Catalyst 2960 および 2960-S スイッチ Cisco IOS コマンド
aaa accounting dot1x
Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)アカウンティングをイネーブルにし、回線単位またはインターフェイス単位で IEEE 802.1x セッションに対して特定のアカウンティング方式を定義する方式リストを作成するには、 aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにする場合は、このコマンドの no 形式を使用します。
aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ }...]}
no aaa accounting dot1x { name | default }
シンタックスの説明
name |
サーバ グループ名。これは、 broadcast group および group キーワードのあとに入力する場合のオプションです。 |
default |
アカウンティング サービスのデフォルトのリストとしてあとに続くアカウンティング方式を使用します。 |
start-stop |
プロセスの最初にアカウンティング開始通知を送信し、プロセスの終了時にアカウンティング終了通知を送信します。アカウンティング開始レコードは、バックグラウンドで送信されます。アカウンティング開始通知がアカウンティング サーバで受信されたかどうかにかかわらず、要求されたユーザ プロセスが開始されます。 |
broadcast |
複数の AAA サーバへのアカウンティング レコードの送信をイネーブルにし、各グループの最初のサーバにアカウンティング レコードを送信します。最初のサーバが使用不可の場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。 |
group |
アカウンティング サービスに使用するサーバ グループを指定します。有効なサーバ グループ名は次のとおりです。 • name :サーバ グループ名 • radius :全 RADIUS ホストのリスト • tacacs+ :全 TACACS+ ホストのリスト group キーワードは、 broadcast group および group キーワードのあとに入力する場合のオプションです。複数のオプション group キーワードを入力できます。 |
radius |
(任意)RADIUS 認証をイネーブルにします。 |
tacacs+ |
(任意)TACACS+ アカウンティングをイネーブルにします。 |
デフォルト
AAA アカウンティングはディセーブルです。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドには、RADIUS サーバへのアクセスが必要です。
インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。
例
次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。
Switch(config)# aaa new-model
Switch(config)# aaa accounting dot1x default start-stop group radius
(注) RADIUS 認証サーバは、AAA クライアントからの更新またはウォッチドッグ パケットを受け入れてロギングするように、適切に設定されている必要があります。
関連コマンド
|
|
aaa authentication dot1x |
IEEE 802.1x が動作しているインターフェイスで使用する 1 つまたは複数の AAA を指定します。 |
aaa new-model |
AAA アクセス制御モデルをイネーブルにします。構文情報については、「Cisco IOS Security Command Reference, Release 12.2」>「Authentication, Authorization, and Accounting」>「Authentication Commands」を参照してください。 |
dot1x reauthentication |
定期的な再認証をイネーブルまたはディセーブルにします。 |
dot1x timeout reauth-period |
再認証の間隔(秒)を指定します。 |
aaa authentication dot1x
IEEE 802.1x 認証に準拠するポートで使用する認証、認可、アカウンティング(AAA)方式を指定するには、 aaa authentication dot1x グローバル コンフィギュレーション コマンドを使用します。認証をディセーブルにする場合は、このコマンドの no 形式を使用します。
aaa authentication dot1x { default } method1
no aaa authentication dot1x { default }
シンタックスの説明
default |
この引数に続ける認証方式をログイン時のデフォルトの方式として使用します。 |
method1 |
認証用にすべての RADIUS サーバのリストを使用するには、 group radius キーワードを入力します。 |
(注) 他のキーワードがコマンドラインのヘルプ ストリングに表示されますが、サポートされているのは default および group radius キーワードだけです。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために一定の順序で試みる方式を指定します。実際に IEEE 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。
group radius を指定した場合、 radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。
設定された認証方式のリストを表示する場合は、 show running-config 特権 EXEC コマンドを使用します。
例
次の例では、AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試行します。この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。
関連コマンド
|
|
aaa new-model |
AAA アクセス制御モデルをイネーブルにします。構文情報については、「Cisco IOS Security Command Reference, Release 12.2」>「Authentication, Authorization, and Accounting」>「Authentication Commands」を参照してください。 |
show running-config |
現在の動作設定を表示します。構文情報については、「Cisco IOS Configuration Fundamentals Command Reference, Release 12.2」>「File Management Commands」>「Configuration File Management Commands」を選択してください。 |
aaa authorization network
IEEE 802.1x Virtual LAN(VLAN; 仮想 LAN)割り当てなどのすべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を使用するようにスイッチを設定するには、 aaa authorization network グローバル コンフィギュレーション コマンドを使用します。RADIUS ユーザ認証をディセーブルにする場合は、このコマンドの no 形式を使用します。
aaa authorization network default group radius
no aaa authorization network default
シンタックスの説明
default group radius |
デフォルトの認証リストとして、サーバ グループ内のすべての RADIUS ホストのリストを使用します。 |
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
スイッチが、デフォルトの認証リスト内にある RADIUS サーバから IEEE 802.1x 認証パラメータをダウンロードできるようにするには、aaa authorization network default group radius グローバル コンフィギュレーション コマンドを使用します。認証パラメータは、VLAN 割り当てなど、RADIUS サーバからパラメータを取得する機能で使用されます。
設定された認証方式リストを表示する場合は、 show running-config 特権 EXEC コマンドを使用します。
例
この例では、すべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を行うようスイッチを設定する方法を示します。
Switch(config)# aaa authorization network default group radius
設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show running-config |
現在の動作設定を表示します。構文情報については、「Cisco IOS Configuration Fundamentals Command Reference, Release 12.2」>「File Management Commands」>「Configuration File Management Commands」を選択してください。 |
archive copy-sw
特定のスタック メンバー上のフラッシュ メモリから実行イメージを、別の 1 つまたは複数のメンバー上にあるフラッシュ メモリにコピーするには、スタック マスター上で archive copy-sw 特権 EXEC コマンドを使用します。
archive copy-sw [ /destination-system destination-stack-member-number ] [ /force-reload ] [ leave-old-sw ] [ /no-set-boot ] [ /overwrite ] [ /reload ] [ /safe ] source-stack-member-number
(注) このコマンドは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。
シンタックスの説明
/destination-system destination-stack- member-number |
(任意)実行イメージのコピー先のメンバー番号。指定できる範囲は 1 ~ 4 です。 |
/force-reload |
(任意)ソフトウェア イメージのダウンロードが成功したあと、無条件にシステムのリロードを強制します。 |
/leave-old-sw |
(任意)ダウンロードが成功したあと、古いソフトウェア バージョンを保存します。 |
/no-set-boot |
(任意)新しいソフトウェア イメージのダウンロードが成功したあと、BOOT 環境変数の設定は新しいソフトウェア イメージを示すように変更されません。 |
/overwrite |
(任意)ダウンロードされたソフトウェア イメージで、フラッシュ メモリのソフトウェア イメージを上書きします。 |
/reload |
(任意)変更された設定が保存されていない場合を除き、イメージをダウンロードしたあとでシステムをリロードします。 |
/safe |
(任意)現在のソフトウェア イメージを保存します。新しいイメージがダウンロードされるまでは、新しいソフトウェア イメージ用の領域を作る目的で現在のソフトウェア イメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。 |
source-stack-member- number |
実行イメージのコピー元のメンバー番号。指定できる範囲は 1 ~ 4 です。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(53)SE1 |
このコマンドが追加されました。 |
使用上のガイドライン
現行のソフトウェア イメージは、コピーされたイメージで上書きされません。
ソフトウェア イメージと HTML ファイルの両方がコピーされます。
新しいイメージは flash: ファイル システムにコピーされます。
BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを指定するよう変更されます。
イメージ名では大文字と小文字が区別されます。イメージ ファイルは tar 形式で提供されます。
(注) archive copy-sw 特権 EXEC コマンドを正常に使用するには、追加されるメンバー スイッチおよびマスターの両方のイメージを Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバからダウンロードしておく必要があります。ダウンロードを実行するには、archive download-sw 特権 EXEC コマンドを使用します。
互換性のないソフトウェアが搭載されたスイッチにコピーされるイメージは、少なくとも 1 つのメンバーで実行している必要があります。
/destination -system destination-stack-member-number のコマンド オプションを繰り返すことで、イメージのコピー先に複数のメンバーを指定し、各メンバーをアップグレードできます。 destination-stack-member-number を指定しない場合、デフォルト設定で、実行中のイメージ ファイルがすべてのメンバーにコピーされます。
/safe または /leave-old-sw オプションを使用した場合に、十分なフラッシュ メモリがないと、新しいイメージのコピーに失敗する場合があります。ソフトウェアを残すことによってフラッシュ メモリの空き容量が不足し、新しいイメージが入りきらなかった場合にエラーが発生します。
/leave-old-sw オプションを使用したために、新しいイメージをコピーしても古いイメージを上書きしなかった場合、 delete 特権 EXEC コマンドを使用して古いイメージを削除できます。詳細については、「delete」を参照してください。
フラッシュ デバイスのイメージを、コピーされたイメージで上書きする場合は、 /overwrite オプションを使用します。
/overwrite オプション なし でこのコマンドを指定する場合、新しいイメージが、スイッチ フラッシュ デバイスのイメージまたはメンバーで実行中のものと同じではないことが、アルゴリズムによって確認されます。イメージが同じである場合には、コピーは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがコピーされます。
新しいイメージをコピーしたあとで、 reload 特権 EXEC コマンドを入力して新しいイメージの使用を開始するか、 archive copy-sw コマンドで /reload または /force-reload オプションを指定してください。
source-stack-member-number オプションを使用する場合、次のオプションを 1 つ以上入力できます。
• /destination-system destination-stack-member-number
• / force-reload
• / leave-old-sw
• / no-set-boot
• / overwrite
• / reload
• /safe
これらのオプションの前に source-stack-member-number オプションを入力する場合、 archive copy-sw source-stack-member-number コマンドしか入力できません。
次の例では、 archive copy-sw コマンドを入力する方法を示します。
• 実行イメージをメンバーから別のメンバーにコピーして、2 つめのメンバーのフラッシュ メモリのソフトウェア イメージ(すでに存在する場合)をコピーしたイメージで上書きするには、 archive copy-sw/destination destination-stack-member-number /overwrite source-stack-member-number コマンドを入力します。
• 実行イメージをメンバーから別のメンバーにコピーして、現在のソフトウェア イメージを維持しながらイメージのコピー後にシステムをリロードするには、 archive copy-sw/destination destination-stack-member-number /safe/reload source-stack-member-number コマンドを入力します。
例
次の例では、メンバー 6 から実行イメージをメンバー 8 にコピーする方法を示します。
Switch# archive copy-sw /destination-system 8 6
次の例では、メンバー 6 から実行イメージを他のすべてのメンバーにコピーする方法を示します。
Switch# archive copy-sw 6
次の例では、メンバー 5 から実行イメージをメンバー 7 にコピーする方法を示します。2 つめのメンバーのフラッシュ メモリにイメージがすでに存在する場合は、コピーされたイメージで上書きされます。イメージがコピーされたあと、システムはリロードされます。
Switch# archive copy-sw /destination-system 7 /overwrite /force-reload 5
関連コマンド
|
|
archive download-sw |
TFTP サーバからスイッチに新しいイメージをダウンロードします。 |
archive tar |
tar ファイルの作成、tar ファイル内のファイルを一覧表示、tar ファイルからのファイル抽出を行います。 |
archive upload-sw |
スイッチの既存のイメージをサーバにアップロードします。 |
delete |
フラッシュ メモリ デバイスのファイルまたはディレクトリを削除します。 |
archive download-sw
新しいイメージを Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバからスイッチまたはスイッチ スタックにダウンロードして、既存のイメージを上書きまたは保存するには、 archive download-sw 特権 EXEC コマンドを使用します。
archive download-sw { /directory | /force-reload | /imageonly | /leave-old-sw | /no-set-boot | /no-version-check | /destination-system stack-member-number | /only-system-type system-type | /overwrite | /reload | /safe } source-url
シンタックスの説明
/directory |
イメージのディレクトリを指定します。 |
/force-reload |
ソフトウェア イメージのダウンロードが成功したあと、無条件にシステムのリロードを強制します。 |
/imageonly |
ソフトウェア イメージだけをダウンロードし、組み込みデバイス マネージャに関連する HTML ファイルはダウンロードしません。既存のバージョンの HTML ファイルは、既存のバージョンが上書きまたは削除されている場合にだけ削除されます。 |
/leave-old-sw |
ダウンロードが成功したあと、古いソフトウェア バージョンを保存します。 |
/no-set-boot |
新しいソフトウェア イメージのダウンロードが成功したあと、BOOT 環境変数の設定は新しいソフトウェア イメージをポイントするように変更されません。 |
/no-version-check |
スイッチで稼動中のイメージとの互換性を持つバージョンであるかどうかを確認せずに、ソフトウェア イメージをダウンロードします。スイッチ スタック上で、イメージ上およびスタック上のスタック プロトコルのバージョンの互換性を確認せずに、ソフトウェア イメージをダウンロードします。スタックは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。 |
/only-system-type system-type |
アップグレードする特定のシステム タイプを指定します。指定できる範囲は 0 ~ FFFFFFFF です。 |
/overwrite |
ダウンロードされたソフトウェア イメージで、フラッシュ メモリのソフトウェア イメージを上書きします。 |
/reload |
変更された設定が保存されていない場合を除き、イメージのダウンロードに成功したあとでシステムをリロードします。 |
/safe |
現在のソフトウェア イメージを維持します。新しいイメージがダウンロードされるまでは、新しいソフトウェア イメージ用の領域を作る目的で現在のソフトウェアイメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。 |
source-url |
ローカル ファイル システムまたはネットワーク ファイル システム用の送信元 URL エイリアス。次のオプションがサポートされています。 • 2 番めのブートローダ(BS1)の構文 bs1: • スタンドアロン スイッチまたはマスター上のローカル フラッシュ ファイル システムの構文: flash: メンバー上のローカル フラッシュ ファイル システムの構文: flash member number :
(注) スタックは、Catalyst 2960-S スイッチのみでサポートされています。
• FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar • HTTP サーバの構文 http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文 https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • Remote Copy Protocol(RCP)の構文 rcp: [[ // username @ location ]/ directory ] / image-name .tar • TFTP の構文 tftp: [[ // location ]/ directory ] / image-name .tar image-name .tar は、スイッチにダウンロードし、インストールするソフトウェア イメージです。 |
デフォルト
現行のソフトウェア イメージは、ダウンロードされたイメージで上書きされません。
ソフトウェア イメージと HTML ファイルの両方がダウンロードされます。
新しいイメージは flash: ファイル システムにダウンロードされます。
BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを指定するよう変更されます。
イメージ名では大文字と小文字が区別されます。イメージ ファイルは tar 形式で提供されます。
イメージのスタック プロトコルの互換性は、ダウンロードする場合にスタックのバージョンで確認されます。
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
/imageonly オプションは、既存のイメージが削除または置き換えられている場合に、既存のイメージの HTML ファイルを削除します。(HTML ファイルのない)Cisco IOS イメージだけがダウンロードされます。
/safe または /leave-old-sw オプションを使用した場合に、十分なフラッシュ メモリがないと、新しいイメージのダウンロードに失敗する場合があります。ソフトウェアを残すことによってフラッシュ メモリの空き容量が不足し、新しいイメージが入りきらなかった場合に、エラーが発生します。
/leave-old-sw オプションを使用したために、新しいイメージをダウンロードしても古いイメージを上書きしなかった場合、 delete 特権 EXEC コマンドを使用して古いイメージを削除することができます。詳細については、「delete」を参照してください。
スタックの既存のバージョンとは異なるスタック プロトコルのバージョンのイメージをダウンロードする場合は、 /no-version-check オプションを使用します。このオプションを使用する場合には /destination-system オプションを使用し、イメージでアップグレードする特定のメンバーを指定してください。
(注) スタックは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。
(注) /no-version-check オプションの使用には注意が必要です。同一のスタックにするためには、マスターを含め、すべてのメンバーは、スタック プロトコルのバージョンを同一にする必要があります。このオプションを指定することで、イメージをダウンロードする場合のスタック プロトコルのバージョンと、スタックのバージョンの互換性の最初の確認をスキップできます。
/destination-system のコマンド オプション繰り返すことで、複数のスタック メンバーを指定し、アップグレードできます。
フラッシュ デバイスのイメージを、ダウンロードされたイメージで上書きする場合は、 /overwrite オプションを使用します。
/overwrite オプション なし でこのコマンドを指定する場合、ダウンロード アルゴリズムは、新しいイメージが、スイッチ フラッシュ デバイスのイメージ、またはスタック メンバーで実行中のものと同じではないことを確認します。イメージが同じである場合には、ダウンロードは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがダウンロードされます。
新しいイメージをダウンロードしたあとで、 reload 特権 EXEC コマンドを入力して新しいイメージの使用を開始するか、 archive download-sw コマンドの /reload または /force-reload オプションを指定してください。
例
次の例では、172.20.129.10 の TFTP サーバから新しいイメージをダウンロードし、スイッチでイメージを上書きする方法を示します。
Switch# archive download-sw /overwrite tftp://172.20.129.10/test-image.tar
次の例では、172.20.129.10 の TFTP サーバからソフトウェア イメージだけをスイッチにダウンロードする方法を示します。
Switch# archive download-sw /imageonly tftp://172.20.129.10/test-image.tar
次の例では、ダウンロードが成功したあとで古いソフトウェア バージョンを保存する方法を示します。
Switch# archive download-sw /leave-old-sw tftp://172.20.129.10/test-image.tar
次の例では、スタック メンバー 6 および 8 をアップグレードする方法を示します。
Switch# archive download-sw /imageonly /destination-system 6 /destination-system 8 tftp://172.20.129.10/test-image.tar
関連コマンド
|
|
archive tar |
tar ファイルの作成、tar ファイル内のファイルを一覧表示、tar ファイルからのファイル抽出を行います。 |
archive upload-sw |
スイッチの既存のイメージをサーバにアップロードします。 |
delete |
フラッシュ メモリ デバイスのファイルまたはディレクトリを削除します。 |
archive tar
tar ファイルの作成、tar ファイル内のファイルの一覧表示、tar ファイルからのファイル抽出を実行するには、 archive tar 特権 EXEC コマンドを使用します。
archive tar { /create destination-url flash:/ file-url } | { /table source-url } | { /xtract source-url flash:/ file-ur l [ dir/file ...]}
シンタックスの説明
/create destination-url flash:/ file-url |
ローカル ファイル システムまたはネットワーク ファイル システムに新しい tar ファイルを作成します。 destination-url には、ローカルまたはネットワーク ファイル システムの宛先 URL エイリアスおよび作成する tar ファイルの名前を指定します。次のオプションがサポートされています。 • ローカル フラッシュ ファイル システムの構文 flash: • FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar • HTTP サーバの構文 http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文 https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • Remote Copy Protocol(RCP)の構文 rcp: [[ // username @ location ]/ directory ] / tar-filename .tar • TFTP の構文 tftp: [[ // location ]/ directory ] / tar-filename .tar tar-filename .tar は、作成する tar ファイルです。 flash:/ file-url には、新しい tar ファイルが作成されるローカル フラッシュ ファイル システムの場所を指定します。 送信元ディレクトリ内のファイルまたはディレクトリのオプションのリストを指定して、新しい tar ファイルに書き込むことができます。何も指定しないと、このレベルのすべてのファイルおよびディレクトリが、新しく作成された tar ファイルに書き込まれます。 |
/table source-url |
既存の tar ファイルの内容を画面に表示します。 source-url には、ローカル ファイル システムまたはネットワーク ファイル システムの送信元 URL エイリアスを指定します。次のオプションがサポートされています。 • ローカル フラッシュ ファイル システムの構文 flash: • FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar • HTTP サーバの構文 http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文 https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • RCP の構文 rcp: [[ // username @ location ]/ directory ] / tar-filename .tar • TFTP の構文 tftp: [[ // location ]/ directory ] / tar-filename .tar tar-filename .tar は、表示する tar ファイルです。 |
/xtract source-url flash:/ file-url [ dir/file... ] |
tar ファイルからローカル ファイル システムにファイルを抽出します。 source-url には、ローカル ファイル システムの 送信元 URL エイリアスを指定します。次のオプションがサポートされています。 • ローカル フラッシュ ファイル システムの構文 flash: • FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar • HTTP サーバの構文 http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文 https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • RCP の構文 rcp: [[ // username @ location ]/ directory ] / tar-filename .tar • TFTP の構文 tftp: [[ // location ]/ directory ] / tar-filename .tar tar-filename .tar は、抽出が行われる tar ファイルです。 flash:/ file-url [ dir/file ...] には、tar ファイルが抽出されるローカル フラッシュ ファイル システムの場所を指定します。tar ファイルから抽出されるファイルまたはディレクトリのオプション リストを指定するには、 dir/file ... オプションを使用します。何も指定されないと、すべてのファイルとディレクトリが抽出されます。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
ファイル名およびディレクトリ名では、大文字と小文字が区別されます。
イメージ名では、大文字と小文字が区別されます。
例
次の例では、tar ファイルを作成する方法を示します。このコマンドはローカル フラッシュ デバイスの new-configs ディレクトリの内容を、172.20.10.30 の TFTP サーバの saved.tar という名前のファイルに書き込みます。
Switch# archive tar /create tftp:172.20.10.30/saved.tar flash:/new_configs
次の例では、フラッシュ メモリ内のファイルの内容を表示する方法を示します。tar ファイルの内容が画面に表示されます。
Switch# archive tar /table flash:c2960-lanbase-tar.12-25.FX.tar
c2960-lanbase-mz.12-25.FX/ (directory)
c2960-lanbase-mz.12-25.FX (610856 bytes)
c2960-lanbase-mz.12-25.FX/info (219 bytes)
次の例では、 /html ディレクトリおよびその内容だけを表示する方法を示します。
flash:c2960-lanbase-tar.12-25.FX.tar c2960-lanbase-12-25/html
c2960-lanbase-mz.12-25.FX/html/ (directory)
c2960-lanbase-mz.12-25.FX/html/const.htm (556 bytes)
c2960-lanbase-mz.12-25.FX/html/xhome.htm (9373 bytes)
c2960-lanbase-mz.12-25.FX/html/menu.css (1654 bytes)
次の例では、172.20.10.30 の TFTP サーバの tar ファイルの内容を抽出する方法を示します。ここでは、ローカル フラッシュ ファイル システムのルート ディレクトリに単に new-configs ディレクトリを抽出しています。 saved.tar ファイルの残りのファイルは無視されます。
Switch# archive tar /xtract tftp://172.20.10.30/saved.tar flash:/new-configs
関連コマンド
|
|
archive copy-sw |
あるスタック メンバーのフラッシュ メモリから実行イメージを、別の 1 つまたは複数のスタック メンバー上のフラッシュ メモリにコピーします。 |
archive download-sw |
TFTP サーバからスイッチに新しいイメージをダウンロードします。 |
archive upload-sw |
スイッチの既存のイメージをサーバにアップロードします。 |
archive upload-sw
スイッチの既存のイメージをサーバにアップロードするには、 archive upload-sw 特権 EXEC コマンドを使用します。
archive upload-sw [ /source-system-num stack member number | /version version_string ] destination-url
シンタックスの説明
/source-system-num stack member number |
アップロードするイメージを持った特定のスタック メンバーを指定します。スタックは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。 |
/version version_string |
(任意)アップロードするイメージの特定バージョン文字列を指定します。 |
destination-url |
ローカル ファイル システムまたはネットワーク ファイル システムの宛先 URL エイリアス。次のオプションがサポートされています。 • スタンドアロン スイッチまたはスタック マスター上のローカル フラッシュ ファイル システムの構文: flash: スタック メンバー上のローカル フラッシュ ファイル システムの構文: flash member number : • FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar • HTTP サーバの構文 http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文 https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • Secure Copy Protocol(SCP)の構文 scp: [[ // username @ location ]/ directory ] / image-name .tar • Remote Copy Protocol(RCP)の構文 rcp: [[ // username @ location ]/ directory ] / image-name .tar • TFTP の構文 tftp: [[ // location ]/ directory ] / image-name .tar image-name .tar は、サーバに保存するソフトウェア イメージの名前です。 |
デフォルト
フラッシュ ファイル システムから現在稼動中のイメージをアップロードします。
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
