Catalyst 3750 Metro スイッチ コマンド リファレンス
Catalyst 3750 Metro スイッチ Cisco IOS コマンド-1
Catalyst 3750 Metro スイッチ Cisco IOS コマンド
発行日;2012/01/30 | 英語版ドキュメント(2010/12/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

Catalyst 3750 Metro スイッチ Cisco IOS コマンド

aaa accounting dot1x

aaa authentication dot1x

action

archive download-sw

archive tar

archive upload-sw

arp access-list

auto qos voip

bandwidth

boot config-file

boot enable-break

boot helper

boot helper-config-file

boot manual

boot private-config-file

boot system

channel-group

channel-protocol

class

class-map

clear ip arp inspection log

clear ip arp inspection statistics

clear ip dhcp snooping

clear ipv6 dhcp conflict

clear l2protocol-tunnel counters

clear lacp

clear mac address-table

clear mac address-table move update

clear pagp

clear rep counters

clear spanning-tree counters

clear spanning-tree detected-protocols

clear vmps statistics

clear vtp counters

cpu traffic qos cos

cpu traffic qos dscp

cpu traffic qos precedence

define interface-range

delete

deny(ARP アクセス リスト コンフィギュレーション)

deny(IPv6 アクセス リスト コンフィギュレーション)

deny(MAC アクセス リスト コンフィギュレーション)

dot1x auth-fail max-attempts

dot1x auth-fail vlan

dot1x default

dot1x guest-vlan

dot1x host-mode

dot1x initialize

dot1x max-reauth-req

dot1x max-req

dot1x port-control

dot1x re-authenticate

dot1x reauthentication

dot1x supplicant force-multicast

dot1x system-auth-control

dot1x test eapol-capable

dot1x test timeout

dot1x timeout

dot1x violation-mode

duplex

errdisable detect cause

errdisable detect cause small-frame

errdisable recovery cause small-frame

errdisable recovery

ethernet evc

ethernet lmi

ethernet lmi ce-vlan map

ethernet oam remote-failure

ethernet uni

ethernet uni id

flowcontrol

interface port-channel

interface range

interface vlan

ip access-group

ip address

ip arp inspection filter vlan

ip arp inspection limit

ip arp inspection log-buffer

ip arp inspection trust

ip arp inspection validate

ip arp inspection vlan

ip arp inspection vlan logging

ip device tracking

ip device tracking maximum

ip device tracking probe

ip dhcp snooping

ip dhcp snooping binding

ip dhcp snooping database

ip dhcp snooping information option

ip dhcp snooping information option allowed-untrusted

ip dhcp snooping information option format remote-id

ip dhcp snooping limit rate

ip dhcp snooping trust

ip dhcp snooping verify

ip dhcp snooping vlan

ip dhcp snooping vlan information option format-type circuit-id string

ip igmp filter

ip igmp max-groups

ip igmp profile

ip igmp snooping

ip igmp snooping querier

ip igmp snooping report-suppression

ip igmp snooping vlan immediate-leave

ip igmp snooping vlan mrouter

ip igmp snooping vlan static

ip sla responder twamp

ip sla server twamp

ip source binding

ip ssh

ip sticky-arp(グローバル コンフィギュレーション)

ip sticky-arp(インターフェイス コンフィギュレーション)

ip verify source

ip vrf(グローバル コンフィギュレーション)

ip vrf(インターフェイス コンフィギュレーション)

ipv6 access-list

ipv6 address dhcp

ipv6 dhcp client request vendor

ipv6 dhcp ping packets

ipv6 dhcp pool

ipv6 dhcp server

ipv6 mld snooping

ipv6 mld snooping last-listener-query-count

ipv6 mld snooping last-listener-query-interval

ipv6 mld snooping listener-message-suppression

ipv6 mld snooping robustness-variable

ipv6 mld snooping tcn

ipv6 mld snooping vlan

ipv6 traffic-filter

l2protocol-tunnel

l2protocol-tunnel cos

lacp port-priority

lacp system-priority

link state group

link state track

location(グローバル コンフィギュレーション)

location(インターフェイス コンフィギュレーション)

logging event

logging file

mac access-group

mac access-list extended

mac address-table aging-time

mac address-table learning

mac address-table move update

mac address-table notification

mac address-table static

mac address-table static drop

macro apply

macro description

macro global

macro global description

macro name

match(アクセスマップ コンフィギュレーション)

match(クラスマップ コンフィギュレーション)

mdix auto

mls qos

mls qos aggregate-policer

mls qos cos

mls qos dscp-mutation

mls qos enhanced

mls qos map

mls qos queue-set output buffers

mls qos queue-set output threshold

mls qos rewrite ip dscp

mls qos srr-queue input bandwidth

mls qos srr-queue input buffers

mls qos srr-queue input cos-map

mls qos srr-queue input dscp-map

mls qos srr-queue input priority-queue

mls qos srr-queue input threshold

mls qos srr-queue output cos-map

mls qos srr-queue output cpu-queue

mls qos srr-queue output dscp-map

mls qos trust

mls qos vlan-based

monitor session

mpls l2transport route

mpls ldp holdtime

mpls mtu

mvr(グローバル コンフィギュレーション)

mvr(インターフェイス コンフィギュレーション)

oam protocol cfm svlan

pagp learn-method

pagp port-priority

permit(ARP アクセス リスト コンフィギュレーション)

permit(IPv6 アクセス リスト コンフィギュレーション)

permit(MAC アクセス リスト コンフィギュレーション)

police

police aggregate

police cir

police cir percent

policy-map

port-channel load-balance

priority

priority-queue

private-vlan

private-vlan mapping

queue-limit

queue-set

random-detect

random-detect dscp

random-detect exponential-weighting-constant

random-detect precedence

remote-span

renew ip dhcp snooping database

rep admin vlan

rep block port

rep lsl-age-timer

rep preempt delay

rep preempt segment

rep segment

rep stcn

reserved-only

Catalyst 3750 Metro スイッチ Cisco IOS コマンド

aaa accounting dot1x

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)アカウンティングをイネーブルにし、回線単位またはインターフェイス単位で 802.1x セッションに対して特定のアカウンティング方式を定義する方式リストを作成するには aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting dot1x { name | default} start-stop {broadcast group { name | radius | tacacs+} [group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ]}

no aaa accounting dot1x { name | default }

 
構文の説明

name

サーバ グループ名。これは、 broadcast group および group キーワードのあとに入力する場合のオプションです。

default

アカウンティング サービスのデフォルトのリストとしてあとに続くアカウンティング方式を使用します。

start-stop

プロセスの最初にアカウンティング開始通知を送信し、プロセスの終了時にアカウンティング終了通知を送信します。アカウンティング開始レコードは、バックグラウンドで送信されます。アカウンティング開始通知がアカウンティング サーバで受信されたかどうかにかかわらず、要求されたユーザ プロセスが開始されます。

broadcast

複数の AAA サーバへのアカウンティング レコードの送信をイネーブルにし、各グループの最初のサーバにアカウンティング レコードを送信します。最初のサーバが使用不可の場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。

group

アカウンティング サービスに使用するサーバ グループを指定します。有効なサーバ グループ名は次のとおりです。

name :サーバ グループ名

radius :全 RADIUS ホストのリスト

tacacs+ :全 TACACS+ ホストのリスト

group キーワードは、 broadcast group および group キーワードのあとに入力する場合のオプションです。複数のオプション group キーワードを入力できます。

radius

(任意)RADIUS 認証をイネーブルにします。

tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

 
デフォルト

AAA アカウンティングはディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドには、RADIUS サーバへのアクセスが必要です。


) インターフェイスに 802.1x RADIUS アカウンティングを設定する前に、dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。


次の例では、802.1x アカウンティングを設定する方法を示します。

Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)#

) RADIUS 認証サーバは、AAA クライアントからの更新またはウォッチドッグ パケットを受け入れてロギングするように、適切に設定されている必要があります。


 
関連コマンド

コマンド
説明

aaa accounting dot1x

802.1x が動作しているインターフェイスで使用する 1 つ以上の AAA 方式を指定します。

dot1x reauthentication

定期的な再認証をイネーブルまたはディセーブルにします。

dot1x test eapol-capable reauth-period

再認証の間隔(秒)を指定します。

aaa authentication dot1x

IEEE 802.1x が動作しているポートで使用する 1 つ以上の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)方式を指定するには、 aaa authentication dot1x グローバル コンフィギュレーション コマンドを使用します。認証をディセーブルにする場合は、このコマンドの no 形式を使用します。

aaa authentication dot1x { default } method1 [ method2 ...]

no aaa authentication dot1x { default }

 
構文の説明

default

この引数のあとに指定する認証方式を、ユーザ ログイン時の方式のデフォルト リストとして使用します。

method1 [ method2 ...]

次のキーワードのうち、少なくとも 1 つを指定します。

enable :認証にイネーブル パスワードを使用します。

group radius :認証にすべての RADIUS サーバのリストを使用します。

line :認証に回線パスワードを使用します。

local :認証にローカル ユーザ名データベースを使用します。

local-case :認証に大文字小文字を区別するローカル ユーザ名データベースを使用します。

none :認証を使用しません。クライアントは、クライアントが指定した情報を使用せずに、スイッチから自動的に認証されます。


group tacacs+ キーワードは、コマンドラインのヘルプ ストリングには表示されていますが、サポートされていません。


 
デフォルト

認証は実行されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために一定の順序で試みる方式のリストを指定します。実際に 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。その他の方式は、ローカルで設定されているデータを使用して、AAA をイネーブルにしてクライアントを認証します。たとえば、 local 方式および local-case 方式は、コンフィギュレーション ファイルに保存されているユーザ名とパスワードを使用します。 enable 方式および line 方式は、認証に enable パスワードと line パスワードを使用します。

group radius を指定した場合、 radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。

RADIUS サーバを使用していない場合、 local 方式または local-case 方式を使用できます。これらは、ローカル ユーザ名データベースにアクセスして、認証を実行します。 enable 方式または line 方式を指定すると、クライアントにパスワードを提供してスイッチにアクセスできます。

設定された認証方式のリストを表示する場合は、 show running-config 特権 EXEC コマンドを使用します。

次の例では、AAA をイネーブルにして 802.1x の認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試行します。このアクションでエラーが返される場合、そのユーザは認証せずにアクセスできます。

Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius none
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

aaa new-model

AAA アクセス制御モデルをイネーブルにします。構文情報については、『Cisco IOS Security Command Reference, Release 12.2』で、「Authentication, Authorization, and Accounting」の「Authentication Commands」を参照してください。

show running-config

動作設定を表示します。構文情報については、 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html のリンクで、Cisco IOS Release 12.2 の「Command References」の一覧ページに移動します。
「Cisco IOS Commands Master List, Release 12.2」を選択して、コマンドに移動します。

 

action

VLAN アクセス マップ エントリに対してアクションを設定するには、 action アクセス マップ コンフィギュレーション コマンドを使用します。このアクションをデフォルト値である forward に設定するには、このコマンドの no 形式を使用します。

action { drop | forward }

no action

 
構文の説明

drop

指定された条件に一致する場合に、パケットをドロップします。

forward

指定された条件に一致する場合に、パケットを転送します。

 
デフォルト

デフォルトのアクションは、パケットの転送です。

 
コマンド モード

アクセスマップ コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

vlan access-map グローバル コンフィギュレーション コマンドを使用して、アクセスマップ コンフィギュレーション モードを開始します。

アクションが drop の場合は、一致条件に Access Control List(ACL)名を設定後、そのマップを VLAN に適用してアクセス マップを定義する必要があります。定義しない場合、すべてのパケットがドロップされることがあります。

アクセス マップ コンフィギュレーション モードでは、 match アクセス マップ コンフィギュレーション コマンドを使用して、VLAN マップの一致条件を定義できます。 action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。

drop パラメータおよび forward パラメータは、このコマンドの no 形式では使用されません。

次の例では、VLAN アクセス マップ vmap4 を指定し VLAN 5 と VLAN 6 に適用する方法を示します。このアクセス マップは、パケットがアクセス リスト al2 に定義された条件に一致する場合に、VLAN がその IP パケットを転送するように指定します。

Switch(config)# vlan access-map vmap4
Switch(config-access-map)# match ip address al2
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan filter vmap4 vlan-list 5-6
 

設定を確認するには、 show vlan access-map 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

access-list { deny | permit }

番号付き標準 Access Control List(ACL)を設定します。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。

ip access-list

名前付きアクセス リストを作成します。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。

mac access-list extended

名前付き MAC アドレス アクセス リストを作成します。

match(アクセスマップ コンフィギュレーション)

VLAN マップの一致条件を定義します。

show vlan access-map

スイッチで作成された VLAN アクセス マップを表示します。

vlan access-map

VLAN アクセス マップを作成します。

archive download-sw

新しいイメージをスイッチにダウンロードし、既存のイメージを上書きまたは保持するには、 archive download-sw 特権 EXEC コマンドを使用します。

archive download-sw { /force-reload | /imageonly | /leave-old-sw | /no-set-boot | /overwrite | /reload | /safe } source-url

 
構文の説明

/force-reload

ソフトウェア イメージのダウンロードが成功したあと、無条件にシステムのリロードを強制します。

/imageonly

Cisco IOS ソフトウェア イメージのみをダウンロードします。

/leave-old-sw

ダウンロードが成功したあと、古いソフトウェア バージョンを保存します。

/no-set-boot

新しいソフトウェア イメージのダウンロードが成功したあと、BOOT 環境変数の設定は新しいソフトウェア イメージをポイントするように変更されません。

/overwrite

ダウンロードされたソフトウェア イメージで、フラッシュ メモリのソフトウェア イメージを上書きします。

/reload

変更された設定が保存されていない場合を除き、イメージのダウンロードに成功したあとでシステムをリロードします。

/safe

現在のソフトウェア イメージを保存します。新しいイメージがダウンロードされるまでは、新しいソフトウェア イメージ用の領域を作る目的で現在のソフトウェア イメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。

source-url

ローカル ファイル システムまたはネットワーク ファイル システム用の送信元 URL エイリアス。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文
flash:

FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar

Remote Copy Protocol(RCP)の構文 rcp: [[ // username @ location ]/ directory ] / image-name .tar

TFTP の構文
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、スイッチにダウンロードし、インストールするソフトウェア イメージです。


no-version-check キーワードは、コマンドラインのヘルプ ストリングには表示されますが、サポートされていません。


 
デフォルト

現行のソフトウェア イメージは、ダウンロードされたイメージで上書きされません。

新しいイメージは flash: ファイル システムにダウンロードされます。

BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを指定するよう変更されます。

イメージ名では大文字と小文字が区別されます。イメージ ファイルは tar 形式で提供されます。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

/safe または /leave-old-sw オプションを使用した場合に、十分なフラッシュ メモリがないと、新しいイメージのダウンロードに失敗する場合があります。ソフトウェアを残すことによってフラッシュ メモリの空き容量が不足し、新しいイメージが入りきらなかった場合に、エラーが発生します。

/leave-old-sw オプションを使用したために、新しいイメージをダウンロードしても古いイメージを上書きしなかった場合、 delete 特権 EXEC コマンドを使用して古いイメージを削除することができます。詳細については、 「delete」 を参照してください。

フラッシュ デバイスのイメージを、ダウンロードされたイメージで上書きする場合は、 /overwrite オプションを使用します。

/overwrite オプション なし でこのコマンドを指定する場合、ダウンロード アルゴリズムは、新しいイメージが、スイッチ フラッシュ デバイスのイメージと同じではないことを確認します。イメージが同じである場合には、ダウンロードは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがダウンロードされます。

新しいイメージをダウンロードしたあとで、 reload 特権 EXEC コマンドを入力して新しいイメージの使用を開始するか、 archive download-sw コマンドの /reload または /force-reload オプションを指定してください。

次の例では、172.20.129.10 の TFTP サーバから新しいイメージをダウンロードし、スイッチでイメージを上書きする方法を示します。

Switch# archive download-sw /overwrite tftp://172.20.129.10/test-image.tar
 

次の例では、172.20.129.10 の TFTP サーバからソフトウェア イメージだけをスイッチにダウンロードする方法を示します。

Switch# archive download-sw /imageonly tftp://172.20.129.10/test-image.tar
 

次の例では、ダウンロードが成功したあとで古いソフトウェア バージョンを保存する方法を示します。

Switch# archive download-sw /leave-old-sw tftp://172.20.129.10/test-image.tar

 
関連コマンド

コマンド
説明

archive tar

tar ファイルの作成、tar ファイル内のファイルを一覧表示、tar ファイルからのファイル抽出を行います。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードします。

delete

フラッシュ メモリ デバイスのファイルまたはディレクトリを削除します。

archive tar

tar ファイルの作成、tar ファイル内のファイルの一覧表示、tar ファイルからのファイル抽出を実行するには、 archive tar 特権 EXEC コマンドを使用します。

archive tar { /create destination-url flash:/ file-url } | { /table source-url } | { /xtract source-url flash:/ file-url [ dir/file ...]}

 
構文の説明

/create destination-url flash:/ file-url

ローカル ファイル システムまたはネットワーク ファイル システムに新しい tar ファイルを作成します。

destination-url には、ローカルまたはネットワーク ファイル システムの宛先 URL エイリアスおよび作成する tar ファイルの名前を指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文
flash:

FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

Remote Copy Protocol(RCP)の構文 rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP の構文
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、作成する tar ファイルです。

flash:/ file-url には、新しい tar ファイルが作成されるローカル フラッシュ ファイル システムの場所を指定します。

送信元ディレクトリ内のファイルまたはディレクトリのオプションのリストを指定して、新しい tar ファイルに書き込むことができます。何も指定しないと、このレベルのすべてのファイルおよびディレクトリが、新しく作成された tar ファイルに書き込まれます。

/table source-url

既存の tar ファイルの内容を画面に表示します。

source-url には、ローカル ファイル システムまたはネットワーク ファイル システムの送信元 URL エイリアスを指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文
flash:

FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

RCP の構文
rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP の構文
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、表示する tar ファイルです。

/xtract source-url flash:/ file-url [ dir/file ...]

tar ファイルからローカル ファイル システムにファイルを抽出します。

source-url には、ローカル ファイル システムの 送信元 URL エイリアスを指定します。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文
flash:

FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

RCP の構文
rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

TFTP の構文
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、抽出が行われる tar ファイルです。

flash:/ file-url [ dir/file ...] には、tar ファイルが抽出されるローカル フラッシュ ファイル システムの場所を指定します。tar ファイルから抽出されるファイルまたはディレクトリのオプション リストを指定するには、 dir/file ... オプションを使用します。何も指定されないと、すべてのファイルとディレクトリが抽出されます。

 
デフォルト

なし

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

イメージ名では、大文字と小文字が区別されます。

次の例では、tar ファイルを作成する方法を示します。このコマンドはローカル フラッシュ デバイスの new-configs ディレクトリの内容を、172.20.10.30 の TFTP サーバの saved.tar という名前のファイルに書き込みます。

Switch# archive tar /create tftp:172.20.10.30/saved.tar flash:/new-configs
 

次の例では、フラッシュ メモリ内の image-tv0-m.tar ファイルの内容を表示する方法を示します。tar ファイルの内容が画面に表示されます。

Switch# archive tar /table flash:image-tv0-m.tar
info (219 bytes)
image-tv0-mz-121/ (directory)
image-tv0-mz-121/html/ (directory)
image-tv0-mz-121/html/foo.html (0 bytes)
image-tv0-mz-121/image-tv0-mz-121.bin (610856 bytes)
image-tv0-mz-121/info (219 bytes)
info.ver (219 bytes)
 

次の例では、 image-tv0-mz-121/html ディレクトリとその内容のみを表示する方法を示します。

Switch# archive tar /table flash:image-tv0-m.tar image-tv0-mz-121/html
image-tv0-mz-121/html/ (directory)
image-tv0-mz-121/html/foo.html (0 bytes)
 

次の例では、172.20.10.30 の TFTP サーバにある tar ファイルの内容を抽出する方法を示します。ここでは、ローカル フラッシュ ファイル システムのルート ディレクトリに単に new-configs ディレクトリを抽出しています。 saved.tar ファイルの残りのファイルは無視されます。

Switch# archive tar /xtract tftp://172.20.10.30/saved.tar flash:/ new-configs

 
関連コマンド

コマンド
説明

archive download-sw

新しいイメージをスイッチにダウンロードします。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードします。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードするには、 archive upload-sw 特権 EXEC コマンドを使用します。

archive upload-sw destination-url

 
構文の説明

destination-url

ローカル ファイル システムまたはネットワーク ファイル システムの宛先 URL エイリアス。次のオプションがサポートされています。

ローカル フラッシュ ファイル システムの構文
flash:

FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar

Remote Copy Protocol(RCP)の構文 rcp: [[ // username @ location ]/ directory ] / image-name .tar

TFTP の構文
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、サーバに保存するソフトウェア イメージの名前です。

 
デフォルト

flash: ファイル システムから現在稼動中のイメージをアップロードします。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

これらのファイルは、Cisco IOS イメージ、info ファイルの順序でアップロードされます。これらのファイルがアップロードされると、ソフトウェアは tar ファイルを作成します。

イメージ名では、大文字と小文字が区別されます。

次の例では、現在実行中のイメージを、172.20.140.2 の TFTP サーバへアップロードする方法を示します。

Switch# archive upload-sw tftp://172.20.140.2/test-image.tar

 
関連コマンド

コマンド
説明

archive download-sw

新しいイメージをスイッチにダウンロードします。

archive tar

tar ファイルの作成、tar ファイル内のファイルを一覧表示、tar ファイルからのファイル抽出を行います。

 

arp access-list

Address Resolution Protocol(ARP; アドレス解決プロトコル)Access Control List(ACL; アクセス コントロール リスト)を定義したり、すでに定義済みのリストの末尾に句を追加したりするには、スイッチ スタックまたはスタンドアロン スイッチ上で arp access-list グローバル コンフィギュレーション コマンドを使用します。指定した ARP アクセス リストを削除する場合は、このコマンドの no 形式を使用します。

arp access-list acl-name

no arp access-list acl-name

このコマンドは、スイッチが Enhanced Multilayer Image(EMI; 拡張マルチレイヤ イメージ)を実行している場合にのみ使用可能です。

 
構文の説明

acl-name

ACL の名前です。

 
デフォルト

ARP アクセス リストが定義されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

arp access-list コマンドを入力すると、ARP アクセス リスト コンフィギュレーション モードが開始され、これらのコンフィギュレーション コマンドが使用可能になります。

default :コマンドをデフォルト設定に戻します。

deny :拒否するパケットを指定します。詳細については、「deny(ARP アクセス リスト コンフィギュレーション)」を参照してください。

exit :ARP アクセス リスト コンフィギュレーション モードを終了します。

no :コマンドを無効にするか、またはデフォルト設定に戻します。

permit :転送するパケットを指定します。詳細については、「permit(ARP アクセス リスト コンフィギュレーション)」を参照してください。

指定した照合条件に基づいて ARP パケットを転送および廃棄するには、 permit および deny アクセス リスト コンフィギュレーション コマンドを使用します。

ARP ACL を定義したら、 ip arp inspection filter vlan グローバル コンフィギュレーション コマンドを使用してその ACL を VLAN に適用できます。IP-to-MAC アドレス バインディングを含む ARP パケットだけが ACL と比較されます。それ以外のタイプのパケットはすべて検証なしで入力 VLAN でブリッジングされます。パケットが ACL で許可されると、スイッチはそのパケットを転送します。明示的拒否ステートメントによって ACL がパケットを拒否すると、スイッチがパケットをドロップします。暗黙的な deny 文によってパケットが ACL で拒否されると、スイッチはそのパケットを DHCP バインディングのリストと比較します(ただし、ACL が スタティック の場合を除きます。この場合は、パケットがバインディングと比較されません)。

次の例では、ARP アクセス リストを定義し、IP アドレス 1.1.1.1 および MAC アドレス 0000.0000.abcd のホストからの ARP 要求と ARP 応答をいずれも許可する方法を示します。

Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# permit ip host 1.1.1.1 mac host 00001.0000.abcd
Switch(config-arp-nacl)# end
 

設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

deny(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングと比較して一致した ARP パケットを拒否します。

ip arp inspection filter vlan

スタティック IP アドレスが設定されたホストからの ARP 要求と ARP 応答を許可します。

permit(MAC アクセス リスト コンフィギュレーション)

DHCP バインディングと比較して一致した ARP パケットを許可します。

show arp access-list

ARP アクセス リストの詳細を表示します。

auto qos voip

Quality of Service(QoS; サービス品質)ドメイン内の Voice over IP(VoIP)に対して QoS を自動的に設定するには、 auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

auto qos voip { cisco-phone | cisco-softphone | trust }

no auto qos voip [ cisco-phone | cisco-softphone | trust ]

 
構文の説明

cisco-phone

このポートが Cisco IP Phone に接続されていると判断し、自動的に VoIP の QoS を設定します。入力パケットの QoS ラベルが信頼されるのは、IP Phone が検出される場合に限ります。

cisco-softphone

このポートが Cisco SoftPhone を実行しているデバイスに接続されていると判断し、自動的に VoIP の QoS を設定します。

trust

このポートが信頼できるスイッチまたはルータに接続されていると識別し、自動的に VoIP の QoS を設定します。入力パケットの QoS ラベルは信頼されます。非ルーテッド ポートでは、入力パケットの Class of Service(CoS; サービス クラス)値は信頼されます。ルーテッド ポートでは、Differentiated Service Code Point(DSCP)値は信頼されます。

 
デフォルト

Auto-QoS は、ポート上でディセーブルに設定されています。

Auto-QoS がイネーブルの場合は、入力パケットのラベルを使用して、トラフィックの分類、パケット ラベルの割り当て、入力/出力キューセットの設定を行います。 表 2-1 は、デフォルトの設定を示しています。

 

表 2-1 トラフィック タイプ、パケット ラベル、キュー

 
VoIP データ トラフィック
VoIP 制御
トラフィック
ルーティング プロトコル トラフィック
STP1 BPDU2 トラフィック
リアルタイム ビデオ トラフィック
その他すべてのトラフィック

DSCP3

46

24、26

48

56

34

-

CoS4

5

3

6

7

3

-

CoS から入力キューへのマッピング

2、3、4、5、6、7(キュー 2)

0、1(キュー 1)

CoS から出力キューへのマッピング

5(キュー 1)

3、6、7(キュー 2)

4(キュー 3)

2
(キュー 3)

0、1(キュー 4)

1.STP = スパニングツリー プロトコル

2.BPDU = ブリッジ プロトコル データ ユニット

3.DSCP = Differentiated Services Code Point

4.CoS = サービス クラス

表 2-2 に、入力キューに対して生成された Auto-QoS の設定を示します。

 

表 2-2 入力キューに対する Auto-QoS の設定

入力キュー
キュー番号
CoS からキューへのマッピング
キュー ウェイト(帯域幅)
キュー(バッファ)サイズ

SRR5 共有

1

0、1

81%

67%

プライオリティ

2

2、3、4、5、6、7

19%

33%

5.SRR = シェイプド ラウンド ロビン。入力キューは共有モードのみサポートします。

表 2-3 に、出力キューセットに対して生成される Auto-QoS の設定を示します。

 

表 2-3 出力キューセットの Auto-QoS の設定

出力キュー6
キューセットのキュー番号
CoS からキューへのマッピング
キュー ウェイト(帯域幅)
キュー(バッファ)サイズ

プライオリティ(シェーピング)

1

5

10%

10%

SRR 共有

2

3、6、7

10%

10%

SRR 共有

3

2、4

60%

26%

SRR 共有

4

0、1

20%

54%

6.Enhanced-Services(ES)ポートでは、srr-queue bandwidth shape インターフェイス コンフィギュレーション コマンドは、生成される auto qos voip コマンド リストの一部ではありません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

12.2(25)EY

cisco-softphone キーワードが追加され、生成される auto-QoS の設定が変更されました。

 
使用上のガイドライン

QoS ドメイン内の VoIP トラフィックに適切な QoS を設定する場合は、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類できるエッジ デバイスなどが含まれます。

Cisco IOS Release 12.2(25)EY よりも前のリリースでは、Auto-QoS によって、スイッチ ポートに Cisco IP Phone が接続された VoIP のスイッチのみが設定されます。

Cisco IOS Release 12.2(25)EY 以降では、Auto-QoS によって、スイッチ ポートおよびルーテッド ポートに Cisco IP Phone が接続された VoIP のスイッチ、および Cisco SoftPhone アプリケーションを実行しているデバイスが接続された VoIP のスイッチが設定されます。これらのリリースでは、Cisco IP SoftPhone バージョン 1.3(3) 以降のみがサポートされます。接続されたデバイスは、Cisco Call Manager バージョン 4 以降を使用している必要があります。

Auto-QoS のデフォルトを利用する場合、他の QoS コマンドを設定する前に、Auto-QoS をイネーブルにする必要があります。Auto-QoS をイネーブルにした あとに 、Auto-QoS 設定の調整をすることができます。


) スイッチは Auto-QoS で生成されたコマンドを、Command-Line Interface(CLI; コマンドライン インターフェイス)からの入力のように適用します。既存のユーザ設定によって、生成されたコマンドが適用できない場合があります。また、生成されたコマンドによって、既存のユーザ設定が上書きされる場合があります(これらは警告なしで行われます)。生成されたコマンドが正常に適用された場合、上書きされなかったユーザ入力の設定が、実行中の設定に残っています。上書きされてしまったユーザ入力の設定は、現行の設定をメモリに保存せずにスイッチをリロードすることによって、復旧することができます。生成されたコマンドが適用されない場合は、前の実行コンフィギュレーションが復元されます。


これが Auto-QoS をイネーブルにした最初のポートの場合は、Auto-QoS によって生成されたグローバル コンフィギュレーション コマンドに続いてインターフェイス コンフィギュレーション コマンドが実行されます。他のポート上で Auto-QoS をイネーブルにした場合、Auto-QoS が生成するインターフェイス コンフィギュレーション コマンドは、そのポート用に実行されます。

最初のポート上で Auto-QoS 機能をイネーブルにした場合、次のアクションが自動的に起こります。

QoS がグローバルにイネーブルになり( mls qos グローバル コンフィギュレーション コマンド)、そのあと、他のグローバル コンフィギュレーション コマンドが追加されます。

Cisco IP Phone に接続されたネットワーク エッジのポートで auto qos voip cisco-phone インターフェイス コンフィギュレーション コマンドを入力すると、スイッチは信頼境界の機能をイネーブルにします。スイッチは、Cisco Discovery Protocol(CDP)を使用して、Cisco IP Phone が存在するかしないかを検出します。Cisco IP Phone が検出されると、ポートの入力分類は、パケットで受け取った QoS ラベルを信頼するように設定されます。Cisco IP Phone が存在しない場合、ポートの入力分類は、パケットで受け取った QoS ラベルを信頼しないように設定されます。スイッチは、 表 2-2 および 表 2-3 の設定に従って、ポートの入力キューと出力キューセットを設定します。

Cisco SoftPhone を実行しているデバイスに接続されたネットワークのエッジにあるポート上で、 auto qos voip cisco-softphone インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチはポリシングを使用してパケットがイン プロファイルであるかアウト オブ プロファイルであるかを判別し、パケット上でのアクションを指定します。パケットに 24、26、または 46 の DSCP 値がない場合、またはパケットがアウト オブ プロファイルの場合は、スイッチで DSCP 値が 0 に変更されます。スイッチは、 表 2-2 および 表 2-3 の設定値に従ってポートの入力キューと出力キューを設定します。

ネットワーク内部に接続されたポート上で、 auto qos voip trust インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチは、入力パケットでルーティングされないポートの CoS 値、またはルーテッド ポートの DSCP 値を信頼します(トラフィックが他のエッジ デバイスですでに分類されていることが前提条件になります)。スイッチは、 表 2-2 および 表 2-3 の設定に従って、ポートの入力キューと出力キューセットを設定します。

スタティック ポート、ダイナミック アクセス ポート、音声 VLAN アクセス ポート、トランク ポートで Auto-QoS をイネーブルにすることができます。ルーテッド ポートにある Cisco IP Phone で Auto-QoS をイネーブルにする場合、スタティック IP アドレスを IP Phone に割り当てる必要があります。

Auto-QoS がイネーブルまたはディセーブルのときに自動的に生成される QoS コマンドを表示するには、Auto-QoS をイネーブルにする前にデバッグをイネーブルにします。Auto-QoS のデバッグをイネーブルにするには、 debug auto qos 特権 EXEC コマンドを使用します。詳細については、 debug auto qos コマンドを参照してください。


) Cisco SoftPhone を実行しているデバイスがスイッチ ポートまたはルーテッド ポートに接続されている場合、スイッチがサポートするのはポートあたり 1 つの Cisco SoftPhone アプリケーションのみです。


Auto-QoS をイネーブルにしたあと、名前に AutoQoS を含むポリシーマップまたは集約ポリサーを変更しないでください。ポリシーマップまたは集約ポリサーを変更する必要がある場合は、ポリシーマップまたは集約ポリサーをコピーし、そのコピーを変更します。生成されたポリシーマップの代わりに新しいポリシーマップを使用するには、生成されたポリシーマップをインターフェイスから削除し、新しいポリシーマップを適用します。

ポート上で Auto-QoS をディセーブルにするには、no auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。このポート用に生成された Auto-QoS インターフェイス コンフィギュレーション コマンドのみ削除されます。Auto-QoS がイネーブルである最後のポートで no auto qos voip コマンドを入力した場合、Auto-QoS 生成のグローバル コンフィギュレーション コマンドが残っていたとしても、Auto-QoS はディセーブルになったと認識されます(グローバル コンフィギュレーションに影響を受ける他のポートのトラフィック障害を回避するため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、Auto-QoS 生成のグローバル コンフィギュレーション コマンドをディセーブルにします。QoS がディセーブルの場合、パケットが修正されなくなるため(パケットの CoS、DSCP、IP precedence の値は変更されない)、ポートの信頼性に関する概念はなくなります。トラフィックは Pass-Through モードでスイッチングされます(パケットは書き換えられることなくスイッチングされ、ポリシングなしのベスト エフォートに分類されます)。

auto qos voip コマンドがイネーブルのポートでは、生成されるキューセット ID はインターフェイスによって異なります。

ファスト イーサネット インターフェイスの場合、Auto-QoS はキューセット 1 を生成します(デフォルトです)。

ギガビット イーサネット インターフェイスの場合、Auto-QoS はキューセット 2 を生成します。

次の例では、ポートで Auto-QoS をイネーブルにして、ポートに接続されたスイッチまたはルータが信頼できるデバイスである場合に、受信した入力パケット内の QoS ラベルを信頼する方法を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# auto qos voip trust
 

