セキュリティ コマンド
セキュリティ コマンド
発行日;2013/07/19   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

セキュリティ コマンド

aaa accounting dot1x

認証、許可、アカウンティング(AAA)アカウンティングをイネーブルにして、IEEE 802.1x セッションの特定のアカウンティング方式を、回線単位またはインターフェイス単位で定義する方式リストを作成するには、aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。 IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}

no aaa accounting dot1x { name | default }

構文の説明

name

サーバ グループ名。 これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。

default

デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に指定します。

start-stop

プロセスの開始時に start アカウンティング通知を送信し、プロセスの終了時に stop アカウンティング通知を送信します。 start アカウンティング レコードはバックグラウンドで送信されます。 アカウンティング サーバが start アカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。

broadcast

複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。 最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。

group
アカウンティング サービスに使用するサーバ グループを指定します。 有効なサーバ グループ名は次のとおりです。
  • name:サーバ グループ名。
  • radius:全 RADIUS ホストのリスト。
  • tacacs+:全 TACACS+ ホストのリスト。

broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。 オプションの group キーワードより多くのキーワードを入力できます。

radius

(任意)RADIUS アカウンティングをイネーブルにします。

tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

コマンド デフォルト

AAA アカウンティングはディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドは、RADIUS サーバへのアクセスが必要です。

インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。

次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。

Controller(config)# aaa new-model
Controller(config)# aaa accounting dot1x default start-stop group radius

aaa accounting identity

IEEE 802.1x、MAC 認証バイパス(MAB)、および Web 認証セッションの認証、許可、アカウンティング(AAA)アカウンティングをイネーブルにするには、aaa accounting identity グローバル コンフィギュレーション コマンドを使用します。 IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting identity { name | default } start-stop { broadcast group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}

no aaa accounting identity { name | default }

構文の説明

name

サーバ グループ名。 これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。

default

デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に使用します。

start-stop

プロセスの開始時に start アカウンティング通知を送信し、プロセスの終了時に stop アカウンティング通知を送信します。 start アカウンティング レコードはバックグラウンドで送信されます。 アカウンティング サーバが start アカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。

broadcast

複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。 最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。

group
アカウンティング サービスに使用するサーバ グループを指定します。 有効なサーバ グループ名は次のとおりです。
  • name:サーバ グループ名。
  • radius:全 RADIUS ホストのリスト。
  • tacacs+:全 TACACS+ ホストのリスト。

broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。 オプションの group キーワードより多くのキーワードを入力できます。

radius

(任意)RADIUS 認証をイネーブルにします。

tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

コマンド デフォルト

AAA アカウンティングはディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

AAA アカウンティング識別をイネーブルにするには、ポリシー モードをイネーブルにする必要があります。 ポリシー モードをイネーブルにするには、特権 EXEC モードで authentication display new-style コマンドを入力します。

次の例では、IEEE 802.1x アカウンティング識別を設定する方法を示します。

Controller# authentication display new-style

Please note that while you can revert to legacy style
configuration at any time unless you have explicitly
entered new-style configuration, the following caveats
should be carefully read and understood.

(1) If you save the config in this mode, it will be written
    to NVRAM in NEW-style config, and if you subsequently
    reload the router without reverting to legacy config and
    saving that, you will no longer be able to revert.

(2) In this and legacy mode, Webauth is not IPv6-capable. It
    will only become IPv6-capable once you have entered new-
    style config manually, or have reloaded with config saved
    in 'authentication display new' mode.

Controller# configure terminal
Controller(config)# aaa accounting identity default start-stop group radius

aaa authentication dot1x

認証、許可、アカウンティング(AAA)方式を指定して IEEE 802.1x 認証に準拠するポートで使用するには、スイッチ スタックまたはスタンドアロン スイッチで aaa authentication dot1x グローバル コンフィギュレーション コマンドを使用します。 認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication dot1x { default} method1

no aaa authentication dot1x { default} method1

構文の説明

default

ユーザがログインするときのデフォルトの方式。 この引数に続くリストされた認証方式を使用します。

method1

サーバ認証を指定します。 認証用にすべての RADIUS サーバのリストを使用するには、group radius キーワードを入力します。

(注)     

他のキーワードがコマンドラインのヘルプ ストリングに表示されますが、サポートされているのは default および group radius キーワードだけです。

コマンド デフォルト

認証は実行されません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために一定の順序で試みる方式を指定します。 IEEE 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。

group radius を指定した場合、radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。

設定された認証方式のリストを表示するには、show running-config 特権 EXEC コマンドを使用します。

次の例では AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。 この認証は、最初に RADIUS サーバとの交信を試みます。 この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。

Controller(config)# aaa new-model
Controller(config)# aaa authentication dot1x default group radius

aaa authorization

ネットワークへのユーザ アクセスを制限するパラメータを設定するには、グローバル コンフィギュレーション モードで aaa authorization コマンドを使用します。 パラメータを削除するには、このコマンドの no 形式を使用します。

aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | onep | policy-if | prepaid | radius-proxy | reverse-access | subscriber-service | template} { default | list_name } [ method1 [ method2 ...]]

aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | reverse-access | template} { default | list_name } [ method1 [ method2 ...]]

no aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | reverse-access | template} { default | list_name } [ method1 [ method2 ...]]

構文の説明

auth-proxy

認証プロキシ サービスの認証を実行します。

cache

認証、許可、およびアカウンティング(AAA)サーバを設定します。

commands

指定した特権レベルですべてのコマンドの許可を実行します。

level

承認が必要な特定のコマンド レベル。 有効な値は 0 ~ 15 です。

config-commands

許可を実行して、コンフィギュレーション モードで入力したコマンドが許可されるかどうかを判別します。

configuration

AAA サーバから設定をダウンロードします。

console

AAA サーバのコンソール許可をイネーブルにします。

credential-download

Local/RADIUS/LDAP から EAP クレデンシャルをダウンロードします。

exec

AAA サーバのコンソール許可をイネーブルにします。

multicast

AAA サーバからマルチキャスト設定をダウンロードします。

network

シリアル ライン インターネット プロトコル(SLIP)、PPP(ポイントツーポイント プロトコル)、PPP ネットワーク コントロール プログラム(NCP)、AppleTalk Remote Access(ARA)など、すべてのネットワーク関連サービス要求について許可を実行します。

onep

ONEP サービスの許可を実行します。

policy-if

直径ポリシー インターフェイス アプリケーションの許可を実行します。

prepaid

直径プリペイド サービスの許可を実行します。

radius-proxy

プロキシ サービスの許可を実行します。

reverse-access

リバース Telnet などのリバース アクセス接続の許可を実行します。

subscriber-service

バーチャル プライベート ダイヤルアップ ネットワーク(VPDN)などの iEdge 加入者サービスの許可を実行します。

template

AAA サーバのテンプレート許可をイネーブルにします。

default

このキーワードに続く許可方式のリストを許可のデフォルト方式リストとして使用します。

list_name

許可方式リストの名前の指定に使用する文字列。

method1 [method2...]

(任意)許可に使用する許可方式(複数可)。 方式は、次の表に示すキーワードのいずれかです。

コマンド デフォルト

すべてのアクションに対する許可がディセーブルになります(none method キーワードと同等)。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

aaa authorization コマンドを使用して許可をイネーブルにし、ユーザが特定の機能にアクセスした際に使用できる許可方式を定義する名前付きの方式リストを作成します。 許可方式リストによって、許可の実行方法とこれらの方式の実行順序が定義されます。 方式リストは、シーケンスで使用する必要がある許可方式(RADIUS、TACACS+ など)を記述する名前付きリストです。 方式リストを使用すると、許可に使用するセキュリティ プロトコルを 1 つ以上指定できるため、最初の方式が失敗した場合のバックアップ システムを確保できます。 Cisco IOS ソフトウェアでは、特定のネットワーク サービスについてユーザを許可するために最初の方式が使用されます。その方式が応答しない場合、方式リストの次の方式が選択されます。 このプロセスは、リスト内の許可方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。


(注)  


Cisco IOS ソフトウェアでは、前の方式からの応答がない場合にのみ、リストの次の許可方式が試行されます。 このサイクルの任意の時点で許可が失敗した場合(つまり、セキュリティ サーバまたはローカル ユーザ名データベースからユーザ サービスの拒否応答が返される場合)、許可プロセスは停止し、その他の許可方式は試行されません。


特定の許可の種類の aaa authorization コマンドを、名前付き方式リストを指定しないで発行した場合、名前付き方式リストが明示的に定義されているものを除いて、すべてのインターフェイスまたは回線(この許可の種類が適用される)にデフォルトの方式リストが自動的に適用されます (定義された方式リストによって、デフォルトの方式リストが上書きされます)。デフォルトの方式リストが定義されていない場合は許可が実行されません。 デフォルトの許可方式リストを使用して、RADIUS サーバからの IP プールのダウンロードの許可などの発信認証を実行する必要があります。

aaa authorization コマンドを使用して、list-name 引数および method 引数の値を入力することによってリストを作成します。ここで list-name は、このリスト(すべての方式名を除く)に名前を付けるために使用される文字列であり、method は指定したシーケンスで試行される許可方法のリストを識別します。


(注)  


次の表に、以前定義済みの RADIUS サーバまたは TACACS+ サーバのセットを参照する groupgroup-name 方式、group ldap 方式、group radius 方式、および group tacacs+ 方式を示します。 ホスト サーバを設定するには、radius-server host コマンドおよび tacacs-server host コマンドを使用します。 サーバの名前付きグループを作成するには、aaa group server radius コマンド、aaa group server ldap コマンド、および aaa group server tacacs+ コマンドを使用します。


この表では、方式キーワードについて説明します。

表 1  aaa authorization 方式

キーワード

説明

cache group-name

キャッシュ サーバ グループを許可に使用します。

group group-name

server group group-name コマンドで定義される RADIUS または TACACS+ サーバのサブセットをアカウンティングに使用します。

group ldap

認証にすべての Lightweight Directory Access Protocol(LDAP)サーバのリストを使用します。

group radius

aaa group server radius コマンドで定義されるすべての RADIUS サーバのリストを認証に使用します。

grouptacacs+

aaa group server tacacs+ コマンドで定義されるすべての TACACS+ サーバのリストを認証に使用します。

if-authenticated

ユーザが認証された場合は、ユーザが要求した機能にアクセスすることを許可します。
(注)     

if-authenticated 方式は、終了方式です。 したがって、方式としてリストされている場合、それ以降にリストされた方式は評価されません。

local

ローカル データベースを許可に使用します。

none

許可が実行されないことを示します。

Cisco IOS ソフトウェアは許可について次の方式をサポートします。
  • Cache Server Groups:ルータは、キャッシュ サーバ グループに問い合わせて、ユーザの特定の権限を許可します。
  • If-Authenticated:ユーザが認証に成功した場合、ユーザは要求した機能にアクセスできます。
  • Local:ルータまたはアクセス サーバは、username コマンドの定義に従って、ローカル データベースに問い合わせて、ユーザに固有の権限を許可します。 ローカル データベースでは制御できるのは、一部の機能だけです。
  • None:ネットワーク アクセス サーバは、許可情報を要求しません。この回線やインターフェイスで許可は行われません。
  • RADIUS:ネットワーク アクセス サーバは RADIUS セキュリティ サーバ グループからの許可情報を要求します。 RADIUS 許可では、属性を関連付けることでユーザに固有の権限を定義します。属性は適切なユーザとともに RADIUS サーバ上のデータベースに保存されます。
  • TACACS+:ネットワーク アクセス サーバは、TACACS+ セキュリティ デーモンと許可情報を交換します。 TACACS+ 許可は、属性値(AV)ペアを関連付けることでユーザに特定の権限を定義します。属性ペアは適切なユーザとともに TACACS+ セキュリティ サーバのデータベースに保存されます。

方式リストは、要求されている許可のタイプによって異なります。 AAA は 5 種類の許可タイプをサポートしています。

  • Commands:ユーザが発行する EXEC モード コマンドに適用します。 コマンドの許可は、特定の特権レベルに関連付けられた、グローバル コンフィギュレーション コマンドなどのすべての EXEC モード コマンドについて、許可を試行します。
  • EXEC:ユーザ EXEC ターミナル セッションに関連付けられた属性に適用します。
  • Network:ネットワーク接続に適用します。 ネットワーク接続には、PPP、SLIP、または ARA 接続を含めることができます。

    (注)  


    aaa authorization config-commands コマンドを設定して、do コマンドによって先頭に追加された EXEC コマンドを含む、グローバル コンフィギュレーション コマンドを許可する必要があります。


  • Reverse Access:リバース Telnet セッションに適用されます。
  • Configuration:AAA サーバからダウンロードされる設定に適用されます。

名前付き方式リストを作成すると、指定した許可タイプに対して特定の許可方式リストが定義されます。

定義されると、方式リストを特定の回線またはインターフェイスに適用してから、定義済み方式のいずれかを実行する必要があります。

authorization コマンドにより、許可プロセスの一環として、一連の AV のペアを含む要求パケットが RADIUS または TACACS デーモンに送信されます。 デーモンは、次のいずれかのアクションを実行できます。

  • 要求をそのまま受け入れます。
  • 要求を変更します。
  • 要求と許可を拒否します。
サポートされる RADIUS 属性のリストについては、RADIUS 属性のモジュールを参照してください。 サポートされる TACACS+ AV のペアのリストについては、TACACS+ 属性値のペアのモジュールを参照してください。

(注)  