/version オプションを使用するためには、 /source-system-num オプションを指定する必要があります。これらのオプションを同時に使用することで、指定のスタック メンバーの特定のイメージ(実行イメージではない)をアップロードできます。
組み込みデバイス マネージャに関連付けられている HTML ファイルが既存のイメージとともにインストールされている場合にだけ、アップロード機能を使用します。
これらのファイルは、Cisco IOS イメージ、HTML ファイル、info の順序でアップロードされます。これらのファイルがアップロードされると、ソフトウェアは tar ファイルを作成します。
イメージ名では、大文字と小文字が区別されます。
例
次の例では、スタック メンバー 6 で現在実行中のイメージを、172.20.140.2 の TFTP サーバへアップロードする方法を示します。
Switch# archive upload-sw/source-system-num 6 tftp://172.20.140.2/test-image.tar
関連コマンド
|
|
archive copy-sw |
あるスタック メンバーのフラッシュ メモリから実行イメージを、別の 1 つまたは複数のスタック メンバー上のフラッシュ メモリにコピーします。 |
archive download-sw |
新しいイメージをスイッチにダウンロードします。 |
archive tar |
tar ファイルの作成、tar ファイル内のファイルを一覧表示、tar ファイルからのファイル抽出を行います。 |
arp access-list
Address Resolution Protocol(ARP; アドレス解決プロトコル)Access Control List(ACL; アクセス コントロール リスト)を定義したり、すでに定義済のリストの末尾に句を追加したりするには、arp access-list グローバル コンフィギュレーション コマンドを使用します。指定した ARP アクセス リストを削除する場合は、このコマンドの no 形式を使用します。
arp access-list acl-name
no arp access-list acl-name
デフォルト
ARP アクセス リストが定義されていません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
arp access-list コマンドを入力すると、ARP アクセス リスト コンフィギュレーション モードが開始され、これらのコンフィギュレーション コマンドが使用可能になります。
• default :コマンドをデフォルト設定に戻します。
• deny :拒否するパケットを指定します。詳細については、「deny(ARP アクセスリスト コンフィギュレーション)」を参照してください。
• exit :ARP アクセス リスト コンフィギュレーション モードを終了します。
• no :コマンドを無効にするか、またはデフォルト設定に戻します。
• permit :転送するパケットを指定します。詳細については、「permit(ARP アクセス リスト コンフィギュレーション)」を参照してください。
指定した照合条件に基づいて ARP パケットを転送および廃棄するには、 permit および deny アクセス リスト コンフィギュレーション コマンドを使用します。
ARP ACL を定義したら、 ip arp inspection filter vlan グローバル コンフィギュレーション コマンドを使用してその ACL を VLAN に適用できます。IP-to-MAC アドレス バインディングを含む ARP パケットだけが ACL と比較されます。それ以外のタイプのパケットはすべて検証なしで入力 VLAN でブリッジングされます。パケットが ACL で許可されると、スイッチはそのパケットを転送します。明示的拒否ステートメントによって ACL がパケットを拒否すると、スイッチがパケットを廃棄します。暗黙的な deny 文によってパケットが ACL で拒否されると、スイッチはそのパケットを DHCP バインディングのリストと比較します(ただし、ACL が スタティック の場合を除きます。この場合は、パケットがバインディングと比較されません)。
例
次の例では、ARP アクセス リストを定義し、IP アドレス 1.1.1.1 および MAC アドレス 0000.0000.abcd のホストからの ARP 要求と ARP 応答をいずれも許可する方法を示します。
Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# permit ip host 1.1.1.1 mac host 00001.0000.abcd
Switch(config-arp-nacl)# end
設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。
関連コマンド
|
|
deny(ARP アクセスリスト コンフィギュレーション) |
DHCP バインディングと比較して一致した ARP パケットを拒否します。 |
ip arp inspection filter vlan |
スタティック IP アドレスが設定されたホストからの ARP 要求と ARP 応答を許可します。 |
permit(ARP アクセス リスト コンフィギュレーション) |
DHCP バインディングと比較して一致した ARP パケットを許可します。 |
show arp access-list |
ARP アクセス リストの詳細を表示します。 |
authentication command bounce-port ignore
スイッチ スタック上またはスタンドアロン スイッチ上で authentication command bounce-port ignore グローバル コンフィギュレーション コマンドを使用すると、スイッチが一時的にポートをディセーブルにするコマンドを無視するようにできます。デフォルト ステータスに戻すには、このコマンドの no 形式を使用します。
authentication command bounce-port ignore
no authentication command bounce-port ignore
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このスイッチは、RADIUS Change of Authorization(CoA)の bounce port コマンドを受け付けます。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(52)SE |
このコマンドが追加されました。 |
使用上のガイドライン
CoA の bounce port コマンドは、リンク フラッピングを発生させますが、これによりホストからの DHCP の再ネゴシエーションがトリガーされます。これは、エンドポイントが変更を検出するサプリカントを持たないデバイス(プリンタなど)であって、VLAN 変更した場合に便利です。 bounce port コマンドを無視するようにスイッチを設定するのに、このコマンドを使用します。
例
次の例では、スイッチに CoA の bounce port コマンドを無視するように指示する方法を示します。
Switch(config)# authentication command bounce-port ignore
関連コマンド
|
|
authentication command disable-port ignore |
CoA の disable port コマンドを無視するようにスイッチを設定します。 |
authentication command disable-port ignore
スイッチ スタック上またはスタンドアロン スイッチ上で authentication command disable-port ignore グローバル コンフィギュレーション コマンドを使用すると、スイッチがポートをディセーブルにするコマンドを無視するようにできます。デフォルト ステータスに戻すには、このコマンドの no 形式を使用します。
authentication command disable-port ignore
no authentication command disable-port ignore
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このスイッチは、RADIUS Change of Authorization(CoA)の disable port コマンドを受け付けます。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(52)SE |
このコマンドが追加されました。 |
使用上のガイドライン
CoA の disable port コマンドは、セッションをホストしているポートを管理のためにシャットダウンします。これにより、セッションは終了します。このコマンドを無視するようにスイッチを設定するのに、このコマンドを使用します。
例
次の例では、スイッチに CoA の disable port コマンドを無視するように指示する方法を示します。
Switch(config)# authentication command disable-port ignore
関連コマンド
|
|
authentication command bounce-port ignore |
CoA の bounce port コマンドを無視するようにスイッチを設定します。 |
authentication control-direction
ポート モードを単一方向または双方向として設定するには、authentication control-direction インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication control-direction {both | in}
no authentication control-direction
シンタックスの説明
both |
ポートの双方向制御をイネーブルにします。ポートは、ホストにパケットを送受信できません。 |
in |
ポートの単一方向制御をイネーブルにします。ポートは、ホストにパケットを送信できますが、受信はできません。 |
デフォルト
ポートは双方向モードに設定されています。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
デフォルト設定(双方向モード)に戻すには、このコマンドの both キーワードまたは no 形式を使用します。
例
次の例では、双方向モードをイネーブルにする方法を示します。
Switch(config-if)# authentication control-direction both
次の例では、単一方向モードをイネーブルにする方法を示します。
Switch(config-if)# authentication control-direction in
設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。
authentication event
ポート上の特定の認証イベントに対するアクションを設定するには、 authentication event インターフェイス コンフィギュレーション コマンドを使用します。
authentication event {fail [action [authorize vlan vlan-id | next-method] {| retry {retry count}]} { no-response action authorize vlan vlan-id} {server {alive action reinitialize} | {dead action [authorize | reinitialize vlan vlan-id]}}
no authentication event {fail [action [authorize vlan vlan-id | next-method] {| retry {retry count}]} {no-response action authorize vlan vlan-id} {server {alive action reinitialize} | {dead action [authorize | reinitialize vlan vlan-id]}}
シンタックスの説明
action |
認証イベントに必要なアクションを設定します。 |
alive |
活動状態の認証、認可、アカウンティング(AAA)サーバに対するアクションを設定します。 |
authorize |
ポートを許可します。 |
dead |
停止状態の AAA サーバに対するアクションを設定します。 |
fail |
failed-authentication パラメータを設定します。 |
next-method |
次の認証方式に移行します。 |
no-response |
応答のないホストに対するアクションを設定します。 |
reinitialize |
許可されたすべてのクライアントを再初期化します。 |
retry |
認証に失敗したあとの再試行をイネーブルにします。 |
retry count |
再試行回数(0 ~ 5 回)を設定します。 |
server |
AAA サーバ イベントに対するアクションを設定します。 |
vlan |
authentication-fail VLAN を指定します(1 ~ 4094)。 |
vlan-id |
VLAN の ID 番号を指定します(1 ~ 4094)。 |
デフォルト
ポート上でイベント応答が設定されていません。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
12.2(52)SE |
reinitialize キーワードが追加されました。 |
使用上のガイドライン
特定のアクションに対するスイッチの応答を設定するには、このコマンドに fail、no-response、または event キーワードを指定します。
server-dead イベントの場合:
• スイッチが critical-authentication ステートに移行すると、認証を実施しようとしている新しいホストが critical-authentication VLAN(クリティカル VLAN)に移行します。これは、ポートがシングル ホスト、マルチ ホスト、複数認証、MDA のいずれのモードの場合にも適用されます。認証済のホストは認証済の VLAN にそのまま残り、再認証タイマーがディセーブルになります。
• クライアントで Windows XP が稼動しており、クライアントの接続先のクリティカル ポートが critical-authentication ステートの場合は、インターフェイスが認証されていないことが Windows XP から通知されることがあります。
Windows XP クライアントが DHCP に設定されており、DHCP サーバから IP アドレスが割り当てられていると、クリティカル ポートが EAP 認証成功メッセージを受信しても、DHCP 設定プロセスで再初期化が実行されない場合があります。
no-response イベントの場合:
• IEEE 802.1x ポート上でゲスト VLAN をイネーブルにした場合、認証サーバが Extensible Authentication Protocol over LAN(EAPOL)Request/Identity フレームに対する応答を受信しないか、または EAPOL パケットがクライアントから送信されないと、スイッチはクライアントをゲスト VLAN に割り当てます。
• スイッチは、EAPOL パケット履歴を保持します。リンクの有効期間中に別の EAPOL パケットがポート上で検出されると、ゲスト VLAN 機能がディセーブルになります。ポートがすでにゲスト VLAN ステートにある場合、ポートは無許可ステートに戻り、認証が再開されます。EAPOL 履歴がクリアされます。
• スイッチ ポートがゲスト VLAN(マルチホスト モード)に移行すると、複数の IEEE 802.1x 非対応クライアントがアクセスを許可されます。ゲスト VLAN が設定されているポートに IEEE 802.1x 対応クライアントが加入すると、そのポートが RADIUS 設定 VLAN またはユーザ設定アクセス VLAN で無許可ステートに移行し、認証が再開されます。
Remote Switched Port Analyzer(RSPAN; リモート スイッチド ポート アナライザ)VLAN、プライマリ プライベート VLAN、音声 VLAN 以外のアクティブな VLAN をすべて、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN の機能は、アクセス ポートでのみサポートされています。内部 VLAN(ルーテッド ポート)とトランク ポートではサポートされていません。
• MAC 認証バイパスが IEEE 802.1x ポートでイネーブルになっている場合、EAPOL メッセージ交換の待機中に IEEE802.1x 認証が期限切れになると、スイッチはクライアントの MAC アドレスに基づいてクライアントを許可できます。スイッチは、IEEE 802.1x ポート上のクライアントを検出したあとで、クライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-access/request フレームを認証サーバに送信します。
– 認証に成功すると、スイッチはクライアントにネットワークへのアクセスを許可します。
– 認証に失敗すると、スイッチはポートにゲスト VLAN を割り当てます(指定されていない場合)。
詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with MAC Authentication Bypass」を参照してください。
authentication-fail イベントの場合:
• サプリカントが認証に失敗すると、ポートが制限 VLAN に移行し、EAP 認証成功メッセージがサプリカントに送信されます。これは、サプリカントに実際の認証失敗が通知されないためです。
– EAP の成功メッセージが送信されない場合、サプリカントは 60 秒ごと(デフォルト)に EAP 開始メッセージを送信して認証を行おうとします。
– 一部のホスト(たとえば、Windows XP を実行中のデバイス)は、EAP の成功メッセージを受け取るまで Dynamic Host Configuration Protocol(DHCP)を実行できません。
制限 VLAN は、シングルホスト モード(デフォルトのポート モード)でのみサポートされます。ポートが制限 VLAN に配置されると、サプリカントの MAC アドレスが MAC アドレス テーブルに追加されます。ポート上のその他の MAC アドレスはセキュリティ違反として扱われます。
• レイヤ 3 ポート用の内部 VLAN は、制限 VLAN として設定することができません。1 つの VLAN を制限 VLAN と音声 VLAN の両方として指定することはできません。
制限 VLAN での再認証をイネーブルにします。再認証がディセーブルになっていると、制限 VLAN 内のポートは認証要求を受信しません。
再認証プロセスを開始するには、制限 VLAN がポートからリンクダウン イベントまたは Extensible Authentication Protocol(EAP)ログオフ イベントを受け取る必要があります。ホストがハブを介して接続されている場合は、次の動作が発生する可能性があります。
– ホストが切断されているとポートがリンクダウン イベントを受け取らない
– 次の再認証が実行されるまでポートが新しいホストを検出しない
制限 VLAN をタイプの異なる VLAN として再設定すると、制限 VLAN のポートは現在許可されたステートのまま移行します。
例
次の例では、authentication event fail コマンドを設定する方法を示します。
Switch(config-if)# authentication event fail action authorize vlan 20
次の例では、no-response アクションを設定する方法を示します。
Switch(config-if)# authentication event no-response action authorize vlan 10
次の例では、server-response アクションを設定する方法を示します。
Switch(config-if)# authentication event server alive action reinitialize
次の例では、RADIUS サーバが使用不可な場合に新規、既存双方のホストをクリティカルな VLAN に送信するよう、ポートを設定する方法を示します。このコマンドは、マルチ認証(multiauth)モードのポートに使用するか、またはポートの音声ドメインが MDA モードになっている場合に、次のように使用します。
Switch(config-if)# authentication event server dead action authorize vlan 10
次の例では、RAIDUS サーバが使用不可な場合に新規、既存双方のホストをクリティカルな VLAN に送信するよう、ポートを設定する方法を示します。このコマンドは、マルチ ホストまたはマルチ認証のポートに、次のように使用します。
Switch(config-if)# authentication event server dead action reinitialize vlan 10
設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。
authentication fallback
IEEE 802.1x 認証をサポートしないクライアントに対し、Web 認証をフォールバック方式として使用するようにポートを設定するには、authentication fallback インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication fallback name
no authentication fallback name
シンタックスの説明
name |
Web 認証のフォールバック プロファイルを指定します。 |
デフォルト
フォールバックはイネーブルではありません。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
フォールバック方式を設定する前に、authentication port-control auto インターフェイス コンフィギュレーション コマンドを入力する必要があります。
Web 認証は、802.1x または MAB フォールバック方式としてのみ設定できます。したがって、これらの認証方式の一方または両方を、イネーブルにするフォールバック方式として設定する必要があります。
例
次の例では、ポート上でフォールバック プロファイルを指定する方法を示します。
Switch(config-if)# authentication fallback profile1
設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。
authentication host-mode
ポート上で認証マネージャ モードを設定するには、authentication host-mode インターフェイス コンフィギュレーション コマンドを使用します。
authentication host-mode [multi-auth | multi-domain | multi-host | single-host]
no authentication host-mode [multi-auth | multi-domain | multi-host | single-host]
シンタックスの説明
multi-auth |
ポート上で複数認証モード(multiauth モード)をイネーブルにします。 |
multi-domain |
ポート上で複数ドメイン モードをイネーブルにします。 |
multi-host |
ポート上で複数ホスト モードをイネーブルにします。 |
single-host |
ポート上で単一ホスト モードをイネーブルにします。 |
デフォルト
単一ホスト モードがイネーブルになっています。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
1 つのデータ ホストしか接続されていない場合は、単一ホスト モードに設定する必要があります。単一ホスト ポート上での認証用に音声デバイスを接続しないでください。ポート上に音声 VLAN が設定されていないと、音声デバイスの許可が正常に実行されません。
データ ホストが IP Phone を経由してポートに接続されている場合は、複数ドメイン モードに設定する必要があります。音声デバイスを認証する必要がある場合は、複数ドメイン モードに設定する必要があります。
ハブの背後に最大 8 台のデバイスを配置し、それぞれを認証してポート アクセスのセキュリティを確保できるようにするには、複数認証モードに設定する必要があります。音声 VLAN が設定されている場合は、このモードで認証できる音声デバイスは 1 台だけです。
複数ホスト モードでは、ハブの背後にある複数のホストへのポート アクセスに対応していますが、最初のユーザの認証後にこれらのデバイスへのポート アクセスが無制限になります。
例
次の例では、ポート上で multiauth モードをイネーブルにする方法を示します。
Switch(config-if)# authentication host-mode multi-auth
次の例では、ポート上で multi-domain モードをイネーブルにする方法を示します。
Switch(config-if)# authentication host-mode multi-domain
次の例では、ポート上で multi-host モードをイネーブルにする方法を示します。
Switch(config)# authentication host-mode multi-host
次の例では、ポート上で single-host モードをイネーブルにする方法を示します。
Switch(config-if)# authentication host-mode single-host
設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。
authentication mac-move permit
スイッチでの MAC 移動をイネーブルにするには、authentication mac-move permit グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication mac-move permit
no authentication mac-move permit
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(52)SE |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、認証されたホストがスイッチ上の 802.1x 対応ポート間を移動できるようにします。たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが他のポートに移動する場合、認証セッションが最初のポートから削除され、ホストは新しいポート上で再認証されます。
MAC 移動がディセーブルになっており、認証されたホストが他のポートに移動した場合は、再認証は行われず、違反エラーが発生します。
MAC 移動は、ポートセキュリティ対応 802.1x ポートではサポートされていません。MAC 移動がスイッチ上でグローバルに設定されており、ポート セキュリティ対応ホストが 802.1x 対応ポートに移動すると、違反エラーが発生します。
例
次の例では、スイッチで MAC 移動をイネーブルにする方法を示しています。
Switch(config)# authentication mac-move permit
authentication open
ポート上でオープン アクセスをイネーブルまたはディセーブルにするには、authentication open インターフェイス コンフィギュレーション コマンドを使用します。オープン アクセスをディセーブルにする場合は、このコマンドの no 形式を使用します。
authentication open
no authentication open
デフォルト
オープン アクセスがディセーブルになっています。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
認証の前にデバイスでネットワーク アクセスが必要となる場合は、オープン認証をイネーブルにする必要があります。
ポート ACL を使用して、オープン認証がイネーブルになっている場合にホスト アクセスを制限する必要があります。
例
次の例では、ポート上でオープン アクセスをイネーブルにする方法を示します。
Switch(config-if)# authentication open
次の例では、ポート上でオープン アクセスがディセーブルになるようにポートを設定する方法を示します。
Switch(config-if)# no authentication open
authentication order
ポート上で使用される認証方式の順序を設定するには、authentication order インターフェイス コンフィギュレーション コマンドを使用します。
authentication order [dot1x | mab] {webauth}
no authentication order
シンタックスの説明
dot1x |
認証方式の順序に 802.1x を追加します。 |
mab |
認証方式の順序に MAC Authentication Bypass(MAB; MAC 認証バイパス)を追加します。 |
webauth |
認証方式の順序に Web 認証を追加します。 |
コマンドのデフォルト
デフォルトの認証順序では、dot1x のあとに mab と webauth が配置されています。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
順序付けでは、ポートに接続される新しいデバイスを認証する場合にスイッチが試行する認証方式の順序を設定します。リスト内の 1 つの認証方式の試行に失敗すると、次の方式が試行されます。
それぞれの認証方式は一度しか入力できません。802.1x と MAB の間でのみ柔軟な順序付けが可能です。
Web 認証は、独立した方式として設定することも、順序内で 802.1x または MAB のあとに配置される最後の方式として設定することもできます。Web 認証は、dot1x または mab のフォールバックとしてのみ設定する必要があります。
例
次の例では、802.1x を最初の認証方式として追加し、MAB を 2 番めの認証方式として追加し、Web 認証を 3 番めの認証方式として追加する方法を示します。
Switch(config-if)# authentication order dotx mab webauth
次の例では、MAC 認証バイパス(MAB)を最初の認証方式として追加し、Web 認証を 2 番めの認証方式として追加する方法を示します。
Switch(config-if)# authentication order mab webauth
設定を確認するには、show authentication 特権 EXEC コマンドを入力します。
authentication periodic
ポート上で再認証をイネーブルまたはディセーブルにするには、authentication periodic インターフェイス コンフィギュレーション コマンドを使用します。再認証をディセーブルにする場合は、このコマンドの no 形式を使用します。
authentication periodic
no authentication periodic
コマンドのデフォルト
再認証がディセーブルになっています。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
authentication timer reauthentication インターフェイス コンフィギュレーション コマンドを使用して、定期的な再認証の試行間隔を設定します。
例
次の例では、ポート上で定期的な再認証をイネーブルにする方法を示します。
Switch(config-if)# authentication periodic
次の例では、ポート上で定期的な再認証をディセーブルにする方法を示します。
Switch(config-if)# no authentication periodic
設定を確認するには、show authentication 特権 EXEC コマンドを入力します。
authentication port-control
ポートの許可ステートの手動制御をイネーブルにするには、authentication port-control インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication port-control {auto | force-authorized | force-un authorized}
no authentication port-control {auto | force-authorized | force-un authorized}
シンタックスの説明
auto |
ポート上で IEEE 802.1x 認証をイネーブルにします。スイッチとクライアント間の IEEE 802.1x 認証交換に基づいてポートが許可ステートまたは無許可ステートに切り替えられます。 |
force-authorized |
ポート上で IEEE 802.1x 認証をディセーブルにします。認証交換なしでポートが許可ステートに切り替えられます。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。 |
force-un authorized |
ポートへのアクセスをすべて拒否します。ポートが無許可ステートに切り替えられ、クライアントの認証試行がすべて無視されます。スイッチはポートを介してクライアントに認証サービスを提供できません。 |
デフォルト
デフォルトの設定は force-authorized です。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
これらのポート タイプのいずれかでのみ auto キーワードを使用します。
• トランク ポート:トランク ポート上で IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。
• ダイナミック ポート:ダイナミック ポートは、ネイバーとネゴシエートしてトランク ポートになる場合があります。ダイナミック ポート上で IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。
• ダイナミック アクセス ポート:ダイナミック アクセス(VLAN Query Protocol [VQP])ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。
• EtherChannel ポート:アクティブまたはアクティブでない EtherChannel メンバーを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。
• Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および Remote SPAN(RSPAN; リモート SPAN)宛先ポート:SPAN または RSPAN 宛先ポートであるポートの IEEE 802.1x 認証をイネーブルにすることができます。ただし、そのポートが SPAN または RSPAN 宛先として削除されるまで、IEEE 802.1x 認証はディセーブルのままになります。SPAN または RSPAN 送信元ポートでは IEEE 802.1x 認証をイネーブルにすることができます。
スイッチの IEEE 802.1x 認証をグローバルにディセーブルにするには、no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。特定のポート上で IEEE 802.1x 認証をディセーブルにするか、またはデフォルト設定に戻すには、no authentication port-control インターフェイス コンフィギュレーション コマンドを使用します。
例
次の例では、ポート ステートを auto に設定する方法を示します。
Switch(config-if)# authentication port-control auto
次の例では、ポート ステートを force-authorized に設定する方法を示します。
Switch(config-if)# authentication port-control force-authorized
次の例では、ポート ステートを force-unauthorized に設定する方法を示します。
Switch(config-if)# authentication port-control force-unauthorized
設定を確認するには、show authentication 特権 EXEC コマンドを入力します。
authentication priority
認証方式をポート プライオリティ リストに追加するには、authentication priority インターフェイス コンフィギュレーション コマンドを使用します。
auth priority [dot1x | mab] {webauth}
no auth priority [dot1x | mab] {webauth}
シンタックスの説明
dot1x |
認証方式の順序に 802.1x を追加します。 |
mab |
認証方式の順序に MAC 認証バイパス(MAB)を追加します。 |
webauth |
認証方式の順序に Web 認証を追加します。 |
コマンドのデフォルト
デフォルトのプライオリティは 802.1x 認証です。MAC 認証バイパスと Web 認証がそのあとに続きます。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
順序付けでは、ポートに接続される新しいデバイスを認証する場合にスイッチが試行する認証方式の順序を設定します。
ポート上で複数のフォールバック方式を設定する場合は、Web 認証(webauth)を最後に設定します。
それぞれの認証方式にプライオリティを割り当てると、プライオリティの低い認証方式の実行中にプライオリティの高い認証方式を割り込ませることができます。
(注) クライアントが認証済の場合にプライオリティの高い認証方式による割り込みが発生すると、そのクライアントの再認証が実行されることがあります。