設定を確認するには、 show auto qos interface interface-id 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

debug auto qos

Auto-QoS 機能のデバッグをイネーブルにします。

mls qos cos

ポートのデフォルトの CoS 値を定義するか、あるいはポートのすべての入力パケットにデフォルトの CoS 値を割り当てます。

mls qos map { cos-dscp dscp1 ... dscp8 | dscp-cos dscp-list to cos }

CoS から DSCP へのマッピングまたは DSCP から CoS へのマッピングを定義します。

mls qos queue-set output buffers

キューセットに対しバッファを割り当てます。

mls qos srr-queue input bandwidth

SRR の重みを入力キューに割り当てます。

mls qos srr-queue input buffers

入力キュー間にバッファを割り当てます。

mls qos srr-queue input cos-map

CoS 値を入力キューにマッピング、または CoS 値をキューおよびしきい値 ID にマッピングします。

mls qos srr-queue input dscp-map

DSCP 値を入力キューにマッピング、または DSCP 値をキューおよびしきい値 ID にマッピングします。

mls qos srr-queue input priority-queue

入力プライオリティ キューを設定し、帯域幅を保証します。

mls qos srr-queue output cos-map

CoS 値を出力キューにマッピング、または CoS 値をキューおよびしきい値 ID にマッピングします。

mls qos srr-queue output dscp-map

DSCP 値を出力キューにマッピング、または DSCP 値をキューおよびしきい値 ID にマッピングします。

mls qos trust

ポートの信頼状態を設定します。

queue-set

キューセットに対しポートをマッピングします。

show auto qos

Auto-QoS 機能によって生成された初期設定を表示します。

show mls qos interface

ポート レベルで QoS 情報を表示します。

srr-queue bandwidth shape

シェーピング ウェイトを割り当て、標準ポートにマッピングされた 4 つの出力キュー上の帯域幅のシェーピングをイネーブルにします。

srr-queue bandwidth share

共有ウェイトを割り当て、ポートにマッピングされた 4 つの出力キュー上の帯域幅の共有をイネーブルにします。

 

bandwidth

Enhanced-Services(ES)ポートに適用された階層ポリシー マップに属するクラスの最小帯域幅を指定または修正するには、 bandwidth ポリシー マップ クラス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

bandwidth { bandwidth-kbps | percent percent }

no bandwidth

 
構文の説明

bandwidth-kbps

クラスに割り当てられる帯域幅の容量(単位:Kbps)。指定できる範囲は 200 ~ 2000000 です。

帯域幅の割り当ては、100 Kbps 単位で増やしてください。そうしないと、100 Kbps 未満の帯域幅はソフトウェアで切り捨てられます。

percent percent

親クラスに割り当てられる利用可能な帯域幅のパーセンテージ。指定できる範囲は 1 ~ 100 です。

 
デフォルト

帯域幅は指定されません。

 
コマンド モード

ポリシーマップ クラス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

12.2(25)EY

ES ポートで受信される着信トラフィックに、階層サービス ポリシーを適用できます。

 
使用上のガイドライン

bandwidth コマンドは、 ES ポートに適用された階層ポリシー マップでのみ使用します。このコマンドは、物理レベル ポリシー マップのクラスデフォルト クラスでは使用できません。

class-map グローバル コンフィギュレーション コマンドで定義されているクラスにポリシー マップを設定する場合は、 bandwidth コマンドを使用します。 bandwidth コマンドは、スイッチ内でトラフィックの輻輳が発生する場合に、そのクラスのトラフィックの最小帯域幅を指定します。スイッチ内で輻輳が発生しない場合、このコマンドで指定した値以上の帯域幅をクラスで受信することができます。Class-Based Weighted Fair Queueing(CBWFQ; クラス ベース均等化キューイング)は、クラスに属するパケットのウェイトを、クラスに割り当てられた帯域幅から導出します。また、CBWFQ はウェイトを使用して、クラスのキューが適正に処理されるようにします。


) 絶対帯域幅が保証されておらず、相対帯域幅のみが保証されている場合もあることに留意してください。つまり、クラスの帯域幅は、指定したポート帯域幅のパーセンテージに常に比例します。リンク帯域幅が固定されている場合、クラス帯域幅の保証は、設定されているパーセンテージに比例します。


次の制約は、 bandwidth コマンドに適用されます。

percent キーワードを使用する場合、単一ポリシー マップ内のクラス帯域幅のパーセンテージの合計は、99% を超えることはできません。パーセンテージは、親クラス(親クラスの場合はポート)で利用可能な帯域幅に基づいて計算されます。

クラスで利用可能な帯域幅の容量は、親クラスによって予約されている帯域幅の容量によって決まります。

帯域幅の設定容量は、レイヤ 2 のオーバーヘッドに対応できるサイズにする必要があります。

ポリシー マップでのクラス帯域幅は、すべて Kbps 単位でもパーセンテージでも指定できますが、両方を混在させないようにしてください。子のポリシーの帯域幅を Kbps 単位で指定し( service-policy ポリシー マップ クラス コンフィギュレーション コマンドで設定)、親のポリシーの帯域幅をパーセンテージで指定することはできません。

物理レベル ポリシー マップのクラスデフォルト クラス マップには、 bandwidth コマンドは使用できません。

max-reserved-bandwidth インターフェイス コンフィギュレーション コマンドおよび bandwidth インターフェイス コンフィギュレーション コマンドは、コマンドライン インターフェイスには表示されていますが、ES ポートではサポートされていません。

クラス ポリシーで bandwidth コマンドを設定する場合、親の VLAN(仮想 LAN)レベル ポリシーでも bandwidth または shape ポリシー マップ クラス コンフィギュレーション コマンドを設定する必要があります。

クラス ポリシーで queue-limit または random-detect ポリシー マップ クラス コンフィギュレーション コマンドを設定する場合、その前に bandwidth または shape ポリシー マップ クラス コンフィギュレーション コマンドを設定する必要があります。

同一ポリシー マップ内の同一クラスで、 bandwidth queue-limit random-detect shape ポリシー マップ クラス コンフィギュレーション コマンドと、 priority ポリシー マップ クラス コンフィギュレーション コマンドを一緒に使用することはできません。ただし、これらのコマンドを同一のポリシー マップ内で使用することはできます。

クラス設定されたポリシー マップを service-policy インターフェイス コンフィギュレーション コマンドで ES ポートに適用する場合、スイッチは利用可能な帯域幅を判別します。

次の例では、 silver-class というクラスに最小帯域幅 2000 Kbps を設定する方法を示します。このクラスは、スイッチ設定にすでに存在します。

Switch(config)# policy-map polmap6
Switch(config-pmap)# class silver-class
Switch(config-pmap-c)# bandwidth 2000
 

次の例では、CBWFQ の設定時に、 class1 に帯域幅の 30%、 class2 に帯域幅の 25% を保証する方法を示します。2 つのクラスを持つポリシー マップが作成され、ES ポートに適用されます。

Switch(config)# policy-map policy1
Switch(config-pmap)# class class1
Switch(config-pmap-c)# bandwidth percent 50
Switch(config-pmap-c)# exit
Switch(config-pmap)# class class2
Switch(config-pmap-c)# bandwidth percent 25
Switch(config-pmap-c)# exit
Switch(config-pmap)# end
Switch(config)# interface gigabitethernet1/1/1
Switch(config-if)# service-policy input policy1
 

次の例では、Low Latency Queueing(LLQ; 低遅延キューイング)および CBWFQ を設定する際に帯域幅を保証する方法を示します。この例では、 voice1 というクラスで LLQ がイネーブルになります。

Switch(config)# policy-map policy1
Switch(config-pmap)# class class1
Switch(config-pmap-c)# bandwidth percent 50
Switch(config-pmap-c)# exit
Switch(config-pmap)# class class2
Switch(config-pmap-c)# bandwidth percent 25
Switch(config-pmap-c)# exit
Switch(config-pmap)# class voice1
Switch(config-pmap-c)# priority
Switch(config-pmap-c)# exit
Switch(config-pmap)# end
Switch(config)# interface gigabitethernet1/1/1
Switch(config-if)# service-policy output policy1
 

設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

class

トラフィック ポリシーを作成または変更するクラスの名前を指定します。

policy-map

複数のポートに適用することによってサービス ポリシーを指定できるポリシー マップを作成または変更します。

priority

完全プライオリティ キューをイネーブルにし、ES ポートに適用されるポリシー マップに属するトラフィックのクラスに対してプライオリティを付与します。

queue-limit

ES ポートに適用されたポリシー マップのテール ドロップに最大しきい値を設定します。

random-detect

ES ポートに適用されたポリシー マップに Weighted Random Early Detection(WRED; 重み付けランダム早期検出)を設定します。

service-policy(ポリシー マップ クラス)

ポリシー マップ内の Quality of Service(QoS)ポリシーとしてサービス ポリシーを作成します。

shape

ES ポートに適用されたポリシー マップでトラフィック シェーピングをイネーブルにします。

show policy-map

QoS ポリシー マップを表示します。

boot config-file

ソフトウェアがシステム設定の不揮発性コピーの読み書きに使用するファイル名を指定するには、 boot config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot config-file flash: / file-url

no boot config-file

 
構文の説明

flash:/ file-url

コンフィギュレーション ファイルのパス(ディレクトリ)および名前

 
デフォルト

デフォルトのコンフィギュレーション ファイルは、flash:config.text です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、CONFIG_FILE 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 Metro スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot enable-break

自動ブート プロセスの中断をイネーブルにするには、 boot enable-break グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot enable-break

no boot enable-break

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ディセーブル。コンソール上で Break キーを押しても自動ブート プロセスを中断することはできません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを入力すると、フラッシュ ファイル システムが初期化されたあとで Break キーを押すことにより、自動ブート プロセスを中断することができます。


) このコマンドの設定に関係なく、スイッチ前面パネルの MODE ボタンを押せば、いつでも自動ブート プロセスを中断することができます。


このコマンドは、ENABLE_BREAK 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 Metro スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot helper

ブートローダの初期化中にダイナミックにファイルをロードして、ブートローダの機能を拡張するか、またはブートローダの機能にパッチを当てるには、 boot helper グローバル コンフィギュレーション コマンドを使用します。このコマンドをデフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

boot helper filesystem :/ file-url ...

no boot helper

 
構文の説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスに対して flash: を使用します。

/ file-url

ローダ初期化中に動的にロードするためのパス(ディレクトリ)およびロード可能なファイルのリスト。イメージ名はセミコロンで区切ります。

 
デフォルト

ヘルパー ファイルはロードされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

この変数は、内部開発およびテスト専用です。

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、HELPER 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 Metro スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot helper-config-file

ヘルパー イメージで使用されるコンフィギュレーション ファイルの名前を指定するには、 boot helper-config-file グローバル コンフィギュレーション コマンドを使用します。この名前が設定されていない場合は、CONFIG_FILE 環境変数によって指定されたファイルが、ロードされたすべてのバージョンのソフトウェアに使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot helper-config-file filesystem :/ file-url

no boot helper-config file

 
構文の説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスに対して flash: を使用します。

/ file-url

ロードするパス(ディレクトリ)およびヘルパー コンフィギュレーション ファイル

 
デフォルト

ヘルパー コンフィギュレーション ファイルは指定されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

この変数は、内部開発およびテスト専用です。

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、HELPER_CONFIG_FILE 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 Metro スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot manual

次回のブート サイクル中に、スイッチの手動起動をイネーブルにするには、 boot manual グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot manual

no boot manual

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

手動による起動はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

次回システムを再起動すると、スイッチはブートローダ モードで起動します。このことは switch: プロンプトで確認できます。システムを起動するには、 boot ブート ローダ コマンドを使用して、起動可能なイメージの名前を指定します。

このコマンドは、MANUAL_BOOT 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 Metro スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot private-config-file

ソフトウェアがプライベート設定の不揮発性コピーの読み書きに使用するファイル名を指定するには、 boot private-config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot private-config-file filename

no boot private-config-file

 
構文の説明

filename

プライベート コンフィギュレーション ファイルの名前

 
デフォルト

デフォルトのコンフィギュレーション ファイルは、 private-config です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名では、大文字と小文字が区別されます。

次の例では、プライベート コンフィギュレーション ファイルの名前を pconfig と指定する方法を示します。

Switch(config)# boot private-config-file pconfig

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

boot system

次回のブート サイクル中にロードするイメージを指定するには、 boot system グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot system filesystem :/ file-url ...

no boot system

 
構文の説明

filesystem :

フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスに対して flash: を使用します。

/ file-url

ブート可能なイメージのパス(ディレクトリ)および名前。各イメージ名はセミコロンで区切ります。

 
デフォルト

スイッチは、BOOT 環境変数内の情報を使用して、自動的にシステムの起動を試みます。この変数が設定されていない場合、スイッチは、フラッシュ ファイル システム全体に再帰的な縦型検索を行って、最初の実行可能イメージをロードして実行しようとします。ディレクトリの縦型検索では、検出した各サブディレクトリを完全に検索してから元のディレクトリでの検索を続けます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

archive download-sw 特権 EXEC コマンドを使用してシステム イメージを保存している場合、 boot system コマンドを使用する必要はありません。 boot system コマンドは自動的に処理され、ダウンロードされたイメージがロードされます。

このコマンドは、BOOT 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 Metro スイッチ ブート ローダ コマンド」 を参照してください。

 
関連コマンド

コマンド
説明

show boot

BOOT 環境変数の設定を表示します。

channel-group

EtherChannel グループにポートを割り当て、EtherChannel モードをイネーブルにするには、 channel-group インターフェイス コンフィギュレーション コマンドを使用します。ポートを EtherChannel グループから削除するには、このコマンドの no 形式を使用します。

channel-group channel -group-number mode { active | { auto [ non-silent ]} | { desirable [ non-silent ]} | on | passive }

no channel-group

PAgP モード:
channel-group channel -group-number mode { { auto [ non-silent ]} | { desirable [ non-silent}}

LACP モード:
channel-group channel -group-number mode {active | passive}

On モード:
channel-group channel -group-number mode on

 
構文の説明

channel -group-number

チャネルグループ番号を指定します。指定できる範囲は 1 ~ 12 です。

mode

ポートの EtherChannel モードを指定します。

active

無条件に Link Aggregation Protocol(LACP)をイネーブルにします。

active モードは、ポートをネゴシエーション ステートにします。この場合、ポートは LACP パケットを送信することによって他のポートとのネゴシエーションを開始します。チャネルは、active モードまたは passive モードの別のポート グループで形成されます。

auto

Port Aggregation Protocol(PAgP; ポート集約プロトコル)装置が検出された場合にかぎり、PAgP をイネーブルにします。

auto モードは、ポートをパッシブ ネゴシエーション ステートにします。この場合、ポートは受信する PAgP パケットに応答しますが、PAgP パケット ネゴシエーションを開始することはありません。チャネルは、desirable モードの別のポート グループでだけ形成されます。 auto がイネーブルの場合、サイレント動作がデフォルトになります。

desirable

PAgP を無条件でイネーブルにします。

desirable モードは、ポートをアクティブ ネゴシエーション ステートにします。この場合、ポートは PAgP パケットを送信することによって、他のポートとのネゴシエーションを開始します。チャネルは、desirable モードまたは auto モードの別のポート グループで形成されます。 desirable がイネーブルの場合は、デフォルトでサイレント動作となります。

non-silent

(任意)他のデバイスからのトラフィックが予想されている場合に、 auto または desirable キーワードとともに使用されます。

on

on モードをイネーブルにします。

on モードでは、使用可能な EtherChannel が存在するのは、両方の接続ポート グループが on モードになっている場合だけです。

passive

LACP 装置が検出された場合にかぎり、LACP をイネーブルにします。

passive モードは、ポートをネゴシエーション ステートにします。この場合、ポートは受信する LACP パケットには応答しますが、LACP パケット ネゴシエーションは開始しません。チャネルは、active モードの別のポート グループでだけ形成されます。

 
デフォルト

チャネルグループは割り当てられません。

モードは設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

レイヤ 2 EtherChannel の場合、物理ポートをチャネル グループに割り当てる前に、 interface port-channel グローバル コンフィギュレーション コマンドを使用してポートチャネルを作成しておく必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。論理インターフェイスがまだ作成されていない場合は、チャネル グループが最初の物理ポートを取得した時点で、自動的にポートチャネルが作成されます。最初にポートチャネルを作成する場合は、 channel-group-number port - channel-number と同じ番号を使用することもできれば、新しい番号を使用することもできます。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポート チャネルを作成します。

チャネル グループの一部である物理ポートに割り当てられた IP アドレスをディセーブルにする必要はありませんが、これをディセーブルにすることを強く推奨します。

interface port-channel コマンドの次に no switchport インターフェイス コンフィギュレーション コマンドを使用して、レイヤ 3 のポート チャネルを作成できます。インターフェイスをチャネル グループに適用する前に、ポート チャネルの論理インターフェイスを手動で設定してください。

EtherChannel を設定したあと、ポートチャネルに加えられた設定の変更は、そのポートチャネルに割り当てられたすべての物理ポートに適用されます。物理ポートに適用された設定の変更は、設定を適用したポートのみに有効です。EtherChannel 内のすべてのポートのパラメータを変更するには、ポートチャネルに対してコンフィギュレーション コマンドを適用します。たとえば、spanning-tree コマンドを使用して、レイヤ 2 EtherChannel をトランクとして設定します。

auto モードまたは desirable モードとともに non-silent を指定しなかった場合は、サイレントが指定されているものと見なされます。サイレント モードを設定するのは、PAgP 非対応で、かつほとんどパケットを送信しない装置にスイッチを接続する場合です。サイレント パートナーの例は、トラフィックを生成しないファイル サーバ、またはパケット アナライザなどです。この場合、物理ポート上で稼動している PAgP は、そのポートを動作可能にしません。ただし、PAgP は動作可能で、チャネル グループにポートを付与したり、伝送用ポートを使用することができます。リンクの両端はサイレントに設定することはできません。

on モードの場合、使用可能な EtherChannel が存在するのは、 on モードのポート グループが、同じく on モードの別のポート グループに接続する場合だけです。


注意 on モードの使用には注意が必要です。これは手動の設定であり、EtherChannel の両端のポートには、同一の設定が必要です。グループの設定を誤ると、パケット損失またはスパニングツリーのループが発生することがあります。


) Enhanced-Services(ES)ポートは、非 ES ポートとはバンドルできません。


EtherChannel は、PAgP と LACP の両方のモードには設定しないでください。PAgP と LACP が稼動している EtherChannel グループは同じスイッチ上に共存できます。個々の EtherChannel グループは PAgP または LACP のどちらかを実行できますが、相互運用することはできません。

channel-protocol インターフェイス コンフィギュレーション コマンドを使用してプロトコルを設定した場合、設定値は、 channel-group インターフェイス コンフィギュレーション コマンドによっては上書きされません。

EtherChannel のアクティブ メンバーであるポートを 802.1x ポートとしては設定しないでください。まだアクティブになっていない EtherChannel のポートで 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。


) Cisco IOS Release 12.2(25)EY よりも前のソフトウェア リリースで、EtherChannel 上のまだアクティブになっていないポートで 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。


セキュア ポートを EtherChannel の一部として、または EtherChannel ポートをセキュア ポートとしては設定しないでください。

設定の注意事項の一覧については、このリリースに対応するソフトウェア ガイドの「Configuring EtherChannels」の章を参照してください。


注意 物理 EtherChannel ポート上で、レイヤ 3 のアドレスをイネーブルにしないでください。物理 EtherChannel ポート上でブリッジ グループを割り当てることは、ループが発生する原因になるため、行わないでください。

次の例では、EtherChannel を設定する方法を示します。この場合、VLAN 10 のスタティックアクセス ポートとして、PAgP モード desirable であるチャネル 5 にポートを割り当てます。

Switch# configure terminal
Switch(config)# interface range fastethernet1/0/4 -5
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode desirable
Switch(config-if-range)# end
 

次の例では、EtherChannel を設定する方法を示します。この場合、VLAN 10 のスタティックアクセス ポートとして、LACP モード active であるチャネル 5 にポートを割り当てます。

Switch# configure terminal
Switch(config)# interface range fastethernet1/0/4 -5
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode active
Switch(config-if-range)# end
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-protocol

チャネリングを管理するため、ポート上で使用されるプロトコルを制限します。

interface port-channel

ポート チャネルへのアクセスや、ポート チャネルの作成を行います。

show etherchannel

チャネルの EtherChannel 情報を表示します。

show lacp

LACP チャネル グループ情報を表示します。

show pagp

PAgP チャネル グループ情報を表示します。

show running-config

動作設定を表示します。構文情報については、 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html のリンクで、Cisco IOS Release 12.2 の「Command References」の一覧ページに移動します。
「Cisco IOS Commands Master List, Release 12.2」を選択して、コマンドに移動します。

channel-protocol

ポート上で使用されるプロトコルを制限してチャネリングを管理するには、 channel-protocol インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

channel-protocol { lacp | pagp }

no channel-protocol

 
構文の説明

lacp

Link Aggregation Control Protocol(LACP)で EtherChannel を設定します。

pagp

ポート集約プロトコル(PAgP)で EtherChannel を設定します。

 
デフォルト

EtherChannel に割り当てられているプロトコルはありません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

channel-protocol コマンドは、チャネルを LACP または PAgP に制限するためのみに使用します。 channel-protocol コマンドを使用してプロトコルを設定する場合、設定は channel-group インターフェイス コンフィギュレーション コマンドで上書きされることはありません。

channel-group インターフェイス コンフィギュレーション コマンドは、EtherChannel のパラメータ設定に使用してください。また、 channel-group コマンドは、EtherChannel に対しモードを設定することもできます。

EtherChannel グループ上で、PAgP および LACP モードの両方をイネーブルにすることはできません。

PAgP と LACP には互換性がありません。両方ともチャネルの終端は同じプロトコルを使用する必要があります。

次の例では、EtherChannel を管理するプロトコルとして LACP を指定する方法を示します。

Switch(config-if)# channel-protocol lacp
 

show etherchannel [ channel-group-number ] protocol 特権 EXEC コマンドを入力すると、設定を確認できます。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

show etherchannel protocol

EtherChannel のプロトコル情報を表示します。

 

class

トラフィック ポリシーを作成または変更するクラスの名前を指定するには、class ポリシー マップ コンフィギュレーション コマンドを使用します。ポリシー マップから既存のクラスを削除するには、このコマンドの no 形式を使用します。

class { class-map-name | class-default }

no class { class-map-name | class-default }

 
構文の説明

class-map-name

クラス マップ名です。

class-default

分類されていないパケットに一致するデフォルトのシステム クラスです。

 
デフォルト

クラスは定義されません。

 
コマンド モード

ポリシーマップ コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

12.2(55)SE

class-default キーワードが追加されました。

 
使用上のガイドライン

class コマンドを使用する前に、 class-map グローバル コンフィギュレーション コマンドを使用して、クラスにパケットを照合するクラス マップを作成しておく必要があります。また、 policy-map グローバル コンフィギュレーション コマンドを使用してポリシー マップを識別し、ポリシー マップ コンフィギュレーション モードを開始する必要があります。ポリシー マップを指定すると、そのポリシー マップ内で新規クラスのトラフィック ポリシーを設定したり、既存クラスのトラフィック ポリシーを変更したりできます。ポリシー マップ内で class コマンドを使用してクラス名を指定すると、 class-map グローバル コンフィギュレーション コマンドで設定されたとおりに、そのクラスの特性(ポリシー)がクラス マップと一致基準に関連付けられます。 service-policy インターフェイス コンフィギュレーション コマンドを使用して、ポリシー マップをポートへ適用できます。

class コマンドを入力すると、スイッチがポリシー マップ クラス コンフィギュレーション モードになり、次のコンフィギュレーション コマンドが使用可能になります。

bandwidth ポリシー マップに属するクラスに割り当てられる最小帯域幅を指定または修正します。詳細については、 bandwidth コマンドを参照してください。このコマンドは、Enhanced-Services(ES)ポートに適用された階層ポリシー マップでのみ有効です。

exit :ポリシー マップ クラス コンフィギュレーション モードを終了し、ポリシー マップ コンフィギュレーション モードに戻ります。

no :コマンドをデフォルト設定に戻します。

police :トラフィックのクラスにシングルレート ポリサー、集約ポリサー、Committed Information Rate(CIR; 認定情報レート)および Peak Information Rate(PIR; 最大情報レート)を使用するデュアルレート トラフィック ポリサーのいずれかを指定します。ポリサーは、帯域幅の限度およびその限度を超過した場合に実行するアクションを指定します。詳細については、 police および police aggregate コマンドを参照してください。デュアルレート ポリサーの詳細については、 police cir および police cir percent コマンドを参照してください。デュアルレート トラフィック ポリサーのコマンドは、ES ポートに適用された階層ポリシー マップでのみ有効です。

priority :トラフィックのクラスのプライオリティ キュー(Low Latency Queueing(LLQ; 低遅延キューイング))をイネーブルにします。詳細については、 priority コマンドを参照してください。このコマンドは、ES ポートに適用された階層ポリシー マップでのみ有効です。

queue-limit :ES ポートに適用されたポリシー マップに設定されたクラスのテール ドロップに対して、最大パケットしきい値を設定します。詳細については、 queue-limit コマンドを参照してください。このコマンドは、ES ポートに適用された階層ポリシー マップでのみ有効です。

random-detect :ドロップ ポリシーとして Weighted Random Early Detection(WRED; 重み付けランダム早期検出)を設定します。詳細については、 random-detect コマンドを参照してください。このコマンドは、ES ポートに適用された階層ポリシー マップでのみ有効です。

service-policy :ポリシー マップ内で、サービス ポリシーを Quality of Service(QoS)ポリシーとして作成します(階層サービス ポリシー)。詳細については、 service-policy(ポリシー マップ クラス) コマンドを参照してください。このコマンドは、ES ポートに適用された階層ポリシー マップでのみ有効です。

set :Class of Service(CoS; サービス クラス)、Differentiated Service Code Point(DSCP)、IP precedence、Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)Experimental(EXP)ビットのいずれかをパケット内で設定して、IP トラフィックを分類します。詳細については、 set コマンドを参照してください。一部のキーワードは、ES ポートに適用された階層ポリシー マップでのみ有効です。

shape :ポリシー マップ内でトークン バケット Committed Information Rate(CIR; 認定情報レート)を設定します。詳細については、 shape コマンドを参照してください。このコマンドは、ES ポートに適用された階層ポリシー マップでのみ有効です。

trust :トラフィック クラスの信頼状態を定義します。詳細については、 trust コマンドを参照してください。

スイッチでは、ポリシー マップ内で、デフォルト クラスなど最大 8 個のクラスを利用できます。照合条件を満たしていないパケットは、デフォルト トラフィック クラスのメンバーとして分類されます。デフォルト トラフィック クラスを設定するには、 class ポリシー マップ クラス コンフィギュレーション コマンドで、クラス名として class-default を指定します。他のトラフィック クラスと同様、(ポリシーを設定してポリシングやシェーピングを行うなど)デフォルト トラフィック クラスを修正することができますが、削除することはできません。

ポリシー マップ内で、クラスデフォルトは、ポリシー マップ内では明示的に一致していなくても、親のポリシーには一致しているすべてのトラフィックに適用されます。親のポリシーを設定しない場合、親のポリシーは物理ポートとなります。物理レベル ポリシー マップでは、設定可能な唯一のクラスはクラスデフォルトです。

ES ポートに適用された階層ポリシー マップで、 queue-limit ポリシー マップ クラス コンフィギュレーション コマンドまたは random-detect ポリシー マップ クラス コンフィギュレーション コマンドをそれぞれ使用して、テール ドロップまたは WRED パケット ドロップを使用するためのクラス ポリシーを定義します。同一クラス ポリシー内で queue-limit コマンドと random-detect コマンドを一緒に使用することはできませんが、同一ポリシー マップ内の異なるクラス ポリシーでは 2 つのコマンドを一緒に使用できます。

ES ポートに適用された階層ポリシー マップでは、クラス ポリシーで queue-limit または random-detect のいずれかのポリシー マップ クラス コンフィギュレーション コマンドを設定する前に、 bandwidth または shape ポリシー マップ クラス コンフィギュレーション コマンドを設定する必要があります。

クラスにポリシーを設定し、その帯域幅を指定し、ポリシー マップを ES ポート に適用すると、Class-Based Weighted Fair Queueing(CBWFQ; クラス ベース均等化キューイング)によって、クラスの帯域幅要件を満たすことができるかどうかが判別されます。満たすことができる場合、CBWFQ によって、クラスの状態を管理するために必要な内部データ構造が作成され、キューが割り当てられます。CBWFQ によって、クラスの帯域幅要件が満たされないと判別された場合、エラー メッセージが表示され、ポリシーは適用されません。クラスが削除されると、ポートで利用可能な帯域幅が、そのクラスにそれまで割り当てられていた分だけ増えます。

ポリシーマップ コンフィギュレーション モードに戻るには、 exit コマンドを使用します。特権 EXEC モードに戻るには、 end コマンドを使用します。

class class-default ポリシー マップ コンフィギュレーション コマンドを使用して、デフォルト クラスを設定できます。未分類のトラフィック(トラフィック クラスで指定されている一致基準を満たさないトラフィック)は、デフォルトのトラフィックとして扱われます。

次の例では、 policy1 という名前のポリシー マップを作成する方法を示します。ポリシーが入力ポートに適用される場合、 class1 で定義されているすべての着信トラフィックを照合し、IP DSCP を 10 に設定し、平均伝送速度 1 Mbps、バースト 20 KB のトラフィックをポリシングします。プロファイルを超えるトラフィックは、ポリシング設定 DSCP マップから取得した DSCP 値にマークされてから送信されます。

Switch(config)# class-map class1
Switch(config-cmap)# exit
Switch(config)# policy-map policy1
Switch(config-pmap)# class class1
Switch(config-pmap-c)# set ip dscp 10
Switch(config-pmap-c)# police 1000000 20000 exceed-action policed-dscp-transmit
Switch(config-pmap-c)# exit
Switch(config-pmap)# exit
Switch(config)# interface fastethernet1/0/4
Switch(config-if)# service-policy input policy1
 

次の例では、 policy1 という出力ポリシー マップに 2 つのクラス ポリシーを設定します。class1 には、外部 VLAN ID(VLAN 2)および内部 VLAN ID(3 ~ 8)に基づくパケットに一致する 802.1Q トンネリング トラフィックのポリシーを指定します。

Switch(config)# class-map match-all class1
Switch(config-cmap)# match vlan 2
Switch(config-cmap)# match vlan inner 3 - 8
Switch(config-cmap)# exit
Switch(config)# policy-map policy1
Switch(config-pmap)# class class1
Switch(config-pmap-c)# bandwidth 2000
Switch(config-pmap-c)# queue-limit 40
Switch(config-pmap-c)# exit
Switch(config-pmap)# exit
Switch(config)# interface gigabitethernet1/1/1
Switch(config-if)# service-policy output policy1
 

class1 では、輻輳の発生時にこのクラスに最低 2000 Kbps の帯域幅が使用されることを想定しています。このクラスに予約されているキューでは、テール ドロップが発生するまでに 40 のパケットを持つことができます。

次の例では、デフォルト クラスをシェーピングする方法を示します。この設定では、クラスレベルのポリシー マップと VLAN レベルのポリシー マップとを関連付けてから、VLAN レベルのポリシー マップと物理レベルのポリシー マップを関連付けます。

Switch(config)# class-map my-class
Switch(config-cmap)# match ip precedence 1
Switch(config-cmap)# exit
Switch(config)# class-map my-logical-class
Switch(config-cmap)# match vlan 5
Switch(config-cmap)# exit
Switch(config)# policy-map my-class-policy
Switch(config-pmap)# class my-class
Switch(config-pmap-c)# set ip precedence 2
Switch(config-pmap-c)# exit
Switch(config-pmap)# exit
Switch(config)# policy-map my-logical-policy
Switch(config-pmap)# class my-logical-class
Switch(config-pmap-c)# shape average 400000000
Switch(config-pmap-c)# service-policy my-class-policy
Switch(config-pmap-c)# exit
Switch(config-pmap)# exit
Switch(config)# policy-map my-physical-policy
Switch(config-pmap)# class class-default
Switch(config-pmap-c)# shape average 500000000
Switch(config-pmap-c)# service-policy my-logical-policy
 

次の例では、2 つのトラフィック クラスを持つ階層クラスレベル ポリシー マップを作成する方法を示します。一方のクラスにはクラスレベルの分類とデュアルレート ポリサーがあり、もう一方にはデフォルト トラフィック クラスがあります。照合条件を満たしていないパケットは、デフォルト トラフィック クラスのメンバーとして分類され、このトラフィックの IP precedence は 0 にリセットされます。

Switch(config)# class-map match-all classprece1
Switch(config-cmap)# match ip precedence 1
Switch(config-cmap)# exit
Switch-config)# policy-map precedencepolice
Switch(config-pmap)# class classprece1
Switch(config-pmap-c)# police cir 100000000 pir 200000000 conform-action set-prec-transmit 2 exceed-action set-prec-transmit 3 violate-action set-prec-transmit 4
Switch(config-pmap-c)# exit
Switch(config-pmap)# class class-default
Switch(config-pmap-c)# set ip precedence 0
 

前述の階層型 QoS の例では、最初のトラフィック クラスには一致ステートメントが 1 つしかありません。ただし、階層ポリシー マップは複数の一致ステートメントに対応できます。

次の例では、デフォルトのトラフィック クラスをポリシー マップに設定する方法を示します。

Switch# configure terminal
Switch(config)# class-map cm-3
Switch(config-cmap)# match ip dscp 30
Switch(config-cmap)# match protocol ipv6
Switch(config-cmap)# exit
Switch(config)# class-map cm-4
Switch(config-cmap)# match ip dscp 40
Switch(config-cmap)# match protocol ip
Switch(config-cmap)# exit
Switch(config)# policy-map pm3
Switch(config-pmap)# class class-default
Switch(config-pmap-c)# set dscp 10
Switch(config-pmap-c)# exit
Switch(config-pmap)# class cm-3
Switch(config-pmap-c) set dscp 4
Switch(config-pmap-c)# exit
Switch(config-pmap)# class cm-4
Switch(config-pmap-c)# trust cos
Switch(config-pmap-c)# exit
Switch(config-pmap)# exit
 

設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。

 

