この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)をイネーブルにし、特定のアカウンティング方式を回線単位またはインターフェイス単位で定義する IEEE(米国電気電子学会)802.1x セッションの方式リストを作成するには、 aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ]}
no aaa accounting dot1x { name | default }
|
|
このコマンドには、RADIUS サーバへのアクセスが必要です。
インターフェイス上で IEEE 802.1x RADIUS アカウンティングを設定する前に、
dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。
次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。
(注) RADIUS 認証サーバは、AAA クライアントからの更新またはウォッチドッグ パケットを受け取り、ログするよう適切に設定される必要があります。
|
|
AAA アクセス制御モデルをイネーブルにします。構文情報については、 Cisco IOS Security Command Reference, Release 12.2 > Authentication, Authorization, and Accounting > Authentication Commands を参照してください。 |
|
dot1x timeout reauth-period |
IEEE(米国電気電子学会)802.1x に準拠するポートで使用する Authentication, Authorization,
Accounting(AAA; 認証、許可、アカウンティング)方式を指定するには、スイッチ スタックまたはスタンドアロン スイッチ上で aaa authentication dot1x グローバル コンフィギュレーション コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication dot1x { default } method1
no aaa authentication dot1x { default }
(注) 他のキーワードがコマンドラインのヘルプ ストリングに表示されていますが、default および group radius キーワードだけがサポートされます。
|
|
---|---|
method 引数は、認証アルゴリズムがクライアントによって提供されたパスワードを確認するために試行する方式を、試行する順序で指定します。実際に IEEE 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。
group radius を指定した場合、 radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。
設定された認証方式のリストを表示するには、 show running-config イネーブル EXEC コマンドを使用します。
次の例では、AAA をイネーブルにして IEEE 802.1x に準拠している認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試みます。この動作でエラーが返された場合、ユーザがネットワークへアクセスすることは許可されません。
VLAN(仮想 LAN)のアクセス マップのエントリに対してアクションを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で action アクセスマップ コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
vlan access-map グローバル コンフィギュレーション コマンド を使用して、アクセスマップ コンフィギュレーション モードを開始します。
アクションに drop を指定した場合、match コマンドにおける Access Control List(ACL; アクセス制御リスト)名の設定を含め、アクセス マップを定義してから VLAN に適用する必要があります。アクセス マップを定義しない場合、すべてのパケットは廃棄されます。
アクセスマップ コンフィギュレーション モードで、VLAN マッピングの一致条件を定義するには、 match アクセス マップ コンフィギュレーション コマンドを使用します。パケットが条件に一致した場合に発生するアクションを設定するには、 action コマンドを使用します。
次の例では、VLAN アクセス マップ vmap4 を識別し、VLAN 5 および VLAN 6 に適用することで、アクセス リスト al2 に定義されたパケット一致条件と一致した場合、VLAN の IP パケットを転送させています。
特定のスタック メンバー上のフラッシュ メモリから実行イメージを、別の 1 つまたは複数のスタック メンバー上にあるフラッシュ メモリにコピーするには、スタック マスター上で archive copy-sw イネーブル EXEC コマンドを使用します。
archive copy-sw [ /destination-system destination-stack-member-number ] [ /force-reload ] [ leave-old-sw ] [ /no-set-boot ] [ /overwrite ] [ /reload ] [ /safe ] source-stack-member-number
(任意)新しいソフトウェア イメージのダウンロードが成功したあと、BOOT 環境変数の設定は新しいソフトウェア イメージを示すように変更されません。 |
|
(任意)現在のソフトウェア イメージを保存します。新しいイメージがダウンロードされるまでは、新しいソフトウェア イメージ用の領域を作る目的で現在のソフトウェア イメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。 |
|
|
|
---|---|
現行のソフトウェア イメージは、コピーされたイメージで上書きされません。
ソフトウェア イメージと HTML ファイルの両方がコピーされます。
新しいイメージは flash: ファイル システムにコピーされます。
BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを示すよう変更されます。
イメージ名では大文字と小文字が区別されます。イメージ ファイルは tar フォーマットで提供されます。
(注) archive copy-sw イネーブル EXEC コマンドを正常に使用するには、追加されるスタック メンバー スイッチおよびスタック マスターの両方のイメージを Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバからダウンロードしておく必要があります。ダウンロードを実行するには、archive download-sw イネーブル EXEC コマンドを使用します。
互換性のないソフトウェアが搭載されたスイッチにコピーされるイメージは、少なくとも 1 つのスタック メンバーで実行している必要があります。
/destination -system destination-stack-member-number のコマンド オプション繰り返すことで、イメージのコピー先に複数のスタック メンバーを指定し、各スタック メンバーをアップグレードできます。 destination-stack-member-number を指定しない場合、デフォルト設定で、実行中のイメージ ファイルがすべてのスタック メンバーにコピーされます。
/safe または /leave-old-sw オプションを使用した場合に、十分なフラッシュ メモリがないと、新しいイメージのコピーに失敗する場合があります。ソフトウェアを残すことによってフラッシュ メモリの空き容量が不足し、新しいイメージが入りきらなかった場合にエラーが発生します。
/leave-old-sw オプションを使用したために、新しいイメージをコピーしても古いイメージを上書きしなかった場合、 delete イネーブル EXEC コマンドを使用して古いイメージを削除できます。詳細は、「delete」を参照してください。
フラッシュ デバイスのイメージを、コピーされたイメージで上書きする場合は、 /overwrite オプションを使用します。
/overwrite オプション なし でこのコマンドを指定する場合、新しいイメージが、スイッチ フラッシュ デバイスのイメージまたはスタック メンバーで実行中のものと同じではないことが、アルゴリズムによって確認されます。イメージが同じである場合には、コピーは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがコピーされます。
新しいイメージをコピーしたあとで、 reload イネーブル EXEC コマンドを入力して新しいイメージの使用を開始するか、 archive copy-sw コマンドで /reload または /force-reload オプションを指定してください。
source-stack-member-number オプションを使用する場合、次のオプションを 1 つ以上入力できます。
• /destination-system destination-stack-member-number
これらのオプションの前に source-stack-member-number オプションを入力する場合、 archive copy-sw source-stack-member-number コマンドしか入力できません。
次の例では、 archive copy-sw コマンドを入力する方法を示します。
• 実行イメージをスタック メンバーから別のスタック メンバーにコピーして、2 つめのスタック メンバーのフラッシュ メモリのソフトウェア イメージ(すでに存在する場合)をコピーしたイメージで上書きするには、 archive copy-sw/destination destination-stack-member-number /
overwrite s ource-stack-member-number コマンドを入力します。
• 実行イメージをスタック メンバーから別のスタック メンバーにコピーして、現在のソフトウェア イメージを維持しながらイメージのコピー後にシステムをリロードするには、 archive copy-sw/destination destination-stack-member-number /safe/reload source-stack-member-number コマンドを入力します。
次の例では、スタック メンバー 6 から実行イメージをスタック メンバー 8 にコピーする方法を示します。
次の例では、スタック メンバー 6 から実行イメージを他のすべてのスタック メンバーにコピーする方法を示します。
次の例では、実行イメージをスタック メンバー 5 からスタック メンバー 7 にコピーする方法を示します。2 つめのスタック メンバーのフラッシュ メモリにイメージがすでに存在する場合は、コピーされたイメージで上書きされます。イメージがコピーされたあと、システムはリロードされます。
|
|
---|---|
新しいイメージを Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバからスイッチまたはスイッチ スタックにダウンロードして、既存のイメージを上書きまたは保存するには、スイッチ スタックまたはスタンドアロン スイッチ上で archive download-sw イネーブル EXEC コマンドを使用します。
archive download-sw { /force-reload | /imageonly | /leave-old-sw | /no-set-boot | /no-version-check |/destination-system stack-member-number |/only-system-type system-type | /overwrite | /reload | /safe } source-url
現行のソフトウェア イメージは、ダウンロードされたイメージで上書きされません。
ソフトウェア イメージと HTML ファイルの両方がダウンロードされます。
新しいイメージは flash: ファイル システムにダウンロードされます。
BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを示すよう変更されます。
|
|
---|---|
/imageonly オプションは、既存のイメージが削除または置き換えられている場合に、既存のイメージの HTML ファイルを削除します。(HTML ファイルのない)Cisco IOS イメージだけがダウンロードされます。
/safe または /leave-old-sw オプションを使用した場合に、十分なフラッシュ メモリがないと、新しいイメージのダウンロードに失敗する場合があります。ソフトウェアを残すことによってフラッシュ メモリの空き容量が不足し、新しいイメージが入りきらなかった場合にエラーが発生します。
/leave-old-sw オプションを使用したために、新しいイメージをダウンロードしても古いイメージを上書きしなかった場合、 delete イネーブル EXEC コマンドを使用して古いイメージを削除できます。詳細は、「delete」を参照してください。
スイッチ スタックの既存のバージョンとは異なるスタック プロトコルのバージョンのイメージをダウンロードする場合、 /no-version-check オプションを使用します。このオプションを使用する場合には /destination-system オプションを使用し、イメージでアップグレードする特定のスタック メンバーを指定してください。
(注) /no-version-check オプションの使用には注意が必要です。同一のスイッチ スタックにするためには、スタック マスターを含め、すべてのスタック メンバーは、スタック プロトコルのバージョンを同一にする必要があります。このオプションを指定することで、イメージをダウンロードする場合のスタック プロトコルのバージョンと、スイッチ スタックのバージョンの互換性の最初の確認をスキップできます。
/destination-system のコマンド オプション繰り返すことで、複数のスタック メンバーを指定し、アップグレードできます。
フラッシュ デバイスのイメージを、ダウンロードされたイメージで上書きする場合は、 /overwrite オプションを使用します。
/overwrite オプション なし でこのコマンドを指定する場合、ダウンロード アルゴリズムは、新しいイメージが、スイッチ フラッシュ デバイスのイメージ、またはスタック メンバーで実行中のものと同じではないことを確認します。イメージが同じである場合には、ダウンロードは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがダウンロードされます。
新しいイメージをダウンロードしたあとで、 reload イネーブル EXEC コマンドを入力して新しいイメージの使用を開始するか、 archive download-sw コマンドの /reload または /force-reload オプションを指定してください。
次の例では、172.20.129.10 の TFTP サーバから新しいイメージをダウンロードし、スイッチ上でイメージを上書きする方法を示します。
次の例では、172.20.129.10 の TFTP サーバからソフトウェア イメージだけをスイッチにダウンロードする方法を示します。
次の例では、ダウンロードが成功したあとで古いソフトウェア バージョンを保存する方法を示します。
次の例では、スタック メンバー 6 および 8 をアップグレードする方法を示します。
|
|
---|---|
あるスタック メンバーのフラッシュ メモリから実行イメージを、別の 1 つまたは複数のスタック メンバー上のフラッシュ メモリにコピーします。 |
|
tar ファイルの作成、tar ファイル内のファイル一覧表示、tar ファイルからのファイル抽出を実行するには、スイッチ スタックまたはスタンドアロン スイッチ上で、 archive tar イネーブル EXEC コマンドを使用します。
archive tar { /create destination-url flash:/ file-url } | { /table source-url } | { /xtract source-url flash:/ file-ur l [ dir/file ...]}
|
|
---|---|
次の例では、tar ファイルを作成する方法を示します。このコマンドはローカル フラッシュ デバイスの new-configs ディレクトリの内容を、172.20.10.30 にある TFTP サーバの saved.tar という名前のファイルに書き込みます。
次の例では、フラッシュ メモリに存在する c3750-ipservices-tar.12-25.SEB ファイルの内容を表示する方法を示します。tar ファイルの内容は画面に表示されます。
次の例では、 c3750-ipservices-12-25.SEB/html のディレクトリとその内容のみを表示する方法を示します。
次の例では、172.20.10.30 の TFTP サーバ上にある tar ファイルの内容を抽出する方法を示します。ここでは、ローカル フラッシュ ファイル システムのルート ディレクトリに単に new-configs ディレクトリを抽出しています。 saved.tar ファイルの残りのファイルは無視されます。
|
|
---|---|
あるスタック メンバーのフラッシュ メモリから実行イメージを、別の 1 つまたは複数のスタック メンバー上のフラッシュ メモリにコピーします。 |
|
既存のスイッチ イメージをサーバにアップロードするには、スイッチ スタックまたはスタンドアロン スイッチ上で archive upload-sw イネーブル EXEC コマンドを使用します。
archive upload-sw [ /source-system-num stack member number | /version version_string ] destination-url
|
|
---|---|
/version オプションを使用するためには、 /source-system-num オプションを指定する必要があります。これらのオプションを同時に使用することで、指定のスタック メンバーの特定のイメージ(実行イメージではない)をアップロードできます。
アップロード機能を利用できるのは、組み込み型デバイス マネージャに関連する HTML ファイルが既存イメージでインストールされている場合に限られます。
ファイルは Cisco IOS イメージ、HTML ファイル、info の順番でアップロードされます。これらのファイルがアップロードされると、ソフトウェアは tar ファイルを作成します。
次の例では、スタック メンバー 6 で現在実行中のイメージを、172.20.140.2 の TFTP サーバへアップロードする方法を示します。
|
|
---|---|
あるスタック メンバーのフラッシュ メモリから実行イメージを、別の 1 つまたは複数のスタック メンバー上のフラッシュ メモリにコピーします。 |
|
Address Resolution Protocol(ARP; アドレス解決プロトコル)Access Control List(ACL; アクセス制御リスト)を定義する、または以前定義したリストの最後にコマンドを追加するには、スイッチ スタックまたはスタンドアロン スイッチ上で arp access-list グローバル コンフィギュレーション コマンドを使用します。指定の ARP アクセス リストを削除する場合は、このコマンドの no 形式を使用します。
このコマンドは、ご使用のスイッチで IP サービス イメージが稼働している場合に限り使用できます。IP サービス イメージは、以前は Enhanced Multilayer Image(EMI)と呼ばれていました。
|
|
---|---|
arp access-list コマンドを入力すると、ARP アクセスリスト コンフィギュレーション モードが開始され、次のコンフィギュレーション コマンドが使用可能になります。
• deny :拒否するパケットを指定します。詳細は、「deny(ARP アクセスリスト コンフィギュレーション)」を参照してください。
• exit :ARP アクセスリスト コンフィギュレーション モードを終了します。
• no :コマンドを無効にする、またはデフォルト設定に戻します。
• permit :転送するパケットを指定します。詳細は、「permit(ARP アクセスリスト コンフィギュレーション)」を参照してください。
指定された一致条件に基づいた ARP パケットを転送および廃棄するには、 permit および deny アクセスリスト コンフィギュレーション コマンドを使用します。
ARP ACL が定義されている場合、これを VLAN(仮想 LAN)に適用するには、 ip arp inspection
filter vlan グローバル コンフィギュレーション コマンドを使用します。IP から MAC(メディア アクセス制御)へのアドレス バインディングだけを含む ARP パケットは、ACL と照合されます。その他のすべてのタイプのパケットは、検証されずに入力 VLAN にブリッジされます。ACL がパケットを許可すると、スイッチがこれを転送します。明示的な拒否ステートメントにより ACL がパケットを拒否した場合、スイッチはこのパケットを廃棄します。暗黙的な拒否ステートメントにより ACL がパケットを拒否した場合、スイッチはパケットを Dynamic Host Configuration Protocol(DHCP)バインディングのリストと照合します(ACL が スタティック でない場合のみ。スタティックの場合は、パケットはバインディングと照合されません)。
次の例では、ARP アクセス リストを定義し、IP アドレス 1.1.1.1 および MAC アドレス
0000.0000.abcd: を使用して、ホストからの ARP 要求および ARP 応答の両方を許可する方法を示します。
|
|
---|---|
Quality of Service(QoS; サービス品質)ドメイン内の Voice over IP(VoIP)に対し、QoS を自動的に設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
auto qos voip { cisco-phone | cisco-softphone | trust }
no auto qos voip [ cisco-phone | cisco-softphone | trust ]
Auto-QoS は、ポート上でディセーブルに設定されています。
Auto-QoS がイネーブルの場合、Auto-QoS は入力パケット ラベルを使用して、 表2-1 に示すようなトラフィックの分類、パケット ラベルの割り当て、および入力キューと出力キューの設定を行います。
|
トラフィック |
プロトコル トラフィック |
|
トラフィック |
トラフィック |
||
---|---|---|---|---|---|---|---|
DSCP3 |
|||||||
CoS4CoS |
|||||||
1.STP = Spanning-Tree Protocol(スパニングツリー プロトコル) 2.BPDU = Bridge Protocol Data Unit(ブリッジ プロトコル データ ユニット) |
表2-2 に、入力キューに対して生成された Auto-QoS の設定を示します。
|
|
|
(帯域幅) |
サイズ |
---|---|---|---|---|
SRR5共有 |
||||
5.SRR = Shaped Round Robin(シェイプド ラウンド ロビン)。入力キューは共有モードのみサポートします。 |
表2-3 に、出力キューに対して生成された Auto-QoS の設定を示します。
|
|
|
(帯域幅) |
バッファ)サイズ |
(バッファ)サイズ |
---|---|---|---|---|---|
|
|
---|---|
cisco-softphone キーワードが追加され、生成された Auto-Qos コンフィギュレーションが変更されました。 |
QoS ドメイン内の VoIP トラフィックに適切な QoS を設定する場合は、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類することのできるエッジ装置などが含まれます。
Cisco IOS Release 12.2(20)SE より前のリリースでは、Auto-Qos はスイッチ ポート上で Cisco IP Phone を使用した VoIP に対してのみスイッチを設定します。
Cisco IOS Release 12.2(20)SE 以降では、Auto-QoS はスイッチおよびルーテッド ポート上で Cisco IP Phone を使用した VoIP、および Cisco SoftPhone アプリケーションが稼働する装置を使用した VoIP に対してスイッチを設定します。これらのリリースは、Cisco IP SoftPhone Version 1.3(3) 以降のみをサポートしています。接続された装置は、Cisco Call Manager Version 4 以降を使用する必要があります。
Auto-QoS のデフォルトを利用する場合、他の QoS コマンドを設定する前に、Auto-QoS をイネーブルにする必要があります。Auto-QoS をイネーブルにした あとに 、Auto-QoS 設定の調整ができます。
(注) スイッチは Auto-QoS で生成されたコマンドを、CLI(コマンドライン インターフェイス)から入力されたコマンドのように適用します。既存のユーザ設定は、生成されたコマンドの適用を妨げる可能性、または生成されたコマンドによって上書きされる可能性があります(これらは警告なしで発生します)。生成されたコマンドが正常に適用された場合、上書きされなかったユーザ入力の設定が、実行コンフィギュレーションに残っています。上書きされてしまったユーザ入力の設定は、現行コンフィギュレーションをメモリに保存せずにスイッチをリロードすることによって、復旧できます。生成されたコマンドの適用に失敗した場合、以前の実行コンフィギュレーションが復元されます。
最初に Auto-QoS をイネーブルにしたポートでは、Auto-QoS が生成するグローバル コンフィギュレーション コマンドが実行され、その後インターフェイス コンフィギュレーション コマンドが実行されます。他のポート上で Auto-QoS をイネーブルにした場合、Auto-QoS が生成するインターフェイス コンフィギュレーション コマンドは、そのポート用に実行されます。