次の 5 つのコマンドが特権レベル 0 に関連付けられています。disableenableexithelp、および logout。 特権レベルの AAA 許可を 0 よりも大きい値に設定した場合は、これらの 5 つコマンドが特権レベルのコマンド セットに含まれなくなります。


次に、PPP を使用してシリアル回線で RADIUS 許可が使用されるように指定する mygroup というネットワーク許可方式リストを定義する例を示します。 RADIUS サーバが応答に失敗すると、ローカル ネットワークの許可が実行されます。

Controller(config)#  aaa authorization network mygroup group radius local

access-session mac-move deny

コントローラ で MAC 移動をディセーブルにするには、access-session mac-move deny グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。

access-session mac-move deny

no access-session mac-move deny

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

MAC 移動はイネーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドの no 形式は、 コントローラ上の認証が有効になっているポート(MAC 認証バイパス [MAB]、802.1x、または Web 認証)の間で、認証されたホストの移動をイネーブルにします。 たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。

MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。

次の例では、 コントローラ上で MAC 移動をイネーブルにする方法を示します。


Controller(config)# no access-session mac-move deny

関連コマンド

コマンド

説明

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

authentication host-mode

ポートで認証マネージャ モードを設定するには、authentication host-mode インターフェイス コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication host-mode { multi-auth | multi-domain | multi-host | single-host}

no authentication host-mode

構文の説明

multi-auth

ポートで複数の認証モード(multi-auth モード)をイネーブルにします。

multi-domain

ポートでマルチドメイン モードをイネーブルにします。

multi-host

ポートでマルチホスト モードをイネーブルにします。

single-host

ポートでシングルホスト モードをイネーブルにします。

コマンド デフォルト

シングルホスト モードがイネーブルにされています。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

接続されているデータ ホストが 1 つだけの場合は、シングルホスト モードを設定する必要があります。 シングルホスト ポートでの認証のために音声デバイスを接続しないでください。 ポートで音声 VLAN が設定されていないと、音声デバイスの許可が失敗します。

データ ホストが IP Phone 経由でポートに接続されている場合は、マルチドメイン モードを設定する必要があります。 音声デバイスを認証する必要がある場合は、マルチドメイン モードを設定する必要があります。

ハブの背後にデバイスを配置し、それぞれを認証してポート アクセスのセキュリティを確保できるようにするには、マルチ認証モードに設定する必要があります。 音声 VLAN が設定されている場合は、このモードで認証できる音声デバイスは 1 つだけです。

マルチホスト モードでも、ハブ越しの複数ホストのためのポート アクセスが提供されますが、マルチホスト モードでは、最初のユーザが認証された後でデバイスに対して無制限のポート アクセスが与えられます。

次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。

Controller(config-if)# authentication host-mode multi-auth

次の例では、ポートのマルチドメイン モードをイネーブルにする方法を示します。

Controller(config-if)# authentication host-mode multi-domain

次の例では、ポートのマルチホスト モードをイネーブルにする方法を示します。

Controller(config-if)# authentication host-mode multi-host

次の例では、ポートのシングルホスト モードをイネーブルにする方法を示します。

Controller(config-if)# authentication host-mode single-host

show authentication sessions interface interface details 特権 EXEC コマンドを入力することにより、設定を確認できます。

authentication mac-move permit

コントローラ上で MAC 移動をイネーブルにするには、authentication mac-move permit グローバル コンフィギュレーション コマンドを使用します。 MAC 移動をディセーブルにするには、このコマンドの no 形式を使用します。

authentication mac-move permit

no authentication mac-move permit

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

MAC 移動はイネーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

これはレガシー コマンドです。 新しいコマンドは、access-session mac-move deny です。

このコマンドは、 コントローラ上の認証が有効になっているポート(MAC 認証バイパス [MAB]、802.1x、または Web 認証)の間で、認証されたホストの移動をイネーブルにします。 たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。

MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。

MAC 移動は、ポート セキュリティ対応の 802.1x ポートではサポートされません。 MAC 移動がスイッチ上でグローバルに設定され、ポート セキュリティ対応ホストが 802.1x 対応ポートに移動した場合、違反エラーが発生します。

次の例では、 コントローラ上で MAC 移動をイネーブルにする方法を示します。


Controller(config)# authentication mac-move permit

関連コマンド

コマンド

説明

access-session mac-move deny

コントローラで MAC 移動をディセーブルにします。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

authentication priority

ポート プライオリティ リストに認証方式を追加するには、インターフェイス コンフィギュレーション モードで authentication priority コマンドを使用します。 デフォルトに戻るには、no 形式のコマンドを使用します。

authentication priority [ dot1x | mab] { webauth}

no authentication priority [ dot1x | mab] { webauth}

構文の説明

dot1x

(任意)認証方式の順序に 802.1x を追加します。

mab

(任意)認証方式の順序に MAC 認証バイパス(MAB)を追加します。

webauth

認証方式の順序に Web 認証を追加します。

コマンド デフォルト

デフォルトのプライオリティは、802.1x 認証、MAC 認証バイパス、Web 認証の順です。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。

ポートにフォールバック方式を複数設定するときは、Web 認証(webauth)を最後に設定してください。

異なる認証方式にプライオリティを割り当てることにより、プライオリティの高い方式を、プライオリティの低い進行中の認証方式に割り込ませることができます。


(注)  


クライアントがすでに認証されている場合に、プライオリティの高い方式の割り込みが発生すると、再認証されることがあります。


認証方式のデフォルトのプライオリティは、実行リストの順序におけるその位置と同じで、802.1x 認証、MAC 認証バイパス(MAB)、Web 認証の順です。 このデフォルトの順序を変更するには、キーワード dot1xmab、および webauth を使用します。

次の例では、802.1x を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。


Controller(config-if)# authentication priority dotx webauth

次の例では、MAB を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。


Controller(config-if)# authentication priority mab webauth

関連コマンド

コマンド

説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event fail

認証マネージャが認識されないユーザ クレデンシャルの結果として得られた認証エラーを処理する方法を指定します。

authentication event no-response action

認証マネージャが応答しないホストの結果として得られた認証エラーを処理する方法を指定します。

authentication event server alive action reinitialize

以前は到達不能の認証、許可、およびアカウンティング サーバが使用可能になった場合に、許可された認証マネージャ セッションを再初期化します。

authentication event server dead action authorize

認証、許可、およびアカウンティング サーバが到達不能になった場合に、認証マネージャ セッションを許可します。

authentication fallback

Web 認証のフォールバック方式をイネーブルにします。

authentication host-mode

ホストが制御されたポートへのアクセスを取得できるようにします。

authentication open

ポートでオープン アクセスをイネーブルにします。

authentication order

認証マネージャがポートでクライアントの認証を試みる順序を指定します。

authentication periodic

ポートで自動的な再認証をイネーブルにします。

authentication port-control

制御されたポートの許可ステートを設定します。

authentication timer inactivity

非アクティブな認証マネージャ セッションが終了される時間を設定します。

authentication timer reauthenticate

認証マネージャが許可されたポートの再認証を試行する期間を指定します。

authentication timer restart

認証マネージャが無許可のポートの認証を試行する期間を指定します。

authentication violation

ポートにセキュリティ違反が発生する場合に実行するアクションを指定します。

mab

ポートの MAC 認証バイパスをイネーブルにします。

show authentication registrations

認証マネージャに登録されている認証方式に関する情報を表示します。

show authentication sessions

現在の認証マネージャ セッションに関する情報を表示します。

show authentication sessions interface

特定のインターフェイスの認証マネージャに関する情報を表示します。

authentication violation

新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定するには、authentication violation インターフェイス コンフィギュレーション コマンドを使用します。

authentication violation{ protect| replace| restrict| shutdown }

no authentication violation{ protect| replace| restrict| shutdown }

構文の説明

protect

予期しない入力 MAC アドレスをドロップします。 syslog エラーは生成されません。

replace

現在のセッションを削除し、新しいホストによる認証を開始します。

restrict

違反エラーの発生時に Syslog エラーを生成します。

shutdown

エラーによって、予期しない MAC アドレスが発生するポートまたは仮想ポートがディセーブルになります。

コマンド デフォルト

authentication violation シャットダウン モードはイネーブルです。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

authentication violation コマンドを使用して、ポートにセキュリティ違反が発生する場合に実行するアクションを指定します。

次の例では、新しいデバイスがポートに接続する場合に、errdisable になり、シャットダウンするように IEEE 802.1x 対応ポートを設定する方法を示します。

Controller(config-if)# authentication violation shutdown

次の例では、新しいデバイスがポートに接続する場合に、システム エラー メッセージを生成して、ポートを制限モードに変更するように 802.1x 対応ポートを設定する方法を示します。

Controller(config-if)# authentication violation restrict

次の例では、新しいデバイスがポートに接続するときに、そのデバイスを無視するように 802.1x 対応ポートを設定する方法を示します。

Controller(config-if)# authentication violation protect

次の例では、新しいデバイスがポートに接続するときに、現在のセッションを削除し、新しいデバイスによる認証を開始するように 802.1x 対応ポートを設定する方法を示します。

Controller(config-if)# authentication violation replace

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

cisp enable

スイッチで Client Information Signalling Protocol(CISP)をイネーブルにすることで、スイッチがサプリカント スイッチに対するオーセンティケータとして動作するようにするには、cisp enable グローバル コンフィギュレーション コマンドを使用します。

cisp enable

no cisp enable

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルト設定はありません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

オーセンティケータとサプリカント スイッチの間のリンクはトランクです。 両方のスイッチで VTP をイネーブルにする場合は、VTP ドメイン名が同一であり、VTP モードがサーバである必要があります。

VTP モードを設定する場合に MD5 チェックサムの不一致エラーを回避するには、次を確認します。

  • VLAN が異なる 2 台のスイッチに設定されていないこと。同じドメインに VTP サーバが 2 台存在することがこの状態の原因になることがあります。
  • 両方のスイッチで、設定のリビジョン番号が異なっていること。

次の例では、CISP をイネーブルにする方法を示します。


Controller(config)# cisp enable 

関連コマンド

コマンド

説明

dot1x credentialsprofile

プロファイルをサプリカント スイッチに設定します。

dot1x supplicant force-multicast

802.1x サプリカントがマルチキャスト パケットを送信するように強制します。

dot1x supplicant controlled transient

802.1x サプリカントによって制御されたアクセスを設定します。

show cisp

指定されたインターフェイスの CISP 情報を表示します。

clear errdisable interface vlan

errdisable であった VLAN を再びイネーブルにするには、スイッチで clear errdisable interface 特権 EXEC コマンドを使用します。

clear errdisable interface interface-id vlan [ vlan-list]

構文の説明

interface-id

インターフェイスを指定します。

vlan list

(任意)再びイネーブルにする VLAN のリストを指定します。 VLAN リストを指定しない場合は、すべての VLAN が再びイネーブルになります。

コマンド デフォルト

デフォルトは定義されていません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

shutdown および no shutdown のインターフェイス コンフィギュレーション コマンドを使用してポートを再びイネーブルにするか、clear errdisable interface コマンドを使用して VLAN の errdisable をクリアできます。

次の例では、ギガビット イーサネット ポート 4/0/2 で errdisable になっているすべての VLAN を再びイネーブルにする方法を示します。

Controller# clear errdisable interface gigabitethernet4/0/2 vlan

関連コマンド

コマンド

説明

errdisable detect cause

特定の原因、またはすべての原因に対して errdisable 検出をイネーブルにします。

errdisable recovery

回復メカニズム変数を設定します。

show errdisable detect

errdisable 検出ステータスを表示します。

show errdisable recovery

errdisable 回復タイマーの情報を表示します。

show interfaces status err-disabled

errdisable ステートになっているインターフェイスのリストのインターフェイス ステータスを表示します。

clear mac address-table

MAC アドレス テーブルから特定のダイナミック アドレス、特定インターフェイスのすべてのダイナミック アドレス、スタック メンバのすべてのダイナミック アドレス、または特定の VLAN のすべてのダイナミック アドレスを削除するには、特権 EXEC モードで clear mac address-table コマンドを使用します。 このコマンドはまた MAC アドレス通知グローバル カウンタもクリアします。

clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id] | move update | notification}

構文の説明

dynamic

すべてのダイナミック MAC アドレスを削除します。

address mac-addr

(任意)指定されたダイナミック MAC アドレスを削除します。

interface interface-id

(任意)指定された物理ポートまたはポート チャネル上のすべてのダイナミック MAC アドレスを削除します。

vlan vlan-id

(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。 指定できる範囲は 1 ~ 4094 です。

move update

MAC アドレス テーブルの移行更新カウンタをクリアします。

notification

履歴テーブルの通知をクリアし、カウンタをリセットします。

コマンド デフォルト

デフォルトは定義されていません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

show mac address-table 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを確認できます。

次の例では、ダイナミック アドレス テーブルから特定の MAC アドレスを削除する方法を示します。


Controller# clear mac address-table dynamic address 0008.0070.0007

関連コマンド

コマンド

説明

mac address-table notification

MAC アドレス通知機能をイネーブルにします。

mac address-table move update {receive | transmit}

スイッチ上の MAC アドレス テーブル移行更新を設定します。

show mac address-table

MAC アドレス テーブルのスタティック エントリおよびダイナミック エントリを表示します。

show mac address-table move update

スイッチに MAC アドレス テーブル移行更新情報を表示します。

show mac address-table notification

interface キーワードが追加されると、すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。

snmp trap mac-notification change

特定のインターフェイスで SNMP MAC アドレス通知トラップをイネーブルにします。

deny(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックの転送を防止するには、スイッチ スタックまたはスタンドアロン スイッチ上で deny MAC アクセス リスト コンフィギュレーション コマンドを使用します。 名前付き MAC アクセス リストから拒否条件を削除するには、このコマンドの no 形式を使用します。

deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]

no deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]