認証方式のデフォルト プライオリティは、実行リストの順序内の配置と同じになります(つまり、802.1x 認証、MAC 認証バイパス、Web 認証の順になります)。デフォルトの順序を変更するには、dot1x、mab、および webauth キーワードを使用します。
例
次の例では、802.1x を最初の認証方式として設定し、Web 認証を 2 番めの認証方式として設定する方法を示します。
Switch(config-if)# authentication priority dotx webauth
次の例では、MAC 認証バイパス(MAB)を最初の認証方式として設定し、Web 認証を 2 番めの認証方式として設定する方法を示します。
Switch(config-if)# authentication priority mab webauth
設定を確認するには、show authentication 特権 EXEC コマンドを入力します。
authentication timer
802.1x 対応ポートのタイムアウトと再認証のパラメータを設定するには、authentication timer インターフェイス コンフィギュレーション コマンドを使用します。
authentication timer {{[inactivity | reauthenticate] [server | am]} {restart value}}
no authentication timer {{[inactivity | reauthenticate] [server | am]} {restart value}}
シンタックスの説明
inactivity |
アクティビティが存在しない場合にクライアントが無許可になるまでの間隔(秒)を指定します。 |
reauthenticate |
再認証が自動的に試行されるまでの間隔(秒)を指定します。 |
server |
無許可ポートの認証が試行されるまでの間隔(秒)を指定します。 |
restart |
無許可ポートの認証が試行されるまでの間隔(秒)を指定します。 |
value |
1 ~ 65535(秒)の値を入力します。 |
デフォルト
inactivity、server、および restart キーワードがオフに設定されています。reauthenticate キーワードが 1 時間に設定されています。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
タイムアウト値を設定しないと、802.1x セッションが無期限に許可された状態になります。この場合は、他のホストがそのポートを使用することも、接続されているホストが同じスイッチ上の別のポートに移動することもできません。
例
次の例では、認証非アクティブ タイマーを 60 秒に設定する方法を示します。
Switch(config-if)# authentication timer inactivity 60
次の例では、再認証タイマーを 120 秒に設定する方法を示します。
Switch(config-if)# authentication timer restart 120
設定を確認するには、show authentication 特権 EXEC コマンドを入力します。
authentication violation
新しいデバイスがポートに接続された場合、またはすでに最大数のデバイスがポートに接続されている状態で新しいデバイスがそのポートに接続された場合に適用される違反モードを設定するには、authentication violation インターフェイス コンフィギュレーション コマンドを使用します。
authentication violation {protect | restrict | shutdown}
no authentication violation {protect | restrict | shutdown}
シンタックスの説明
protect |
予期しない着信 MAC アドレスが廃棄されます。Syslog エラーは生成されません。 |
restrict |
違反エラーが発生したときに Syslog エラーを生成します。 |
shutdown |
予期しない MAC アドレスが生成されたポートまたは仮想ポートを errdisable にします。 |
デフォルト
デフォルトでは、authentication violation shutdown モードがイネーブルになっています。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
例
次の例では、IEEE 802.1x 対応ポートを errdisable として設定し、新しいデバイスがそのポートに接続された時点でシャットダウンする方法を示します。
Switch(config-if)# authentication violation shutdown
次の例では、新しいデバイスがポートに接続された場合にシステム エラー メッセージを生成し、制限モードに切り替わるように IEEE 802.1x 対応ポートを設定する方法を示します。
Switch(config-if)# authentication violation restrict
次の例では、新しいデバイスがポートに接続された場合にそのデバイスを無視するように IEEE 802.1x 対応ポートを設定する方法を示します。
Switch(config-if)# authentication violation protect
設定を確認するには、show authentication 特権 EXEC コマンドを入力します。
auto qos voip
QoS(Quality Of Service)ドメイン内の Voice over IP(VoIP)に対して QoS を自動的に設定するには、 auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
auto qos voip { cisco-phone | cisco-softphone | trust }
no auto qos voip [ cisco-phone | cisco-softphone | trust ]
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
cisco-phone |
このポートが Cisco IP Phone に接続されていると判断し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルが信頼されるのは、IP Phone が検知される場合に限ります。 |
cisco-softphone |
このポートが Cisco SoftPhone を実行しているデバイスに接続されていると判断し、自動的に VoIP の QoS を設定します。 |
trust |
このポートが信頼できるスイッチまたはルータに接続されていると識別し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルは信頼されます。非ルーテッド ポートの場合は、着信パケットの CoS 値が信頼されます。 |
デフォルト
Auto-QoS は、ポート上でディセーブルに設定されています。
auto-QoS がイネーブルの場合は、 表 2-1 に示すように、入力パケットのラベルを使用して、トラフィックの分類、パケット ラベルの割り当て、および入力/出力キューの設定を行います。
表 2-1 トラフィック タイプ、パケット ラベル、キュー
|
|
|
|
|
|
|
DSCP |
46 |
24, 26 |
48 |
56 |
34 |
― |
CoS |
5 |
3 |
6 |
7 |
3 |
― |
CoS から入力キューへのマッピング |
2、3、4、5、6、7(キュー 2) |
0、1(キュー 1) |
CoS から出力キューへのマッピング |
5(キュー 1) |
3、6、7(キュー 2) |
4(キュー 3) |
2 (キュー 3) |
0、1(キュー 4) |
表 2-2 に、入力キューに対して生成された Auto-QoS の設定を示します。
表 2-2 入力キューに対する Auto-QoS の設定
|
|
|
|
|
SRR共有 |
1 |
0, 1 |
81% |
67% |
プライオリティ |
2 |
2, 3, 4, 5, 6, 7 |
19% |
33% |
表 2-3 に、出力キューに対して生成される auto-QoS の設定を示します。
表 2-3 出力キューに対する auto-QoS の設定
|
|
|
|
|
10/100 イーサネット ポートのキュー(バッファ)サイズ
|
プライオリティ(シェーピング) |
1 |
5 |
最大 100% |
16% |
10% |
SRR 共有 |
2 |
3, 6, 7 |
10% |
6% |
10% |
SRR 共有 |
3 |
2, 4 |
60% |
17% |
26% |
SRR 共有 |
4 |
0, 1 |
20% |
61% |
54% |
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
QoS ドメイン内の VoIP トラフィックに適切な QoS を設定する場合は、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類することのできるエッジ装置などが含まれます。
auto-QoS は、スイッチおよびルーテッド ポート上の Cisco IP Phone を使用した VoIP と、Cisco SoftPhone アプリケーションが動作する装置を使用した VoIP に対してスイッチを設定します。これらのリリースでは、Cisco IP SoftPhone バージョン 1.3(3) 以降のみがサポートされます。接続されたデバイスは、Cisco Call Manager バージョン 4 以降を使用している必要があります。
show auto qos コマンド出力では、Cisco IP Phone のサービス ポリシー情報が表示されます。
Auto-QoS のデフォルトを利用する場合、他の QoS コマンドを設定する前に、Auto-QoS をイネーブルにする必要があります。Auto-QoS をイネーブルにした あとに 、Auto-QoS 設定の調整をすることができます。
(注) スイッチは Auto-QoS で生成されたコマンドを、Command-Line Interface(CLI; コマンドライン インターフェイス)からの入力のように適用します。既存のユーザ設定では、生成されたコマンドの適用が失敗することがあります。また、生成されたコマンドで既存の設定が上書きされることもあります。(これらは警告なしで行われます)。生成されたコマンドが正常に適用された場合、上書きされなかったユーザ入力の設定が、実行中の設定に残っています。上書きされてしまったユーザ入力の設定は、現行の設定をメモリに保存せずにスイッチをリロードすることによって、復旧することができます。生成されたコマンドの適用に失敗した場合は、前の実行コンフィギュレーションが復元されます。
これが auto-QoS をイネーブルにする最初のポートの場合は、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドに続いてインターフェイス コンフィギュレーション コマンドが実行されます。他のポート上で Auto-QoS をイネーブルにした場合、Auto-QoS が生成するインターフェイス コンフィギュレーション コマンドは、そのポート用に実行されます。
最初のポート上で Auto-QoS 機能をイネーブルにした場合、次のアクションが自動的に起こります。
• QoS がグローバルにイネーブルになり( mls qos グローバル コンフィギュレーション コマンド)、そのあと、他のグローバル コンフィギュレーション コマンドが追加されます。
• Cisco IP Phone に接続されたネットワーク エッジのポートで auto qos voip cisco-phone インターフェイス コンフィギュレーション コマンドを入力すると、スイッチは信頼境界の機能をイネーブルにします。スイッチは、Cisco Discovery Protocol(CDP)を使用して、Cisco IP Phone が存在するかしないかを検出します。Cisco IP Phone が検出されると、ポートの入力分類は、パケットで受け取った QoS ラベルを信頼するように設定されます。また、スイッチはポリシングを使用してパケットがプロファイル内かプロファイル外かを判断し、パケットに対するアクションも指定します。パケットに 24、26、または 46 の DSCP 値がない場合、またはパケットがアウト オブ プロファイルの場合は、スイッチで DSCP 値が 0 に変更されます。Cisco IP Phone が存在しない場合、ポートの入力分類は、パケットで受け取った QoS ラベルを信頼しないように設定されます。スイッチは、 表 2-2 および 表 2-3 の設定値に従ってポートの入力キューと出力キューを設定します。ポリシングは、スイッチが信頼境界機能をイネーブルにする前に、ポリシーマップの分類に一致するトラフィックに適用されます。
スイッチ ポートが Cisco IOS Release 12.2(37)SE かそれよりも前のリリースで auto qos voip cisco-phone インターフェイス コンフィギュレーション コマンドを使用して設定された場合、auto-QoS によって Cisco IOS Release 12.2(40)SE に新しく生成されたコマンドは、ポートに適用されません。このようなコマンドを自動的に適用するには、設定を削除してからポートに再度適用する必要があります。
• Cisco SoftPhone を実行しているデバイスに接続されたネットワークのエッジにあるポート上で、 auto qos voip cisco-softphone インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチはポリシングを使用してパケットがイン プロファイルであるかアウト オブ プロファイルであるかを判別し、パケット上でのアクションを指定します。パケットに 24、26、または 46 の DSCP 値がない場合、またはパケットがアウト オブ プロファイルの場合は、スイッチで DSCP 値が 0 に変更されます。スイッチは、 表 2-2 および 表 2-3 の設定値に従ってポートの入力キューと出力キューを設定します。
• ネットワーク内部に接続されたポート上で auto qos voip trust インターフェイス コンフィギュレーション コマンドを入力すると、スイッチは入力パケットでルーティングされないポートの CoS 値を信頼します(トラフィックが他のエッジ装置ですでに分類されていることが前提条件になります)。スイッチは、 表 2-2 および 表 2-3 の設定値に従ってポートの入力キューと出力キューを設定します。
スタティック ポート、ダイナミック アクセス ポート、音声 VLAN アクセス ポート、およびトランク ポートで auto-QoS をイネーブルにすることができます。ルーテッド ポートにある Cisco IP Phone で auto-QoS をイネーブルにする場合、スタティック IP アドレスを IP Phone に割り当てる必要があります。
(注) Cisco SoftPhone を実行しているデバイスがスイッチ ポートまたはルーテッド ポートに接続されている場合、スイッチがサポートするのはポートあたり 1 つの Cisco SoftPhone アプリケーションのみです。
Auto-QoS をイネーブルにしたあと、名前に AutoQoS を含むポリシーマップまたは集約ポリサーを変更しないでください。ポリシーマップまたは集約ポリサーを変更する必要がある場合は、ポリシーマップまたは集約ポリサーをコピーし、そのコピーを変更します。生成されたポリシーマップの代わりに新しいポリシーマップを使用するには、生成されたポリシーマップをインターフェイスから削除し、新しいポリシーマップを適用します。
auto-QoS がイネーブルのときに自動的に生成される QoS の設定を表示するには、auto-QoS をイネーブルにする前にデバッグをイネーブルにします。Auto-QoS のデバッグをイネーブルにするには、 debug auto qos 特権 EXEC コマンドを使用します。詳細については、 debug auto qos コマンドを参照してください。
ポート上で Auto-QoS をディセーブルにするには、no auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。このポート用に生成された Auto-QoS インターフェイス コンフィギュレーション コマンドのみ削除されます。Auto-QoS がイネーブルである最後のポートで no auto qos voip コマンドを入力した場合、Auto-QoS 生成のグローバル コンフィギュレーション コマンドが残っていたとしても、Auto-QoS はディセーブルになったと認識されます(グローバル コンフィギュレーションに影響を受ける他のポートのトラフィック障害を回避するため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、Auto-QoS 生成のグローバル コンフィギュレーション コマンドをディセーブルにします。QoS がディセーブルの場合、パケットが修正されなくなるため(パケットの CoS、DSCP、IP precedence の値は変更されない)、ポートの信頼性に関する概念はなくなります。トラフィックは Pass-Through モードでスイッチングされます(パケットは書き換えられることなくスイッチングされ、ポリシングなしのベスト エフォートに分類されます)。
例
次の例では、ポートに接続されているスイッチまたはルータが信頼できる装置である場合に、auto-QoS をイネーブルにし、着信パケットで受信した QoS ラベルを信頼する方法を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# auto qos voip trust
設定を確認するには、 show auto qos interface interface-id 特権 EXEC コマンドを入力します。
関連コマンド
|
|
debug auto qos |
Auto-QoS 機能のデバッグをイネーブルにします。 |
mls qos cos |
デフォルトのポート CoS 値を定義するか、あるいはポートのすべての着信パケットにデフォルトの CoS 値を割り当てます。 |
mls qos map { cos-dscp dscp1 ... dscp8 | dscp-cos dscp-list to cos } |
CoS から DSCP へのマッピングまたは DSCP から CoS へのマッピングを定義します。 |
mls qos queue-set output buffers |
キューセットに対しバッファを割り当てます。 |
mls qos srr-queue input bandwidth |
入力キューに対し Shaped Round Robin(SRR)ウェイトを割り当てます。 |
mls qos srr-queue input buffers |
入力キュー間にバッファを割り当てます。 |
mls qos srr-queue input cos-map |
CoS 値を入力キューにマッピング、または CoS 値をキューおよびしきい値 ID にマッピングします。 |
mls qos srr-queue input dscp-map |
DSCP 値を入力キューにマッピング、または DSCP 値をキューおよびしきい値 ID にマッピングします。 |
mls qos srr-queue input priority-queue |
入力プライオリティ キューを設定し、帯域幅を保証します。 |
mls qos srr-queue output cos-map |
CoS 値を出力キューにマッピング、または CoS 値をキューおよびしきい値 ID にマッピングします。 |
mls qos srr-queue output dscp-map |
DSCP 値を出力キューにマッピング、または DSCP 値をキューおよびしきい値 ID にマッピングします。 |
mls qos trust |
ポートの信頼状態を設定します。 |
queue-set |
キューセットに対しポートをマッピングします。 |
show auto qos |
auto-QoS 情報を表示します。 |
show mls qos interface |
ポート レベルで QoS 情報を表示します。 |
srr-queue bandwidth shape |
シェーピング ウェイトを割り当て、ポートにマッピングされた 4 つの出力キュー上の帯域幅のシェーピングをイネーブルにします。 |
srr-queue bandwidth share |
共有ウェイトを割り当て、ポートにマッピングされた 4 つの出力キュー上の帯域幅の共有をイネーブルにします。 |
boot auto-copy-sw
自動アップグレード プロセスをイネーブルにするには、スタック マスターから boot auto-copy-sw グローバル コンフィギュレーション コマンドを使用します。このコマンドにより、Version-Mismatch(VM)モードのスイッチは、スタック メンバー上で実行中のソフトウェア イメージ、またはスイッチ スタックのフラッシュ メモリの tar ファイル イメージをコピーして、自動的にアップグレードします。自動アップグレード プロセスをディセーブルにするには、このコマンドの no 形式を使用します。
boot auto-copy-sw
no boot auto-copy-sw
(注) このコマンドは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(53)SE1 |
このコマンドが追加されました。 |
使用上のガイドライン
VM モードにあるスイッチは、スタックとは異なるマイナー バージョン番号が適用されています。VM モードのスイッチは、完全に機能しているメンバーとしてはスタックに加入できません。スタックが VM モードのスイッチにコピーできるイメージを保有している場合、自動アップグレード プロセスを使用することで、スタック メンバーからのイメージを VM モードのスイッチに自動的にコピーできます。その場合、スイッチは VM モードを終了し、再起動後にスタックに完全に機能しているメンバーとして加入します。
自動アップグレード プロセスは、VM モードのスイッチだけに影響します。既存のスタック メンバーには影響しません。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
show version |
ハードウェアおよびファームウェアのバージョン情報を表示します。 |
boot config-file
システム設定の不揮発性コピーの読み込みおよび書き込みを行うために、Cisco IOS が使用するファイル名を指定するには、スタンドアロン スイッチ上で boot config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
(注) スタックは、Catalyst 2960-S スイッチのみでサポートされています。
boot config-file flash: / file-url
no boot config-file
シンタックスの説明
flash:/ file-url |
コンフィギュレーション ファイルのパス(ディレクトリ)および名前 |
デフォルト
デフォルトのコンフィギュレーション ファイルは、flash:config.text です。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot enable-break
自動ブート プロセスの中断をイネーブルにするには、スタンドアロン スイッチ上で boot enable-break グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot enable-break
no boot enable-break
(注) スタックは、Catalyst 2960-S スイッチのみでサポートされています。
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
ディセーブル。コンソール上で Break キーを押しても自動ブート プロセスを中断することはできません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、スタンドアロン スイッチからだけ正常に動作します。
このコマンドを入力すると、フラッシュ ファイル システムが初期化されたあとで Break キーを押すことにより、自動ブート プロセスを中断することができます。
(注) このコマンドの設定に関係なく、スイッチ前面パネルの MODE ボタンを押せば、いつでも自動ブート プロセスを中断することができます。
このコマンドは、ENABLE_BREAK 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 2960 および 2960-S スイッチ ブートローダ コマンド」 を参照してください。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot helper
ブートローダの初期化中にダイナミックにファイルをロードして、ブートローダの機能を拡張するか、またはブートローダの機能にパッチを当てるには、 boot helper グローバル コンフィギュレーション コマンドを使用します。このコマンドをデフォルト設定に戻す場合は、このコマンドの no 形式を使用します。
boot helper filesystem :/ file-url ...
no boot helper
シンタックスの説明
filesystem : |
フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスに対して flash: を使用します。 |
/ file-url |
ローダ初期化中に動的にロードするためのパス(ディレクトリ)およびロード可能なファイルのリスト。イメージ名はセミコロンで区切ります。 |
デフォルト
ヘルパー ファイルはロードされません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot helper-config-file
Cisco IOS ヘルパー イメージで使用されるコンフィギュレーション ファイルの名前を指定するには、 boot helper-config-file グローバル コンフィギュレーション コマンドを使用します。このコマンドが設定されていない場合は、CONFIG_FILE 環境変数によって指定されたファイルがロードされたすべてのバージョンの Cisco IOS に使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot helper-config-file filesystem :/ file-url
no boot helper-config file
シンタックスの説明
filesystem : |
フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスに対して flash: を使用します。 |
/ file-url |
ロードするパス(ディレクトリ)およびヘルパー コンフィギュレーション ファイル |
デフォルト
ヘルパー コンフィギュレーション ファイルは指定されません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot manual
次回ブート サイクル中にスイッチの手動起動をイネーブルにするには、スタンドアロン スイッチ上で boot manual グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot manual
no boot manual
(注) スタックは、Catalyst 2960-S スイッチのみでサポートされています。
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、スタンドアロン スイッチからだけ正常に動作します。
次回システムを再起動すると、スイッチはブートローダ モードで起動します。このことは switch: プロンプトで確認できます。システムを起動するには、 boot ブート ローダ コマンドを使用して起動可能なイメージの名前を指定します。
このコマンドは、MANUAL_BOOT 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 2960 および 2960-S スイッチ ブートローダ コマンド」 を参照してください。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot private-config-file
プライベート コンフィギュレーションの不揮発性コピーの読み込みおよび書き込みを行うために Cisco IOS が使用するファイル名を指定するには、スタンドアロン スイッチ上で boot private-config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot private-config-file filename
no boot private-config-file
シンタックスの説明
filename |
プライベート コンフィギュレーション ファイルの名前 |
デフォルト
デフォルトのコンフィギュレーション ファイルは、 private-config です。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、スタンドアロン スイッチからだけ正常に動作します。
ファイル名では、大文字と小文字が区別されます。
例
次の例では、プライベート コンフィギュレーション ファイルの名前を pconfig と指定する方法を示します。
Switch(config)# boot private-config-file pconfig
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot system
次回のブート サイクル中にロードする Cisco IOS イメージを指定するには、 boot system グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot system { filesystem :/ file-url ... | switch { number | all }}
no boot system
no boot system switch { number | all }
(注) スタックは、Catalyst 2960-S スイッチのみでサポートされています。
シンタックスの説明
filesystem : |
フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスに対して flash: を使用します。 |
/ file-url |
ブート可能なイメージのパス(ディレクトリ)および名前。各イメージ名はセミコロンで区切ります。 |
switch |
Cisco IOS イメージがロードされるスイッチを指定します。 |
number |
スイッチ メンバーを指定します(1 ~ 4)。 |
all |
すべてのスタック メンバーを指定します。 |
デフォルト
スイッチは、BOOT 環境変数内の情報を使用して、自動的にシステムの起動を試みます。この変数が設定されていない場合、スイッチは、フラッシュ ファイル システム全体に再帰的な縦型検索を行って、最初の実行可能イメージをロードして実行しようとします。ディレクトリの縦型検索では、検出した各サブディレクトリを完全に検索してから元のディレクトリでの検索を続けます。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
12.2(53)SE |
switch { number | all } キーワードが Catalyst 2960-S スイッチに追加されました。 |
使用上のガイドライン
ファイル名およびディレクトリ名では、大文字と小文字が区別されます。
スタック マスター上で boot system filesystem:/file-url コマンドを入力した場合、次回のブート サイクル中に指定のソフトウェア イメージがスタック マスター上だけでロードされます。
スタック マスター上で、次回のブート サイクル中に指定のスタック メンバーでソフトウェア イメージがロードされるように指定するには、 boot system switch number コマンドを使用します。次回のブート サイクル中にすべてのスタック メンバー上でソフトウェア イメージがロードされるように指定するには、 boot system switch all コマンドを使用します。
boot system switch number コマンドまたは boot system switch all コマンドをスタック マスター上で入力すると、スタック マスターはスタック メンバー上にソフトウェア イメージが存在しているかどうか確認します。スタック メンバー上(スタック メンバー 1 など)にソフトウェア イメージが存在しない場合、次のようなエラー メッセージが表示されます。
%Command to set boot system switch all xxx on switch=1 failed
archive download-sw 特権 EXEC コマンドを使用してシステム イメージを保存している場合、 boot system コマンドを使用する必要はありません。 boot system コマンドは自動的に処理され、ダウンロードされたイメージがロードされます。
このコマンドは、BOOT 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 2960 および 2960-S スイッチ ブートローダ コマンド」 を参照してください。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
channel-group
EtherChannel グループにイーサネット ポートを割り当てたり、EtherChannel モードをイネーブルにしたりするには、 channel-group インターフェイス コンフィギュレーション コマンドを使用します。イーサネット ポートを EtherChannel グループから削除する場合は、このコマンドの no 形式を使用します。
channel-group channel -group-number mode { active | { auto [ non-silent ]} | { desirable [ non-silent ]} | on | passive }
no channel-group
PAgP modes:
channel-group channel -group-number mode { { auto [ non-silent ]} | { desirable [ non-silent}}
LACP modes:
channel-group channel -group-number mode {active | passive}
On mode:
channel-group channel -group-number mode on
シンタックスの説明
channel-group-number |
チャネルグループ番号を指定します。指定できる範囲は 1 ~ 6 です。 |
mode |
EtherChannel モードを指定します。 |
active |
無条件に Link Aggregation Control Protocol(LACP)をイネーブルにします。 active モードは、ポートをネゴシエーション ステートにします。この場合、ポートは LACP パケットを送信することによって他のポートとのネゴシエーションを開始します。チャネルは、active モードまたは passive モードの別のポート グループで形成されます。 |
auto |
Port Aggregation Protocol(PAgP; ポート集約プロトコル)装置が検出された場合にかぎり、PAgP をイネーブルにします。 auto モードは、ポートをパッシブ ネゴシエーション ステートにします。この場合、ポートは受信する PAgP パケットに応答しますが、PAgP パケット ネゴシエーションを開始することはありません。チャネルは、desirable モードの別のポート グループでだけ形成されます。 auto がイネーブルの場合、サイレント動作がデフォルトになります。 |
desirable |
PAgP を無条件でイネーブルにします。 desirable モードは、ポートをアクティブ ネゴシエーション ステートにします。この場合、ポートは PAgP パケットを送信することによって、他のポートとのネゴシエーションを開始します。EtherChannel は、desirable モードまたは auto モードの別のポート グループで形成されます。 desirable がイネーブルの場合は、デフォルトでサイレント動作となります。 |
non-silent |
(任意)他の装置からのトラフィックが予想されている場合に PAgP モードで auto または desirable キーワードとともに使用されます。 |
on |
on モードをイネーブルにします。 on モードでは、使用可能な EtherChannel が存在するのは、両方の接続ポート グループが on モードになっている場合だけです。 |
passive |
LACP 装置が検出された場合にかぎり、LACP をイネーブルにします。 passive モードは、ポートをネゴシエーション ステートにします。この場合、ポートは受信した LACP パケットに応答しますが、LACP パケット ネゴシエーションを開始することはありません。チャネルは、active モードの別のポート グループでだけ形成されます。 |
デフォルト
チャネルグループは割り当てられません。
モードは設定されていません。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
レイヤ 2 EtherChannel の場合、物理ポートをチャネル グループに割り当てる前に、先に interface port-channel グローバル コンフィギュレーション コマンドを使用してポートチャネル インターフェイスを作成しておく必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。論理インターフェイスがまだ作成されていない場合は、チャネル グループが最初の物理ポートを取得した時点で、自動的にポートチャネル インターフェイスが作成されます。最初にポートチャネル インターフェイスを作成する場合は、 channel-group-number を port - channel-number と同じ番号を使用することもできれば、新しい番号を使用することもできます。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポート チャネルを作成します。