最初のポート上で Auto-QoS 機能をイネーブルにした場合、次のアクションが自動的に起こります。
• QoS がグローバルにイネーブルになり( mls qos グローバル コンフィギュレーション コマンド)、その後、他のグローバル コンフィギュレーション コマンドが追加されます。
• Cisco IP Phone に接続されたネットワークのエッジにあるポート上で、 auto qos voip cisco-phone インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチは信頼境界機能をイネーブルにします。スイッチは Cisco Discovery Protocol(CDP)を使用し、Cisco IP Phone の有無を検出します。Cisco IP Phone が検出された場合、ポート上の入力分類は、パケットで受信された QoS 値を信頼するよう設定されます。Cisco IP Phone が検出されない場合、入力分類はパケットで受信された QoS 値を信頼しないよう設定されます。スイッチは、 表2-2 および 表2-3 の設定に対応して、ポート上の入力キューおよび出力キューを構成します。
• Cisco SoftPhone が稼働する装置に接続されたネットワークのエッジにあるポートで、 auto qos voip cisco-softphone インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチはポリシングを使用してパケットが適合か不適合かを判断し、パケット上のアクションを指定します。パケットの DSCP 値が 24、26、または 46 であるか、またはパケットが不適合の場合、スイッチは DSCP 値を 0 に変更します。スイッチは、 表2-2 および 表2-3 の設定に対応して、ポート上の入力キューおよび出力キューを設定します。
• ネットワーク内部に接続されたポート上で、 auto qos voip trust インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチは、入力パケットで非ルーテッド ポートの CoS 値、またはルーテッド ポートの DSCP 値を信頼します(トラフィックが他のエッジ装置ですでに分類されていることが前提条件になります)。スイッチは、 表2-2 および 表2-3 の設定に対応して、ポート上の入力キューおよび出力キューを設定します。
スタティック ポート、ダイナミックアクセス ポート、音声 VLAN(仮想 LAN)アクセス ポート、およびトランク ポートで Auto-QoS をイネーブルにできます。Cisco IP Phone が稼働するルーテッド ポートで Auto-QoS をイネーブルにする場合、スタティック IP アドレスを IP Phone に割り当てる必要があります。
(注) Cisco SoftPhone が稼働する装置がスイッチまたはルーテッド ポートに接続されている場合、スイッチはポートごとに 1 つの Cisco SoftPhone アプリケーションのみをサポートします。
Auto-QoS をイネーブルにした場合、その名前に AutoQoS を含むポリシー マップまたはアグリゲート ポリサーを変更しないでください。ポリシー マップまたはアグリゲート ポリサーを変更する必要がある場合は、まずコピーをとってから、コピーされたポリシー マップまたはポリサーを変更してください。生成されたポリシー マップではなく、新しいポリシー マップを使用するには、インターフェイスから生成されたものを削除し、新しいポリシー マップを適用します。
Auto-QoS がイネーブルの場合、自動生成された QoS 設定を表示させるには、Auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos イネーブル EXEC コマンドを使用することで、Auto-QoS のデバッグをイネーブルにできます。詳細は、 debug auto qos コマンドを参照してください。
ポート上で Auto-QoS をディセーブルにするには、no auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。このポート用に生成された Auto-QoS インターフェイス コンフィギュレーション コマンドのみ削除されます。Auto-QoS がイネーブルである最後のポートで no auto qos voip コマンドを入力した場合、Auto-QoS 生成のグローバル コンフィギュレーション コマンドが残っていたとしても、Auto-QoS はディセーブルになったと認識されます(グローバル コンフィギュレーションから影響を受ける他のポートのトラフィック障害を回避するため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、Auto-QoS 生成のグローバル コンフィギュレーション コマンドをディセーブルにします。QoS がディセーブルの場合、パケットが修正されなくなるため(パケットの CoS、DSCP、IP precedence の値は変更されない)、ポートの信頼性に関する概念はなくなります。トラフィックは Pass-Through モードに切り替わります(パケットは書き換えなしにスイッチングされ、ポリシングなしのベスト エフォートに分類されます)。
次の例では、Auto-QoS をイネーブルにして、ポートに接続されたスイッチまたはルータが信頼できる装置である場合に、受信した着信パケット内の QoS ラベルを信頼する方法を示します。
設定を確認するには、 show auto qos interface interface-id イネーブル EXEC コマンドを入力します。
|
|
---|---|
デフォルトのポート CoS 値を定義するか、あるいはポート上のすべての着信パケットにデフォルトの CoS 値を割り当てます。 |
|
mls qos map { cos-dscp dscp1 ... dscp8 | dscp-cos dscp-list to cos } |
|
入力キューに対し Shaped Round Robin(SRR; シェイプド ラウンド ロビン)ウェイトを割り当てます。 |
|
シェーピングしたウェイトを割り当て、ポートにマッピングされた 4 つの出力キュー上の帯域幅シェーピングをイネーブルにします。 |
|
自動アップグレード プロセスをイネーブルにするには、スタック マスターから boot auto-copy-sw グローバル コンフィギュレーション コマンドを使用します。このコマンドにより、
Version-Mismatch(VM)モードのスイッチは、スタック メンバー上で実行中のソフトウェア イメージ、またはスイッチ スタックのフラッシュ メモリの tar ファイル イメージをコピーして、自動的にアップグレードします。自動アップグレード プロセスをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
---|---|
VM モードにあるスイッチは、スイッチ スタックとは異なるマイナー バージョン番号が適用されています。VM モードのスイッチは、完全に機能しているメンバーとしてはスイッチ スタックに加入できません。スイッチ スタックが VM モードのスイッチにコピーできるイメージを保有している場合、自動アップグレード プロセスを使用することで、スタック メンバーからのイメージを VM モードのスイッチに自動的にコピーできます。その場合、スイッチは VM モードを終了し、再起動後にスイッチ スタックに完全に機能しているメンバーとして加入します。
|
|
---|---|
特別な Cisco IOS イメージをロードするには、スイッチ スタックまたはスタンドアロン スイッチ上で boot boothlpr グローバル コンフィギュレーション コマンドを使用します。特別な Cisco IOS イメージがメモリにロードされると、2 つめの Cisco IOS イメージをメモリにロードして、それを起動できます。この変数を使用するのは、内部開発およびテストの場合だけです。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot boothlpr filesystem :/ file-url
フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。 |
|
|
|
---|---|
ファイル名およびディレクトリ名では、大文字と小文字が区別されます。
このコマンドは、BOOTHLPR 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3750 スイッチ ブート ローダ コマンド」 を参照してください。
|
|
---|---|
システム設定の不揮発性コピーの読み込みおよび書き込みを行うために、Cisco IOS が使用するファイル名を指定するには、スタンドアロン スイッチ上で boot config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot config-file flash: / file-url
|
|
---|---|
このコマンドは、スタンドアロン スイッチからのみ正常に動作します。
ファイル名およびディレクトリ名では、大文字と小文字が区別されます。
このコマンドは、CONFIG_FILE 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3750 スイッチ ブート ローダ コマンド」 を参照してください。
|
|
---|---|
自動ブート プロセスの中断をイネーブルにするには、スタンドアロン スイッチ上で
boot enable-break グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
このコマンドは、スタンドアロン スイッチからのみ正常に動作します。
このコマンドを入力すると、フラッシュ ファイル システムが初期化されたあとで Break キーを押すことにより、自動ブート プロセスを中断できます。
(注) このコマンドの設定に関わりなく、スイッチ前面パネルの MODE ボタンを押せば、いつでも自動ブート プロセスを中断できます。
このコマンドは、ENABLE_BREAK 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3750 スイッチ ブート ローダ コマンド」 を参照してください。
|
|
---|---|
ブート ローダ初期化中にダイナミックにファイルをロードして、ブート ローダの機能を拡張するかまたは機能にパッチを当てるには、スイッチ スタックまたはスタンドアロン スイッチ上で boot helper グローバル コンフィギュレーション コマンドを使用します。このコマンドをデフォルト設定に戻す場合は、このコマンドの no 形式を使用します。
boot helper filesystem :/ file-url ...
フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。 |
|
ローダ初期化中にダイナミックにロードするためのパス(ディレクトリ)およびロード可能なファイルのリスト。イメージ名はセミコロンで区切ります。 |
|
|
---|---|
この変数を使用するのは、内部開発およびテストの場合だけです。
ファイル名およびディレクトリ名では、大文字と小文字が区別されます。
このコマンドは、HELPER 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3750 スイッチ ブート ローダ コマンド」 を参照してください。
|
|
---|---|
Cisco IOS ヘルパー イメージが使用するコンフィギュレーション ファイルの名前を指定するには、スイッチ スタックまたはスタンドアロン スイッチ上で boot helper-config-file グローバル コンフィギュレーション コマンドを使用します。このコマンドが設定されていない場合は、CONFIG_FILE 環境変数によって指定されたファイルがロードされたすべてのバージョンの Cisco IOS に使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot helper-config-file filesystem :/ file-url
フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。 |
|
|
|
---|---|
この変数を使用するのは、内部開発およびテストの場合だけです。
ファイル名およびディレクトリ名では、大文字と小文字が区別されます。
このコマンドは、HELPER_CONFIG_FILE 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3750 スイッチ ブート ローダ コマンド」 を参照してください。
|
|
---|---|
次回ブート サイクル中にスイッチの手動起動をイネーブルにするには、スタンドアロン スイッチ上で boot manual グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
このコマンドは、スタンドアロン スイッチからのみ正常に動作します。
次にシステムを再起動すると、スイッチはブート ローダ モードで起動します。これは switch: プロンプトに表示されます。システムを起動する場合は、 boot ブート ローダ コマンドを使用してブート可能イメージの名前を指定します。
このコマンドは、MANUAL_BOOT 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3750 スイッチ ブート ローダ コマンド」 を参照してください。
|
|
---|---|
プライベート コンフィギュレーションの不揮発性コピーの読み込みおよび書き込みを行うために Cisco IOS が使用するファイル名を指定するには、スタンドアロン スイッチ上で boot
private-config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot private-config-file filename
|
|
---|---|
次の例では、プライベート コンフィギュレーション ファイルの名前を pconfig と指定する方法を示します。
|
|
---|---|
次回のブート サイクル中にロードする Cisco IOS イメージを指定するには、スイッチ スタックまたはスタンドアロン スイッチ上で boot system グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot system { filesystem :/ file-url ... | switch { number | all }}
no boot system switch { number | all }
フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。 |
|
スイッチは、BOOT 環境変数内の情報を使用して、自動的にシステムを起動しようとします。この変数が設定されていない場合、スイッチは、フラッシュ ファイル システム全体に再帰的な縦型検索を行って、最初の実行可能イメージをロードして実行しようとします。ディレクトリの縦型検索では、検出した各サブディレクトリを完全に検索してから元のディレクトリでの検索を続けます。
|
|
---|---|
switch { number | all } キーワードが追加されました。 boot system コマンドは現在、スイッチ スタックおよびスタンドアロン スイッチ上で正常に動作します。 |
ファイル名およびディレクトリ名では、大文字と小文字が区別されます。
スタック マスター上で boot system filesystem:/file-url コマンドを入力した場合、次回のブート サイクル中に指定のソフトウェア イメージがスタック マスター上でのみロードされます。
スタック マスター上で、次回のブート サイクル中に指定のスタック メンバーでソフトウェア イメージがロードされるように指定するには、 boot system switch number コマンドを使用します。次回のブート サイクル中にすべてのスタック メンバー上でソフトウェア イメージがロードされるように指定するには、 boot system switch all コマンドを使用します。
boot system switch number コマンドまたは boot system switch all コマンドをスタック マスター上で入力すると、スタック マスターはスタック メンバー上にソフトウェア イメージが存在しているかどうか確認します。スタック メンバー上(スタック メンバー 1 など)にソフトウェア イメージが存在しない場合、次のようなエラー メッセージが表示されます。
archive download-sw イネーブル EXEC コマンドを使用してシステム イメージを保存している場合、 boot system コマンドを使用する必要はありません。 boot system コマンドは自動的に処理され、ダウンロードされたイメージがロードされます。
このコマンドは、BOOT 環境変数の設定を変更します。詳細は、 付録 A「Catalyst 3750 スイッチ ブート ローダ コマンド」 を参照してください。
|
|
---|---|
EhterChannel グループにイーサネット ポートを割り当てたり、EtherChannel モードをイネーブルにしたりするには、スイッチ スタックまたはスタンドアロン スイッチ上で channel-group インターフェイス コンフィギュレーション コマンドを使用します。イーサネット ポートを EtherChannel グループから削除する場合は、このコマンドの no 形式を使用します。
channel-group channel -group-number mode { active | { auto [ non-silent ]} | { desirable [ non-silent ]} | on | passive }
PAgP モード:
channel-group channel -group-number mode { { auto [ non-silent ]} | { desirable [ non-silent}}
LACP モード:
channel-group channel -group-number mode {active | passive}
On モード:
channel-group channel -group-number mode on
|
|
---|---|
レイヤ 2 の EtherChannel の場合、物理ポートをチャネル グループに割り当てる前に、 interface port-channel グローバル コンフィギュレーション コマンドを使用してポート チャネル インターフェイスを作成する必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。論理ポートが作成されていない状態でチャネル グループが最初の物理ポートを取得すると、ポート チャネル インターフェイスは自動的に作成されます。ポートチャネル インターフェイスを最初に作成した場合、 channel-group-number と port - channel-number を同一にするか、または新しい番号を使用できます。新しい番号を使用した場合、 channel-group コマンドはダイナミックに新しいポート チャネルを作成します。
チャネル グループの一部である物理ポートに割り当てられた IP アドレスをディセーブルにする必要はありませんが、これをディセーブルにすることを強く推奨します。
interface port-channel コマンドの次に no switchport インターフェイス コンフィギュレーション コマンドを使用することで、レイヤ 3 のポート チャネルを作成できます。インターフェイスをチャネル グループに適用する前に、ポートチャネルの論理インターフェイスを手動で設定してください。
EtherChannel を設定したあと、ポートチャネル インターフェイス上で変更された設定は、ポートチャネル インターフェイスが割り当てられたすべての物理ポートに適用されます。物理ポートに適用された設定の変更は、設定を適用したポートのみに有効です。EtherChannel のすべてのポートのパラメータを変更する場合、ポートチャネル インターフェイスにコンフィギュレーション コマンドを適用します(スパニングツリーのコマンド、またはトランクとしてレイヤ 2 の EtherChannel を設定するコマンドなど)。
auto モードまたは desirable モードとともに non-silent を指定しなかった場合は、サイレントが指定されているものとみなされます。サイレント モードを設定するのは、PAgP 非対応で、かつほとんどパケットを送信しない装置にスイッチを接続する場合です。サイレント パートナーの例は、トラフィックを生成しないファイル サーバ、またはパケット アナライザなどです。この場合、物理インターフェイス ポート上で稼働している PAgP は、そのポートを動作可能にしません。ただし、PAgP は動作可能で、チャネル グループにポートを付与したり、伝送用ポートを使用できます。リンクの両端はサイレントに設定することはできません。
on モードの場合、EtherChannel が存在するのは、 on モードのポート グループが、同じく on モードの別のポート グループに接続する場合だけです。
クロススタック EtherChannel は、最大 2 つの 10 ギガビット イーサネット インターフェイスをサポートします。
PAgP および LACP モードの両方で EtherChannel を設定することは避けてください。PAgP および LACP を実行している EtherChannle グループは、同一のスイッチ、またはスタックにある異なるスイッチ上で共存できます(クロススタック設定ではできません)。個々の EtherChannel グループは PAgP または LACP のどちらかを実行できますが、相互運用はできません。
channel-protocol インターフェイス コンフィギュレーション コマンドを使用してプロトコルを設定する場合、設定が channel-group インターフェイス コンフィギュレーション コマンドで上書きされることはありません。
IEEE(米国電気電子学会)802.1x のポートとしてアクティブまたはまだアクティブになっていない EtherChannel のメンバー ポートを設定することは避けてください。EtherChannel ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。
(注) Cisco IOS Release 12.2(18)SE より前のソフトウェア リリースの場合、まだアクティブになっていない EtherChannel 上のポートで IEEE 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。
EtherChannel のポートとしてセキュア ポートを設定、またはセキュア ポートとして EtherChannel ポートを設定することは避けてください。
設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」を参照してください。
次の例では、スタック内の単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN(仮想 LAN)10 内の 2 つのスタティックアクセス ポートを、PAgP モードが desirable のチャネル 5 に割り当てます。
次の例では、スタック内の単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN 10 内の 2 つのスタティックアクセス ポートを、LACP モードが active のチャネル 5 に割り当てます。
次の例では、クロススタック EtherChannel を設定する方法を示します。LACP パッシブ モードを使用して、VLAN10 内のスタテイックアクセス ポートとしてスタック メンバー 2 のポートを 2 つ、スタック メンバー 3 のポートを 1 つチャネル 5 に割り当てます。
|
|
---|---|
現在の実行コンフィギュレーションを表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を選択してください。 |
チャネリングを管理するために、ポート上で使用されるプロトコルを制限するには、スイッチ スタックまたはスタンドアロン スイッチ上で channel-protocol インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
channel-protocol { lacp | pagp }
Link Aggregation Control Protocol(LACP)で EtherChannel を設定します。 |
|
|
|
---|---|
channel-protocol コマンドは、チャネルを LACP または PAgP に制限するためのみに使用します。 channel-protocol コマンドを使用してプロトコルを設定する場合、設定は channel-group インターフェイス コンフィギュレーション コマンドで上書きされることはありません。
channel-group インターフェイス コンフィギュレーション コマンドは、EtherChannel のパラメータ設定に使用してください。また、 channel-group コマンドは、EtherChannel に対しモードを設定することもできます。
次の例では、EtherChannel を管理するプロトコルとして LACP を指定する方法を示します。
設定を確認するには、 show etherchannel [ channel-group-number ] protocol イネーブル EXEC コマンドを入力します。
|
|
---|---|
show etherchannel protocol |
指定のクラス マップ名のトラフィックを分類する一致条件を( police 、 set 、および trust ポリシーマップ クラス コンフィギュレーション コマンドを使用して)定義するには、スイッチ スタックまたはスタンドアロン スイッチ上で class ポリシーマップ コンフィギュレーション コマンドを使用します。既存のクラス マップを削除する場合は、このコマンドの no 形式を使用します。
|
|
---|---|