次の例では、 class-default が最初に設定されていても、デフォルト トラフィック クラスが自動的にポリシー マップ pm3 の最後に配置される方法を示します。

Switch# show policy-map pm3
Policy Map pm3
Class cm-3
set dscp 4
Class cm-4
trust cos
Class class-default
set dscp 10
Switch#

 
関連コマンド

コマンド
説明

bandwidth

ES ポートに適用されたポリシー マップに属するクラスに割り当てられる最小帯域幅を指定または修正します。

class-map

名前を指定したクラスとパケットとの比較に使用されるクラス マップを作成します。

police

トラフィックのクラスのシングルレート トラフィック ポリサーを設定します。

police cir

トラフィックのクラスのデュアルレート トラフィック ポリサーを設定します。

police cir percent

利用可能な帯域幅のパーセンテージに基づいて、トラフィックのクラスのデュアルレート トラフィック ポリサーを設定します。

policy-map

複数のポートに適用することによってサービス ポリシーを指定できるポリシー マップを作成または変更します。

priority

完全プライオリティ キューをイネーブルにし、ES ポートに適用されるポリシー マップに属するトラフィックのクラスに対してプライオリティを付与します。

queue-limit

ES ポートに適用されたポリシー マップのテール ドロップに最大しきい値を設定します。

random-detect

ES ポートに適用されたポリシー マップに WRED を設定します。

service-policy

policy-map グローバル コンフィギュレーション コマンドで定義したポリシー マップをポートに適用します。

service-policy(ポリシー マップ クラス)

サービス ポリシーをポリシー マップ内の QoS ポリシーとして作成します。

set

パケットに CoS、DSCP、IP precedence、または MPLS EXP ビットを設定して、IP トラフィックを分類します。

shape

ES ポートに適用されたポリシー マップでトラフィック シェーピングをイネーブルにします。

show policy-map

QoS ポリシー マップを表示します。

trust

class ポリシー マップ コンフィギュレーション コマンドで分類されたトラフィックの信頼状態を定義します。

 

class-map

指定したクラス名にパケットを照合するクラス マップを作成して、クラス マップ コンフィギュレーション モードを開始するには、 class-map グローバル コンフィギュレーション コマンドを使用します。既存のクラス マップを削除し、グローバル コンフィギュレーション モードに戻る場合は、このコマンドの no 形式を使用します。

class-map [ match-all | match-any ] class-map-name

no class-map [ match-all | match-any ] class-map-name

 
構文の説明

match-all

(任意)このクラス マップ内のすべての一致の論理積をとります。クラス マップ内のすべての基準が一致する必要があります。

match-any

(任意)このクラス マップ内の一致ステートメントの論理和をとります。クラス マップ内の 1 つ以上の基準が一致する必要があります。

class-map-name

クラス マップ名です。

 
デフォルト

クラス マップは定義されません。

match-all および match-any のどちらのキーワードも指定されていない場合、デフォルトは match-all です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

クラス マップ一致基準を作成または変更したいクラスの名前を指定し、クラス マップ コンフィギュレーション モードを開始する場合は、このコマンドを使用します。クラス マップに設定されている一致基準に対してパケットが確認され、パケットがそのクラスに属するかどうかが判断されます。指定の基準にパケットが一致する場合、そのパケットはクラスのメンバーと見なされ、トラフィック ポリシーに設定されている Quality of Service(QoS)仕様に従って転送されます。

最大 4093 個のクラス マップを作成できます。

class-map コマンドを入力すると、スイッチはクラス マップ コンフィギュレーション モードになり、次のコンフィギュレーション コマンドが使用可能になります。

description :クラス マップを説明します(最大 200 文字)。 show class-map 特権 EXEC コマンドは、クラス マップの説明と名前を表示します。

exit :QoS クラス マップ コンフィギュレーション モードを終了します。

match :分類基準を設定します。詳細については、 match(クラスマップ コンフィギュレーション) コマンドを参照してください。

no :クラス マップから match 文を削除します。

rename :現在のクラス マップの名前を変更します。クラス マップ名をすでに使用されている名前に変更すると、「 A class-map with this name already exists 」が表示されます。

1 つのクラス マップで設定できるアクセス コントロール リスト(ACL)は 1 つだけです。ACL には複数の Access Control Entry(ACE; アクセス コントロール エントリ)を含めることができます。ACL が含まれるクラス マップは、Enhanced-Services(ES)ポートに適用された出力ポリシーまたは ES ポートに適用された階層入力ポリシーではサポートされません。

次の例では、クラス マップ class1 に 1 つの一致基準(アクセス リスト 103 )を設定する方法を示します。

Switch(config)# access-list 103 permit ip any any dscp 10
Switch(config)# class-map class1
Switch(config-cmap)# match access-group 103
Switch(config-cmap)# exit
 

次の例では、クラス マップ class1 を削除する方法を示します。

Switch(config)# no class-map class1
 

show class-map 特権 EXEC コマンドを入力すると、設定を確認できます。

 
関連コマンド

コマンド
説明

class

トラフィック ポリシーを作成または変更するクラスの名前を指定します。

match(クラスマップ コンフィギュレーション)

クラス マップの一致基準を定義します。

policy-map

複数のポートに適用することによってサービス ポリシーを指定できるポリシー マップを作成または変更します。

show class-map

QoS クラス マップを表示します。

 

clear ip arp inspection log

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)インスペクションのログ バッファをクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear ip arp inspection log 特権 EXEC コマンドを使用します。

clear ip arp inspection log

このコマンドは、スイッチが Enhanced Multilayer Image(EMI; 拡張マルチレイヤ イメージ)を実行している場合にのみ使用可能です。

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

次の例では、ログ バッファの内容をクリアする方法を示します。

Switch# clear ip arp inspection log
 

ログがクリアされたかどうかを確認するには、 show ip arp inspection log 特権コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP アクセス コントロール リスト(ACL)を定義します。

ip arp inspection log-buffer

ダイナミック ARP インスペクションのログ バッファを設定します。

ip arp inspection vlan logging

VLAN ごとにロギングされるパケットのタイプを制御します。

show ip arp inspection log

ダイナミック ARP インスペクション ログ バッファの設定と内容を表示します。

clear ip arp inspection statistics

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)インスペクションの統計情報をクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear ip arp inspection statistics 特権 EXEC コマンドを使用します

clear ip arp inspection statistics [ vlan vlan-range ]

このコマンドは、スイッチが Enhanced Multilayer Image(EMI; 拡張マルチレイヤ イメージ)を実行している場合にのみ使用可能です。

 
構文の説明

vlan vlan-range

(任意)指定された VLAN(1 つまたは複数)の統計情報をクリアします。

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定することができます。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

次の例では、VLAN 1 の統計情報をクリアする方法を示します。

Switch# clear ip arp inspection statistics vlan 1
 

統計情報が削除されたかどうかを確認するには、 show ip arp inspection statistics vlan 1 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip arp inspection statistics

すべての VLAN または指定された VLAN に関して転送されたパケット、廃棄されたパケット、MAC 検証で不合格となったパケット、および IP 検証で不合格となったパケットの統計情報を表示します。

clear ip dhcp snooping

DHCP スヌーピング バインディング データベース、DHCP スヌーピング バインディング データベース エージェントの統計情報、または DHCP スヌーピング統計カウンタをクリアするには、 clear ip dhcp snooping 特権 EXEC コマンドを使用します。

clear ip dhcp snooping { binding {* | ip-address | interface interface-id | vlan vlan-id } | database statistics | statistics }

 
構文の説明

binding

DHCP スヌーピング バインディング データベースをクリアします。

*

すべての自動バインディングをクリアします。

ip-address

バインディング エントリ IP アドレスをクリアします。

interface interface-id

バインディング入力インターフェイスをクリアします。

vlan vlan-id

バインディング エントリ VLAN をクリアします。

database statistics

DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアします。

statistics

DHCP スヌーピング統計カウンタをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

12.2(37)SE

statistics キーワードが追加されました。

12.2(44)SE

*、ip-address、interface interface-id、 vlan vlan-id キーワードが追加されました。

 
使用上のガイドライン

clear ip dhcp snooping database statistics コマンドを入力すると、スイッチは統計情報をクリアする前にバインディング データベースおよびバインディング ファイル内のエントリを更新しません。

次の例では、DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアする方法を示します。

Switch# clear ip dhcp snooping database statistics
 

統計情報がクリアされたかどうかを確認するには、 show ip dhcp snooping database 特権 EXEC コマンドを入力します。

次の例では、DHCP スヌーピング統計カウンタをクリアする方法を示します。

Switch# clear ip dhcp snooping statistics
 

統計情報がクリアされたかどうかを確認するには、 show ip dhcp snooping statistics ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping

VLAN 上で DHCP スヌーピングをイネーブルにします。

ip dhcp snooping database

DHCP スヌーピング バインディング データベース エージェントまたはバインディング ファイルを設定します。

show ip dhcp snooping binding

DHCP スヌーピング データベース エージェントのステータスを表示します。

show ip dhcp snooping database

DHCP スヌーピング バインディング データベース エージェントの統計情報を表示します。

show ip dhcp snooping statistics

DHCP スヌーピングの統計情報を表示します。

clear ipv6 dhcp conflict

Dynamic Host Configuration Protocol for IPv6(DHCPv6)サーバ データベースからアドレス競合をクリアするには、 clear ipv6 dhcp conflict 特権 EXEC コマンドを使用します。

clear ipv6 dhcp conflict {* | IPv6-address}


) このコマンドは、スイッチでデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートが設定されている場合に限り使用可能です。


 
構文の説明

*

すべてのアドレス競合をクリアします。

IPv6-address

競合するアドレスを含むホスト IPv6 アドレスをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | routing | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。

競合を検出するように DHCPv6 サーバを設定する場合、DHCPv6 サーバは ping を使用します。クライアントはネイバー探索を使用してクライアントを検出し、DECLINE メッセージを介してサーバに報告します。アドレス競合が検出されると、このアドレスはプールから削除されます。管理者がこのアドレスを競合リストから削除するまで、このアドレスは割り当てられません。

アドレス パラメータとしてアスタリスク(*)文字を使用すると、DHCP はすべての競合をクリアします。

次の例では、DHCPv6 サーバ データベースからすべてのアドレス競合をクリアする方法を示します。

Switch# clear ipv6 dhcp conflict *

 
関連コマンド

コマンド
説明

show ipv6 dhcp conflict

DHCPv6 サーバによって検出された、またはクライアントから DECLINE メッセージにより報告されたアドレス競合を表示します。

 

clear l2protocol-tunnel counters

プロトコル トンネル ポートのプロトコル カウンタをクリアするには、 clear l2protocol-tunnel counters 特権 EXEC コマンドを使用します。

clear l2protocol-tunnel counters [ interface-id ]

 
構文の説明

interface-id

(任意)プロトコル カウンタをクリアするインターフェイスを指定します。インターフェイスは、物理インターフェイスでもポート チャネルでもかまいません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

スイッチまたは指定されたインターフェイスのプロトコル トンネル カウンタをクリアするには、このコマンドを使用します。

次の例では、ポートでレイヤ 2 プロトコル トンネル カウンタをクリアする方法を示します。

Switch # clear l2protocol-tunnel counters gigabitethernet1/0/2
 

情報が削除されたことを確認するには、 show l2protocol-tunnel 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show l2protocol-tunnel

レイヤ 2 プロトコル トンネリングが設定されたポートに関する情報を表示します。

 

clear lacp

Link Aggregation Control Protocol(LACP)チャネル グループ カウンタをクリアするには、 clear lacp 特権 EXEC コマンドを使用します。

clear lacp { channel-group-number counters | counters }

 
構文の説明

channel-group-number

(任意)チャネル グループ番号。指定できる範囲は 1 ~ 12 です。

counters

トラフィックのカウンタをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

clear lacp counters コマンドを使用することで、カウンタをすべてクリアできます。また、指定のチャネル グループのカウンタのみをクリアする場合には、 clear lacp channel-group-number counters コマンドを使用します。

次の例では、すべてのチャネル グループ情報をクリアする方法を示します。

Switch# clear lacp counters
 

次の例では、グループ 4 の LACP トラフィックのカウンタをクリアする方法を示します。

Switch# clear lacp 4 counters
 

情報が削除されたかどうかを確認するには、 show lacp counters または show lacp 4 counters 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show lacp

LACP チャネル グループ情報を表示します。

 

clear mac address-table

すべてのダイナミック MAC アドレス、特定のダイナミック MAC アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、特定の VLAN 上のすべてのダイナミック アドレスを MAC アドレス テーブルから削除するには、 clear mac address-table 特権 EXEC コマンドを使用します。このコマンドはまた MAC アドレス通知グローバル カウンタもクリアします。

clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id ] | notification }

 
構文の説明

dynamic

すべてのダイナミック MAC アドレスを削除します。

dynamic address mac-addr

(任意)指定されたダイナミック MAC アドレスを削除します。

dynamic interface interface-id

(任意)指定された物理ポートまたはポート チャネル上のすべてのダイナミック MAC アドレスを削除します。

dynamic vlan vlan-id

(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ~ 4094 です。

notification

履歴テーブルの通知をクリアし、カウンタをリセットします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

次の例では、ダイナミック アドレス テーブルから指定の MAC アドレスを削除する方法を示します。

Switch# clear mac address-table dynamic address 0008.0070.0007
 

情報が削除されたかどうかを確認するには、 show mac address-table 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

mac address-table notification

MAC アドレス通知機能をイネーブルにします。

show mac address-table

MAC アドレス テーブルのスタティック エントリおよびダイナミック エントリを表示します。

show mac address-table notification

すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。

snmp trap mac-notification change

特定のインターフェイス上の Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)MAC アドレス通知トラップをイネーブルにします。

clear mac address-table move update

MAC アドレス テーブルの移行更新に関連したカウンタをクリアするには、 clear mac address-table move update 特権 EXEC コマンドを使用します。

clear mac address-table move update

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが追加されました。

次の例では、MAC アドレス テーブル移行更新関連カウンタをクリアする方法を示します。

Switch# clear mac address-table move update
 

情報がクリアされたかどうかを確認するには、 show mac address-table move update 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

mac address-table move update

スイッチ上の MAC アドレス テーブル移行更新を設定します。

show mac address-table move update

スイッチの MAC アドレス テーブル移行更新情報を表示します。

 

clear pagp

ポート集約プロトコル(PAgP)チャネル グループ情報をクリアするには、 clear pagp 特権 EXEC コマンドを使用します。

clear pagp { channel-group-number counters | counters }

 
構文の説明

channel- group-number

(任意)チャネル グループ番号。指定できる範囲は 1 ~ 12 です。

counters

トラフィックのカウンタをクリアします。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

すべてのカウンタをクリアするには、 clear pagp counters コマンドを使用します。また、 clear pagp channel-group-number counters コマンドを使用すると、指定のチャネル グループのカウンタだけをクリアできます。

次の例では、すべてのチャネル グループ情報をクリアする方法を示します。

Switch# clear pagp counters
 

次の例では、グループ 10 の PAgP トラフィックのカウンタをクリアする方法を示します。

Switch# clear pagp 10 counters
 

情報が削除されたかどうかを確認するには、 show pagp 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show pagp

PAgP チャネル グループ情報を表示します。

clear rep counters

指定したインターフェイスまたはすべてのインターフェイスの Resilient Ethernet Protocol(REP; レジリエント イーサネット プロトコル)カウンタをクリアするには、 clear rep counters 特権 EXEC コマンドを使用します。

clear rep counters [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)カウンタをクリアする REP インターフェイスを指定します。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

122(46)SE

このコマンドが追加されました。

 
使用上のガイドライン

すべての REP カウンタをクリアするには、 clear rep counters コマンドを使用します。また、clear rep counters interface interface-id コマンドを使用すると、そのインターフェイスのカウンタだけをクリアできます。

clear rep counters コマンドを入力すると、 show interface rep detail コマンドの出力に表示されるカウンタだけをクリアできます。SNMP に表示されるカウンタは読み取り専用であるため、クリアできません。

次の例では、すべての REP インターフェイスのすべての REP カウンタをクリアする方法を示します。

Switch# clear rep counters
 

REP 情報が削除されたかどうかを確認するには、 show interfaces rep detail 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces rep detail

REP 設定の詳細とステータス情報を表示します。

 

clear spanning-tree counters

スパニングツリー カウンタをクリアするには、 clear spanning-tree counters 特権 EXEC コマンドを使用します。

clear spanning-tree counters [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)指定のインターフェイスのスパニングツリー カウンタをすべてクリアします。有効なインターフェイスとしては、物理ポート、VLAN、およびポート チャネルがあります。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 12 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

interface-id が指定されていない場合は、すべてのインターフェイスのスパニングツリー カウンタがクリアされます。

次の例では、すべてのインターフェイスのスパニングツリー カウンタをクリアする方法を示します。

Switch# clear spanning-tree counters

 
関連コマンド

コマンド
説明

show spanning-tree

スパニングツリー ステート情報を表示します。

clear spanning-tree detected-protocols

すべてのインターフェイスまたは指定されたインターフェイス上でプロトコル移行プロセスを再開する(強制的に近接スイッチと再ネゴシエートする)には、 clear spanning-tree detected-protocols 特権 EXEC コマンドを使用します。

clear spanning-tree detected-protocols [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)指定されたインターフェイスでプロトコル移行プロセスを再開します。有効なインターフェイスとしては、物理ポート、VLAN、およびポート チャネルがあります。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 12 です。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

Rapid Per-VLAN Spanning-Tree Plus(Rapid PVST+)プロトコルまたは Multiple Spanning Tree Protocol(MSTP; 多重スパニング ツリー プロトコル)が稼動しているスイッチは、組み込みプロトコル移行メカニズムをサポートしているため、レガシー 802.1D スイッチと相互に動作できます。Rapid PVST+ スイッチまたは MSTP スイッチが、プロトコル バージョンが 0 に設定されているレガシー IEEE 802.1D コンフィギュレーション Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を受信した場合、そのインターフェイスでは 802.1D BPDU だけを送信します。Multiple Spanning-Tree(MST; 多重スパニング ツリー)スイッチが、レガシー BPDU、別のリージョンに関連付けられた MST BPDU(バージョン 3)、Rapid Spanning-Tree(RST; 高速スパニング ツリー)BPDU(バージョン 2)を受信した場合、そのインターフェイスがリージョンの境界にあることを検出します。

ただし、それ以上 802.1D BPDU を受信しなければ、スイッチが自動的に Rapid-PVST+ または MSTP モードに戻ることはありません。レガシー スイッチが指定スイッチでない場合、そのレガシー スイッチがリンクから削除されているかどうかを検出することはできません。この状況では、 clear spanning-tree detected-protocols コマンドを使用します。

次の例では、ポートでプロトコル移行プロセスを再開する方法を示します。

Switch# clear spanning-tree detected-protocols interface gigabitethernet1/0/1

 
関連コマンド

コマンド
説明

show spanning-tree

スパニングツリー ステート情報を表示します。

spanning-tree link-type

デフォルト リンクタイプ設定を上書きし、スパニング ツリーがフォワーディング ステートに高速移行できるようにします。

 

clear vmps statistics

VLAN Query Protocol(VQP)クライアントが保持する統計情報を消去するには、 clear vmps statistics 特権 EXEC コマンドを使用します。

clear vmps statistics

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

次の例では、VLAN Membership Policy Server(VMPS; VLAN メンバシップ ポリシー サーバ)統計情報をクリアする方法を示します。

Switch# clear vmps statistics
 

情報が削除されたかどうかを確認するには、 show vmps statistics 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show vmps

VQP バージョン、再確認間隔、再試行回数、VMPS IP アドレス、および現在のサーバとプライマリ サーバを表示します。

clear vtp counters

VLAN Trunking Protocol(VTP; VLAN トランキング プロトコル)およびプルーニング カウンタを消去するには、 clear vtp counters 特権 EXEC コマンドを使用します。

clear vtp counters

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

次の例では、VTP カウンタをクリアする方法を示します。

Switch# clear vtp counters
 

情報が削除されたかどうかを確認するには、 show vtp counters 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show vtp

VTP 管理ドメイン、ステータス、カウンタの一般情報を表示します。

 

cpu traffic qos cos

CPU トラフィックの Class of Service(CoS; サービス クラス)値をマーキングするには、グローバル コンフィギュレーション モードで cpu traffic qos cos コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cpu traffic qos cos { cos-value | trust}

no cpu traffic qos cos { cos-value | trust}

 
構文の説明

cos-value

CoS 値を指定します。指定できる範囲は 0 ~ 7 です。CoS 値が設定されていない場合は、各パケットのプロトコル固有の値が適用されます。

trust

着信パケットの CoS 値を信頼するようにスイッチを設定します。

 
コマンド デフォルト

コントロール プレーン(CPU)トラフィックは QoS ではマーキングされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

この機能はスイッチでグローバルに設定する必要があります。ポート単位やプロトコル単位では設定できません。

cpu traffic qos マーキング アクションは、個別の行に入力します。

trust キーワードは、着信の CoS 値、DSCP 値、precedence 値を信頼し、グローバル マップ コンフィギュレーションに従ってパケットをマーキングするようにスイッチを設定します。

CoS を信頼するようにスイッチを設定すると、そのコンフィギュレーションは IP と非 IP の両方のトラフィックに適用されます。

CoS ではなく DSCP または precedence を信頼または変更するようにスイッチを設定すると、そのコンフィギュレーションは IP トラフィックにのみ適用されます。

CoS を信頼し、DSCP または precedence を信頼または変更するようにスイッチを設定すると、CoS の信頼は非 IP トラフィックに適用され、DSCP または precedence の信頼または変更は IP トラフィックに適用されます。

cpu traffic qos cos グローバル コンフィギュレーション コマンドは、CoS の信頼および CoS 値の指定の両方ではなくいずれかを行って、CPU で生成されるトラフィックの CoS マーキングを設定します。新しいコンフィギュレーションは既存のコンフィギュレーションを上書きします。

次の例では、CPU で生成される IP トラフィック(IP-SLA および TWAMP など)に CoS 値を指定する方法を示します。

Switch(config)# cpu traffic qos cos 2
 

次の例では、着信パケットの CoS 値を信頼するようにスイッチを設定する方法を示します。

Switch(config)# cpu traffic qos cos trust

 
関連コマンド

コマンド
説明

cpu traffic qos dscp

CPU で生成されるトラフィックの DSCP 値を設定します。

cpu traffic qos precedence

CPU で生成されるトラフィックの優先順位を設定します。

mls qos map

CPU で生成されるトラフィックの CoS 値、DSCP 値、優先順位値を設定するようにグローバル マップを設定します。

show cpu traffic qos

CPU で生成されるトラフィックに設定される QoS マーキング値を表示します。

show mls qos maps

すべてのグローバル マップの情報を表示します。

show running-config

設定されているグローバル マップと CPU トラフィック QoS の設定を表示します。

 

 

cpu traffic qos dscp

CPU トラフィックの Differentiated Service Code Point(DSCP)値を設定するには、 cpu traffic qos dscp コマンドをグローバル コンフィギュレーション モードで使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cpu traffic qos dscp { dscp-value | trust | dscp-mutation mutation-map-name }

no cpu traffic qos dscp { dscp-value | trust | dscp-mutation mutation-map-name }

 
構文の説明

dscp-value

CPU トラフィックの DSCP 値を設定します。範囲は 0 ~ 63 です。DSCP 値が設定されていない場合は、各パケットのプロトコル固有の値が適用されます。

trust

着信パケットの DSCP 値を信頼するようにスイッチを設定します。

dscp-mutation mutation-map-name

設定されている変換マップに基づいて、着信 DSCP 値を変更するようにスイッチを設定します。

 
コマンド デフォルト

コントロール プレーン(CPU)トラフィックは QoS ではマーキングされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

この機能はスイッチでグローバルに設定する必要があります。ポート単位やプロトコル単位では設定できません。

cpu traffic qos マーキング アクションは、個別の行に入力します。

trust キーワードは、着信の CoS 値、DSCP 値、precedence 値を信頼し、グローバル マップ コンフィギュレーションに従ってパケットをマーキングするようにスイッチを設定します。

mutation キーワードは、グローバル変換マップ コンフィギュレーションに基づいて、着信値を変更するようにスイッチを設定します。

CoS を信頼するようにスイッチを設定すると、そのコンフィギュレーションは IP と非 IP の両方のトラフィックに適用されます。

CoS ではなく DSCP または precedence を信頼または変更するようにスイッチを設定すると、そのコンフィギュレーションは IP トラフィックにのみ適用されます。

CoS を信頼し、DSCP または precedence を信頼または変更するようにスイッチを設定すると、CoS の信頼は非 IP トラフィックに適用され、DSCP または precedence の信頼または変更は IP トラフィックに適用されます。

cpu traffic qos dscp グローバル コンフィギュレーション コマンドは、DSCP の信頼、DSCP の変換、DSCP 値の指定のいずれかを行って、CPU で生成されるトラフィックに DSCP マーキングを設定します。新しいコンフィギュレーションは既存のコンフィギュレーションを上書きします。

cpu traffic qos dscp および cpu traffic qos precedence グローバル コンフィギュレーション コマンドは相互に排他的です。新しいコンフィギュレーションは既存のコンフィギュレーションを上書きします。

次の例では、CPU で生成されるパケットの DSCP 値を設定する方法を示します。

 
Switch(config)# cpu traffic qos dscp 36
 

次の例では、CPU で生成される着信パケットの DSCP 値を信頼するようにスイッチを設定する方法を示します。

Switch(config)# cpu traffic qos dscp trust
 

次の例では、CPU で生成される IP トラフィック(IP-SLA および TWAMP など)の DSCP を、パケットの DSCP 値に基づいてマーキングする方法を示します。

この例の結果は次のようになります。

DSCP 値 0 を持つすべての IP トラフィックには、DSCP 値 30 が割り当てられる。

DSCP 値 af41 34 )、 af42 36 )、 af43 38 )を持つすべての IP トラフィックには、DSCP 値 48 が割り当てられる。

その他の IP および非 IP のトラフィックはすべてデフォルト設定で処理される。

マップ:

 
Switch(config)# mls qos
Switch(config)# mls qos map dscp-mutation mapname 0 to 30
Switch(config)# mls qos map dscp-mutation mapname 34 36 38 to 48

CPU QoS:

 
Switch(config)# cpu traffic qos dscp dscp-mutation mapname

 

 
関連コマンド

コマンド
説明

cpu traffic qos cos

CPU で生成されるトラフィックの CoS 値を設定します。

cpu traffic qos precedence

CPU で生成されるトラフィックの優先順位を設定します。

mls qos map

CPU で生成されるトラフィックの CoS 値、DSCP 値、優先順位値を設定するようにグローバル マップを設定します。

show cpu traffic qos

CPU で生成されるトラフィックに設定される QoS マーキング値を表示します。

show mls qos maps

すべてのグローバル マップの情報を表示します。

show running-config

設定されているグローバル マップと CPU トラフィック QoS の設定を表示します。

 

 

cpu traffic qos precedence

コントロール プレーン トラフィックに Quality of Service(QoS)マーキングを設定するには、グローバル コンフィギュレーション モードで cpu traffic qos precedence コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cpu traffic qos precedence { precedence-value | trust | precedence-mutation mutation-map-name }

no cpu traffic qos precedence { precedence-value | trust | precedence-mutation mutation-map-name }

 
構文の説明

precedence-value

precedence 値を設定します。指定できる範囲は 0 ~ 7 です。precedence 値が設定されていない場合、各パケットのプロトコル固有の値が適用されます。

(注) 次のキーワードを 0 ~ 7 の数字に置き換えることができます。

routine(0)

priority(1)

immediate(2)

flash(3)

flash-override(4)

critical(5)

internet(6)

network(7)

trust

着信パケットの precedence 値を信頼するようにスイッチを設定します。

precedence-mutation mutation-map-name

設定されている変換マップに基づいて、着信 precedence 値を変更するようにスイッチを設定します。

 
コマンド デフォルト

コントロール プレーン(CPU)トラフィックは QoS ではマーキングされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

この機能はスイッチでグローバルに設定する必要があります。ポート単位やプロトコル単位では設定できません。

cpu traffic qos マーキング アクションは、個別の行に入力します。

trust キーワードは、着信の CoS 値、DSCP 値、precedence 値を信頼し、グローバル マップ コンフィギュレーションに従ってパケットをマーキングするようにスイッチを設定します。

mutation キーワードは、グローバル変換マップ コンフィギュレーションに基づいて、着信値を変更するようにスイッチを設定します。

CoS を信頼するようにスイッチを設定すると、そのコンフィギュレーションは IP と非 IP の両方のトラフィックに適用されます。

CoS ではなく DSCP または precedence を信頼または変更するようにスイッチを設定すると、そのコンフィギュレーションは IP トラフィックにのみ適用されます。

CoS を信頼し、DSCP または precedence を信頼または変更するようにスイッチを設定すると、CoS の信頼は非 IP トラフィックに適用され、DSCP または precedence の信頼または変更は IP トラフィックに適用されます。

cpu traffic qos precedence グローバル コンフィギュレーション コマンドは、precedence の信頼、precedence の変換、precedence 値の指定のいずれかを行って、CPU で生成されるトラフィックの precedence マーキングを設定します。新しいコンフィギュレーションは既存のコンフィギュレーションを上書きします。

cpu traffic qos dscp および cpu traffic qos precedence グローバル コンフィギュレーション コマンドは相互に排他的です。新しいコンフィギュレーションは既存のコンフィギュレーションを上書きします。

次の例では、CPU トラフィックの precedence 値を 2 に設定する方法を示します。

Switch(config)# cpu traffic qos precedence 2
 

次の例では、CPU で生成される着信パケットの precedence 値を信頼するようにスイッチを設定する方法を示します。

Switch(config)# cpu traffic qos precedence trust
 

次の例では、CPU で生成される IP トラフィック(IP-SLA および TWAMP など)の precedence をパケットの precedence 値に基づいてマーキングする方法を示します。

この例の結果は次のようになります。

precedence 値 0 を持つ、CPU で生成されるすべての IP トラフィックには、precedence 値 3 が割り当てられる。

precedence 値 2 3 4 を持つ、CPU で生成されるすべての IP トラフィックには、precedence 値 6 が割り当てられる。

その他の IP および非 IP のトラフィックはすべてデフォルト設定で処理される。

マップ:

Switch(config)# mls qos
Switch(config)# mls qos map dscp-mutation mapname 0 to 24
Switch(config)# mls qos map dscp-mutation mapname 16 24 32 to 48

CPU QoS:

Switch(config)# cpu traffic qos precedence precedence-mutation mapname

 

 
関連コマンド

コマンド
説明

cpu traffic qos cos

CPU で生成されるトラフィックの CoS 値を設定します。

cpu traffic qos dscp

CPU で生成されるトラフィックの DSCP 値を設定します。

mls qos map

CPU で生成されるトラフィックの CoS 値、DSCP 値、優先順位値を設定するようにグローバル マップを設定します。

show cpu traffic qos

CPU で生成されるトラフィックに設定される QoS マーキング値を表示します。

show mls qos maps

すべてのグローバル マップの情報を表示します。

show running-config

設定されているグローバル マップと CPU トラフィック QoS の設定を表示します。

define interface-range

インターフェイス範囲マクロを作成するには、 define interface-range グローバル コンフィギュレーション コマンドを使用します。定義されたマクロを削除するには、このコマンドの no 形式を使用します。

define interface-range macro-name interface-range

no define interface-range macro-name

 
構文の説明

macro-name

インターフェイス範囲マクロの名前(最大 32 文字)

interface-range

インターフェイス範囲。インターフェイス範囲の有効値については、「使用上のガイドライン」を参照してください。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

マクロ名は、最大 32 文字の文字列です。

マクロには、最大 5 つの範囲を含めることができます。

ある範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、マクロ内では複数のインターフェイス タイプを組み合わせることができます。

interface-range を入力する場合は、次のフォーマットを使用します。

type { first-interface } - { last-interface }

interface-range を入力するときは、最初のインターフェイス番号とハイフンの間にスペースを入れます。たとえば、fastethernet1/0/1 -5 は有効な範囲です。fastethernet1/0/1-5 は有効な範囲ではありません。

type interface の有効値は次のとおりです。

vlan vlan-id 。ここで、 vlan-id の範囲は 1 ~ 4094 です。

VLAN インターフェイスが interface vlan コマンドで設定されている必要があります。設定されている VLAN インターフェイスを表示するには、 show running-config 特権 EXEC コマンドを入力します。 show running-config コマンドで表示されない VLAN インターフェイスは、 interface-range では使用できません。

port-channel port-channel-number 。ここで、 port-channel-number は 1 ~ 12 です。

fastethernet switch number(常に 1)/module/{ first port } - { last port }

gigabitethernet switch number(常に 1)/module/{ first port } - { last port }

物理インターフェイス

スイッチ番号は常に 1 です。

モジュール番号は、10/100 ポートと標準の SFP モジュール スロットでは 0、Enhanced-Services(ES)ポートでは 1 です。

範囲は type 1 / module-n umber/number - number(たとえば、gigabitethernet 1/0/1 - 2)です。

範囲を定義するときは、ハイフン(-)の前にスペースが必要です。次に例を示します。

gigabitethernet1/0/1 - 2

複数の範囲を入力することもできます。複数の範囲を定義するときは、カンマ(,)の前の最初のエントリのあとにスペースが必要です。カンマのあとのスペースは任意になります。次に例を示します。

fastethernet1/0/3 , gigabitethernet1/0/1 - 2

fastethernet1/0/3 -4, gigabitethernet1/0/1 - 2

次の例では、複数のインターフェイス マクロを作成する方法を示します。

Switch(config)# define interface-range macro1 fastethernet1/0/1 -2, fastethernet1/0/5

 
関連コマンド

コマンド
説明

interface range

複数のポートで 1 つのコマンドを同時に実行します。

show running-config

動作設定を表示します。構文情報については、 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html のリンクで、Cisco IOS Release 12.2 の「Command References」の一覧ページに移動します。
「Cisco IOS Commands Master List, Release 12.2」を選択して、コマンドに移動します。

delete

フラッシュ メモリ デバイス上のファイルまたはディレクトリを削除するには、 delete 特権 EXEC コマンドを使用します。

delete [ /force ] [/ recursive ] filesystem :/ file-url

 
構文の説明

/force

(任意)削除を確認するプロンプトを抑制します。

/recursive

(任意)指定されたディレクトリおよびそのディレクトリに含まれるすべてのサブディレクトリおよびファイルを削除します。

filesystem :

フラッシュ ファイル システムのエイリアスです。

ローカル フラッシュ ファイル システムの構文 flash:

/file-url

削除するパス(ディレクトリ)およびファイル名

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

/force キーワードを使用すると、削除プロセスにおいて削除の確認を要求するプロンプトが、最初の 1 回のみとなります。

/force キーワードを指定せずに /recursive キーワードを使用すると、ファイルごとに削除の確認を要求するプロンプトが表示されます。

プロンプト動作は、 file prompt グローバル コンフィギュレーション コマンドの設定によって異なります。デフォルトでは、スイッチは、破壊的なファイル操作に関する確認をプロンプトで要求します。このコマンドの詳細については、『 Cisco IOS Command Reference for Release 12.2 』を参照してください。

次の例では、新しいイメージのダウンロードが正常に終了したあとに、古いソフトウェア イメージを含むディレクトリを削除する方法を示します。

Switch# delete /force /recursive flash:/old-image
 

ディレクトリが削除されたかどうかを確認するには、 dir filesystem : 特権 EXEC コマンドを使用します。

 
関連コマンド

コマンド
説明

archive download-sw

新しいイメージをスイッチにダウンロードし、既存のイメージを上書きまたは保存します。

deny(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングへの照合に基づいて Address Resolution Protocol(ARP; アドレス解決プロトコル)パケットを拒否するには、スイッチ スタックまたはスタンドアロン スイッチ上で deny ARP アクセス リスト コンフィギュレーション コマンドを使用します。指定したアクセス コントロール エントリ(ACE)をアクセス リストから削除する場合は、このコマンドの no 形式を使用します。

deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

no deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

このコマンドは、スイッチが Enhanced Multilayer Image(EMI; 拡張マルチレイヤ イメージ)を実行している場合にのみ使用可能です。

 
構文の説明

request

(任意)ARP 要求の照合条件を定義します。request を指定しないと、すべての ARP パケットに対して照合が実行されます。

ip

送信元 IP アドレスを指定します。

any

任意の IP アドレスまたは MAC アドレスを拒否します。

host sender-ip

指定された送信元 IP アドレスを拒否します。

sender-ip sender-ip-mask

指定された範囲の送信元 IP アドレスを拒否します。

mac

送信元 MAC アドレスを拒否します。

host sender-mac

指定された送信元 MAC アドレスを拒否します。

sender-mac sender-mac-mask

指定された範囲の送信元 MAC アドレスを拒否します。

response ip

ARP 応答の IP アドレス値を定義します。

host target-ip

指定された宛先 IP アドレスを拒否します。

target-ip target-ip-mask

指定された範囲の宛先 IP アドレスを拒否します。

mac

ARP 応答の MAC アドレス値を拒否します。

host target-mac

指定された宛先 MAC アドレスを拒否します。

target-mac target-mac-mask

指定された範囲の宛先 MAC アドレスを拒否します。

log

(任意)ACE と一致したパケットをロギングします。

 
デフォルト

デフォルト値は設定されていません。ただし、ARP アクセス リストの末尾に暗黙的な deny ip any mac any コマンドが指定されています。

 
コマンド モード

ARP アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

照合条件に基づいて ARP パケットを廃棄する deny 句を追加できます。

次の例では、ARP アクセス リストを定義し、IP アドレス 1.1.1.1 および MAC アドレス 0000.0000.abcd のホストからの ARP 要求と ARP 応答をいずれも拒否する方法を示します。

Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# deny ip host 1.1.1.1 mac host 0000.0000.abcd
Switch(config-arp-nacl)# end
 

設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP アクセス コントロール リスト(ACL)を定義します。

ip arp inspection filter vlan

スタティック IP アドレスが設定されたホストからの ARP 要求と ARP 応答を許可します。

permit(MAC アクセス リスト コンフィギュレーション)

DHCP バインディングと一致した ARP パケットを許可します。

show arp access-list

ARP アクセス リストの詳細を表示します。

deny(IPv6 アクセス リスト コンフィギュレーション)

IPv6 アクセス リスト コンフィギュレーション モードで、 deny コマンドを使用して IPv6 アクセス リストの拒否条件を設定します。拒否条件を削除するには、このコマンドの no 形式を使用します。

deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ routing ] [ sequence value ] [ time-range name ]

no deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ routing ] [ sequence value ] [ time-range name ]

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)

deny icmp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ icmp-type [ icmp-code ] | icmp-message ] [ dscp value ] [ log ] [ log-input ] [ routing ] [ sequence value ] [ time-range name ]

Transmission Control Protocol(TCP; 伝送制御プロトコル)

deny tcp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ ack ] [ dscp value ] [ established ] [ fin ] [ log ] [ log-input ] [ neq { port | protocol }] [ psh ] [ range { port | protocol }] [ rst ] [ routing ] [ sequence value ] [ syn ] [ time-range name ] [ urg ]

User Datagram Protocol(UDP)

deny udp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ log ] [ log-input ] [ neq { port | protocol }] [ range { port | protocol }] [ routing ] [ sequence value ] [ time-range name ]


) このコマンドは、スイッチでデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートが設定されている場合に限り使用可能です。


 
構文の説明

protocol

インターネット プロトコルの名前または番号。 ahp esp icmp ipv6 pcp sctp tcp 、または udp キーワードの 1 つ、あるいは IPv6 プロトコル番号を示す 0 ~ 255 の範囲の整数にすることができます。

source-ipv6-prefix / prefix-length

拒否条件を設定する送信元 IPv6 ネットワークまたはネットワークのクラス。

この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

any

IPv6 プレフィクス ::/0 の省略形

host source-ipv6-address

拒否条件を設定する送信元 IPv6 ホスト アドレス。

この source-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

operator [ port-number ]

(任意)指定のプロトコルの送信元または宛先ポートを比較する演算子を指定します。演算子は、 lt (less than:未満)、 gt (greater than:より大きい)、 eq (equal:一致)、 neq (not equal:不一致)、 range (inclusive range:包含範囲)です。

source-ipv6-prefix / prefix-length 引数の後ろに演算子が置かれた場合、送信元ポートと一致する必要があります。

destination-ipv6-prefix/prefix-length 引数の後ろに演算子が置かれた場合、宛先ポートと一致する必要があります。

range 演算子には 2 つのポート番号が必要です。他のすべての演算子は 1 つのポート番号が必要です。

任意の port-number 引数は 10 進数、または TCP あるいは UDP ポートの名前です。ポート番号の範囲は 0 ~ 65535 です。TCP ポート名は TCP をフィルタリングする場合に限り使用できます。UDP ポート名は UDP をフィルタリングする場合に限り使用できます。

destination-ipv6-prefix /
prefix-length

拒否条件を設定する宛先 IPv6 ネットワークまたはネットワークのクラス。

この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

host destination-ipv6-address

拒否条件を設定する宛先 IPv6 ホスト アドレス。

この destination-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。

dscp value

(任意)各 IPv6 パケット ヘッダーのトラフィック クラス フィールドのトラフィック クラス値と Differentiated Service Code Point(DSCP)値を照合します。指定できる範囲は 0 ~ 63 です。

fragments

(任意)フラグメント拡張ヘッダーに 0 以外のフラグメント オフセットが含まれる場合、非初期フラグメント パケットを照合します。 fragments キーワードは、プロトコルが ipv6 で、 operator [ port-number ] 引数が指定されていない場合に限り指定できるオプションです。

log

(任意)エントリと一致するパケットに関する情報ロギング メッセージをコンソールに送信します(コンソールに送信するメッセージ レベルは logging console コマンドで制御します)。

メッセージには、アクセス リスト名、シーケンス番号、パケットが拒否されたかどうか、プロトコル(TCP、UDP、ICMP または番号のいずれか)、適正な場合には送信元/宛先アドレス、送信元/宛先ポート番号が含まれます。メッセージは、一致した最初のパケットに対して生成され、その後、5 分間隔で拒否されたパケット数を含めて生成されます。

(注) ロギングはポート ACL ではサポートされません。

log-input

(任意) log キーワードと同じ機能を提供しますが、ロギング メッセージには受信インターフェイスも表示されます。

routing

(任意)パケットをルーティング拡張ヘッダーに照合します。

sequence value

(任意)アクセス リスト ステートメントのシーケンス番号を指定します。指定できる範囲は 1 ~ 4294967295 です。

time-range name

(任意)拒否ステートメントに適用する時間範囲を指定します。時間範囲の名前と制限事項は、 time-range コマンドと、 absolute または periodic コマンドによってそれぞれ指定します。

icmp-type

(任意)ICMP パケットのフィルタリングに ICMP メッセージ タイプを指定します。ICMP パケットは ICMP メッセージ タイプによってフィルタリングできます。メッセージ タイプの番号は 0 ~ 255 です。

icmp-code

(任意)ICMP パケットのフィルタリングに ICMP メッセージ コードを指定します。ICMP メッセージ タイプによってフィルタリングされる ICMP パケットは、ICMP メッセージ コードによってもフィルタリングできます。メッセージ コードの番号は 0 ~ 255 です。

icmp-message

(任意)ICMP パケットのフィルタリングに ICMP メッセージ名を指定します。ICMP パケットは、ICMP メッセージ名、または ICMP メッセージ タイプおよびコードによってフィルタリングできます。使用可能な名前については、「使用上のガイドライン」の項を参照してください。

ack

(任意)TCP プロトコルの場合に限り ACK ビットを設定します。

established

(任意)TCP プロトコルの場合に限り、接続が確立済みであることを意味します。TCP データグラムに ACK または RST ビットが設定されている場合、照合が行われます。接続するための初期 TCP データグラムの場合は照合しません。

fin

(任意)TCP プロトコルの場合に限り、FIN ビットを設定します。送信元からのデータはこれ以上ありません。

neq { port | protocol }

(任意)指定のポート番号上にないパケットだけを照合します。

psh

(任意)TCP プロトコルの場合に限り、PSH ビットを設定します。

range { port | protocol }

(任意)ポート番号範囲のパケットだけを照合します。

rst

(任意)TCP プロトコルの場合に限り RST ビットを設定します。

syn

(任意)TCP プロトコルの場合に限り SYN ビットを設定します。

urg

(任意)TCP プロトコルの場合に限り URG ビットを設定します。


flow-labelrouting および undetermined-transport キーワードはコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。


 
デフォルト

IPv6 アクセス リストは定義されていません。

 
コマンド モード

IPv6 アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

deny (IPv6 アクセス リスト コンフィギュレーション モード)コマンドは、 deny (IPv4 アクセス リスト コンフィギュレーション モード)コマンドと類似していますが、IPv6 専用です。

IPv6 アクセス リスト コンフィギュレーション モードを開始し、パケットがアクセス リストを通過する条件を定義するには、 ipv6 access-list コマンドの後ろに deny (IPv6)コマンドを使用します。

protocol 引数に IPv6 を指定すると、パケットの IPv6 ヘッダーに照合を行います。

デフォルトでは、アクセス リストの最初のステートメントの番号は 10 で、その次のステートメントからは 10 ずつ増加します。

リスト全体を再入力しないで、 permit deny 、または remark ステートメントを既存のアクセス リストに追加できます。リストの最後以外の場所に新しいステートメントを追加するには、挿入する場所を示す、既存の 2 つのエントリ番号の間にある適切なエントリ番号を持った新しいステートメントを作成します。


) すべての IPv6 ACL には最後の一致条件として、暗黙の permit icmp any any nd-napermit icmp any any nd-ns、および deny ipv6 any any ステートメントがあります。このうち 2 つの permit 条件は、ICMPv6 ネイバー探索を許可します。ICMPv6 ネイバー探索を許可しないで icmp any any nd-na または icmp any any nd-ns を拒否するには、明示的な拒否エントリが ACL 内にある必要があります。これら 3 つの暗黙的なステートメントを有効にするには、IPv6 ACL に少なくとも 1 つのエントリを含める必要があります。

IPv6 ネイバー探索プロセスでは、IPv6 ネットワーク レイヤ サービスを使用します。したがって、デフォルトでは IPv6 ACL により、IPv6 ネイバー探索パケットのインターフェイス上での送受信が暗黙的に許可されます。IPv4 では、IPv6 ネイバー探索プロセスと同等の Address Resolution Protocol(ARP)は、別のデータリンク レイヤ プロトコルを使用します。したがってデフォルトでは、IPv4 ACL により、ARP パケットのインターフェイス上での送受信が暗黙的に許可されます。


source-ipv6-prefix / prefix-length destination-ipv6-prefix / prefix-length の両方の引数をトラフィック フィルタリングに使用します( 送信元 プレフィクスはトラフィックの送信元に基づいてトラフィックをフィルタリングし、 送信先 プレフィクスはトラフィックの送信先に基づいてトラフィックをフィルタリングします)。

スイッチはプレフィクス長のすべての範囲で IPv6 アドレスの照合をサポートします。

fragments キーワードは、プロトコルが ipv6 で、 operator [ port-number ] 引数が指定されていない場合に限り指定できるオプションです。

次に、ICMP メッセージ名を表示します。

 

beyond-scope

destination-unreachable

echo-reply

echo-request

header

hop-limit

mld-query

mld-reduction

mld-report

nd-na

nd-ns

next-header

no-admin

no-route

packet-too-big

parameter-option

parameter-problem

port-unreachable

reassembly-timeout

renum-command

renum-result

renum-seq-number

router-advertisement

router-renumbering

router-solicitation

time-exceeded

unreachable

 

次の例では、CISCO という名の IPv6 アクセス リストを設定し、そのアクセス リストをレイヤ 3 インターフェイス上の発信トラフィックに適用する方法を示します。最初の拒否エントリは、5000 より大きい宛先 TCP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。2 番めの拒否エントリは、5000 未満の送信元 UDP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。また、この 2 番めの拒否エントリは、すべての一致をコンソールに表示します。最初の許可エントリは、すべての ICMP パケットがインターフェイスで送信されるのを許可します。2 番めの許可エントリは、その他すべてのトラフィックがインターフェイスで送信されるのを許可します。すべてのパケットを拒否する暗黙の条件が各 IPv6 アクセス リストの末尾にあるため、この 2 番めの許可エントリが必要となります。

Switch(config)# ipv6 access-list CISCO
Switch(config-ipv6-acl)# deny tcp any any gt 5000
Switch config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log
Switch(config-ipv6-acl)# permit icmp any any
Switch(config-ipv6-acl)# permit any any
Switch(config-ipv6-acl)# exit
Switch(config)# interface gigabitethernet0/2
Switch(config-if)# no switchport
Switch(config-if)# ipv6 address 2001::/64 eui-64
Switch(config-if)# ipv6 traffic-filter CISCO out

 
関連コマンド

コマンド
説明

ipv6 access-list

IPv6 アクセス リストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。

ipv6 traffic-filter

インターフェイス上の着信または発信 IPv6 トラフィックをフィルタリングします。

permit(IPv6 アクセス リスト コンフィギュレーション)

IPv6 アクセス リストに許可条件を設定します。

show ipv6 access-list

現在の IPv6 アクセス リストすべての内容を表示します。

 

deny(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックが転送されないようにするには、 deny MAC アクセス リスト コンフィギュレーション コマンドを使用します。拒否条件を名前付き MAC アクセス リストから削除する場合は、このコマンドの no 形式を使用します。

{ deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

no { deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

 
構文の説明

any

あらゆる送信元または宛先 MAC アドレスを拒否するために指定するキーワードです。

host src MAC-addr |
src-MAC-addr mask

ホスト MAC アドレスと任意のサブネット マスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr |
dst-MAC-addr mask

宛先 MAC アドレスと任意のサブネット マスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)パケットの Ethertype 番号と、Ethernet II または Subnetwork Access Protocol(SNAP)カプセル化を使用して、パケットのプロトコルを識別します。

type には、0 ~ 65535 の 16 進数を指定できます。

mask は、照合のテストを行う前に Ethertype に適用される don’t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を選択します。

amber

(任意)EtherType DEC-Amber を選択します。

cos cos

(任意)プライオリティを設定するため、0 ~ 7 までの Class of Service(CoS; サービス クラス)値を選択します。CoS に基づくフィルタリングは、ハードウェアでのみ実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニングツリーを選択します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを選択します。

diagnostic

(任意)EtherType DEC-Diagnostic を選択します。

dsm

(任意)EtherType DEC-DSM を選択します。

etype-6000

(任意)EtherType 0x6000 を選択します。

etype-8042

(任意)EtherType 0x8042 を選択します。

lat

(任意)EtherType DEC-LAT を選択します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を選択します。

lsap lsap-number mask

(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を使用して、パケットのプロトコルを識別します。

mask は、照合のテストを行う前に LSAP 番号に適用される don’t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を選択します。

mop-dump

(任意)EtherType DEC-MOP Dump を選択します。

msdos

(任意)EtherType DEC-MSDOS を選択します。

mumps

(任意)EtherType DEC-MUMPS を選択します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NETBIOS)を選択します。

vines-echo

(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)を選択します。

vines-ip

(任意)EtherType VINES IP を選択します。

xns-idp

(任意)10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems(XNS)プロトコル スイート(0 ~ 65535)を選択します。


appletalk は、コマンドラインのヘルプ ストリングには表示されていますが、一致条件としてはサポートされていません。


IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。 表 2-4 に、Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を一覧表示します。

 

表 2-4 IPX フィルタ基準

IPX カプセル化タイプ
フィルタ基準
Cisco IOS 名
Novel 名

arpa

Ethernet II

Ethertype 0x8137

snap

Ethernet-snap

Ethertype 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

 
デフォルト

このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルト アクションは拒否です。

 
コマンド モード

MAC アクセス リスト コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

mac access-list extended グローバル コンフィギュレーション コマンドを使用して、MAC アクセス リスト コンフィギュレーション モードを開始します。

host キーワードを使用した場合、アドレス マスクは入力できません。 host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。

アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加された場合は、リストの末尾に暗黙的な deny - any - any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。


) 名前付き MAC 拡張アクセス リストの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。


次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。

Switch(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
 

次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。

Switch(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
 

次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。

Switch(config-ext-macl)# deny any any 0x4321 0
 

設定を確認するには、 show access-lists 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

mac access-list extended

非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。

permit(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックが転送されるのを許可します。

show access-lists

スイッチに設定された ACL を表示します。

 

dot1x auth-fail max-attempts

ポートが制限 VLAN に移行するまで許容できる最大認証試行回数を設定するには、 dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x auth-fail max-attempts max-attempts

no dot1x auth-fail max-attempts

 
構文の説明

max-attempts

ポートが制限 VLAN に移行するまでに許容される最大の認証試行回数を指定します。指定できる範囲は 1 ~ 3 です。デフォルト値は 3 です。

 
デフォルト

デフォルト値は 3 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが追加されました。

 
使用上のガイドライン

VLAN で許容される最大の認証試行回数を再設定する場合、変更内容は再認証タイマーが期限切れになったあとで反映されます。

次の例では、ポート 3 の制限 VLAN にポートが移行する前に許容される最大の認証試行回数を 2 に設定する方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet1/0/3
Switch(config-if)# dot1x auth-fail max-attempts 2
Switch(config-if)# end
Switch(config)# end
Switch#
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x auth-fail vlan [ vlan id ]

オプションの制限 VLAN の機能をイネーブルにします。

dot1x max-reauth-req [ count ]

ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する最大回数を設定します。

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

 

dot1x auth-fail vlan

ポートで制限 VLAN をイネーブルにするには、 dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x auth-fail vlan vlan-id

no dot1x auth-fail vlan vlan-id

 
構文の説明

vlan-id

VLAN を 1 ~ 4094 の範囲で指定します。

 
デフォルト

制限 VLAN は設定されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SED

このコマンドが追加されました。

 
使用上のガイドライン

次のように設定されたポートで制限 VLAN を設定できます。

シングルホスト(デフォルト)モード

認証用 auto モード

再認証をイネーブルにする必要があります。ディセーブルになっていると、制限 VLAN のポートは再認証要求を受け取りません。再認証プロセスを開始するには、制限 VLAN がポートからリンクダウン イベントまたは Extensible Authentication Protocol(EAP)ログオフ イベントを受け取る必要があります。ホストがハブを介して接続されている場合、ホストが切断されているとポートがリンクダウン イベントを受け取ることができず、次の再認証試行が行われるまで新しいホストが検出されないことがあります。

サプリカントが認証に失敗すると、ポートは制限 VLAN に移行し、EAP 認証成功 メッセージがサプリカントに送信されます。サプリカントには実際の認証失敗が通知されないため、この制限ネットワーク アクセスに混乱が生じることがあります。EAP の成功メッセージは、次の理由で送信されます。

EAP の成功メッセージが送信されない場合、サプリカントは 60 秒ごと(デフォルト)に EAP 開始メッセージを送信して認証を行おうとします。

一部のホスト(たとえば、Windows XP を実行中のデバイス)は、EAP の成功メッセージを受け取るまで Dynamic Host Configuration Protocol(DHCP)を実行できません。

サプリカントは、認証から EAP 成功メッセージを受け取ったあとに不正なユーザ名とパスワードの組み合わせをキャッシュし、再認証のたびにその情報を使用する可能性があります。サプリカントが正しいユーザ名とパスワードの組み合わせを送信するまで、ポートは制限 VLAN のままになります。

レイヤ 3 ポートに使用する内部 VLAN は、制限 VLAN として設定することはできません。

VLAN を制限 VLAN と音声 VLAN の両方に設定することはできません。そのように設定すると、syslog メッセージが生成されます。

制限 VLAN ポートが無許可ステートに移行すると、認証プロセスが再起動されます。サプリカントが再度認証プロセスに失敗すると、認証は保持ステートで待機します。サプリカントが正常に再認証されたあと、すべての IEEE 802.1x ポートが再初期化され、通常の IEEE 802.1x ポートとして扱われます。

制限 VLAN を異なる VLAN として再設定すると、制限 VLAN のポートも移行し、そのポートは現在認証されたステートのままになります。

制限 VLAN をシャットダウンするか VLAN データベースから削除すると、制限 VLAN のポートはただちに無許可ステートに移行し、認証プロセスが再起動します。制限 VLAN 設定がまだ存在するため、認証は保持ステートで待機しません。制限 VLAN が非アクティブである間も、制限 VLAN がアクティブになったときにポートがただちに制限 VLAN になるように、すべての認証試行がカウントされます。

制限 VLAN は、シングルホスト モード(デフォルトのポート モード)でのみサポートされます。このため、ポートが制限 VLAN に配置されると、サプリカントの MAC アドレスが MAC アドレス テーブルに追加され、ポートに表示される他の MAC アドレスがセキュリティ違反として扱われます。

次の例では、ポート 1 で制限 VLAN を設定する方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# dot1x auth-fail vlan 40
Switch(config-if)# end
Switch(config)# end
Switch#
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x auth-fail max-attempts [ max-attempts]

サプリカントを制限 VLAN に割り当てる前に、試行可能な認証回数を設定します。

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

 

dot1x default

802.1x パラメータをデフォルト値に戻すには、 dot1x default インターフェイス コンフィギュレーション コマンドを使用します。

dot1x default

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト値は次のとおりです。

ポート単位の 802.1x プロトコルのイネーブル ステートはディセーブルです(force-authorized)。

再認証の試行間隔の秒数は 3600 秒です。

定期的な再認証はディセーブルです。

待機時間は 60 秒です。

再伝送時間は 30 秒です。

最高再伝送回数は 2 回です。

ホスト モードはシングル ホストです。

クライアントのタイムアウト時間は 30 秒です。

認証サーバのタイムアウト時間は 30 秒です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

次の例では、設定可能な 802.1x パラメータをリセットする方法を示します。

Switch(config-if)# dot1x default
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの 802.1x の状態を表示します。

dot1x guest-vlan

アクティブな VLAN を 802.1x のゲスト VLAN として指定するには、 dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x guest-vlan vlan-id

no dot1x guest-vlan

 
構文の説明

vlan-id

アクティブ VLAN を 802.1x のゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

ゲスト VLAN は設定されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

ゲスト VLAN を設定する際、サーバに Extensible Authentication Protocol over LAN(EAPOL)の要求または識別フレームの応答がなければ、802.1x に対応していないクライアントはゲスト VLAN に配置されます。802.1x 対応のクライアントでも、認証できない場合は、ネットワークへのアクセスが認められません。

ゲスト VLAN は、シングルホスト モードおよびマルチホスト モードの 802.1x ポート上でサポートされます。

スイッチは、EAPOL パケット履歴を保持します。リンクの存続時間内に別の EAPOL パケットがインターフェイス上で検出された場合、ゲスト VLAN 機能はディセーブルになります。ポートがすでにゲスト VLAN ステートにある場合、ポートは無許可ステートに戻り、認証が再開されます。EAPOL 履歴はリンクの損失でリセットされます。

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを入力すると、この動作がディセーブルになります。

スイッチ ポートがゲスト VLAN に移行すると、IEEE 802.1x 非対応クライアントはいくつでもアクセスが許可されます。IEEE 802.1x 対応クライアントが、ゲスト VLAN を設定しているポートと同じポートに加入すると、そのポートはユーザ設定アクセス VLAN では無許可ステートに移行し、認証が再開されます。

ゲスト VLAN は、単一ホスト モードおよび複数ホスト モードの IEEE 802.1x ポート上でサポートされます。

RSPAN VLAN または音声 VLAN 以外のアクティブな VLAN はすべて、802.1x のゲスト VLAN として設定できます。ゲスト VLAN の機能は、内部 VLAN(ルーテッド ポート)またはトランク ポート上ではサポートされません。サポートされるのはアクセス ポートだけです。

次の例では、VLAN 5 を 802.1x のゲスト VLAN として指定する方法を示します。

Switch(config-if)# dot1x guest-vlan 5
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの 802.1x の状態を表示します。

 

dot1x host-mode

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定された 802.1x 許可ポート上で、単一のホスト(クライアント)または複数のホストを許可するには、 dot1x host-mode インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x host-mode { multi-host | single-host }

no dot1x host-mode [ multi-host | single-host ]

 
構文の説明

multi-host

スイッチ上で複数のホストをイネーブルにします。

single-host

スイッチ上で単一のホストをイネーブルにします。


multi-domain キーワードは、コマンドラインのインターフェイス ヘルプには表示されていますが、サポートされていません。


 
コマンド デフォルト

デフォルト設定は、single-host モードです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、802.1x 対応ポートを単一のクライアントに限定したり、複数のクライアントを 802.1x 対応ポートに接続したりできます。マルチホスト モードでは、接続されたホストのうち 1 つだけが許可されれば、すべてのホストのネットワーク アクセスが許可されます。ポートが無許可ステートになった場合(再認証が失敗した場合、または Extensible Authentication Protocol over LAN [EAPOL]-Logoff メッセージを受信した場合)には、接続されたすべてのクライアントがネットワーク アクセスを拒否されます。

このコマンドを入力する前に、指定のポートに対して dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認します。

このスイッチでは、 dot1x host-mode multi-domain インターフェイス コンフィギュレーション コマンドはサポートされていません。インターフェイスでこのコマンドを設定すると、インターフェイスが errdisable ステートになります。

次の例では、802.1x をグローバルにイネーブルにする方法、802.1x を 1 つのポートでイネーブルにする方法、複数ホスト モードをイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの 802.1x の状態を表示します。

dot1x initialize

ポート上で新しく認証セッションを開始する前に、指定の 802.1x 対応ポートを無許可ステートに手動で戻すには、 dot1x initialize 特権 EXEC コマンドを使用します。

dot1x initialize interface interface-id

 
構文の説明

interface interface-id

ポートを初期化します。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、802.1x ステート マシンを初期化し、新たな認証環境を設定します。このコマンドを入力したあと、ポートの状態は無許可になります。

このコマンドには、 no 形式はありません。

次の例では、ポートを手動で初期化する方法を示します。

Switch# dot1x initialize interface gigabitethernet1/0/2
 

ポート ステータスが無許可になっていることを確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの 802.1x の状態を表示します。

 

dot1x max-reauth-req

ポートが無許可ステートに移行するまでスイッチが認証プロセスを再起動する上限回数を設定するには、 dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max -reauth -req count

no dot1x max -reauth -req

 
構文の説明

count

ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する回数です。指定できる範囲は 1 ~ 10 です。

 
デフォルト

デフォルトは 2 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

次の例では、ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する回数を 4 に設定する方法を示します。

Switch(config-if)# dot1x max-reauth-req 4
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x max-req

スイッチが認証プロセスを再起動する前に、EAP フレームを認証サーバに送信する最高回数を設定します(応答を受信しないと仮定)。

dot1x test eapol-capable tx-period

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

show dot1x [ interface interface-id ]

指定されたポートの 802.1x の状態を表示します。

dot1x max-req

認証プロセスを再起動するまでスイッチが Extensible Authentication Protocol(EAP; 拡張認証プロトコル)フレームを認証サーバからクライアントに再送信する上限回数を設定するには(応答を受信しないと仮定)、 dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max-req count

no dot1x max-req

 
構文の説明

count

スイッチが、認証プロセスを再起動する前に、認証サーバから EAP フレームを再送信する回数です。指定できる範囲は 1 ~ 10 です。

 
デフォルト

デフォルトは 2 回です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

次の例では、認証プロセスを再起動する前に、スイッチが EAP フレームを送信する回数を 5 に設定する方法を示します。

Switch(config-if)# dot1x max-req 5
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x test eapol-capable tx-period

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

show dot1x [ interface interface-id]

指定されたポートの 802.1x の状態を表示します。

 

dot1x port-control

ポートの許可ステートの手動制御をイネーブルにするには、 dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x port-control { auto | force-authorized | force-unauthorized }

no dot1x port-control

 
構文の説明

auto

ポートで 802.1x 認証をイネーブルにし、スイッチおよびクライアント間の 802.1x 認証交換に基づきポートを許可または無許可ステートに移行します。

force-authorized

ポートで 802.1x 認証をディセーブルにすると、認証情報の交換をせずに、ポートを許可ステートに移行します。ポートはクライアントの 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。

force-unauthorized

クライアントからの認証の試みをすべて無視し、ポートを強制的に無許可ステートに移行することにより、このポート経由のすべてのアクセスを拒否します。スイッチはポートを介してクライアントに認証サービスを提供できません。

 
デフォルト

デフォルトの設定は force-authorized です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

特定のポートの 802.1x をイネーブルにする前に、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用して、スイッチの 802.1x をグローバルにイネーブルにする必要があります。

802.1x プロトコルは、レイヤ 2 のスタティック アクセス ポート、音声 VLAN のポート、レイヤ 3 のルーテッド ポート上でサポートされます。

ポートが、次の項目の 1 つとして設定されていない場合に auto キーワードを使用することができます。

トランク ポート:トランク ポートで 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、802.1x はイネーブルになりません。802.1x 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック ポート:ダイナミック モードのポートは、ネイバーとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、802.1x はイネーブルになりません。802.1x 対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック アクセス ポート:ダイナミック アクセス(VLAN Query Protocol(VQP))ポートで 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、802.1x はイネーブルになりません。802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート:ポートで 802.1x をイネーブルにする前に、EtherChannel から削除する必要があります。EtherChannel または EtherChannel 内のアクティブなポート上で 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、802.1x はイネーブルになりません。まだアクティブになっていない EtherChannel のポートで 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。

Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および Remote SPAN(RSPAN; リモート SPAN)宛先ポート:SPAN または RSPAN 宛先ポートであるポートの 802.1x をイネーブルにできます。ただし、そのポートが SPAN または RSPAN 宛先として削除されるまで、802.1x はディセーブルのままになります。SPAN または RSPAN 送信元ポートでは 802.1x をイネーブルにできます。

スイッチで 802.1x をグローバルにディセーブルにするには、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。特定のポートで 802.1x をディセーブルにするには、 no dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、ポートで 802.1x をイネーブルにする方法を示します。

Switch(config)# interface fastethernet1/0/1
Switch(config-if)# dot1x port-control auto
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの 802.1x の状態を表示します。

dot1x re-authenticate

指定した 802.1x 対応ポートの再認証を手動で開始するには、 dot1x re-authenticate 特権 EXEC コマンドを使用します。

dot1x re-authenticate interface interface-id

 
構文の説明

interface interface-id

ポートを再認証します。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、再認証試行間隔(re-authperiod)および自動再認証の設定秒数を待たずにクライアントを再認証できます。

次の例では、ポートに接続されたデバイスを手動で再認証する方法を示します。

Switch# dot1x re-authenticate interface fastethernet1/0/1
 

dot1x reauthentication

クライアントの定期的な再認証をイネーブルにするには、 dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。  デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x reauthentication

no dot1x reauthentication

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

定期的な再認証はディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用して、定期的な再認証の試行間隔を設定します。

次の例では、クライアントの定期的な再認証をディセーブルにする方法を示します。

Switch(config-if)# no dot1x reauthentication
 

次の例では、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x test eapol-capable reauth-period

再認証の間隔(秒)を指定します。

show dot1x [ interface interface-id ]

指定されたポートの 802.1x の状態を表示します。

dot1x supplicant force-multicast

サプリカント スイッチに、マルチキャストまたはユニキャスト EAPOL パケットを受信したときには必ず強制的にマルチキャスト Extensible Authentication Protocol over LAN(EAPOL)パケットだけを送信させるには、 dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x supplicant force-multicast

no dot1x supplicant force-multicast

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

サプリカント スイッチは、ユニキャスト EAPOL パケットを受信した場合には、ユニキャスト EAPOL パケットを送信します。同様に、マルチキャスト EAPOL パケットを受信した場合には、マルチキャスト EAPOL パケットを送信します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

Network Edge Access Topology(NEAT)がすべてのホスト モードで機能するようにするには、サプリカント スイッチ上でこのコマンドをイネーブルにします。

次の例では、サプリカント スイッチからオーセンティケータ スイッチに強制的にマルチキャスト EAPOL パケットを送信させる方法を示します。

Switch(config)# dot1x supplicant force-multicast

 
関連コマンド

コマンド
説明

cisp enable

スイッチ上での Client Information Signalling Protocol(CISP)をイネーブルにして、スイッチがサプリカント スイッチに対してオーセンティケータとして機能するようにします。

dot1x credentials

ポートの 802.1x サプリカント クレデンシャルを設定します。

dot1x pae supplicant

インターフェイスをサプリカントとしてだけ機能するように設定します。

 

 

dot1x system-auth-control

802.1x をグローバルにイネーブルにするには、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x system-auth-control

no dot1x system-auth-control

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

802.1x はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

802.1x をグローバルにイネーブルにする前に、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)をイネーブルにし、認証方式リストを指定する必要があります。方式リストには、ユーザの認証で照会する順序と認証方式が記されています。

次の例では、スイッチで 802.1x をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x port-control