EtherChannel を設定したあと、ポートチャネル インターフェイスに加えられた設定の変更は、そのポートチャネル インターフェイスに割り当てられたすべての物理ポートに適用されます。物理ポートに適用された設定の変更は、設定を適用したポートのみに有効です。EtherChannel 内のすべてのポートのパラメータを変更するには、ポートチャネル インターフェイスに対してコンフィギュレーション コマンドを適用します。たとえば、spanning-tree コマンドを使用して、レイヤ 2 EtherChannel をトランクとして設定します。
auto モードまたは desirable モードとともに non-silent を指定しなかった場合は、サイレントが指定されているものと見なされます。サイレント モードを設定するのは、PAgP 非対応で、かつほとんどパケットを送信しない装置にスイッチを接続する場合です。サイレント パートナーの例は、トラフィックを生成しないファイル サーバ、またはパケット アナライザなどです。この場合、物理ポート上で稼動している PAgP は、そのポートを動作可能にしません。ただし、PAgP は動作可能で、チャネル グループにポートを付与したり、伝送用ポートを使用することができます。リンクの両端はサイレントに設定することはできません。
on モードでは、使用可能な EtherChannel が存在するのは、 on モードのポート グループが、 on モードの別のポート グループに接続する場合だけです。
注意 on モードの使用には注意が必要です。これは手動の設定であり、EtherChannel の両端のポートには、同一の設定が必要です。グループの設定を誤ると、パケット損失またはスパニングツリーのループが発生することがあります。
EtherChannel は、PAgP と LACP の両方のモードには設定しないでください。PAgP および LACP を実行している EtherChannle グループは、同一のスイッチ、またはスタックにある異なるスイッチ(クロススタック設定ではできません)上で共存できます。個々の EtherChannel グループは PAgP または LACP のどちらかを実行できますが、相互運用することはできません。
(注) スタックは、Catalyst 2960-S スイッチのみでサポートされています。
channel-protocol インターフェイス コンフィギュレーション コマンドを使用してプロトコルを設定した場合、設定値は、 channel-group インターフェイス コンフィギュレーション コマンドによっては上書きされません。
アクティブまたはアクティブでない EtherChannel メンバーを 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。
セキュア ポートを EtherChannel の一部として、または EtherChannel ポートをセキュア ポートとしては設定しないでください。
設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。
例
次の例では、単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN 10 のスタティックアクセス ポート 2 つを PAgP モード desirable であるチャネル 5 に割り当てます。
Switch# configure terminal
Switch(config)# interface range gigabitethernet 0/1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode desirable
Switch(config-if-range)# end
次の例では、単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN 10 のスタティックアクセス ポート 2 つを LACP モード active であるチャネル 5 に割り当てます。
Switch# configure terminal
Switch(config)# interface range gigabitethernet 0/1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode active
Switch(config-if-range)# end
次の例では、クロススタック EtherChannel を設定する方法を示します。LACP パッシブ モードを使用して、VLAN10 内のスタテイックアクセス ポートとしてスタック メンバー 2 のポートを 2 つ、スタック メンバー 3 のポートを 1 つチャネル 5 に割り当てます。
Switch# configure terminal
Switch(config)# interface range gigabitethernet2/0/4 -5
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode passive
Switch(config-if-range)# exit
Switch(config)# interface gigabitethernet3/0/3
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# channel-group 5 mode passive
設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。
関連コマンド
|
|
channel-protocol |
チャネリングを管理するため、ポート上で使用されるプロトコルを制限します。 |
interface port-channel |
ポート チャネルへのアクセスや、ポート チャネルの作成を行います。 |
show etherchannel |
チャネルの EtherChannel 情報を表示します。 |
show lacp |
LACP チャネル グループ情報を表示します。 |
show pagp |
PAgP チャネル グループ情報を表示します。 |
show running-config |
現在の動作設定を表示します。構文情報については、「Cisco IOS Configuration Fundamentals Command Reference, Release 12.2」>「File Management Commands」>「Configuration File Management Commands」を選択してください。 |
channel-protocol
ポート上で使用されるプロトコルを制限してチャネリングを管理するには、 channel-protocol インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
channel-protocol { lacp | pagp }
no channel-protocol
シンタックスの説明
lacp |
Link Aggregation Control Protocol(LACP)で EtherChannel を設定します。 |
pagp |
ポート集約プロトコル(PAgP)で EtherChannel を設定します。 |
デフォルト
EtherChannel に割り当てられているプロトコルはありません。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
channel-protocol コマンドは、チャネルを LACP または PAgP に制限するためのみに使用します。 channel-protocol コマンドを使用してプロトコルを設定する場合、設定は channel-group インターフェイス コンフィギュレーション コマンドで上書きされることはありません。
channel-group インターフェイス コンフィギュレーション コマンドは、EtherChannel のパラメータ設定に使用してください。また、 channel-group コマンドは、EtherChannel に対しモードを設定することもできます。
EtherChannel グループ上で、PAgP および LACP モードの両方をイネーブルにすることはできません。
PAgP と LACP には互換性がありません。両方ともチャネルの終端は同じプロトコルを使用する必要があります。
例
次の例では、EtherChannel を管理するプロトコルとして LACP を指定する方法を示します。
Switch(config-if)# channel-protocol lacp
show etherchannel [ channel-group-number ] protocol 特権 EXEC コマンドを入力すると、設定を確認できます。
関連コマンド
|
|
channel-group |
EtherChannel グループにイーサネット ポートを割り当てます。 |
show etherchannel protocol |
EtherChannel のプロトコル情報を表示します。 |
cisp enable
スイッチ上で Client Information Signalling Protocol(CISP)をイネーブルにして、サプリカント スイッチのオーセンティケータとして機能するようにするには、cisp enable グローバル コンフィギュレーション コマンドを使用します。
cisp enable
no cisp enable
シンタックスの説明
cisp enable |
CISP をイネーブルにします。 |
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
オーセンティケータとサプリカント スイッチ間のリンクはトランクになります。両方のスイッチ上で VTP をイネーブルにする場合は、VTP ドメイン名を同じにして、VTP モードを server にする必要があります。
VTP モードを設定したら、MD5 チェックサム不一致エラーが発生しないようにするために次のことを確認してください。
• 2 つの異なるスイッチ上に VLAN がそれぞれ設定されていない(2 つの VTP サーバが同じドメイン内に存在することが原因と考えられる)
• 2 つのスイッチに異なるコンフィギュレーション リビジョン番号が設定されている
例
次の例では、CISP をイネーブルにする方法を示します。
switch(config)# cisp enable
class
指定されたクラス マップ名のトラフィック分類一致条件( police 、 set 、および trust ポリシー マップ クラス コンフィギュレーション コマンドによる)を定義するには、class ポリシー マップ コンフィギュレーション コマンドを使用します。既存のクラス マップを削除する場合は、このコマンドの no 形式を使用します。
class class-map-name
no class class-map-name
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
class-map-name |
クラス マップ名です。 |
デフォルト
ポリシーマップ クラス マップは定義されません。
コマンド モード
ポリシーマップ コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
class コマンドを使用する前に、 policy-map グローバル コンフィギュレーション コマンドを使用してポリシー マップを識別し、ポリシーマップ コンフィギュレーション モードを開始する必要があります。ポリシー マップを指定すると、ポリシー マップ内で新規クラスのポリシーを設定したり、既存クラスのポリシーを変更したりすることができます。 service-policy インターフェイス コンフィギュレーション コマンドを使用して、ポリシー マップをポートへ適用できます。
class コマンドを入力すると、ポリシー マップ クラス コンフィギュレーション モードに入り、次のコンフィギュレーション コマンドが使用可能になります。
• exit :ポリシー マップ クラス コンフィギュレーション モードを終了し、ポリシー マップ コンフィギュレーション モードに戻ります。
• no :コマンドをデフォルト設定に戻します。
• police :分類したトラフィックにポリサーまたは集約ポリサーを定義します。ポリサーは、帯域幅の限度およびその限度を超過した場合に実行するアクションを指定します。詳細については、 police および police aggregate ポリシー マップ クラス コマンドを参照してください。
• set :分類したトラフィックに割り当てる値を指定します。詳細については、 set コマンドを参照してください。
• trust : class コマンドまたは class-map コマンドで分類したトラフィックの信頼状態を定義します。詳細については、 trust コマンドを参照してください。
ポリシーマップ コンフィギュレーション モードに戻るには、 exit コマンドを使用します。特権 EXEC モードに戻るには、 end コマンドを使用します。
class コマンドは、 class-map グローバル コンフィギュレーション コマンドと同じ機能を実行します。他のポートと共有していない新しい分類が必要な場合は、 class コマンドを使用します。多数のポート間でマップを共有する場合には、class-map コマンドを使用します。
例
次の例では、 policy1 という名前のポリシー マップを作成する方法を示します。このコマンドが入力方向に添付された場合、 class1 で定義されたすべての着信トラフィックのマッチングを行い、IP Differentiated Services Code Point(DSCP; DiffServ コード ポイント)を 10 に設定し、平均レート 1 Mbps、バースト 20 KB のトラフィックをポリシングします。プロファイルを超えるトラフィックは、ポリシング設定 DSCP マップから取得した DSCP 値がマークされてから送信されます。
Switch(config)# policy-map policy1
Switch(config-pmap)# class class1
Switch(config-pmap-c)# set dscp 10
Switch(config-pmap-c)# police 1000000 20000 exceed-action policed-dscp-transmit
Switch(config-pmap-c)# exit
設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。
関連コマンド
|
|
class-map |
名前を指定したクラスとパケットとの比較に使用されるクラス マップを作成します。 |
police |
分類したトラフィックにポリサーを定義します。 |
policy-map |
複数のポートに適用することによってサービス ポリシーを指定できるポリシー マップを作成または変更します。 |
set |
パケットに DSCP 値または IP precedence 値を設定することによって、IP トラフィックを分類します。 |
show policy-map |
QoS(Quality Of Service)ポリシー マップを表示します。 |
trust |
class ポリシーマップ コンフィギュレーション コマンドまたは class-map グローバル コンフィギュレーション コマンドを使用して分類されたトラフィックの信頼状態を定義します。 |
class-map
パケットと指定したクラス名との照合に使用するクラス マップを作成し、クラス マップ コンフィギュレーション モードを開始するには、 class-map グローバル コンフィギュレーション コマンドを使用します。既存のクラス マップを削除し、グローバル コンフィギュレーション モードに戻る場合は、このコマンドの no 形式を使用します。
class-map [ match-all | match-any ] class-map-name
no class-map [ match-all | match-any ] class-map-name
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
match-all |
(任意)このクラス マップ内のすべての一致ステートメントの論理積をとります。クラス マップ内のすべての基準が一致する必要があります。 |
match-any |
(任意)このクラス マップ内の一致ステートメントの論理和をとります。1 つまたは複数の条件が一致していなければなりません。 |
class-map-name |
クラス マップ名です。 |
デフォルト
クラス マップは定義されません。
match-all または match-any のどちらのキーワードも指定されていない場合、デフォルトは match-all です。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
クラス マップ一致基準を作成または変更したいクラスの名前を指定し、クラス マップ コンフィギュレーション モードを開始する場合は、このコマンドを使用します。
ポートごとに適用されるグローバルに名付けられたサービス ポリシーの一部としてパケットの分類、マーキング、および集約ポリシングを定義する場合は、 class-map コマンドおよびそのサブコマンドを使用します。
QoS(Quality Of Service)クラスマップ コンフィギュレーション モードでは、次の設定コマンドを利用できます。
• description :クラス マップを説明します(最大 200 文字)。 show class-map 特権 EXEC コマンドは、クラスマップの説明と名前を表示します。
• exit :QoS クラス マップ コンフィギュレーション モードを終了します。
• match :分類基準を設定します。詳細については、 match(クラスマップ コンフィギュレーション) コマンドを参照してください。
• no :クラス マップから match 文を削除します。
• rename :現在のクラス マップの名前を変更します。クラス マップ名をすでに使用されている名前に変更すると、 A class-map with this name already exists
が表示されます。
物理ポート単位でパケット分類を定義するため、クラス マップごとに 1 つずつのみ match コマンドがサポートされています。この状況では、 match-all キーワードと match-any キーワードは同じです。
1 つのクラス マップで設定できるアクセス コントロール リスト(ACL)は 1 つだけです。ACL には複数の Access Control Entry(ACE; アクセス コントロール エントリ)を含めることができます。
例
次の例では、クラス マップ class1 に 1 つの一致基準(アクセス リスト 103 )を設定する方法を示します。
Switch(config)# access-list 103 permit ip any any dscp 10
Switch(config)# class-map class1
Switch(config-cmap)# match access-group 103
Switch(config-cmap)# exit
次の例では、クラス マップ class1 を削除する方法を示します。
Switch(config)# no class-map class1
show class-map 特権 EXEC コマンドを入力すると、設定を確認できます。
関連コマンド
|
|
class |
指定されたクラスマップ名のトラフィック分類一致条件( police 、 set 、および trust ポリシーマップ クラス コンフィギュレーション コマンドによる)を定義します。 |
match(クラスマップ コンフィギュレーション) |
トラフィックを分類するための一致条件を定義します。 |
policy-map |
複数のポートに適用することによってサービス ポリシーを指定できるポリシー マップを作成または変更します。 |
show class-map |
QoS クラス マップを表示します。 |
clear dot1x
スイッチまたは指定されたポートの IEEE 802.1x 情報をクリアするには、 clear dot1x 特権 EXEC コマンドを使用します。
clear dot1x { all | interface interface-id }
シンタックスの説明
all |
スイッチのすべての IEEE 802.1x 情報をクリアします。 |
interface interface-id |
指定されたインターフェイスの IEEE 802.1x 情報をクリアします。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)SEE |
このコマンドが追加されました。 |
使用上のガイドライン
clear dot1x all コマンドを使用して、すべての情報をクリアできます。また、 clear dot1x interface interface-id コマンドを使用して、指定されたインターフェイスの情報のみをクリアできます。
例
次の例では、すべての IEEE 802.1x 情報をクリアする方法を示します。
次の例では、指定されたインターフェイスの IEEE 802.1x 情報をクリアする方法を示します。
Switch#
clear dot1x interface gigabithethernet0/1
Switch#
clear dot1x interface gigabithethernet1/1
情報が削除されたかどうかを確認するには、 show dot1x 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show dot1x |
スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。 |
clear eap sessions
スイッチまたは指定されたポートの Extensible Authentication Protocol(EAP)セッション情報をクリアするには、 clear eap sessions 特権 EXEC コマンドを使用します。
clear eap sessions [ credentials name [ interface interface-id ] | interface interface-id | method name | transport name ] [ credentials name | interface interface-id | transport name ] ...
シンタックスの説明
credentials name |
指定されたプロファイルの EAP クレデンシャル情報をクリアします。 |
interface interface-id |
指定されたインターフェイスの EAP 情報をクリアします。 |
method name |
指定された方式の EAP 情報をクリアします。 |
transport name |
指定された下位レベルの EAP トランスポート情報をクリアします。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)SEE |
このコマンドが追加されました。 |
使用上のガイドライン
clear eap sessions コマンドを使用して、すべてのカウンタをクリアできます。キーワードを指定して、特定の情報のみをクリアできます。
例
次の例では、すべての EAP 情報をクリアする方法を示します。
次の例では、指定されたプロファイルの EAP セッション クレデンシャル情報をクリアする方法を示します。
Switch#
clear eap sessions credential type1
情報が削除されたかどうかを確認するには、 show dot1x 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show eap |
スイッチまたは特定のポートの EAP のレジストレーション情報およびセッション情報を表示します。 |
clear errdisable interface
errdisable になった VLAN をもう一度イネーブルにするには、 clear errdisable interface 特権 EXEC コマンドを使用します。
clear errdisable interface interface-id vlan [vlan-list]
シンタックスの説明
vlan list |
(任意)再びイネーブルにする VLAN のリストを指定します。vlan-list を指定しない場合は、すべての VLAN が再びイネーブルになります。 |
コマンドのデフォルト
デフォルトは定義されていません。
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(37)SE |
このコマンドが追加されました。 |
使用上のガイドライン
shutdown および no shutdown のインターフェイス コンフィギュレーション コマンドを使用してポートを再びイネーブルにするか、clear errdisable interface コマンドを使用して VLAN の errdisable をクリアできます。
例
次の例では、errdisable ステートになっているポート 2 上のすべての VLAN を再度イネーブルにする方法を示します。
Switch#
clear errdisable interface GigabitEthernet 0/2 vlan
関連コマンド
|
|
errdisable detect cause |
特定の原因、またはすべての原因に対して errdisable 検出をイネーブルにします。 |
errdisable recovery |
回復メカニズム変数を設定します。 |
show errdisable detect |
errdisable 検出ステータスを表示します。 |
show errdisable recovery |
errdisable 回復タイマー情報を表示します。 |
show interfaces status err-disabled |
errdisable ステートになっているインターフェイスのリストのインターフェイス ステータスを表示します。 |
clear arp inspection log
ダイナミック アドレス解決プロトコル(ARP)インスペクション ログ バッファを消去するには、 clear ip arp inspection log 特権 EXEC コマンドを使用します。
clear ip arp inspection log
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
例
次の例では、ログ バッファの内容をクリアする方法を示します。
Switch#
clear ip arp inspection log
ログがクリアされたかどうかを確認するには、 show ip arp inspection log 特権コマンドを入力します。
関連コマンド
|
|
arp access-list |
ARP アクセス コントロール リスト(ACL)を定義します。 |
ip arp inspection log-buffer |
ダイナミック ARP インスペクションのログ バッファを設定します。 |
ip arp inspection vlan logging |
VLAN ごとにロギングされるパケットのタイプを制御します。 |
show inventory log |
ダイナミック ARP インスペクション ログ バッファの設定と内容を表示します。 |
clear ip arp inspection statistics
ダイナミック アドレス解決プロトコル(ARP)インスペクション統計情報をクリアするには、 clear ip arp inspection statistics 特権 EXEC コマンドを使用します。
clear ip arp inspection statistics [ vlan vlan-range ]
シンタックスの説明
vlan vlan-range |
(任意)指定された VLAN(1 つまたは複数)の統計情報をクリアします。 VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定することができます。指定できる範囲は 1 ~ 4094 です。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
例
次の例では、VLAN 1 の統計情報をクリアする方法を示します。
Switch# clear ip arp inspection statistics vlan 1
統計情報が削除されたかどうかを確認するには、 show ip arp inspection statistics vlan 1 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show inventory statistics |
すべての VLAN または指定された VLAN に関して転送されたパケット、廃棄されたパケット、MAC 検証で不合格となったパケット、および IP 検証で不合格となったパケットの統計情報を表示します。 |
clear ip dhcp snooping
DHCP スヌーピング バインディング データベース、DHCP スヌーピング バインディング データベース エージェントの統計情報、または DHCP スヌーピング統計カウンタをクリアするには、 clear ip dhcp snooping 特権 EXEC コマンドを使用します。
clear ip dhcp snooping { binding {* | ip-address | interface interface-id | vlan vlan-id } | database statistics | statistics }
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
binding |
DHCP スヌーピング バインディング データベースをクリアします。 |
* |
すべての自動バインディングをクリアします。 |
ip-address |
バインディング エントリ IP アドレスをクリアします。 |
interface interface-id |
バインディング入力インターフェイスをクリアします。 |
vlan vlan-id |
バインディング エントリ VLAN をクリアします。 |
database statistics |
DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアします。 |
statistics |
DHCP スヌーピング統計カウンタをクリアします。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
12.2(37)SE |
statistics キーワードが追加されました。 |
12.2(44)SE |
* 、 ip-address 、 interface interface-id 、 および vlan vlan-id キーワードが追加されました。 |
使用上のガイドライン
clear ip dhcp snooping database statistics コマンドを入力すると、スイッチは統計情報をクリアする前にバインディング データベースおよびバインディング ファイル内のエントリを更新しません。
例
次の例では、DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアする方法を示します。
Switch# clear ip dhcp snooping database statistics
統計情報がクリアされたかどうかを確認するには、 show ip dhcp snooping database 特権 EXEC コマンドを入力します。
次の例では、DHCP スヌーピング統計カウンタをクリアする方法を示します。
Switch#
clear ip dhcp snooping statistics
統計情報がクリアされたかどうかを確認するには、 show ip dhcp snooping statistics ユーザ EXEC コマンドを入力します。
関連コマンド
|
|
ip dhcp snooping |
VLAN 上で DHCP スヌーピングをイネーブルにします。 |
ip dhcp snooping database |
DHCP スヌーピング バインディング データベース エージェントまたはバインディング ファイルを設定します。 |
show ip dhcp snooping binding |
DHCP スヌーピング データベース エージェントのステータスを表示します。 |
show ip dhcp snooping database |
DHCP スヌーピング バインディング データベース エージェントの統計情報を表示します。 |
show ip dhcp snooping statistics |
DHCP スヌーピングの統計情報を表示します。 |
clear lacp
Link Aggregation Control Protocol(LACP)チャネル グループ カウンタをクリアするには、 clear lacp 特権 EXEC コマンドを使用します。
clear lacp { channel-group-number counters | counters }
シンタックスの説明
channel-group-number |
(任意)チャネル グループ番号。指定できる範囲は 1 ~ 6 です。 |
counters |
トラフィックのカウンタをクリアします。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
clear lacp counters コマンドを使用することで、カウンタをすべてクリアできます。また、指定のチャネル グループのカウンタのみをクリアする場合には、 clear lacp channel-group-number counters コマンドを使用します。
例
次の例では、すべてのチャネル グループ情報をクリアする方法を示します。
Switch#
clear lacp counters
次の例では、グループ 4 の LACP トラフィックのカウンタをクリアする方法を示します。
Switch#
clear lacp 4 counters
情報が削除されたかどうかを確認するには、 show lacp counters または show lacp 4 counters 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show lacp |
LACP チャネル グループ情報を表示します。 |
clear logging onboard
フラッシュ メモリに保存されている動作時間と CLI コマンド情報以外のすべてのオンボード障害ロギング (OBFL) データを消去するには、スイッチ スタック上またはスタンドアロン スイッチ上で clear logging onboard 特権 EXEC コマンドを使用します。
clear logging onboard [module { switch-number | all }
(注) このコマンドは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。
シンタックスの説明
module |
(任意)スタック内の指定したスイッチの OBFL データをクリアします。 |
switch-number |
指定したスイッチの OBFL のみクリアします。範囲は、1 ~ 4 です。 |
all |
(任意)スタック内のすべてのスイッチの OBFL データをクリアします。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(53)SE1 |
このコマンドが追加されました。 |
使用上のガイドライン
OBFL はイネーブルにしたままにしておき、フラッシュ メモリ内に保存されているデータは消去しないことをお勧めします。
例
次の例では、動作時間と CLI コマンド情報以外のすべての OBFL 情報をクリアする方法を示します。
Switch#
clear logging onboard
Clear logging onboard buffer [confirm]
show logging onboard onboard 特権 EXEC コマンドを入力すると、情報が削除されたかどうかを確認できます。
関連コマンド
|
|
hw-module module [ switch-number ] logging onboard |
OBFL をイネーブルにします。 |
show logging onboard onboard |
OBFL 情報を表示します。 |
clear mac address-table
指定のダイナミック アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、スタック メンバー上のすべてのダイナミック アドレス、または特定の VLAN(仮想 LAN)上のすべてのダイナミック アドレスを MAC(メディア アクセス制御)アドレス テーブルから削除するには、 clear mac-address-table 特権 EXEC コマンドを使用します。このコマンドはまた MAC アドレス通知グローバル カウンタもクリアします。
clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id ] | notification }
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
dynamic |
すべてのダイナミック MAC アドレスを削除します。 |
dynamic address mac-addr |
(任意)指定されたダイナミック MAC アドレスを削除します。 |
dynamic interface interface-id |
(任意)指定された物理ポートまたはポート チャネル上のすべてのダイナミック MAC アドレスを削除します。 |
dynamic vlan vlan-id |
(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ~ 4094 です。 |
notification |
履歴テーブルの通知をクリアし、カウンタをリセットします。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
例
次の例では、ダイナミック アドレス テーブルから指定の MAC アドレスを削除する方法を示します。
Switch# clear mac address-table dynamic address 0008.0070.0007
情報が削除されたかどうかを確認するには、 show mac address-table 特権 EXEC コマンドを入力します。
関連コマンド
|
|
mac address-table notification |
MAC アドレス通知機能をイネーブルにします。 |