class コマンドを使用する前に、 policy-map グローバル コンフィギュレーション コマンドを使用することでポリシー マップを識別してから、ポリシーマップ コンフィギュレーション モードを開始します。ポリシー マップを指定すると、ポリシー マップ内で新規クラスのポリシーを設定したり、既存クラスのポリシーを変更したりできます。 service-policy インターフェイス コンフィギュレーション コマンドを使用して、ポリシー マップをポートに適用します。
class コマンドを入力すると、ポリシーマップ クラス コンフィギュレーション モードが開始され、次のコマンドが使用可能になります。
• exit :ポリシーマップ クラス コンフィギュレーション モードを終了し、ポリシーマップ コンフィギュレーション モードに戻ります。
• police :分類されたトラフィックにポリサーまたはアグリゲート ポリサーを定義します。ポリサーは、帯域幅の限度およびその限度を超過した場合に実行するアクションを指定します。詳細については、 police および police aggregate ポリシーマップ クラス コマンドを参照してください。
• set :分類されたトラフィックに割り当てる値を指定します。詳細は、 set コマンドを参照してください。
• trust : class または class-map コマンドで分類されたトラフィックに、信頼状態を定義します。詳細は、 trust コマンドを参照してください。
ポリシーマップ コンフィギュレーション モードに戻るには、 exit コマンドを使用します。イネーブル EXEC モードに戻るには、 end コマンドを使用します。
class コマンドは、 class-map グローバル コンフィギュレーション コマンドと同じ機能を実行します。他のポートと共有されていない新しい分類が必要な場合は、 class コマンドを使用します。多数のポート間でマップを共有する場合には、class-map コマンドを使用します。
次の例では、 policy1 という名前のポリシー マップを作成する方法を示します。このコマンドが入力方向に適用された場合、 class1 で定義されたすべての着信トラフィックのマッチングを行い、IP Differentiated Services Code Point(DSCP)を 10 に設定してから、平均レート 1 Mbps(メガビット/秒)でトラフィックをポリシングして 20 KB でバーストします。プロファイルを超過したトラフィックは、ポリシングされた DSCP マップから取得した DSCP 値にマーク ダウンされ、送信されます。
|
|
---|---|
パケットに DSCP 値、または IP precedence 値を設定することによって、IP トラフィックを分類します。 |
|
class ポリシーマップ コンフィギュレーション コマンドまたは class-map グローバル コンフィギュレーション コマンドで分類されたトラフィックに、信頼状態を定義します。 |
パケットと名前を指定したクラスとの照合に使用するクラス マップを作成し、クラスマップ コンフィギュレーション モードを開始するには、スイッチ スタックまたはスタンドアロン スイッチ上で class-map グローバル コンフィギュレーション コマンドを使用します。既存のクラス マップを削除し、グローバル コンフィギュレーション モードに戻る場合は、このコマンドの no 形式を使用します。
class-map [ match-all | match-any ] class-map-name
no class-map [ match-all | match-any ] class-map-name
(任意)このクラス マップ内のすべての一致ステートメントの論理積をとります。クラス マップ内のすべての基準が一致する必要があります。 |
|
match-all または match-any キーワードがどちらとも指定されない場合、デフォルトは match-all になります。
|
|
---|---|
クラスマップ一致条件の作成または変更を希望するクラスの名前を指定し、クラスマップ コンフィギュレーション モードを開始する場合は、このコマンドを使用します。
ポートごとに適用される、グローバルに名付けられたサービス ポリシーの一部としてパケットの分類、マーキング、および集約のポリシングを定義する場合は、 class-map コマンドおよびそのサブコマンドを使用します。
Quality of Service(QoS; サービス品質)クラスマップ コンフィギュレーション モードでは、次の設定コマンドを利用できます。
• description :クラス マップを記述します(最大 200 文字)。 show class-map イネーブル EXEC コマンドは、クラスマップの記述およびクラスマップ名を表示します 。
• exit :QoS クラスマップ コンフィギュレーション モードを終了します 。
• match :分類基準を設定します。詳細は、 match(クラスマップ コンフィギュレーション) コマンドを参照してください。
• no :クラス マップから一致ステートメントを削除します。
• rename :現行のクラス マップ名を変更します。すでに使用されている名前にクラス マップ名を変更すると、
A class-map with this name already exists
メッセージが表示されます。
物理ポート ベースでパケットの分類を定義するために、クラス マップごとに match コマンドがサポートされています。この場合、 match-all および match-any キーワードは同等です。
1 つのクラス マップで設定できる Access Control List(ACL; アクセス制御リスト)は 1 つだけです。ACL には複数の Access Control Entry(ACE; アクセス制御エントリ)を含めることができます。
次の例では、 103 というアクセスリストである 1 つの一致条件を使い、 class1 と呼ばれるクラス マップを設定する方法を示します。
次の例では、クラス マップの class1 を削除する方法を示します。
|
|
---|---|
指定のクラスマップ名で、トラフィックの分類一致条件を定義します( police 、 set 、および trust ポリシーマップ クラス コンフィギュレーション コマンドを使用)。 |
|
ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査のロギング バッファをクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear ip arp inspection log イネーブル EXEC コマンドを使用します。
|
|
---|---|
次の例では、ロギング バッファの内容をクリアする方法を示します。
Switch#
clear ip arp inspection log
ログがクリアされたことを確認するには、 show ip arp inspection log イネーブル EXEC コマンドを入力します。
|
|
---|---|
show inventory log |
ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査の統計情報をクリアするには、 スイッチ スタックまたはスタンドアロン スイッチ上で clear ip arp inspection statistics イネーブル EXEC コマンドを使用します。
clear ip arp inspection statistics [ vlan vlan-range ]
(任意)指定された VLAN(仮想 LAN)またはすべての VLAN の統計情報をクリアします。 VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は、1 ~ 4094 です。 |
|
|
---|---|
次の例では、VLAN 1 の統計情報をクリアする方法を示します。
統計情報が削除されたことを確認するには、 show ip arp inspection statistics vlan 1 イネーブル EXEC コマンドを入力します。
|
|
---|---|
show inventory statistics |
すべての VLAN または指定された VLAN の転送、廃棄、MAC(メディア アクセス制御)検証の障害、および IP 検証の障害のパケットに関する統計情報を表示します。 |
Dynamic Host Configuration Protocol(DHCP)バインディング データベース エージェントの統計情報をクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear ip dhcp snooping database イネーブル EXEC コマンドを使用します。
clear ip dhcp snooping database statistics
このコマンドは、スイッチで IP サービス イメージが稼働している場合に限り使用できます。IP サービス イメージは、以前は Enhanced Multilayer Image(EMI)と呼ばれていました。
|
|
---|---|
clear ip dhcp snooping database statistics コマンドを入力すると、スイッチは、統計情報がクリアされてから、バインディング データベースおよびバインディング ファイルのエントリを更新します。
次の例では、DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアする方法を示します。
Switch#
clear ip dhcp snooping database statistics
統計情報がクリアされたことを確認するには、 show ip dhcp snooping database イネーブル EXEC コマンドを入力します。
|
|
---|---|
Interprocess Communication(IPC; プロセス間通信)プロトコルの統計情報をクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear ipc イネーブル EXEC コマンドを使用します。
clear ipc { queue-statistics | statistics }
|
|
---|---|
すべての統計情報をクリアするには、 clear ipc statistics コマンドを使用します。キュー統計情報のみをクリアするには、 clear ipc queue-statistics コマンドを使用します。
Switch#
clear ipc statistics
Switch#
clear ipc queue-statistics
統計情報が削除されたかどうかを確認するには、 show ipc rpc または show ipc session イネーブル EXEC コマンドを入力します。
|
|
---|---|
show ipc { rpc | session } |
プロトコル トンネル ポートのプロトコル カウンタをクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear l2protocol-tunnel counters イネーブル EXEC コマンドを使用します。
clear l2protocol-tunnel counters [ interface-id ]
|
|
---|---|
次の例では、インターフェイス上のレイヤ 2 プロトコル トンネル カウンタをクリアする方法を示します。
S
witch# clear l2protocol-tunnel counters gigabitethernet0/3
|
|
---|---|
Link Aggregation Control Protocol(LACP)チャネルグループのカウンタをクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear lacp イネーブル EXEC コマンドを使用します。
clear lacp { channel-group-number counters | counters }
|
|
---|---|
clear lacp counters コマンドを使用することで、カウンタをすべてクリアできます。また、指定の
チャネル グループのカウンタのみをクリアする場合には、 clear lacp channel-group-number counters コマンドを使用します。
次の例では、すべてのチャネルグループ情報をクリアする方法を示します。
Switch#
clear lacp counters
次の例では、グループ 4 の LACP トラフィックのカウンタをクリアする方法を示します。
Switch#
clear lacp 4 counters
情報が削除されたかどうかを確認するには、 show lacp counters または show lacp 4 counters イネーブル EXEC コマンドを入力します。
|
|
---|---|
指定のダイナミック アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、スタック メンバー上のすべてのダイナミック アドレス、または特定の VLAN(仮想 LAN)上のすべてのダイナミック アドレスを MAC(メディア アクセス制御)アドレス テーブルから削除するには、スイッチ スタックまたはスタンドアロン スイッチ上で clear mac-address-table イネーブル EXEC コマンドを使用します。このコマンドは MAC アドレス通知グローバル カウンタもクリアします。
clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id ] | notification }
(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ~ 4094 です。 |
|
|
|
---|---|
clear mac-address-table コマンド(ハイフンあり)は、 clear mac address-table (ハイフンなし)に変更されました。 |
次の例では、ダイナミック アドレス テーブルから特定の MAC アドレスを削除する方法を示します。
情報が削除されたかどうかを確認するには、 show mac address-table イネーブル EXEC コマンドを入力します。
|
|
---|---|
特定のインターフェイス上の SNMP(簡易ネットワーク管理プロトコル)MAC アドレス通知トラップをイネーブルにします。 |
MAC(メディア アクセス制御)アドレス テーブルの移行更新関連カウンタをクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear mac address-table move update イネーブル EXEC コマンドを使用します。
clear mac address-table move update
|
|
---|---|
次の例では、MAC アドレス テーブル移行更新関連カウンタをクリアする方法を示します。
情報がクリアされたかどうかを確認するには、 show mac address-table move update イネーブル EXEC コマンドを入力します。
|
|
---|---|
Port Aggregation Protocol(PAgP)チャネルグループの情報をクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear pagp イネーブル EXEC コマンドを使用します。
clear pagp { channel-group-number counters | counters }
|
|
---|---|
clear pagp counters コマンドを使用することで、カウンタをすべてクリアできます。また、指定のチャネル グループのカウンタのみをクリアする場合には、 clear pagp channel-group-number counters コマンドを使用します。
次の例では、すべてのチャネルグループ情報をクリアする方法を示します。
Switch#
clear pagp counters
次の例では、グループ 10 の PAgP トラフィックのカウンタをクリアする方法を示します。
Switch#
clear pagp 10 counters
|
|
---|---|
MAC(メディア アクセス制御)アドレス テーブルからすべてのセキュア アドレスを削除する、またはスイッチ、インターフェイス上の特定タイプ(設定済み、ダイナミック、スティッキー)のすべてのセキュア アドレスを削除するには、スイッチ スタックまたはスタンドアロン スイッチ上で clear port-security イネーブル EXEC コマンドを使用します。
clear port-security { all | configured | dynamic | sticky } [[ address mac-addr | interface interface-id ] [ vlan { vlan-id | { access | voice}}]]
|
|
---|---|
次の例では、MAC アドレス テーブルからすべてのセキュア アドレスをクリアする方法を示します。
次の例では、MAC アドレス テーブルから特定の設定済みセキュア アドレスを削除する方法を示します。
次の例では、特定のインターフェイス上で学習されたすべてのダイナミック セキュア アドレスを削除する方法を示します。
次の例では、アドレス テーブルからすべてのダイナミック セキュア アドレスを削除する方法を示します。
情報が削除されたかどうかを確認するには、 show port-security イネーブル EXEC コマンドを入力します。
|
|
---|---|
switchport port-security mac-address mac-address |
|
switchport port-security maximum value |
|
スパニングツリーのカウンタをクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear spanning-tree counters イネーブル EXEC コマンドを使用します。
clear spanning-tree counters [ interface interface-id ]
(任意)指定のインターフェイス上にあるすべてのスパニングツリーのカウンタをクリアします。有効なインターフェイスは、物理ポート、VLAN(仮想 LAN)、およびポート チャネルです。VLAN の使用範囲は 1 ~ 4094 です。ポートチャネルの使用範囲は 1 ~ 48 です。 |
|
|
---|---|
interface-id が指定されていない場合、すべてのインターフェイス上にあるスパニングツリーのカウンタがクリアされます。
次の例では、すべてのインターフェイス上でスパニングツリーのカウンタをクリアする方法を示します。
|
|
---|---|
すべてのインターフェイス、または指定されたインターフェイスでプロトコル移行プロセスを再開する(強制的に近接スイッチと再度ネゴシエートさせる)には、スイッチ スタックまたはスタンドアロン スイッチ上で clear spanning-tree detected-protocols イネーブル EXEC コマンドを使用します。
clear spanning-tree detected-protocols [ interface interface-id ]
(任意)指定されたインターフェイスでプロトコル移行プロセスを再開します。有効なインターフェイスは、物理ポート、VLAN(仮想 LAN)、およびポート チャネルです。VLAN の使用範囲は 1 ~ 4094 です。ポートチャネルの使用範囲は 1 ~ 48 です。 |
|
|
---|---|
Rapid Per-VLAN Spanning-Tree Plus(Rapid-PVST+)プロトコル、または Multiple Spanning-Tree Protocol(MSTP)が動作するスイッチは、組み込みのプロトコル移行機能をサポートしており、IEEE(米国電気電子学会)802.1D のレガシー スイッチと相互運用させることができます。Rapid-PVST+ スイッチまたは MSTP スイッチが、プロトコルのバージョンが 0 に設定されているレガシー IEEE 802.1D コンフィギュレーション Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を受信した場合は、そのポート上で IEEE 802.1D BPDU だけを送信します。Multiple Spanning-Tree(MST)スイッチは、レガシー BPDU、別のリージョンに関連付けられた MST BPDU(バージョン 3)、または Rapid Spanning-Tree(RST)BPDU(バージョン 2)を受信したときに、そのポートがリージョンの境界にあることを検知します。
ただし、スイッチは、IEEE 802.1D BPDU を受信しなくなった場合であっても、自動的に Rapid-PVST または MSTP モードに戻りません。これは、レガシー スイッチが指定スイッチでなければ、リンクから削除されたかどうかを判断できないためです。この場合、
clear spanning-tree detected-protocols コマンドを使用します。
次の例では、特定のポートでプロトコル移行プロセスを再開する方法を示します。
|
|
---|---|
VLAN(仮想 LAN)Query Protocol(VQP)クライアントが保持する統計情報をクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear vmps statistics イネーブル EXEC コマンドを使用します。
|
|
---|---|
次の例では、VLAN Membership Policy Server(VMPS; VLAN メンバーシップ ポリシー サーバ)統計情報をクリアする方法を示します。
情報が削除されたかどうかを確認するには、 show vmps statistics イネーブル EXEC コマンドを入力します。
|
|
---|---|
VQP バージョン、再確認間隔、再試行回数、VMPS IP アドレス、および現在のサーバとプライマリ サーバを表示します。 |
VLAN(仮想 LAN)Trunking Protocol(VTP; VLAN トランキング プロトコル)およびプルーニング カウンタをクリアするには、スイッチ スタックまたはスタンドアロン スイッチ上で clear vtp counters イネーブル EXEC コマンドを使用します。
|
|
---|---|
情報が削除されたかどうかを確認するには、 show vtp counters イネーブル EXEC コマンドを入力します。
|
|
---|---|
このコマンドは、スイッチ スタックまたはスタンドアロン クラスタ メンバー スイッチから入力する必要はありません。クラスタ コマンド スイッチは、スイッチがクラスタに加入した場合、MAC(メディア アクセス制御)アドレスをクラスタ メンバーのスイッチに自動的に提供します。クラスタ メンバー スイッチは、この情報および他のクラスタ情報をその実行コンフィギュレーション ファイルに追加します。デバッグまたはリカバリ手順の間だけスイッチをクラスタから削除する場合は、クラスタ メンバー スイッチ コンソール ポートから、このグローバル コンフィギュレーション コマンドの no 形式を使用します。
cluster commander-address mac-address [ member number name name ]
|
|
---|---|
このコマンドは、クラスタ コマンドのスイッチ スタックまたはクラスタ コマンド スイッチ上でのみ使用できます。
各クラスタ メンバーは、クラスタ コマンド スイッチを 1 つしか持てません。
クラスタ メンバー スイッチは、mac-address パラメータによりシステム リロード中にクラスタ コマンド スイッチの ID を保持します。
あるクラスタ メンバー スイッチで no 形式を入力すれば、デバッグまたはリカバリ手順の間そのメンバー スイッチをクラスタから削除できます。通常は、メンバーがクラスタ コマンド スイッチと通信ができなくなった場合にのみ、クラスタ メンバー スイッチ コンソール ポートからこのコマンドを入力します。通常のスイッチ設定では、クラスタ コマンド スイッチで no cluster member n グローバル コンフィギュレーション コマンドを入力することによってのみ、クラスタ メンバー スイッチを削除することを推奨します。
スタンバイ クラスタ コマンド スイッチがアクティブになった場合(クラスタ コマンド スイッチになった場合)、このスイッチは cluster commander-address 行をコンフィギュレーションから削除します。
次の例では、実行しているクラスタ メンバーの設定から、その出力の一部を示します。
次の例では、クラスタ メンバー コンソールでクラスタからメンバーを削除する方法を示します。
|
|
---|---|
候補スイッチの拡張検出用にホップカウントの制限を設定するには、スイッチ スタックまたはクラスタ コマンド スイッチ上で cluster discovery hop-count グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cluster discovery hop-count number
no cluster discovery hop-count
|
|
---|---|
このコマンドが利用できるのは、クラスタ コマンド スイッチ スタックまたはクラスタ コマンド スイッチに限られます。このコマンドは、クラスタ メンバー スイッチでは機能しません。
ホップ カウントが 1 に設定された場合、拡張検出はディセーブルになります。クラスタ コマンド スイッチは、クラスタのエッジから 1 ホップの候補だけを検出します。クラスタのエッジとは、最後に検出されたクラスタのメンバー スイッチと最初に検出された候補スイッチの間のポイントです。
次の例では、ホップ カウント制限を 4 に設定する方法を示します。このコマンドは、クラスタ コマンド スイッチから実行されます。
|
|
---|---|
このコマンド対応スイッチをクラスタ コマンド スイッチとしてイネーブルにし、クラスタ名を割り当て、任意でメンバー番号を割り当てるには、コマンド対応スイッチまたはスイッチ スタック上で cluster enable グローバル コンフィギュレーション コマンドを使用します。すべてのメンバーを削除して、このコマンド スイッチを候補スイッチにする場合は、このコマンドの no 形式を使用します。
cluster enable name [ command-switch-member-number ]
|
|
---|---|
このコマンドは、どのクラスタにも属していない任意のコマンド対応スイッチ上で入力します。装置がすでにクラスタのメンバーとして設定されている場合、コマンドはエラーとなります。