ポートの許可ステートの手動制御をイネーブルにします。

show dot1x [ interface interface-id ]

指定されたポートの 802.1x の状態を表示します。

 

dot1x test eapol-capable

すべてのスイッチ ポート上の IEEE 802.1x アクティビティを監視し、IEEE 802.1x をサポートしているポートに接続されたデバイスに関する情報を表示するには、 dot1x test eapol-capable 特権 EXEC コマンドを使用します。

dot1x test eapol-capable [ interface interface-id ]

 
構文の説明

interface interface-id

(任意)ポートを照会します。

 
デフォルト

デフォルト設定はありません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(44)SE

このコマンドが追加されました。

 
使用上のガイドライン

スイッチ上のすべてのポートまたは特定のポートに接続された装置の IEEE 802.1x 機能のテストを実行するには、このコマンドを使用します。

このコマンドには、 no 形式はありません。

次の例では、スイッチ上の IEEE 802.1x 準備状態チェックをイネーブルにして、ポートを照会する方法を示します。この例では、接続された装置が IEEE 802.1x 対応であることを確認する(照会したポートから受け取った)応答も示します。

switch# dot1x test eapol-capable interface gigabitethernet1/0/13
 
DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable
 

 
関連コマンド

コマンド
説明

dot1x test timeout timeout

IEEE 802.1x 準備状態の照会で EAPOL 応答の待機に使用されるタイムアウトを設定します。

dot1x test timeout

IEEE 802.1x 準備状態を照会しているポートからの EAPOL 応答の待機に使用されるタイムアウトを設定するには、 dot1x test timeout グローバル コンフィギュレーション コマンドを使用します。

dot1x test timeout timeout

 
構文の説明

timeout

EAPOL 応答の待機時間(秒)。指定できる範囲は 1 ~ 65535 秒です。

 
デフォルト

デフォルト設定は 10 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(44)SE

このコマンドが追加されました。

 
使用上のガイドライン

EAPOL 応答の待機に使用するタイムアウトを設定するには、このコマンドを使用します。

このコマンドには、 no 形式はありません。

次の例では、EAPOL 応答に 27 秒間待機するようにスイッチを設定する方法を示します。

Switch# dot1x test timeout 27
 

show run 特権 EXEC コマンドを入力すると、タイムアウト設定ステータスを確認できます。

 
関連コマンド

コマンド
説明

dot1x test eapol-capable [ interface interface-id ]

すべてまたは指定した IEEE 802.1x 対応ポートに接続された装置の IEEE 802.1x 準備状態をチェックします。

dot1x timeout

802.1x タイマーを設定するには、 dot1x timeout インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x timeout { quiet-period seconds | reauth-period seconds | server-timeout seconds | supp-timeout seconds | tx-period seconds }

no dot1x timeout { quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }

 
構文の説明

quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数。指定できる範囲は 1 ~ 65535 です。

reauth-period seconds

再認証間隔の秒数。指定できる範囲は 1 ~ 65535 です。

server-timeout seconds

認証サーバに対して、スイッチのパケット再送信を待機する秒数。指定できる範囲は 1 ~ 65535 です。ただし、30 以上の値を設定することをお勧めします。

supp-timeout seconds

スイッチが 802.1x クライアントにパケットを再送信するまでに待機する秒数。指定できる範囲は 30 ~ 65535 です。

tx-period seconds

要求を再送信するまでスイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待機する秒数。指定できる範囲は 1 ~ 65535 です。

 
デフォルト

デフォルトの設定は次のとおりです。

reauth-period は 3600 秒です。

quiet-period は 60 秒です。

tx-period は 30 秒です。

supp-timeout は 30 秒です。

server-timeout は 30 秒です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

12.2(40)SE

tx-period 秒の範囲が間違っています。正しい範囲は 1 ~ 65535 です。

 
使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにしただけの場合、 dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、スイッチの動作に影響します。

待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

次の例では、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
 

次の例では、スイッチの待機時間を 30 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout quiet-period 30
 

次の例では、スイッチから認証サーバへの再送信時間を 25 秒に設定する方法を示します。

Switch(config)# dot1x timeout server-timeout 25
 

次の例では、EAP-Request フレームに対するスイッチからクライアントへの再送信時間を 25 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout supp-timeout 25
 

次の例では、EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout tx-period 60
 

設定を確認するには、 show dot1x 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

dot1x max-req

スイッチが、認証プロセスを再始動する前に、EAP-Request/Identity フレームを送信する最高回数を設定します。

dot1x reauthentication

クライアントの定期的再認証をイネーブルにします。

show dot1x

すべてのポートの 802.1x ステータスを表示します。

dot1x violation-mode

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに、さらに新しいデバイスがこのポートに接続された場合に発生する違反モードを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x violation-mode インターフェイス コンフィギュレーション コマンドを使用します。

dot1x violation-mode {shutdown | restrict | protect}

no dot1x violation-mode

 
構文の説明

shutdown

予想されない新規の MAC アドレスが発生したポートまたは仮想ポートを errdisable にします。

restrict

違反エラーが発生したときに Syslog エラーを生成します。

protect

通知なしで新規の MAC アドレスからパケットを廃棄します。これは、デフォルト設定です。

 
デフォルト

デフォルトでは、dot1x violation-mode protect がイネーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(46)SE

このコマンドが追加されました。

次の例では、IEEE 802.1x 対応ポートを errdisable として設定し、新しい装置がポートに接続されたときにシャットダウンする方法を示します。

Switch(config-if)# dot1x violation-mode shutdown
 

次の例では、新しい装置がポートに接続されるときに、IEEE 802.1x 対応ポートがシステム エラー メッセージを生成し、ポートを制限モードに変更する方法を示します。

Switch(config-if)# dot1x violation-mode restrict
 

次の例では、新しい装置がポートに接続されるときに無視するように、IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# dot1x violation-mode protect
 

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show dot1x [ interface interface-id ]

指定されたポートの IEEE 802.1x の状態を表示します。

duplex

ファスト イーサネット ポートおよびギガビット イーサネット ポートに対して、動作のデュプレックス モードを指定するには、 duplex インターフェイス コンフィギュレーション コマンドを使用します。ポートをデフォルト値に戻すには、このコマンドの no 形式を使用します。

duplex { auto | full | half }

no duplex

 
構文の説明

auto

自動によるデュプレックス設定をイネーブルにします(接続されたデバイス モードにより、ポートが自動的に全二重モードか半二重モードかを判断します)。

full

全二重モードをイネーブルにします。

half

半デュプレックス モードをイネーブルにします(ファスト イーサネットのポートのみ)。

 
デフォルト

ファスト イーサネット ポートおよび 1000BASE-T Small Form-factor Pluggable(SFP)モジュールのデフォルトは auto です。

100BASE-FX MMF SFP モジュールのデフォルトは full です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

12.2(25)EY

100 BASE-FX SFP モジュール用に half キーワードのサポートが追加されました。

 
使用上のガイドライン

ファスト イーサネット ポートでは、接続されたデバイスがデュプレックス パラメータの自動ネゴシエーションを実行しない場合、ポートを auto に設定すると、 half を指定するのと同じ効果があります。

ギガビット イーサネット ポートでは、接続されたデバイスがデュプレックス パラメータを自動ネゴシエートしないときにポートを auto に設定すると、 full を指定する場合と同じ効果があります。

特定のポートを全二重または半二重のどちらかに設定できます。このコマンドの適用可能性は、スイッチが接続されているデバイスによって異なります。

両方のラインの終端が自動ネゴシエーションをサポートしている場合、デフォルトの自動ネゴシエーションを使用することを強く推奨します。片方のインターフェイスが自動ネゴシエーションをサポートし、もう片方がサポートしていない場合、両方のインターフェイス上でデュプレックスと速度を設定し、サポートされている側で auto の設定を使用してください。

速度が auto に設定されている場合、スイッチはリンクの反対側のデバイスと速度設定についてネゴシエートし、速度をネゴシエートされた値に強制的に設定します。デュプレックス設定はリンクの両端での設定が引き継がれますが、これにより、デュプレックス設定に矛盾が生じることがあります。

10/100 Mbps ポートの場合、速度とデュプレックスの両方を特定の値に設定すると、リンクはネゴシエートされた速度とデュプレックス値で動作します。

10/100/1000 Mbps ポートの場合、速度とデュプレックスの両方を特定の値に設定すると、自動ネゴシエーションはディセーブルになります。

Cisco IOS Release 12.2(25)EY 以降では、速度が auto に設定されている場合、デュプレックス設定を行うことが可能です。

このコマンドは、1000BASE-T SFP モジュールまたは 100BASE-FX MMF SFP モジュールがポートに搭載されていない場合、SFP モジュール ポートでは使用できません。他のすべての SFP モジュールは全二重モードでのみ動作します。

1000BASE-T SFP モジュールが SFP モジュール ポートに搭載されている場合は、デュプレックス モードを auto または full に設定できます。

100BASE-FX SFP モジュールが SFP モジュール ポートに搭載されている場合は、デュプレックス モードを half または full に設定できます。 auto キーワードを使用できる場合でも、100BASE-FX SFP モジュールは自動ネゴシエーションをサポートしないため、インターフェイスは半デュプレックス モード(デフォルト)になります。


) 100BASE-FX SFP モジュールは、ES ポートではサポートされません。



注意 インターフェイス速度とデュプレックス モードの設定を変更すると、再設定中にインターフェイスがシャットダウンし、再度イネーブルになる場合があります。

スイッチの速度パラメータとデュプレックス パラメータの設定に関する注意事項については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring Interface Characteristics」の章を参照してください。

次の例では、ポートを全二重動作に設定する方法を示します。

Switch(config)# interface fastethernet1/0/11
Switch(config-if)# duplex full
 

設定を確認するには、 show interfaces 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces

スイッチのインターフェイスの設定を表示します。

speed

10/100 Mbs または 10/100/1000 Mbs インターフェイスで速度を設定します。

errdisable detect cause

特定の原因またはすべての原因に対して、errdisable 検出をイネーブルにするには、 errdisable detect cause グローバル コンフィギュレーション コマンドを使用します。errdisable 検出機能をディセーブルにするには、このコマンドの no 形式を使用します。

errdisable detect cause { all | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap }

no errdisable detect cause { all | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap }

 
構文の説明

all

すべての errdisable の原因に対して、エラー検出をイネーブルにします。

dtp-flap

Dynamic Trunking Protocol(DTP; ダイナミック トランキング プロトコル)フラップのエラー検出をイネーブルにします。

gbic-invalid

無効な GBIC に対して、エラー検出をイネーブルにします。このエラーは、無効な Small Form-factor Pluggable(SFP)モジュール インターフェイスが原因です。

l2ptguard

レイヤ 2 プロトコル トンネルの errdisable 原因に対して、エラー検出をイネーブルにします。

link-flap

リンクステートのフラップに対して、エラー検出をイネーブルにします。

loopback

検出されたループバックに対して、エラー検出をイネーブルにします。

pagp-flap

Port Aggregation Protocol(PAgP; ポート集約プロトコル)フラップ errdisable の原因に対して、エラー検出をイネーブルにします。


dhcp-rate-limit キーワードは、コマンドラインのヘルプ ストリングには表示されていますが、サポートされていません。


 
デフォルト

検出はすべての原因に対してイネーブルです。すべての原因について、ポート全体をシャットダウンするよう設定されます(Per-VLAN errdisable の場合を除く)。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

原因( dtp-flap gbic-invalid l2ptguard link-flap loopback pagp-flap )は、errdisable ステートが発生した理由です。原因がインターフェイス上で検出された場合、インターフェイスは errdisable ステートとなり、リンクダウン ステートに類似した動作ステートとなります。

ポートが errdisable になっているときは事実上シャットダウンし、トラフィックはポートで送受信されません。

原因に対して errdisable recovery グローバル コンフィギュレーション コマンドを入力して、原因の回復メカニズムを設定する場合は、すべての原因がタイムアウトになった時点で、インターフェイスは errdisable ステートから回復して、処理を再試行できるようになります。回復メカニズムを設定しない場合は、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力して、インターフェイスを手動で errdisable ステートから回復させる必要があります。

次の例では、リンクフラップ errdisable 原因の errdisable 検出をイネーブルにする方法を示します。

Switch(config)# errdisable detect cause link-flap
 

show errdisable detect 特権 EXEC コマンドを入力すると、設定を確認できます。

 
関連コマンド

コマンド
説明

show errdisable detect

errdisable の検出情報を表示します。

show interfaces status err-disabled

インターフェイスのステータスまたは errdisable ステートにあるインターフェイスのリストを表示します。

errdisable detect cause small-frame

着信 VLAN タグ付きパケットが小さいフレーム(67 バイト以下)であり、設定された最小レート(しきい値)で着信した場合にスイッチ ポートを errdisable にするには、スイッチ スタックまたはスタンドアロン スイッチ上で errdisable detect cause small-frame グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable detect cause small-frame

no errdisable detect cause small-frame

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能は、ディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(44)SE

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、小さいフレームの着信機能をグローバルにイネーブルにします。各ポートのしきい値を設定するには、small violation-rate インターフェイス コンフィギュレーション コマンドを使用します。

errdisable recovery cause small-frame グローバル コンフィギュレーション コマンドを使用して、ポートが自動的に再びイネーブルになるように設定できます。errdisable recovery interval interval グローバル コンフィギュレーション コマンドを使用して、回復時間を設定します。

次の例では、小さい着信フレームが設定されたしきい値で着信する場合に、スイッチ ポートを errdisable にする方法を示します。

Switch(config)# errdisable detect cause small-frame
 

設定を確認するには、show interfaces 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

errdisable recovery cause small-frame

復旧タイマーをイネーブルにします。

errdisable recovery interval interval

指定された errdisable ステートから回復する時間を指定します。

show interfaces

入出力フロー制御を含むスイッチのインターフェイス設定を表示します。

small-frame violation-rate

小さい着信フレームによってポートが errdisable ステートになるレート(しきい値)を設定します。

errdisable recovery cause small-frame

小さいフレームの到着によって errdisable になったポートを自動的に再イネーブルにする回復タイマーをイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で errdisable recovery cause small-frame グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable recovery cause small-frame

no errdisable recovery cause small-frame

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能は、ディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(44)SE

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、errdisable ポートの回復タイマーをイネーブルにします。errdisable recovery interval インターフェイス コンフィギュレーション コマンドを使用して、回復時間を設定します。

次の例では、回復タイマーを設定する方法を示します。

Switch(config)# errdisable recovery cause small-frame
 

設定を確認するには、show interfaces ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

errdisable detect cause small-frame

着信フレームが設定された最小サイズより小さく、指定されたレート(しきい値)で着信する場合に、スイッチ ポートが errdisable ステートになるようにします。

show interfaces

入出力フロー制御を含むスイッチのインターフェイス設定を表示します。

small-frame violation-rate

小さい着信フレームによってポートが errdisable ステートになるサイズを設定します。

 

errdisable recovery

回復メカニズム変数を設定するには、 errdisable recovery グローバル コンフィギュレーション コマンドを設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | udld | vmps } | { interval interval }

no errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | udld | vmps } | { interval interval }

 
構文の説明

cause

errdisable をイネーブルにして、特定の原因から回復します。

all

すべての errdisable の原因から回復するタイマーをイネーブルにします。

arp-inspection

ダイナミック Address Resolution Protocol(ARP)検査のエラー検出をイネーブルにします。

bpduguard

Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)ガード errdisable ステートから回復するタイマーをイネーブルにします。

channel-misconfig

EtherChannel の設定矛盾による errdisable ステートから回復するタイマーをイネーブルにします。

dtp-flap

Dynamic Trunking Protocol(DTP; ダイナミック トランキング プロトコル)フラップ errdisable ステートから回復するタイマーをイネーブルにします。

gbic-invalid

無効な Gigabit Interface Converter(GBIC; ギガビット インターフェイス コンバータ)errdisable ステートから回復するタイマーをイネーブルにします。このエラーは、無効な Small Form-factor Pluggable(SFP)インターフェイス状態であることが原因です。

l2ptguard

レイヤ 2 プロトコル トンネルによる errdisable ステートから回復するタイマーをイネーブルにします。

link-flap

リンクフラップ errdisable ステートから回復するタイマーをイネーブルにします。

loopback

ループバック errdisable ステートから回復するタイマーをイネーブルにします。

pagp-flap

Port Aggregation Protocol(PAgP; ポート集約プロトコル)errdisable ステートから回復するタイマーをイネーブルにします。

psecure-violation

ポート セキュリティ違反ディセーブル ステートから回復するタイマーをイネーブルにします。

security-violation

802.1x 違反ディセーブル ステートから回復するタイマーをイネーブルにします。

udld

UniDirectional Link Detection(UDLD; 単方向リンク検出)errdisable ステートから回復するタイマーをイネーブルにします。

vmps

VLAN メンバシップ ポリシー サーバ(VMPS)errdisable ステートから回復するタイマーをイネーブルにします。

interval interval

指定された errdisable ステートから回復する時間を指定します。指定できる範囲は 30 ~ 86400 秒です。すべての原因に同じ間隔が適用されます。デフォルト間隔は 300 秒です。

(注) errdisable recovery のタイマーは、設定された間隔値からランダムな差で初期化されます。実際のタイムアウト値と設定された値の差は、設定された間隔の 15% まで認められます。


dhcp-rate-limitunicast-floodchannel-misconfig キーワードはコマンドラインのヘルプ ストリングには表示されていますが、サポートされていません。


 
デフォルト

すべての原因に対して回復はディセーブルです。

デフォルトの回復間隔は 300 秒です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

12.2(25)EY

arp-inspection キーワードが追加されました。

 
使用上のガイドライン

原因( bpduguard dtp-flap gbic-invalid l2ptguard link-flap loopback pagp-flap psecure-violation security-violation、udld vmps )は、errdisable ステートが発生した理由として定義されます。原因がインターフェイス上で検出された場合、インターフェイスは errdisable ステートとなり、リンクダウン ステートに類似した動作ステートとなります。その原因に対して errdisable の回復をイネーブルにしない場合、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力するまで、インターフェイスは errdisable ステートのままです。原因の回復をイネーブルにした場合、インターフェイスは errdisable ステートから回復し、すべての原因がタイムアウトになったときに処理を再開できるようになります。

原因の回復をイネーブルにしない場合、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力して、手動でインターフェイスを errdisable ステートから回復させる必要があります。

次の例では、BPDU ガード errdisable 原因に対して回復タイマーをイネーブルにする方法を示します。

Switch(config)# errdisable recovery cause bpduguard
 

次の例では、タイマーを 500 秒に設定する方法を示します。

Switch(config)# errdisable recovery interval 500
 

設定を確認するには、 show errdisable recovery 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show etherchannel

errdisable の回復タイマー情報を表示します。

show interfaces status err-disabled

インターフェイスのステータスまたは errdisable ステートにあるインターフェイスのリストを表示します。

ethernet evc

Ethernet Virtual Connection(EVC; イーサネット仮想接続)を定義し、EVC コンフィギュレーション モードを開始するには、 ethernet evc グローバル コンフィギュレーション コマンドを使用します。EVC を削除するには、このコマンドの no 形式を使用します。

ethernet evc evc-id

no ethernet evc evc-id

 
構文の説明

evc-id

EVC の ID。1 ~ 100 文字の文字列を設定できます。

 
デフォルト

EVC は定義されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEG

このコマンドが追加されました。

 
使用上のガイドライン

ethernet evc evc-id コマンドを入力すると、スイッチが EVC コンフィギュレーション モードになり、次のコンフィギュレーション コマンドが使用可能になります。

default EVC をデフォルト ステートに設定します。

exit :EVC コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

no :コマンドを無効にするか、コマンドをデフォルト設定に戻します。

oam protocol cfm svlan :イーサネット Operation, Administration, and Maintenance(OAM; 運用管理および保守)プロトコルを IEEE 802.1ag Connectivity Fault Management(CFM; 接続障害管理)として設定し、パラメータを設定します。 oam protocol cfm svlan コマンドを参照してください。

uni count :EVC の UNI カウントを設定します。 uni count コマンドを参照してください。

次の例では、EVC を定義して EVC コンフィギュレーション モードを開始する方法を示します。

Switch(config)# ethernet evc test1
Switch(config-evc)#

 
関連コマンド

コマンド
説明

service instance id ethernet evc-id

イーサネット サービス インスタンスを設定し、EVC を適用します。

show ethernet service evc

設定した EVC に関する情報を表示します。

ethernet lmi

Ethernet Local Management Interface(E-LMI; イーサネット ローカル管理インターフェイス)をイネーブルにして、スイッチを Provider-Edge(PE; プロバイダー エッジ)または Customer-Edge(CE; カスタマー エッジ)デバイスとして設定するには、 ethernet lmi グローバル コンフィギュレーション コマンドを使用します。E-LMI をグローバルにディセーブルにしたり、E-LMI CE をディセーブルにしたりするには、このコマンドの no 形式を使用します。

ethernet lmi { ce | global}

no ethernet lmi { ce | global}

 
構文の説明

ce

スイッチを E-LMI CE デバイスとしてイネーブルにします。

(注) E-LMI はデフォルトでディセーブルです。E-LMI は CE モードでイネーブルにするだけではなく、グローバルにまたはインターフェイスでもイネーブルにする必要があります。

global

スイッチで E-LMI をグローバルにイネーブルにします。デフォルトでは、スイッチは PE デバイスです。

 
デフォルト

E-LMI はディセーブルです。global キーワードを用いてイネーブルにする場合、スイッチはデフォルトで PR デバイスです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEG

このコマンドが追加されました。

12.2(37)SE

ce キーワードが追加されました。

 
使用上のガイドライン

E-LMI をグローバルにイネーブルにするには、 ethernet lmi global コマンドを使用します。スイッチを E-LMI CE デバイスとしてイネーブルにするには、 ethernet lmi ce コマンドを使用します。

インターフェイスでは E-LMI はデフォルトでディセーブルであり、 ethernet lmi interface インターフェイス コンフィギュレーション コマンドを入力して明示的にイネーブルにする必要があります。 ethernet lmi global コマンドを使用すると、デバイス全体のすべてのインターフェイスで PE モードの E-LMI をイネーブルにします。このコマンドの利点は、1 つのコマンドですべてのインターフェイスの E-LMI をイネーブルにできることです。各インターフェイスの E-LMI を個別にイネーブルにする必要はありません。CE モードのインターフェイスをイネーブルにするには、 ethernet lmi ce グローバル コンフィギュレーション コマンドも入力する必要があります。

ethernet lmi global コマンドを入力したあとで、特定のインターフェイスで E-LMI をディセーブルにするには、 no ethernet lmi interface インターフェイス コンフィギュレーション コマンドを入力します。

ethernet lmi interface インターフェイス コンフィギュレーション コマンドと ethernet lmi global グローバル コンフィギュレーション コマンドを入力する順序が重要です。最後に入力したコマンドが、その前に入力したコマンドを無効にします。


ethernet lmi インターフェイス コンフィギュレーション コマンドの詳細については、次の URL で『Cisco IOS Carrier Ethernet Command Reference』を参照してください。
http://www.cisco.com/en/US/docs/ios/cether/command/reference/ce_book.html


スイッチを E-LMI CE デバイスとしてイネーブルにするには、 ethernet lmi global コマンドおよび ethernet lmi ce コマンドの両方を入力します。デフォルトでは E-LMI はディセーブルです。E-LMI をイネーブルにしても ethernet lmi ce コマンドを入力しない限り、スイッチは PE モードです。

スイッチを E-LMI CE デバイスとして設定すると、次のインターフェイス コンフィギュレーション コマンドとキーワードが表示されますが、サポートされていません。

service instance

ethernet uni

ethernet lmi t392

次の例では、スイッチを E-LMI CE デバイスとして設定する方法を示します。

Switch(config)# ethernet lmi global
Switch(config)# ethernet lmi ce

 
関連コマンド

コマンド
説明

ethernet lmi インターフェイス コンフィギュレーション コマンド

ユーザネットワーク インターフェイスの E-LMI をイネーブルにします。

ethernet lmi ce-vlan map

Ethernet Local Management Interface(E-LMI; イーサネット ローカル管理インターフェイス)パラメータを設定するには、 ethernet lmi ce-vlan map イーサネット サービス コンフィギュレーション コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

ethernet lmi ce-vlan map { vlan-id | any | default | untagged}

no ethernet lmi ce-vlan map { vlan-id | any | default | untagged}

 
構文の説明

vlan-id

マッピングする 1 つ以上のカスタマー VLAN ID を入力します。1 つの VLAN ID(指定できる範囲は 1 ~ 4094)、ハイフンで区切った VLAN ID の範囲、またはカンマで区切った一連の VLAN ID を入力できます。

any

すべての VLAN(タグ付けされていない VLAN および 1 ~ 4094 の VLAN)をマッピングします。

default

デフォルトのサービス インスタンスにマッピングします。サービス インスタンスを VLAN または VLAN のグループにマッピング済みの場合にのみ、 default キーワードを使用できます。

untagged

タグ付けされていない VLAN のみをマッピングします。

 
デフォルト

E-LMI マッピング パラメータは定義されていません。

 
コマンド モード

イーサネット サービス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEG

このコマンドが追加されました。

 
使用上のガイドライン

特定の User-Network Interface(UNI; ユーザネットワーク インターフェイス)の E-LMI カスタマー VLAN から EVC へのマッピングを設定するには、このコマンドを使用します。

ethernet uni { bundle [ all-to-one ] | multiplex } インターフェイス コンフィギュレーション コマンドを入力して設定されたバンドル特性に E-LMI マッピング パラメータが関連付けられます。

デフォルト UNI 属性(バンドルおよび多重化)の使用では、複数の EVC および複数の VLAN がサポートされます。

ethernet uni bundle コマンドの入力では、1 つ以上の VLAN を持つ 1 つの EVC だけがサポートされます。

ethernet uni bundle all-to-one コマンドの入力では、複数の VLAN がサポートされますが、EVC は 1 つだけサポートされます。 ethernet lmi ce-vlan map any イーサネット サービス コンフィギュレーション コマンドを使用する場合、事前に all-to-one バンドルをインターフェイスで設定する必要があります。

ethernet uni multiplex コマンドの入力では、EVC ごとに VLAN を 1 つだけ持つ、複数の EVC がサポートされます。

次の例では、E-LMI カスタマー VLAN から EVC へのマッピングを設定し、インターフェイスのサービス インスタンス 333 にあるカスタマー VLAN 101 に EVC test をマッピングする方法を示します。

Switch(config-if)# service instance 333 ethernet test
Switch(config-if-srv)# ethernet lmi ce-vlan map 101

 
関連コマンド

コマンド
説明

service instance id ethernet

イーサネット サービス インスタンスを定義し、イーサネット サービス コンフィギュレーション モードを開始します。

show ethernet service instance

設定されたイーサネット サービス インスタンスに関する情報を表示します。

ethernet oam remote-failure

Ethernet Operation, administration, and Maintenance(EOM)リモート障害表示を設定するには、 ethernet oam remote-failure インターフェイス コンフィギュレーションまたはコンフィギュレーション テンプレート コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

ethernet oam remote-failure { critical-event | dying-gasp | link-fault } action error-disable-interface

no ethernet oam remote-failure { critical-event | dying-gasp | link-fault } action

 
構文の説明

critical-event

未指定のクリティカルなイベントが発生したとき、インターフェイスを errdisable モードにするようにスイッチを設定します。

dying-gasp

回復不能な状態が発生したとき、インターフェイスを errdisable モードにするようにスイッチを設定します。

link-fault

レシーバーが停電を検出したとき、インターフェイスを errdisable モードにするようにスイッチを設定します。

 
デフォルト

コンフィギュレーション テンプレート

インターフェイス コンフィギュレーション

 
コマンド モード

イーサネット サービス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(35)SE

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、イーサネット OAM テンプレートおよびインターフェイスに適用できます。インターフェイス コンフィギュレーションの方が、テンプレート コンフィギュレーションより優先されます。OAM テンプレート コンフィギュレーション モードを開始するには、 template template-name グローバル コンフィギュレーション コマンドを使用します。

リモート リンクがダウンした場合、リモート デバイスがディセーブルになった場合、リモート デバイスがインターフェイス上のイーサネット OAM をディセーブルにした場合に、errdisable アクションが実行されるように設定できます。

Catalyst 3750 Metro スイッチは、Link Fault PDU または Critical Event OAM PDU を生成しませんが、これらの PDU をリンクの相手側から受信した場合は処理します。イーサネット OAM がディセーブルの場合、インターフェイスがシャットダウンされている場合、インターフェイスが errdisable 状態になった場合、スイッチが起動中の場合は、スイッチは Dying Gasp OAM PDU の生成と受信をサポートします。停電による Dying Gasp PDU には応答しますが、生成することはできません。

イーサネット OAM プロトコルのコマンドと設定情報の詳細については、次の URL の『 Cisco IOS Carrier Ethernet Configuration Guide 』を参照してください。
http://www.cisco.com/en/US/docs/ios/cether/configuration/guide/12_2sr/ce_12_2sr_book.html

CFM とイーサネット OAM のコマンドの詳細については、次の URL の『 Cisco IOS Carrier Ethernet Command Reference 』を参照してください。
http://www.cisco.com/en/US/docs/ios/cether/command/reference/ce_book.html

次の例では、回復不可能なエラーが発生したときのリモート障害表示用イーサネット OAM テンプレートを設定する方法と、そのテンプレートをインターフェイスに適用する方法を示します。

Switch(config)# template oam1
Switch(config-template)# ethernet oam remote-failure dying-gasp action error-disable interface
Switch(config-template)# exit
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# source template oam1
Switch(config-if)# exit
 

次の例では、回復不可能なエラーが発生した場合のイーサネット OAM リモート障害表示を 1 つのインターフェイスに設定する方法を示します。

Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ethernet oam remote-failure dying-gasp action error-disable interface
Switch(config-if)# exit

 
関連コマンド

コマンド
説明

show ethernet oam status [ interface interface-id ]

すべてのインターフェイスまたは指定されたインターフェイス上に設定済みのイーサネット OAM リモート障害条件を表示します。

 

ethernet uni

UNI バンドル属性を設定するには、 ethernet uni インターフェイス コンフィギュレーション コマンドを使用します。デフォルトのバンドル設定に戻すには、このコマンドの no 形式を使用します。

ethernet uni { bundle [ all-to-one ] | multiplex }

no ethernet uni { bundle | multiplex }

 
構文の説明

bundle

多重化なしのバンドルをサポートするように UNI を設定します。このサービスは、Ethernet Virtual Connection(EVC; イーサネット仮想接続)にマッピングされた 1 つ以上の Customer Edge(CE; カスタマー エッジ)-VLAN ID を持つ UNI で EVC を 1 つだけサポートします。

all-to-one

(任意)EVC にマッピングされた UNI およびすべての CE VLAN で 1 つの EVC でのバンドルをサポートするように UNI を設定します。

multiplex

バンドルなしの多重化をサポートするように UNI を設定します。UNI には、各 EVC にマッピングされた 1 つの CE-VLAN ID を持つ、1 つ以上の EVC を設定できます。

 
デフォルト

バンドル属性および多重化属性が設定されていない場合、デフォルトは多重化付きバンドルです。その場合、UNI には各 EVC にマッピングされた 1 つ以上の CE VLAN を持つ、1 つ以上の EVC があります。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEG

このコマンドが追加されました。

 
使用上のガイドライン

UNI 属性は、インターフェイスが関連バンドル VLAN、多重化 EVC、およびそれらの組み合わせを持つという機能を決定します。

UNI にバンドルと多重化両方のサービスを行わせたい場合、バンドルまたは多重化を設定する必要はありません。バンドルのみ、または多重化のみを行わせたい場合、適宜設定する必要があります。

UNI サービス タイプを設定、変更、削除する場合、EVC および CE-VLAN ID 設定をチェックして、コンフィギュレーションと UNI サービス タイプが一致していることを確認します。コンフィギュレーションが一致していない場合、コマンドは拒否されます。

ethernet lmi ce-vlan map any サービス コンフィギュレーション コマンドを使用する場合、事前に all-to-one バンドルをインターフェイスで設定する必要があります。詳細については、 ethernet lmi ce-vlan map を参照してください。

次の例では、多重化なしのバンドルを設定する方法を示します。

Switch(config-if)# ethernet uni bundle
 

UNI サービス タイプを確認するには、 show ethernet service interface detail 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ethernet service interface

サービス タイプなど、インターフェイスのイーサネット サービス インスタンスに関する情報を表示します。

ethernet uni id

イーサネット User-Network Interface(UNI; ユーザネットワーク インターフェイス)ID を作成するには、 ethernet uni インターフェイス コンフィギュレーション コマンドを使用します。UNI ID を削除するには、このコマンドの no 形式を使用します。

ethernet uni id name

no ethernet uni id

 
構文の説明

name

イーサネット UNI ID を識別します。名前は、所定のサービス インスタンスの一部であるすべての UNI に対して一意でなければならず、64 文字の長さまで設定できます。

 
デフォルト

UNI ID は作成されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEG

このコマンドが追加されました。

 
使用上のガイドライン

ポートに UNI ID を設定する場合、その ID は、ポート上で設定されるすべての Maintenance End Point(MEP; メンテナンス エンド ポイント)のデフォルト名として使用されます。

Customer Edge(CE; カスタマー エッジ)デバイスに直接接続されたすべてのポートで、 ethernet uni id name コマンドを入力する必要があります。指定された ID がデバイスで一意でない場合、エラー メッセージが表示されます。

次の例では、一意の UNI を識別する方法を示します。

Switch(config-if)# ethernet uni id test2
 

 
関連コマンド

コマンド
説明

show ethernet service interface

サービス タイプなど、インターフェイスのイーサネット サービス インスタンスに関する情報を表示します。

 

flowcontrol

インターフェイスの受信フロー制御ステートを設定するには、 flowcontrol インターフェイス コンフィギュレーション コマンドを使用します。ある装置に対して send が動作可能でオンになっていて、接続のもう一方の側で輻輳が検出された場合、休止フレームを送信することによって、リンクの相手側またはリモート装置に輻輳を通知します。ある装置に対してフロー制御 receive がオンで、休止フレームを受信した場合、データ パケットの送信は停止します。こうすることにより、輻輳期間中にデータ パケットの損失を防ぎます。