構文の説明

any

すべての送信元または宛先 MAC アドレスを拒否します。

host src-MAC-addr | src-MAC-addr mask

ホスト MAC アドレスと任意のサブネット マスクを定義します。 パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr | dst-MAC-addr mask

宛先 MAC アドレスと任意のサブネット マスクを定義します。 パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)パケットの Ethertype 番号と、Ethernet II または SNAP カプセル化を指定して、パケットのプロトコルを識別します。

type には、0 ~ 65535 の 16 進数を指定できます。

mask は、一致をテストする前に Ethertype に適用される don’t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を指定します。

amber

(任意)EtherType DEC-Amber を指定します。

appletalk

(任意)EtherType AppleTalk/EtherTalk を指定します。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニングツリーを指定します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを指定します。

diagnostic

(任意)EtherType DEC-Diagnostic を指定します。

dsm

(任意)EtherType DEC-DSM を指定します。

etype-6000

(任意)EtherType 0x6000 を指定します。

etype-8042

(任意)EtherType 0x8042 を指定します。

lat

(任意)EtherType DEC-LAT を指定します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を指定します。

lsap lsap-number mask

(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を指定して、パケットのプロトコルを識別します。

mask は、一致をテストする前に LSAP 番号に適用される don’t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を指定します。

mop-dump

(任意)EtherType DEC-MOP Dump を指定します。

msdos

(任意)EtherType DEC-MSDOS を指定します。

mumps

(任意)EtherType DEC-MUMPS を指定します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NETBIOS)を指定します。

vines-echo

(任意)Banyan Systems から EtherType Virtual Integrated Network Service(VINES)Echo を指定します。

vines-ip

(任意)EtherType VINES IP を指定します。

xns-idp

(任意)10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems(XNS)プロトコル スイート(0 ~ 65535)を指定します。

cos cos

(任意)プライオリティを設定するため、0 ~ 7 までのサービス クラス(CoS)値を指定します。 CoS に基づくフィルタリングは、ハードウェアでだけ実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。

コマンド デフォルト

このコマンドには、デフォルトはありません。 ただし、名前付き MAC ACL のデフォルト アクションは拒否です。

コマンド モード

MAC アクセス リスト コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

MAC アクセス リスト コンフィギュレーション モードを開始するには、mac access-list extended グローバル コンフィギュレーション コマンドを使用します。

host キーワードを使用した場合、アドレス マスクは入力できません。host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。

アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加された場合、リストの最後には暗黙の deny-any-any 条件が存在します。 つまり、一致がない場合にはパケットは拒否されます。 ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、type mask または lsap lsap mask キーワードを使用します。 Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を、次の表に一覧表示します。

表 2 IPX フィルタ基準

IPX カプセル化タイプ

フィルタ基準

Cisco IOS 名

Novel 名

arpa

Ethernet II

Ethertype 0x8137

snap

Ethernet-snap

Ethertype 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。 このリストに一致するトラフィックは拒否されます。


Controller(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.

次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。


Controller(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.

次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。


Controller(config-ext-macl)# deny any any 0x4321 0

設定を確認するには、show access-lists 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

mac access-list extended

非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。

permit

MAC アクセスリスト コンフィギュレーションから許可します。

条件が一致した場合に非 IP トラフィックが転送されるのを許可します。

show access-lists

スイッチに設定されたアクセス コントロール リストを表示します。

device-role(IPv6 スヌーピング)

ポートに接続されているデバイスのロールを指定するには、IPv6 スヌーピング コンフィギュレーション モードで device-role コマンドを使用します。

device-role { node | switch}

構文の説明

node

ノードに接続されているデバイスのロールを設定します。

switch

スイッチに接続されているデバイスのロールを設定します。

コマンド デフォルト

デバイス ロールはノードです。

コマンド モード

IPv6 スヌーピング設定(config-ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

device-role コマンドは、ポートに接続されているデバイスのロールを指定します。 デフォルトではデバイス ロールはノードです。

switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートから学習したバインディング エントリは、trunk_port のプリファレンス レベルでマーク付けされます。 ポートが trust-port に設定されている場合、バインディング エントリは trunk_trusted_port のプリファレンス レベルでマークされます。

次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、デバイスをノードとして設定する方法を示します。

Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# device-role node

device-role(IPv6 nd インスペクション)

ネイバー探索(ND)インスペクション ポリシー コンフィギュレーション モードで device-role を使用し、ポートに接続されているデバイスのロールを指定します。

device-role { host | monitor | router | switch}

構文の説明

host

ホストに接続されているデバイスのロールを設定します。

monitor

モニタに接続されているデバイスのロールを設定します。

router

ルータに接続されているデバイスのロールを設定します。

switch

スイッチに接続されているデバイスのロールを設定します。

コマンド デフォルト

デバイス ロールはホストです。

コマンド モード

ND インスペクション ポリシー設定(config-nd-inspection)

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

device-role コマンドは、ポートに接続されているデバイスのロールを指定します。 デフォルトでは、デバイス ロールはホストであるため、すべてのインバウンド ルータ アドバタイズメントおよびリダイレクト メッセージがブロックされます。 router キーワードを使用してデバイス ロールがイネーブルになっている場合、すべてのメッセージ(ルータ送信要求(RS)、ルータ アドバタイズメント(RA)、またはリダイレクト)がこのポートで許可されます。

router または monitor キーワードが使用されている場合、制限されたブロードキャストがイネーブルかどうかに関係なく、マルチキャスト RS メッセージがポートでブリッジされます。 ただし、monitor キーワードでは、インバウンド RA またはリダイレクト メッセージが許可されません。 monitor キーワードを使用すると、これらのメッセージを必要とするデバイスがメッセージを受信します。

switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートから学習したバインディング エントリは、trunk_port のプリファレンス レベルでマーク付けされます。 ポートが trust-port に設定されている場合、バインディング エントリは trunk_trusted_port のプリファレンス レベルでマークされます。

次の例では、ネイバー探索プロトコル(NDP)ポリシー名を policy1 として定義し、デバイスを ND インスペクション ポリシー コンフィギュレーション モードにし、デバイスをホストとして設定します。

Controller(config)#  ipv6 nd inspection policy policy1
Controller(config-nd-inspection)# device-role host

dot1x critical(グローバル コンフィギュレーション)

IEEE 802.1X クリティカル認証パラメータを設定するには、グローバル コンフィギュレーション モードで dot1x critical コマンドを使用します。

dot1x critical eapol

構文の説明

eapol

スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するように指定します。

コマンド デフォルト

eapol はディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

次の例では、スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するように指定する方法を示します。

Controller(config)# dot1x critical eapol

dot1x max-start

一方の端が 802.1X を認識していないと判断する前に、サプリカントがクライアントに送信(応答が受信されないことを想定)する Extensible Authentication Protocol over LAN(EAPOL)開始フレームの最大数を設定するには、インターフェイス コンフィギュレーション モードで dot1x max-start コマンドを使用します。 最大回数の設定を削除するには、このコマンドの no 形式を使用します。

dot1x max-start number

no dot1x max-start

構文の説明

number

ルータが EAPOL 開始フレームを送信する最高回数。 値は 1 ~ 10 です。 デフォルトは 3 です。

コマンド デフォルト

デフォルトの最大数の設定は 3 です。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドを入力する前に、スイッチ ポートで switchport mode access インターフェイス コンフィギュレーション コマンドを入力する必要があります。

次の例では、EAPOL 開始要求の最大数が 5 に設定されていることを示しています。

Controller(config)# interface g1/0/3
Controller(config-if)# dot1x max-start 5

dot1x pae

Port Access Entity(PAE)タイプを設定するには、インターフェイス コンフィギュレーション モードで dot1x pae コマンドを使用します。 設定された PAE タイプをディセーブルにするには、このコマンドの no 形式を使用します。

dot1x pae { supplicant | authenticator}

no dot1x pae { supplicant | authenticator}

構文の説明

supplicant

インターフェイスはサプリカントとしてだけ機能し、オーセンティケータ向けのメッセージに応答しません。

authenticator

インターフェイスはオーセンティケータとしてだけ機能し、サプリカント向けのメッセージに応答しません。

コマンド デフォルト

PAE タイプは設定されません。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

IEEE 802.1x 認証をポート上でディセーブルにする場合は、no dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。

dot1x port-control インターフェイス コンフィギュレーション コマンドを入力するなどしてポート上で IEEE 802.1x 認証を設定した場合、スイッチは自動的にポートを IEEE 802.1x オーセンティケータとして設定します。 オーセンティケータの PAE 動作は、no dot1x pae インターフェイス コンフィギュレーション コマンドを入力した後でディセーブルになります。

次の例は、インターフェイスがサプリカントとして機能するように設定されていることを示しています。

Controller(config)# interface g1/0/3
Controller(config-if)# dot1x pae supplicant

dot1x supplicant controlled transient

認証中の 802.1x サプリカントのポートへのアクセスを制御するには、グローバル コンフィギュレーション モードで dot1x supplicant controlled transient コマンドを使用します。 認証中にサプリカントのポートを開くには、このコマンドの no 形式を使用します。

dot1x supplicant controlled transient

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

認証中に 802.1x サプリカントのポートへのアクセスが許可されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

デフォルトでは、BPCU ガードがイネーブルにされたオーセンティケータ スイッチにサプリカントのスイッチを接続する場合、オーセンティケータのポートはサプリカント スイッチが認証する前にスパニングツリー プロトコル(STP)のブリッジ プロトコル データ ユニット(BPDU)を受信すると、errdisable 状態になる可能性があります。 Cisco IOS Release 15.0(1) SE 以降では、認証中にサプリカントのポートから送信されるトラフィックを制御できます。 dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証が完了する前にオーセンティケータ ポートがシャットダウンしないように、認証中にサプリカント ポートを一時的にブロックできます。 認証に失敗すると、サプリカントのポートが開きます。 no dot1x supplicant controlled transient グローバルコンフィギュレーション コマンドを入力すると、認証中にサプリカントのポートが開きます。 これはデフォルトの動作です。

BPDU ガードが spanning-tree bpduguard enable インターフェイス コンフィギュレーション コマンドによりオーセンティケータのスイッチ ポートでイネーブルになっている場合、サプリカント スイッチで dot1x supplicant controlled transient コマンドを使用することを強く推奨します。

次に、認証の間にスイッチの 802.1x サプリカントのポートへのアクセスを制御する例を示します。

Controller(config)# dot1x supplicant controlled transient

dot1x supplicant force-multicast

マルチキャストまたはユニキャスト EAPOL パケットを受信するたびに、サプリカント スイッチがマルチキャスト Extensible Authentication Protocol over LAN(EAPOL)パケットだけを送信するように強制するには、dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x supplicant force-multicast

no dot1x supplicant force-multicast

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

サプリカント スイッチは、ユニキャスト EAPOL パケットを受信すると、ユニキャスト EAPOL パケットを送信します。 同様に、マルチキャスト EAPOL パケットを受信すると、EAPOL パケットを送信します。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

Network Edge Access Topology(NEAT)がすべてのホスト モードで機能するようにするには、サプリカント スイッチ上でこのコマンドをイネーブルにします。

次の例では、サプリカント スイッチがオーセンティケータ スイッチにマルチキャスト EAPOL パケットを送信するように設定する方法を示します。


Controller(config)# dot1x supplicant force-multicast

関連コマンド

コマンド

説明

cisp enable

スイッチの Client Information Signalling Protocol(CISP)をイネーブルにすることで、スイッチがサプリカント スイッチに対するオーセンティケータとして動作するようにします。

dot1x credentials

ポートに 802.1x サプリカント資格情報を設定します。

dot1x pae supplicant

インターフェイスがサプリカントとしてだけ機能するように設定します。

dot1x test eapol-capable

すべてのスイッチ ポートで IEEE 802.1x アクティビティを監視し、IEEE 802.1x をサポートするポートに接続されたデバイスに関する情報を表示するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x test eapol-capable 特権 EXEC コマンドを使用します。

dot1x test eapol-capable [ interface interface-id]

構文の説明

interface interface-id

(任意)クエリー対象のポートです。

コマンド デフォルト

デフォルト設定はありません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

スイッチ上のすべてのポートまたは特定のポートに接続するデバイスの IEEE 802.1x 機能をテストするには、このコマンドを使用します。

このコマンドには、no 形式はありません。

次の例では、スイッチ上で IEEE 802.1x の準備チェックをイネーブルにして、ポートに対してクエリーを実行する方法を示します。 また、ポートに接続しているデバイスを確認するためのクエリーの実行対象ポートから受信した応答が IEEE 802.1x 対応であることを示します。


Controller# dot1x test eapol-capable interface gigabitethernet1/0/13 

DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable

関連コマンド

コマンド

説明

dot1x test timeout timeout

IEEE 802.1x 準備クエリーに対する EAPOL 応答を待機するために使用されるタイムアウトを設定します。

dot1x test timeout

IEEE 802.1x 準備に対してクエリーされているポートからの EAPOL 応答を待機するために使用されるタイムアウトを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x test timeout グローバル コンフィギュレーション コマンドを使用します。

dot1x test timeout timeout

構文の説明

timeout

EAPOL 応答を待機する時間(秒)。 指定できる範囲は 1 ~ 65535 秒です。

コマンド デフォルト

デフォルト設定は 10 秒です。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

EAPOL 応答を待機するために使用されるタイムアウトを設定するには、このコマンドを使用します。

このコマンドには、no 形式はありません。

次の例では、EAPOL 応答を 27 秒間待機するようにスイッチを設定する方法を示します。


Controller# dot1x test timeout 27

タイムアウト設定のステータスを確認するには、show run 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

dot1x test eapol-capable [interface interface-id]