クラスタ コマンド スイッチをイネーブルにする場合は、クラスタに名前を付けてください。スイッチがすでにクラスタ コマンド スイッチとして設定されており、クラスタ名が以前の名前と異なっている場合、このコマンドでクラスタ名が変更されます。
次の例では、クラスタ コマンド スイッチをイネーブルにし、クラスタに名前を付け、クラスタ コマンド スイッチ メンバー番号を 4 に設定する方法を示します。
クラスタ コマンド スイッチ上で設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。
|
|
---|---|
スイッチ(コマンドまたはクラスタ メンバー スイッチ)が、他のスイッチのハートビート メッセージを受信しなくなってからそのスイッチのダウンを宣言するまでの期間を秒単位で設定するには、スイッチ スタックまたはクラスタ コマンド スイッチ上で cluster holdtime グローバル コンフィギュレーション コマンドを使用します。期間をデフォルト値に設定する場合は、このコマンドの no 形式を使用します。
cluster holdtime holdtime-in-secs
スイッチ(コマンドまたはクラスタ メンバー スイッチ)が、他のスイッチのダウンを宣言するまでの期間(秒)。指定できる範囲は 1 ~ 300 秒です。 |
|
|
---|---|
クラスタ コマンド スイッチ上でのみ、このコマンドと cluster timer グローバル コンフィギュレーション コマンドを入力してください。設定がクラスタ内のすべてのスイッチ間で一貫性を持つよう、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバーに伝播します。
ホールド時間は、通常インターバル タイマー( クラスタ タイマー )の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、ホールド時間をインターバルで除算した値(いずれも単位は秒)の回数分、ハートビート メッセージが連続して脱落します。
次の例では、クラスタ コマンド スイッチでインターバル タイマーおよび期間を変更する方法を示します。
|
|
---|---|
クラスタに候補を追加するには、クラスタ コマンド スイッチ上で cluster member グローバル コンフィギュレーション コマンドを使用します。メンバーをクラスタから削除する場合は、このコマンドの no 形式を使用します。
cluster member [ n ] mac-address H.H.H [ password enable-password ] [ vlan vlan-id ]
(任意)クラスタ コマンド スイッチが候補をクラスタに追加するときに使用する VLAN(仮想 LAN)ID。指定できる範囲は、1 ~ 4094 です。 |
|
|
---|---|
このコマンドは、候補をクラスタに追加したり、メンバーをクラスタから削除したりする場合にクラスタ コマンド スイッチでのみ入力できます。このコマンドをクラスタ コマンド スイッチ以外のスイッチで入力すると、スイッチはコマンドを拒否し、エラー メッセージを表示します。
スイッチをクラスタから削除する場合はメンバー番号を入力してください。ただし、スイッチをクラスタに追加する場合には、メンバー番号を入力する必要はありません。クラスタ コマンド スイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。
候補スイッチがクラスタに加入した場合には、認証を行うためにそのスイッチのイネーブル パスワードを入力してください。パスワードは、実行コンフィギュレーションまたはスタートアップ コンフィギュレーションには保存されません。候補スイッチがクラスタのメンバーになったあと、そのパスワードはクラスタ コマンドスイッチ パスワードと同じになります。
スイッチが、設定されたホスト名を持たない場合、クラスタ コマンド スイッチは、メンバー番号をクラスタ コマンドスイッチ ホスト名に追加し、これをクラスタ メンバー スイッチに割り当てます。
VLAN を指定していない場合、クラスタ コマンド スイッチは自動的に VLAN を選択し、候補をクラスタに追加します。
次の例では、スイッチをメンバー 2、MAC アドレス 00E0.1E00.2222、パスワード key としてクラスタに追加する方法を示しています。クラスタ コマンド スイッチは、VLAN 3 を経由して候補をクラスタに追加します。
次の例では、MAC アドレス 00E0.1E00.3333 のスイッチをクラスタに追加する方法を示します。このスイッチにはパスワードはありません。クラスタ コマンド スイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。
設定を確認するには、クラスタ コマンド スイッチで show cluster members イネーブル EXEC コマンドを入力します。
|
|
---|---|
クラスタの Network Address Translation(NAT; ネットワーク アドレス変換)の外部インターフェイスを設定し、IP アドレスのないメンバーがクラスタの外部にある装置と通信できるようにするには、スイッチ スタックまたはクラスタ コマンド スイッチ上で cluster outside-interface グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cluster outside-interface interface-id
外部インターフェイスとして機能するインターフェイス。有効なインターフェイスとしては、物理インターフェイス、ポートチャネル、または VLAN(仮想 LAN)があります。ポートチャネルに指定できる範囲は 1 ~ 48 です。指定できる VLAN 範囲は 1 ~ 4094 です。 |
|
|
---|---|
このコマンドは、クラスタ コマンド スイッチ上でのみ入力できます。クラスタ メンバー スイッチでコマンドを入力すると、エラー メッセージが表示されます。
次の例では、VLAN 1 に外部インターフェイスを設定する方法を示します。
|
|
---|---|
現在の実行コンフィギュレーションを表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management |
スイッチ上でクラスタリングをイネーブルにするには、 cluster run グローバル コンフィギュレーション コマンドを使用します。スイッチ上でクラスタリングをディセーブルにする場合は、このコマンドの no 形式を使用します。
|
|
---|---|
クラスタ コマンド スイッチまたはクラスタ コマンド スイッチのスタック上で no cluster run コマンドを入力すると、クラスタ コマンド スイッチはディセーブルになります。クラスタリングはディセーブルになり、スイッチは候補スイッチになることができません。
クラスタ メンバー スイッチで no cluster run コマンドを入力すると、このメンバー スイッチはクラスタから削除されます。クラスタリングはディセーブルになり、スイッチは候補スイッチになることができません。
クラスタに属していないスイッチで no cluster run コマンドを入力すると、クラスタリングはそのスイッチ上でディセーブルになります。このスイッチは候補スイッチになることができません。
次の例では、クラスタ コマンド スイッチでクラスタリングをディセーブルにする方法を示します。
|
|
---|---|
既存の Hot Standby Router Protocol(HSRP)にクラスタをバインドすることにより、クラスタ コマンドスイッチの冗長性をイネーブルにするには、 cluster standby-group グローバル コンフィギュレーション コマンドを使用します。routing-redundancy キーワードを入力することで、同一の HSRP グループが、クラスタ コマンドスイッチの冗長性およびルーティングの冗長性に対して使用できるようになります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cluster standby-grou p HSRP-group-name [ routing-redundancy ]
(任意)同一の HSRP スタンバイ グループをイネーブルにし、クラスタ コマンドスイッチの冗長性およびルーティングの冗長性に対して使用します。 |
|
|
---|---|
このコマンドは、クラスタ コマンド スイッチ上でのみ入力できます。クラスタ メンバー スイッチでこれを入力すると、エラー メッセージが表示されます。
クラスタ コマンド スイッチは、クラスタ HSRP バインディング情報をすべてのクラスタ HSRP 対応メンバーに伝播します。各クラスタ メンバー スイッチはバインディング情報を NVRAM(不揮発性 RAM)に保存します。HSRP グループ名は、有効なスタンバイ グループでなければなりません。有効なスタンバイ グループでない場合、エラーが発生してコマンドが終了します。
クラスタにバインドする HSRP スタンバイ グループのすべてのメンバーに同じグループ名を使用する必要があります。バインドされる HSRP グループのすべてのクラスタ HSRP 対応メンバーに同じ HSRP グループ名を使用してください(クラスタを HSRP グループにバインドしない場合には、クラスタのコマンド スイッチおよびメンバーに異なった名前を使用できます)。
次の例では、 my_hsrp という名前の HSRP グループをクラスタにバインドする方法を示します。このコマンドは、クラスタ コマンド スイッチ上から実行します。
次の例では、ルーティングの冗長性およびクラスタの冗長性に対して my_hsrp という名前の HSRP グループを使用する方法を示します。
次の例では、このコマンドがクラスタ コマンド スイッチから実行され、指定された HSRP スタンバイ グループが存在しない場合のエラー メッセージを示します。
次の例では、このコマンドがクラスタ メンバー スイッチで実行された場合のエラー メッセージを示します。
設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。クラスタ内の冗長性がイネーブルになっているかどうかは出力から確認できます。
ハートビート メッセージの間隔を秒単位で設定するには、スイッチ スタックまたはクラスタ コマンド スイッチ上で cluster timer グローバル コンフィギュレーション コマンドを使用します。間隔をデフォルト値に設定する場合は、このコマンドの no 形式を使用します。
cluster timer interval-in-secs
|
|
---|---|
このコマンドと cluster holdtime グローバル コンフィギュレーション コマンドは、クラスタ コマンド スイッチ上でのみ入力してください。設定がクラスタ内のすべてのスイッチ間で一貫性を持つよう、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバーに伝播します。
ホールド時間は通常ハートビート インターバル タイマー( クラスタ タイマー )の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、ホールド時間をインターバルで除算した値(いずれも単位は秒)の回数分、ハートビート メッセージが連続して脱落します。
次の例では、クラスタ コマンド スイッチでハートビート インターバル タイマーおよび期間を変更する方法を示します。
|
|
---|---|
インターフェイスレンジ マクロを作成するには、スイッチ スタックまたはスタンドアロン スイッチ上で define interface-range グローバル コンフィギュレーション コマンドを使用します。定義されたマクロを削除する場合は、このコマンドの no 形式を使用します。
define interface-range macro-name interface-range
no define interface-range macro-name interface-range
|
|
---|---|
ある範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN(仮想 LAN)のいずれかでなければなりません。ただし、マクロ内では複数のインターフェイス タイプを組み合わせることができます。
interface-range を入力する場合は、次のフォーマットを使用します。
• type { first-interface } - { last-interface }
• interface-range を入力するときは、最初のインターフェイス番号とハイフンの間にスペースを入れます。たとえば、 gigabitethernet 1/0/1 - 2 ならば範囲は指定されますが、 gigabit ethernet 1/0/1-2 では指定されません。
type および interface の有効値は次のとおりです。
• vlan vlan-id - vlan-ID (VLAN ID の範囲は 1 ~ 4094)
VLAN インターフェイスは、 interface vlan コマンドで設定してください( show running-config イネーブル EXEC コマンドは、設定された VLAN インターフェイスを表示します)。 show running-config コマンドで表示されない VLAN インターフェイスは、 interface-range では使用できません。
• port-channel port-channel-number ( port-channel-number の範囲は 1 ~ 48)
• fastethernet stack member/module/{ first port } - { last port }
• gigabitethernet stack member/module/{ first port } - { last port }
• stack member は、スタック内のスイッチ識別に使用する番号です。番号に指定できる範囲は 1 ~ 9 で、スタック メンバーの最初の初期化の際に、スイッチに割り当てられます。
• 使用可能範囲は、type stack member /0/number - number です(例:gigabitethernet 1/0/1 - 2)。
範囲を定義するときは、ハイフン(-)の前にスペースが必要です。次に例を示します。
複数の範囲を入力することもできます。複数の範囲を定義するときは、カンマ(,)の前の最初のエントリのあとにスペースが必要です。カンマのあとのスペースは任意になります。次に例を示します。
次の例では、複数のインターフェイス マクロを作成する方法を示します。
フラッシュ メモリ デバイス上のファイルまたはディレクトリを削除するには、スイッチ スタックまたはスタンドアロン スイッチ上で delete イネーブル EXEC コマンドを使用します。
delete [ /force ] [/ recursive ] filesystem :/ file-url
スタック メンバーまたはマスターのスタック上のローカル フラッシュ ファイル システムの構文 スタック マスターから、スタック メンバー上のローカル フラッシュ ファイル システムの構文 |
|
|
|
---|---|
/force キーワードを使用すると、削除プロセスにおいて削除の確認を要求するプロンプトが、最初の 1 回のみとなります。
/force キーワードを指定せずに /recursive キーワードを使用すると、ファイルごとに削除の確認を要求するプロンプトが表示されます。
プロンプト動作は、 file prompt グローバル コンフィギュレーション コマンドの設定によって異なります。デフォルトでは、スイッチは、ファイルを破壊する操作に対して確認のプロンプトを表示します。このコマンドの詳細については、『 Cisco IOS Command Reference 』Release 12.1 を参照してください。
次の例では、新しいイメージのダウンロードが正常に終了したあとに、古いソフトウェア イメージを含むディレクトリを削除する方法を示します。
ディレクトリが削除されたかどうかを確認するには、 dir filesystem : イネーブル EXEC コマンドを入力します。
|
|
---|---|
Dynamic Host Configuration Protocol(DHCP)バインディングとの照合に基づく Address Resolution Protocol(ARP; アドレス解決プロトコル)パケットを拒否するには、スイッチ スタックまたはスタンドアロン スイッチ上で、 deny ARP アクセスリスト コンフィギュレーション コマンドを使用します。アクセス リストから指定された Access Control Entry(ACE; アクセス制御エントリ)を削除する場合は、このコマンドの no 形式を使用します。
deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]
no deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]
このコマンドは、ご使用のスイッチで IP サービス イメージが稼働している場合に限り使用できます。IP サービス イメージは、以前は Enhanced Multilayer Image(EMI)と呼ばれていました。
(任意)ARP 要求の一致条件を定義します。request が指定されない場合、照合はすべての ARP パケットに対して実行されます。 |
|
デフォルト設定はありません。ただし、ARP アクセス リストの最後に、暗黙的な deny ip any mac any コマンドがあります。
|
|
---|---|
次の例では、ARP アクセス リストを定義し、IP アドレス 1.1.1.1 および MAC アドレス
0000.0000.abcd: を使用して、ホストからの ARP 要求および ARP 応答の両方を拒否する方法を示します。
|
|
---|---|
IPv6 アクセス リストの拒否条件を設定するには、IPv6 アクセス リスト コンフィギュレーション モードを開始し、スイッチ スタックまたはスタンドアロン スイッチ上で deny コマンドを使用します。拒否条件を削除する場合は、このコマンドの no 形式を使用します。
deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]
no deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]
Internet Gontrol Message Protocol
deny icmp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ icmp-type [ icmp-code ] | icmp-message ] [ dscp value ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]
deny tcp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ ack ] [ dscp value ] [ established ] [ fin ] [ log ] [ log-input ] [ neq { port | protocol }] [ psh ] [ range { port | protocol }] [ rst ] [ sequence value ] [ syn ] [ time-range name ] [ urg ]
deny udp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ log ] [ log-input ] [ neq { port | protocol }] [ range { port | protocol }] [ sequence value ] [ time-range name ]
(注) このコマンドは、スイッチ スタックで拡張 IP サービス イメージが動作していて、スイッチにデュアル IPv4 および IPv6 Switch Database Management(SDM)テンプレートが設定されている場合のみ利用できます。
(注) flow-label、routing、および undetermined-transport キーワードは、コマンドラインのヘルプ ストリングには表示されますが、サポートされていません。
|
|
---|---|
deny (IPv6 アクセスリスト コンフィギュレーションモード) コマンドは deny (IPv4 アクセスリスト コンフィギュレーション モード)コマンドと同じですが、IPv6専用です。
IPv6 アクセス リスト コンフィギュレーション モードを開始してパケットのアクセス リスト通過条件を定義するには、 ipv6 access-list コマンドのあとに deny (IPv6)コマンドを使用します。
protocol 引数に IPv6 を指定すると、パケットの IPv6 ヘッダーとの比較が行われます。
デフォルトでは、アクセス リストの最初のステートメントは数値 10 で、それ以後のステートメントは 10 ずつ加算されます。
既存のリストに permit 、 deny 、または remark ステートメントを追加することができ、リスト全体を入力しなおす必要はありません。リストの最後以外の任意の場所に新しくステートメントを追加するには、2 つの既存エントリ番号の間のエントリ番号によって属する場所を示し、新しいステートメントを作成します。
(注) IPv6 ACL には、最後の一致条件として、暗黙的な permit icmp any any nd-na、permit icmp any any nd-ns、および deny ipv6 any any ステートメントが設定されています。2 つの permit 条件により、ICMPv6 ネイバの検出が可能になります。ICMPv6 のネイバの検出を無効にして、 icmp any any nd-na または icmp any any nd-ns を拒否するには、ACL に明示的な deny エントリを設定する必要があります。暗黙的な deny ipv6 any any ステートメントを有効にするには、IPv6 ACL に少なくとも 1 個のエントリが設定されていなければなりません。
IPv6 ネイバの検出プロセスには、IPv6 ネットワーク レイヤ サービスが使用されます。そのため、デフォルトでは、IPv6 ACL はインターフェイス上での IPv6 ネイバ検出パケットの送受信を暗黙的に有効にします。IPv4 では、IPv6 ネイバ検出プロセスと同等の Address Resolution Protocol(ARP; アドレス解決プロトコル)で専用のデータリンク レイヤ プロトコルが使用されます。そのため、デフォルトでは、Ipv4 ACL はインターフェイス上での ARP パケットの送受信を暗黙的に有効にします。
source-ipv6-prefix / prefix-length 引数と destination-ipv6-prefix / prefix-length 引数は、トラフィック フィルタリングに使用されます(送信元プレフィクスはトラフィック送信元に基づいてトラフィックのフィルタリングを行い、宛先プレフィクスはトラフィック宛先に基づいてトラフィックのフィルタリングを行います)。
スイッチでサポートされているのは、/0 ~/64 のプレフィクス、集約グローバル ユニキャストおよびリンクローカル ホスト アドレスの場合は EUI ベースの/128 のプレフィクスです。
fragments キーワードは、プロトコルが ipv6 で、 operator [ port-number ] 引数が指定されていない場合のみ使用できます。
次の例では、CISCO という名前の IPv6 アクセス リストを設定し、アクセス リストをレイヤ 3 インターフェイスの発信トラフィックに適用します。リストの最初の拒否エントリにより、宛先 TCP ポート番号が 5000 より大きいパケットがインターフェイスから発信されなくなります。リストの 2 番めの拒否エントリにより、送信元 UDP ポート番号が 5000 未満のパケットがインターフェイスから発信されなくなります。また、2 番めの拒否エントリは、一致項目をコンソールに記録します。リストの最初の許可エントリにより、インターフェイスでの ICMP パケットの発信が許可されます。リストの 2 番めの許可エントリにより、インターフェイスでのその他のトラフィックの発信が許可されます。2 番めの許可エントリが必要となるのは、IPv6 アクセス リストの最後に暗黙的な deny-all 条件が存在するためです。
|
|
---|---|
条件が一致した場合に、非 IP トラフィックの転送を回避するには、スイッチ スタックまたはスタンドアロン スイッチ上で deny MAC(メディア アクセス制御)アクセスリスト コンフィギュレーション コマンドを使用します。名前付き MAC アクセス リストから拒否条件を削除する場合は、このコマンドの no 形式を使用します。
{ deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask |mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]
no { deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]
(注) appletalk は、コマンドラインのヘルプ ストリングには表示されますが、一致条件としてサポートされていません。
Internetwork Packet Exchange(IPX)トラフィックをフィルタリングする場合、使用される IPX のカプセル化タイプに応じて、 type mask または lsap lsap mask キーワードを使用します。Novell 専門用語および Cisco IOS 専門用語で指定の IPX のカプセル化タイプのフィルタ条件は、 表2-4 にリストされています。
|
|
|
---|---|---|
|
|
|
このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL(アクセス制御リスト)のデフォルト アクションは拒否します。
|
|
---|---|
mac access-list extended グローバル コンフィギュレーション コマンドを使用して、MAC アクセス リスト コンフィギュレーション モードを開始します。
host キーワードを使用した場合、アドレス マスクを入力できません。 host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。