フロー制御をディセーブルにするには receive off キーワードを使用します。

flowcontrol receive { desired | off | on }


) スイッチはポーズ フレームのみを受信できます。


 
構文の説明

receive

インターフェイスがリモート デバイスからフロー制御パケットを受信できるかどうかを設定します。

desired

インターフェイスを、フロー制御パケットを送信する必要がある接続されたデバイスまたはフロー制御パケットを送信する必要はないが送信することのできる接続されたデバイスとともに稼動させることができます。

off

接続されたデバイスがフロー制御パケットをインターフェイスに送信する機能はオフになります。

on

インターフェイスを、フロー制御パケットを送信する必要がある接続されたデバイスまたはフロー制御パケットを送信する必要はないが送信することのできる接続されたデバイスとともに稼動させることができます。

 
デフォルト

デフォルトは、 flowcontrol receive off に設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

このスイッチでは、送信フロー制御の休止フレームはサポートされません。

on および desired キーワードは同一の結果になることに注意してください。

flowcontrol コマンドを使用してポートが輻輳中にトラフィック レートを制御するよう設定する場合、フロー制御はポート上で次の条件のうちの 1 つに設定されます。

receive on または desired :ポートはポーズ フレームを送信できませんが、ポーズ フレームを送信する必要のある接続されたデバイス、またはポーズ フレームを送信できる接続されたデバイスでは使用できます。このポートはポーズ フレームを受信できます。

receive off :フロー制御はどちらの方向にも動作しません。輻輳が生じても、リンクの相手側に通知はなく、どちら側のデバイスもポーズ フレームを送受信しません。

表 2-5 は、各設定の組み合わせによるローカル ポートおよびリモート ポート上のフロー制御の結果を示したものです。表は receive desired キーワードの使用時と receive on キーワードの使用時の結果が同一になることを前提としています。

 

表 2-5 フロー制御設定およびローカル/リモート ポート フロー制御解決

フロー制御設定
フロー制御解決
ローカル デバイス
リモート デバイス
ローカル デバイス
リモート デバイス

send off/receive on

send on/receive on

send on/receive off

send desired/receive on

send desired/receive off

send off/receive on

send off/receive off

受信のみ行います。

受信のみ行います。

受信のみ行います。

受信のみ行います。

受信のみ行います。

送受信を行いません。

送受信を行います。

送信のみ行います。

送受信を行います。

送信のみ行います。

受信のみ行います。

送受信を行いません。

send off/receive off

send on/receive on

send on/receive off

send desired/receive on

send desired/receive off

send off/receive on

send off/receive off

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

送受信を行いません。

次の例では、リモート ポートによってフロー制御がサポートされないようにローカル ポートを設定する方法を示します。

Switch(config-if)# flowcontrol receive off
 

設定を確認するには、 show interfaces 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces

入出力フロー制御を含むスイッチのインターフェイス設定を表示します。

interface port-channel

ポート チャネルの論理インターフェイスへのアクセス、または作成を行うには 、 interface port-channel グローバル コンフィギュレーション コマンドを使用します。ポート チャネルを削除する場合は、このコマンドの no 形式を使用します。

interface port-channel port - channel-number

no interface port-channel port - channel-number

 
構文の説明

port-channel-number

ポート チャネル番号。指定できる範囲は 1 ~ 12 です。

 
デフォルト

ポート チャネル論理インターフェイスは定義されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

レイヤ 2 EtherChannel では、物理ポートをチャネル グループに割り当てる前に、ポートチャネルを作成する必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。チャネル グループが最初の物理ポートを獲得すると、ポートチャネルは自動的に作成されます。最初にポートチャネルを作成する場合は、 channel-group-number port - channel-number と同じ番号を使用することもできれば、新しい番号を使用することもできます。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポート チャネルを作成します。

interface port-channel コマンドの次に no switchport インターフェイス コンフィギュレーション コマンドを使用して、レイヤ 3 のポート チャネルを作成できます。インターフェイスをチャネル グループに適用する前に、ポート チャネルの論理インターフェイスを手動で設定してください。

チャネル グループ内の 1 つのポート チャネルだけが許可されます。


注意 ポート チャネル インターフェイスをルーテッド ポートとして使用する場合、チャネル グループに割り当てられた物理ポート上のレイヤ 3 に、アドレスを割り当てないようにしてください。


注意 レイヤ 3 のポート チャネル インターフェイスとして使用されているチャネル グループの物理ポート上で、ブリッジ グループを割り当てることは、ループ発生の原因になるため行わないようにしてください。スパニングツリーもディセーブルにする必要があります。

interface port-channel コマンドを使用する場合は、次の注意事項に従ってください。

Cisco Discovery Protocol(CDP; シスコ検出プロトコル)を使用する場合には、これを物理ポートのみで設定してください。ポート チャネルでは設定できません。

EtherChannel のアクティブ メンバーであるポートを 802.1x ポートとしては設定しないでください。まだアクティブになっていない EtherChannel のポートで 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。

設定の注意事項の一覧については、このリリースに対応するソフトウェア ガイドの「Configuring EtherChannels」の章を参照してください。

次の例では、ポート チャネル 5 を作成する例を示します。

Switch(config)# interface port-channel 5
 

設定を確認するには、 show running-config 特権 EXEC コマンドまたは show etherchannel channel-group-number detail 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

channel-group

EtherChannel グループにイーサネット ポートを割り当てます。

show etherchannel

チャネルの EtherChannel 情報を表示します。

show running-config

動作設定を表示します。構文情報については、 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html のリンクで、Cisco IOS Release 12.2 の「Command References」の一覧ページに移動します。
「Cisco IOS Commands Master List, Release 12.2」を選択して、コマンドに移動します。

interface range

インターフェイス レンジ コンフィギュレーション モードを開始し、複数のポート上でコマンドを同時に実行するには、 interface range グローバル コンフィギュレーション コマンドを使用します。インターフェイス範囲を削除する場合は、このコマンドの no 形式を使用します。

interface range { port-range | macro name }

no interface range { port-range | macro name }

 
構文の説明

port-range

ポート範囲。 port-range の有効値のリストについては、「使用上のガイドライン」を参照してください。

macro name

マクロ名を指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス範囲コンフィギュレーション モードを開始して入力した、すべてのインターフェイスのパラメータは、その範囲内のすべてのインターフェイスに対する属性になります。

VLAN については、既存の VLAN Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)でだけ interface range コマンドを使用することができます。VLAN の SVI を表示する場合は、 show running-config 特権 EXEC コマンドを入力します。表示されない VLAN は、 interface range コマンドで使用することはできません。 interface range コマンドのもとで入力したコマンドは、この範囲のすべての既存の VLAN SVI に適用されます。

あるインターフェイス範囲に対して行われた設定変更は、すべて NVRAM に保存されますが、 インターフェイス範囲 自体は NVRAM に保存されません。

インターフェイス範囲は 2 つの方法で入力できます。

最大 5 つまでのインターフェイス範囲を指定。

定義済みのインターフェイス範囲マクロ設定を指定。

範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、各範囲をカンマ(,)で区切ることにより、1 つのコマンドで最大 5 つのインターフェイス範囲を定義できます。

port-range タイプおよびインターフェイスの有効値は次のとおりです。

vlan vlan-ID - vlan-ID 。ここで、VLAN ID の範囲は 1 ~ 4094 です。

port-channel port-channel-number - port-channel-number 。ここで、 port-channel-number の範囲は 1 ~ 12 です。


) ポート チャネルの interface range コマンドを使用した場合、範囲内の最初と最後のポート チャネル番号はアクティブなポート チャネルである必要があります。


fastethernet switch number(常に 1)/module/{ first port } - { last port }

gigabitethernet switch number(常に 1)/module/{ first port } - { last port }

物理インターフェイス

スイッチ番号は常に 1 です。

モジュール番号は、10/100 ポートと標準の SFP モジュール スロットでは 0、Enhanced-Services(ES)ポートでは 1 です。

範囲は type 1 / module-n umber/number - number(たとえば、gigabitethernet 1/0/1 - 2)です。

範囲を定義するときは、最初の入力とハイフン(-)の間にスペースが必要です。

interface range gigabitethernet1/0/1 -2
 

複数の範囲を定義するときは、最初のエントリとカンマ(,)の間にスペースが必要です。

interface range fastethernet1/0/3 , gigabitethernet1/0/1 - 2
interface range fastethernet1/0/3 -5, fastethernet1/0/7 -8
 

同じコマンドでマクロとインターフェイス範囲の両方を指定することはできません。

port-range では単一のインターフェイスも指定できます(この場合、 interface interface-id グローバル コンフィギュレーション コマンドと同様)。


) インターフェイスの範囲の設定に関する詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。


次の例では、 interface range コマンドを使用して、インターフェイス範囲コンフィギュレーション モードを開始し、2 つのポートにコマンドを入力する方法を示します。

Switch(config)# interface range gigabitethernet1/0/1 - 2
Switch(config-if-range)#
 

次の例では、同じ機能に対して 1 つのポート範囲マクロ macro1 を使用する方法を示します。この利点は、 macro1 を削除するまで再利用できることです。

Switch(config)# define interface-range macro1 gigabitethernet1/0/1 - 2
Switch(config)# interface range macro macro1
Switch(config-if-range)#

 
関連コマンド

コマンド
説明

define interface-range

インターフェイス範囲のマクロを作成します。

show running-config

動作設定を表示します。構文情報については、 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html のリンクで、Cisco IOS Release 12.2 の「Command References」の一覧ページに移動します。
「Cisco IOS Commands Master List, Release 12.2」を選択して、コマンドに移動します。

interface vlan

動的な Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)を作成、またはこれにアクセスし、インターフェイス コンフィギュレーション モードを開始するには、 interface vlan グローバル コンフィギュレーション コマンドを使用します。SVI を削除するには、このコマンドの no 形式を使用します。

interface vlan vlan-id

no interface vlan vlan-id

 
構文の説明

vlan-id

VLAN 番号 指定できる範囲は 1 ~ 4094 です。

 
デフォルト

デフォルトの VLAN インターフェイスは VLAN 1 です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

VLAN 1 インターフェイスを削除することはできません。

SVI は、特定の VLAN に対して、初めて interface vlan vlan-id コマンドを入力したときに作成されます。 vlan-id は、ISL(スイッチ間リンク)または 802.1Q カプセル化トランクのデータ フレームに関連付けられた VLAN タグ、またはアクセス ポートに設定された VLAN ID に相当します。


) 物理ポートと関連付けられていない場合、SVI を作成してもアクティブにはなりません。


no interface vlan vlan -id コマンドを入力して SVI を削除すると、削除されたインターフェイスは、それ以降、 show interfaces 特権 EXEC コマンドの出力には表示されません。

削除した SVI は、削除したインターフェイスに対して interface vlan vlan-id コマンドを入力することで、元に戻すことができます。インターフェイスは復元しますが、以前の設定の大半は失われます。

スイッチ上で設定された SVI の数と、設定された他の機能の数の相互関係によっては、ハードウェア制限により、CPU 使用率に影響が出る可能性もあります。 sdm prefer グローバル コンフィギュレーション コマンドを使用し、システムのハードウェア リソースを、テンプレートおよび機能テーブルに基づいて再度割り当てることができます。詳細については、 sdm prefer コマンドを参照してください。

次の例では、VLAN ID 23 の新しい SVI を作成し、インターフェイス コンフィギュレーション モードを開始する方法を示します。

Switch(config)# interface vlan 23
Switch(config-if)#
 

設定を確認するには、 show interfaces および show interfaces vlan vlan-id 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show interfaces vlan vlan-id

すべてのインターフェイスまたは指定の VLAN の管理ステータスおよび動作ステータスを表示します。

ip access-group

レイヤ 2 またはレイヤ 3 インターフェイスへのアクセスを制御するには、 ip access-group インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスからすべてまたは指定のアクセス グループを削除するには、このコマンドの no 形式を使用します。

ip access-group { access-list-number | name } { in | out }

no ip access-group [ access-list-number | name ] { in | out }

 
構文の説明

access-list-number

IP アクセス コントロール リスト(ACL)の番号です。指定できる範囲は 1 ~ 199 または 1300 ~ 2699 です。

name

ip access-list グローバル コンフィギュレーション コマンドで指定された IP ACL 名です。

in

入力パケットに対するフィルタリングを指定します。

out

発信パケットに対するフィルタリングを指定します。このキーワードは、レイヤ 3 のインターフェイス上に限り有効です。

 
デフォルト

アクセス リストは、インターフェイスには適用されません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

名前付きまたは番号付きの標準/拡張 IP アクセス リストをインターフェイスに適用できます。名前を付けてアクセス リストを定義するには、 ip access-list グローバル コンフィギュレーション コマンドを使用します。番号付きアクセス リストを定義するには、 access list グローバル コンフィギュレーション コマンドを使用します。1 ~ 99 および 1300 ~ 1999 の範囲の番号付き標準アクセス リスト、または 100 ~ 199 および 2000 ~ 2699 の範囲の番号付き拡張アクセス リストを使用できます。

このコマンドを使用し、アクセス リストをレイヤ 2 またはレイヤ 3 のインターフェイスに適用できます。ただし、レイヤ 2 のインターフェイス(ポート ACL)には、次のような制限があることに注意してください。

ACL は着信方向に対してだけ適用できます。 out キーワードはレイヤ 2 のインターフェイスでサポートされていません。

インターフェイスごとに 1 つの IP ACL と 1 つの MAC(メディア アクセス制御)ACL だけを適用できます。

レイヤ 2 のインターフェイスはロギングをサポートしていません。 log キーワードが IP ACL で指定された場合、無視されます。

レイヤ 2 のインターフェイスに適用された IP ACL は、IP パケットだけをフィルタにかけます。非 IP パケットをフィルタリングするには、MAC 拡張 ACL とともに mac access-group インターフェイス コンフィギュレーション コマンドを使用します。

ユーザは同一のスイッチ上で、ルータ ACL、入力ポート ACL、VLAN マップを使用できます。ただし、ポートの ACL はルータの ACL または VLAN マップより優先されます。

入力ポートの ACL がインターフェイスに適用され、さらにインターフェイスがメンバーとなっている VLAN に VLAN マップが適用された場合、ACL のポート上で受信した着信パケットは、そのポート ACL でフィルタリングされます。その他のパケットは、VLAN マップによってフィルタリングされます。

入力ルータの ACL および入力ポートの ACL が Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。他のポートで受信した着信のルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

出力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。発信するルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

VLAN マップ、入力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタだけが適用されます。他のポートで受信した着信のルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタだけが適用されます。

VLAN マップ、出力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタだけが適用されます。発信するルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタだけが適用されます。

IP の ACL は、送信側または受信側のレイヤ 3 インターフェイス両方に適用できます。

レイヤ 3 のインターフェイスでは、IP の ACL を各方向に 1 つ適用できます。

VLAN インターフェイス上の各方向(入力および出力)に VLAN マップおよびルータの ACL を 1 つずつに限り設定できます。

標準入力アクセス リストでは、スイッチは、パケットを受信すると、パケットの送信元アドレスをアクセス リストに比較して検査します。IP 拡張アクセス リストでは、任意で、宛先 IP アドレス、プロトコル タイプ、ポート番号などのパケット内の他のフィールドを検査することができます。アクセス リストがパケットを許可する場合に、スイッチはパケットの処理を続行します。アクセス リストがパケットを拒否する場合は、スイッチはそのパケットをドロップします。アクセス リストがレイヤ 3 のインターフェイスに適用された場合、パケットのドロップにともない(デフォルト設定)、Internet Control Message Protocol(ICMP)の Host Unreachable のメッセージが生成されます。ICMP Host Unreachable メッセージは、レイヤ 2 インターフェイスでドロップされたパケットに対しては生成されません。

通常の発信アクセス リストでは、パケットを受信して、それを制御されたインターフェイスへ送信したあと、スイッチがアクセス リストと照合することでパケットを確認します。アクセス リストがパケットを許可した場合、スイッチはパケットを送信します。アクセス リストがパケットを拒否した場合、スイッチはパケットをドロップし、デフォルトの設定では、ICMP Host Unreachable メッセージが生成されます。

指定したアクセス リストが存在しない場合は、すべてのパケットが通過します。

次の例では、ポートの入力パケットに IP アクセス リスト 101 を適用する方法を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip access-group 101 in
 

設定を確認するには、 show ip interface show access-lists 、または show ip access-lists 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

access list

番号付き ACL を設定します。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。

ip access-list

名前付き ACL を設定します。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。

show access-lists

スイッチで設定された ACL を表示します。

show ip access-lists

スイッチで設定された IP ACL を表示します。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。

show ip interface

インターフェイスのステータスと設定に関する情報を表示します。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。

ip address

レイヤ 2 スイッチの IP アドレスや、各 Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)またはレイヤ 3 スイッチのルーテッド ポートの IP アドレスを設定するには、 ip address インターフェイス コンフィギュレーション コマンドを使用します。IP アドレスを削除したり、IP 処理をディセーブルにしたりするには、このコマンドの no 形式を使用します。

ip address ip-address subnet-mask [ secondary ]

no ip address [ ip-address subnet-mask ] [ secondary ]

 
構文の説明

ip-address

IP アドレス

subnet-mask

関連する IP サブネットのマスク

secondary

(任意)設定されたアドレスをセカンダリ IP アドレスに指定します。このキーワードが省略された場合、設定されたアドレスはプライマリ IP アドレスになります。

 
デフォルト

IP アドレスは定義されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

Telnet のセッションで、スイッチの IP アドレスを削除した場合、スイッチの接続が切断されます。

ホストは、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)Mask Request メッセージを使用して、サブネット マスクを判別できます。ルータは、この要求に対して ICMP Mask Reply メッセージで応答します。

no ip address コマンドを使って IP アドレスを削除することで、特定のインターフェイス上の IP プロセスをディセーブルにできます。スイッチが、その IP アドレスのうちの 1 つを使用している他のホストを検出した場合、コンソールにエラー メッセージを送信します。

オプションで secondary キーワードを使用することで、セカンダリ アドレスの番号を無制限に指定することができます。システムがセカンダリの送信元アドレスのルーティングの更新以外にデータグラムを生成しないということを除けば、セカンダリ アドレスはプライマリ アドレスのように処理されます。IP ブロードキャストと ARP 要求は、IP ルーティング テーブル内のインターフェイス ルートと同様に、適切に処理されます。


) ネットワーク セグメント上のすべてのルータがセカンダリのアドレスを使用した場合、同一のセグメント上にある他のデバイスも、同一のネットワークまたはサブネットからセカンダリ アドレスを使用しなければなりません。ネットワーク セグメント上のセカンダリ アドレスの使用に矛盾があると、ただちにルーティング ループが引き起こされる可能性があります。


Open Shortest Path First(OSPF)のルーティングの場合、インターフェイスのすべてのセカンダリ アドレスが、プライマリ アドレスと同一の OSPF 領域にあることを確認してください。

スイッチが、Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)または DHCP サーバから IP アドレスを受信し、そのスイッチ IP アドレスを no ip address コマンドで削除した場合、IP 処理はディセーブルとなり、BOOTP または DHCP サーバは再びそのアドレスを割り当てることはできません。

スイッチは、各ルーテッド ポートおよび SVI に割り当てられた IP アドレスを持つことができます。設定するルーテッド ポートおよび SVI の数はソフトウェアでは制限されていません。ただし、この番号と設定された他の機能との相互関係によっては、ハードウェア制限により、CPU 使用率に影響が出る可能性があります。 sdm prefer グローバル コンフィギュレーション コマンドを使用し、システムのハードウェア リソースを、テンプレートおよび機能テーブルに基づいて再度割り当てることができます。詳細については、 sdm prefer コマンドを参照してください。

次の例では、サブネット ネットワークでレイヤ 2 スイッチの IP アドレスを設定する方法を示します。

Switch(config)# interface vlan 1
Switch(config-if)# ip address 172.20.128.2 255.255.255.0
 

次の例では、レイヤ 3 スイッチ上のポートに IP アドレスを設定する方法を示します。

Switch(config)# ip multicast-routing
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# no switchport
Switch(config-if)# ip address 172.20.128.2 255.255.255.0
 

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show running-config

動作設定を表示します。構文情報については、 http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/prod_command_reference_list.html のリンクで、Cisco IOS Release 12.2 の「Command References」の一覧ページに移動します。
「Cisco IOS Commands Master List, Release 12.2」を選択して、コマンドに移動します。

ip arp inspection filter vlan

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)インスペクションがイネーブルの場合にスタティック IP アドレスが設定されたホストからの ARP 要求と ARP 応答を許可または拒否するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection filter vlan グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection filter arp-acl-name vlan vlan-range [ static ]

no ip arp inspection filter arp-acl-name vlan vlan-range [ static ]

このコマンドは、スイッチが Enhanced Multilayer Image(EMI; 拡張マルチレイヤ イメージ)を実行している場合にのみ使用可能です。

 
構文の説明

arp-acl-name

ARP アクセス コントロール リスト(ACL)の名前を指定します。

vlan-range

VLAN の番号または範囲を指定します。

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定することができます。指定できる範囲は 1 ~ 4094 です。

static

(任意) static を指定すると、ARP ACL 内の暗黙的な deny 文が明示的な deny 文として扱われ、ACL に含まれているどの句にも一致しないパケットが廃棄されます。DHCP バインディングは使用されません。

このキーワードを指定しないと、パケットを拒否する明示的な deny 文が ACL 内に存在しなくなるため、ACL に含まれているどの句にも一致しないパケットを許可するか拒否するかが DHCP バインディングによって決定されます。

 
デフォルト

VLAN に適用される ARP ACL が定義されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

ダイナミック ARP インスペクションを実行するために ARP ACL を VLAN に適用すると、IP-to-MAC アドレス バインディングを含む ARP パケットだけが ACL と比較されます。パケットが ACL で許可されると、スイッチはそのパケットを転送します。それ以外のタイプのパケットはすべて検証なしで入力 VLAN でブリッジングされます。

ACL 内の明示的な deny 文によってパケットがスイッチで拒否された場合、そのパケットは廃棄されます。暗黙的な deny 文によってパケットがスイッチで拒否された場合、そのパケットは DHCP バインディングのリストと比較されます(ただし、ACL が スタティック の場合を除きます。この場合は、パケットがバインディングと比較されません)。

ARP ACL を定義するか、または事前に定義されたリストの末尾に句を追加するには、 arp access-list acl-name グローバル コンフィギュレーション コマンドを使用します。

次の例では、ダイナミック ARP インスペクションを実行するために ARP ACL static-hosts を VLAN 1 に適用する方法を示します。

Switch(config)# ip arp inspection filter static-hosts vlan 1
 

設定を確認するには、 show ip arp inspection vlan 1 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP ACL を定義します。

deny(ARP アクセス リスト コンフィギュレーション)

DHCP バインディングと一致した ARP パケットを拒否します。

permit(MAC アクセス リスト コンフィギュレーション)

DHCP バインディングと一致した ARP パケットを許可します。

show arp access-list

ARP アクセス リストの詳細を表示します。

show ip arp inspection vlan vlan-range

指定された VLAN に対するダイナミック ARP インスペクションの設定と動作ステートを表示します。

ip arp inspection limit

着信 Address Resolution Protocol(ARP; アドレス解決プロトコル)要求および応答のレートをインターフェイス上で制限するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection limit インターフェイス コンフィギュレーション コマンドを使用します。これにより、サービス拒絶攻撃が発生した場合にダイナミック ARP インスペクションにすべてのスイッチ リソースが使用される点が回避されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection limit { rate pps [ burst interval seconds ] | none }

no ip arp inspection limit

このコマンドは、スイッチが Enhanced Multilayer Image(EMI; 拡張マルチレイヤ イメージ)を実行している場合にのみ使用可能です。

 
構文の説明

rate pps

1 秒間に処理される着信パケット数の上限を指定します。指定できる範囲は 0 ~ 2048 Packets Per Second(pps; パケット/秒)です。

burst interval seconds

(任意)レートの高い ARP パケットの有無についてインターフェイスが監視される間隔(秒)を指定します。指定できる範囲は 1 ~ 15 秒です。

none

この値を指定すると、処理できる着信 ARP パケットのレートの上限が設定されません。

 
デフォルト

このレートは、信頼できないインターフェイス上で 15 pps に設定されています。ただし、1 台のホストが 1 秒間に 15 台の新規ホストに接続できるスイッチド ネットワークであると仮定しています。

このレートは、信頼できるすべてのインターフェイス上で無制限になっています。

burst interval は 1 秒に設定されています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

このレートは、信頼できるインターフェイスと信頼できないインターフェイスのいずれにも適用されます。ダイナミック ARP インスペクションに対応した複数の VLAN 間のパケットを処理できるようにトランク上で適切なレートを設定するか、または none キーワードを使用してレートを無制限にします。

いくつかのバースト期間にわたって設定された 1 秒間のレートを超えるパケットをスイッチが連続して受信すると、インターフェイスが errdisable ステートになります。

インターフェイスに対してレート制限を明示的に設定しないかぎり、インターフェイスの信頼状態を変更すると、レート制限もその信頼状態のデフォルト値に変更されます。レート制限を設定すると、インターフェイスはその信頼状態が変更された場合でも設定されたレート制限を維持します。 no ip arp inspection limit インターフェイス コンフィギュレーション コマンドを入力した場合、インターフェイスはそのデフォルト レート制限に戻されます。

集約を反映するためにトランク ポートのレートを高く設定する必要があります。着信パケットのレートがユーザ設定のレートを超えると、スイッチはインターフェイスを errdisable ステートにします。errdisable 回復機能により、回復設定に従ってポートが errdisable ステートから自動的に解除されます。

EtherChannel ポート上での着信 ARP パケットのレートは、すべてのチャネル メンバーからの着信 ARP パケットのレートの合計と同じになります。EtherChannel ポートのレート制限は、必ずすべてのチャネル メンバーの着信 ARP パケットのレートを調べてから設定してください。

次の例では、ポート上で着信 ARP 要求のレートを 25 pps に制限する方法とインターフェイス監視間隔を 5 秒に設定する方法を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip arp inspection limit rate 25 burst interval 5
 

設定を確認するには、 show ip arp inspection interfaces interface-id 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip arp inspection interfaces

指定されたインターフェイスまたはすべてのインターフェイスに関して信頼状態と ARP パケットのレート制限を表示します。

 

ip arp inspection log-buffer

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)インスペクションのロギング バッファを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection log-buffer グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection log-buffer { entries number | logs number interval seconds }

no ip arp inspection log-buffer { entries | logs }

 
構文の説明

entries number

バッファにロギングされるエントリの数を指定します。指定できる範囲は 0 ~ 1024 です。

logs number interval seconds

指定されたシステム メッセージ生成間隔で必要なエントリの数を指定します。

logs number に指定できる範囲は 0 ~ 1024 です。値を 0 に設定すると、エントリはログ バッファに配置されますが、システム メッセージが生成されません。

interval seconds に指定できる範囲は 0 ~ 86400 秒(1 日)です。値を 0 に設定すると、システム メッセージがただちに生成されます(ログ バッファは常に空になります)。

 
デフォルト

ダイナミック ARP インスペクションをイネーブルにした場合は、拒否または廃棄された ARP パケットがロギングされます。

ログ エントリの数は 32 に設定されています。

システム メッセージの数は 1 秒あたり 5 つに制限されています。

ロギング レート間隔は 1 秒に設定されています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

logs キーワードと interval キーワードのいずれにも値 0 は使用できません。

logs interval の設定は相互に関連しています。 logs number X が interval seconds Y より大きい場合は、X を Y で割って(X/Y)求められたシステム メッセージ数が 1 秒間に送信されます。それ以外の場合は、Y を X で割って(Y/X)求められた間隔(秒)で 1 つのシステム メッセージが送信されます。たとえば、 logs number が 20、 interval seconds が 4 の場合は、ログ バッファにエントリが存在するかぎり、スイッチから 1 秒間に 5 エントリ分のシステム メッセージが生成されます。

1 つのログ バッファ エントリは複数のパケットを表す場合があります。たとえば、インターフェイスが同じ ARP パラメータを使用して同じ VLAN 上で多数のパケットを受信した場合、スイッチはこれらのパケットを組み合わせて 1 つのエントリとしてログ バッファに格納し、システム メッセージを 1 つのエントリとして生成します。

ログ バッファのオーバーフローが発生すると、ログ イベントがログ バッファと整合しなくなり、 show ip arp inspection log 特権 EXEC コマンドの出力表示に影響が及びます。出力表示で、パケット数と時刻を除くすべてのデータが -- と表示されます。このエントリに関してそれ以外の統計情報は表示されません。このエントリに関する情報が表示されるようにするには、ログ バッファ内のエントリの数を増やすか、またはロギング レートを高くします。

次の例では、エントリを 45 個まで保持できるようにログ バッファを設定する方法を示します。

Switch(config)# ip arp inspection log-buffer entries 45
 

次の例では、ロギング レートを 4 秒あたり 20 ログ エントリに設定する方法を示します。この設定では、ログ バッファにエントリが存在する間は、スイッチから 1 秒間に 5 エントリ分のシステム メッセージが生成されます。

Switch(config)# ip arp inspection log-buffer logs 20 interval 4
 

設定を確認するには、 show ip arp inspection log 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP アクセス コントロール リスト(ACL)を定義します。

clear ip arp inspection log

ダイナミック ARP インスペクションのログ バッファをクリアします。

ip arp inspection vlan logging

VLAN ごとにロギングされるパケットのタイプを制御します。

show ip arp inspection log

ダイナミック ARP インスペクション ログ バッファの設定と内容を表示します。

ip arp inspection trust

インスペクションの対象となる着信 Address Resolution Protocol(ARP; アドレス解決プロトコル)パケットを判別するインターフェイスの信頼状態を設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection trust インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

ip arp inspection trust

no ip arp inspection trust

このコマンドは、スイッチが Enhanced Multilayer Image(EMI; 拡張マルチレイヤ イメージ)を実行している場合にのみ使用可能です。

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

インターフェイスは、信頼できないインターフェイスです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

スイッチは信頼できるインターフェイス上で ARP パケットを受信すると、インスペクションなしでそのパケットを転送します。

信頼できないインターフェイスの場合、スイッチはすべての ARP 要求と ARP 応答を代行受信します。ローカル キャッシュを更新し、該当する宛先にパケットを転送する前に、代行受信したパケットが有効な IP-to-MAC アドレス バインディングを持つかどうかを検証します。スイッチは無効なパケットを廃棄し、 ip arp inspection vlan logging グローバル コンフィギュレーション コマンドに指定されたロギング設定に従ってログ バッファにロギングします。

次の例では、信頼できるポートを設定する方法を示します。

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip arp inspection trust
 

設定を確認するには、 show ip arp inspection interfaces interface-id 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip arp inspection log-buffer

ダイナミック ARP インスペクションのログ バッファを設定します。

show ip arp inspection interfaces

指定されたインターフェイスまたはすべてのインターフェイスに関して信頼状態と ARP パケットのレート制限を表示します。

show ip arp inspection log

ダイナミック ARP インスペクション ログ バッファの設定と内容を表示します。

 

ip arp inspection validate

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)インスペクションで特定の検証を実行するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection validate グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection validate {[ src-mac ] [ dst-mac ] [ ip [allow zeros] ]}

no ip arp inspection validate [ src-mac ] [ dst-mac ] [ ip [allow zeros] ]

 
構文の説明

src-mac

イーサネット ヘッダーの送信元 MAC アドレスを ARP 本文の送信元 MAC アドレスと比較します。この検証は、ARP 要求と ARP 応答に両方に対して実行されます。

イネーブルの場合、異なる MAC アドレスが割り当てられたパケットは無効と見なされて廃棄されます。

dst-mac

イーサネット ヘッダーの宛先 MAC アドレスを ARP 本文の宛先 MAC アドレスと比較します。この検証は、ARP 応答に対して実行されます。

イネーブルの場合、異なる MAC アドレスが割り当てられたパケットは無効と見なされて廃棄されます。

ip

ARP 本文を比較して、無効な IP アドレスや予期しない IP アドレスがないかを確認します。0.0.0.0、255.255.255.255 のアドレス、およびすべての IP マルチキャスト アドレスがこれに該当します。

送信元 IP アドレスは、すべての ARP 要求と ARP 応答で比較されます。宛先 IP アドレスは ARP 応答でのみ比較されます。

allow-zeros

送信元アドレスが 0.0.0.0 の ARP(ARP プローブ)が拒否されないように IP 検証テストを変更します。

 
デフォルト

どの検証も実行されません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

12.2(37)SE

allow-zero キーワードが追加されました。

 
使用上のガイドライン

これらのキーワードのうちの少なくともいずれか一方を指定する必要があります。各コマンドは直前のコマンドの設定を無効にします。つまり、最初のコマンドで src-mac 検証と dst-mac 検証がイネーブルになっており、2 番めのコマンドで IP 検証だけがイネーブルになっている場合は、2 番めのコマンドの結果として src-mac 検証と dst-mac 検証がディセーブルになります。

allow-zeros キーワードは、次のように ARP アクセス コントロール リスト(ACL)と連携しています。

ARP プローブを拒否するように ARP ACL を設定すると、 allow-zero キーワードが指定されている場合でも ARP プローブが廃棄されます。

ARP プローブを明示的に許可するように ARP ACL を設定し、かつ ip arp inspection validate ip コマンドを設定した場合は、 allow-zeros キーワードを入力しないかぎり、ARP プローブが廃棄されます。

このコマンドが no 形式の場合は、指定された検証だけがディセーブルになります。これらのオプションがいずれもイネーブルになっていない場合は、すべての検証がディセーブルになります。

次の例では、送信元 MAC 検証をイネーブルにする方法を示します。

Switch(config)# ip arp inspection validate src-mac
 

設定を確認するには、 show ip arp inspection vlan vlan-range 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip arp inspection vlan vlan-range

指定された VLAN に対するダイナミック ARP インスペクションの設定と動作ステートを表示します。

 

ip arp inspection vlan

VLAN 単位でダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)インスペクションをイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection vlan グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

ip arp inspection vlan vlan-range

no ip arp inspection vlan vlan-range

このコマンドは、スイッチが Enhanced Multilayer Image(EMI; 拡張マルチレイヤ イメージ)を実行している場合にのみ使用可能です。

 
構文の説明

vlan-range

VLAN の番号または範囲を指定します。

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定することができます。指定できる範囲は 1 ~ 4094 です。

 
デフォルト

すべての VLAN 上で ARP インスペクションがディセーブルになっています。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

ダイナミック ARP インスペクションをイネーブルにする VLAN を指定する必要があります。

ダイナミック ARP インスペクションは、アクセス ポート、トランク ポート、EtherChannel ポート、プライベート VLAN ポートでサポートされています。