show mac access-group |
MAC アドレス テーブルのスタティック エントリおよびダイナミック エントリを表示します。 |
show mac address-table notification |
すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。 |
snmp trap mac-notification change |
特定のインターフェイス上の Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)MAC アドレス通知トラップをイネーブルにします。 |
clear mac address-table move update
MAC アドレス テーブルの移行更新に関連したカウンタをクリアするには、 clear mac address-table move update 特権 EXEC コマンドを使用します。
clear mac address-table move update
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)SED |
このコマンドが追加されました。 |
例
次の例では、MAC アドレス テーブル移行更新関連カウンタをクリアする方法を示します。
Switch# clear mac address-table move update
情報がクリアされたかどうかを確認するには、 show mac address-table move update 特権 EXEC コマンドを入力します。
関連コマンド
|
|
mac address-table move update { receive | transmit } |
スイッチ上の MAC アドレス テーブル移行更新を設定します。 |
show mac address-table move update |
スイッチに MAC アドレス テーブル移行更新情報を表示します。 |
clear nmsp statistics
Network Mobility Services Protocol(NMSP; ネットワーク モビリティ サービス プロトコル)統計情報をクリアするには、 clear nmsp statistics 特権 EXEC コマンドを使用します。このコマンドを使用できるのは、スイッチで暗号化ソフトウェア イメージが実行されている場合だけです。
clear nmsp statistics
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
例
次の例では、NMSP 統計情報をクリアする方法を示します。
Switch# clear nmsp statistics
情報が削除されたかどうかを確認するには、 show nmsp statistics 特権 EXEC コマンドを入力します。
clear pagp
ポート集約プロトコル(PAgP)チャネル グループ情報をクリアするには、 clear pagp 特権 EXEC コマンドを使用します。
clear pagp { channel-group-number counters | counters }
シンタックスの説明
channel- group-number |
(任意)チャネル グループ番号。指定できる範囲は 1 ~ 6 です。 |
counters |
トラフィックのカウンタをクリアします。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
すべてのカウンタをクリアするには、 clear pagp counters コマンドを使用します。また、 clear pagp channel-group-number counters コマンドを使用すると、指定のチャネル グループのカウンタだけをクリアできます。
例
次の例では、すべてのチャネル グループ情報をクリアする方法を示します。
Switch#
clear pagp counters
次の例では、グループ 10 の PAgP トラフィックのカウンタをクリアする方法を示します。
Switch#
clear pagp 10 counters
情報が削除されたかどうかを確認するには、 show pagp 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show pagp |
PAgP チャネル グループ情報を表示します。 |
clear port-security
MAC アドレス テーブルからすべてのセキュア アドレスを削除するか、スイッチまたはインターフェイス上の特定タイプ(設定済み、ダイナミック、スティッキ)のすべてのセキュア アドレスを削除するには、 clear port-security 特権 EXEC コマンドを使用します。
clear port-security { all | configured | dynamic | sticky } [[ address mac-addr | interface interface-id ] [ vlan { vlan-id | { access | voice}}]]
シンタックスの説明
all |
すべてのセキュア MAC アドレスを削除します。 |
configured |
設定済みセキュア MAC アドレスを削除します。 |
dynamic |
ハードウェアによって自動学習されたセキュア MAC アドレスを削除します。 |
sticky |
自動学習または設定済みセキュア MAC アドレスを削除します。 |
address mac-addr |
(任意)指定されたダイナミック セキュア MAC アドレスを削除します。 |
interface interface-id |
(任意)指定された物理ポートまたは VLAN 上のすべてのダイナミック セキュア MAC アドレスを削除します。 |
vlan |
(任意)指定された VLAN から指定されたセキュア MAC アドレスを削除します。 vlan キーワードを入力後、以下のいずれかのオプションを入力します。 • vlan-id :トランク ポート上で、クリアする必要のあるアドレスの VLAN の VLAN ID を指定します。 • access :アクセス ポートで、アクセス VLAN 上の指定されたセキュア MAC アドレスをクリアします。 • voice :アクセス ポートで、音声 VLAN 上の指定されたセキュア MAC アドレスをクリアします。 (注) voice キーワードは、音声 VLAN がポートに設定されてそのポートがアクセス VLAN でない場合のみ利用可能です。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
例
次の例では、MAC アドレス テーブルからすべてのセキュア アドレスを削除する方法を示します。
Switch# clear port-security all
次の例では、MAC アドレス テーブルから特定の設定済みセキュア アドレスを削除する方法を示します。
Switch# clear port-security configured address 0008.0070.0007
次の例では、特定のインターフェイスで学習されたすべてのダイナミック セキュア アドレスを削除する方法を示します。
Switch# clear port-security dynamic interface gigabitethernet0/1
次の例では、アドレス テーブルからすべてのダイナミック セキュア アドレスを削除する方法を示します。
Switch# clear port-security dynamic
情報が削除されたかどうかを確認するには、 show port-security 特権 EXEC コマンドを入力します。
関連コマンド
|
|
switchport port-security |
インターフェイス上でポート セキュリティをイネーブルにします。 |
switchport port-security mac-address mac-address |
セキュア MAC アドレスを設定します。 |
switchport port-security maximum value |
セキュア インターフェイスにセキュア MAC アドレスの最大数を設定します。 |
show port-security |
インターフェイスまたはスイッチに定義されたポート セキュリティ設定を表示します。 |
clear spanning-tree counters
スパニングツリー カウンタをクリアするには、 clear spanning-tree counters 特権 EXEC コマンドを使用します。
clear spanning-tree counters [ interface interface-id ]
シンタックスの説明
interface interface-id |
(任意)指定のインターフェイスのスパニングツリー カウンタをすべてクリアします。有効なインターフェイスとしては、物理ポート、VLAN、およびポート チャネルがあります。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 6 です。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
interface-id が指定されていない場合は、すべてのインターフェイスのスパニングツリー カウンタがクリアされます。
例
次の例では、すべてのインターフェイスのスパニングツリー カウンタをクリアする方法を示します。
Switch# clear spanning-tree counters
関連コマンド
|
|
show spanning-tree |
スパニングツリー ステート情報を表示します。 |
clear spanning-tree detected-protocols
すべてのインターフェイスまたは指定されたインターフェイス上でプロトコル移行プロセスを再開する(強制的に近接スイッチと再ネゴシエートする)には、 clear spanning-tree detected-protocols 特権 EXEC コマンドを使用します。
clear spanning-tree detected-protocols [ interface interface-id ]
シンタックスの説明
interface interface-id |
(任意)指定されたインターフェイスでプロトコル移行プロセスを再開します。有効なインターフェイスとしては、物理ポート、VLAN、およびポート チャネルがあります。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 6 です。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
Rapid Per-VLAN Spanning-Tree Plus(Rapid PVST+)プロトコルまたは Multiple Spanning-Tree Protocol(MSTP)が稼動しているスイッチは、組み込みプロトコル移行メカニズムをサポートしているため、レガシー IEEE 802.1D スイッチと相互に動作できます。Rapid PVST+ スイッチまたは MSTP スイッチが、プロトコルのバージョンが 0 に設定されているレガシー IEEE 802.1D コンフィギュレーション Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を受信した場合は、そのポートで IEEE 802.1D BPDU だけを送信します。Multiple Spanning-Tree(MST)スイッチが、レガシー BPDU、別のリージョンに関連付けられた MST BPDU(バージョン 3)、または Rapid Spanning-Tree(RST; 高速スパニングツリー)BPDU(バージョン 2)を受信したときは、そのポートがリージョンの境界にあることを検知します。
ただし、スイッチは、IEEE 802.1D BPDU を受信しなくなった場合であっても、自動的には Rapid PVST+ モードまたは MSTP モードには戻りません。これは、レガシー スイッチが指定スイッチでなければ、リンクから削除されたかどうかを学習できないためです。この状況では、 clear spanning-tree detected-protocols コマンドを使用します。
例
次の例では、ポートでプロトコル移行プロセスを再開する方法を示します。
Switch# clear spanning-tree detected-protocols interface gigabitethernet0/1
関連コマンド
|
|
show spanning-tree |
スパニングツリー ステート情報を表示します。 |
spanning-tree link-type |
デフォルト リンクタイプ設定を上書きし、スパニングツリーがフォワーディング ステートに高速移行できるようにします。 |
clear vmps statistics
VLAN Query Protocol(VQP)クライアントが保持する統計情報を消去するには、 clear vmps statistics 特権 EXEC コマンドを使用します。
clear vmps statistics
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
例
次の例では、VLAN Membership Policy Server(VMPS; VLAN メンバシップ ポリシー サーバ)統計情報をクリアする方法を示します。
Switch# clear vmps statistics
情報が削除されたかどうかを確認するには、 show vmps statistics 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show vmps |
VQP バージョン、再確認間隔、再試行回数、VMPS IP アドレス、および現在のサーバとプライマリ サーバを表示します。 |
clear vtp counters
VLAN Trunking Protocol(VTP; VLAN トランキング プロトコル)およびプルーニング カウンタを消去するには、 clear vtp counters 特権 EXEC コマンドを使用します。
clear vtp counters
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
例
次の例では、VTP カウンタをクリアする方法を示します。
Switch# clear vtp counters
情報が削除されたかどうかを確認するには、 show vtp counters 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show vtp |
VTP 管理ドメイン、ステータス、カウンタの一般情報を表示します。 |
cluster commander-address
このコマンドは、スタンドアロン クラスタ メンバー スイッチから入力する必要はありません。クラスタ コマンド スイッチは、メンバー スイッチがクラスタに加入した場合に MAC アドレスをこれらのクラスタ メンバー スイッチに自動的に割り当てます。クラスタ メンバー スイッチは、この情報および他のクラスタ情報を実行コンフィギュレーション ファイルに追加します。デバッグまたは回復手順の間だけスイッチをクラスタから削除する場合は、クラスタ メンバー スイッチ コンソール ポートからこのグローバル コンフィギュレーション コマンドの no 形式を使用します。
cluster commander-address mac-address [ member number name name ]
no cluster commander-address
シンタックスの説明
mac-address |
クラスタ コマンド スイッチの MAC アドレス |
member number |
(任意)設定されたクラスタ メンバー スイッチの番号。指定できる範囲は 0 ~ 15 です。 |
name name |
(任意)設定されたクラスタの名前(最大 31 文字) |
デフォルト
このスイッチはどのクラスタのメンバーでもありません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、クラスタ コマンド スイッチ上でのみ利用できます。
各クラスタ メンバーは、クラスタ コマンド スイッチを 1 つしか持てません。
クラスタ メンバー スイッチは、mac-address パラメータによりシステム リロード中にクラスタ コマンド スイッチの ID を保持します。
特定のクラスタ メンバー スイッチで no 形式を入力すると、デバッグまたはリカバリ手順の間そのクラスタ メンバー スイッチをクラスタから削除できます。通常は、メンバーがクラスタ コマンド スイッチと通信ができなくなった場合にのみ、クラスタ メンバー スイッチ コンソール ポートからこのコマンドを入力することになります。通常のスイッチ構成では、クラスタ コマンド スイッチで no cluster member n グローバル コンフィギュレーション コマンドを入力することによってのみ、クラスタ メンバー スイッチを削除することを推奨します。
スタンバイ クラスタ コマンド スイッチがアクティブになった場合(クラスタ コマンド スイッチになった場合)、このスイッチは cluster commander-address 行をその設定から削除します。
例
次の例では、実行中のクラスタ メンバーの設定から、その出力を一部示します。
Switch(config)# show running-configuration
cluster commander-address 00e0.9bc0.a500 member 4 name my_cluster
次の例では、クラスタ メンバー コンソールでクラスタからメンバーを削除する方法を示します。
Switch # configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# no cluster commander-address
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
debug cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
cluster discovery hop-count
候補スイッチの拡張検出用にホップカウントの制限を設定するには、クラスタ コマンド スイッチ上で cluster discovery hop-count グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cluster discovery hop-count number
no cluster discovery hop-count
シンタックスの説明
number |
クラスタ コマンド スイッチが候補の検出を制限するクラスタ エッジからのホップの数。指定できる範囲は 1 ~ 7 です。 |
デフォルト
ホップ カウントは 3 に設定されています。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、クラスタ コマンド スイッチ上でのみ利用できます。このコマンドは、クラスタ メンバー スイッチでは機能しません。
ホップ カウントが 1 に設定された場合、拡張検出はディセーブルになります。クラスタ コマンド スイッチは、クラスタのエッジから 1 ホップの候補だけを検出します。クラスタのエッジとは、最後に検出されたクラスタのメンバー スイッチと最初に検出された候補スイッチの間の点です。
例
次の例では、ホップ カウント制限を 4 に設定する方法を示します。このコマンドは、クラスタ コマンド スイッチ上から実行します。
Switch(config)# cluster discovery hop-count 4
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
show cluster candidates |
候補スイッチのリストを表示します。 |
cluster enable
コマンド対応スイッチをクラスタ コマンド スイッチとしてイネーブルにし、クラスタ名を割り当て、任意でメンバー番号を割り当てるには、そのコマンド対応スイッチ上で cluster enable グローバル コンフィギュレーション コマンドを使用します。すべてのメンバーを削除して、このクラスタ コマンド スイッチを候補スイッチにするには、このコマンドの no 形式を使用します。
cluster enable name [ command-switch-member-number ]
no cluster enable
シンタックスの説明
name |
クラスタ名(最大 31 文字)。指定できる文字は、英数字、ダッシュ、および下線です。 |
command-switch-member-number |
(任意)クラスタのクラスタ コマンド スイッチにメンバー番号を割り当てます。指定できる範囲は 0 ~ 15 です。 |
デフォルト
このスイッチはクラスタ コマンド スイッチではありません。
クラスタ名は定義されません。
スイッチがクラスタ コマンド スイッチである場合、メンバー番号は 0 です。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、どのクラスタにも属していない任意のコマンド対応スイッチ上で入力します。装置がすでにクラスタのメンバーとして設定されている場合、コマンドはエラーとなります。
クラスタ コマンド スイッチをイネーブルにするときには、クラスタに名前を付けてください。スイッチがすでにクラスタ コマンド スイッチとして設定されており、クラスタ名が以前の名前と異なっている場合、コマンドはクラスタ名を変更します。
例
次の例では、クラスタ コマンド スイッチをイネーブルにし、クラスタに名前を付け、クラスタ コマンド スイッチ メンバー番号を 4 に設定する方法を示します。
Switch(config)# cluster enable Engineering-IDF4 4
設定を確認するには、クラスタ コマンド スイッチで show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
cluster holdtime
スイッチ(コマンドまたはクラスタ メンバー スイッチ)が、他のスイッチのハートビート メッセージを受信しなくなってからそのスイッチのダウンを宣言するまでの期間を秒単位で設定するには、クラスタ コマンド スイッチ上で cluster holdtime グローバル コンフィギュレーション コマンドを使用します。期間をデフォルト値に設定する場合は、このコマンドの no 形式を使用します。
cluster holdtime holdtime-in-secs
no cluster holdtime
シンタックスの説明
holdtime-in-secs |
スイッチ(コマンドまたはクラスタ メンバー スイッチ)が、他のスイッチのダウンを宣言するまでの期間(秒)。指定できる範囲は 1 ~ 300 秒です。 |
デフォルト
デフォルトのホールド時間は 80 秒です。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
クラスタ コマンド スイッチ上でのみ、このコマンドと cluster timer グローバル コンフィギュレーション コマンドを入力してください。クラスタ内のすべてのスイッチ間で設定の一貫性が保たれるように、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバーに伝達します。
ホールドタイムは通常インターバル タイマー( cluster timer )の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、「ホールド タイムをインターバル タイムで割った秒数」回のハートビート メッセージが連続して受信されなかったことになります。
例
次の例では、クラスタ コマンド スイッチでインターバル タイマーおよびホールド タイム時間を変更する方法を示します。
Switch(config)# cluster timer 3
Switch(config)# cluster holdtime 30
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
cluster member
クラスタに候補を追加するには、クラスタ コマンド スイッチ上で cluster member グローバル コンフィギュレーション コマンドを使用します。メンバーをクラスタから削除するには、このコマンドの no 形式を使用します。
cluster member [ n ] mac-address H.H.H [ password enable-password ] [ vlan vlan-id ]
no cluster member n
シンタックスの説明
n |
クラスタ メンバーを識別する番号。指定できる範囲は 0 ~ 15 です。 |
mac-address H.H.H |
クラスタ メンバー スイッチの Media Access Control(MAC; メディア アクセス制御)アドレス(16 進数) |
password enable-password |
候補スイッチのパスワードをイネーブルにします。候補スイッチにパスワードがない場合、パスワードは必要ありません。 |
vlan vlan-id |
(任意)クラスタ コマンド スイッチが候補をクラスタに追加するときに使用される VLAN ID。指定できる範囲は 1 ~ 4094 です。 |
デフォルト
新しくイネーブルになったクラスタ コマンド スイッチには、関連するクラスタ メンバーはありません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、候補をクラスタに追加したり、メンバーをクラスタから削除したりする場合にクラスタ コマンド スイッチでのみ入力できます。このコマンドをクラスタ コマンド スイッチ以外のスイッチで入力すると、スイッチはコマンドを拒否し、エラー メッセージを表示します。
スイッチをクラスタから削除する場合はメンバー番号を入力してください。ただし、スイッチをクラスタに追加する場合には、メンバー番号を入力する必要はありません。クラスタ コマンド スイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。
候補スイッチがクラスタに加入した場合には、認証を行うためにそのスイッチのイネーブル パスワードを入力してください。パスワードは、実行コンフィギュレーションまたはスタートアップ コンフィギュレーションには保存されません。候補スイッチがクラスタのメンバーになったあと、そのパスワードはクラスタ コマンド スイッチ パスワードと同じになります。
スイッチが、設定されたホスト名を持たない場合、クラスタ コマンド スイッチは、メンバー番号をクラスタ コマンド スイッチ ホスト名に追加し、これをクラスタ メンバー スイッチに割り当てます。
VLAN ID を指定していない場合、クラスタ コマンド スイッチは自動的に VLAN を選択し、候補をクラスタに追加します。
例
次の例では、スイッチをメンバー 2、MAC アドレス 00E0.1E00.2222、パスワード key としてクラスタに追加する方法を示しています。クラスタ コマンド スイッチは、VLAN 3 を経由して候補をクラスタに追加します。
Switch(config)# cluster member 2 mac-address 00E0.1E00.2222 password key vlan 3
次の例では、MAC アドレス 00E0.1E00.3333 のスイッチをクラスタに追加する方法を示します。このスイッチにはパスワードはありません。クラスタ コマンド スイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。
Switch(config)# cluster member mac-address 00E0.1E00.3333
設定を確認するには、クラスタ コマンド スイッチで show cluster members 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
show cluster candidates |
候補スイッチのリストを表示します。 |
show cluster members |
クラスタ メンバーに関する情報を表示します。 |
cluster outside-interface
クラスタの Network Address Translation(NAT; ネットワーク アドレス変換)の外部インターフェイスを設定し、IP アドレスのないメンバーがクラスタの外部にある装置と通信できるようにするには、クラスタ コマンド スイッチ上で cluster outside-interface グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cluster outside-interface interface-id
no cluster outside-interface
シンタックスの説明
interface-id |
外部インターフェイスとして機能するインターフェイス。有効なインターフェイスとしては、物理インターフェイス、ポート チャネル、または VLAN があります。ポート チャネル範囲は 1 ~ 6 です。指定できる VLAN 範囲は 1 ~ 4094 です。 |
デフォルト
デフォルトの外部インターフェイスは、クラスタ コマンド スイッチによって自動的に選択されます。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、クラスタ コマンド スイッチ上でのみ入力できます。クラスタ メンバー スイッチでコマンドを入力すると、エラー メッセージが表示されます。
例
次の例では、VLAN 1 に外部インターフェイスを設定する方法を示します。
Switch(config)# cluster outside-interface vlan 1
設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show running-config |
現在の動作設定を表示します。構文情報については、「Cisco IOS Configuration Fundamentals Command Reference, Release 12.2」>「File Management Commands」>「Configuration File Management Commands」を選択してください。 |
cluster run
スイッチ上でクラスタリングをイネーブルにするには、 cluster run グローバル コンフィギュレーション コマンドを使用します。スイッチでクラスタリングをディセーブルにする場合は、このコマンドの no 形式を使用します。
cluster run
no cluster run
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
すべてのスイッチでクラスタリングがイネーブルです。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
クラスタ コマンド スイッチ上で no cluster run コマンドを入力すると、クラスタ コマンド スイッチはディセーブルになります。クラスタリングはディセーブルになり、スイッチは候補スイッチになることができません。
クラスタ メンバー スイッチで no cluster run コマンドを入力すると、このメンバー スイッチはクラスタから削除されます。クラスタリングはディセーブルになり、スイッチは候補スイッチになることができません。
クラスタに属していないスイッチで no cluster run コマンドを入力すると、クラスタリングはそのスイッチ上でディセーブルになります。このスイッチは候補スイッチになることができません。
例
次の例では、クラスタ コマンド スイッチでクラスタリングをディセーブルにする方法を示します。
Switch(config)# no cluster run
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
cluster standby-group
既存の Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)にクラスタをバインドしてクラスタ コマンド スイッチの冗長性をイネーブルにするには、 cluster standby-group グローバル コンフィギュレーション コマンドを使用します。routing-redundancy キーワードを入力することで、同一の HSRP グループが、クラスタ コマンド スイッチの冗長性およびルーティングの冗長性に対して使用できるようになります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cluster standby-grou p HSRP-group-name [ routing-redundancy ]
no cluster standby-group
シンタックスの説明
HSRP-group-name |
クラスタにバインドされる HSRP グループの名前。設定できるグループ名は 32 文字までです。 |
routing-redundancy |
(任意)同一の HSRP スタンバイ グループをイネーブルにし、クラスタ コマンド スイッチの冗長性およびルーティングの冗長性に対して使用します。 |
デフォルト
クラスタは、どの HSRP グループにもバインドされません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、クラスタ コマンド スイッチ上でのみ入力できます。クラスタ メンバー スイッチでこれを入力すると、エラー メッセージが表示されます。
クラスタ コマンド スイッチは、クラスタ HSRP バインディング情報をすべてのクラスタ HSRP 対応メンバーに伝播します。各クラスタ メンバー スイッチはバインディング情報を NVRAM(不揮発性 RAM)に保存します。HSRP グループ名は、有効なスタンバイ グループである必要があります。そうでない場合、エラーが発生してコマンドが終了します。
クラスタにバインドする HSRP スタンバイ グループのすべてのメンバーに同じグループ名を使用する必要があります。バインドされる HSRP グループのすべてのクラスタ HSRP 対応メンバーに同じ HSRP グループ名を使用してください (クラスタを HSRP グループにバインドしない場合には、クラスタ コマンダおよびメンバーに異なる名前を使用できます)。
例
次の例では、 my_hsrp という名前の HSRP グループをクラスタにバインドする方法を示します。このコマンドは、クラスタ コマンド スイッチ上から実行します。
Switch(config)# cluster standby-group my_hsrp
次の例では、同じ HSRP グループ名 my_hsrp を使用して、ルーティング冗長とクラスタ冗長を確立する方法を示します。
Switch(config)# cluster standby-group my_hsrp routing-redundancy
次の例では、このコマンドがクラスタ コマンド スイッチから実行され、指定された HSRP スタンバイ グループが存在しない場合のエラー メッセージを示します。
Switch(config)# cluster standby-group my_hsrp
%ERROR: Standby (my_hsrp) group does not exist
次の例では、このコマンドがクラスタ メンバー スイッチで実行された場合のエラー メッセージを示します。
Switch(config)# cluster standby-group my_hsrp routing-redundancy
%ERROR: This command runs on a cluster command switch
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。出力は、クラスタ内の冗長性がイネーブルになったかどうかを示します。
関連コマンド
|
|
standby ip |
インターフェイスで HSRP をイネーブルにします。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。 |
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
show standby |
スタンバイ グループ情報を表示します。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。 |
cluster timer
ハートビート メッセージ間の秒単位での間隔を指定するには、クラスタ コマンド スイッチ上で cluster timer グローバル コンフィギュレーション コマンドを使用します。デフォルト値の間隔を設定する場合は、このコマンドの no 形式を使用します。
cluster timer interval-in-secs
no cluster timer
シンタックスの説明
interval-in-secs |
ハートビート メッセージ間の間隔(秒)。指定できる範囲は 1 ~ 300 秒です。 |
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドと cluster holdtime グローバル コンフィギュレーション コマンドは、クラスタ コマンド スイッチ上でのみ入力してください。クラスタ内のすべてのスイッチ間で設定の一貫性が保たれるように、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバーに伝達します。
ホールドタイムは通常ハートビート インターバル タイマー( cluster timer )の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、「ホールド タイムをインターバル タイムで割った秒数」回のハートビート メッセージが連続して受信されなかったことになります。
例
次の例では、クラスタ コマンド スイッチでハートビート間隔のタイマーおよび期間を変更する方法を示します。
Switch(config)# cluster timer 3
Switch(config)# cluster holdtime 30
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
copy logging onboard
オンボード障害ロギング(OBFL)データをローカル ネットワークまたは指定したファイル システムにコピーするには、スイッチ スタック上またはスタンドアロン スイッチ上で copy logging onboard 特権 EXEC コマンドを使用します。
copy logging onboard module stack-member destination
