフィギュレーション ファイルのダウンロード

スーパバイザ エンジンのフラッシュPCカードからコンフィギュレーション ファイルをダウンロードするには、次の作業を行います。

 

作業
コマンド

ステップ 1

EXECプロンプトで、イネーブル モードを開始します。

Router> enable

ステップ 2

保存されている実行コンフィギュレーション ファイルを、MSFC実行コンフィギュレーションにコピーします。

Router# copy sup-slot0: file_name running-config

ステップ 3

保存されているスタートアップ コンフィギュレーション ファイルを、MSFC実行コンフィギュレーションにコピーします。

Router# copy sup-slot0: file_name startup-config

プロファイル ファイルの操作

プロファイル ファイルによって、スイッチのデフォルト コンフィギュレーションとしてカスタマイズされたコンフィギュレーションを持つことができます。また、起動時または新規のモジュールが搭載された場合に、特定の機能をイネーブルまたはディセーブルにするカスタム デフォルト コンフィギュレーションをロードすることができます。プロファイル ファイルを使用すれば、スイッチにセキュリティ リスク(たとえば、CDPのディセーブル化またはポート上の自動トランキングの切断)をもたらす可能性がある機能または処理を排除できます。

セキュリティ リスクのほとんどを無効にしたプロファイル ファイルは、「ロックダウン」プロファイルともいいます。ロックダウン プロファイルは、デフォルトでスイッチの機能をアクセスのイネーブルからアクセスの阻止に変更します。ロックダウン プロファイルが適用されている場合、プロファイル ファイルによってディセーブルにされた機能を手動でイネーブルにする必要があります。

プロファイル ファイルの作成

プロファイル ファイル形式は、コンフィギュレーション ファイル形式と類似しています。新規のプロファイル ファイルを作成することもできますし、システムによって生成されたコンフィギュレーション ファイルを編集することもできます。


注意 要素を失ったり、置き違えるとコンフィギュレーションが失敗する原因になるので、コンフィギュレーション ファイルに不慣れな場合は新規のプロファイル ファイルを作成しないことを推奨します。

システムによって生成されたコンフィギュレーション ファイルを編集してプロファイル ファイルを作成する場合、必須の表記のほとんどがすでにファイルに存在します。現在サポートされているキーワードは、ALL_MODULES、ALL_PORTS、ALL_MODULE_PORTS、およびALL_VLANSです。copy config allコマンドを入力した結果生じた出力をテンプレートとして使用してプロファイル ファイルを作成しないでください。出力には、ファイルのサイズと処理時間を増やすデフォルトのコンフィギュレーション情報が含まれているからです。

使用するシステム プロファイル ファイルを指定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ステップ 1

装置および使用するプロファイル ファイル名を指定します。

set system profile device : filename

ステップ 2

指定したモジュールのシステム プロファイル ファイルをイネーブルまたはディセーブルにします。

set system profile { enable | disable } mod_list

次に、装置名およびプロファイル ファイル名を指定する例を示します。

Console> (enable) set system profile bootflash:test.cfg
System is set to be configured with profile file bootflash:test.cfg.
Console> (enable)
 

次に、指定されたモジュールのシステム プロファイルのロードをディセーブルにする例を示します。

Console> (enable) set system profile disable 2
System profile loading is disabled for module 2.
Console> (enable)

次に、ロックダウン プロファイル ファイルの例を示します。一般的であると考えられるロックダウン プロファイル ファイルをデフォルト コンフィギュレーションとして使用する場合、このファイルのコピーをそのまま使用できます。このロックダウン プロファイル ファイルのパラメータがニーズに合わない場合は、ファイルを変更し、ファイルを変更したものを使用することもできます。

begin
!
# ***** DEFAULT PROFILE *****
!
!
##################################
# Lockdown Profile version 1.0.3 #
##################################
!
# set system prompt (edit as needed)
set prompt locked_down>
!
# system attributes to be customized (edit as needed)
set system name locked_down
set system contact locked_down
set system location locked_down
!
# set a strong banner (edit as needed)
set banner motd ^
Access to this device or the attached networks is prohibited
without express permission from the network administrator.
 