次の例では、VLAN 1 上でダイナミック ARP インスペクションをイネーブルにする方法を示します。

Switch(config)# ip arp inspection vlan 1
 

設定を確認するには、 show ip arp inspection vlan vlan-range 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP アクセス コントロール リスト(ACL)を定義します。

show ip arp inspection vlan vlan-range

指定された VLAN に対するダイナミック ARP インスペクションの設定と動作ステートを表示します。

ip arp inspection vlan logging

VLAN ごとにロギングするパケットのタイプを制御するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection vlan logging グローバル コンフィギュレーション コマンドを使用します。このロギング制御をディセーブルにする場合は、このコマンドの no 形式を使用します。

ip arp inspection vlan vlan-range logging { acl-match { matchlog | none } | dhcp-bindings { all | none | permit } | arp-probe }

no ip arp inspection vlan vlan-range logging { acl-match | dhcp-bindings | arp-probe }

 
構文の説明

vlan-range

ロギング用に設定する VLAN を指定します。

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定することができます。指定できる範囲は 1 ~ 4094 です。

acl-match { matchlog | none }

アクセス コントロール リスト(ACL)の照合条件に基づいてパケットをロギングするように指定します。

キーワードの意味は次のとおりです。

matchlog :Access Control Entry(ACE; アクセス コントロール エントリ)に指定されたロギング設定に基づいてパケットをロギングします。このコマンドに matchlog キーワードを指定し、 permit または deny Address Resolution Protocol(ARP; アドレス解決プロトコル)アクセス リスト コンフィギュレーション コマンドに log キーワードを指定すると、ACL で許可または拒否された ARP パケットがロギングされます。

none :ACL と一致したパケットをロギングしません。

dhcp-bindings { permit | all | none }

DHCP バインディングの照合に基づいてパケットのロギングを指定します。

キーワードの意味は次のとおりです。

all :DHCP バインディングと一致したパケットをすべてロギングします。

none :DHCP バインディングと一致したパケットをロギングしません。

permit :DHCP バインディングで許可されたパケットをロギングします。

arp-probe

ARP プローブとして明示的に許可されたパケットをロギングするように指定します。

 
デフォルト

拒否または廃棄されたパケットがすべてロギングされます。ARP プローブ パケットはロギングされません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

12.2(37)SE

arp-probe キーワードが追加されました。

 
使用上のガイドライン

ロギングされる という表現は、エントリがログ バッファに格納されることとシステム メッセージが生成されることを意味しています。

acl-match キーワードと dhcp-bindings キーワードは相互に関連しています。つまり、ACL の照合条件を設定しても、DHCP バインディングの設定がディセーブルになりません。ロギング条件をデフォルト値に戻す場合は、このコマンドの no 形式を使用します。いずれのオプションも指定しないと、すべてのタイプのロギングがリセットされ、ARP パケットが拒否された日時がロギングされます。オプションを次に示します。

acl-match:ACL の照合条件に基づくロギングがリセットされ、拒否に基づくロギングが実行されます。

dhcp-bindings:DHCP バインディングの照合条件に基づくロギングがリセットされ、拒否に基づくロギングが実行されます。

acl-match キーワードも dhcp-bindings キーワードも指定しないと、拒否されたパケットがすべてロギングされます。

ACL の末尾にある暗黙的な deny 文には、 log キーワードが含まれていません。つまり、 ip arp inspection filter vlan グローバル コンフィギュレーション コマンドで static キーワードを使用すると、ACL によって DHCP バインディングが無効化されます。ARP ACL の末尾に deny ip any mac any log ACE を明示的に指定しないかぎり、拒否された一部のパケットがロギングされない場合があります。

次の例では、ACL 内の permit コマンドと一致したパケットをロギングするように VLAN 1 上の ARP インスペクションを設定する方法を示します。

Switch(config)# arp access-list test1
Switch(config-arp-nacl)# permit request ip any mac any log
Switch(config-arp-nacl)# permit response ip any any mac any any log
Switch(config-arp-nacl)# exit
Switch(config)# ip arp inspection vlan 1 logging acl-match matchlog
 

設定を確認するには、 show ip arp inspection vlan vlan-range 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp access-list

ARP ACL を定義します。

clear ip arp inspection log

ダイナミック ARP インスペクションのログ バッファをクリアします。

ip arp inspection log-buffer

ダイナミック ARP インスペクションのログ バッファを設定します。

show ip arp inspection log

ダイナミック ARP インスペクション ログ バッファの設定と内容を表示します。

show ip arp inspection vlan vlan-range

指定された VLAN に対するダイナミック ARP インスペクションの設定と動作ステートを表示します。

ip device tracking

IP デバイス トラッキングをイネーブルにするには、 ip device tracking グローバル コンフィギュレーション コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

ip device tracking

no ip device tracking

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
コマンド デフォルト

IP デバイス トラッキングはディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

IP デバイス トラッキングがイネーブルの場合、の IP デバイス トラッキング プローブを interval、count に設定し、 ip device tracking probe コマンドを使用して、ARP プローブ アドレスを設定できます。

IP デバイス トラッキング テーブルのエントリの情報を表示するには、 show ip device tracking all コマンドを使用します。このコマンドの詳細については、『 Cisco IOS Security Command Reference , Release 12.4T』を参照してください。

次の例では、デバイス トラッキングをイネーブルにする方法を示します。

Switch(config)# ip device tracking
Switch(config)#

 
関連コマンド

コマンド
説明

ip device tracking probe

ARP プローブの IP デバイス トラッキング テーブルを設定します。

show ip device tracking all

IP デバイス トラッキング テーブルのエントリの情報を表示します。

 

ip device tracking maximum

レイヤ 2 ポートで IP ポート セキュリティのバインディング トラッキングをイネーブルにするには、 ip device tracking maximum コマンドを使用します。信頼できないレイヤ 2 インターフェイスで IP ポート セキュリティをディセーブルにするには、このコマンドの no 形式を使用します。

ip device tracking maximum { number }

no ip device tracking maximum { number }

 
構文の説明

number

1 つのポートに対し、IP デバイス トラッキング テーブルで作成されるバインディングの数を指定します。有効値の範囲は 0 ~ 2048 です。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

インターフェイス コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

次の例では、レイヤ 2 アクセス ポートで IP-MAC フィルタを使用して IP ポートのセキュリティをイネーブルにする方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip device tracking
Switch(config)# interface gigabitethernet1/0/3
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 1
Switch(config-if)# ip device tracking maximum 5
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 5
Switch(config-if)# ip verify source tracking port-security
Switch(config-if)# end
 

設定を確認するには、 show ip verify source 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip verify source

信頼できないレイヤ 2 インターフェイスで IP ソース ガードをイネーブルにします。

show ip verify source

特定のインターフェイスの IP ソース ガードのコンフィギュレーションとフィルタを表示します。

ip device tracking probe

Address Resolution Protocol(ARP; アドレス解決プロトコル)プローブの IP デバイス トラッキング テーブルを設定するには、 ip device tracking probe グローバル コンフィギュレーション コマンドを使用します。ARP プローブをディセーブルにするには、このコマンドの no 形式を使用します。

ip device tracking probe { count | interval | use-svi }

no ip device tracking probe { count | interval | use-svi }

 
構文の説明

count number

スイッチが ARP プローブを送信する回数を設定します。範囲は 1 ~ 255 です。

interval seconds

スイッチが応答を待ち、ARP プローブを再送するまでの秒数を設定します。指定できる範囲は 30 ~ 1814400 秒です。

use-svi

Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)の IP アドレスを ARP プローブの送信元として使用します。

 
コマンド デフォルト

count number は 3 です。

interval は 30 秒です。

ARP プローブのデフォルトの送信元 IP アドレスは、レイヤ 3 インターフェイスと 0.0.0.0 のスイッチ ポートです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

12.2(55)SE

use-svi キーワードが追加されました。

 
使用上のガイドライン

スイッチが ARP プローブを送信する回数を設定するには、 count キーワード オプションを使用します。範囲は 1 ~ 255 です。

スイッチが応答を待ち、ARP プローブを再送するまでの秒数を設定するには、 interval キーワード オプションを使用します。指定できる範囲は 30 ~ 1814400 秒です。

スイッチ ポートのデフォルトの送信元 IP アドレスである 0.0.0.0 が使用済みで ARP プローブがドロップする場合に、ARP プローブに SVI IP アドレスを使用するように IP デバイス トラッキング テーブルを設定するには、 use-svi キーワード オプションを使用します。

IP デバイス トラッキング テーブルのエントリの情報を表示するには、 show ip device tracking all コマンドを使用します。このコマンドの詳細については、『Cisco IOS Security Command Reference, Release 12.4T』を参照してください。

次の例では、ARP プローブの送信元として SVI を設定する方法を示します。

Switch(config)# ip device tracking probe use-svi
Switch(config)#

 
関連コマンド

コマンド
説明

show ip device tracking all

IP デバイス トラッキング テーブルのエントリの情報を表示します。

 

ip dhcp snooping

DHCP スヌーピングをグローバルにイネーブルにするには、 ip dhcp snooping グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping

no ip dhcp snooping

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

DHCP スヌーピングは、ディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

DHCP スヌーピング設定を有効にするには、DHCP スヌーピングをグローバルにイネーブルにする必要があります。

ip dhcp snooping vlan vlan-id グローバル コンフィギュレーション コマンドを使用して VLAN 上でスヌーピングをイネーブルにするまで DHCP スヌーピングはアクティブになりません。

次の例では、DHCP スヌーピングをイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping
 

設定を確認するには、 show ip dhcp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping vlan

VLAN 上で DHCP スヌーピングをイネーブルにします。

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

 

ip dhcp snooping binding

DHCP スヌーピング バインディング データベースを設定し、バインディング エントリをデータベースに追加するには、 ip dhcp snooping binding 特権 EXEC コマンドを使用します。バインディング データベースからエントリを削除するには、このコマンドの no 形式を使用します。

ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id expiry seconds

no ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id

 
構文の説明

mac-address

MAC(メディア アクセス制御)アドレスを指定します。

vlan vlan-id

VLAN 番号を指定します。指定できる範囲は 1 ~ 4904 です。

ip-address

IP アドレスを指定します。

interface interface-id

バインディング エントリを追加または削除するインターフェイスを指定します。

expiry seconds

バインディング エントリが無効になるまでのインターバル(秒)を指定します。指定できる範囲は 1 ~ 4294967295 です。

 
デフォルト

デフォルトのデータベースは定義されていません。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、スイッチをテストまたはデバッグするときに使用します。

DHCP スヌーピング バインディング データベースでは、各データベース エントリ(別名、バインディング)には、IP アドレス、関連付けられた MAC アドレス、リース時間(16 進数)、バインディングが適用されるインターフェイス、およびインターフェイスが所属する VLAN が含まれます。データベースには、最大で 512 個のバインディングを含めることができます。

ダイナミックに設定されたバインディングだけを表示するには、 show ip dhcp snooping binding 特権 EXEC コマンドを使用します。動的および静的に設定されたバインディングを表示するには、 show ip source binding 特権 EXEC コマンドを使用します。

次の例では、VLAN 1 のポートに、有効期限が 1000 秒の DHCP バインディング設定を生成する方法を示します。

Switch# ip dhcp snooping binding 0001.1234.1234 vlan 1 172.20.50.5 interface gigabitethernet1/0/1 expiry 1000
 

設定を確認するには、 show ip dhcp snooping binding または show ip dhcp source binding 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping

VLAN 上で DHCP スヌーピングをイネーブルにします。

show ip dhcp snooping binding

DHCP スヌーピング バインディング データベース内の動的に設定されたバインディングおよび設定情報を表示します。

show ip igmp snooping groups

DHCP スヌーピング バインディング データベース内の動的および静的に設定されたバインディングを表示します。

 

ip dhcp snooping database

DHCP スヌーピング バインディング データベース エージェントを設定するには、 ip dhcp snooping database グローバル コンフィギュレーション コマンドを使用します。エージェントのディセーブル化、タイムアウト値のリセット、または書き込み遅延値のリセットを行うには、このコマンドの no 形式を使用します。

ip dhcp snooping database {{ flash:/ filename | ftp:// user:password@host/filename | rcp:// user@host/filename | tftp:// host/filename } | timeout seconds | write-delay seconds }

no ip dhcp snooping database [ timeout | write-delay ]

 
構文の説明

flash:/ filename

データベース エージェントまたはバインディング ファイルがフラッシュ メモリにあることを指定します。

ftp:// user : password @ host / filename

データベース エージェントまたはバインディング ファイルが FTP サーバにあることを指定します。

rcp:// user @ host / filename

データベース エージェントまたはバインディング ファイルが Remote Control Protocol(RCP)サーバにあることを指定します。

tftp:// host / filename

データベース エージェントまたはバインディング ファイルが Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバにあることを指定します。

timeout seconds

DHCP スヌーピング バインディング データベースの変更後、データベース転送プロセスを停止する時期(秒)を指定します。

デフォルト値は 300 秒です。指定できる範囲は 0 ~ 86400 です。無期限を定義するには 0 を使用します。

write-delay seconds

バインディング データベースが変更されたあとに、転送を遅らせる期間(秒)を指定します。デフォルト値は 300 秒です。指定できる範囲は 15 ~ 86400 です。

 
デフォルト

データベース エージェントまたはバインディング ファイルの URL は、定義されていません。

タイムアウト値は、300 秒(5 分)です。

書き込み遅延値は、300 秒(5 分)です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

DHCP スヌーピング バインディング データベースには、最大で 512 個のバインディングを含めることができます。

データベース内のリース時間を正確な時間にするには、Network Time Protocol(NTP; ネットワーク タイム プロトコル)をイネーブルにし、次の機能を設定することを強く推奨します。

NTP 認証

NTP ピアおよびサーバ アソシエーション

NTP ブロードキャスト サービス

NTP アクセス制限

NTP パケット送信元 IP アドレス

NTP が設定されている場合、スイッチのシステム クロックが NTP と同期化されたときにだけ、スイッチがバインディングの変更内容を書き込みます。

NVRAM とフラッシュ メモリの両方のストレージ容量には限りがあるため、バインディング ファイルを TFTP サーバ上に保存することを推奨します。スイッチがネットワークベースの URL(TFTP や FTP など)の設定済み URL 内のバインディング ファイルにバインディングを初めて書き込む前に、この URL に空のファイルを作成しておく必要があります。

DHCP スヌーピング バインディング データベースをスタック マスター NVRAM に保存するには、ip dhcp snooping database flash:/ filename コマンドを使用します。データベースは、スタック メンバー NVRAM に保存されません。

エージェントをディセーブルにするには、no ip dhcp snooping database コマンドを使用します。

タイムアウト値をリセットするには、no ip dhcp snooping database timeout コマンドを使用します。

書き込み遅延値をリセットするには、no ip dhcp snooping database write-delay コマンドを使用します。

次の例では、IP アドレス 10.1.1.1 の directory という名前のディレクトリ内にバインディング ファイルを保存する方法を示します。TFTP サーバに file という名前のファイルが存在しなければなりません。

Switch(config)# ip dhcp snooping database tftp://10.1.1.1/directory/file
 

次の例では、スタック マスター NVRAM に file01.txt というバインディング ファイルを保存する方法を示します。

Switch(config)# ip dhcp snooping database flash:file01.txt
 

設定を確認するには、 show ip dhcp snooping database 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping

VLAN 上で DHCP スヌーピングをイネーブルにします。

ip dhcp snooping binding

DHCP スヌーピング バインディング データベースを設定します。

show ip dhcp snooping database

DHCP スヌーピング データベース エージェントのステータスを表示します。

 

ip dhcp snooping information option

DHCP オプション 82 データ挿入をイネーブルにするには、 ip dhcp snooping information option グローバル コンフィギュレーション コマンドを使用します。DHCP オプション 82 データ挿入をディセーブルにするには、このコマンドの no 形式を使用します。

ip dhcp snooping information option

no ip dhcp snooping information option

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

DHCP オプション 82 データ挿入は イネーブル です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

DHCP スヌーピング設定を有効にするには、 ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して DHCP スヌーピングをグローバルにイネーブルにする必要があります。

オプション 82 機能がイネーブルの場合、スイッチがホストからの DHCP 要求を受信すると、オプション 82 情報がパケットに追加されます。オプション 82 情報には、スイッチ MAC(メディア アクセス制御)アドレス(リモート ID サブオプション)、およびパケットが受信された vlan-mod-port (回線 ID サブオプション)のポート ID が含まれます。スイッチは、オプション 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。

DHCP サーバは、パケットを受信すると、リモート ID または回線 ID(あるいはこの両方)を使用して IP アドレスを割り当て、単一のリモート ID または回線 ID に割り当てることができる IP アドレス数の制限などのポリシーを適用できます。また、DHCP サーバは、DHCP 応答に含まれるオプション 82 フィールドをエコーします。

スイッチによって要求がサーバにリレーされた場合、DHCP サーバは応答をスイッチにユニキャストします。クライアントとサーバが同一サブネットにある場合、サーバは応答をブロードキャストします。スイッチは、リモート ID または回線 ID フィールドを検査し、オプション 82 データが最初から挿入されていたかを確認します。スイッチは、オプション 82 フィールドを削除し、DHCP 要求を送信した DHCP ホストに接続するスイッチ ポートにパケットを転送します。

次の例では、DHCP オプション 82 データ挿入をイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping information option
 

設定を確認するには、 show ip dhcp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

ip dhcp snooping information option allowed-untrusted

エッジ スイッチに接続されている信頼できないポート上で受信された、DHCP パケット(オプション 82 情報が含まれている)を受け入れるようにアグリゲーション スイッチを設定するには、アグリゲーション スイッチ上で ip dhcp snooping information option allowed-untrusted グローバル コンフィギュレーション コマンドを使用します。スイッチがエッジ スイッチからのこれらのパケットをドロップするよう設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping information option allowed-untrusted

no ip dhcp snooping information option allowed-untrusted

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

スイッチ は、エッジ スイッチに接続されている信頼できないポートで受信する、オプション 82 情報を持つ DHCP パケットをドロップします

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

ホストに接続されたエッジ スイッチが、ネットワークのエッジで DHCP オプション 82 情報を挿入するように設定したい場合があります。また集約スイッチでは、DHCP スヌーピング、IP ソース ガード、またはダイナミック Address Resolution Protoco(ARP)検査などの DHCP セキュリティ機能をイネーブルにすることもできます。ただし、アグリゲーション スイッチで DHCP スヌーピングをイネーブルにすると、スイッチは信頼できないポートで受信されたオプション 82 情報を持つパケットをドロップし、信頼できるインターフェイスに接続されたデバイスの DHCP スヌーピング バインディングを学習しません。

ホストに接続されたエッジ スイッチがオプション 82 情報を挿入する場合に、アグリゲーション スイッチで DHCP スヌーピングを使用するには、アグリゲーション スイッチで ip dhcp snooping information option allowed-untrusted コマンドを入力します。アグリゲーション スイッチは信頼できないポートで DHCP スヌーピング パケットを受信しますが、ホストのバインディングを学習できます。アグリゲーション スイッチで DHCP セキュリティ機能をイネーブルにすることも可能です。アグリゲーション スイッチが接続されているエッジ スイッチ上のポートは、信頼できるポートとして設定する必要があります。


) 信頼できないデバイスが接続されたアグリゲーション スイッチに ip dhcp snooping information option allowed-untrusted コマンドを入力しないでください。このコマンドを入力すると、信頼できないデバイスがオプション 82 情報をスプーフィングする可能性があります。


次の例では、アクセス スイッチが、エッジ スイッチからの信頼できないパケットのオプション 82 情報を確認せずに、パケットを受け入れるように設定する方法を示します。

Switch(config)# ip dhcp snooping information option allowed-untrusted
 

設定を確認するには、 show ip dhcp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

 

ip dhcp snooping information option format remote-id

オプション 82 リモート ID サブオプションを設定するには、スイッチで ip dhcp snooping information option format remote-id グローバル コンフィギュレーション コマンドを使用します。デフォルトのリモート ID サブオプションを設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping information option format remote-id [string ASCII string | hostname]

no ip dhcp snooping information option format remote-id

 
構文の説明

string ASCII-string

1 ~ 63 の ASCII 文字(スペースなし)を使用して、リモート ID を指定します。

hostname

スイッチのホスト名をリモート ID として指定します。

 
デフォルト

スイッチの MAC アドレスは、リモート ID です。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEE

このコマンドが追加されました。

 
使用上のガイドライン

DHCP スヌーピング設定を有効にするには、 ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して DHCP スヌーピングをグローバルにイネーブルにする必要があります。

オプション 82 機能がイネーブルの場合、デフォルトのリモート ID サブオプションはスイッチの MAC アドレスです。このコマンドを使用すると、スイッチのホスト名または 63 個の ASCII 文字列(スペースなし)のいずれかをリモート ID として設定できます。


) ホスト名が 63 文字を超える場合、リモート ID 設定では 63 文字以降は省略されます。


次の例では、オプション 82 リモート ID サブオプションを設定する方法を示します。

Switch(config)# ip dhcp snooping information option format remote-id hostname
 

設定を確認するには、 show ip dhcp snooping ユーザ EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip dhcp snooping vlan information option format-type circuit-id string

オプション 82 回線 ID サブオプションを設定します。

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

 

ip dhcp snooping limit rate

インターフェイスが 1 秒間に受信できる DHCP メッセージの数を設定するには、 ip dhcp snooping limit rate インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping limit rate rate

no ip dhcp snooping limit rate

 
構文の説明

rate

インターフェイスが 1 秒あたりに受信することのできる DHCP メッセージの数。指定できる範囲は 1 ~ 2048 です。

 
デフォルト

DHCP スヌーピング レート制限は、ディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

通常、レート制限は信頼できないインターフェイスに適用されます。信頼できるインターフェイスのレート制限を設定する場合、信頼できるインターフェイスはスイッチ内の複数の VLAN 上(一部はスヌーピングされない場合があります)の DHCP トラフィックを集約するので、インターフェイス レート制限を高い値に調整する必要があることに注意してください。

レート制限を超えた場合、インターフェイスが errdisable になります。 errdisable recovery dhcp-rate-limit グローバル コンフィギュレーション コマンドを入力してエラー回復をイネーブルにした場合、インターフェイスはすべての原因が時間切れになった際に動作を再試行します。エラー回復メカニズムがイネーブルでない場合、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力するまでインターフェイスは errdisable ステートのままです。

次の例は、インターフェイス上でメッセージ レート制限を 1 秒あたり 150 メッセージに設定する方法を示します。

Switch(config-if)# ip dhcp snooping limit rate 150
 

設定を確認するには、 show ip dhcp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

errdisable recovery

回復メカニズムを設定します。

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

ip dhcp snooping trust

DHCP スヌーピングを実行するためにポートを信頼できるポートとして設定するには、 ip dhcp snooping trust インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping trust

no ip dhcp snooping trust

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

DHCP スヌーピング信頼は、ディセーブルです。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

DHCP サーバ、その他のスイッチ、またはルータに接続されたポートを信頼できるポートとして設定します。DHCP クライアントに接続されたポートを信頼できないポートとして設定します。

次の例では、ポート上に DHCP スヌーピング信頼をイネーブルにする方法を示します。

Switch(config-if)# ip dhcp snooping trust
 

設定を確認するには、 show ip dhcp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

 

ip dhcp snooping verify

DHCP パケットの送信元 MAC アドレスがクライアントのハードウェア アドレスと一致していることを信頼できないポート上で確認するようにスイッチを設定するには、 ip dhcp snooping verify グローバル コンフィギュレーション コマンドを使用します。スイッチが MAC アドレスを確認しないように設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping verify mac-address

no ip dhcp snooping verify mac-address

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

スイッチは、パケットのクライアント ハードウェア アドレスと一致する信頼されないポートで受信した DHCP パケットの送信元 MAC アドレスを確認します。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

サービスプロバイダー ネットワークで、スイッチが信頼できないポートの DHCP クライアントからパケットを受信した場合、スイッチは自動的に送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致するかを確認します。アドレスが一致する場合、スイッチはパケットを転送します。アドレスが一致しない場合、スイッチはパケットをドロップします。

次の例では、MAC アドレス確認をディセーブルにする方法を示します。

Switch(config)# no ip dhcp snooping verify mac-address
 

設定を確認するには、 show ip dhcp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

 

ip dhcp snooping vlan

DHCP スヌーピングを VLAN 上でイネーブルにするには、 ip dhcp snooping vlan グローバル コンフィギュレーション コマンドを使用します。DHCP スヌーピングを VLAN 上でディセーブルにするには、このコマンドの no 形式を使用します。

ip dhcp snooping vlan vlan-range

no ip dhcp snooping vlan vlan-range

 
構文の説明

vlan vlan-range

DHCP スヌーピングをイネーブルにする VLAN ID または VLAN 範囲を指定します。指定できる範囲は 1 ~ 4094 です。

VLAN ID 番号によって特定される単一の VLAN ID、それぞれをカンマで区切った一連の VLAN ID、ハイフンを間に挿入した VLAN ID の範囲、または先頭および末尾の VLAN ID で区切られた VLAN ID の範囲を入力することができます。これらはスペースで区切ります。

 
デフォルト

すべての VLAN 上で DHCP スヌーピングがディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

VLAN 上で DHCP スヌーピングをイネーブルにする前に、まず DHCP スヌーピングをグローバルにイネーブルにする必要があります。

次の例では、DHCP スヌーピングを VLAN 10 でイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping vlan 10
 

設定を確認するには、 show ip dhcp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング情報を表示します。

 

ip dhcp snooping vlan information option format-type circuit-id string

オプション 82 回線 ID サブオプションを設定するには、スイッチで ip dhcp snooping vlan information option format-type circuit-id string インターフェイス コンフィギュレーション コマンドを使用します。デフォルトの回線 ID サブオプションを設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping vlan vlan information option format-type circuit-id [override] string ASCII-string

no ip dhcp snooping vlan vlan information option format-type circuit-id [override] string

 
構文の説明

vlan vlan

VLAN ID を指定します。指定できる範囲は 1 ~ 4094 です。

override

(任意)3 ~ 63 の ASCII 文字を使用して、上書き文字列(スペースなし)を指定します。

string ASCII-string

3 ~ 63 文字の ASCII 文字(スペースなし)を使用して、回線 ID を指定します。

 
デフォルト

vlan-mod-port 形式のスイッチ VLAN およびポート ID は、デフォルトの回線 ID です。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)SEE

このコマンドが追加されました。

12.2(52)SE

override キーワードが追加されました。

 
使用上のガイドライン

DHCP スヌーピング設定を有効にするには、 ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して DHCP スヌーピングをグローバルにイネーブルにする必要があります。

オプション 82 機能がイネーブルの場合、デフォルトの回線 ID サブオプションは、 vlan-mod-port 形式のスイッチ VLAN およびポート ID です。このコマンドを使用すると、回線 ID となる ASCII 文字列を設定できます。vlan-mod-port 形式タイプを上書きして、回線 ID を使用して加入者情報を定義する場合は、override キーワードを使用します。


) スイッチ上で文字数の多い回線 ID を設定する場合、NVRAM(不揮発性 RAM)またはフラッシュ メモリに長い文字列が与える影響を考慮してください。回線 ID 設定がその他のデータと組み合わされた場合、NVRAM またはフラッシュ メモリの容量を超えてしまい、エラー メッセージが表示されます。


次の例では、オプション 82 回線 ID サブオプションを設定する方法を示します。

Switch(config-if)# ip dhcp snooping vlan 250 information option format-type circuit-id string customerABC-250-0-0
 

次の例では、オプション 82 回線 ID 上書きサブオプションを設定する方法を示します。

Switch(config-if)# ip dhcp snooping vlan 250 information option format-type circuit-id override string testcustomer
 

設定を確認するには、 show ip dhcp snooping ユーザ EXEC コマンドを入力します。


) リモート ID 設定を含むグローバル コマンド出力だけを表示するには、show ip dhcp snooping コマンドを使用します。回線 ID として設定したインターフェイス単位または VLAN 単位の文字列は表示されません。


 
関連コマンド

コマンド
説明

ip dhcp snooping information option format remote-id

オプション 82 リモート ID サブオプションを設定します。

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

 

ip igmp filter

Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)プロファイルをインターフェイスに適用して、レイヤ 2 インターフェイス上のすべてのホストが 1 つまたは複数の IP マルチキャスト グループに加入できるかどうかを制御するには、 ip igmp filter インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスから指定されたプロファイルを削除するには、このコマンドの no 形式を使用します。

ip igmp filter profile number

no ip igmp filter

 
構文の説明

profile number

適用する IGMP プロファイル番号。指定できる範囲は 1 ~ 4294967295 です。

 
デフォルト

IGMP フィルタが適用されていません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

IGMP フィルタはレイヤ 2 の物理インターフェイスだけに適用できます。ルーテッド ポート、Switch Virtual Interface(SVI)、または EtherChannel グループに属するポートに対して IGMP フィルタを適用することはできません。

IGMP のプロファイルは 1 つまたは複数のポート インターフェイスに適用できますが、1 つのポートに対して 1 つのプロファイルのみ適用できます。

次の例では、IGMP プロファイル 22 をポートに適用する方法を示します。

Switch(config)# interface gigabitethernet1/0/2
Switch(config-if)# ip igmp filter 22
 

設定を確認するには、 show running-config 特権 EXEC コマンドを使用してインターフェイスを指定します。

 
関連コマンド

コマンド
説明

ip igmp profile

特定の IGMP プロファイル番号を設定します。

show ip dhcp snooping statistics

指定の IGMP プロファイルの特性を表示します。

show running-config interface interface-id

スイッチのインターフェイス上の実行コンフィギュレーションを(インターフェイスに適用している IGMP プロファイルがある場合はそれを含み)表示します。構文情報については、『Cisco IOS Configuration Fundamentals Command Reference, Release 12.2』で、「File Management Commands」の「Configuration File Management Commands」を参照してください。

ip igmp max-groups

レイヤ 2 インターフェイスが加入可能なインターネット グループ管理プロトコル(IGMP)グループの最大数を設定したり、転送テーブル内でエントリが最大数に達した場合の IGMP スロットリング アクションを設定したりするには、 ip igmp max-groups インターフェイス コンフィギュレーション コマンドを使用します。最大数をデフォルト値(無制限)に戻すか、デフォルトのスロットリング アクション(レポートをドロップ)に戻すには、このコマンドの no 形式を使用します。

ip igmp max-groups { number | action { deny | replace }}

no ip igmp max-groups { number | action}

 
構文の説明

number

インターフェイスが参加できる IGMP グループの最大数。指定できる範囲は 0 ~ 4294967294 です。デフォルト設定は無制限です。

action deny

エントリの最大数が IGMP スヌーピング転送テーブルにある場合は、次の IGMP 加入レポートをドロップします。これがデフォルトのアクションになります。

action replace

最大数のエントリが IGMP スヌーピング転送テーブルにある場合、IGMP レポートを受信した既存のグループを新しいグループに置き換えます。

 
デフォルト

デフォルトの最大グループ数は制限なしです。

インターフェイス上に IGMP グループ エントリの最大数があることをスイッチが学習したあとの、デフォルトのスロットリング アクションでは、インターフェイスが受信する次の IGMP レポートをドロップし、インターフェイスに IGMP グループのエントリを追加しません。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

12.2(25)EY

action deny replace キーワードが追加されました。

 
使用上のガイドライン

このコマンドは、レイヤ 2 物理インターフェイスおよび論理 EtherChannel インターフェイスでのみ使用できます。ルーテッド ポート、Switch Virtual Interface(SVI)、または EtherChannel グループに属するポートに対して IGMP 最大グループ数を設定することはできません。

IGMP スロットリング アクションを設定する場合には、次の注意事項に従ってください。

スロットリング アクションを deny として設定して最大グループ制限を設定する場合、以前転送テーブルにあったエントリは、削除されませんが期限切れになります。これらのエントリの期限が切れたあとで、エントリの最大数が転送テーブルにある場合は、インターフェイス上で受信された次の IGMP レポートをスイッチがドロップします。

スロットリング アクションを replace として設定して最大グループ制限を設定する場合、以前転送テーブルにあったエントリは削除されます。最大数のエントリが転送テーブルにある場合、スイッチはランダムに選択したマルチキャスト エントリを受信した IGMP レポートと置き換えます。

最大グループ制限がデフォルト(制限なし)に設定されている場合、 ip igmp max-groups { deny | replace } コマンドを入力しても無効です。

次の例では、ポートが加入できる IGMP グループ数を 25 に制限する方法を示します。

Switch(config)# interface gigabitethernet1/0/2
Switch(config-if)# ip igmp max-groups 25
 

次の例では、転送テーブル内でエントリが最大数に達した場合に IGMP レポートが受信された既存のグループを新規のグループに置換するようにスイッチを設定する方法を示します。

Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# ip igmp max-groups action replace
 

設定を確認するには、 show running-config 特権 EXEC コマンドを使用してインターフェイスを指定します。

 
関連コマンド

コマンド
説明

show running-config interface interface-id

インターフェイスが参加できる IGMP グループの最大数やスロットリング アクションなど、スイッチのインターフェイス上で実行コンフィギュレーションを表示します。構文情報については、『Cisco IOS Configuration Fundamentals Command Reference, Release 12.2』で、「File Management Commands」の「Configuration File Management Commands」を参照してください。

 

ip igmp profile

Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)プロファイルを作成し、IGMP プロファイル コンフィギュレーション モードを開始するには、 ip igmp profile グローバル コンフィギュレーション コマンドを使用します。このモードで、スイッチポートからの IGMP メンバシップ レポートをフィルタリングするための IGMP プロファイルの設定を指定できます。IGMP プロファイルを削除するには、このコマンドの no 形式を使用します。

ip igmp profile profile number

no ip igmp profile profile number

 
構文の説明

profile number

設定する IGMP プロファイル番号。指定できる範囲は 1 ~ 4294967295 です。

 
デフォルト

IGMP プロファイルは定義されていません。設定された場合、デフォルトの IGMP プロファイルとの一致機能は、一致するアドレスを拒否する設定になります。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

IGMP プロファイル コンフィギュレーション モードでは、次のコマンドを使用することでプロファイルを作成できます。

deny :一致したアドレスを拒否します(デフォルトの条件)。

exit :IGMP プロファイル コンフィギュレーション モードを終了します。

no :コマンドを無効にするか、デフォルト設定に戻します。

permit :一致したアドレスを許可します。

range :プロファイルに対する IP アドレスの範囲を指定します。1 つの IP アドレス、またはアドレスの最初と最後で範囲を指定することもできます。

範囲を入力する場合、低い方の IP マルチキャスト アドレスを入力してからスペースを入力し、次に高い方の IP マルチキャスト アドレスを入力します。

IGMP のプロファイルを、1 つまたは複数のレイヤ 2 インターフェイスに適用できますが、各インターフェイスに適用できるプロファイルは 1 つのみです。

次の例では、IP マルチキャスト アドレスの範囲を指定した IGMP プロファイル 40 の設定方法を示します。

Switch(config)# ip igmp profile 40
Switch(config-igmp-profile)# permit
Switch(config-igmp-profile)# range 233.1.1.1 233.255.255.255
 