Access Control Entry(ACE; アクセス制御エントリ)が ACL に追加された場合、リストの最後には暗黙の deny - any - any 条件が存在します。すなわち、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。
名前付き MAC 拡張アクセス リストに関する詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。
次の例では、あらゆる送信元から MAC アドレス 00c0.00a0.03fa へ送信される、NETBIOS トラフィックを拒否するための名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。
次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。
次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。
|
|
---|---|
IEEE(米国電気電子学会)802.1x をグローバルにイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x { system-auth-control } | { guest-vlan supplicant }
no dot1x { system-auth-control } | { guest-vlan supplicant }
|
|
---|---|
IEEE 802.1x をグローバルにイネーブルにする前に、Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)をイネーブルにし、認証方式のリストを指定する必要があります。方式リストには、ユーザを認証するために使用する順番と認証方式が記載されています。
スイッチ上で IEEE 802.1x をグローバルにイネーブルにする前に、IEEE 802.1x および EtherChannel を設定するインターフェイスから EtherChannel の設定を削除しておく必要があります。
使用している装置で、IEEE 802.1x 認証のための Cisco Access Control Server(ACS)アプリケーションと、EAP-Transparent LAN Services(TLS; 透過型 LAN サービス)および EAP-MD5 が動作していて、使用しているスイッチで Cisco IOS Release 12.1(14)EA1 が稼働している場合、その装置では ACS Version 3.2.1 以降が稼動していることを確認してください。
スイッチ上で任意の IEEE 802.1x のゲスト VLAN 動作をグローバルにイネーブルにするには、 guest-vlan supplicant キーワードを使用します。詳細は、 dot1x guest-vlan コマンドを参照してください。
次の例では、スイッチ上で IEEE 802.1x をグローバルにイネーブルにする方法を示します。
次の例では、スイッチ上で任意のゲスト VLAN 動作をグローバルにイネーブルにする方法を示します。
設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
show dot1x [ interface interface-id ] |
ポートが制限 VLAN に移行するまでに許容可能な最大認証試行回数を設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x auth-fail max-attempts max-attempts
no dot1x auth-fail max-attempts
ポートが制限 VLAN に移行するまでに許容可能な最大認証試行回数を指定します。指定できる範囲は 1 ~ 3 です。デフォルト値は 3 です。 |
|
|
---|---|
VLAN で許容される最大認証試行回数を設定した場合、変更内容が反映されるのは、再認証タイマーが時間切れになったあとです。
次の例では、ポート 3 が制限 VLAN に移行するまでに許容可能な最大認証試行回数として 2 を設定する方法を示します。
設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
dot1x auth-fail vlan [ vlan-id] |
|
dot1x max-reauth-req [ count] |
|
show dot1x [ interface interface-id ] |
ポートで制限 VLAN をイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no dot1x auth-fail vlan vlan-id
|
|
---|---|
次のように設定されたポート上で制限 VLAN を設定できます。
再認証をイネーブルにする必要があります。再認証がディセーブルになっていると、制限 VLAN のポートは再認証要求を受信しません。再認証プロセスを開始するには、制限 VLAN が、ポートからリンクダウン イベントまたは Extensible Authentication Protocol(EAP)ログオフ イベントを受信する必要があります。ホストがハブ経由で接続されている場合、ホストが切断されてもポートでリンクダウン イベントが受信されないことがあり、その結果、次の再認証試行が行われるまで新しいホストが検出できないことがあります。
サプリカントが認証に失敗すると、ポートは制限 VLAN に移行し、EAP success メッセージがサプリカントに送信されます。サプリカントは実際の認証失敗を通知されないため、この制限されたネットワーク アクセスに混乱が生じることがあります。EAP success メッセージは、次の理由で送信されます。
• EAP success メッセージが送信されないと、サプリカントは EAP-start メッセージを送信し、60 秒(デフォルト)ごとに認証を試みます。
• EAP success メッセージを受信するまで DHCP を実装できないホスト(Windows XP が動作する装置など)もあります。
サプリカントは、認証サーバから EAP success メッセージを受信したあと、正しくないユーザ名とパスワードの組み合わせをキャッシュし、再認証時にその情報を再使用することがあります。サプリカントが正しいユーザ名とパスワードの組み合わせを送信するまで、ポートは制限 VLAN の状態のままになります。
レイヤ 3 ポートに使用される内部 VLAN は、制限 VLAN として設定できません。
1 つの VLAN を、制限 VLAN と音声 VLAN の両方として設定することはできません。このような設定をした場合、シスログ メッセージが生成されます。
制限 VLAN ポートが無許可ステートに移行すると、認証プロセスが再開されます。サプリカントが認証プロセスに再度失敗すると、認証サーバは保持ステートで待ちます。サプリカントが正しく再認証されると、IEEE 802.1x ポートは再初期化され、正常な IEEE 802.1x ポートとして扱われます。
制限 VLAN を別の VLAN として設定しなおすと、制限 VLAN 内のポートも変更され、ポートは現在の許可ステートを保持します。
シャットダウンすると、または VLAN データベースから制限 VLAN を削除すると、制限 VLAN 内のポートはただちに無許可ステートに移行し、認証プロセスが再開されます。制限 VLAN 設定がまだ存在しているため、認証サーバは保持ステートになりません。制限 VLAN がアクティブでない間も、制限 VLAN がアクティブになったときにポートがただちに制限 VLAN になるように、認証試行はカウントされます。
制限 VLAN は、シングルホスト モード(デフォルトのポート モード)でのみサポートされます。このため、ポートが制限 VLAN になると、サプリカントの MAC アドレスが MAC アドレス テーブルに追加され、ポートに到達するそれ以外の MAC アドレスはセキュリティ違反として扱われます。
次の例では、ポート 1 に制限 VLAN を設定する方法を示します。
設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
dot1x auth-fail max-attempts [ max-attempts] |
|
show dot1x [ interface interface-id ] |
ポート制御を単一方向制御または双方向制御に変更するには、 dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x control-direction { in | both }
no dot1x control-direction { in | both }
|
|
---|---|
設定を確認するには、 show dot1x all イネーブル EXEC コマンドを入力します。
show dot1x all イネーブル EXEC コマンドの出力結果は、ポート名とポートのステートをのぞき、すべてのスイッチで同じです。ポートに未認証のホストが設定されている場合、次の内容に似た画面が表示されます。
単一方向制御をイネーブルにするために dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力すると、 show dot1x all コマンドの出力は次のようになります。
dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力してもコンフィギュレーションが競合するためにポートがこのモードに対応できない場合は、 show dot1x all コマンドの出力は次のようになります。
|
|
---|---|
show dot1x all [ interface interface-id ] |
アクセス不能認証バイパス機能をイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x critical インターフェイス コンフィギュレーション コマンドを使用します。機能をディセーブルにする場合は、このコマンドの no 形式を使用します。
|
|
---|---|
この機能は、単一ホスト モードの IEEE 802.1x ポート上でのみサポートされます。ポートをクリティカル ポートとして設定しようとすると、またはホスト モードを複数ホスト モードに変更すると、次のメッセージが表示されます。
%Command rejected:Critical ports are only allowed in single-host mode
クライアントで Windows XP が動作していて、クライアントが接続されるクリティカル ポートがクリティカル認証ステートである場合、Windows XP により、インターフェイスが認証されない旨のレポートが作成されることがあります。
Windows XP クライアントが DHCP 用に設定されていて、DHCP サーバで生成される IP アドレスを使用している場合、クリティカル ポートで EAP-Success メッセージを受信しても DHCP 設定プロセスが再開されないことがあります。
IEEE 802.1x ポートで、アクセス不能認証バイパス機能と制限付き VLAN を設定できます。スイッチが制限付き VLAN でクリティカル ポートの再認証を試行し、RADIUS サーバがすべて使用できない場合、ポートの状態はクリティカル認証ステートに移行し、ポートは制限付き VLAN のままとなります。
次の例では、ポート 1 上でアクセス不能認証バイパス機能をイネーブルにする方法を示します。
設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
show dot1x [ interface interface-id ] |
IEEE(米国電気電子学会)802.1x パラメータをデフォルト値にリセットするには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x default インターフェイス コンフィギュレーション コマンドを使用します。
|
|
---|---|
次の例では、ポート上の IEEE 802.1x パラメータをリセットする方法を示します。
設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
show dot1x [ interface interface-id ] |
アクティブな VLAN(仮想 LAN)を IEEE 802.1x のゲスト VLAN として指定するには、スイッチ スタックまたはスタンドアロン スイッチ上で、 dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
アクティブな VLAN を IEEE 802.1x のゲスト VLAN として指定します。指定できる範囲は、1 ~ 4094 です。 |
|
|
---|---|
次のいずれかのスイッチ ポートでゲスト VLAN を設定できます。
• 非プライベート VLAN に属するスタティックアクセス ポート。
• セカンダリ プライベート VLAN に属するプライベート VLAN ポート。スイッチ ポートに接続する全ホストは、端末状態が正しく妥当性評価されたかどうかにかかわらず、プライベート VLAN に割り当てられます。スイッチは、スイッチ上のプライマリおよびセカンダリプライベート VLAN アソシエーションを使用して、プライマリ プライベート VLAN を決定します。
IEEE 802.1x が動作していないクライアント(スイッチに接続されたデバイスまたはワークステーション)に制限されたサービスを提供するよう、スイッチ上の IEEE 802.1x ポートごとにゲスト VLAN を設定できます。ユーザは、IEEE 802.1x 認証用に自分のシステムをアップグレードできます。Windows 98 システムなどの一部のホストでは、IEEE 802.1x 対応でない場合があります。
IEEE 802.1x ポート上でゲスト VLAN をイネーブルにする場合で、Extensible Authentication Protocol over LAN(EAPOL)-Request/Identity フレームへの応答を受信しない場合、または EAPOL パケットがクライアントによって送信されない場合、スイッチはクライアントをゲスト VLAN に割り当てます。
Cisco IOS Release 12.2(25)SE より前では、スイッチは EAPOL パケット履歴を保持せず、インターフェイス上で EAPOL パケットが削除されたかどうかに関係なく、ゲスト VLAN への認証アクセスに失敗したクライアントを許可していました。この任意の動作をイネーブルにするには、 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用します。
Cisco IOS Release 12.2(25)SE 以降では、スイッチは EAPOL パケット履歴を保持します。リンクの存続時間の間にインターフェイス上で別の EAPOL パケットが検出された場合、ゲスト VLAN 機能はディセーブルになります。ポートがすでにゲスト VLAN ステートになっている場合、ポートは無許可ステートになり、認証プロセスが再開されます。EAPOL 履歴はリンクが切断されるとリセットされます。
この動作をイネーブルにするには、 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを入力します。
スイッチ ポートがゲスト VLAN に移行されると、IEEE 802.1x 非対応のクライアントのアクセスがいくつでも許可されます。IEEE 802.1x 対応のクライアントが、ゲスト VLAN が設定された同じポートに加入する場合、ポートはユーザ設定されたアクセス VLAN の無許可ステートになり、認証が再開されます。
ゲスト VLAN は、単一ホスト モードまたは複数ホスト モードの IEEE 802.1x ポート上でサポートされます。
Remote Switched Port Analyzer(RSPAN)VLAN、プライマリ プライベート VLAN、または音声 VLAN 以外、アクティブなすべての VLAN は、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN の機能は、内部 VLAN(ルーテッド ポート)またはトランク ポート上ではサポートされません。サポートされるのはアクセス ポートのみです。
Dynamic Host Configuration Protocol(DHCP)クライアントが接続された IEEE 802.1x ポートにゲスト VLAN を設定したあと、DHCP サーバからホスト IP アドレスを取得する必要がある場合があります。クライアントの DHCP プロセスがタイムアウトして DHCP サーバからホスト IP アドレスを取得しようとする前に、スイッチの IEEE 802.1x 認証プロセスを再始動するために設定を変更することもできます。IEEE 802.1x 認証プロセスの設定値を小さくします( dot1x timeout quiet-period および dot1x timeout tx-period インターフェイス コンフィギュレーション コマンド)。設定値を小さくする度合は、接続されている IEEE 802.1x クライアントのタイプによって異なります。
次の例では、VLAN 5 を IEEE 802.1x のゲスト VLAN として指定する方法を示します。
次の例では、スイッチの待機時間として 3、EAP-Request/Identity フレームに対するクライアントからの応答をスイッチが待機する(要求の再送を待機する)秒数として 15 を設定し、IEEE 802.1x ポートが DHCP クライアントに接続されたときに VLAN 2 をゲスト VLAN としてイネーブルにする方法を示します。
次の例では、任意のゲスト VLAN 動作をイネーブルにし、VLAN 5 を IEEE 802.1x のゲスト VLAN として指定する方法を示します。
設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
show dot1x [ interface interface-id ] |
dot1x port-control インターフェイス コンフィギュレーション コマンドを auto に設定された IEEE 802.1x 許可ポート上で、単一のホスト(クライアント)または複数のホストに設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で、 dot1x host-mode インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x host-mode { multi-host | single-host }
no dot1x host-mode [ multi-host | single-host ]
|
|
---|---|
このコマンドが導入されました。 dot1x multiple-hosts インターフェイス コンフィギュレーション コマンドはこのコマンドに変更されました。 |
IEEE 802.1x 対応のポートを単一のクライアントに制限する場合、または IEEE 802.1x 対応ポートに複数のクライアントを適用する場合にこのコマンドを使用します。マルチホストのモードでは、接続されたホストのうち 1 つが許可されれば、すべてのホストのネットワーク アクセスも許可されます。ポートが無許可ステートになった場合(再認証が失敗した場合、または Extensible Authentication Protocol over LAN[EAPOL]-Logoff メッセージを受信した場合)には、接続されたすべてのクライアントがネットワーク アクセスを拒否されます。
このコマンドを入力する前に、指定したポート上で dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認してください。
次の例では、IEEE 802.1x をグローバルにイネーブルにする方法、1 つのポート上で IEEE 802.1x をイネーブルにする方法、およびマルチホスト モードをイネーブルにする方法を示します。
設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
show dot1x [ interface interface-id ] |
ポート上で新しく認証セッションを初期化する前に、指定の IEEE 802.1x 対応ポートを、手動で無許可ステートに戻すには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x initialize イネーブル EXEC コマンドを使用します。
dot1x initialize interface interface-id
|
|
---|---|
このコマンドを使用し、IEEE 802.1x の状態にあるマシンを初期化することで、認証環境を新規に設定します。このコマンドを入力したあと、ポートのステータスは無許可になります。
無許可のポートの状態を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
show dot1x [ interface interface-id ] |
ポートが無許可ステートに変わるまでに、スイッチが認証プロセスを再始動する上限回数を設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。
次の例では、ポートが無許可ステートに変わるまでにスイッチが認証プロセスを再始動する回数として 4 を設定する方法を示します。
設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
スイッチが、認証プロセスを再始動する前に、Extensible Authentication Protocol(EAP)フレームをクライアントに送信する最大回数を設定します(応答を受信しないことが前提)。 |
|
dot1x timeout tx-period |
スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。 |
show dot1x [ interface interface-id ] |
スイッチが認証プロセスを再始動する前に、Extensible Authentication Protocol(EAP)フレームを認証サーバからクライアントに送信する最大回数を設定するには(応答を受信しないことが前提)、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
スイッチが、認証プロセスを再始動する前に、EAPフレームを認証サーバから再送信する回数。指定できる範囲は、1~ 10 です。 |
|
|
---|---|
このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。
次の例では、スイッチが、認証プロセスを再始動する前に EAP フレームを認証サーバからクライアントに送信する回数として 5 を設定する方法を示します。
設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
dot1x timeout tx-period |
スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。 |
show dot1x [ interface interface-id ] |
過去のリリースで、dot1x multiple-hosts インターフェイス コンフィギュレーション コマンドは、スイッチ スタックまたはスタンドアロン スイッチ上で、IEEE(米国電気電子学会)802.1x の許可ポートで複数のホスト(クライアント)を設定するために使用されました。
|
|
---|---|
dot1x multiple-hosts インターフェイス コンフィギュレーション コマンドはdot1x host-mode インターフェイス コンフィギュレーション コマンドに変更されました。 |
|
|
---|---|
ポートの許可ステートを手動で制御するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x port-control { auto | force-authorized | force-unauthorized }
|
|
---|---|
特定のポート上で IEEE 802.1x をイネーブルにする前に、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用し、スイッチ上の IEEE 802.1x をグローバルにイネーブルにする必要があります。
IEEE 802.1x プロトコルは、レイヤ 2 のスタティックアクセス ポート、音声 VLAN(仮想 LAN)のポート、およびレイヤ 3 のルーテッド ポート上でサポートされます。
ポートが、次のポートの 1 つとして設定されていない場合に auto キーワードを使用できます。
• トランク ポート ― トランク ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。
• ダイナミック ポート ― ダイナミック モードのポートは、ネイバとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。
• ダイナミックアクセス ポート ― ダイナミックアクセス(VLAN[仮想 LAN] Query Protocol [VQP])ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。
• EtherChannel ポート ― IEEE 802.1x のポートとしてアクティブまたはまだアクティブになっていない EtherChannel のメンバーであるポートを設定することは避けてください。EtherChannel ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。
(注) Cisco IOS Release 12.2(18)SE より前のソフトウェア リリースの場合、まだアクティブになっていない EtherChannel 上のポートで IEEE 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。
• Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および Remote SPAN(RSPAN)の宛先ポート ― SPAN または RSPAN の宛先ポート上の IEEE 802.1x をイネーブルにできます。ただし、SPAN または RSPAN の宛先としてポートが削除されないかぎり、IEEE 802.1x はディセーブルです。SPAN または RSPAN 送信元ポートでは IEEE 802.1x をイネーブルにできます。