Violators will be prosecuted to the fullest extent of both civil
and criminal law.
 
^
!
!
#
# vtp mode off, enable password and dummy domain (edit as needed)
set vtp domain locked_down
set vtp mode off
set vtp passwd locked_down
!
# default VLAN is "Quarantine" (edit as needed)
set vlan 999 name Quarantine
!
# Management VLAN is "Management" (edit as needed)
set vlan 1000 name Management
# Alternate management vlan is "OtherMgmt" (edit as needed)
set vlan 1001 name OtherMgmt
!
# sc0 and sc1 off (edit as needed)
set interface sc0 down
set interface sc0 1000
set interface sc1 down
set interface sc1 1001
!
# default port status is disabled
set port disable ALL_PORTS
!
# default cdp status is disabled
set cdp disable ALL_PORTS
!
# default STP status is with BPDU guard enabled
set spantree portfast bpdu-guard ALL_PORTS enable
!
# default PAgP/LACP status is disabled
set port channel ALL_PORTS mode off
!
# Default DTP status is disabled, no allowed vlans and dot1q-all-tagged mode on.
# Warning: A max of 128 trunks can have non-default configuration in CatOS 8.4
# Warning: Edit port list as needed.
set trunk ALL_PORTS off none
set dot1q-all-tagged enable
!
# default is CPU rate limiters enabled
set rate-limit l2pdu enable
!
# default SSH version is 2
set ssh mode v2
!
# default VLAN is "Quarantine" (edit as needed)
set vlan 999 ALL_PORTS
!
# Enable image checksum verification by default
set image-verification enable
!
# Set a more aggressive default logout timeout
set logout 10
#
#
# Anti-spoofing ACL
#
!
! Deny any packets from the RFC 1918, IANA reserved, ranges,
! multicast as a source, and loopback netblocks to block
! attacks from commonly spoofed IP addresses.
!
! Bogons
!
set security acl ip Anti-spoofing deny ip 0.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 1.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 2.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 5.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 7.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 10.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 23.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 27.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 31.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 36.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 37.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 39.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 41.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 42.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 49.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 50.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 73.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 74.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 75.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 76.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 77.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 78.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 79.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 89.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 90.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 91.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 92.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 93.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 94.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 95.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 96.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 97.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 98.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 99.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 100.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 101.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 102.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 103.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 104.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 105.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 106.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 107.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 108.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 109.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 110.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 111.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 112.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 113.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 114.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 115.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 116.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 117.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 118.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 119.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 120.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 121.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 122.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 123.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 124.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 125.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 126.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 127.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 169.254.0.0 0.0.255.255 any log
set security acl ip Anti-spoofing deny ip 172.16.0.0 0.15.255.255 any log
set security acl ip Anti-spoofing deny ip 173.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 174.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 175.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 176.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 177.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 178.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 179.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 180.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 181.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 182.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 183.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 184.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 185.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 186.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 187.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 189.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 190.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 192.0.2.0 0.0.0.255 any log
set security acl ip Anti-spoofing deny ip 192.168.0.0 0.0.255.255 any log
set security acl ip Anti-spoofing deny ip 197.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 223.0.0.0 0.255.255.255 any log
set security acl ip Anti-spoofing deny ip 224.0.0.0 31.255.255.255 any log
# Add here a specific list of permits as needed
set security acl ip Anti-spoofing deny any any log
!
# Set protection to VLAN list (edit as needed)
# You can use ALL_VLANS but that will
# take some time to finish.
# Use the "show security acl" cmd to verify when
# the ACL mapping process is completed.
commit security acl all
set security acl map Anti-spoofing ALL_VLANS
!
!
end