設定を確認するには、 show ip igmp profile 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp filter

指定のインターフェイスに対し、IGMP を適用します。

show ip dhcp snooping statistics

すべての IGMP プロファイルまたは指定の IGMP プロファイル番号の特性を表示します。

ip igmp snooping

インターネット グループ管理プロトコル(IGMP)スヌーピングをスイッチ上でグローバルにイネーブルにするか、または VLAN 単位でイネーブルにするには、 ip igmp snooping グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping [ vlan vlan-id ]

no ip igmp snooping [ vlan vlan-id ]

 
構文の説明

vlan vlan-id

(任意)指定された VLAN で IGMP スヌーピングをイネーブルにします。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。

 
デフォルト

スイッチ上で、IGMP スヌーピングはグローバルにイネーブルです。

VLAN インターフェイス上で、IGMP スヌーピングはイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

IGMP スヌーピングがグローバルにイネーブルである場合は、すべての既存 VLAN インターフェイスでイネーブルになります。IGMP スヌーピングがグローバルにディセーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがディセーブルになります。

VLAN ID 1002 ~ 1005 は、トークンリングおよび FDDI VLAN に予約されていて、IGMP スヌーピングでは使用できません。

次の例では、IGMP スヌーピングをグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping
 

次の例では、IGMP スヌーピングを VLAN 1 でイネーブルにする方法を示します。

Switch(config)# ip igmp snooping vlan 1
 

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping groups

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチ上に設定された IGMP クエリアの設定および動作情報を表示します。

 

ip igmp snooping querier

レイヤ 2 ネットワークのインターネット グループ管理プロトコル(IGMP)クエリア機能をグローバルにイネーブルにするには、 ip igmp snooping querier グローバル コンフィギュレーション コマンドを使用します。キーワードとともにコマンドを入力すると、VLAN インターフェイスの IGMP クエリア機能をイネーブルにし、設定できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping querier [ vlan vlan-id ] [ address ip-address | max-response-time response-time | query-interval interval-count | tcn query [ count count | interval interval ] | timer expiry | version version ]

no ip igmp snooping querier [ vlan vlan-id ] [ address | max-response-time | query-interval | tcn query { count count | interval interval } | timer expiry | version ]

 
構文の説明

vlan vlan-id

(任意)指定された VLAN で IGMP スヌーピングおよび IGMP クエリア機能をイネーブルにします。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。

address ip-address

(任意)送信元 IP アドレスを指定します。IP アドレスを指定しない場合、クエリアは IGMP クエリアに設定されたグローバル IP アドレスを使用します。

max-response-time response-time

(任意)IGMP クエリア レポートを待機する最長時間を設定します。指定できる範囲は 1 ~ 25 秒です。

query-interval interval-count

(任意)IGMP クエリアの間隔を設定します。指定できる範囲は 1 ~ 18000 秒です。

tcn query [count count | interval interval ]

(任意)Topology Change Notification(TCN; トポロジ変更通知)に関連するパラメータを設定します。キーワードの意味は次のとおりです。

count count: TCN の間隔中に実行する TCN クエリーの数を設定します。指定できる範囲は 1 ~ 10 です。

interval interval: TCN クエリーの時間間隔を設定します。指定できる範囲は 1 ~ 255 です。

timer expiry

(任意)IGMP クエリアが期限切れになるまでの時間の長さを設定します。指定できる範囲は 60 ~ 300 秒です。

version version

(任意)クエリア機能が使用する IGMP バージョン番号を選択します。選択できる番号は 1 または 2 です。

 
デフォルト

IGMP スヌーピング クエリア機能は、スイッチでグローバルにイネーブルです。

イネーブルになっている場合、マルチキャスト対応デバイスから IGMP トラフィックを検出すると、IGMP スヌーピング クエリアはディセーブルになります。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

クエリア とも呼ばれる IGMP クエリー メッセージを送信するデバイスの IGMP バージョンおよび IP アドレスを検出するために IGMP スヌーピングをイネーブルにするには、このコマンドを使用します。

デフォルトでは、IGMP スヌーピング クエリアは、IGMP バージョン 2 (IGMPv2)を使用するデバイスを検出するよう設定されていますが、IGMP バージョン 1 (IGMPv1)を使用しているクライアントは検出しません。デバイスが IGMPv2 を使用している場合、 max-response-time 値を手動で設定できます。デバイスが IGMPv1 を使用している場合は、 max-response-time を設定できません(値を設定できず、0 に設定されています)。

IGMPv1 を実行している RFC 非準拠デバイスは、 max-response-time 値としてゼロ以外の値が設定された IGMP 一般クエリー メッセージを拒否する場合があります。デバイスで IGMP 一般クエリー メッセージを受け入れる場合、IGMP スヌーピング クエリアが IGMPv1 を実行するように設定します。

VLAN ID 1002 ~ 1005 は、トークンリングおよび FDDI VLAN に予約されていて、IGMP スヌーピングでは使用できません。

次の例では、IGMP スヌーピング クエリア機能をグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping querier
 

次の例では、IGMP スヌーピング クエリアの最大応答時間を 25 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier max-response-time 25
 

次の例では、IGMP スヌーピング クエリアの時間間隔を 60 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier query-interval 60
 

次の例では、IGMP スヌーピング クエリアの TCN クエリー カウントを 25 に設定する方法を示します。

Switch(config)# ip igmp snooping querier tcn count 25
 

次の例では、IGMP スヌーピング クエリアのタイムアウトを 60 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier timeout expiry 60
 

次の例では、IGMP スヌーピング クエリア機能をバージョン 2 に設定する方法を示します。

Switch(config)# ip igmp snooping querier version 2
 

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

IGMP スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping groups

IGMP スヌーピング ルータ ポートを表示します。

 

ip igmp snooping report-suppression

Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)レポート抑制をイネーブルにするには、 ip igmp snooping report-suppression グローバル コンフィギュレーション コマンドを使用します。IGMP レポート抑制をディセーブルにして、すべての IGMP レポートをマルチキャスト ルータに転送するには、このコマンドの no 形式を使用します。

ip igmp snooping report-suppression

no ip igmp snooping report-suppression

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

IGMP レポート抑制はイネーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

IGMP レポート抑制は、マルチキャスト クエリーに IGMPv1 レポートと IGMPv2 レポートがある場合にだけサポートされます。この機能は、クエリーに IGMPv3 レポートが含まれている場合はサポートされません。

スイッチは IGMP レポート抑制を使用して、マルチキャスト ルータ クエリーごとに IGMP レポートを 1 つだけマルチキャスト デバイスに転送します。IGMP ルータ抑制がイネーブル(デフォルト)である場合、スイッチは最初の IGMP レポートをグループのすべてのポートからすべてのマルチキャスト ルータに送信します。スイッチは、グループの残りの IGMP レポートをマルチキャスト ルータに送信しません。この機能により、マルチキャスト デバイスにレポートが重複して送信されることを防ぎます。

マルチキャスト ルータ クエリーに IGMPv1 および IGMPv2 レポートに対する要求のみが含まれている場合、スイッチは最初の IGMPv1 レポートまたは IGMPv2 レポートのみを、グループのすべてのホストからすべてのマルチキャスト ルータに送信します。マルチキャスト ルータ クエリーに IGMPv3 レポートの要求も含まれる場合は、スイッチはグループのすべての IGMPv1、IGMPv2、IGMPv3 レポートをマルチキャスト デバイスに転送します。

no ip igmp snooping report-suppression コマンドを入力して IGMP レポート抑制をディセーブルにした場合、すべての IGMP レポートがすべてのマルチキャスト ルータに送信されます。

次の例では、レポート抑制をディセーブルにする方法を示します。

Switch(config)# no ip igmp snooping report-suppression
 

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping

スイッチまたは VLAN の IGMP スヌーピングをイネーブルにします。

show ip igmp snooping

スイッチまたは VLAN の IGMP スヌーピング設定を表示します。

 

ip igmp snooping vlan immediate-leave

VLAN 単位でインターネット グループ管理プロトコル(IGMP)スヌーピング即時脱退処理をイネーブルにするには、 ip igmp snooping immediate-leave グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id immediate-leave

no ip igmp snooping vlan vlan-id immediate-leave

 
構文の説明

vlan-id

(任意)指定された VLAN で IGMP スヌーピングおよび即時脱退機能をイネーブルにします。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。

 
デフォルト

IGMP の即時脱退処理はディセーブルです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

VLAN ID 1002 ~ 1005 は、トークンリングおよび FDDI VLAN に予約されていて、IGMP スヌーピングでは使用できません。

VLAN の各ポート上で 1 つのレシーバーの最大値が設定されている場合のみ、即時脱退処理の機能を設定してください。設定は、NVRAM に保存されます。

即時脱退機能をサポートするのは、IGMP バージョン 2 が稼動しているホストだけです。

次の例では、VLAN 1 で即時脱退処理をイネーブルにする方法を示します。

Switch(config)# ip igmp snooping vlan 1 immediate-leave
 

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping groups

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチ上に設定された IGMP クエリアの設定および動作情報を表示します。

 

ip igmp snooping vlan mrouter

マルチキャスト ルータ ポートを追加したり、マルチキャスト学習方式を設定したりするには、 ip igmp snooping mrouter グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id mrouter { interface interface-id | learn { cgmp | pim-dvmrp }}

no ip igmp snooping vlan vlan-id mrouter { interface interface-id | learn { cgmp | pim-dvmrp }}

 
構文の説明

vlan-id

IGMP スヌーピングをイネーブルにして、指定した VLAN のポートをマルチキャスト ルータ ポートとして追加します。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。

interface interface-id

ネクストホップ インターフェイスをマルチキャスト ルータに指定します。キーワードの意味は次のとおりです。

fastethernet interface number :ファスト イーサネット IEEE 802.3 インターフェイス

gigabitethernet interface number :ギガビット イーサネット IEEE 802.3z インターフェイス

port-channel interface number :チャネル インターフェイス。指定できる範囲は 0 ~ 12 です。

learn { cgmp | pim-dvmrp }

マルチキャスト ルータの学習方式を指定します。キーワードの意味は次のとおりです。

cgmp :Cisco Group Management Protocol(CGMP)パケットでのスヌーピングによりスイッチがマルチキャスト ルータ ポートを学習するように設定します。

pim-dvmrp :IGMP クエリーおよび Protocol-Independent Multicast-Distance Vector Multicast Routing Protocol(PIM-DVMRP)パケットでのスヌーピングによりスイッチがマルチキャスト ルータ ポートを学習するように設定します。

 
デフォルト

デフォルトでは、マルチキャスト ルータ ポートはありません。

デフォルトの学習方式は pim-dvmrp です。IGMP クエリーおよび PIM-DVMRP パケットをスヌーピングします。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

VLAN ID 1002 ~ 1005 は、トークンリングおよび FDDI VLAN に予約されていて、IGMP スヌーピングでは使用できません。

CGMP の学習方式は制御トラフィックの削減に役立ちます。

設定は、NVRAM に保存されます。

次の例では、ポートをマルチキャスト ルータ ポートとして設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 mrouter interface gigabitethernet1/0/2
 

次の例では、マルチキャスト ルータの学習方式を CGMP として指定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 mrouter learn cgmp
 

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping groups

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチ上に設定された IGMP クエリアの設定および動作情報を表示します。

 

ip igmp snooping vlan static

インターネット グループ管理プロトコル(IGMP)スヌーピングをイネーブルにし、レイヤ 2 ポートをマルチキャスト グループのメンバーとしてスタティックに追加するには、 ip igmp snooping static グローバル コンフィギュレーション コマンドを使用します。スタティックなマルチキャスト グループのメンバーとして指定されたポートを削除するには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id static ip-address interface interface-id

no ip igmp snooping vlan vlan-id static ip-address interface interface-id

 
構文の説明

vlan-id

指定した VLAN で IGMP スヌーピングをイネーブルにします。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。

ip-address

指定のグループ IP アドレスを持ったマルチキャスト グループのメンバーとして、レイヤ 2 ポートを追加します。

interface interface-id

メンバー ポートのインターフェイスを指定します。キーワードの意味は次のとおりです。

fastethernet interface number :ファスト イーサネット IEEE 802.3 インターフェイス

gigabitethernet interface number :ギガビット イーサネット IEEE 802.3z インターフェイス

port-channel interface number :チャネル インターフェイス。指定できる範囲は 0 ~ 12 です。

 
デフォルト

デフォルトでは、マルチキャスト グループのメンバーとしてスタティックに設定されたポートはありません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

VLAN ID 1002 ~ 1005 は、トークンリングおよび FDDI VLAN に予約されていて、IGMP スヌーピングでは使用できません。

設定は、NVRAM に保存されます。

次の例では、インターフェイス上のホストをスタティックに設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 static 0100.5e02.0203 interface gigabitethernet1/0/1
Configuring port gigabitethernet1/0/1 on group 0100.5e02.0203
 

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip igmp snooping report-suppression

IGMP レポート抑制をイネーブルにします。

show ip igmp snooping

スヌーピング設定を表示します。

show ip igmp snooping groups

IGMP スヌーピング マルチキャスト情報を表示します。

show ip igmp snooping groups

IGMP スヌーピング ルータ ポートを表示します。

show ip igmp snooping querier

スイッチ上に設定された IGMP クエリアの設定および動作情報を表示します。

 

ip sla responder twamp

Two-Way Active Measurement Protocol(TWAMP; 双方向アクティブ測定プロトコル)レスポンダとしてスイッチを設定するには、 ip sla responder twamp グローバル コンフィギュレーション コマンドを使用します。IP SLA TWAMP レスポンダをディセーブルにするには、このコマンドの no 形式を使用します。

ip sla responder twamp [ timeout seconds ]

no ip sla responder twamp [ timeout seconds ]

 
構文の説明

timeout seconds

(任意)このセッションが非アクティブになってから TWAMP セッションを終了するまでの秒数を指定します。指定できる範囲は 1 ~ 604800 秒です。デフォルト値は 900 秒です。

 
デフォルト

IP SLA TWAMP レスポンダは設定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

ip sla responder twamp コマンドを入力すると、IP SLA TWAMP リフレクタ コンフィギュレーション モードが開始され、次のコンフィギュレーション コマンドが使用可能になります。

default :コマンドをそのデフォルトに設定します。

exit :IP SLA TWAMP リフレクタ コンフィギュレーション モードを終了します。

no :コマンドを無効にするか、デフォルト設定に戻します。

timeout seconds :セッションが非アクティブになってからセッションが終了するまでの最大時間を指定します。指定できる範囲は 1 ~ 604800 秒です。デフォルト値は 900 秒です。

TWAMP サーバとリフレクタが機能するには、TWAMP 制御デバイスも設定する必要があります。制御デバイスはクライアントおよびセッション送信元として機能します。これらの機能は、シスコ デバイスでは設定されません。

次の例では、スイッチを IP SLA TWAMP レスポンダとして設定する方法を示します。

Switch(config)# ip sla responder twamp
Switch(config-twamp-ref)# timeout inactivity 900
 

 
関連コマンド

コマンド
説明

ip sla responder

一般的な IP SLA 運用に対して Cisco IOS IP Service Level Agreement(SLA; サービス レベル契約)レスポンダをイネーブルにします。

ip sla server twamp

Two-Way Active Measurement Protocol(TWAMP; 双方向アクティブ測定プロトコル)サーバとしてスイッチを設定します。

show ip sla standards

(任意)スイッチに設定されている IP SLA 標準を表示します。

show ip sla twamp connection {detail | requests}

(任意)現在の Cisco IOS IP Service Level Agreements(SLA; サービス レベル契約)の Two-Way Active Measurement Protocol(TWAMP; 双方向アクティブ測定プロトコル)接続を表示します。

ip sla server twamp

Two-Way Active Measurement Protocol(TWAMP; 双方向アクティブ測定プロトコル)サーバとしてスイッチを設定するには、 ip sla server twamp グローバル コンフィギュレーション コマンドを使用します。IP SLA TWAMP サーバをディセーブルにするには、このコマンドの no 形式を使用します。

ip sla server twamp

no ip sla server twamp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

IP SLA TWAMP サーバは設定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(52)SE

このコマンドが追加されました。

 
使用上のガイドライン

ip sla server twamp コマンドを入力すると、IP SLA TWAMP サーバ コンフィギュレーション モードが開始され、次のコンフィギュレーション コマンドが使用可能になります。

default :コマンドをそのデフォルトに設定します。

exit :IP SLA TWAMP サーバ コンフィギュレーション モードを終了します。

no :コマンドを無効にするか、デフォルト設定に戻します。

port port-number :TWAMP 制御トラフィックの送信元ポートを指定します。有効なポート番号は 1 ~ 65535 です。

timer inactivity seconds :セッションが終了するまでにセッションが非アクティブでいる最大時間を指定します。指定できる範囲は 1 ~ 6000 秒です。デフォルト値は 900 秒です。

TWAMP サーバとリフレクタが機能するには、TWAMP 制御デバイスも設定する必要があります。制御デバイスはクライアントおよびセッション送信元として機能します。これらの機能は、シスコ デバイスでは設定されません。

次の例では、スイッチを IP SLA TWAMP サーバとして設定する方法を示します。

Switch(config)# ip sla server twamp
Switch(config-twamp-srvr)# port 862
Switch(config-twamp-srvr)# timer inactivity 540
 

 
関連コマンド

コマンド
説明

ip sla responder

一般的な IP SLA 運用に対して Cisco IOS IP Service Level Agreement(SLA; サービス レベル契約)レスポンダをイネーブルにします。

ip sla responder twamp

Two-Way Active Measurement Protocol(TWAMP; 双方向アクティブ測定プロトコル)レスポンダとしてスイッチを設定します。

show ip sla standards

(任意)スイッチに設定されている IP SLA 標準を表示します。

show ip sla twamp connection {detail | requests}

(任意)現在の Cisco IOS IP Service Level Agreements(SLA; サービス レベル契約)の Two-Way Active Measurement Protocol(TWAMP; 双方向アクティブ測定プロトコル)接続を表示します。

 

 

ip source binding

スイッチ上でスタティック IP ソース バインディングを設定するには、 ip source binding グローバル コンフィギュレーション コマンドを使用します。スタティック バインディングを削除する場合は、このコマンドの no 形式を使用します。

ip source binding mac-address vlan vlan-id ip-address interface interface-id

no source binding mac-address vlan vlan-id ip-address interface interface-id

 
構文の説明

mac-address

MAC(メディア アクセス制御)アドレスを指定します。

vlan vlan-id

VLAN 番号を指定します。指定できる範囲は 1 ~ 4094 です。

ip-address

IP アドレスを指定します。

interface interface-id

IP ソース バインディングを追加または削除するインターフェイスを指定します。

 
デフォルト

IP ソース バインディングが設定されていません。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

スタティック IP ソース バインディングのエントリは、IP アドレス、関連付けられた MAC アドレス、および関連付けられた VLAN 番号で構成されています。このエントリは MAC アドレスと VLAN 番号に基づいています。エントリを変更する場合に IP アドレスだけを変更すると、スイッチは新しいエントリを作成せずに、そのエントリを更新します。

次の例では、スタティック IP ソース バインディングを追加する方法を示します。

Switch(config)# ip source binding 0001.1234.1234 vlan 1 172.20.50.5 interface gigabitethernet1/0/1
 

次の例では、スタティック バインディングを追加してから、その IP アドレスを変更する方法を示します。

Switch(config)# ip source binding 0001.1357.0007 vlan 1 172.20.50.25 interface gigabitethernet1/0/1
Switch(config)# ip source binding 0001.1357.0007 vlan 1 172.20.50.30 interface gigabitethernet1/0/1
 

設定を確認するには、 show ip source binding 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip verify source

インターフェイス上で IP ソース ガードをイネーブルにします。

show ip igmp snooping groups

スイッチ上の IP ソース バインディングを表示します。

show ip verify source

スイッチまたは特定のインターフェイス上の IP ソース ガード設定を表示します。

ip ssh

Secure Shell(SSH; セキュア シェル)バージョン 1 または SSH バージョン 2 を実行するようにスイッチを設定するには、 ip ssh グローバル コンフィギュレーション コマンドを使用します。このコマンドを使用できるのは、スイッチで暗号化ソフトウェア イメージが実行されている場合だけです。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip ssh version [ 1 | 2 ]

no ip ssh version [ 1 | 2 ]

 
構文の説明

1

(任意)スイッチが SSH バージョン 1(SSHv1)を実行するように設定します。

2

(任意)スイッチが SSH バージョン 2(SSHv2)を実行するように設定します。

 
デフォルト

デフォルトのバージョンは、SSH クライアントでサポートされる最新の SSH バージョンです。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを入力しない場合、またはキーワードを指定しないときは、SSH サーバは SSH クライアントがサポートする最新の SSH バージョンを選択します。たとえば、SSH クライアントが SSHv1 および SSHv2 をサポートする場合、SSH サーバは SSHv2 を選択します。

スイッチは、SSHv1 または SSHv2 サーバをサポートします。また、SSHv1 クライアントもサポートします。SSH サーバおよび SSH クライアントの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

SSHv1 サーバによって生成された Rivest、Shamir、Adelman(RSA)キー ペアは、SSHv2 サーバで使用できます。その逆の場合も同様です。

次の例では、スイッチが SSH バージョン 2 を実行するように設定する方法を示します。

Switch(config)# ip ssh version 2
 

設定を確認するには、 show ip ssh または show ssh 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

show ip ssh

SSH サーバがイネーブルであるかどうかを表示すると同時に、SSH サーバのバージョンおよび設定情報を表示します。構文情報については、「Cisco IOS Release 12.2 Configuration Guides and Command References」>「Cisco IOS Security Command Reference, Release 12.2」>「Other Security Features」>「Secure Shell Commands」を選択してください。

show ssh

SSH サーバのステータスを表示します。構文情報については、「Cisco IOS Release 12.2 Configuration Guides and Command References」>「Cisco IOS Security Command Reference, Release 12.2」>「Other Security Features」>「Secure Shell Commands」を選択してください。

ip sticky-arp(グローバル コンフィギュレーション)

プライベート VLAN に属する Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)上で sticky Address Resolution Protocol(ARP; アドレス解決プロトコル))をイネーブルにするには、 ip sticky-arp グローバル コンフィギュレーション コマンドを使用します。sticky ARP をディセーブルにするには、このコマンドの no 形式を使用します。

ip sticky-arp

no ip sticky-arp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

sticky ARP はイネーブル化されます。

 
コマンド モード

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

sticky ARP エントリとは、プライベート VLAN SVI によって学習されるエントリです。これらのエントリは、期限切れになることはありません。

ip sticky-arp グローバル コンフィギュレーション コマンドは、プライベート VLAN に属する SVI でだけサポートされます。

プライベート VLAN を設定する場合、sticky ARP はスイッチでイネーブルです(デフォルト)。

ip sticky-arp インターフェイス コンフィギュレーション コマンドを入力する場合、このコマンドは作用しません。

no ip sticky-arp インターフェイス コンフィギュレーション コマンドを入力する場合、sticky ARP はインターフェイス上でディセーブルになりません。


show arp 特権 EXEC コマンドを使用して、プライベート VLAN インターフェイス ARP エントリを表示し、確認することを推奨します。


スイッチをデバイスから取り外し、MAC アドレスは異なるが IP アドレスが同じである別のデバイスに接続する場合、ARP エントリは作成されず、次のメッセージが表示されます。

*Mar 2 00:26:06.967: %IP-3-STCKYARPOVR: Attempt to overwrite Sticky ARP entry:
20.6.2.1, hw: 0000.0602.0001 by hw: 0000.0503.0001
 

デバイスの MAC アドレスを変更する場合は、 no arp ip-address グローバル コンフィギュレーション コマンドを使用して、プライベート VLAN インターフェイス ARP エントリを手動で削除する必要があります。

プライベート VLAN ARP エントリを追加するには、 arp ip-address hardware-address type グローバル コンフィギュレーション コマンドを使用します。

スイッチ上で sticky ARP をディセーブルにするには、 no sticky-arp グローバル コンフィギュレーション コマンドを使用します。

スイッチ上で sticky ARP がディセーブルのときに、インターフェイス上で sticky ARP をディセーブルにするには、 no sticky-arp インターフェイス コンフィギュレーション コマンドを使用します。

sticky ARP をディセーブルにするには:

Switch(config)# no ip sticky-arp
 

設定を確認するには、 show arp 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp

ARP テーブルに永続的エントリを追加します。構文情報については、『Cisco IOS IP Addressing Services Command Reference』Release 12.4 >「ARP Commands」を参照してください。

show arp

ARP テーブル内のエントリを表示します。構文情報については、『Cisco IOS IP Addressing Services Command Reference』Release 12.4 >「ARP Commands」を参照してください。

 

ip sticky-arp(インターフェイス コンフィギュレーション)

Switch Virtual Interface(SVI)またはレイヤ 3 インターフェイス上で sticky Address Resolution Protoco(ARP)をイネーブルにするには、 ip sticky-arp インターフェイス コンフィギュレーション コマンドを使用します。sticky ARP をディセーブルにするには、このコマンドの no 形式を使用します。

ip sticky-arp

no ip sticky-arp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

sticky ARP は、プライベート VLAN SVI 上でイネーブルになります。

sticky ARP は、レイヤ 3 インターフェイスおよび標準 SVI 上でディセーブルになります。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

 
使用上のガイドライン

sticky ARP エントリとは、SVI およびレイヤ 3 インターフェイス上で学習されるエントリです。これらのエントリは、期限切れになることはありません。

ip sticky-arp インターフェイス コンフィギュレーション コマンドは、次の上でだけサポートされます。

レイヤ 3 インターフェイス

標準 VLAN に属する SVI

プライベート VLAN に属する SVI

レイヤ 3 インターフェイスまたは標準 VLAN に属する SVI 上で

sticky ARP をイネーブルにするには、 sticky-arp インターフェイス コンフィギュレーション コマンドを使用します。

sticky ARP をディセーブルにするには、 no sticky-arp インターフェイス コンフィギュレーション コマンドを使用します。

プライベート VLAN SVI 上で

プライベート VLAN を設定する場合、sticky ARP はスイッチでイネーブルです(デフォルト)。

ip sticky-arp インターフェイス コンフィギュレーション コマンドを入力する場合、このコマンドは作用しません。

no ip sticky-arp インターフェイス コンフィギュレーション コマンドを入力する場合、sticky ARP はインターフェイス上でディセーブルになりません。


show arp 特権 EXEC コマンドを使用して、プライベート VLAN インターフェイス ARP エントリを表示し、確認することを推奨します。


スイッチをデバイスから取り外し、MAC アドレスは異なるが IP アドレスが同じである別のデバイスに接続する場合、ARP エントリは作成されず、次のメッセージが表示されます。

*Mar 2 00:26:06.967: %IP-3-STCKYARPOVR: Attempt to overwrite Sticky ARP entry:
20.6.2.1, hw: 0000.0602.0001 by hw: 0000.0503.0001
 

デバイスの MAC アドレスを変更する場合は、 no arp ip-address グローバル コンフィギュレーション コマンドを使用して、プライベート VLAN インターフェイス ARP エントリを手動で削除する必要があります。

プライベート VLAN ARP エントリを追加するには、 arp ip-address hardware-address type グローバル コンフィギュレーション コマンドを使用します。

スイッチ上で sticky ARP をディセーブルにするには、 no sticky-arp グローバル コンフィギュレーション コマンドを使用します。

インターフェイス上で sticky ARP をディセーブルにするには、 no sticky-arp インターフェイス コンフィギュレーション コマンドを使用します。

標準 SVI 上で sticky ARP をイネーブルにするには:

Switch(config-if)# ip sticky-arp
 

レイヤ 3 インターフェイスまたは SVI 上で sticky ARP をディセーブルにするには:

Switch(config-if)# no ip sticky-arp
 

設定を確認するには、 show arp 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

arp

ARP テーブルに永続的エントリを追加します。構文情報については、『Cisco IOS IP Addressing Services Command Reference』Release 12.4 >「ARP Commands」を参照してください。

show arp

ARP テーブル内のエントリを表示します。構文情報については、『Cisco IOS IP Addressing Services Command Reference』Release 12.4 >「ARP Commands」を参照してください。

ip verify source

インターフェイス上で IP ソース ガードをイネーブルにするには、 ip verify source インターフェイス コンフィギュレーション コマンドを使用します。IP ソース ガードをディセーブルにする場合は、このコマンドの no 形式を使用します。

ip verify source { vlan dhcp-snooping | tracking }[ port-security ]

no ip verify source { vlan dhcp-snooping | tracking }[ port-security ]

 
構文の説明

vlan dhcp-snooping

信頼できないレイヤ 2 DHCP スヌーピング インターフェイスで IP ソース ガードをイネーブルにします。

tracking

ポートでスタティック IP アドレス ラーニングを学習するように、IP ポート セキュリティをイネーブルにします。

port-security

(任意)IP アドレス フィルタリングと MAC アドレス フィルタリングを併用した IP ソース ガードをイネーブルにします。

port-security キーワードを入力しないと、IP アドレス フィルタリングがイネーブルになります。

 
デフォルト

IP ソース ガードがディセーブルになっています。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.2(25)EY

このコマンドが追加されました。

12.2(52)SE

vlan dhcp-snooping および tracking キーワードが追加されました。

 
使用上のガイドライン

送信元 IP アドレス フィルタリングを使用した IP ソース ガードをイネーブルにするには、 ip verify source インターフェイス コンフィギュレーション コマンドを使用します。

送信元 IP アドレス フィルタリングと送信元 MAC アドレス フィルタリングを併用した IP ソース ガードをイネーブルにするには、 ip verify source port-security インターフェイス コンフィギュレーション コマンドを使用します。

送信元 IP アドレス フィルタリングと送信元 MAC アドレス フィルタリングを併用した IP ソース ガードをイネーブルにする場合は、インターフェイス上でポート セキュリティをイネーブルにする必要があります。

次の例では、ポートごとに VLAN 10 ~ 20 で IP ソース ガードをイネーブルにする方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10 20
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 10
Switch(config-if)# switchport trunk allowed vlan 11-20
Switch(config-if)# no ip dhcp snooping trust
Switch(config-if)# ip verify source vlan dhcp-snooping
Switch(config)# end
Switch# show ip verify source interface gigabitethernet1/0/1
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ----------
Gi1/0/1 ip-mac active 10.0.0.1 10
Gi1/0/1 ip-mac active deny-all 11-20
Switch#
 

次の例では、レイヤ 2 アクセス ポートで IP-MAC フィルタを使用して IP ポートのセキュリティをイネーブルにする方法を示します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip device tracking
Switch(config)# interface gigabitEthernet1/0/3
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 1
Switch(config-if)# ip device tracking maximum 5
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 5
Switch(config-if)# ip verify source tracking port-security
Switch(config-if)# end
 

設定を確認するには、 show ip verify source 特権 EXEC コマンドを入力します。

 
関連コマンド

コマンド
説明

ip device tracking maximum

レイヤ 2 ポートで IP ポート セキュリティのバインディング トラッキングをイネーブルにします。

ip dhcp snooping

DHCP スヌーピングをグローバルにイネーブルにします。

ip dhcp snooping limit rate

インターフェイスが 1 秒あたりに受信できる DHCP メッセージの数を設定します。

ip dhcp snooping information option

DHCP オプション 82 データ挿入をイネーブルにします。

ip dhcp snooping trust

信頼できる VLAN で DHCP スヌーピングをイネーブルにします。

ip source binding

スイッチでスタティック バインディングを設定します。

show ip dhcp snooping

DHCP スヌーピング設定を表示します。

show ip dhcp snooping binding

DHCP スヌーピング バインディング エントリを表示します。

show ip verify source

スイッチまたは特定のインターフェイス上の IP ソース ガード設定を表示します。

 

ip vrf(グローバル コンフィギュレーション)

Virtual Private Network(VPN; バーチャル プライベート ネットワーク)Routing/Forwarding(VRF; VPN ルーティング/転送)ルーティング テーブルを設定して、VRF コンフィギュレーション モードを開始するには、ip-vrf グローバル コンフィギュレーション コマンドを使用します。VRF ルーティング テーブルを削除して、グローバル コンフィギュレーション モードに戻るには、このコマンドの no 形式を使用します。

ip vrf vrf-name

no ip vrf vrf-name


) スイッチは、カスタマー エッジ デバイス(マルチ VRF CE)にある複数の VPN ルーティング/転送インスタンスをサポートしています。


 
構文の説明

vrf-name

VRF に割り当てる名前です。

 
デフォルト

VRF は定義されていません。

VRF に関連付けられているインポート リストまたはエクスポート リストはありません。

VRF に関連付けられているルート マップはありません。

 
コマンド モード

グローバル コンフィギュレーションまたはルータ コンフィギュレーション

 
コマンド履歴

リリース
変更内容

12.1(14)AX

このコマンドが追加されました。

 
使用上のガイドライン

VRF コンフィギュレーション モードをイネーブルにするには、 ip vrf コマンドを入力します。使用できるコンフィギュレーション コマンドは、次のとおりです。

default :コマンド(description、export、import、maximum、route-target)をそのデフォルトに設定します。

description :VRF を説明します(最大 80 文字)。

exit :VRF コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

export map route-map :VRF のエクスポート ルート マップとして使用するようにルート マップを設定します。

import map route-map :VRF のインポート ルート マップとして使用するようにルート マップを設定します。

maximum routes limit { warn threshold | warn-only }:VRF 内のルートの最大数を制限して、Provider Edge(PE; プロバイダー エッジ)ルータが大量のルートをインポートしないようにします。指定できる範囲は 1 ~ 4294967295 です。制限を表すしきい値は 1 ~ 100 までのパーセンテージです。

no :コマンドを無効にするか、コマンドのデフォルト値を設定します。

rd :Route Distinguisher(RD; ルート識別子)を ASN-relative または IP-address-relative として指定します。ASN-relative には Autonomous System(AS; 自律システム)番号と任意の数字が含まれ、IP-address-relative には IP アドレスと任意の数字が含まれます。

16 ビット AS 番号:任意の 32 ビットの数字(101:3 など)

32 ビット IP アドレス:任意の 16 ビットの数字(192.168.122.15:1 など)