スイッチ上で、IEEE 802.1x をグローバルにディセーブルにする場合、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。特定のポート上で、IEEE 802.1x をディセーブルにする場合、 no dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、ポートで IEEE 802.1x をイネーブルにする方法を示します。
設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
show dot1x [ interface interface-id ] |
指定の IEEE(米国電気電子学会)802.1x 対応ポートの再認証を手動で開始するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x re-authenticate イネーブル EXEC コマンドを使用します。
dot1x re-authenticate interface interface-id
|
|
---|---|
このコマンドを使用すれば、再認証試行(re-authperiod)および自動再認証の間に設定した秒数を待たずにクライアントを再認証できます。
次の例では、ポートに接続された装置を手動で再認証する方法を示します。
|
|
---|---|
dot1x timeout reauth-period |
過去のリリースで、 dot1x re-authentication グローバル コンフィギュレーション コマンドは、スイッチ スタックまたはスタンドアロン スイッチ上で、定期的な再認証の試行間隔を設定するために使用されました。
|
|
---|---|
dot1x re-authentication グローバル コンフィギュレーション コマンドは、 dot1x reauthentication インターフェイス コンフィギュレーション コマンドに変更されました。 |
|
|
---|---|
定期的なクライアントの再認証をイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
このコマンドが導入されました。 dot1x re-authentication グローバル コンフィギュレーション コマンド(ハイフン付き)がこのコマンドに変更されました。 |
dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用して、定期的に再認証を行う間隔を設定します。
次の例では、クライアントの定期的な再認証をディセーブルにする方法を示します。
次の例では、定期的な再認証をイネーブルにし、再認証の試行間隔を 4000 秒に設定する方法を示します。
設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。
|
|
---|---|
dot1x timeout reauth-period |
|
show dot1x [ interface interface-id ] |
IEEE(米国電気電子学会)802.1x のタイマーを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x timeout インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout { quiet-period seconds | reauth-period { seconds | server } | server-timeout seconds | supp-timeout seconds | tx-period seconds }
no dot1x timeout { quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }
このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。
dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにした場合にのみ、 dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドが、スイッチの動作に影響します。
待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。
次の例では、定期的な再認証をイネーブルにし、再認証の試行間隔を 4000 秒に設定する方法を示します。
次の例では、定期的な再認証をイネーブルにし、Session-Timeout RADIUS 属性の値を再認証の試行間隔の秒数で設定する方法を示します。
次の例では、スイッチの待機時間を 30 秒に設定する方法を示します。
次の例では、スイッチから認証サーバへの再送信時間を 45 秒に設定する方法を示します。
次の例では、EAP Request フレームに対してスイッチからクライアントへの再送信時間を 45 秒に設定する方法を示します。
次の例では、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する方法を示します。
|
|
---|---|
スイッチが、認証プロセスを再始動する前に、EAP-Request/Identity フレームを送信する最大回数を設定します。 |
|
ポートの動作のデュプレックス モードを指定するには、スイッチ スタックまたはスタンドアロン スイッチ上で duplex インターフェイス コンフィギュレーション コマンドを使用します。ポートをデフォルト値に戻すには、このコマンドの no 形式を使用します。
ファスト イーサネットおよびギガビット イーサネット ポートの場合、デフォルトは auto です。
100 BASE- x SFP モジュールの場合、デフォルトは full です(- x は、-BX、-FX、-FX-FE、および -LX)。
1000 BASE- x SFP モジュールでは、デュプレックス オプションはサポートされていません(- x は、-BX、-CWDM、-LX、-SX、および -ZX)。
|
|
---|---|
このコマンドは、10 ギガビット イーサネット インターフェイスでは使用できません。
ファスト イーサネット ポートでは、接続された装置がデュプレックス パラメータをオートネゴシエートしない場合にポートを auto に設定すると、 half を指定するのと同じ効果があります。
ギガビット イーサネット ポートでは、接続された装置がデュプレックス パラメータをオートネゴシエートしない場合にポートを auto に設定すると、 full を指定するのと同じ効果があります。
(注) デュプレックス モードが auto で、接続された装置が半二重で動作している場合、半二重モードはギガビット イーサネット インターフェイス上でサポートされます。ただし、これらのインターフェイスが半二重モードで動作するようには設定できません。
一部のポートは、全二重または半二重に設定できます。このコマンドの適用可能性は、スイッチが接続されている装置によって異なります。
回線の両端が自動ネゴシエーションをサポートしている場合、デフォルトの自動ネゴシエーションを使用することを強く推奨します。片方のインターフェイスが自動ネゴシエーションをサポートし、もう片方がサポートしていない場合、両方のインターフェイス上でデュプレックスと速度を設定し、サポートされている側で auto の設定を使用してください。
速度が auto に設定されている場合、スイッチはリンクの反対にある終端の装置と速度設定についてネゴシエートし、速度をネゴシエートされた値に強制的に設定します。デュプレックス設定はリンクの両端での設定が引き継がれますが、これにより、デュプレックス設定に矛盾が生じることがあります。
Cisco IOS Release 12.2(20)SE1 から、速度が auto に設定されている場合にデュプレックス設定を設定できます。
スイッチの速度およびデュプレックスのパラメータの設定に関する注意事項は、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring Interface Characteristics」の章を参照してください。
次の例では、全二重で動作するようインターフェイスを設定する方法を示します。
|
|
---|---|
特定の原因、またはすべての原因に対して、errdisable 検出をイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で errdisable detect cause グローバル コンフィギュレーション コマンドを使用します。errdisable 検出の機能をディセーブルにする場合は、このコマンドの no 形式を使用します。
errdisable detect cause { all | arp-inspection | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap }
no errdisable detect cause { all | arp-inspection | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | pagp-flap }
|
|
---|---|
原因( all や dhcp-rate-limit など)とは、errdisable ステートが発生した理由です。原因がインターフェイス上で検出された場合、インターフェイスは errdisable ステートとなり、リンクダウン ステートに類似した動作ステートとなります。
この原因に対して、 errdisable recovery グローバル コンフィギュレーション コマンドを入力し、原因の回復メカニズムを設定した場合、インターフェイスは errdisable ステートから抜け出し、すべての原因がタイムアウトになったときに動作を再開できるようになります。回復メカニズムを設定していない場合、 shutdown および no shutdown コマンドを入力し、errdisable ステートから手動でインターフェイスを回復する必要があります。
次の例では、リンクフラップ errdisable の原因に対する errdisable 検出をイネーブルにする方法を示します。
S
witch(config)# errdisable detect cause link-flap
|
|
---|---|
show interfaces status err-disabled |
回復メカニズムの変数を設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で 、 errdisable recovery グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | udld | vmps } | { interval interval }
no errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | udld | vmps } | { interval interval }
|
|
---|---|
security-violation キーワードが追加されました。 gbic-invalid キーワードが SFP モジュール ポートに対してサポートされます。 |
|
原因( all や bpduguard など)は、errdisable ステートが発生した理由として定義されています。原因がインターフェイス上で検出された場合、インターフェイスは errdisable ステートとなり、リンクダウン ステートに類似した動作ステートとなります。その原因に対して回復をイネーブルにしない場合、インターフェイスは、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドが入力されるまで、errdisable ステートに置かれます。原因の回復をイネーブルにした場合、インターフェイスは errdisable ステートから抜け出し、すべての原因がタイムアウトになったときに動作を再開できるようになります。
原因の回復をイネーブルにしない場合、手動でインターフェイスを errdisable ステートから回復するには、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力する必要があります。
次の例では、BPDU ガード errdisable の原因に対して回復タイマーをイネーブルにする方法を示します。
S
witch(config)# errdisable recovery cause bpduguard
次の例では、タイマーを 500 秒に設定する方法を示します。
|
|
---|---|
show interfaces status err-disabled |
Cisco IOS イメージのエラー時にスイッチで拡張クラッシュ情報ファイルが作成されるよう設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で exception crashinfo グローバル コンフィギュレーション コマンドを使用します。この機能をディセーブルにする場合は、このコマンドの no 形式を使用します。
|
|
---|---|
基本クラッシュ情報ファイルには、エラーとなった Cisco IOS イメージの名前とバージョン、プロセッサ レジスタのリスト、スタック トレースが記述されます。拡張クラッシュ情報ファイルには、スイッチのエラー原因の特定に役立つ追加情報が記述されます。
スタック マスターで exception crashinfo グローバル コンフィギュレーション コマンドを入力すると、スタック メンバーの Cisco IOS イメージでエラーが発生したときに、すべてのスタック メンバーで拡張クラッシュ情報ファイルが作成されるよう設定されます。
スイッチで拡張クラッシュ情報ファイルが作成されないよう設定するには、 no exception crashinfo グローバル コンフィギュレーション コマンドを使用します。
次の例では、スイッチで拡張クラッシュ情報ファイルが作成されないよう設定する方法を示します。
|
|
---|---|
定義されたマクロを含む実行コンフィギュレーションを表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を選択してください。 |
インターフェイスに対する受信フロー制御ステートを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で flowcontrol インターフェイス コンフィギュレーション コマンドを使用します。特定の装置に対してフロー制御 send が実行可能、かつオンの状態で、終端で輻輳を検出した場合、休止フレームを送信することによって、リンクの相手側またはリモート装置に輻輳を通知します。装置に対してフロー制御 receive がオンであり、休止フレームを受信した場合、データ パケットの送信を停止します。こうすることにより、輻輳している間のデータ パケットの損失を防ぎます。
フロー制御をディセーブルにする場合は、 receive off キーワードを使用します。
flowcontrol receive { desired | off | on }
(注) Catalyst 3750 スイッチは休止フレームを受信できますが、送信はできません。
インターフェイスは、フロー制御パケットを送信する必要がある接続された装置、またはフロー制御パケットを送信する必要はないが、送信することのできる接続された装置と連携して稼働できます。 |
|
インターフェイスは、フロー制御パケットを送信する必要がある接続された装置、またはフロー制御パケットを送信する必要はないが、送信することのできる接続された装置と連携して稼働できます。 |
|
|
---|---|
このスイッチでは、送信フロー制御の休止フレームはサポートされません。
on および desired キーワードは同一の結果になることに注意してください。
flowcontrol コマンドを使用してポートが輻輳中にトラフィック レートを制御するよう設定する場合、フロー制御はポート上で次の条件のうちの 1 つに設定されます。
• receive on または desired : ポートは休止フレームを送信できませんが、休止フレームの送信に必要、または送信ができる装置を接続して一緒に使用できます。ポートは休止フレームを受信できます。
• receive off :フロー制御はどちらの方向にも動作しません。輻輳が生じても、リンクの相手側に通知はなく、どちら側の装置も休止フレームの送受信を行いません。
表2-5 は、各設定の組み合わせによるローカル ポートおよびリモート ポート上のフロー制御の結果を示したものです。テーブルは receive desired キーワードの使用時と receive on キーワードの使用時の結果が同一になることを前提としています。
|
|
||
---|---|---|---|
|
|
|
|
次の例では、リモート ポートによってフロー制御がサポートされないようにローカル ポートを設定する方法を示します。
|
|
---|---|
ポート チャネルの論理インターフェイスへのアクセス、または作成を行うには、スイッチ スタックまたはスタンドアロン スイッチ上で interface port-channel グローバル コンフィギュレーション コマンドを使用します。ポートチャネルを削除する場合は、このコマンドの no 形式を使用します。
interface port-channel port - channel-number
no interface port-channel port - channel-number
|
|
---|---|
レイヤ 2 の EtherChannel に関しては、物理ポートをチャネル グループに割り当てる前にポートチャネル インターフェイスを作成する必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。チャネル グループが最初の物理ポートを取得すると、ポート チャネル インターフェイスは自動的に作成されます。ポートチャネル インターフェイスを最初に作成した場合、 channel-group-number と port - channel-number を同一にするか、または新しい番号を使用できます。新しい番号を使用した場合、 channel-group コマンドはダイナミックに新しいポート チャネルを作成します。
interface port-channel コマンドの次に no switchport インターフェイス コンフィギュレーション コマンドを使用することで、レイヤ 3 のポート チャネルを作成できます。インターフェイスをチャネル グループに適用する前に、ポートチャネルの論理インターフェイスを手動で設定してください。
チャネル グループ内の 1 つのポート チャネルだけが許可されます。
interface port-channel コマンドを使用する場合は、次の注意事項に従ってください。
• Cisco Discovery Protocol(CDP)を使用する場合には、これを物理ポート上でのみ設定してください。ポートチャネル インターフェイスでは設定できません。
• IEEE(米国電気電子学会)802.1x のポートとしてアクティブな EtherChannel のメンバーであるポートを設定することは避けてください。まだアクティブになっていない EtherChannel 上のポートで IEEE 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。
設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」の章を参照してください。
次の例では、ポート チャネル番号 5 でポートチャネル インターフェイスを作成する方法を示します。
設定を確認するには、 show running-config または show etherchannel channel-group-number detail イネーブル EXEC コマンドを入力します。
|
|
---|---|
現在の実行コンフィギュレーションを表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management |
インターフェイス レンジ コンフィギュレーション モードの開始、および複数のポートにおけるコマンドを同時に実行するには、スイッチ スタックまたはスタンドアロン スイッチ上で interface range グローバル コンフィギュレーション コマンドを使用します。インターフェイス範囲を削除する場合は、このコマンドの no 形式を使用します。
interface range { port-range | macro name }
no interface range { port-range | macro name }
|
|
---|---|
インターフェイス レンジ コンフィギュレーション モードを開始すると、入力したすべてのインターフェイスのパラメータは、その範囲内のすべてのインターフェイスに適用されます。
VLAN(仮想 LAN)では、既存の VLAN の Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)でのみ interface range コマンドを使用できます。VLAN の SVI を表示する場合は、 show running-config イネーブル EXEC コマンドを入力します。表示されない VLAN は、 interface range コマンドで使用することはできません。 interface range コマンドのもとで入力したコマンドは、この範囲のすべての既存の VLAN SVI に適用されます。
あるインターフェイス範囲に対して行われた設定変更は、すべて NVRAM(不揮発性 RAM)に保存されますが、 インターフェイス範囲 自体は NVRAM に保存されません。
範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、各範囲をカンマ(,)で区切ることにより、1 つのコマンドで最大 5 つのインターフェイス範囲を定義できます。
port-range タイプおよびインターフェイス の有効値は次のとおりです。
• vlan vlan-ID - vlan-ID (VLAN ID の範囲が 1 ~ 4094)
• fastethernet stack member/module/{ first port } - { last port }(module は常に 0 )
• gigabitethernet stack member/module/{ first port } - { last port }(module は常に 0 )
–stack member は、スタック内のスイッチ識別に使用する番号です。番号に指定できる範囲は 1 ~ 9 で、スタック メンバーの最初の初期化の際に、スイッチに割り当てられます。
–使用可能範囲は、type stack member /0/number - number です(例:gigabitethernet 1/0/1 - 2)。
• port-channel port-channel-number - port-channel-number ( port-channel-number の範囲は 1 ~ 48)
(注) ポート チャネルを指定して interface range コマンドを使用する場合、範囲内の最初と最後のポート チャネル番号はアクティブなポート チャネルとする必要があります。
範囲を定義するときは、最初のエントリとハイフン(-)の間にスペースが必要です。
複数の範囲を定義するときは、カンマ(,)の前に入力される最初のエントリのあとにもスペースが必要です。
同じコマンドでマクロとインターフェイス範囲の両方を指定することはできません。
port-range に 1 つのインターフェイスを指定することもできます。その場合、コマンドの内容は interface interface-id グローバル コンフィギュレーション コマンドと同様になります。
インターフェイスの範囲の設定に関する詳細は、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。
次の例では、 interface range コマンドを使用して、インターフェイス レンジ コンフィギュレーション モードを開始し、2 つのポートにコマンドを適用する方法を示します。
次の例では、同じ機能に対して 1 つのポート範囲マクロ macro1 を使用する方法を示します。この利点は、 macro1 を削除するまで再利用できることです。
|
|
---|---|
スイッチの現在の実行コンフィギュレーション情報を表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を選択してください。 |
動的な Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)へのアクセス、または作成を行い、インターフェイス コンフィギュレーション モードを開始するには、スイッチ スタックまたはスタンドアロン スイッチ上で interface vlan グローバル コンフィギュレーション コマンドを使用します。SVI を削除する場合は、このコマンドの no 形式を使用します。
|
|
---|---|
SVI は、特定の VLANに対して、初めて interface vlan vlan-id コマンドを入力すると作成されます。 vlan-id は、ISL(スイッチ間リンク)上のデータ フレーム、IEEE 802.1Q カプセル化トランク、またはアクセス ポートで設定された VLAN ID と関連した VLAN タグに対応します。
(注) SVI を作成しても物理ポートと関連付けられるまでアクティブにはなりません。
no interface vlan vlan -id コマンドを入力して SVI を削除した場合、削除されたインターフェイスは show interfaces イネーブル EXEC コマンドからの出力には表示されなくなります。
削除した SVI は、削除したインターフェイスに対して interface vlan vlan-id コマンドを入力することで、元に戻すことができます。インターフェイスは元に戻りますが、前の設定内容は消えてしまいます。
スイッチスタック上で設定された SVI の数と、設定された他の機能の数の相互関係によっては、ハードウェア制限により、CPU 使用率に影響がでる可能性もあります。 sdm prefer グローバル コンフィギュレーション コマンドを使用し、システムのハードウェア リソースを、テンプレートおよび機能テーブルに基づいて再度割り当てできます。詳細は、 sdm prefer コマンドを参照してください。