すべての、または指定された IEEE 802.1x 対応ポートに接続するデバイスで IEEE 802.1x の準備が整っているかを確認します。

dot1x timeout

再試行タイムアウトの値を設定するには、グローバル コンフィギュレーション モードまたはインターフェイス コンフィギュレーション モードで dot1x timeout コマンドを使用します。 再試行タイムアウトをデフォルト値に戻すには、このコマンドの no 形式を使用します。

dot1x timeout { auth-period seconds | held-period seconds | quiet-period seconds | ratelimit-period seconds | server-timeout seconds | start-period seconds | supp-timeout seconds | tx-period seconds}

構文の説明

auth-period seconds

サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。

有効な範囲は 1 ~ 65535 です。 デフォルトは 30 です。

held-period seconds

サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。

有効な範囲は 1 ~ 65535 です。 デフォルト値は 60 です。

quiet-period seconds

クライアントを再認証する前に、認証情報の交換に失敗した後、オーセンティケータ(サーバ)が待機状態(保留ステート)を続ける秒数を設定します。

有効な範囲は 1 ~ 65535 です。 デフォルト値は 60 です。

ratelimit-period seconds

不正な動作を行うクライアント PC(たとえば、スイッチの処理能力を無駄にする EAP-START パケットを送信する PC)から送信される EAP-START パケットを抑制します。

  • オーセンティケータはレート制限時間中、認証に成功したクライアントからの EAPOL-Start パケットを無視します。
  • 有効な範囲は 1 ~ 65535 です。 デフォルトでは、レート制限はディセーブルになっています。
server-timeout seconds

連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。

  • 有効な範囲は 1 ~ 65535 です。 デフォルトは 30 です。

サーバが指定された期間内に 802.1X パケットへの応答を送信しない場合、パケットは再度送信されます。

start-period seconds

連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。

有効な範囲は 1 ~ 65535 です。 デフォルトは 30 です。

supp-timeout seconds

EAP 要求 ID 以外のすべての EAP メッセージに対して、オーセンティケータからサプリカントへの再送信時間を設定します。

有効な範囲は 1 ~ 65535 です。 デフォルトは 30 です。

tx-period seconds

クライアントへの EAP 要求 ID パケットの再送信の間隔(応答が受信されないことを想定)の秒数を設定します。

  • 有効な範囲は 1 ~ 65535 です。 デフォルトは 30 です。
  • 802.1X パケットがサプリカントに送信され、サプリカントが再試行期間後に応答を送信しない場合、パケットは再度送信されます。

コマンド デフォルト

定期的な再認証および定期的なレート制限が実行されます。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにしただけの場合、dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、スイッチの動作に影響します。

待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。 デフォルトよりも小さい数を入力することによって、ユーザへの応答時間を短縮できます。

ratelimit-period が 0(デフォルト)に設定された場合、スイッチは認証に成功したクライアントからの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。

次の例は、さまざまな 802.1X 再送信およびタイムアウト時間が設定されていることを示しています。

Controller(config)# configure terminal
Controller(config)# interface g1/0/3
Controller(config-if)# dot1x port-control auto
Controller(config-if)# dot1x timeout auth-period 2000
Controller(config-if)# dot1x timeout held-period 2400
Controller(config-if)# dot1x timeout quiet-period 600
Controller(config-if)# dot1x timeout start-period 90
Controller(config-if)# dot1x timeout supp-timeout 300
Controller(config-if)# dot1x timeout tx-period 60
Controller(config-if)# dot1x timeout server-timeout 60

epm access-control open

アクセス コントロール リスト(ACL)が設定されていないポートにオープン ディレクティブを設定するには、グローバル コンフィギュレーション モードで epm access-control open コマンドを使用します。 オープン ディレクティブをディセーブルにするには、このコマンドの no 形式を使用します。

epm access-control open

no epm access-control open

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトのディレクティブが適用されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

スタティック ACL が設定されたアクセス ポートに、許可ポリシーのないホストを許可するオープン ディレクティブを設定するには、このコマンドを使用します。 このコマンドを設定しない場合、ポートは設定された ACL のポリシーをトラフィックに適用します。 ポートにスタティック ACL が設定されていない場合、デフォルトおよびオープンの両方のディレクティブがポートへのアクセスを許可します。

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

次の例では、オープン ディレクティブを設定する方法を示します。


Controller(config)# epm access-control open

関連コマンド

コマンド

説明

show running-config

現在実行されているコンフィギュレーション ファイルの内容を表示します

ip admission

Web 認証をイネーブルにするには、ip admission コンフィギュレーション コマンドを使用します。 このコマンドは、fallback-profile モードでも使用できます。 Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。

ip admission rule

no ip admission rule

構文の説明

rule

IP アドミッション ルールの名前。

コマンド デフォルト

Web 認証はディセーブルです。

コマンド モード

インターフェイス コンフィギュレーション

fallback-profile モード

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

ip admission コマンドにより、スイッチ ポートに Web 認証ルールが適用されます。

次の例では、スイッチ ポートに Web 認証ルールを適用する方法を示します。

Controller# configure terminal
Controller(config)# interface gigabitethernet1/0/1
Controller(config-if)# ip admission rule1

次の例では、IEEE 802.1x 対応のスイッチ ポートで使用するフォールバック プロファイルに Web 認証ルールを適用する方法を示します。

Controller# configure terminal
Controller(config)# fallback profile profile1
Controller(config-fallback-profile)# ip admission rule1

ip admission name

Web 認証をイネーブルにするには、グローバル コンフィギュレーション モードで ipadmissionname コマンドを使用します。 Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。

ip admission name name { consent | proxy http} [ absolute timer minutes | inactivity-time minutes | list { acl | acl-name} | service-policy type tag service-policy-name]

no ip admission name name { consent | proxy http} [ absolute timer minutes | inactivity-time minutes | list { acl | acl-name} | service-policy type tag service-policy-name]

構文の説明

name

ネットワーク アドミッション コントロール ルールの名前。

consent

admission-name 引数を使用して指定された IP アドミッション ルールと認証プロキシの承諾 Web ページを関連付けます。

proxy http

Web 認証カスタム ページを設定します。

absolute-timer minutes

(任意)外部サーバがタイム アウトするまでの経過時間(分単位)。

inactivity-time minutes

(任意)外部サーバが到達不能と見なされるまでの経過時間(分単位)。

list (任意)名前付きルールとアクセス コントロール リスト(ACL)を関連付けます。
acl

名前付きアドミッション コントロール ルールに標準の拡張リストを適用します。 値の範囲は 1 ~ 199 です。範囲が拡張されている場合は 1300 ~ 2699 です。

acl-name

名前付きアクセス リストを名前付きアドミッション コントロール ルールに適用します。

service-policy type tag

(任意)コントロール プレーン サービス ポリシーを設定します。

service-policy-name

policy-map type control tagpolicyname コマンド、キーワード、および引数を使用して設定されたプレーン タグ サービス ポリシーを制御します。 タグを受信すると、このポリシー マップを使用してホストにアクションが適用されます。

コマンド デフォルト

Web 認証はディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

ip admission name コマンドにより、Web 認証がスイッチ上でグローバルにイネーブルになります。

スイッチで Web 認証をグローバルにイネーブルにしてから、ip access-group in および ip admission web-rule インターフェイス コンフィギュレーション コマンドを使用して、特定のインターフェイスで Web 認証をイネーブルにします。

次に、スイッチ ポートで Web 認証のみを設定する例を示します。

Controller# configure terminal
Controller(config) ip admission name http-rule proxy http
Controller(config)# interface gigabitethernet1/0/1
Controller(config-if)# ip access-group 101 in
Controller(config-if)# ip admission rule
Controller(config-if)# end

次の例では、スイッチ ポートでのフォールバック メカニズムとして、Web 認証とともに IEEE 802.1x 認証を設定する方法を示します。

Controller# configure terminal
Controller(config)# ip admission name rule2 proxy http
Controller(config)# fallback profile profile1
Controller(config)# ip access group 101 in
Controller(config)# ip admission name rule2
Controller(config)# interface gigabitethernet1/0/1
Controller(config-if)# dot1x port-control auto
Controller(config-if)# dot1x fallback profile1
Controller(config-if)# end

関連コマンド

コマンド

説明

dot1x fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

fallback profile

Web 認証のフォールバック プロファイルを作成します。

ip admission

ポートで Web 認証をイネーブルにします。

show authentication sessions interface interface detail

Web 認証セッション ステータスに関する情報を表示します。

show ip admission

NAC のキャッシュされたエントリまたは NAC 設定についての情報を表示します。

ip device tracking maximum

レイヤ 2 ポートで IP ポート セキュリティ バインディングのトラッキングをイネーブルにするには、インターフェイス コンフィギュレーション モードで ip device tracking maximum コマンドを使用します。 信頼できないレイヤ 2 インターフェイスで IP ポート セキュリティをディセーブルにするには、このコマンドの no 形式を使用します。

ip device tracking maximum number

no ip device tracking maximum number

構文の説明

number

ポートの IP デバイス トラッキング テーブルに作成するバインディングの数。 範囲は 0 ~ 2048 です。

コマンド デフォルト

なし

コマンド モード

インターフェイス コンフィギュレーション モード

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例では、レイヤ 2 アクセス ポートで IP-MAC フィルタを使用して IP ポート セキュリティをイネーブルにする方法を示します。

Controller# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)# ip device tracking
Controller(config)# interface gigabitethernet1/0/3
Controller(config-if)# switchport mode access 
Controller(config-if)# switchport access vlan 1
Controller(config-if)# ip device tracking maximum 5
Controller(config-if)# switchport port-security 
Controller(config-if)# switchport port-security maximum 5
Controller(config-if)# ip verify source tracking port-security 
Controller(config-if)# end 

ip device tracking probe

アドレス解決プロトコル(ARP)プローブの IP デバイス トラッキング テーブルを設定するには、グローバル コンフィギュレーション モードで ip device tracking probe コマンドを使用します。 ARP プローブをディセーブルにするには、このコマンドの no 形式を使用します。

ip device tracking probe { count number | interval seconds | use-svi address }

no ip device tracking probe { count number | interval seconds | use-svi address }

構文の説明

count number

コントローラが ARP プローブを送信する回数を設定します。 範囲は 1 ~ 255 です。

intervalseconds

コントローラが、ARP プローブを再送信するまでに、応答を待機する秒数を設定します。 指定できる範囲は 30 ~ 1814400 秒です。

use-svi

コントローラ仮想インターフェイス(SVI)IP アドレスを ARP プローブのソースとして使用します。

コマンド デフォルト

カウント番号は 3 です。

30 秒間隔です。

ARP プローブのデフォルト ソース IP アドレスはレイヤ 3 インターフェイスで、スイッチポートでは 0.0.0.0 です。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

スイッチ ポートのデフォルト ソース IP アドレス 0.0.0.0 が使用され、ARP プローブがドロップする場合に、IP デバイス トラッキング テーブルが SVI IP アドレスを ARP プローブに使用するように設定するには、use-svi キーワードを使用します。

次の例では、SVI を ARP プローブのソースとして設定する方法を示します。

Controller(config)# ip device tracking probe use-svi

ip dhcp snooping database

Dynamic Host Configuration Protocol(DHCP)スヌーピング データベースを設定するには、グローバル コンフィギュレーション モードで ip dhcp snooping database コマンドを使用します。 DHCP スヌーピング データベースをディセーブルにするには、このコマンドの no 形式を使用します。

ip dhcp snooping database { crashinfo:url | flash:url | ftp:url | http:url | https:url | rcp:url | scp:url | tftp:url | timeout seconds | usbflash0:url | write-delay seconds}

構文の説明

crashinfo:url

crashinfo を使用して、エントリを格納するためのデータベースの URL を指定します。

flash:url

フラッシュを使用して、エントリを格納するためのデータベースの URL を指定します。

ftp:url

FTP を使用して、エントリを格納するためのデータベースの URL を指定します。

http:url

HTTP を使用して、エントリを格納するためのデータベースの URL を指定します。

https:url

セキュア HTTP(https)を使用して、エントリを格納するためのデータベースの URL を指定します。

rcp:url

リモート コピー(rcp)を使用して、エントリを格納するためのデータベースの URL を指定します。

scp:url

Secure Copy(SCP)を使用して、エントリを格納するためのデータベースの URL を指定します。

tftp:url

TFTP を使用して、エントリを格納するためのデータベースの URL を指定します。

timeout seconds

中断タイムアウト インターバルを指定します。有効値は 0 ~ 86,400 秒です。

usbflash0:url

USB フラッシュを使用して、エントリを格納するためのデータベースの URL を指定します。

write-delay: seconds

ローカル DHCP スヌーピング データベースにデータが追加されてから、DHCP スヌーピング エントリを外部サーバに書き込みするまでの時間を指定します。有効値は 15 ~ 86,400 秒です。

コマンド デフォルト

DHCP スヌーピング データベースは設定されません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドを入力する前に、インターフェイス上で DHCP スヌーピングをイネーブルにする必要があります。 DHCP スヌーピングをイネーブルにするには、ip dhcp snooping コマンドを使用します。