(注) このコマンドは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。
シンタックスの説明
module stack-member |
スタック メンバー番号を指定します。スイッチがスタンドアロン スイッチの場合、スイッチ番号は 1 です。スイッチがスタック内にある場合は、スタック内のスイッチ メンバーの数に応じて、1 ~ 4 の範囲内の値を指定できます。 |
destination |
ローカル ネットワーク上またはファイル システム上にある、システム メッセージのコピー先とする場所を指定します。 destination には、ローカルまたはネットワーク ファイル システム上のコピー先の場所 と ファイル名を指定します。次のオプションがサポートされています。 • ローカル フラッシュ ファイル システムの構文: flash [ number ] :/ filename スタック マスターのスタック メンバー番号を指定するには、 number パラメータを使用します。 number に指定できる範囲は 1 ~ 4 です。 • FTP の構文: ftp:// username : password @ host / filename • HTTP サーバの構文: http:// [[ username : password ] @ ]{ hostname | host-ip }[ / direct o ry ] /filename • NVRAM の構文: nvram:/ filename • null ファイル システムの構文: null:/ filename • Remote Copy Protocol(RCP)の構文: rcp:// username @ host / filename • スイッチ ファイル システムの構文: system: filename • 一時ファイル システムの構文: tmpsys:/ filename • TFTP の構文: tftp: [[ // location ] / directory ] / filename |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(53)SE1 |
このコマンドが追加されました。 |
使用上のガイドライン
OBFL の詳細については、 hw-module コマンドを参照してください。
例
次の例では、スタック メンバー 3 の OBFL データ メッセージをフラッシュ ファイル システム上の obfl_file ファイルにコピーする方法を示します。
Switch# copy logging onboard module 3 flash:obfl_file
関連コマンド
|
|
hw-module module [ switch-number ] logging onboard |
OBFL をイネーブルにします。 |
show logging onboard |
OBFL 情報を表示します。 |
define interface-range
インターフェイス範囲マクロを作成するには、 define interface-range グローバル コンフィギュレーション コマンドを使用します。定義されたマクロを削除するには、このコマンドの no 形式を使用します。
define interface-range macro-name interface-range
no define interface-range macro-name interface-range
シンタックスの説明
macro-name |
インターフェイス範囲マクロの名前(最大 32 文字) |
interface-range |
インターフェイス範囲。インターフェイス範囲の有効値については、「使用上の注意事項」を参照してください。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
マクロ名は、最大 32 文字の文字列です。
マクロには、最大 5 つの範囲を含めることができます。
ある範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、マクロ内では複数のインターフェイス タイプを組み合わせることができます。
interface-range を入力する場合は、次のフォーマットを使用します。
• type { first-interface } - { last-interface }
• interface-range を入力するときは、最初のインターフェイス番号とハイフンの間にスペースを入れます。たとえば、 gigabitethernet 0/1 - 2 であれば範囲は指定されますが、 gigabit ethernet 0/1 -2 では指定されません。
type と interface の有効値は次のとおりです。
• vlan vlan-id 、ここで、VLAN ID の範囲は 1 ~ 4094 です。
(注) コマンドライン インターフェイスには複数の VLAN ID を設定するオプションがありますが、サポートされていません。
VLAN インターフェイスは、 interface vlan コマンドで設定してください( show running-config 特権 EXEC コマンドは、設定された VLAN インターフェイスを表示します)。 show running-config コマンドで表示されない VLAN インターフェイスは、 interface-range では使用できません。
• port-channel port-channel-number 、ここで、 port-channel-number は 1 ~ 6 です。
• fastethernet module/{ first port } - { last port }
• gigabitethernet stack member/module/{ first port } - { last port }
物理インターフェイス
• stack member は、スタック内のスイッチ識別に使用する番号です。番号に指定できる範囲は 1 ~ 4 で、スタック メンバーの最初の初期化の際に、スイッチに割り当てられます。
(注) スタックは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。
• モジュールは常に 0 です。
• 使用可能範囲は、type stack member /0/number - number です(例:gigabitethernet 0/1/1 - 2)。
範囲を定義するときは、ハイフン(-)の前にスペースが必要です。次に例を示します。
• gigabitethernet10/1/1 - 2
複数の範囲を入力することもできます。複数の範囲を定義するときは、カンマ(,)の前の最初のエントリのあとにスペースが必要です。カンマのあとのスペースは任意になります。次に例を示します。
• fastethernet0/1/3, gigabitethernet 10/1/1 - 2
• fastethernet0/1/3 -4, gigabitethernet 1/0/1/1 - 2
例
次の例では、複数のインターフェイス マクロを作成する方法を示します。
Switch(config)# define interface-range macro1 fastethernet0/1 - 2, gigabitethernet0/1 - 2
関連コマンド
|
|
interface range |
複数のポートで 1 つのコマンドを同時に実行します。 |
show running-config |
定義されたマクロを含む現在の動作設定を表示します。構文情報については、「Cisco IOS Configuration Fundamentals Command Reference, Release 12.2」>「File Management Commands」>「Configuration File Management Commands」を選択してください。 |
delete
フラッシュ メモリ デバイス上のファイルまたはディレクトリを削除するには、 delete 特権 EXEC コマンドを使用します。
delete [ /force ] [/ recursive ] filesystem :/ file-url
シンタックスの説明
/force |
(任意)削除を確認するプロンプトを抑制します。 |
/recursive |
(任意)指定されたディレクトリおよびそのディレクトリに含まれるすべてのサブディレクトリおよびファイルを削除します。 |
filesystem : |
フラッシュ ファイル システムのエイリアスです。 スタック メンバーまたはマスターのスタック上のローカル フラッシュ ファイル システムの構文: flash: スタック マスターから、スタック メンバー上のローカル フラッシュ ファイル システムの構文: flash member number : (注) スタックは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。 |
/ file-url |
削除するパス(ディレクトリ)およびファイル名 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
/force キーワードを使用すると、削除プロセスにおいて削除の確認を要求するプロンプトが、最初の 1 回のみとなります。
/force キーワードを指定せずに /recursive キーワードを使用すると、ファイルごとに削除の確認を要求するプロンプトが表示されます。
プロンプト動作は、 file prompt グローバル コンフィギュレーション コマンドの設定によって異なります。デフォルトでは、スイッチは、破壊的なファイル操作に関する確認をプロンプトで要求します。このコマンドの詳細については、『 Cisco IOS Command Reference Release 12.1 』を参照してください。
例
次の例では、新しいイメージのダウンロードが正常に終了したあとに、古いソフトウェア イメージを含むディレクトリを削除する方法を示します。
Switch# delete /force /recursive flash:/old-image
ディレクトリが削除されたかどうかを確認するには、 dir filesystem : 特権 EXEC コマンドを使用します。
関連コマンド
|
|
archive download-sw |
新しいイメージをスイッチにダウンロードし、既存のイメージを上書きまたは保存します。 |
deny(ARP アクセスリスト コンフィギュレーション)
DHCP バインディングと一致したアドレス解決プロトコル(ARP)パケットを拒否するには、 deny ARP アクセス リスト コンフィギュレーション コマンドを使用します。指定したアクセス コントロール エントリ(ACE)をアクセス リストから削除する場合は、このコマンドの no 形式を使用します。
deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]
no deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]
シンタックスの説明
request |
(任意)ARP 要求の照合条件を定義します。request を指定しないと、すべての ARP パケットに対して照合が実行されます。 |
ip |
送信元 IP アドレスを指定します。 |
any |
任意の IP アドレスまたは MAC アドレスを拒否します。 |
host sender-ip |
指定された送信元 IP アドレスを拒否します。 |
sender-ip sender-ip-mask |
指定された範囲の送信元 IP アドレスを拒否します。 |
mac |
送信元 MAC アドレスを拒否します。 |
host sender-mac |
指定された送信元 MAC アドレスを拒否します。 |
sender-mac sender-mac-mask |
指定された範囲の送信元 MAC アドレスを拒否します。 |
response ip |
ARP 応答の IP アドレス値を定義します。 |
host target-ip |
指定された宛先 IP アドレスを拒否します。 |
target-ip target-ip-mask |
指定された範囲の宛先 IP アドレスを拒否します。 |
mac |
ARP 応答の MAC アドレス値を拒否します。 |
host target-mac |
指定された宛先 MAC アドレスを拒否します。 |
target-mac target-mac-mask |
指定された範囲の宛先 MAC アドレスを拒否します。 |
log |
(任意)ACE と一致したパケットをロギングします。 |
デフォルト
デフォルト値は設定されていません。ただし、ARP アクセス リストの末尾に暗黙的な deny ip any mac any コマンドが指定されています。
コマンド モード
ARP アクセス リスト コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
照合条件に基づいて ARP パケットを廃棄する deny 句を追加できます。
例
次の例では、ARP アクセス リストを定義し、IP アドレス 1.1.1.1 および MAC アドレス 0000.0000.abcd のホストからの ARP 要求と ARP 応答をいずれも拒否する方法を示します。
Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# deny ip host 1.1.1.1 mac host 0000.0000.abcd
Switch(config-arp-nacl)# end
設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。
関連コマンド
|
|
arp access-list |
ARP アクセス コントロール リスト(ACL)を定義します。 |
ip arp inspection filter vlan |
スタティック IP アドレスが設定されたホストからの ARP 要求と ARP 応答を許可します。 |
permit(ARP アクセス リスト コンフィギュレーション) |
DHCP バインディングと一致した ARP パケットを許可します。 |
show arp access-list |
ARP アクセス リストの詳細を表示します。 |
deny(MAC アクセス リスト コンフィギュレーション)
条件が一致した場合に非 IP トラフィックが転送されないようにするには、 deny MAC アクセス リスト コンフィギュレーション コマンドを使用します。拒否条件を名前付き MAC アクセス リストから削除する場合は、このコマンドの no 形式を使用します。
{ deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask |mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]
no { deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
any |
あらゆる送信元または宛先 MAC アドレスを拒否するために指定するキーワードです。 |
host src MAC-addr | src-MAC-addr mask |
ホスト MAC アドレスと任意のサブネット マスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。 |
host dst-MAC-addr | dst-MAC-addr mask |
宛先 MAC アドレスと任意のサブネット マスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。 |
type mask |
(任意)パケットの Ethertype 番号と、Ethernet II または Subnetwork Access Protocol(SNAP)カプセル化を使用して、パケットのプロトコルを識別します。 type には、0 ~ 65535 の 16 進数を指定できます。 mask は、マッチングを行う前に Ethertype に適用される don’t care ビットのマスクです。 |
aarp |
(任意)データリンク アドレスをネットワーク アドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を選択します。 |
amber |
(任意)EtherType DEC-Amber を選択します。 |
cos cos |
(任意)プライオリティを設定するため、0 ~ 7 までの Class of Service(CoS; サービス クラス)値を選択します。CoS に基づくフィルタリングは、ハードウェアでのみ実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。 |
dec-spanning |
(任意)EtherType Digital Equipment Corporation(DEC)スパニングツリーを選択します。 |
decnet-iv |
(任意)EtherType DECnet Phase IV プロトコルを選択します。 |
diagnostic |
(任意)EtherType DEC-Diagnostic を選択します。 |
dsm |
(任意)EtherType DEC-DSM を選択します。 |
etype-6000 |
(任意)EtherType 0x6000 を選択します。 |
etype-8042 |
(任意)EtherType 0x8042 を選択します。 |
lat |
(任意)EtherType DEC-LAT を選択します。 |
lavc-sca |
(任意)EtherType DEC-LAVC-SCA を選択します。 |
lsap lsap-number mask |
(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を使用して、パケットのプロトコルを識別します。 mask は、マッチングを行う前に LSAP 番号に適用される don’t care ビットのマスクです。 |
mop-console |
(任意)EtherType DEC-MOP Remote Console を選択します。 |
mop-dump |
(任意)EtherType DEC-MOP Dump を選択します。 |
msdos |
(任意)EtherType DEC-MSDOS を選択します。 |
mumps |
(任意)EtherType DEC-MUMPS を選択します。 |
netbios |
(任意)EtherType DEC-Network Basic Input/Output System(NETBIOS)を選択します。 |
vines-echo |
(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)を選択します。 |
vines-ip |
(任意)EtherType VINES IP を選択します。 |
xns-idp |
(任意)10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems(XNS)プロトコル スイート(0 ~ 65535)を選択します。 |
(注) appletalk は、コマンドラインのヘルプ ストリングには表示されていますが、一致条件としてはサポートされていません。
IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。 表 2-4 に、Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を一覧表示します。
表 2-4 IPX フィルタ基準
|
|
|
|
arpa |
Ethernet II |
Ethertype 0x8137 |
snap |
Ethernet-snap |
Ethertype 0x8137 |
sap |
Ethernet 802.2 |
LSAP 0xE0E0 |
novell-ether |
Ethernet 802.3 |
LSAP 0xFFFF |
デフォルト
このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルト アクションは拒否です。
コマンド モード
MAC アクセス リスト コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
mac access-list extended グローバル コンフィギュレーション コマンドを使用して、MAC アクセス リスト コンフィギュレーション モードを開始します。
host キーワードを使用した場合、アドレス マスクは入力できません。 host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。
アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加された場合は、リストの末尾に暗黙的な deny - any - any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。
名前付き MAC 拡張アクセス リストの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。
例
次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。
Switch(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。
Switch(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。
Switch(config-ext-macl)# deny any any 0x4321 0
設定を確認するには、 show access-lists 特権 EXEC コマンドを入力します。
関連コマンド
|
|
mac access-list extended |
非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。 |
permit(MAC アクセス リスト コンフィギュレーション) |
条件が一致した場合に非 IP トラフィックが転送されるのを許可します。 |
show access-lists |
スイッチに設定された ACL を表示します。 |
diagnostic monitor
ヘルス モニタリング診断テストを設定するには、 diagnostic monitor グローバル コンフィギュレーション コマンドを使用します。テストをディセーブルにし、デフォルト設定に戻すには、このコマンドの no 形式を使用します。
diagnostic monitor switch { num } test { test-id | test-id-range | all }
diagnostic monitor interval switch { num } test { test-id | test-id-range | all } hh:mm:ss milliseconds day
diagnostic monitor syslog
diagnostic monitor threshold switch { num } test { test-id | test-id-range | all } count failure count
no diagnostic monitor switch { num } test { test-id | test-id-range | all }
no diagnostic monitor interval switch { num } test { test-id | test-id-range | all }
no diagnostic monitor syslog
no diagnostic monitor threshold switch { num } test { test-id | test-id-range | all } failure coun t
(注) このコマンドは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。
シンタックスの説明
switch num |
モジュール番号を指定します。指定できる範囲は 1 ~ 4 です。 |
test |
実行するテストを指定します。 |
test-id |
実行するテストの識別番号。その他の情報については、「使用上のガイドライン」を参照してください。 |
test-id-range |
実行するテストの識別番号の範囲。その他の情報については、「使用上のガイドライン」を参照してください。 |
all |
すべての診断テストを実行します。 |
interval |
テストを実行する間隔を指定します。 |
hh:mm:ss |
テストの間隔を指定します。形式については、「使用上のガイドライン」を参照してください。 |
milliseconds |
時間(ミリ秒)を指定します。指定できる範囲は 0 ~ 999 です。 |
day |
テストの間隔(日数)を指定します。形式については、「使用上のガイドライン」を参照してください。 |
syslog |
ヘルス モニタリング診断テストが失敗した場合に Syslog メッセージを生成します。 |
threshold |
障害しきい値を指定します。 |
failure count count |
障害しきい値のカウントを指定します。 |
デフォルト
• モニタリングはディセーブルです。
• syslog がイネーブルです。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(53)SE1 |
このコマンドが追加されました。 |
使用上のガイドライン
テストをスケジューリングする場合、次の注意事項があります。
• test-id : テスト ID のリストを表示するには、 show diagnostic content 特権 EXEC コマンドを使用します。
• test-id-range :テスト ID のリストを表示するには、 show diagnostic content コマンドを使用します。カンマおよびハイフンで区切られた整数で範囲を入力します(例:1,3-6 はテスト ID 1、3、4、5 および 6)。
• hh : 時間(0 ~ 23)を入力します。
• mm : 分(0 ~ 60)を入力します。
• ss : 秒(0 ~ 60)を入力します。
• milliseconds : ミリ秒(0 ~ 999)を入力します。
• day : 0 ~ 20 の数字として日を入力します。
diagnostic monitor switch { num } test { test-id | test-id-range | all } コマンドを入力する場合は、次の注意事項に従ってください。
• すべての接続ポートをディセーブルにし、ネットワーク トラフィックを隔離します。テスト中はテスト パケットを送出できません。
• システムまたはテスト済みモジュールをリセットしたあとで、システムを通常の動作モードに戻します。
(注) スタック内のスイッチでリロード属性を持つ診断テストを実行している場合は、ケーブル配線の構成によってはスタックをパーティション化する可能性があります。スタックのパーティション化を回避するには、show switch detail 特権 EXEC コマンドを入力して、スタックの設定を確認します。
例
次の例では、2 分ごとに指定したテストを行うように設定する方法を示します。
Switch(config)#
diagnostic monitor interval switch 1 test 1 00:02:00 0 1
次の例では、これまでヘルス モニタリングがイネーブルになっていなかった場合に、指定したスイッチでテストを実行する方法を示します。
Switch(config)#
diagnostic monitor switch 1 test 1
次の例では、スイッチのテスト モニタリングの障害しきい値を設定する方法を示します。
Switch(config)#
diagnostic monitor threshold switch 1 test 1 failure count 50
次の例では、ヘルス モニタリング テストが失敗した場合に Syslog メッセージの生成をイネーブルにする方法を示します。
Switch(config)#
diagnostic monitor syslog
関連コマンド
|
|
show diagnostic |
オンライン診断テストの結果を表示します。 |
diagnostic schedule
診断テストをスケジューリングするには、 diagnostic schedule 特権 EXEC コマンドを使用します。スケジューリングを削除し、デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。
diagnostic schedule switch num test { test-id | test-id-range | all | basic | non-disruptive } { daily hh : mm | on mm dd yyyy hh : mm | weekly day-of-week hh : mm }
no diagnostic schedule switch num test { test-id | test-id-range | all | basic | non-disruptive } { daily hh : mm | on mm dd yyyy hh : mm | weekly day-of-week hh : mm }
(注) このコマンドは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。
シンタックスの説明
switch num |
スイッチ番号を指定します。指定できる範囲は 1 ~ 4 です。 |
test |
スケジューリングするテストを指定します。 |
test-id |
実行するテストの識別番号。その他の情報については、「使用上のガイドライン」を参照してください。 |
test-id-range |
実行するテストの識別番号の範囲。その他の情報については、「使用上のガイドライン」を参照してください。 |
all |
すべての診断テストを実行します。 |
basic |
基本的なオンデマンドの診断テストを実行します。 |
non-disruptive |
ノンディスラプティブ ヘルスモニタ テストを実行します。 |
daily hh : mm |
テストベースの診断タスクのスケジュール(日単位)を指定します。形式については、「使用上のガイドライン」を参照してください。 |
on mm dd yyyy hh : mm |
テストベースの診断タスクのスケジュールを指定します。形式については、「使用上のガイドライン」を参照してください。 |
weekly day-of-week hh : mm |
テストベースの診断タスクのスケジュール(週単位)を指定します。形式については、「使用上のガイドライン」を参照してください。 |
デフォルト
このコマンドには、デフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(53)SE |
このコマンドが追加されました。 |
使用上のガイドライン
テストをスケジューリングする場合、次の注意事項があります。
• test-id : テスト ID のリストを表示するには、 show diagnostic content コマンドを使用します。
• test-id-range :テスト ID のリストを表示するには、 show diagnostic content コマンドを使用します。カンマおよびハイフンで区切られた整数で範囲を入力します(例:1,3-6 はテスト ID 1、3、4、5 および 6)。
• hh : mm : 2 桁の数字(24 時間表記)で時間および分を入力します。コロン( : )が必要です。
• mm : January、February ~ December のように、月を入力します(大文字でも小文字でも可) 。
• dd : 2 桁の数字で日を入力します。
• yyyy : 4 桁の数字で年を入力します。
• day-of-week : Monday、Tuesday ~ Sunday のように、曜日を入力します(大文字でも小文字でも可) 。
例
次の例では、指定したスイッチに対して指定した日時に診断テストを行うようスケジューリングする方法を示します。
Switch(config)# diagnostic schedule switch 1 test 1,2,4-6 on january 3 2006 23:32
次の例では、指定したスイッチに対して、毎週特定の時間に診断テストを行うようスケジューリングする方法を示します。
Switch(config)# diagnostic schedule switch 1 test 1,2,4-6 weekly friday 09:23
関連コマンド
|
|
show diagnostic |
オンライン診断テストの結果を表示します。 |
diagnostic start
特定の診断テストを実行するには、 diagnostic start ユーザ コマンドを使用します。
diagnostic start switch num test { test-id | test-id-range | all | basic | non-disruptive }
(注) このコマンドは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。
シンタックスの説明
switch num |
スイッチ番号を指定します。指定できる範囲は 1 ~ 4 です。 |
test |
実行するテストを指定します。 |
test-id |
実行するテストの識別番号。その他の情報については、「使用上のガイドライン」を参照してください。 |
test-id-range |
実行するテストの識別番号の範囲。その他の情報については、「使用上のガイドライン」を参照してください。 |
all |
すべての診断テストを実行します。 |
basic |
基本的なオンデマンドの診断テストを実行します。 |
non-disruptive |
ノンディスラプティブ ヘルスモニタ テストを実行します。 |
デフォルト
このコマンドには、デフォルト設定はありません。
コマンド モード
ユーザ EXEC
コマンドの履歴
|
|
12.2(53)SE |
このコマンドが追加されました。 |
使用上のガイドライン
テスト ID のリストを表示するには、 show diagnostic content コマンドを入力します。
test-id-range をカンマおよびハイフンで区切られた整数で入力します(例:1,3-6 はテスト ID 1、3、4、5、および 6)。
例
次の例では、指定したスイッチの診断テストを開始する方法を示します。
Switch> diagnostic start switch 1 test 1
06:27:50: %DIAG-6-TEST_RUNNING: Switch 1: Running TestPortAsicStackPortLoopback{ID=1} ...
06:27:51: %DIAG-6-TEST_OK: Switch 1: TestPortAsicStackPortLoopback{ID=1} has completed
次の例では、通常のシステム動作を中断させる、スイッチの診断テスト 2 を開始する方法を示します。
Switch> diagnostic start switch 1 test 2
Switch 1: Running test(s) 2 will cause the switch under test to reload after completion of
Switch 1: Running test(s) 2 may disrupt normal system operation
Do you want to continue?[no]: y
16:43:29: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 2 Switch 2 has changed to state DOWN
16:43:30: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 1 Switch 9 has changed to state DOWN
16:43:30: %STACKMGR-2-SWITCH_REMOVED: Switch 1 has been REMOVED from the stack
16:44:35: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 1 Switch 2 has changed to state UP
16:44:37: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 2 Switch 2 has changed to state UP
16:44:45: %STACKMGR-2-SWITCH_ADDED: Switch 1 has been ADDED to the stack
16:45:00: %STACKMGR-3-SWITCH_READY: Switch 1 is READY
16:45:00: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 1 Switch 1 has changed to state UP
16:45:00: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 2 Switch 1 has changed to state UP
00:00:20: %STACKMGR-2-SWITCH_ADDED: Switch 1 has been ADDED to the stack (Switch-1)
00:00:20: %STACKMGR-2-SWITCH_ADDED: Switch 2 has been ADDED to the stack (Switch-1)
00:00:25: %SPANTREE-3-EXTENDED_SYSID: Extended SysId enabled for type vlan (Switch-1)
00:00:29: %SYS-3-CONFIG_I: Configured from memory by console (Switch-1)
00:00:29: %STACKMGR-3-SWITCH_READY: Switch 2 is READY (Switch-1)
00:00:29: %STACKMGR-3-MASTER_READY: Master Switch 2 is READY (Switch-1)
00:00:30: %STACKMGR-3-SWITCH_READY: Switch 1 is READY (Switch-1)
00:00:30: %DIAG-6-TEST_RUNNING: Switch 1: Running TestPortAsicLoopback{ID=2} ...