次の例では、VLAN ID 23 で新しい SVI を作成し、インターフェイス コンフィギュレーション モードを開始する方法を示します。
設定を確認するには、 show interfaces および show interfaces vlan vlan-id イネーブル EXEC コマンドを入力します。
|
|
---|---|
show interfaces vlan vlan-id |
レイヤ 2 またはレイヤ 3 インターフェイスへのアクセスを制御するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip access-group インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスからすべてのアクセス グループ、または指定のアクセス グループを削除する場合は、このコマンドの no 形式を使用します。
ip access-group { access-list-number | name } { in | out }
no ip access-group [ access-list-number | name ] { in | out }
IP Access Control List(ACL; アクセス制御リスト)の番号。指定できる範囲は 1 ~ 199、または 1300 ~ 2699 です。 |
|
|
|
---|---|
インターフェイスに、名前付き、番号付き標準 IP アクセス リストまたは拡張 IP アクセス リストを適用できます。名前によるアクセス リストを定義する場合、 ip access-list グローバル コンフィギュレーション コマンドを使用します。番号付きアクセス リストを定義する場合、 access list グローバル コンフィギュレーション コマンドを使用します。標準アクセス リストの範囲は 1 ~ 99 および 1300 ~ 1999、または拡張アクセス リストの範囲は 100 ~ 199 および 2000 ~ 2699 の番号を使用できます。
このコマンドを使用し、アクセス リストをレイヤ 2 またはレイヤ 3 のインターフェイスに適用できます。ただし、レイヤ 2 のインターフェイス(ポート ACL)には、次のような制限があることに注意してください。
• ACL は着信方向に対してのみ適用できます。 out キーワードはレイヤ 2 のインターフェイスでサポートされていません。
• インターフェイスごとの IP ACL および MAC(メディア アクセス制御)ACL は 1 つずつのみ適用できます。
• レイヤ 2 のインターフェイスはロギングをサポートしていません。 log キーワードが IP ACL で指定された場合、無視されます。
• レイヤ 2 のインターフェイスに適用された IP ACL は、IP パケットのみをフィルタにかけます。非 IP パケットにフィルタをかける場合、 mac access-group インターフェイス コンフィギュレーション コマンドを MAC 拡張 ACL で使用します。
ユーザは同一のスイッチ上で、ルータ ACL、入力ポート ACL、VLAN(仮想 LAN)マップを使用できます。ただし、ポートの ACL はルータの ACL または VLAN マップより優先されます。
• 入力ポートの ACL がインターフェイスに適用され、さらにインターフェイスがメンバーとなっている VLAN に VLAN マップが適用された場合、ACL のポート上で受信した着信パケットは、そのポート ACL でフィルタリングにかけられます。他のパケットは VLAN マップのフィルタが適用されます。
• 入力ルータの ACL および入力ポートの ACL が Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。他のポートで受信した着信ルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。
• 出力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。発信ルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。
• VLAN マップ、入力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタのみが適用されます。他のポートで受信した着信ルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタのみ適用されます。
• VLAN マップ、出力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタのみが適用されます。発信ルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタのみ適用されます。
IP の ACL は、発信または着信のレイヤ 3 インターフェイス両方に適用できます。
レイヤ 3 のインターフェイスでは、IP の ACL を各方向に 1 つ適用できます。
VLAN インターフェイス上の各方向(入力および出力)に VLAN マップおよびルータの ACL を 1 つずつのみ設定できます。
通常の着信アクセス リストでは、スイッチがパケットを受信したあと、アクセス リストと照合することでパケットの送信元アドレスを確認します。IP の拡張アクセス リストはオプションで、宛先 IP アドレスやプロトコル タイプ、ポート番号など、パケットの他のフィールドの部分を確認できます。アクセス リストがパケットを許可した場合、スイッチはパケットの処理を継続します。アクセス リストがパケットを拒否した場合、スイッチはパケットを廃棄します。アクセス リストがレイヤ 3 インターフェイスに適用された場合、パケットの廃棄にともない(デフォルト設定)、Internet Control Message Protocol(ICMP)Host Unreachable メッセージが生成されます。ICMP Host Unreachable メッセージは、レイヤ 2 インターフェイスで廃棄されたパケットに対しては生成されません。
通常の発信アクセス リストでは、パケットを受信して、それを制御されたインターフェイスへ送信したあと、スイッチがアクセス リストと照合することでパケットを確認します。アクセス リストがパケットを許可した場合、スイッチはパケットを送信します。アクセス リストがパケットを拒否した場合、スイッチはパケットを廃棄し、デフォルトの設定では、ICMP Host Unreachable メッセージが生成されます。
次の例では、IP アクセス リスト 101 をポートの着信パケットに適用する例を示します。
設定を確認するには、 show ip interface、show access-lists 、または show ip access-lists イネーブル EXEC コマンドを入力します。
レイヤ 2 スイッチの IP アドレス、各 Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)の IP アドレス、レイヤ 3 スイッチのルーテッド ポートの IP アドレスを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で、 ip address インターフェイス コンフィギュレーション コマンドを使用します。IP アドレスを削除したり、IP 処理をディセーブルにする場合は、このコマンドの no 形式を使用します。
ip address ip-address subnet-mask [ secondary ]
no ip address [ ip-address subnet-mask ] [ secondary ]
(任意)設定されたアドレスをセカンダリ IP アドレスに指定します。このキーワードが省略された場合、設定されたアドレスはプライマリ IP アドレスになります。 |
|
|
---|---|
Telnet セッションで、スイッチの IP アドレスを削除した場合、スイッチとの接続が切断されます。
ホストは Internet Control Message Protocol(ICMP)Mask Request メッセージを使用してサブネット マスクを判断できます。ルータは、この ICMP Mask Reply メッセージの要求に対して応答します。
no ip address コマンドを使って IP アドレスを削除することで、特定のインターフェイス上の IP 処理をディセーブルにできます。スイッチが、その IP アドレスのうちの 1 つを使用している他のホストを検出した場合、コンソールにエラー メッセージを送信します。
オプションで secondary キーワードを使用することで、セカンダリ アドレスの番号を無制限に指定できます。システムがセカンダリの送信元アドレスのルーティングの更新以外にデータグラムを生成しないということを除けば、セカンダリ アドレスはプライマリ アドレスのように処理されます。IP ブロードキャストおよび Address Resolution Protocol(ARP; アドレス解決プロトコル)要求は適切に処理され、インターフェイスも IP のルーティング テーブルでルーティングされます。
(注) ネットワーク セグメント上のすべてのルータがセカンダリ アドレスを使用した場合、同一のセグメント上にある他の装置も、同一のネットワークまたはサブネットからセカンダリ アドレスを使用しなければなりません。ネットワーク セグメント上のセカンダリ アドレスに整合性がないと、すぐにルーティングでループが発生します。
Open Shortest Path First(OSPF)のルーティングの場合、インターフェイスのすべてのセカンダリ アドレスが、プライマリ アドレスと同一の OSPF 領域にあることを確認してください。
スイッチが、Bootstrap Protocol(BOOTP)または Dynamic Host Configured Protocol(DHCP)サーバから IP アドレスを受信し、そのスイッチ IP アドレスを no ip address コマンドで削除した場合、IP 処理はディセーブルとなり、BOOTP または DHCP サーバは、再びアドレスを割り当てることはできません。
レイヤ 3 スイッチは、各ルーテッド ポートおよび SVI に割り当てられた IP アドレスを持つことができます。設定するルーテッド ポートおよび SVI の数はソフトウェアでは制限されていません。ただし、この数と設定された他の機能の数との相互関係によっては、ハードウェア制限により、CPU 使用率に影響がでる可能性があります。 sdm prefer グローバル コンフィギュレーション コマンドを使用し、システムのハードウェア リソースを、テンプレートおよび機能テーブルに基づいて再度割り当てできます。詳細は、 sdm prefer コマンドを参照してください。
次の例では、サブネット ネットワークでレイヤ 2 スイッチの IP アドレスを設定する方法を示します。
次の例では、レイヤ 3 スイッチ上のポートに IP アドレスを設定する方法を示します。
|
|
---|---|
スイッチの実行コンフィギュレーションを表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File |
ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査がイネーブルの場合、スタティック IP アドレスが設定されたホストからの ARP 要求および応答を許可または拒否するには、スイッチ スタックまたはスタンドアロン スイッチで ip arp inspection filter vlan グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip arp inspection filter arp-acl-name vlan vlan-range [ static ]
no ip arp inspection filter arp-acl-name vlan vlan-range [ static ]
|
|
---|---|
ARP ACL が、ダイナミック ARP 検査用に VLAN に適用される場合、IP から MAC(メディア アクセス制御)へのアドレスを含む ARP パケット バインディングだけが ACL に照合されます。ACL がパケットを許可すると、スイッチがこれを転送します。その他のすべてのタイプのパケットは、確認されずに入力 VLAN にブリッジされます。
明示的な拒否ステートメントによりスイッチがパケットを拒否した場合、このパケットは廃棄されます。暗黙的な拒否ステートメントによりスイッチがパケットを拒否した場合、パケットは DHCP バインディングのリストに照合されます(ACL が スタティック でない場合のみ。スタティックの場合は、パケットはバインディングに照合されません)。
ARP ACL を定義する、または以前定義されたリストの最後にコマンドを追加するには、
arp access-list acl-name グローバル コンフィギュレーション コマンドを使用します。
次の例では、ダイナミック ARP 検査用に ARP ACL static-hosts を VLAN 1 に適用する方法を示します。
設定を確認するには、 show ip arp inspection vlan 1 イネーブル EXEC コマンドを入力します。
|
|
---|---|
show inventory vlan vlan-range |
インターフェイス上の着信 Address Resolution Protocol(ARP; アドレス解決プロトコル)要求および応答のレートを制限するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection limit インターフェイス コンフィギュレーション コマンドを使用します。これにより、DoS 攻撃の場合にダイナミック ARP 検査でスイッチ リソースをすべて消費してしまう状況が避けられます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip arp inspection limit { rate pps [ burst interval seconds ] | none }
1 秒あたりに処理される着信パケット数の上限を指定します。指定できる範囲は 0 ~ 2048 pps(パケット/秒)です |
|
(任意)インターフェイスを高いレートの ARP パケットに関してモニタする連続した間隔(秒)を指定します。指定できる範囲は 1 ~ 15 秒です。 |
|
レートは、信頼性のないインターフェイス上で 15 pps です。この場合ネットワークは、毎秒 15 くらいの新しいホストと接続しているホストを持つスイッチド ネットワークであることが前提です。
|
|
---|---|
レートは、信頼性があるインターフェイスおよび信頼性がないインターフェイスの両方で適用されます。トランクに適切なレートを設定して、ダイナミック ARP 検査がイネーブルな複数の VLAN のパケットを処理します。または、none キーワードを使用して、レートを無制限にします。
スイッチが、バースト期間(秒)に毎秒連続して設定されたレート以上のパケットを受信すると、インターフェイスは errdisable ステートになります。
インターフェイスで明示的にレート制限を設定していない場合は、インターフェイスで信頼状態が変更されると、レート制限もまたその信頼状態のデフォルト値に変更されます。レート制限が設定されると、信頼状態が変更された場合でも、インターフェイスはそのレート制限を維持します。 no ip arp inspection limit インターフェイス コンフィギュレーション コマンドを入力すると、インターフェイスはデフォルトのレート制限に戻ります。
より高いレートのトランク ポートには、その集約を反映させるよう設定する必要があります。着信パケットのレートが、ユーザ設定のレートを超えた場合、スイッチはインターフェイスを errdisable ステートにします。errdisable 回復機能により、ポートは errdisable ステートから回復設定に従って自動的に削除されます。
レート制限は、スイッチ スタックの各スイッチで別々に算出されます。クロススタック
EtherChannel の場合、これは実際のレート制限が設定値よりも高い可能性があることを意味します。たとえば、レート制限が 30 pps に設定された EtherChannel で、スイッチ 1 に 1 つのポート、およびスイッチ 2 に 1 つのポートがある場合、EtherChannel が errdisable にならずに、各ポートは 29 pps でパケットを受信できます。
EtherChannel ポートの着信 ARP パケット レートは、すべてのチャネル メンバーからの着信 ARP パケット レートの合計と同等になります。すべてのチャネル メンバー上の着信 ARP パケット レートを調べた場合に限り、EtherChannel ポートのレート制限を設定してください。
次の例では、ポート上の着信 ARP 要求のレートを 25 pps に制限し、インターフェイス モニタリングの間隔を連続 5 秒に設定する方法を示します。
設定を確認するには、 show ip arp inspection interfaces interface-id イネーブル EXEC コマンドを入力します。
|
|
---|---|
show inventory interfaces |
ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査のロギング バッファを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection log-buffer イネーブル EXEC コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip arp inspection log-buffer { entries number | logs number interval seconds }
no ip arp inspection log-buffer { entries | logs }
|
|
---|---|
logs および interval キーワードには、0 の値は許可されません。
logs および interval の設定は、相互作用します。 logs number X が interval seconds Y よりも大きい場合、X を Y で除算した数(X/Y)のシステム メッセージが、毎秒送信されます。X が Y 以下の場合は、Y を X で除算した数(Y/X)秒ごとに、1 つのシステム メッセージが送信されます。たとえば、 logs number が 20 で、 interval seconds が 4 の場合、ロギング バッファにエントリがある場合でも、スイッチは毎秒 5 つのエントリのシステム メッセージを生成します。
1 つのロギング バッファ エントリで、複数のパケットを表せます。たとえば、インターフェイスが同じ ARP パラメータを持つ同じ VLAN(仮想 LAN)上で多量のパケットを受信した場合、スイッチはパケットをロギング バッファ内の 1 つのエントリとして組み合わせて、システム メッセージを単一のエントリとして生成します。
ロギング バッファがオーバーフローの場合は、ログ イベントがロギング バッファのサイズに適合していないことを意味し、 show ip arp inspection log イネーブル EXEC コマンドの表示が影響されます。表示中の A -- は、パケット カウントおよび時間以外のすべてのデータの代わりに表示されます。エントリには、その他の統計情報は提供されません。表示中にこのエントリがある場合は、ロギング バッファのエントリ数を増やすか、ロギング レートを上げてください。
ロギング バッファ コンフィギュレーションは、スイッチ スタックの各スタック メンバーに適用されます。各スタック メンバーでは、 logs number が指定されていて、設定されたレートでシステム メッセージを生成します。たとえば、間隔(レート)が 1 エントリ/秒の場合、5 つのメンバーのスイッチ スタックでは、1 秒当たり最大 5 つのシステム メッセージが生成されます。
次の例では、ロギング バッファが最大 45 エントリを維持するよう設定する方法を示します。
次の例では、ロギング レートを 4 秒当たり 20 ログ エントリに設定する方法を示します。この設定では、ロギング バッファにエントリがある場合でも、スイッチは毎秒 5 つのエントリのシステム メッセージを生成します。
設定を確認するには、 show ip arp inspection log イネーブル EXEC コマンドを入力します。
|
|
---|---|
show inventory log |
検査される着信 Address Resolution Protocol(ARP; アドレス解決プロトコル)パケットを決定する信頼状態を、インターフェイスに設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection trust インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
このコマンドは、ご使用のスイッチで IP サービス イメージが稼働している場合に限り使用できます。IP サービス イメージは、以前は Enhanced Multilayer Image(EMI)と呼ばれていました。
|
|
---|---|
スイッチでは、ARP パケットが信頼性のあるインターフェイス上で受信したことを確認せず、単にパケットを転送します。
信頼性のないインターフェイスでは、スイッチはすべての ARP 要求および応答を代行受信します。スイッチは、代行受信したパケットが有効な IP から MAC(メディア アクセス制御)アドレス バインディングを持っていることを確認してから、ローカル キャッシュを更新し、パケットを適切な宛先に転送します。スイッチは、無効なパケットを廃棄し、 ip arp inspection vlan logging グローバル コンフィギュレーション コマンドで指定されたロギング コンフィギュレーションに従って、ロギング バッファ内にロギングします。
次の例では、ポートを信頼性のある状態に設定する方法を示します。
設定を確認するには、 show ip arp inspection interfaces interface-id イネーブル EXEC コマンドを入力します。
|
|
---|---|
show inventory interfaces |
|
show inventory log |
ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査の特定の確認を実行するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection validate グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip arp inspection validate {[ src-mac ] [ dst-mac ] [ ip ]}
no ip arp inspection validate [ src-mac ] [ dst-mac ] [ ip ]
このコマンドは、ご使用のスイッチで IP サービス イメージが稼働している場合に限り使用できます。IP サービス イメージは、以前は Enhanced Multilayer Image(EMI)と呼ばれていました。
|
|
---|---|
キーワードは、少なくとも 1 つ指定する必要があります。各コマンドは、前のコマンドを上書きします。すなわち、あるコマンドで src-mac および dst-mac 確認がイネーブルで、その次のコマンドで IP 確認のみがイネーブルの場合、src-mac および dst-mac 確認は、次のコマンドのためにディセーブルになります。
最初に src-mac キーワードを指定した場合は、 dst-mac および ip キーワードも指定できます。最初に ip キーワードを指定した場合は、ほかのキーワードを指定できません。
このコマンドの no 形式は、指定された確認をディセーブルにするだけです。イネーブルのオプションがない場合は、すべての確認がディセーブルになります。
次の例では、送信元 MAC 確認をイネーブルにする方法を示します。
設定を確認するには、 show ip arp inspection vlan vlan-range イネーブル EXEC コマンドを入力します。
|
|
---|---|
show inventory vlan vlan-range |
VLAN(仮想 LAN)単位で、ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査をイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で ip arp inspection vlan グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip arp inspection vlan vlan-range
no ip arp inspection vlan vlan-range
このコマンドは、ご使用のスイッチで IP サービス イメージが稼働している場合に限り使用できます。IP サービス イメージは、以前は Enhanced Multilayer Image(EMI)と呼ばれていました。
VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は、1 ~ 4094 です。 |
|
|
---|---|
ダイナミック ARP 検査をイネーブルとする VLAN を指定する必要があります。
ダイナミック ARP 検査は、アクセス ポート、トランク ポート、EtherChannel ポート、またはプライベートVLANポートでサポートされています。
次の例では、ダイナミック ARP 検査を VLAN 1 でイネーブルにする方法を示します。
設定を確認するには、 show ip arp inspection vlan vlan-range イネーブル EXEC コマンドを入力します。
|
|
---|---|
show inventory vlan vlan-range |
VLAN(仮想 LAN)単位でロギングされるパケット タイプを制御するには、スイッチ スタックまたはスタンドアロン スイッチ上で、ip arp inspection vlan logging グローバル コンフィギュレーション コマンドを使用します。このロギング制御をディセーブルにする場合は、このコマンドの no 形式を使用します。