次に、TFTP を使用してデータベースの URL を指定する例を示します。

Controller(config)#  ip dhcp snooping database tftp://10.90.90.90/snooping-rp2

次に、DHCP スヌーピング エントリを外部サーバに書き込むまでの時間を指定する例を示します。

Controller(config)#  ip dhcp snooping database write-delay 15

ip dhcp snooping information option format remote-id

オプション 82 リモート ID サブオプションを設定するには、スイッチ上で ip dhcp snooping information option format remote-id グローバル コンフィギュレーション コマンドを使用します。 デフォルトのリモート ID サブオプションを設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping information option format remote-id { hostname | string string}

no ip dhcp snooping information option format remote-id { hostname | string string}

構文の説明

hostname

スイッチのホスト名をリモート ID として指定します。

string string

1 ~ 63 の ASCII 文字(スペースなし)を使用して、リモート ID を指定します。

コマンド デフォルト

スイッチの MAC アドレスは、リモート ID です。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

DHCP スヌーピング設定を有効にするには、ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して DHCP スヌーピングをグローバルにイネーブルにする必要があります。

オプション 82 機能がイネーブルの場合、デフォルトのリモート ID サブオプションはスイッチの MAC アドレスです。 このコマンドを使用すると、スイッチのホスト名または 63 個の ASCII 文字列(スペースなし)のいずれかをリモート ID として設定できます。


(注)  


ホスト名が 63 文字を超える場合、リモート ID 設定では 63 文字以降は省略されます。


次の例では、オプション 82 リモート ID サブオプションを設定する方法を示します。

Controller(config)# ip dhcp snooping information option format remote-id hostname

ip dhcp snooping verify no-relay-agent-address

DHCP クライアント メッセージのリレー エージェント アドレス(giaddr)が信頼できないポート上のクライアント ハードウェア アドレスに一致することを確認する DHCP スヌーピング機能をディセーブルにするには、グローバル コンフィギュレーション モードで ip dhcp snooping verify no-relay-agent-address コマンドを使用します。 検証をイネーブルにするには、このコマンドの no 形式を使用します。

ip dhcp snooping verify no-relay-agent-address

no ip dhcp snooping verify no-relay-agent-address

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

DHCP スヌーピング機能は、信頼できないポートの DHCP クライアント メッセージのリレー エージェント IP アドレス(giaddr)フィールドが 0 であることを確認します。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

デフォルトでは、DHCP スヌーピング機能は、信頼できないポートの DHCP クライアント メッセージのリレー エージェント IP アドレス(giaddr)フィールドが 0 であることを確認します。giaddr フィールドが 0 ではない場合は、メッセージがドロップされます。 確認をディセーブルにするには、ip dhcp snooping verify no-relay-agent-address コマンドを使用します。 確認を再度イネーブルにするには、no ip dhcp snooping verify no-relay-agent-address を使用します。

次の例では、DHCP クライアント メッセージで giaddr の確認をイネーブルにする方法を示します。

Controller(config)# no ip dhcp snooping verify no-relay-agent-address

ip source binding

スタティック IP ソース バインディング エントリを追加するには、ip source binding コマンドを使用します。 スタティック IP ソース バインディング エントリを削除するには、このコマンドの no 形式を使用します。

ip source binding mac-address vlan vlan-id ip-address interface interface-id

no ip source binding mac-address vlan vlan-id ip-address interface interface-id

構文の説明

mac-address

バインディング対象 MAC アドレス。

vlan vlan-id

レイヤ 2 VLAN ID を指定します。有効な値は 1 ~ 4094 です。

ip-address

バインディング対象 IP アドレス。

interface interface-id

物理インターフェイスの ID。

コマンド デフォルト

IP 送信元バインディングは設定されていません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドを使用して、スタティック IP ソース バインディング エントリだけを追加できます。

no 形式は、対応する IP ソース バインディング エントリを削除します。 正常に削除するには、すべての必須パラメータに完全に一致する必要があります。 各スタティック IP バインディング エントリは、MAC アドレスおよび VLAN 番号で指定されることに注意してください。 コマンドに既存の MAC アドレスと VLAN 番号が含まれる場合は、別のバインディング エントリを作成する代わりに、新しいパラメータで既存のバインディング エントリが更新されます。

次の例では、スタティック IP 送信元バインディング エントリを追加する方法を示します。

Controller# configure terminal
Controllerconfig) ip source binding 0100.0230.0002 vlan 11 10.0.0.4 interface gigabitethernet1/0/1

ip verify source

インターフェイスで IP ソース ガードをイネーブルにするには、インターフェイス コンフィギュレーション モードで ip verify source コマンドを使用します。 IP ソース ガードをディセーブルにするには、このコマンドの no 形式を使用します。

ip verify source { vlan dhcp-snooping | tracking } [port-security]

no ip verify source { vlan dhcp-snooping | tracking } [port-security]

構文の説明

vlan dhcp-snooping

信頼できないレイヤ 2 DHCP スヌーピング インターフェイスで IP ソース ガードをイネーブルにします。

tracking

ポートでスタティック IP アドレス ラーニングを学習するために IP ポート セキュリティをイネーブルにします。

port-security

(任意)IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにします。

port-security キーワードを入力しない場合、IP アドレス フィルタリングによる IP ソース ガードがイネーブルになります。

コマンド デフォルト

IP 送信元ガードはディセーブルです。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

送信元 IP アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、ip verify source インターフェイス コンフィギュレーション コマンドを使用します。

送信元 IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、ip verify source port-security インターフェイス コンフィギュレーション コマンドを使用します。

送信元 IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、インターフェイスのポート セキュリティをイネーブルにする必要があります。

次の例では、インターフェイスの送信元 IP アドレス フィルタリングによる IP ソース ガードをイネーブルにする方法を示します。

Controller# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)# ip dhcp snooping
Controller(config)# ip dhcp snooping vlan 10 20
Controller(config)# interface gigabitethernet1/0/1
Controller(config-if)# switchport trunk encapsulation dot1q
Controller(config-if)# switchport mode trunk
Controller(config-if)# switchport trunk native vlan 10
Controller(config-if)# switchport trunk allowed vlan 11-20
Controller(config-if)# no ip dhcp snooping trust
Controller(config-if)# ip verify source vlan dhcp-snooping
Controller(config)# end
Controller# show ip verify source interface fastethernet0/1
Interface  Filter-type  Filter-mode  IP-address       Mac-address        Vlan
---------  -----------  -----------  ---------------  -----------------  ----------
Gi1/0/1      ip-mac       active       10.0.0.1                            10  
Gi1/0/1      ip-mac       active       deny-all                            11-20  
Controller#

次の例では、レイヤ 2 アクセス ポートで IP-MAC フィルタを使用して IP ポート セキュリティをイネーブルにする方法を示します。

Controller# configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)# ip device tracking
Controller(config)# interface gigabitethernet1/0/3
Controller(config-if)# switchport mode access 
Controller(config-if)# switchport access vlan 1
Controller(config-if)# ip device tracking maximum 5
Controller(config-if)# switchport port-security 
Controller(config-if)# switchport port-security maximum 5
Controller(config-if)# ip verify source tracking port-security 
Controller(config-if)# end

設定を確認するには、show ip verify source 特権 EXEC コマンドを入力します。

ipv6 snooping policy

IPv6 スヌーピング ポリシーを設定して IPv6 スヌーピング コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで ipv6 snooping policy コマンドを使用します。 IPv6 スヌーピング ポリシーを削除するには、このコマンドの no 形式を使用します。

ipv6 snooping policy snooping-policy

no ipv6 snooping policy snooping-policy

構文の説明

snooping-policy

スヌーピング ポリシーのユーザ定義名。 ポリシー名には、象徴的な文字列(Engineering など)または整数(0 など)を使用できます。

コマンド デフォルト

IPv6 スヌーピング ポリシーは設定されていません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

IPv6 スヌーピング ポリシーを作成するには、ipv6 snooping policy コマンドを使用します。 ipv6 snooping policy コマンドをイネーブルにすると、コンフィギュレーション モードが IPv6 スヌーピング コンフィギュレーション モードに変わります。 このモードでは、管理者は、次の IPv6 ファーストホップ セキュリティ コマンドを設定できます。
  • device-role コマンドは、ポートに接続されているデバイスのロールを指定します。
  • limit address-count maximum コマンドは、ポートで使用可能な IPv6 アドレスの数を制限します。
  • protocol コマンドは、アドレスが Dynamic Host Configuration Protocol(DHCP)またはネイバー探索プロトコル(NDP)でアドレスを収集する必要があることを指定します。
  • security-level コマンドは、実施されるセキュリティのレベルを指定します。
  • tracking コマンドは、ポートのデフォルトのトラッキング ポリシーを上書きします。
  • trusted-port コマンドは、信頼できるポートにするポートを設定します。つまり、メッセージが受信されると、制限された検証が実行されるか、検証が実行されません。

次の例では、IPv6 スヌーピング ポリシーを設定する方法を示します。

Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# 

limit address-count

ポートで使用可能な IPv6 アドレスの数を制限するには、ネイバー探索プロトコル(NDP)インスペクション ポリシー コンフィギュレーション モードまたは IPv6 スヌーピング コンフィギュレーション モードで limit address-count コマンドを使用します。 デフォルトに戻るには、no 形式のコマンドを使用します。

limit address-count maximum

no limit address-count

構文の説明

maximum

ポートで許可されたアドレスの数。 範囲は 1 ~ 10000 です。

コマンド デフォルト

デフォルト設定は無制限です。

コマンド モード

ND インスペクション ポリシー設定(config-nd-inspection)

IPv6 スヌーピング設定(ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

limit address-count コマンドは、ポリシーが適用されるポートで使用可能な IPv6 アドレスの数を制限します。 ポート上の IPv6 アドレスの数を制限すると、バインディング テーブル サイズの制限に役立ちます。 範囲は 1 ~ 10000 です。

次の例では、NDP ポリシー名を policy1 として定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートで許可される IPv6 アドレスの数を 25 に制限する方法を示します。

Controller(config)# ipv6 nd inspection policy policy1
Controller(config-nd-inspection)# limit address-count 25

次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートで許可される IPv6 アドレスの数を 25 に制限する方法を示します。

Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# limit address-count 25

mab request format attribute 32

スイッチで VLAN ID ベースの MAC 認証をイネーブルにするには、mab request format attribute 32 vlan access-vlan グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mab request format attribute 32 vlan access-vlan

no mab request format attribute 32 vlan access-vlan

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

VLAN-ID ベースの MAC 認証はディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

RADIUS サーバがホスト MAC アドレスと VLAN に基づいて新しいユーザを認証できるようにするには、このコマンドを使用します。

Microsoft IAS RADIUS サーバを使用したネットワークでこの機能を使用します。 Cisco ACS はこのコマンドを無視します。

次の例では、スイッチで VLAN-ID ベースの MAC 認証をイネーブルにする方法を示します。


Controller(config)# mab request format attribute 32 vlan access-vlan

関連コマンド

コマンド

説明

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

mab

ポートの MAC-based 認証をイネーブルにします。

mab eap

拡張認証プロトコル(EAP)を使用するようポートを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no authentication logging verbose グローバル コンフィギュレーション コマンドを使用します。

no authentication logging verbose

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

すべての詳細情報はシステム メッセージに表示されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドにより、認証システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 エラー メッセージはフィルタリングされません。

verbose 認証システム メッセージをフィルタリングするには、次の手順に従います。


Controller(config)# no authentication logging verbose

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no dot1x logging verbose グローバル コンフィギュレーション コマンドを使用します。

no dot1x logging verbose

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

すべての詳細情報はシステム メッセージに表示されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドにより、802.1x システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 エラー メッセージはフィルタリングされません。

verbose 802.1x システム メッセージをフィルタリングするには、次の手順に従います。


Controller(config)# no dot1x logging verbose

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no mab logging verbose グローバル コンフィギュレーション コマンドを使用します。

no mab logging verbose

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

すべての詳細情報はシステム メッセージに表示されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドにより、MAC 認証バイパス(MAB)システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 エラー メッセージはフィルタリングされません。

verbose MAB システム メッセージをフィルタリングするには、次の手順に従います。


Controller(config)# no mab logging verbose

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)システム メッセージから詳細情報をフィルタリングします。

permit(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックが転送されるのを許可するには、スイッチ スタックまたはスタンドアロン スイッチ上で permit MAC アクセスリスト コンフィギュレーション コマンドを使用します。 許可条件を拡張 MAC アドレス リストから削除するには、このコマンドの no 形式を使用します。

{ permit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]

nopermit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]

構文の説明

any

すべての送信元または宛先 MAC アドレスを拒否します。

host src-MAC-addr | src-MAC-addr mask

ホスト MAC アドレスとオプションのサブネット マスクを指定します。 パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr | dst-MAC-addr mask

宛先 MAC アドレスとオプションのサブネット マスクを指定します。 パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)パケットの Ethertype 番号と、Ethernet II または SNAP カプセル化を指定して、パケットのプロトコルを識別します。