00:00:30: %DIAG-6-TEST_OK: Switch 1: TestPortAsicLoopback{ID=2} has completed successfully
テストによってスイッチのスタック接続が失われる可能性がある場合には、次のようなメッセージが表示されます。
Switch 3: Running test(s) 2 will cause the switch under test to reload after completion of
Switch 3: Running test(s) 2 may disrupt normal system operation
Do you want to continue?[no]:
テストによってスタックのパーティション化が発生する場合には、次のようなメッセージが表示されます。
Switch 4: Running test(s) 2 will cause the switch under test to reload after completion of
Switch 4: Running test(s) 2 will partition stack
Switch 4: Running test(s) 2 may disrupt normal system operation
Do you want to continue?[no]:
関連コマンド
|
|
show diagnostic |
オンライン診断テストの結果を表示します。 |
dot1x
IEEE 802.1x 認証をグローバルにイネーブルにするには、 dot1x グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x { critical { eapol | recovery delay milliseconds } | { guest-vlan supplicant } | system-auth-control }
no dot1x { critical { eapol | recovery delay } | { guest-vlan supplicant } | system-auth-control }
(注) credentials name キーワードは、コマンドラインのヘルプ ストリングには表示されますが、サポートされていません。
シンタックスの説明
critical { eapol | recovery delay milliseconds } |
アクセス不能な認証バイパス パラメータを設定します。詳細については、 dot1x critical(グローバル コンフィギュレーション) コマンドを参照してください。 |
guest-vlan supplicant |
スイッチでオプションのゲスト VLAN の動作をグローバルにイネーブルにします。 |
system-auth-control |
スイッチで IEEE 802.1x 認証をグローバルにイネーブルにします。 |
デフォルト
IEEE 802.1x 認証およびオプションのゲスト VLAN 動作がディセーブルです。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
12.2(25)SEE |
critical { eapol | recovery delay milliseconds } キーワードが追加されました。 |
使用上のガイドライン
IEEE 802.1x 認証をグローバルにイネーブルにする前に、認証、認可、アカウンティング(AAA)をイネーブルにし、認証方式リストを指定する必要があります。方式リストには、ユーザの認証に使用する、順序と認証方式が記述されています。
スイッチの IEEE 802.1x 認証をグローバルにイネーブルにする前に、IEEE 802.1x 認証および EtherChannel が設定されているインターフェイスから EtherChannel の設定を削除します。
EAP-Transparent LAN Service(TLS)および EAP-MD5 で IEEE 802.1x を認証する Cisco Access Control Server(ACS)アプリケーションが稼動する装置を使用している場合、装置が ACS バージョン 3.2.1 以上で稼動していることを確認します。
スイッチでオプションの IEEE 802.1x ゲスト VLAN 動作をグローバルにイネーブルにするには、 guest-vlan supplicant キーワードを使用することもできます。詳細については、 dot1x guest-vlan コマンドを参照してください。
例
次の例では、スイッチで IEEE 802.1x 認証をグローバルにイネーブルにする方法を示します。
Switch(config)# dot1x system-auth-control
次の例では、スイッチでオプションのゲスト VLAN 動作をグローバルにイネーブルにする方法を示します。
Switch(config)# dot1x guest-vlan supplicant
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x critical(グローバル コンフィギュレーション) |
スイッチ上で、アクセス不能な認証バイパス機能のパラメータを設定します。 |
dot1x guest-vlan |
アクティブ VLAN をイネーブルにし、IEEE 802.1x ゲスト VLAN として指定します。 |
dot1x port-control |
ポートの許可ステートの手動制御をイネーブルにします。 |
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x auth-fail max-attempts
ポートが制限 VLAN に移行するまで許容できる最大認証試行回数を設定するには、 dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x auth-fail max-attempts max-attempts
no dot1x auth-fail max-attempts
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
max-attempts |
ポートが制限 VLAN に移行するまでに許容される最大の認証試行回数を指定します。指定できる範囲は 1 ~ 3 です。デフォルト値は 3 です。 |
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)SED |
このコマンドが追加されました。 |
使用上のガイドライン
VLAN で許容される最大の認証試行回数を再設定する場合、変更内容は再認証タイマーが期限切れになったあとで反映されます。
例
次の例では、ポート 3 の制限 VLAN にポートが移行する前に許容される最大の認証試行回数を 2 に設定する方法を示します。
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x auth-fail max-attempts 2
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x auth-fail vlan [ vlan id] |
オプションの制限 VLAN の機能をイネーブルにします。 |
dot1x max-reauth-req [ count] |
ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する最大回数を設定します。 |
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x auth-fail vlan
ポートで制限 VLAN をイネーブルにするには、 dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x auth-fail vlan vlan-id
no dot1x auth-fail v lan
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
vlan-id |
VLAN を 1 ~ 4094 の範囲で指定します。 |
デフォルト
制限 VLAN は設定されていません。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)SED |
このコマンドが追加されました。 |
使用上のガイドライン
次のように設定されたポートで制限 VLAN を設定できます。
• シングルホスト(デフォルト)モード
• 認証用 auto モード
再認証をイネーブルにする必要があります。ディセーブルになっていると、制限 VLAN のポートは再認証要求を受け取りません。再認証プロセスを開始するには、制限 VLAN がポートからリンクダウン イベントまたは Extensible Authentication Protocol(EAP)ログオフ イベントを受け取る必要があります。ホストがハブを介して接続されている場合、ホストが切断されているとポートがリンクダウン イベントを受け取ることができず、次の再認証試行が行われるまで新しいホストが検出されないことがあります。
サプリカントが認証に失敗すると、ポートは制限 VLAN に移行し、EAP 認証成功 メッセージがサプリカントに送信されます。サプリカントには実際の認証失敗が通知されないため、この制限ネットワーク アクセスに混乱が生じることがあります。EAP の成功メッセージは、次の理由で送信されます。
• EAP の成功メッセージが送信されない場合、サプリカントは 60 秒ごと(デフォルト)に EAP 開始メッセージを送信して認証を行おうとします。
• 一部のホスト(たとえば、Windows XP を実行中のデバイス)は、EAP の成功メッセージを受け取るまで Dynamic Host Configuration Protocol(DHCP)を実行できません。
サプリカントは、認証から EAP 成功メッセージを受け取ったあとに不正なユーザ名とパスワードの組み合わせをキャッシュし、再認証のたびにその情報を使用する可能性があります。サプリカントが正しいユーザ名とパスワードの組み合わせを送信するまで、ポートは制限 VLAN のままになります。
レイヤ 3 ポートに使用する内部 VLAN は、制限 VLAN として設定することはできません。
VLAN を制限 VLAN と音声 VLAN の両方に設定することはできません。そのように設定すると、syslog メッセージが生成されます。
制限 VLAN ポートが無許可ステートに移行すると、認証プロセスが再起動されます。サプリカントが再度認証プロセスに失敗すると、認証は保持ステートで待機します。サプリカントが正常に再認証されたあと、すべての IEEE 802.1x ポートが再初期化され、通常の IEEE 802.1x ポートとして扱われます。
制限 VLAN を異なる VLAN として再設定すると、制限 VLAN のポートも移行し、そのポートは現在認証されたステートのままになります。
制限 VLAN をシャットダウンするか VLAN データベースから削除すると、制限 VLAN のポートはただちに無許可ステートに移行し、認証プロセスが再起動します。制限 VLAN 設定がまだ存在するため、認証は保持ステートで待機しません。制限 VLAN が非アクティブである間も、制限 VLAN がアクティブになったときにポートがただちに制限 VLAN になるように、すべての認証試行がカウントされます。
制限 VLAN は、シングルホスト モード(デフォルトのポート モード)でのみサポートされます。このため、ポートが制限 VLAN に配置されると、サプリカントの MAC アドレスが MAC アドレス テーブルに追加され、ポートに表示される他の MAC アドレスがセキュリティ違反として扱われます。
例
次の例では、ポート 1 で制限 VLAN を設定する方法を示します。
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x auth-fail vlan 40
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x auth-fail max-attempts [ max-attempts] |
サプリカントを制限 VLAN に割り当てる前に、試行可能な認証回数を設定します。 |
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x control-direction
Wake-on-LAN(WoL)機能を搭載した IEEE 802.1x 認証をイネーブルにし、ポート制御を単一方向または双方向に設定するには、 dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x control-direction { both | in }
no dot1x control-direction
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
both |
ポートの双方向制御をイネーブルにします。ポートは、ホストにパケットを送受信できません。 |
in |
ポートの単一方向制御をイネーブルにします。ポートは、ホストにパケットを送信できますが、受信はできません。 |
デフォルト
ポートは双方向モードに設定されています。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)SED |
このコマンドが追加されました。 |
使用上のガイドライン
デフォルト設定の双方向モードに戻すには、このコマンドの both キーワードまたは no 形式を使用します。
WoL の詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with Wake-on-LAN」を参照してください。
例
次の例では、単一方向制御をイネーブルにする方法を示します。
Switch(config-if)# dot1x control-direction in
次の例では、双方向制御をイネーブルにする方法を示します。
Switch(config-if)# dot1x control-direction both
設定を確認するには、 show dot1x all 特権 EXEC コマンドを入力します。
show dot1x all 特権 EXEC コマンド出力は、ポート名とポートのステートを除き、すべてのスイッチで同一です。ホストがポートに接続されていてまだ認証されていない場合、次のように表示されます。
Supplicant MAC 0002.b39a.9275
AuthSM State = CONNECTING
PortStatus = UNAUTHORIZED
dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力して単一方向制御をイネーブルにする場合、これが show dot1x all コマンド出力で次のように表示されます。
dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力しても、設定の競合によりポートでこのモードをサポートできない場合、 show dot1x all コマンド出力で次のように表示されます。
ControlDirection = In (Disabled due to port settings)
関連コマンド
|
|
show dot1x [ all | interface interface-id ] |
指定したインターフェイスに対する制御方向のポート設定ステータスを表示します。 |
dot1x credentials(グローバル コンフィギュレーション)
サプリカント スイッチのプロファイルを設定するには、dot1x credentials グローバル コンフィギュレーション コマンドを使用します。
dot1x credentials profile
no dot1x credentials profile
シンタックスの説明
profile |
サプリカント スイッチのプロファイルを指定します。 |
デフォルト
スイッチのプロファイルが設定されていません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
このスイッチがサプリカントになるように別のスイッチをオーセンティケータとして設定する必要があります。
例
次の例では、スイッチをサプリカントとして設定する方法を示します。
Switch(config)# dot1x credentials profile
設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。
関連コマンド
|
|
cisp enable |
Client Information Signalling Protocol(CISP)をイネーブルにします。 |
show cisp |
特定のインターフェイスの CISP 情報を表示します。 |
dot1x critical(グローバル コンフィギュレーション)
アクセス不能な認証バイパス機能(クリティカル認証、または認証、認可、アカウンティング [AAA] 失敗ポリシーと呼ばれることもあります)のパラメータを設定するには、 dot1x critical グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x critical { eapol | recovery delay milliseconds }
no dot1x critical { eapol | recovery delay }
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
eapol |
スイッチによりクリティカルなポートが critical-authentication ステートに置かれた場合、EAPOL-Success メッセージを送信するようスイッチを指定します。 |
recovery delay milliseconds |
リカバリ遅延期間(ミリ秒)を指定します。指定できる範囲は 1 ~ 10000 ミリ秒です。 |
デフォルト
クリティカルなポートを critical-authentication ステートに置くことによって認証に成功した場合に、スイッチは EAPOL-Success メッセージをホストに送信しません。
リカバリ遅延期間は、1000 ミリ秒(1 秒)です。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)SEE |
このコマンドが追加されました。 |
使用上のガイドライン
クリティカルなポートが critical-authentication ステートに置かれた場合、スイッチが EAPOL-Success メッセージを送信するよう指定するには、 eapol キーワードを使用します。
使用不能な RADIUS サーバが使用可能になった場合にスイッチがクリティカルなポートを再初期化するために待機するリカバリ遅延期間を設定するには、 recovery delay milliseconds キーワードを使用します。デフォルトのリカバリ遅延期間は 1000 ミリ秒です。ポートは、秒単位で再初期化できます。
アクセス不能な認証バイパスをポート上でイネーブルにするには、 dot1x critical インターフェイス コンフィギュレーション コマンドを使用します。スイッチがクリティカルなポートに割り当てるアクセス VLAN を設定するには、 dot1x critical vlan vlan-id インターフェイス コンフィギュレーション コマンドを使用します。
例
次の例では、リカバリ遅延期間として 200 をスイッチに設定する方法を示します。
Switch# dot1x critical recovery delay 200
設定を確認するには、 show dot1x 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x critical(インターフェイス コンフィギュレーション) |
アクセス不能な認証バイパス機能をイネーブルにし、この機能にアクセス VLAN を設定します。 |
show dot1x |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x critical(インターフェイス コンフィギュレーション)
アクセス不能な認証バイパス機能(クリティカル認証、または認証、認可、アカウンティング [AAA] 失敗ポリシーと呼ばれることもあります)をイネーブルにするには、 dot1x critical インターフェイス グローバル コンフィギュレーション コマンドを使用します。ポートが critical-authentication ステートに置かれた場合にスイッチがクリティカルなポートに割り当てるアクセス VLAN を設定することもできます。この機能をディセーブルにするか、またはデフォルトに戻すには、このコマンドの no 形式を使用します。
dot1x critical [ recovery action reinitialize | vlan vlan-id ]
no dot1x critical [ recovery | vlan ]
(注) このコマンドを使用するには、スイッチが LAN Base イメージを実行している必要があります。
シンタックスの説明
recovery action reinitialize |
アクセス不能な認証バイパスのリカバリ機能をイネーブルにし、認証サーバが使用可能になった場合にリカバリ アクションによりポートを認証するよう指定します。 |
vlan vlan-id |
スイッチがクリティカルなポートに割り当てることのできるアクセス VLAN を指定します。指定できる範囲は 1 ~ 4094 です。 |
デフォルト
アクセス不能認証バイパス機能はディセーブルです。
リカバリ アクションは設定されていません。
アクセス VLAN は設定されていません。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)SEE |
このコマンドが追加されました。 |
使用上のガイドライン
ポートが critical-authentication ステートに置かれた場合にスイッチがクリティカルなポートに割り当てるアクセス VLAN を指定するには、 vlan vlan-id キーワードを使用します。指定された VLAN タイプは、以下のポート タイプに適合している必要があります。
• クリティカルなポートがアクセス ポートの場合、VLAN はアクセス VLAN でなければなりません。
• クリティカルなポートがプライベート VLAN のホスト ポートである場合、VLAN はセカンダリ プライベート VLAN でなければなりません。
• クリティカルなポートがルーテッド ポートの場合、VLAN を指定できます(指定は任意)。
クライアントで Windows XP を稼動し、クライアントが接続されているクリティカル ポートが critical-authentication ステートである場合、Windows XP はインターフェイスが認証されていないことを報告します。
Windows XP クライアントで DHCP が設定され、DHCP サーバからの IP アドレスがある場合、クリティカル ポートで EAP 認証成功メッセージを受信しても DHCP 設定プロセスを再初期化しません。
アクセス不能認証バイパス機能および制限 VLAN を IEEE802.1x ポート上に設定できます。スイッチが制限付き VLAN でクリティカル ポートの再認証を試行し、RADIUS サーバがすべて使用できない場合、ポートの状態はクリティカル認証ステートに移行し、ポートは制限付き VLAN のままとなります。
アクセス不能認証バイパス機能とポート セキュリティは、同じスイッチ ポートに設定できます。
例
次の例では、ポートのアクセス不能認証バイパス機能をイネーブルにする方法を示します。
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x critical
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x critical(グローバル コンフィギュレーション) |
スイッチ上で、アクセス不能な認証バイパス機能のパラメータを設定します。 |
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x default
IEEE 802.1x パラメータをデフォルト値に戻すには、 dot1x default インターフェイス コンフィギュレーション コマンドを使用します。
dot1x default
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
デフォルト値は次のとおりです。
• ポート単位の IEEE 802.1x プロトコルのイネーブル ステートはディセーブルです(force-authorized)。
• 再認証の試行間隔の秒数は 3600 秒です。
• 定期的な再認証はディセーブルです。
• 待機時間は 60 秒です。
• 再伝送時間は 30 秒です。
• 最高再伝送回数は 2 回です。
• ホスト モードはシングル ホストです。
• クライアントのタイムアウト時間は 30 秒です。
• 認証サーバのタイムアウト時間は 30 秒です。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
例
次の例では、ポート上の IEEE 802.1x パラメータをリセットする方法を示します。
Switch(config-if)# dot1x default
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x fallback
クライアントが IEEE 802.1x 認証をサポートしていない場合のフォールバック方式として Web 認証を使用するようにポートを設定するには、 dot1xfallback インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x fallback profile
no dot1x fallback
シンタックスの説明
profile |
IEEE 802.1x 認証をサポートしていないクライアントのフォールバック プロファイルを指定します。 |
デフォルト
フォールバックはイネーブルではありません。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(35)SE |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドを入力する前に、スイッチで dot1x port-control auto インターフェイス コンフィギュレーション コマンドを入力する必要があります。
例
次の例では、IEEE 802.1x 認証用に設定されているスイッチ ポートにフォールバック プロファイルを指定する方法を示します。
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x fallback profile1
Switch(config-fallback-profile)# exit
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
dot1x guest-vlan
アクティブな VLAN を IEEE 802.1x のゲスト VLAN として指定するには、 dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x guest-vlan vlan-id
no dot1x guest-vlan
シンタックスの説明
vlan-id |
アクティブ VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。 |
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
次のいずれかのスイッチポートにゲスト VLAN を設定できます。
• 非プライベート VLAN に属するスタティックアクセス ポート。
• セカンダリ プライベート VLAN に属するプライベート VLAN ポート。スイッチ ポートに接続されるすべてのホストは、端末状態の妥当性の評価に成功したかどうかにかかわらず、プライベート VLAN に割り当てられます。スイッチが、スイッチのプライマリおよびセカンダリ プライベート VLAN の対応付けを使用してプライマリ プライベート VLAN を判別します。
スイッチの IEEE 802.1x ポートごとにゲスト VLAN を設定して、現在 IEEE 802.1x 認証を実行していないクライアント(スイッチに接続されているデバイスまたはワークステーション)へのサービスを制限できます。こうしたユーザは IEEE 802.1x 認証のためにシステムをアップグレードできますが、Windows 98 システムなどのホストでは IEEE 802.1x に対応できません。
IEEE 802.1x ポートでゲスト VLAN をイネーブルにした場合、認証サーバが Extensible Authentication Protocol over LAN(EAPOL)Request/Identity フレームに対する応答を受信しないと、あるいは EAPOL パケットがクライアントから送信されないと、スイッチではクライアントをゲスト VLAN に割り当てます。
スイッチは、EAPOL パケット履歴を保持します。リンクの存続時間内に別の EAPOL パケットがインターフェイス上で検出された場合、ゲスト VLAN 機能はディセーブルになります。ポートがすでにゲスト VLAN ステートにある場合、ポートは無許可ステートに戻り、認証が再開されます。 EAPOL 履歴はリンクの損失でリセットされます。
スイッチ ポートがゲスト VLAN に移行すると、IEEE 802.1x 非対応クライアントはいくつでもアクセスが許可されます。IEEE 802.1x 対応クライアントが、ゲスト VLAN を設定しているポートと同じポートに加入すると、ポートは RADIUS 設定 VLAN またはユーザ設定アクセス VLAN では無許可ステートに移行し、認証が再開されます。
ゲスト VLAN は、単一ホスト モードおよび複数ホスト モードの IEEE 802.1x ポート上でサポートされます。
リモート スイッチド ポート アナライザ(RSPAN)VLAN、音声 VLAN 以外のアクティブなすべての VLAN は、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN の機能は、トランク ポート上ではサポートされません。サポートされるのはアクセス ポートのみです。
DHCP クライアントが接続されている IEEE 802.1x ポートのゲスト VLAN を設定したあと、DHCP サーバからホスト IP アドレスを取得する必要があります。クライアント上の DHCP プロセスが時間切れとなり DHCP サーバからホスト IP アドレスを取得しようとする前に、スイッチ上の IEEE 802.1x 認証プロセスを再起動する設定を変更できます。IEEE 802.1x 認証プロセスの設定を減らします( dot1x timeout quiet-period および dot1x timeout tx-period インターフェイス コンフィギュレーション コマンド)。設定の減少量は、接続された IEEE 802.1x クライアントのタイプによって異なります。
このスイッチは、 MAC 認証バイパスをサポートしています 。MAC 認証バイパスは IEEE 802.1x ポートでイネーブルの場合、スイッチは、EAPOL メッセージ交換を待機している間に IEEE802.1x 認証が期限切れになると、クライアントの MAC アドレスに基づいてクライアントを許可できます。スイッチは、IEEE 802.1x ポート上のクライアントを検出したあとで、クライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-access/request フレームを認証サーバに送信します。認証に成功すると、スイッチはクライアントにネットワークへのアクセスを許可します。認証に失敗すると、スイッチはポートにゲスト VLAN を割り当てます(指定されていない場合)。詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with MAC Authentication Bypass」を参照してください。
例
次の例では、VLAN 5 を IEEE 802.1x ゲスト VLAN として指定する方法を示します。
Switch(config-if)# dot1x guest-vlan 5
次の例では、スイッチの待機時間を 3 秒に設定し、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を 15 に設定する方法、および IEEE 802.1x ポートが DHCP クライアントに接続されているときに VLAN 2 を IEEE 802.1x ゲスト VLAN としてイネーブルにする方法を示します。
Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2
次の例では、オプションのゲスト VLAN の動作をイネーブルにし、VLAN 5 を IEEE 802.1x ゲスト VLAN として指定する方法を示します。
Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x guest-vlan 5
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x |
オプションのゲスト VLAN のサプリカント機能をイネーブルにします。 |
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x host-mode
IEEE 802.1x 許可ポート上で単一のホスト(クライアント)または複数のホストを許可するには、 dot1x host-mode インターフェイス コンフィギュレーション コマンドを使用します。IEEE 802.1x 許可ポート上で Multidomain Authentication(MDA; マルチドメイン認証)をイネーブルにするには、multi-domain キーワードを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x host-mode { multi-host | single-host | multi-domain }
no dot1x host-mode [ multi-host | single-host | multi-domain }
シンタックスの説明
multi-host |
スイッチ上で複数のホストをイネーブルにします。 |
single-host |
スイッチ上で単一のホストをイネーブルにします。 |
multi-domain |
スイッチ ポート上で MDA をイネーブルにします。このキーワードを使用できるのは、スイッチが LAN Base イメージを実行している場合だけです。 |
デフォルト
デフォルト設定は、single-host モードです。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
12.2(46)SE1 |
multi-domain キーワードが追加されました。 |
使用上のガイドライン
このコマンドを使用すると、IEEE 802.1x 対応ポートを単一のクライアントに限定したり、複数のクライアントを IEEE 802.1x 対応ポートに接続したりすることができます。マルチホスト モードでは、接続されたホストのうち 1 つが許可されれば、すべてのホストのネットワーク アクセスが許可されます。ポートが無許可ステートになった場合(再認証が失敗した場合、または Extensible Authentication Protocol over LAN [EAPOL]-Logoff メッセージを受信した場合)には、接続されたすべてのクライアントがネットワーク アクセスを拒否されます。
ポート上で MDA をイネーブルにするには、multi-domain キーワードを使用します。MDA により、ポートがデータ ドメインと音声ドメインに振り分けられます。MDA では、同じ IEEE 802.1x 対応ポート上でデータ デバイスと IP Phone などの音声デバイス(Cisco 製または他社製)を同時に使用できます。
このコマンドを入力する前に、指定のポートに対して dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認します。
例
次の例では、IEEE 802.1x 認証をグローバルにイネーブルにして、ポートの IEEE 802.1x 認証をイネーブルにし、マルチホスト モードをイネーブルにする方法を示します。
Switch(config)# dot1x system-auth-control
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
次の例では、IEEE 802.1x 認証をグローバルにイネーブルにし、IEEE 802.1x 認証をイネーブルにし、指定したポートで MDA をイネーブルにする方法を示します。
Switch(config)# dot1x system-auth-control
Switch(config)# interface gigabitethernet0/3
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-domain
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x initialize
ポート上で新しく認証セッションを開始する前に、指定の IEEE 802.1x 対応ポートを無許可ステートに手動で戻すには、 dot1x initialize 特権 EXEC コマンドを使用します。
dot1x initialize [ interface interface-id ]
シンタックスの説明
interface interface-id |
(任意)ポートを初期化します。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、IEEE 802.1x ステート マシンを初期化し、新たな認証環境を設定します。このコマンドを入力したあと、ポートの状態は無許可になります。
このコマンドには、 no 形式はありません。
例
次の例では、ポートを手動で初期化する方法を示します。
Switch# dot1x initialize interface gigabitethernet01/2
ポート ステータスが無許可になっていることを確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x mac-auth-bypass
MAC 認証バイパス機能をイネーブルにするには、 dot1x mac-auth-bypass インターフェイス コンフィギュレーション コマンドを使用します。MAC 認証バイパス機能をディセーブルにするには、このコマンドの no 形式を使用します。
dot1x mac-auth-bypass [ eap | timeout inactivity value ]
no dot1x mac-auth-bypass
シンタックスの説明
eap |
(任意)認証に Extensible Authentication Protocol(EAP)を使用するようスイッチを設定します。 |
timeout inactivity value |
(任意)接続されたホストが無許可ステートになる前に非アクティブである秒数を設定します。指定できる範囲は 1 ~ 65535 です。 |
デフォルト
MAC 認証バイパスはディセーブルです。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)SEE |
このコマンドが追加されました。 |
12.2(35)SE |
timeout inactivity value キーワードが追加されました。 |
使用上のガイドライン
特に言及されないかぎり、MAC 認証バイパス機能の使用上のガイドラインは IEEE802.1x 認証の使用上のガイドラインと同じです。
ポートが MAC アドレスで認証されたあとで、ポートから MAC 認証バイパス機能をディセーブルにした場合、ポート ステートには影響ありません。
ポートが未許可ステートであり、クライアント MAC アドレスが認証サーバ データベースにない場合、ポートは未許可ステートのままです。ただし、クライアント MAC アドレスがデータベースに追加されると、スイッチは MAC 認証バイパス機能を使用してポートを再認証できます。
ポートが認証ステートにない場合、再認証が行われるまでポートはこのステートを維持します。
リンクのライフタイム中に EAPOL パケットがインターフェイス上で検出された場合、スイッチは、そのインターフェイスに接続されているデバイスが IEEE 802.1x 対応サプリカントであることを確認し、(MAC 認証バイパス機能ではなく)IEEE 802.1x 認証を使用してインターフェイスを認証します。
MAC 認証バイパスで認証されたクライアントは再認証できます。
MAC 認証バイパスと IEEE 802.lx 認証の相互作用の詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Understanding IEEE 802.1x Authentication with MAC Authentication Bypass」および「IEEE 802.1x Authentication Configuration Guidelines」を参照してください。
例
次の例では、MAC 認証バイパスをイネーブルにし、認証に EAP を使用するようスイッチを設定する方法を示します。
Switch(config-if)# dot1x mac-auth-bypass eap
次の例では、MAC 認証バイパスをイネーブルにし、接続されたホストが 30 秒間非アクティブである場合にタイムアウトを設定する方法を示します。
Switch(config-if)# dot1x mac-auth-bypass timeout inactivity 30
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x max-reauth-req
ポートが無許可ステートに変わるまでスイッチが認証プロセスを再起動する上限回数を設定するには、 dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x max -reauth -req count
no dot1x max -reauth -req
シンタックスの説明
count |
スイッチが認証プロセスを開始するために EAPOL-Identity-Request フレームを再送信する回数を設定します。この回数を超えると、ポートが無許可ステートに移行します。802.1x 非対応デバイスがポートに接続されている場合、スイッチは、デフォルトで 2 回認証試行を再試行します。ポートにゲスト VLAN が設定されている場合は、2 回の再認証試行の後、デフォルトで、ポートはゲスト VLAN に対して許可されます。指定できる範囲は 1 ~ 10 です。デフォルトは 2 です。 |
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
12.2(25)SED |
count 範囲が変更されました。 |
使用上のガイドライン
このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。
例
次の例では、ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する回数を 4 に設定する方法を示します。
Switch(config-if)# dot1x max-reauth-req 4
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x max-req |
スイッチが認証プロセスを再起動する前に、EAP フレームを認証サーバに送信する最高回数を設定します(応答を受信しないと仮定)。 |
dot1x timeout tx-period |
スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。 |
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x max-req
認証プロセスを再起動するまでスイッチが Extensible Authentication Protocol(EAP)フレームを認証サーバからクライアントに送信する上限回数を設定するには(応答を受信しないと仮定)、 dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x max-req count
no dot1x max-req
シンタックスの説明
count |
スイッチが EAPOL DATA パケットの再送信を試みる回数。この回数に達すると、認証プロセスが再起動されます。たとえば、認証プロセスの途中にサプリカントがあって問題が発生した場合、オーセンティケータがデータ要求を 2 回再送信し、応答がなければプロセスを中止します。指定できる範囲は 1 ~ 10 であり、デフォルト値は 2 です。 |
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。
例
次の例では、認証プロセスを再起動する前に、スイッチが EAP フレームを認証サーバからクライアントに送信する回数を 5 回に設定する方法を示します。
Switch(config-if)# dot1x max-req 5
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x timeout tx-period |
スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。 |
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x pae
IEEE 802.1x Port Access Entity(PAE)オーセンティケータとしてポートを設定するには、 dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。IEEE 802.1x 認証をポート上でディセーブルにするには、このコマンドの no 形式を使用します。
dot1x pae authenticator
no dot1x pae
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
ポートは IEEE 802.1x PAE オーセンティケータではありません。IEEE 802.1x 認証はポート上でディセーブルです。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)SEE |
このコマンドが追加されました。 |
使用上のガイドライン
IEEE 802.1x 認証をポート上でディセーブルにする場合は、このコマンドの no dot1x pae 形式を使用します。
dot1x port-control インターフェイス コンフィギュレーション コマンドを入力するなどしてポート上で IEEE 802.1x 認証を設定した場合、スイッチは自動的にポートを IEEE 802.1x オーセンティケータとして設定します。オーセンティケータの PAE 動作は、 no dot1x pae インターフェイス コンフィギュレーション コマンドを入力したあとでディセーブルになります。
例
次の例では、ポートの IEEE 802.1x 認証をディセーブルにする方法を示します。
Switch(config-if)# no dot1x pae
設定を確認するには、 show dot1x または show eap 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show dot1x |
スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。 |
show eap |
スイッチまたは特定のポートの EAP のレジストレーション情報およびセッション情報を表示します。 |
dot1x port-control
ポートの許可ステートの手動制御をイネーブルにするには、 dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x port-control { auto | force-authorized | force-unauthorized }
no dot1x port-control
シンタックスの説明
auto |
ポートで IEEE 802.1x 認証をイネーブルにし、スイッチおよびクライアント間の IEEE 802.1x 認証交換に基づきポートを許可または無許可ステートに変更します。 |
force-authorized |
ポートで IEEE 802.1x 認証をディセーブルにすれば、認証情報の交換をせずに、ポートを許可ステートに移行します。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。 |
force-unauthorized |
クライアントからの認証の試みをすべて無視し、ポートを強制的に無許可ステートに変更することにより、このポート経由のすべてのアクセスを拒否します。スイッチはポートを介してクライアントに認証サービスを提供できません。 |
デフォルト
デフォルトの設定は force-authorized です。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
特定のポートの IEEE 802.1x 認証をイネーブルにする前に、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用して、スイッチの IEEE 802.1x 認証をグローバルにイネーブルにする必要があります。
IEEE 802.1x 標準は、レイヤ 2 スタティック アクセス ポートと音声 VLAN ポートでサポートされます。
ポートが、次の項目の 1 つとして設定されていない場合に auto キーワードを使用することができます。
• トランク ポート:トランク ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。
• ダイナミック ポート:ダイナミック モードのポートは、ネイバーとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。
• ダイナミック アクセス ポート:ダイナミック アクセス(VLAN Query Protocol [VQP])ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。
• EtherChannel ポート:アクティブまたはアクティブでない EtherChannel メンバーを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。
• スイッチド ポート アナライザ(SPAN)およびリモート SPAN(RSPAN)宛先ポート:SPAN または RSPAN 宛先ポートであるポートの IEEE 802.1x 認証をイネーブルにすることができます。ただし、そのポートが SPAN または RSPAN 宛先として削除されるまで、IEEE 802.1x 認証はディセーブルのままです。SPAN または RSPAN 送信元ポートでは IEEE 802.1x 認証をイネーブルにすることができます。
スイッチの IEEE 802.1x 認証をグローバルにディセーブルにするには、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。特定のポートの IEEE 802.1x 認証をディセーブルにするには、 no dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。
例
次の例では、ポートの IEEE 802.1x 認証をイネーブルにする方法を示します。
Switch(config)# interface gigabitethernet0/2
Switch(config-if)# dot1x port-control auto
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x re-authenticate
指定の IEEE 802.1x 対応ポートの再認証を手動で開始するには、 dot1x re-authenticate 特権 EXEC コマンドを使用します。
dot1x re-authenticate [ interface interface-id ]
(注) スタックは、LAN Base イメージを実行している Catalyst 2960-S スイッチのみでサポートされています。
シンタックスの説明
interface interface-id |
(任意)再認証するスタックのスイッチ番号、モジュール、インターフェイスのポート番号。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドを使用すると、再認証試行間隔(re-authperiod)および自動再認証の設定秒数を待たずにクライアントを再認証できます。
例
次の例では、ポートに接続されたデバイスを手動で再認証する方法を示します。
Switch# dot1x re-authenticate interface gigabitethernet0/2
関連コマンド
|
|
dot1x reauthentication |
クライアントの定期的再認証をイネーブルにします。 |
dot1x timeout reauth-period |
再認証の間隔(秒)を指定します。 |
dot1x reauthentication
クライアントの定期的な再認証をイネーブルにするには、 dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x reauthentication
no dot1x reauthentication
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用して、定期的な再認証の試行間隔を設定します。
例
次の例では、クライアントの定期的な再認証をディセーブルにする方法を示します。
Switch(config-if)# no dot1x reauthentication
次の例では、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x re-authenticate |
すべての IEEE 802.1x 対応ポートの再認証を手動で初期化します。 |
dot1x timeout reauth-period |
再認証の間隔(秒)を指定します。 |
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x supplicant force-multicast
サプリカント スイッチに、マルチキャストまたはユニキャスト EAPOL パケットを受信したときには必ず強制的にマルチキャスト Extensible Authentication Protocol over LAN(EAPOL)パケットだけを送信させるには、 dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x supplicant force-multicast
no dot1x supplicant force-multicast
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
サプリカント スイッチは、ユニキャスト EAPOL パケットを受信した場合には、ユニキャスト EAPOL パケットを送信します。同様に、マルチキャスト EAPOL パケットを受信した場合には、マルチキャスト EAPOL パケットを送信します。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(52)SE |
このコマンドが追加されました。 |
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
Network Edge Access Topology(NEAT)がすべてのホスト モードで機能するようにするには、サプリカント スイッチ上でこのコマンドをイネーブルにします。
例
次の例では、サプリカント スイッチからオーセンティケータ スイッチに強制的にマルチキャスト EAPOL パケットを送信させる方法を示します。
Switch(config)# dot1x supplicant force-multicast
関連コマンド
|
|
cisp enable |
スイッチ上での Client Information Signalling Protocol(CISP)をイネーブルにして、スイッチがサプリカント スイッチに対してオーセンティケータとして機能するようにします。 |
dot1x credentials |
ポートの 802.1x サプリカント クレデンシャルを設定します。 |
dot1x pae supplicant |
インターフェイスをサプリカントとしてだけ機能するように設定します。 |
dot1x test eapol-capable
すべてのスイッチ ポート上の IEEE 802.1x アクティビティを監視し、IEEE 802.1x をサポートしているポートに接続されたデバイスに関する情報を表示するには、 dot1x test eapol-capable 特権 EXEC コマンドを使用します。
dot1x test eapol-capable [ interface interface-id ]
シンタックスの説明
interface interface-id |
(任意)ポートを照会します。 |
コマンド モード
特権 EXEC
コマンドの履歴
|
|
12.2(44)SE |
このコマンドが追加されました。 |
使用上のガイドライン
スイッチ上のすべてのポートまたは特定のポートに接続された装置の IEEE 802.1x 機能のテストを実行するには、このコマンドを使用します。
このコマンドには、 no 形式はありません。
例
次の例では、スイッチ上の IEEE 802.1x 準備状態チェックをイネーブルにして、ポートを照会する方法を示します。この例では、接続された装置が IEEE 802.1x 対応であることを確認する(照会したポートから受け取った)応答も示します。
Switch# dot1x test eapol-capable interface gigabitethernet0/13
DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet0/13 is EAPOL capable
dot1x test timeout
IEEE 802.1x 準備状態を照会しているポートからの EAPOL 応答の待機に使用されるタイムアウトを設定するには、 dot1x test timeout グローバル コンフィギュレーション コマンドを使用します。
dot1x test timeout timeout
シンタックスの説明
timeout |
EAPOL 応答の待機時間(秒単位)。指定できる範囲は 1 ~ 65535 秒です。 |
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(44)SE |
このコマンドが追加されました。 |
使用上のガイドライン
EAPOL 応答の待機に使用するタイムアウトを設定するには、このコマンドを使用します。
このコマンドには、 no 形式はありません。
例
次の例では、EAPOL 応答に 27 秒間待機するようにスイッチを設定する方法を示します。
Switch# dot1x test timeout 27
show run 特権 EXEC コマンドを入力すると、タイムアウト設定ステータスを確認できます。
関連コマンド
|
|
dot1x test eapol-capable [ interface interface-id ] |
すべてまたは指定した IEEE 802.1x 対応ポートに接続された装置の IEEE 802.1x 準備状態をチェックします。 |
dot1x timeout
IEEE 802.1x タイマーを設定するには、 dot1x timeout インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout { quiet-period seconds | ratelimit-period seconds | reauth-period { seconds | server } | server-timeout seconds | supp-timeout seconds | tx-period seconds }
no dot1x timeout { quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }
シンタックスの説明
quiet- period seconds |
スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数。指定できる範囲は 1 ~ 65535 です。 |
ratelimit- period seconds |
この期間中に認証に成功したクライアントからの Extensible Authentication Protocol over LAN(EAPOL)パケットをスイッチが無視した秒数 指定できる範囲は 1 ~ 65535 です。 |
reauth-period { seconds | server } |
再認証の間隔(秒)を指定します。 キーワードの意味は次のとおりです。 • seconds : 1 ~ 65535 の範囲で秒数を指定します 。デフォルトは 3600 秒です。 • server :セッションタイムアウト RADIUS 属性(属性 [27])の値として秒数を設定します。 |
server-timeout seconds |
認証サーバに対して、スイッチのパケット再送信を待機する秒数。 指定できる範囲は 1 ~ 65535 です。ただし、30 以上の値を設定することをお勧めします。 |
supp-timeout seconds |
スイッチが IEEE 802.1x クライアントへパケットを再送信する前に待機する秒数。指定できる範囲は 30 ~ 65535 です。 |
tx- period seconds |
要求を再送信するまでスイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待機する秒数を設定します。指定できる範囲は 1 ~ 65535 です。 |
デフォルト
デフォルトの設定は次のとおりです。
reauth-period は 3600 秒です。
quiet-period は 60 秒です。
tx-period は 5 秒です。
supp-timeout は 30 秒です。
server-timeout は 30 秒です。
rate-limit は 1 秒です。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
12.2(25)SED |
tx-period キーワードの範囲が変更され、 reauth-period server キーワードが追加されました。 |
12.2(25)SEE |
ratelimit-period キーワードが追加されました。 |
12.2(40)SE |
tx-period seconds の範囲が間違っています。正しい範囲は 1 ~ 65535 です。 |
使用上のガイドライン
このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。
dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにしただけの場合、 dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、スイッチの動作に影響します。
待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。
ratelimit-period が 0(デフォルト)に設定された場合、スイッチは認証に成功したクライアントからの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。
例
次の例では、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
次の例では、定期的な再認証をイネーブルにし、再認証の間隔としてセッションタイムアウト RADIUS 属性の値を指定する方法を示します。
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period server
次の例では、スイッチの待機時間を 30 秒に設定する方法を示します。
Switch(config-if)# dot1x timeout quiet-period 30
次の例では、スイッチから認証サーバへの再送信時間を 45 秒に設定する方法を示します。
Switch(config)# dot1x timeout server-timeout 45
次の例では、EAP request フレームに対するスイッチからクライアントへの再送信時間を 45 秒に設定する方法を示します。
Switch(config-if)# dot1x timeout supp-timeout 45
次の例では、EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する方法を示します。
Switch(config-if)# dot1x timeout tx-period 60
次の例では、認証に成功したクライアントからの EAPOL パケットをスイッチが無視する秒数を 30 と設定する方法を示します。
Switch(config-if)# dot1x timeout ratelimit-period 30
設定を確認するには、 show dot1x 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x max-req |
スイッチが、認証プロセスを再始動する前に、EAP-Request/Identity フレームを送信する最高回数を設定します。 |
dot1x reauthentication |
クライアントの定期的再認証をイネーブルにします。 |
show dot1x |
すべてのポートの IEEE 802.1x ステータスを表示します。 |
dot1x violation-mode
新しいデバイスがポートに接続された場合、またはすでに最大数のデバイスがポートに接続されている状態で新しいデバイスがそのポートに接続された場合に適用される違反モードを設定するには、 dot1x violation-mode インターフェイス コンフィギュレーション コマンドを使用します。
dot1x violation-mode {shutdown | restrict | protect}
no dot1x violation-mode
シンタックスの説明
shutdown |
予想されない新規の MAC アドレスが発生したポートまたは仮想ポートを errdisable にします。 |
restrict |
違反エラーが発生したときに Syslog エラーを生成します。 |
protect |
通知なしで新規の MAC アドレスからパケットを廃棄します。これは、デフォルト設定です。 |
デフォルト
デフォルトでは、dot1x violation-mode protect がイネーブルです。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(46)SE1 |
このコマンドが追加されました。 |
例
次の例では、IEEE 802.1x 対応ポートを errdisable として設定し、新しい装置がポートに接続されたときにシャットダウンする方法を示します。
Switch(config-if)# dot1x violation-mode shutdown
次の例では、新しい装置がポートに接続されるときに、IEEE 802.1x 対応ポートがシステム エラー メッセージを生成し、ポートを制限モードに変更する方法を示します。
Switch(config-if)# dot1x violation-mode restrict
次の例では、新しい装置がポートに接続されるときに無視するように、IEEE 802.1x 対応ポートを設定する方法を示します。
Switch(config-if)# dot1x violation-mode protect
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
duplex
ポートがデュプレックス モードで動作するように指定するには、 duplex インターフェイス コンフィギュレーション コマンドを使用します。ポートをデフォルト値に戻すには、このコマンドの no 形式を使用します。
duplex { auto | full | half }
no duplex
シンタックスの説明
auto |
自動によるデュプレックス設定をイネーブルにします(接続されたデバイス モードにより、ポートが自動的に全二重モードか半二重モードかを判断します)。 |
full |
全二重モードをイネーブルにします。 |
half |
半二重モードをイネーブルにします(10 または 100 Mb/s で動作するインターフェイス用のみ)。1000 または 10000 Mb/s で動作するインターフェイスに対して半二重モードを設定できません。 |
デフォルト
ファスト イーサネット ポートおよびギガビット イーサネット ポートに対するデフォルトは auto です。
100BASE- x (- x は -BX、-FX、-FX-FE、または -LX)SFP モジュールのデフォルトは full です。
二重オプションは、1000BASE- x (- x は -BX、-CWDM、-LX、-SX、または -ZX)SFP モジュールではサポートされていません。
ご使用のスイッチでサポートされている SFP モジュールについては、製品のリリース ノートを参照してください。
コマンド モード
インターフェイス コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
使用上のガイドライン
ファスト イーサネット ポートでは、接続されたデバイスがデュプレックス パラメータの自動ネゴシエーションを実行しない場合、ポートを auto に設定すると、 half を指定するのと同じ効果があります。
ギガビット イーサネット ポートでは、接続装置がデュプレックス パラメータを自動ネゴシエートしないときにポートを auto に設定すると、 full を指定する場合と同じ効果があります。
(注) デュプレックス モードが auto で接続されている装置が半二重で動作している場合、半二重モードはギガビット イーサネット インターフェイスでサポートされます。ただし、これらのインターフェイスを半二重モードで動作するように設定することはできません。
特定のポートを全二重または半二重のどちらかに設定できます。このコマンドの適用可能性は、スイッチが接続されているデバイスによって異なります。
両方のラインの終端が自動ネゴシエーションをサポートしている場合、デフォルトの自動ネゴシエーションを使用することを強く推奨します。片方のインターフェイスが自動ネゴシエーションをサポートし、もう片方がサポートしていない場合、両方のインターフェイス上でデュプレックスと速度を設定し、サポートされている側で auto の設定を使用してください。
速度が auto に設定されている場合、スイッチはリンクの反対側のデバイスと速度設定についてネゴシエートし、速度をネゴシエートされた値に強制的に設定します。デュプレックス設定はリンクの両端での設定が引き継がれますが、これにより、デュプレックス設定に矛盾が生じることがあります。
デュプレックス設定を実行できるのは、速度が auto に設定されている場合です。
注意 インターフェイス速度とデュプレックス モードの設定を変更すると、再設定中にインターフェイスがシャットダウンし、再度イネーブルになる場合があります。
スイッチの速度パラメータとデュプレックス パラメータの設定に関する注意事項については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring Interface Characteristics」の章を参照してください。
例
次の例では、インターフェイスを全二重動作に設定する方法を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# duplex full
設定を確認するには、 show interfaces 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show interfaces |
スイッチのインターフェイスの設定を表示します。 |
speed |
10/100 または 10/100/1000 Mb/s インターフェイスの速度を設定します。 |
errdisable detect cause
特定の原因、またはすべての原因に対して、errdisable 検出をイネーブルにするには、 errdisable detect cause グローバル コンフィギュレーション コマンドを使用します。errdisable 検出機能をディセーブルにする場合は、このコマンドの no 形式を使用します。
errdisable detect cause { all | bpduguard | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | link-flap | loopback | pagp-flap | security-violation shutdown vlan | sfp-config-mismatch }
no errdisable detect cause { all | bpduguard | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | link-flap | loopback | pagp-flap | security-violation shutdown vlan | sfp-config-mismatch }
BPDU ガード機能とポート セキュリティ機能では、このコマンドを使用すると、違反が発生した場合にポート全体をシャットダウンするのではなく、ポートで問題となっている VLAN だけをシャットダウンするようにスイッチをグローバルに設定できます。
VLAN ごとに errdisable 機能をオフにしていて BPDU ガード違反が発生した場合は、ポート全体がディセーブルになります。VLAN ごとに errdisable 機能をディセーブルにするには、このコマンドの no 形式を使用します。
errdisable detect cause bpduguard shutdown vlan
no errdisable detect cause bpduguard shutdown vlan
シンタックスの説明
all |
すべての errdisable の原因に対して、エラー検出をイネーブルにします。 |
bpduguard shutdown vlan |
BPDU ガードで VLAN ごとに errdisable をイネーブルにします。 |
dhcp-rate-limit |
Dynamic Host Configuration Protocol(DHCP)スヌーピング用のエラー検出をイネーブルにします。 |
dtp-flap |
Dynamic Trunking Protocol(DTP; ダイナミック トランキング プロトコル)フラップのエラー検出をイネーブルにします。 |
gbic-invalid |
無効な Gigabit Interface Converter(GBIC; ギガビット インターフェイス コンバータ)モジュールのエラー検出をイネーブルにします。 (注) このエラーは、スイッチ上の無効な Small Form-Factor Pluggable(SFP)モジュールを意味します。 |
inline-power |
インライン パワーに対し、エラー検出をイネーブルにします。 |
link-flap |
リンクステートのフラップに対して、エラー検出をイネーブルにします。 |
loopback |
検出されたループバックに対して、エラー検出をイネーブルにします。 |
pagp-flap |
ポート集約プロトコル(PAgP)フラップの errdisable 原因のエラー検出をイネーブルにします。 |
security-violation shutdown vlan |
音声認識 802.1x セキュリティをイネーブルにします。 |
sfp-config-mismatch |
SFP 設定の不一致でエラー検出をイネーブルにします。 |
コマンドのデフォルト
検出はすべての原因に対してイネーブルです。すべての原因について、ポート全体をシャットダウンするよう設定されます(Per-VLAN errdisable の場合を除く)。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
12.2(37)SE |
VLAN ごとのエラー検出機能が追加されました。 inline-power キーワードおよび sfp-config-mismatch キーワードが追加されました。 |
12.2(46)SE |
security-violation shutdown vlan キーワードが追加されました。 |
使用上のガイドライン
原因(link-flap、 dhcp-rate-limit など)は、errdisable ステートが発生した理由です。原因がポートで検出された場合、ポートは errdisable ステート(リンクダウン ステートに類似した動作ステート)となります。
ポートが errdisable になっているときは事実上シャットダウンし、トラフィックはポートで送受信されません。BPDU、音声認識 802.1x セキュリティ、ガード機能およびポートセキュリティ機能の場合は、違反の発生時にポート全体をシャットダウンする代わりに、ポートで問題となっている VLAN のみをシャットダウンするようにスイッチを設定できます。
原因に対して errdisable recovery グローバル コンフィギュレーション コマンドを入力して、原因の回復メカニズムを設定する場合は、すべての原因がタイムアウトになった時点で、ポートは errdisable ステートから抜け出して、処理を再試行できるようになります。回復メカニズムを設定しない場合は、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力して、ポートを手動で errdisable ステートから回復させる必要があります。
例
次の例では、リンクフラップ errdisable 原因の errdisable 検出をイネーブルにする方法を示します。
S
witch(config)# errdisable detect cause link-flap
次のコマンドでは、VLAN ごとの errdisable で BPDU ガードをグローバルに設定する方法を示します。
S
witch(config)# errdisable detect cause bpduguard shutdown vlan
次のコマンドは、音声認識 802.1x セキュリティを Per-VLAN errdisable に対してグローバルに設定する方法を示します。
S
witch(config)# errdisable detect cause security-violation shutdown vlan
show errdisable detect 特権 EXEC コマンドを入力すると、設定を確認できます。
関連コマンド
|
|
show errdisable detect |
errdisable 検出情報を表示します。 |
show interfaces status err-disabled |
インターフェイスのステータスまたは errdisable ステートにあるインターフェイスのリストを表示します。 |
clear errdisable interface |
VLAN ごとの errdisable 機能によって errdisable になったポートまたは VLAN から errdisable ステートをクリアします。 |
errdisable detect cause small-frame
着信 VLAN タグ付きパケットが小さいフレーム(67 バイト以下)であり、設定された最小レート(しきい値)で到着した場合にスイッチ ポートを errdisable にするには、errdisable detect cause small-frame グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
errdisable detect cause small-frame
no errdisable detect cause small-frame
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(44)SE |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、小さいフレームの着信機能をグローバルにイネーブルにします。各ポートのしきい値を設定するには、small violation-rate インターフェイス コンフィギュレーション コマンドを使用します。
errdisable recovery cause small-frame グローバル コンフィギュレーション コマンドを使用して、ポートが自動的に再びイネーブルになるように設定できます。errdisable recovery interval interval グローバル コンフィギュレーション コマンドを使用して、回復時間を設定します。
例
次の例では、小さい着信フレームが設定されたしきい値で着信する場合に、スイッチ ポートを errdisable にする方法を示します。
Switch(config)# errdisable detect cause small-frame
設定を確認するには、show interfaces 特権 EXEC コマンドを入力します。
関連コマンド
|
|
errdisable recovery cause small-frame |
復旧タイマーをイネーブルにします。 |
errdisable recovery interval interval |
指定された errdisable ステートから回復する時間を指定します。 |
show interfaces |
入出力フロー制御を含むスイッチのインターフェイス設定を表示します。 |
small violation-rate |
小さい着信フレームによってポートが errdisable ステートになるレート(しきい値)を設定します。 |
errdisable recovery cause small-frame
小さいフレームの到着によって errdisable になったポートを自動的に再イネーブルにする回復タイマーをイネーブルにするには、スイッチ上で errdisable recovery cause small-frame グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
errdisable recovery cause small-frame
no errdisable recovery cause small-frame
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(44)SE |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、errdisable ポートの回復タイマーをイネーブルにします。errdisable recovery interval interval インターフェイス コンフィギュレーション コマンドを使用して、回復時間を設定します。
例
次の例では、回復タイマーを設定する方法を示します。
Switch(config)# errdisable recovery cause small-frame
設定を確認するには、show interfaces ユーザ EXEC コマンドを入力します。
関連コマンド
|
|
errdisable detect cause small-frame |
着信フレームが設定された最小サイズより小さく、指定されたレート(しきい値)で着信する場合に、スイッチ ポートが errdisable ステートになるようにします。 |
show interfaces |
入出力フロー制御を含むスイッチのインターフェイス設定を表示します。 |
small violation-rate |
小さい着信フレームによってポートが errdisable ステートになるサイズを設定します。 |
errdisable recovery
回復メカニズム変数を設定するには、 errdisable recovery グローバル コンフィギュレーション コマンドを設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
errdisable recovery { cause { all | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | link-flap | loopback | pagp-flap | psecure-violation | security-violation | sfp-mismatch | udld | vmps } | { interval interval }
no errdisable recovery { cause { all | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | link-flap | loopback | pagp-flap | psecure-violation | security-violation | sfp-mismatch | udld | vmps } | { interval interval }
シンタックスの説明
cause |
特定の原因から回復するように errdisable メカニズムをイネーブルにします。 |
all |
すべての errdisable の原因から回復するタイマーをイネーブルにします。 |
bpduguard |
ブリッジ プロトコル データ ユニット(BPDU)ガード errdisable ステートから回復するタイマーをイネーブルにします。 |
channel-misconfig |
EtherChannel の設定矛盾による errdisable ステートから回復するタイマーをイネーブルにします。 |
dhcp-rate-limit |
DHCP スヌーピング errdisable ステートから回復するタイマーをイネーブルにします。 |
dtp-flap |
ダイナミック トランキング プロトコル(DTP)フラップ errdisable ステートから回復するタイマーをイネーブルにします。 |
gbic-invalid |
無効なギガビット インターフェイス コンバータ(GBIC)モジュールの errdisable ステートから回復するタイマーをイネーブルにします。 (注) このエラーは、無効な Small Form-Factor Pluggable(SFP)の errdisable ステートを意味します。 |
inline-power |
インライン パワーに対し、エラー検出をイネーブルにします。 |
link-flap |
リンクフラップ errdisable ステートから回復するタイマーをイネーブルにします。 |
loopback |
ループバック errdisable ステートから回復するタイマーをイネーブルにします。 |
pagp-flap |
ポート集約プロトコル(PAgP)フラップ errdisable ステートから回復するタイマーをイネーブルにします。 |
psecure-violation |
ポート セキュリティ違反ディセーブル ステートから回復するタイマーをイネーブルにします。 |
security-violation |
IEEE 802.1x 違反ディセーブル ステートから回復するタイマーをイネーブルにします。 |
sfp-mismatch |
SFP 設定の不一致でエラー検出をイネーブルにします。 |
udld |
UniDirectional Link Detection(UDLD; 単方向リンク検出)errdisable ステートから回復するタイマーをイネーブルにします。 |
vmps |
VLAN メンバシップ ポリシー サーバ(VMPS)errdisable ステートから回復するタイマーをイネーブルにします。 |
interval interval |
指定された errdisable ステートから回復する時間を指定します。指定できる範囲は 30 ~ 86400 秒です。すべての原因に同じ間隔が適用されます。デフォルト間隔は 300 秒です。 (注) errdisable recovery のタイマーは、設定された間隔値からランダムな差で初期化されます。実際のタイムアウト値と設定された値の差は、設定された間隔の 15% まで認められます。 |
デフォルト
すべての原因に対して回復はディセーブルです。
デフォルトの回復間隔は 300 秒です。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)FX |
このコマンドが追加されました。 |
12.2(37)SE |
VLAN ごとのエラー検出機能が追加されました。inline-power キーワードおよび sfp-mismatch キーワードが追加されました。 |
使用上のガイドライン
原因( link-flap や bpduguard など)は、errdisable ステートが発生した理由として定義されます。原因がポートで検出された場合、ポートは errdisable ステート(リンクダウン ステートに類似した動作ステート)となります。
ポートが errdisable になっているときは事実上シャットダウンし、トラフィックはポートで送受信されません。BPDU ガード機能およびポートセキュリティ機能の場合は、違反の発生時にポート全体をシャットダウンする代わりに、ポートで問題となっている VLAN のみをシャットダウンするようにスイッチを設定できます。
その原因に対して errdisable の回復をイネーブルにしない場合、ポートは、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドが入力されるまで errdisable ステートのままです。原因の回復をイネーブルにした場合、ポートは errdisable ステートから回復し、すべての原因がタイムアウトになったときに処理を再開できるようになります。
原因の回復をイネーブルにしない場合、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力して、手動でポートを errdisable ステートから回復させる必要があります。
例
次の例では、BPDU ガード errdisable 原因に対して回復タイマーをイネーブルにする方法を示します。
S
witch(config)# errdisable recovery cause bpduguard
次の例では、タイマーを 500 秒に設定する方法を示します。
Switch(config)# errdisable recovery interval 500
設定を確認するには、 show errdisable recovery 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show errdisable recovery |
errdisable 回復タイマーの情報を表示します。 |
show interfaces status err-disabled |
インターフェイスのステータスまたは errdisable ステートにあるインターフェイスのリストを表示します。 |
clear errdisable interface |
VLAN ごとの errdisable 機能によって errdisable になったポートまたは VLAN から errdisable ステートをクリアします。 |
exception crashinfo
Cisco IOS イメージでエラーが発生した場合に拡張クラッシュ情報ファイルを作成するようにスイッチを設定するには、 exception crashinfo グローバル コンフィギュレーション コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
exception crashinfo
no exception crashinfo
シンタックスの説明
このコマンドには、引数またはキーワードはありません。
デフォルト
スイッチが拡張 crashinfo ファイルを作成します。
コマンド モード
グローバル コンフィギュレーション
コマンドの履歴
|
|
12.2(25)SED |
このコマンドが追加されました。 |