  • type には、0 ~ 65535 の 16 進数を指定できます。
  • mask は、照合を行う前に Ethertype に適用される don’t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を指定します。

amber

(任意)EtherType DEC-Amber を指定します。

appletalk

(任意)EtherType AppleTalk/EtherTalk を指定します。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニングツリーを指定します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを指定します。

diagnostic

(任意)EtherType DEC-Diagnostic を指定します。

dsm

(任意)EtherType DEC-DSM を指定します。

etype-6000

(任意)EtherType 0x6000 を指定します。

etype-8042

(任意)EtherType 0x8042 を指定します。

lat

(任意)EtherType DEC-LAT を指定します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を指定します。

lsap lsap-number mask

(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を指定して、パケットのプロトコルを識別します。

mask は、照合を行う前に LSAP 番号に適用される don’t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を指定します。

mop-dump

(任意)EtherType DEC-MOP Dump を指定します。

msdos

(任意)EtherType DEC-MSDOS を指定します。

mumps

(任意)EtherType DEC-MUMPS を指定します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NETBIOS)を指定します。

vines-echo

(任意)Banyan Systems から EtherType Virtual Integrated Network Service(VINES)Echo を指定します。

vines-ip

(任意)EtherType VINES IP を指定します。

xns-idp

(任意)EtherType Xerox Network Systems(XNS)プロトコル スイートを指定します。

cos cos

(任意)プライオリティを設定するため、0 ~ 7 までの任意の Class of Service(CoS)値を指定します。 CoS に基づくフィルタリングは、ハードウェアでだけ実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。

コマンド デフォルト

このコマンドには、デフォルトはありません。 ただし、名前付き MAC ACL のデフォルト アクションは拒否です。

コマンド モード

MAC アクセス リスト コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

appletalk は、コマンドラインのヘルプ ストリングには表示されますが、一致条件としてはサポートされていません。

MAC アクセス リスト コンフィギュレーション モードを開始するには、mac access-list extended グローバル コンフィギュレーション コマンドを使用します。

host キーワードを使用した場合、アドレス マスクは入力できません。any キーワードまたは host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。

アクセス コントロール エントリ(ACE)が ACL に追加された場合、リストの最後には暗黙の deny-any-any 条件が存在します。 つまり、一致がない場合にはパケットは拒否されます。 ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、type mask または lsap lsap mask キーワードを使用します。 次の表に、Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を一覧表示します。

表 3 IPX フィルタ基準

IPX カプセル化タイプ

フィルタ基準

Cisco IOS 名

Novell 名

arpa

Ethernet II

Ethertype 0x8137

snap

Ethernet-snap

Ethertype 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

次の例では、あらゆる送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを許可する名前付き MAC 拡張アクセス リストを定義する方法を示します。 このリストに一致するトラフィックは許可されます。


Controller(config-ext-macl)# permit any host 00c0.00a0.03fa netbios

次の例では、名前付き MAC 拡張アクセス リストから許可条件を削除する方法を示します。


Controller(config-ext-macl)# no permit any 00c0.00a0.03fa 0000.0000.0000 netbios

次の例では、Ethertype 0x4321 のすべてのパケットを許可します。


Controller(config-ext-macl)# permit any any 0x4321 0

設定を確認するには、show access-lists 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

deny

MAC アクセス リスト コンフィギュレーションから拒否します。 条件が一致した場合に非 IP トラフィックが転送されるのを拒否します。

mac access-list extended

非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。

show access-lists

スイッチに設定されたアクセス コントロール リストを表示します。

protocol(IPv6 スヌーピング)

Dynamic Host Configuration Protocol(DHCP)またはネイバー探索プロトコル(NDP)でアドレスを収集する必要があることを指定する、またはプロトコルを IPv6 プレフィックス リストに関連付けるには、protocol コマンドを使用します。 DHCP または NDP で収集したアドレスをディセーブルにするには、このコマンドの no 形式を使用します。

protocol { dhcp | ndp }

protocol { dhcp | ndp }

構文の説明

dhcp

Dynamic Host Configuration Protocol(DHCP)パケットでアドレスを収集する必要があることを指定します。

ndp

ネイバー探索プロトコル(NDP)パケットでアドレスを収集する必要があることを指定します。

コマンド デフォルト

スヌーピングと回復は、DHCP と NDP の両方を使用して試行されます。

コマンド モード

IPv6 スヌーピング コンフィギュレーション モード(config-ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

アドレスが DHCP または NDP に関連付けられたプレフィックス リストに一致しない場合は、制御パケットがドロップされ、バインディング テーブル エントリの回復がそのプロトコルに対して試行されません。

  • no protocol {dhcp | ndp} コマンドの使用は、プロトコルがスヌーピングまたは収集に使用されないことを示します。
  • no protocol dhcp コマンドが使用される場合は、DHCP を引き続きバインディング テーブルの回復に使用できます。
  • 宛先ガードは DHCP を介してのみ回復しますが、データ収集は DHCP と NDP で回復できます。

次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、アドレスを収集するために DHCP を使用するようにポートを設定する方法を示します。

Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# protocol dhcp

security level(IPv6 スヌーピング)

実施されるセキュリティのレベルを指定するには、IPv6 スヌーピング ポリシー コンフィギュレーション モードで security-level コマンドを使用します。

security level { glean | guard | inspect}

構文の説明

glean

メッセージからアドレスを抽出し、検証を実行せずにバインディング テーブルにインストールします。

guard

収集と検査の両方を実行します。 さらに、信頼されたポートで受信されなかった場合、または別のポリシーで許可されない場合、RA および DHCP サーバのメッセージは拒否されます。

inspect

一貫性とコンプライアンスに関するメッセージを検証します。特に、アドレス所有権が対象となります。 無効なメッセージはドロップされます。

コマンド デフォルト

デフォルトのセキュリティ レベルはガードです。

コマンド モード

IPv6 スヌーピング設定(config-ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、セキュリティ レベルを検査として設定する方法を示します。

Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# security-level inspect

security passthru

IPSec パススルーを変更するには、security passthru コマンドを使用します。 ディセーブルにするには、このコマンドの no 形式を使用します。

security passthru ip-address

no security passthru

構文の説明

ip-address

VPN トンネルを終端している IPSec ゲートウェイ(ルータ)の IP アドレス。

コマンド デフォルト

なし。

コマンド モード

wlan

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

なし。

次の例では、IPSec パススルーを変更する方法を示します。

Controller#configre terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#security passthrough 10.1.1.1

show aaa acct-stop-cache

ポイズニングされたセッションのアカウンティング セッション ID を示すには、show aaa acct-stop-cache コマンドを使用します。

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

ポイズニングされたセッションのアカウンティング停止レコードは、スタンバイ スイッチでのみキャッシュされます。

次の例は、show aaa acct-stop-cache コマンドの出力を示しています。

Controller# show aaa acct-stop-cache



show aaa clients

AAA クライアント統計情報を示すには、show aaa clients コマンドを使用します。

show aaa clients [ detailed]

構文の説明

detailed

(任意)詳細な AAA クライアント統計情報を示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例は、show aaa clients コマンドの出力を示しています。

Controller# show aaa clients

Dropped request packets: 0

show aaa command handler

AAA コマンド ハンドラ統計情報を示すには、show aaa command handler コマンドを使用します。

show aaa command handler

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例は、show aaa command handler コマンドの出力を示しています。

Controller# show aaa command handler

AAA Command Handler Statistics:
    account-logon: 0, account-logoff: 0
    account-query: 0, pod: 0
    service-logon: 0, service-logoff: 0
    user-profile-push: 0, session-state-log: 0
    reauthenticate: 0, bounce-host-port: 0
    disable-host-port: 0, update-rbacl: 0
    update-sgt: 0, update-cts-policies: 0
    invalid commands: 0
    async message not sent: 0

show aaa local

AAA ローカル方式オプションを示すには、show aaa local コマンドを使用します。

show aaa local { netuser { name | all } | statistics | user lockout}

構文の説明

netuser

AAA ローカル ネットワークまたはゲスト ユーザ データベースを指定します。

name

ネットワーク ユーザ名。

all

ネットワークおよびゲスト ユーザ情報を指定します。

statistics

ローカル認証の統計情報を表示します。

user lockout

AAA ローカル ロックアウト ユーザを指定します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例は、show aaa local statistics コマンドの出力を示しています。

Controller# show aaa local statistics

Local EAP statistics

EAP Method         Success       Fail
-------------------------------------
Unknown                  0          0
EAP-MD5                  0          0
EAP-GTC                  0          0
LEAP                     0          0
PEAP                     0          0
EAP-TLS                  0          0
EAP-MSCHAPV2             0          0
EAP-FAST                 0          0

Requests received from AAA:                  0
Responses returned from EAP:                 0
Requests dropped (no EAP AVP):               0
Requests dropped (other reasons):            0
Authentication timeouts from EAP:            0

Credential request statistics
Requests sent to backend:                    0
Requests failed (unable to send):            0
Authorization results received

  Success:                                   0
  Fail:                                      0

show aaa servers

AAA サーバ MIB によって認識されるすべての AAA サーバを示すには、show aaa servers コマンドを使用します。

show aaa servers [ private| public| [ detailed] ]

構文の説明

detailed

(任意)AAA サーバ MIB によって認識されるプライベート AAA サーバを表示します。

public

(任意)AAA サーバ MIB によって認識されるパブリック AAA サーバを表示します。

detailed

(任意)詳細 AAA サーバ統計情報を表示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例は、show aaa servers コマンドの出力を示しています。

Controller# show aaa servers
RADIUS: id 1, priority 1, host 172.20.128.2, auth-port 1645, acct-port 1646
State: current UP, duration 9s, previous duration 0s
Dead: total time 0s, count 0
Quarantined: No
Authen: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Author: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Account: request 0, timeouts 0, failover 0, retransmission 0
Request: start 0, interim 0, stop 0
Response: start 0, interim 0, stop 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Elapsed time since counters last cleared: 0m
Estimated Outstanding Access Transactions: 0
Estimated Outstanding Accounting Transactions: 0
Estimated Throttled Access Transactions: 0
Estimated Throttled Accounting Transactions: 0
Maximum Throttled Transactions: access 0, accounting 0

show aaa sessions

AAA セッション MIB によって認識される AAA セッションを示すには、show aaa sessions コマンドを使用します。

show aaa sessions

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例は、show aaa sessions コマンドの出力を示しています。

Controller# show aaa sessions
Total sessions since last reload: 7
Session Id: 4007
   Unique Id: 4025
   User Name: *not available*
   IP Address: 0.0.0.0
   Idle Time: 0
   CT Call Handle: 0

show authentication history

デバイスの認証されたセッション アライブを表示するには、show authentication history コマンドを使用します。

show authentication history [ min-uptime seconds]

構文の説明

min-uptime seconds

(任意)最小アップタイム内でのセッションを表示します。 有効範囲は 1 ~ 4294967295 秒です。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

デバイスの認証されたセッション アライブを表示するには、show authentication history コマンドを使用します。

次の例は、show authentication history コマンドの出力を示しています。

Controller# show authentication history
Interface  MAC Address     Method  Domain  Status  Uptime
Gi3/0/2    0021.d864.07c0  dot1x   DATA    Auth    38s

Session count = 1

show authentication sessions

現在の認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。

show authentication sessions [ database] [ handle handle-id [ details] ] [ interface type number [ details] [ mac mac-address [ interface type number] [ method method-name [ interface type number [ details] [ session-id session-id [ details] ]

構文の説明

database

(任意)セッション データベースに格納されているデータだけを表示します。

handle handle-id

(任意)認証マネージャ情報を表示する特定のハンドルを指定します。

details

(任意)詳細情報を表示します。

interface type number

(任意)認証マネージャ情報を表示する特定のインターフェイス タイプおよび番号を指定します。

mac mac-address

(任意)情報を表示する特定の MAC アドレスを指定します。

method method-name

(任意)認証マネージャ情報を表示する特定の認証方式を指定します。 方式(dot1xmab、または webauth)を指定する場合は、インターフェイスも指定できます。

session-id session-id

(任意)認証マネージャ情報を表示する特定のセッションを指定します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

現在のすべての認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。 特定の認証マネージャ セッションに関する情報を表示するには、1 つ以上のキーワードを使用します。

このテーブルは、報告された認証セッション用の動作状態を示します。

表 4  認証方式のステート

ステート

説明

Not run

このセッションの方式は実行されていません。

Running

このセッションの方式が実行中です。

Failed over

この方式は失敗しました。次の方式が結果を出すことが予期されています。

Success

この方式は、セッションの成功した認証結果を提供しました。

Authc Failed

この方式は、セッションの失敗した認証結果を提供しました。

次の表に、使用できる認証方式を示します。

表 5  認証方式のステート

ステート

説明

dot1x

802.1X

mab

MAC 認証バイパス

webauth

Web 認証

次の例では、スイッチ上のすべての認証セッションを表示する方法を示します。

Controller# show authentication sessions 
Interface    MAC Address     Method   Domain   Status         Session ID
Gi1/0/48     0015.63b0.f676  dot1x    DATA     Authz Success  0A3462B1000000102983C05C
Gi1/0/5      000f.23c4.a401  mab      DATA     Authz Success  0A3462B10000000D24F80B58
Gi1/0/5      0014.bf5d.d26d  dot1x    DATA     Authz Success  0A3462B10000000E29811B94

次の例では、インターフェイスでのすべての認証セッションを表示する方法を示します。

Controller# show authentication sessions interface gigabitethernet2/0/47
            Interface:  GigabitEthernet2/0/47
          MAC Address:  Unknown
           IP Address:  Unknown
               Status:  Authz Success
               Domain:  DATA
       Oper host mode:  multi-host
     Oper control dir:  both
        Authorized By:  Guest Vlan
          Vlan Policy:  20
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0A3462C8000000000002763C
      Acct Session ID:  0x00000002
               Handle:  0x25000000
Runnable methods list:
       Method   State
       mab      Failed over
       dot1x    Failed over
----------------------------------------
            Interface:  GigabitEthernet2/0/47
          MAC Address:  0005.5e7c.da05
           IP Address:  Unknown
            User-Name:  00055e7cda05
               Status:  Authz Success
               Domain:  VOICE
       Oper host mode:  multi-domain
     Oper control dir:  both
        Authorized By:  Authentication Server
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0A3462C8000000010002A238
      Acct Session ID:  0x00000003
               Handle:  0x91000001
Runnable methods list:
       Method   State
       mab      Authc Success
       dot1x    Not run

show cisp

指定されたインターフェイスの CISP 情報を表示するには、show cisp 特権 EXEC コマンドを使用します。

show cisp {[ clients | interface interface-id] | registrations | summary}

構文の説明

clients

(任意)CISP クライアントの詳細を表示します。

interface interface-id

(任意)指定されたインターフェイスの CISP 情報を表示します。 有効なインターフェイスには、物理ポートとポート チャネルが含まれます。

registrations

CISP 登録を表示します。

summary

(任意)CISP サマリーを表示します。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例は、show cisp interface コマンドの出力を示しています。


Controller# show cisp interface fast 0
CISP not enabled on specified interface

次の例は、show cisp registration コマンドの出力を示しています。


Controller# show cisp registrations
Interface(s) with CISP registered user(s):
------------------------------------------
Fa1/0/13
Auth Mgr (Authenticator)
Gi2/0/1
Auth Mgr (Authenticator)
Gi2/0/2
Auth Mgr (Authenticator)
Gi2/0/3
Auth Mgr (Authenticator)
Gi2/0/5
Auth Mgr (Authenticator)
Gi2/0/9
Auth Mgr (Authenticator)
Gi2/0/11
Auth Mgr (Authenticator)
Gi2/0/13
Auth Mgr (Authenticator)
Gi3/0/3
Gi3/0/5
Gi3/0/23

関連コマンド

コマンド

説明

cisp enable

Client Information Signalling Protocol(CISP)をイネーブルにします。

dot1x credentials profile

サプリカント スイッチでプロファイルを設定します。

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示するには、show dot1x ユーザ EXEC コマンドを使用します。

show dot1x [ all [ count | details | statistics | summary] ] [ interface type number [ details | statistics] ] [ statistics]

構文の説明

all

(任意)すべてのインターフェイスの IEEE 802.1x 情報を表示します。

count

(任意)許可されたクライアントと許可されていないクライアントの総数を表示します。

details

(任意)IEEE 802.1x インターフェイスの詳細を表示します。

statistics

(任意)すべてのインターフェイスの IEEE 802.1x 統計情報を表示します。

summary

(任意)すべてのインターフェイスの IEEE 802.1x サマリーを表示します。

interface type number

(任意)指定されたポートの IEEE 802.1x ステータスを表示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例は、show dot1x all コマンドの出力を示しています。

Controller# show dot1x all
Sysauthcontrol              Enabled
Dot1x Protocol Version            3

次の例は、show dot1x all count コマンドの出力を示しています。

Controller# show dot1x all count
Number of Dot1x sessions
-------------------------------
Authorized Clients        = 0
UnAuthorized Clients      = 0
Total No of Client        = 0

次の例は、show dot1x all statistics コマンドの出力を示しています。

Controller# show dot1x statistics
Dot1x Global Statistics for
--------------------------------------------
RxStart = 0     RxLogoff = 0    RxResp = 0      RxRespID = 0
RxReq = 0       RxInvalid = 0   RxLenErr = 0
RxTotal = 0

TxStart = 0     TxLogoff = 0    TxResp = 0
TxReq = 0       ReTxReq = 0     ReTxReqFail = 0
TxReqID = 0     ReTxReqID = 0   ReTxReqIDFail = 0
TxTotal = 0

show eap pac peer

拡張認証プロトコル(EAP)Flexible Authentication via Secure Tunneling(FAST)の保存された Protected Access Credential(PAC)を表示するには、show eap pac peer 特権 EXEC コマンドを使用します。

show eap pac peer

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例は、show eap pac peers 特権 EXEC コマンドの出力を示しています。


Controller> show eap pac peers
No PACs stored

関連コマンド

コマンド

説明

clear eap sessions

スイッチまたは指定されたポートの EAP のセッション情報をクリアします。

show ip dhcp snooping statistics

DHCP スヌーピング統計情報をサマリー形式または詳細形式で表示するには、show ip dhcp snooping statistics ユーザ EXEC コマンドを使用します。

show ip dhcp snooping statistics [ detail ]

構文の説明

detail

(任意)詳細な統計情報を表示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

スイッチ スタックでは、すべての統計情報がスタック マスターで生成されます。 新しいアクティブ スイッチが選出された場合、統計カウンタはリセットされます。

次の例では、show ip dhcp snooping statistics コマンドの出力を示します。

Controller> show ip dhcp snooping statistics

 Packets Forwarded                                     = 0
 Packets Dropped                                       = 0
 Packets Dropped From untrusted ports                  = 0

次の例では、show ip dhcp snooping statistics detail コマンドの出力を示します。

Controller> show ip dhcp snooping statistics detail

 Packets Processed by DHCP Snooping                    = 0
 Packets Dropped Because
   IDB not known                                       = 0
   Queue full                                          = 0
   Interface is in errdisabled                         = 0
   Rate limit exceeded                                 = 0
   Received on untrusted ports                         = 0
   Nonzero giaddr                                      = 0
   Source mac not equal to chaddr                      = 0
   Binding mismatch                                    = 0
   Insertion of opt82 fail                             = 0
   Interface Down                                      = 0
   Unknown output interface                            = 0
   Reply output port equal to input port               = 0
   Packet denied by platform                           = 0

次の表に、DHCP スヌーピング統計情報およびその説明を示します。

表 6 DHCP スヌーピング統計情報

DHCP スヌーピング統計情報

説明

Packets Processed by DHCP Snooping

転送されたパケットおよびドロップされたパケットも含めて、DHCP スヌーピングによって処理されたパケットの合計数。

Packets Dropped Because IDB not known

パケットの入力インターフェイスを判断できないエラーの数。

Queue full

パケットの処理に使用される内部キューが満杯であるエラーの数。 非常に高いレートで DHCP パケットを受信し、入力ポートでレート制限がイネーブルになっていない場合、このエラーが発生することがあります。

Interface is in errdisabled

errdisable としてマークされたポートでパケットを受信した回数。 これが発生する可能性があるのは、ポートが errdisable ステートである場合にパケットが処理キューに入り、そのパケットが後で処理される場合です。

Rate limit exceeded

ポートで設定されているレート制限を超えて、インターフェイスが errdisable ステートになった回数。

Received on untrusted ports

信頼できないポートで DHCP サーバ パケット(OFFER、ACK、NAK、LEASEQUERY のいずれか)を受信してドロップした回数。

Nonzero giaddr

信頼できないポートで受信した DHCP パケットのリレー エージェント アドレス フィールド(giaddr)がゼロ以外だった回数。または no ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを設定しておらず、信頼できないポートで受信したパケットにオプション 82 データが含まれていた回数。

Source mac not equal to chaddr

DHCP パケットのクライアント MAC アドレス フィールド(chaddr)がパケットの送信元 MAC アドレスと一致せず、ip dhcp snooping verify mac-address グローバル コンフィギュレーション コマンドが設定されている回数。

Binding mismatch

MAC アドレスと VLAN のペアのバインディングになっているポートとは異なるポートで、RELEASE パケットまたは DECLINE パケットを受信した回数。 これは、誰かが本来のクライアントをスプーフィングしようとしている可能性があることを示しますが、クライアントがスイッチの別のポートに移動して RELEASE または DECLINE を実行したことを表すこともあります。 MAC アドレスは、イーサネット ヘッダーの送信元 MAC アドレスではなく、DHCP パケットの chaddr フィールドから採用されます。

Insertion of opt82 fail

パケットへのオプション 82 挿入がエラーになった回数。 オプション 82 データを含むパケットがインターネットの単一物理パケットのサイズを超えた場合、挿入はエラーになることがあります。

Interface Down

パケットが DHCP リレー エージェントへの応答であるが、リレー エージェントの SVI インターフェイスがダウンしている回数。 DHCP サーバへのクライアント要求の送信と応答の受信の間で SVI がダウンした場合に発生するエラーですが、めったに発生しません。

Unknown output interface

オプション 82 データまたは MAC アドレス テーブルのルックアップのいずれかで、DHCP 応答パケットの出力インターフェイスを判断できなかった回数。 パケットはドロップされます。 オプション 82 が使用されておらず、クライアント MAC アドレスが期限切れになった場合に発生することがあります。 ポートセキュリティ オプションで IPSG がイネーブルであり、オプション 82 がイネーブルでない場合、クライアントの MAC アドレスは学習されず、応答パケットはドロップされます。

Reply output port equal to input port

DHCP 応答パケットの出力ポートが入力ポートと同じであり、ループの可能性の原因となった回数。 ネットワークの設定の誤り、またはポートの信頼設定の誤用の可能性を示します。

Packet denied by platform

プラットフォーム固有のレジストリによってパケットが拒否された回数。

show radius server-group

RADIUS サーバ グループのプロパティを表示するには、show radius server-group コマンドを使用します。

show radius server-group { name | all}

構文の説明

name

サーバ グループの名前。 サーバ グループの名前の指定に使用する文字列は、aaa group server radius コマンドを使用して定義する必要があります。

all

すべてのサーバ グループのプロパティを表示します。

コマンド モード

ユーザ EXEC

特権 EXEC

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

aaa group server radius コマンドを使用して定義したサーバ グループを表示するには、show radius server-group コマンドを使用します。

次の例は、show radius server-group all コマンドの出力を示しています。

Controller# show radius server-group all
Server group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1

次の表で、この出力に表示される重要なフィールドを説明します。

表 7  show radius server-group コマンドのフィールドの説明

フィールド

説明

Server group

サーバ グループの名前。

Sharecount

このサーバ グループを共有している方式リストの数。 たとえば、1 つの方式リストが特定のサーバ グループを使用する場合、sharecount は 1 になります。 2 つの方式リストが同じサーバ グループを使用する場合、sharecount は 2 になります。

sg_unconfigured

サーバ グループが未設定です。

Type

タイプは、標準または非標準のいずれかです。 タイプは、グループ内のサーバが非標準属性を受け入れるかどうかを示します。 グループ内のすべてのサーバが非標準オプションで設定されている場合、タイプは「非標準」として表示されます。

Memlocks

メモリ内にあるサーバ グループ構造の内部参照の数。 この数は、このサーバ グループへの参照を保持している内部データ構造パケットまたはトランザクションの数を表します。 Memlocks は、ストレージ管理のために内部的に使用されます。

switchport port-security aging static

設定されたセキュア アドレスのポート セキュリティ エージングをイネーブルにするには、インターフェイス コンフィギュレーション モードで switchport port-security aging static コマンドを使用します。 エージングをディセーブルにするには、このコマンドの no 形式を使用します。

switchport port-security aging static

no switchport port-security aging static

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

ディセーブル

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

次の例は、設定されたセキュア アドレスのポート セキュリティ エージングをイネーブルにする方法を示しています。

Controller(config-if)# switchport port-security aging static

tracking(IPv6 スヌーピング)

ポートでデフォルトのトラッキング ポリシーを上書きするには、IPv6 スヌーピング ポリシー コンフィギュレーション モードで tracking コマンドを使用します。

tracking { enable [ reachable-lifetime { value | infinite}] | disable [ stale-lifetime { value | infinite}

構文の説明

enable

トラッキングをイネーブルにします。

reachable-lifetime

(任意)到達可能なエントリが到達可能という証明なしで直接的または間接的に到達可能であると判断される最大時間を指定します。

  • reachable-lifetime キーワードは、enable キーワードでのみ使用可能です。
  • reachable-lifetime キーワードを使用すると、ipv6 neighbor binding reachable-lifetime コマンドによって設定されたグローバル到達可能ライフタイムが上書きされます。
value

ライフタイム値(秒単位)。 指定できる範囲は 1 ~ 86400 で、デフォルトは 300 です。

infinite

エントリを永久に到達可能または stale 状態で維持します。

disable

トラッキングをディセーブルにします。

stale-lifetime

(任意)時間エントリを stale 状態で維持します。これにより、グローバル stale-lifetime 設定が上書きされます。

  • stale ライフタイムは 86,400 秒です。
  • stale-lifetime キーワードは、disable キーワードでのみ使用可能です。
  • stale-lifetime キーワードを使用すると、ipv6 neighbor binding stale-lifetime コマンドによって設定されたグローバル stale ライフタイムが上書きされます。

コマンド デフォルト

時間エントリは、到達可能な状態で維持されます。

コマンド モード

IPv6 スヌーピング設定(config-ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

tracking コマンドにより、このポリシーが適用されるポートの ipv6 neighbor tracking コマンドで設定されたデフォルトのトラッキング ポリシーが上書きされます。 この機能は、たとえば、エントリを追跡しないが、エントリが盗まれないようにするためにエントリをバインディング テーブルで保持する場合に、信頼できるポートで役立ちます。

reachable-lifetime キーワードは、エントリが到達可能という証明なしで、追跡によって直接的または IPv6 スヌーピングによって間接的に到達可能であると見なされる最大時間です。 reachable-lifetime 値に到達すると、エントリは stale に移行します。 トラッキング コマンドで reachable-lifetime キーワードを使用すると、ipv6 neighbor binding reachable-lifetime コマンドによって設定されたグローバル到達可能ライフタイムが上書きされます。

stale-lifetime キーワードは、エントリが直接的または間接的に削除されるまでテーブルで維持される最大時間、または到達可能であることが証明される最大時間です。 tracking コマンドで reachable-lifetime キーワードを使用すると、ipv6 neighbor binding stale-lifetime コマンドによって設定されたグローバル stale ライフタイムが上書きされます。

次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、エントリがバインディング テーブルで永久に維持されるように信頼できるポートで設定する方法を示します。

Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# tracking disable stale-lifetime infinite

trusted-port

信頼できるポートにするポートを設定するには、IPv6 スヌーピング ポリシー モードまたは ND インスペクション ポリシー コンフィギュレーション モードで trusted-port コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。

trusted-port

no trusted-port

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

信頼できるポートはありません。

コマンド モード

ND インスペクション ポリシー設定(config-nd-inspection)

IPv6 スヌーピング設定(config-ipv6-snooping)

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

trusted-port コマンドをイネーブルにすると、このポリシーを持つポートでメッセージを受信した場合に、制限された検証が実行されるか、検証が実行されません。 ただし、アドレス スプーフィングから保護するため、搬送するバインディング情報を使用してバインディング テーブルを維持できるようにメッセージが分析されます。 これらのポートで検出されたバインディングは、信頼できるように設定されていないポートから受信したバインディングよりも信頼できると見なされます。

次の例では、NDP ポリシー名を policy1 として定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートを信頼できるように設定する方法を示します。

Controller(config)# ipv6  nd inspection  policy1
Controller(config-nd-inspection)# trusted-port

次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートを信頼できるように設定する方法を示します。

Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# trusted-port

wireless dot11-padding

無線フレーム パディングをイネーブルにするには、wireless dot11-padding コマンドを使用します。 ディセーブルにするには、このコマンドの no 形式を使用します。

wireless dot11-padding

no wireless dot11-padding

コマンド デフォルト

ディセーブル

コマンド モード

config

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

なし。

次の例では、無線フレーム パディングをイネーブルにする方法を示します。

Controller#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#wireless dot11-padding

wireless security dot1x

IEEE 802.1x グローバル コンフィギュレーションを設定するには、wireless security dot1x コマンドを使用します。

wireless security dot1x [ eapol-key { retries retries | timeout milliseconds } | group-key interval sec | identity-request { retries retries | timeout seconds } | radius [call-station-id] { ap-macaddress | ap-macaddress-ssid | ipaddress | macaddress } | request { retries retries | timeout seconds } | wep key { index 0 | index 3 } ]

構文の説明

eapol-key

eapol-key に関連するパラメータを設定します。

retries retries

(任意)コントローラが無線クライアントに EAPOL(WPA)キー メッセージを再送信する最大回数(0~4)を指定します。

デフォルト値は 2 です。

timeout milliseconds

(任意)EAP または WPA/WPA-2 PSK を使用して無線クライアントに EAPOL(WPA)キー メッセージを再送信するまでにコントローラが待機する時間(200 ~ 5000 ミリ秒)を指定します。

デフォルト値は 1000 ミリ秒です。

group-key interval sec

EAP ブロードキャスト キーの更新間隔を秒単位で設定します(120 ~ 86400 秒)。

identity-request

EAP ID 要求に関連するパラメータを設定します。

retries retries

(任意)コントローラが EAP ID を要求する回数(0 ~ 4)の最大数を指定します。

デフォルト値は 2 です。

timeout seconds

(任意)無線クライアントに EAP ID 要求メッセージを再送信するまでにコントローラが待機する時間(1 ~ 120 秒)を指定します。

デフォルト値は 30 秒です。

radius

RADIUS メッセージを設定します。

call-station-id

(任意)RADIUS メッセージで送信される呼出端末 ID を設定します。

ap-macaddress

呼出端末 ID タイプを AP の MAC アドレスに設定します。

ap-macaddress-ssid

呼出端末 ID タイプを「AP MAC address':'SSID」に設定します。

ipaddress

システムの IP アドレスに呼出端末 ID タイプを設定します。

macaddress

呼出端末 ID タイプをシステムの MAC アドレスに設定します。

request

EAP 要求に関連するパラメータを設定します。

retries retries

(任意)ID 要求以外の EAP メッセージまたは EAPOL(WPA)キー メッセージの場合、コントローラが無線クライアントにメッセージを再送信する最大回数(0 ~ 20)を指定します。

デフォルト値は 2 です。

timeout seconds

(任意)ID 要求以外の EAP メッセージまたは EAPOL(WPA)キー メッセージの場合、無線クライアントにメッセージを再送信するまでにコントローラが待機する時間(1 ~ 120 秒)を指定します。

デフォルト値は 30 秒です。

wep key

802.1x WEP に関連するパラメータを設定します。

index 0

WEP キー インデックス値を 0 として指定します

index 3

WEP キー インデックス値を 3 として指定します

コマンド デフォルト

eapol-key-timeout のデフォルト値:1 秒。

eapol-key-retries のデフォルト値:2 秒。

コマンド モード

config

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

なし。

この例では、wireless security dot1x 下のすべてのコマンドを示します。

Controller#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#wireless security dot1x ?
  eapol-key         Configure eapol-key related parameters
  group-key         Configures EAP-broadcast key renew interval time in seconds
  identity-request  Configure EAP ID request related parameters
  radius            Configure radius messages
  request           Configure EAP request related parameters
  wep               Configure 802.1x WEP related paramters
  <cr>

wireless security lsc

ローカルで有効な証明書を設定するには、wireless security lsc コマンドを使用します。

wireless security lsc { ap-provision [ auth-list mac-addr | revert number ] | other-params key-size | subject-params country state city orgn dept email | trustpoint trustpoint }

構文の説明

ap-provision

アクセス ポイント プロビジョン リストの設定を指定します。

auth-list mac-addr

プロビジョニング リスト許可の設定を指定します。

revert number

デフォルトの証明書に戻る前にアクセス ポイントが LSC を使用してコントローラに接続しようとする回数を指定します。 最大試行回数は 255 以下にする必要があります。

other-params key-size

デバイス証明書キー サイズの設定を指定します。

subject-params country state city orgn dept email

デバイス証明書の設定を指定します。 認証局の国、州、市、組織、部門、および電子メール。

trustpoint trustpoint

LSC トラストポイントを指定します。

コマンド デフォルト

なし

コマンド モード

config

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

1 つの CA サーバだけを設定できます。 異なる CA サーバを設定するには、config certificate lsc ca-server delete コマンドを使用して設定された CA サーバを削除し、異なる CA サーバを設定します。

アクセス ポイント プロビジョニング リストを設定する場合は、AP プロビジョニングを有効にしたときに(手順 8)プロビジョニング リストのアクセス ポイントだけがプロビジョニングされます。 アクセス ポイントプロビジョニング リストを設定しない場合は、MIC または SSC 証明書を持つ、コントローラに接続するすべてのアクセス ポイントが LSC プロビジョニングされます。

次に、例を示します。

Controller#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#wireless security lsc ?
  ap-provision    Provisioning the AP's with LSC's
  other-params    Configure Other Parameters for Device Certs
  subject-params  Configure the Subject Parameters for Device Certs
  trustpoint      Configure LSC Trustpoint
  <cr>

wireless security strong-password

強力なパスワードの施行オプションを設定するには、wireless security strong-password コマンドを使用します。 強力なパスワードをディセーブルにするには、このコマンドの no 形式を使用します。

wireless security strong-password

no wireless security strong-password

コマンド デフォルト

なし。

コマンド モード

config

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

なし。

次の例では、ワイヤレス セキュリティに強力なパスワードを設定する方法を示します。

Controller#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#wireless security strong-password

wireless wps ap-authentication

アクセス ポイントのネイバー認証を設定するには、wireless wps ap-authentication コマンドを使用します。 アクセス ポイントのネイバー認証を削除するには、このコマンドの no 形式を使用します。

wireless wps ap-authentication [ threshold value ]

no wireless wps ap-authentication [threshold]

構文の説明

threshold value

WMM 対応クライアントがワイヤレス LAN 上に存在することを指定します。 しきい値(1 ~ 255)。

コマンド デフォルト

なし。

コマンド モード

config

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

なし。

次の例では、WMM 対応クライアントのしきい値を設定する方法を示します。

Controller#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#wireless wps ap-authentication threshold 65

wireless wps auto-immune

サービス拒否(DoS)攻撃からの保護をイネーブルにするには、wireless wps auto-immune コマンドを使用します。 ディセーブルにするには、このコマンドの no 形式を使用します。

wireless wps auto-immune

no wireless wps auto-immune

コマンド デフォルト

ディセーブル

コマンド モード

config

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

潜在的な攻撃者は特別に作成したパケットを使用し、正規のクライアントを攻撃者として処理するように侵入検知システム(IDS)を誘導する場合があります。 それによって、コントローラはこの正規のクライアントの接続を解除し、DoS 攻撃が開始されます。 自己免疫機能は、有効な場合にこのような攻撃を防ぐように設計されています。 ただし、自己免疫機能を有効にすると、Cisco 792x フォンを使用した会話が断続的に中断されることがあります。 792x フォンを使用しているときに頻繁に中断されるようであれば、この機能を無効にしてください。

次に、例を示します。

Controller#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#wireless wps auto-immune

wireless wps cids-sensor

Wireless Protection System(WPS)の侵入検知システム(IDS)センサーを設定するには、wireless wps cids-sensor コマンドを使用します。 Wireless Protection System(WPS)の侵入検知システム(IDS)センサーを削除するには、このコマンドの no 形式を使用します。

wireless wps cids-sensor index [ ip-address ip-addr username username password password_type password ]

no wireless wps cids-sensor index

構文の説明

index

IDS センサーの内部インデックスを指定します。

ip-address ip-addr username username password password_type password

IDS センサーの IP アドレス、IDS センサーのユーザ名、パスワード タイプ、および IDS センサーのパスワードを指定します。

コマンド デフォルト

ディセーブル

コマンド モード

config

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

なし

次の例では、IDS インデックス、IDS センサーの IP アドレス、IDS ユーザ名、および IDS パスワードで侵入検知システムを設定する方法を示します。

Controller#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#wireless wps cids-sensor 1 10.0.0.51 Sensor_user0doc1 passowrd01

wireless wps client-exclusion

クライアント除外ポリシーを設定するには、wireless wps client-exclusion コマンドを使用します。 クライアント除外ポリシーを削除するには、このコマンドの no 形式を使用します。

wireless wps client-exclusion { all | dot11-assoc | dot11-auth | dot1x-auth | ip-theft | web-auth }

no wireless wps client-exclusion { all | dot11-assoc | dot11-auth | dot1x-auth | ip-theft | web-auth }

構文の説明

dot11-assoc

802.11 アソシエーションに連続 5 回失敗すると、コントローラがクライアントを 6 回目の試行から除外することを指定します。

dot11-auth

802.11 認証に連続 5 回失敗すると、コントローラがクライアントを 6 回目の試行から除外することを指定します。

dot1x-auth

802.11X 認証に連続 5 回失敗すると、コントローラがクライアントを 6 回目の試行から除外することを指定します。

ip-theft

IP アドレスがすでに別のデバイスに割り当てられている場合、コントローラがクライアントを除外することを指定します。

web-auth

Web 認証に連続 3 回失敗すると、コントローラがクライアントを 4 回目の試行から除外することを指定します。

all

コントローラが上記のすべての理由でクライアントを除外することを指定します。

コマンド デフォルト

イネーブル

コマンド モード

config

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

なし。

次の例では、5 回連続で失敗した場合に、クライアントに対する 802.11 アソシエーションの試行をディセーブルにする方法を示します。

Controller#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#wireless wps client-exclusion dot11-assoc

wireless wps mfp infrastructure

管理フレーム保護(MFP)を設定するには、wireless wps mfp infrastructure コマンドを使用します。 管理フレーム保護(MFP)を削除するには、このコマンドの no 形式を使用します。

wireless wps mfp infrastructure

no wireless wps mfp infrastructure

コマンド デフォルト

なし。

コマンド モード

config

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

なし。

次の例では、インフラストラクチャ MFP をイネーブルにする方法を示します。

Controller#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#wireless wps mfp infrastructure

wireless wps rogue

さまざまな不正なパラメータを設定するには、wireless wps rogue コマンドを使用します。

wireless wps rogue { adhoc | client } [ alert mac-addr | contain mac-addr no-of-aps ]

構文の説明

adhoc

独立型基本サービス セット(IBSS またはアドホック)の不正なアクセス ポイントのステータスを設定します。

client

不正なクライアントを設定します。

alert mac-addr

アドホックの不正なアクセス ポイントを検出すると SMNP トラップを生成し、システム管理者に即座にアラートを発信し、アドホックの不正なアクセス ポイントの MAC アドレスに対する必要な措置を促します。

contain mac-addr no-of-aps

加害デバイスを阻止し、その信号が正規クライアントを阻害しないようにします。

アドホックの不正なアクセス ポイントをアクティブに阻止するために割り当てられた、シスコのアクセス ポイントの最大数(1 ~ 4)。

コマンド デフォルト

なし。

コマンド モード

任意のコマンド モード

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

なし。

次の例では、システム管理者に即座にアラートを発信し、アドホックの不正なアクセス ポイントの MAC アドレスに対する必要な措置を促す方法を示します。

Controller#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#wireless wps rouge adhoc alert mac_addr

wireless wps shun-list re-sync

回避リストのコントローラをモビリティ グループ内の他のコントローラと同期させるには、wireless wps shun-list re-sync コマンドを使用します。

wireless wps shun-list re-sync

コマンド デフォルト

なし。

コマンド モード

任意のコマンド モード

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

なし。

次の例では、コントローラが回避リストの他のコントローラと同期するように設定する方法を示します。

Controller#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Controller(config)#wireless wps shun-list re-sync