ip arp inspection vlan vlan-range logging { acl-match { matchlog | none } | dhcp-bindings { all | none | permit }}
no ip arp inspection vlan vlan-range logging { acl-match | dhcp-bindings }
このコマンドは、ご使用のスイッチで IP サービス イメージが稼働している場合に限り使用できます。IP サービス イメージは、以前は Enhanced Multilayer Image(EMI)と呼ばれていました。
|
|
---|---|
logged という用語は、エントリがログ バッファに置かれ、システム メッセージが生成されることを意味します。
acl-match および dhcp-bindings キーワードは、互いに組み合わせて使用できます。すなわち、ACL 一致を設定する場合は、DHCP バインディング コンフィギュレーションはディセーブルにはなりません。ロギング基準をデフォルトにリセットする場合は、このコマンドの no 形式を使用します。いずれのオプションも指定されていない場合、ARP パケットが拒否されると、すべてのタイプのロギングがログにリセットされます。オプションは、次のとおりです。
• acl-match ― ACL 一致でのロギングは、拒否でのロギングにリセットされます。
• dhcp-bindings ― DHCP バインディングでのロギングは、拒否でのロギングにリセットされます。
acl-match または dhcp-bindings キーワードがどちらとも指定されない場合は、拒否されたパケットすべてが、ロギングされます。
ACL の最後付近の暗黙的な拒否には、 log キーワードが含まれます。これは、 ip arp inspection filter vlan グローバル コンフィギュレーション コマンドで static キーワードを使用すると、ACL が DHCP バインディングを上書きするという意味です。ARP ACL の最後で deny ip any mac any log ACE を明示的に指定しないかぎり、拒否されたパケットがロギングされる場合があります。
次の例では、VLAN 1 に ARP 検査を設定して、ACL の permit コマンドと一致するパケットをロギングする方法を示します。
設定を確認するには、 show ip arp inspection vlan vlan-range イネーブル EXEC コマンドを入力します。
|
|
---|---|
show inventory log |
|
show inventory vlan vlan-range |
Dynamic Host Configuration Protocol(DHCP)スヌーピングをグローバルにイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で ip dhcp snooping グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
DHCP スヌーピング設定を有効にするには、DHCP スヌーピングをグローバルにイネーブル化する必要があります。
ip dhcp snooping vlan vlan-id グローバル コンフィギュレーション コマンドを使用して、VLAN(仮想 LAN)でスヌーピングをイネーブルにしないと、DHCP スヌーピングはアクティブになりません。
次の例では、DHCP スヌーピングをイネーブルにする方法を示します。
|
|
---|---|
Dynamic Host Configuration Protocol(DHCP)スヌーピング バインディング データベースを設定して、バインディング エントリをデータベースに追加するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip dhcp snooping binding イネーブル EXEC コマンドを使用します。バインディング データベースからエントリを削除する場合は、このコマンドの no 形式を使用します。
ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id expiry seconds
no ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id
このコマンドは、スイッチで IP サービスが動作している場合に限り使用できます。IP サービスは、以前は Enhanced Multilayer Image(EMI)と呼ばれていました。
|
|
---|---|
スイッチのテストまたはデバッグを行う際は、このコマンドを使用します。
DHCP スヌーピング バインディング データベースで、各データベース エントリ(バインディング ) には、IP アドレス、対応する MAC アドレス、リース時間(16 進数)、バインディングが適用されるインターフェイス、およびインターフェイスが所属する VLAN が含まれます。データベースには、最大 8192 のバインディングを含めます。
設定されたバインディングのみを表示するには、 show ip dhcp snooping binding イネーブル EXEC コマンドを使用します。ダイナミックおよびスタティックに設定されたバインディングのみを表示するには、 show ip source binding イネーブル EXEC コマンドを使用します。
次の例では、VLAN 1 のポート上で期限切れの時間が 1000 秒の DHCP バインディング コンフィギュレーションを生成する方法を示します。
設定を確認するには、 show ip dhcp snooping binding または show ip dhcp source binding イネーブル EXEC コマンドを入力します。
|
|
---|---|
DHCP スヌーピング バインディング データベースのダイナミックに設定されたバインディング、および設定情報を表示します。 |
|
DHCP スヌーピング バインディング データベースのダイナミックおよびスタティックに設定されたバインディングを表示します。 |
Dynamic Host Configuration Protocol(DHCP)スヌーピング バインディング データベース エージェントまたはバインディング ファイルを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip dhcp snooping database グローバル コンフィギュレーション コマンドを使用します。エージェントをディセーブルにする、タイムアウト値をリセットする、または書き込み遅延値をリセットするには、このコマンドの no 形式を使用します。
ip dhcp snooping database {{ flash [ number ] :/ filename | ftp:// user:password @host/filename | http: //[[username:password]@]{hostname | host-ip}[/directory]/image-name .tar | rcp:// user @host/filename | tftp:// host/filename } | timeout seconds | write-delay seconds }
no ip dhcp snooping database [ timeout | write-delay ]
このコマンドは、スイッチで IP サービスが動作している場合に限り使用できます。IP サービスは、以前は Enhanced Multilayer Image(EMI)と呼ばれていました。
|
|
---|---|
DHCP スヌーピング バインディング データベースには、最大 8192 のバインディングを含めます。
データベースのリース時間を正確なものにするために、Network Time Protocol(NTP)をイネーブルに設定し、次の機能がイネーブルでかつ設定されていることを推奨します。
NTP が設定されている場合、スイッチは、スイッチ システム クロックが NTP と同期化されているときにのみ、バインディングの変更をバインディング ファイルに書き込みます。
NVRAM(不揮発性メモリ)およびフラッシュ メモリのストレージ容量には制限があるため、バインディング ファイルを TFTP サーバに保存することを推奨します。ネットワークベースの URL(TFTP および FTP など)上の設定された URL に空のファイルを作成する必要があります。その後初めて、スイッチはこの URL でバインディング ファイルにバインディングを書き込めます。
DHCP スヌーピング バインディング データベースをスタック マスター NVRAM に保存するには、ip dhcp snooping database flash [ number ] :/ filename コマンドを使用します。データベースは、スタック メンバー NVRAM に保存されません。
ip dhcp snooping database timeout コマンドを 0 秒に設定した状態でデータベースが TFTP ファイルに書き込まれる場合、TFTP サーバがダウンすると、データベース エージェントが無制限に転送の試行を継続します。この処理の続行中は、他の転送は開始できません。サーバがダウンするとファイルの書き込みは行えないため、このことは大して重要ではありません。
エージェントをディセーブルにするには、no ip dhcp snooping database コマンドを使用します。
タイムアウト値をリセットするには、no ip dhcp snooping database timeout コマンドを使用します。
書き込み遅延値をリセットするには、no ip dhcp snooping database write-delay コマンドを使用します。
次の例では、 directory というディレクトリにある IP アドレス 10.1.1.1 で、バインディング ファイルを保存する方法を示します。 file という名前のファイルは、TFTP サーバ上にあるものとします。
次の例では、スタック マスター NVRAM に file01.txt というバインディング ファイルを保存する方法を示します。
設定を確認するには、 show ip dhcp snooping database イネーブル EXEC コマンドを入力します。
|
|
---|---|
Dynamic Host Configuration Protocol(DHCP)オプション 82 データ挿入をイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチで ip dhcp snooping information option グローバル コンフィギュレーション コマンドを使用します。DHCP オプション 82 データ挿入をディセーブルにする場合は、このコマンドの no 形式を使用します。
ip dhcp snooping information option
no ip dhcp snooping information option
|
|
---|---|
DHCP スヌーピング設定を有効にするには、 ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して DCHP スヌーピングをグローバルにイネーブルにする必要があります。
オプション 82 機能がイネーブルで、スイッチが DHCP 要求をホストから受信した場合、オプション 82 情報がパケットに追加されます。オプション 82 情報には、スイッチ MAC(メディア アクセス制御)アドレス(リモート ID サブオプション)およびパケットを受信したポート ID、 vlan-mod-port (回線 ID サブオプション)が含まれています。スイッチは、オプション 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。
DHCP サーバがパケットを受信する場合、IP アドレスの割り当てや、単一のリモート ID や回線 ID に割り当て可能な IP アドレス数の制限といったポリシーの適用に、リモート ID、回線 ID、またはこの両方を使用できます。DHCP サーバは DHCP 応答のオプション 82 フィールドをエコーします。
DHCP サーバは、スイッチによって要求がサーバにリレーされた場合に、スイッチへの応答をユニキャストします。クライアントおよびサーバが同じサブネット上にある場合、サーバは応答をブロードキャストします。スイッチは、リモート ID と、可能であれば回線 ID を検査して、初めからオプション 82 データが挿入されていたかを確認します。スイッチはオプション 82 フィールドを削除し、DHCP 要求を送信した DHCP ホストに接続しているスイッチ ポートにそのパケットを転送します。
次の例では、DHCP オプション 82 データ挿入をイネーブルにする方法を示します。
|
|
---|---|
アグリゲーション スイッチが、エッジ スイッチに接続される可能性のある信頼性のないポートで受信される、オプション 82 情報を持つ Dynamic Host Configuration Protocol(DHCP)パケットを受け取るように設定するには、アグリゲーション スイッチ上で ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip dhcp snooping information option allow-untrusted
no ip dhcp snooping information option allow-untrusted
スイッチは 、エッジ スイッチに接続される可能性のある信頼性のないポートで受信する、オプション 82 情報を持つ DHCP パケットを廃棄します。
|
|
---|---|
ネットワーク エッジでは、ホストが接続されているエッジ スイッチにより DHCP オプション 82 情報を挿入する場合があります。また、アグリゲーション スイッチ上で DHCP スヌーピング、IP ソース ガード、またはダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査などの DHCP セキュリティ機能をイネーブルにする場合もあります。ただし、アグリゲーション スイッチ上で DHCP スヌーピングがイネーブルの場合、スイッチは信頼性のないポートで受信されたオプション 82 情報を持つパケットを廃棄し、信頼性のあるインターフェイス上で接続された装置の DHCP スヌーピング バインディングを学習しません。
ホストが接続されているエッジ スイッチでオプション 82 情報を挿入し、アグリゲーション スイッチ上で DHCP スヌーピングを使用する場合は、アグリゲーション スイッチで ip dhcp snooping information option allow-untrusted コマンドを入力します。アグリゲーション スイッチが信頼性のないポート上で DHCP スヌーピング パケットを受信した場合でも、アグリゲーション スイッチはホストのバインディングを学習できます。また、アグリゲーション スイッチで DHCP セキュリティ機能をイネーブルにすることもできます。アグリゲーション スイッチが接続されているエッジ スイッチ上のポートは、信頼性のあるポートとして設定される必要があります。
(注) 信頼性のない装置が接続されているアグリゲーション スイッチでは、ip dhcp snooping information option allow-untrusted コマンドを入力しないでください。このコマンドを入力した場合、信頼性のない装置がオプション 82 情報をスプーフィングする可能性があります。
次の例では、アクセス スイッチでエッジ スイッチからの信頼性のないパケットのオプション 82 情報を確認せずに、そのパケットを受け取るよう設定する方法を示します。
|
|
---|---|
インターフェイスが 1 秒あたりに受信可能な Dynamic Host Configuration Protocol(DHCP)メッセージの数を設定するには、スイッチ スタックまたはスタンドアロン スイッチで ip dhcp snooping limit rate インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip dhcp snooping limit rate rate
no ip dhcp snooping limit rate
|
|
---|---|
通常、レート制限は信頼性のないインターフェイスに適用されます。信頼性のあるインターフェイスにレート制限を設定したい場合、信頼性のあるインターフェイスはスイッチ内にある(スヌーピングされていないものも含む)複数の VLAN(仮想 LAN)上の DHCP トラフィックを集計する場合があり、インターフェイスのレート制限を高めの値に調整する必要がある点に留意してください。
レート制限を超過した場合、インターフェイスは errdisable になります。 errdisable recovery
dhcp-rate-limit グローバル コンフィギュレーション コマンドを入力してエラー回復をイネーブルにした場合、すべての原因がタイムアウトになると、インターフェイスは動作を再試行します。エラー回復メカニズムをイネーブルにしない場合、インターフェイスは、 shutdown および no shutdown インターフェイス コンフィギュレーション コマンドが入力されるまで errdisable ステートに置かれます。
次の例では、メッセージのレート制限をインターフェイスで 1 秒あたり 150 メッセージに設定する方法を示します。
|
|
---|---|
Dynamic Host Configuration Protocol(DHCP)スヌーピングのためにポートを信頼性があるものとして設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip dhcp snooping trust インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
DHCP サーバまたは他のスイッチやルータに接続されたポートは信頼性のあるポートとして設定します。DHCP クライアントに接続されたポートは信頼性のないポートとして設定します。
次の例では、特定のポート上で DHCP スヌーピング信頼性をイネーブルにする方法を示します。
|
|
---|---|
スイッチが、信頼性のないポート上で Dynamic Host Configuration Protocol(DHCP)パケットの送信元 MAC(メディア アクセス制御)アドレスがクライアントのハードウェア アドレスと一致することを確認するよう設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip dhcp snooping verify グローバル コンフィギュレーション コマンドを使用します。スイッチで MAC アドレスを確認しないように設定する場合は、このコマンドの no 形式を使用します。
ip dhcp snooping verify mac-address
no ip dhcp snooping verify mac-address
スイッチは、信頼性のないポートで受信した DHCP パケット内の送信元 MAC アドレスがパケットのクライアント ハードウェア アドレスに一致することを確認します。
|
|
---|---|
サービスプロバイダーのネットワークでは、スイッチが信頼性のないポートで DHCP クライアントからのパケットを受信すると、送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致するかどうかが自動的に確認されます。アドレスが一致した場合、パケットは転送されます。アドレスが一致しない場合、パケットは廃棄されます。
次の例では、MAC アドレスの確認をディセーブルにする方法を示します。
|
|
---|---|
VLAN(仮想 LAN)で Dynamic Host Configuration Protocol(DHCP)スヌーピングをイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で ip dhcp snooping vlan グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip dhcp snooping vlan vlan-range
no ip dhcp snooping vlan vlan-range
|
|
---|---|
VLAN で DHCP スヌーピングをイネーブルにするには、まず DCHP スヌーピングをグローバルにイネーブルにする必要があります。
次の例では、DHCP スヌーピングを VLAN 10 でイネーブルにする方法を示します。
|
|
---|---|
インターフェイスに Internet Group Management Protocol(IGMP)を適用することで、レイヤ 2 インターフェイス上のすべてのホストが 1 つまたは複数の IP マルチキャスト グループに加入できるかどうかを制御するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip igmp filter インターフェイス コンフィギュレーション コマンドを使用します。インターフェイスから指定されたプロファイルを削除するには、このコマンドの no 形式を使用します。
|
|
---|---|
IGMP フィルタはレイヤ 2 の物理インターフェイスのみに適用できます。ルーテッド ポート、Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)、または EtherChannel グループに属するポートに対しては IGMP フィルタを適用できません。
IGMP のプロファイルは 1 つまたは複数のスイッチ ポート インターフェイスに適用できますが、1 つのポートに対して 1 つのプロファイルのみ適用できます。
次の例では、ポートに IGMP プロファイルの 22 を適用する方法を示します。
設定を確認するには、 show running-config イネーブル EXEC コマンドを使用してインターフェイスを指定します。
レイヤ 2 インターフェイスが加入可能な Internet Group Management Protocol(IGMP)グループの最大数を設定したり、転送テーブル内でエントリが最大数に達する場合の IGMP スロットリング動作を設定したりするには、スイッチ スタックまたはスタンドアロン スイッチ上で ip igmp max-groups インターフェイス コンフィギュレーション コマンドを使用します。最大数を制限なしのデフォルト設定に戻したり、レポートを廃棄するデフォルトのスロットリング動作に戻したりするには、このコマンドの no 形式を使用します。
ip igmp max-groups { number | action { deny | replace }}
no ip igmp max-groups { number | action }
スイッチがインターフェイス上の IGMP グループ エントリの最大数を学習したあとに行われるデフォルトのスロットリング動作は、インターフェイスが受信した次の IGMP レポートを廃棄することで、インターフェイスへの IGMP グループのエントリを追加しません。
|
|
---|---|
このコマンドは、レイヤ 2 物理インターフェイスと論理 EtherChannel インターフェイスでのみ使用可能です。ルーテッド ポート、Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)、または EtherChannel グループに属するポートに対しては IGMP 最大グループを設定できません。
IGMP スロットリング動作を設定するときには、次の注意事項に従ってください。
• スロットリング動作を deny と設定して最大グループ制限を設定する場合、すでに転送テーブル内にあるエントリは、削除されませんが期限切れになります。これらのエントリが期限切れになると、転送テーブル内のエントリが最大数に達したときに、スイッチはインターフェイスで受信される次の IGMP レポートを廃棄します。
• スロットリング動作を replace と設定して最大グループ制限を設定する場合、すでに転送テーブル内にあるエントリは削除されます。IGMP スヌーピング転送テーブル内のエントリが最大数に達すると、ランダムに選択したマルチキャスト エントリが、受信した IGMP レポートに変わります。
• 最大グループ制限がデフォルト(無制限)に設定されている場合、 ip igmp max-groups { deny | replace } コマンドを入力しても無効になります。
次の例では、ポートが加入できる IGMP グループ数を 25 に制限する方法を示します。
次の例では、IGMP スヌーピング転送テーブル内のエントリが最大数に達したときに、既存のグループを、IGMP レポートを受信した新しいグループに置き換えるよう設定する方法を示します。
設定を確認するには、 show running-config イネーブル EXEC コマンドを使用してインターフェイスを指定します。
Internet Group Mnagement Protocol(IGMP)プロファイルを作成し、IGMP プロファイル コンフィギュレーション モードを開始するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip igmp profile グローバル コンフィギュレーション コマンドを使用します。このモードから、スイッチ ポートの IGMP メンバーシップ レポートをフィルタリングするために使用する、IGMP プロファイルの設定を指定できます。IGMP プロファイルを削除する場合は、このコマンドの no 形式を使用します。
ip igmp profile profile number
no ip igmp profile profile number
IGMP プロファイルは定義されていません。設定された場合、IGMP プロファイルとの照合におけるデフォルト アクションは、一致するアドレスを拒否する設定になります。
|
|
---|---|
IGMP プロファイル コンフィギュレーション モードでは、次のコマンドを使用することでプロファイルを作成できます。
• deny :一致するアドレスを拒否します(デフォルトの条件)。
• exit :IGMP プロファイル コンフィギュレーション モードを終了します。
• no :コマンドを無効にする、またはデフォルトにリセットします。
• range :プロファイルに対する IP アドレスの範囲を指定します。1 つの IP アドレス、またはアドレスの最初と最後で範囲を指定することもできます。
範囲を入力する場合、小さい方の IP マルチキャスト アドレスを入力してからスペースを入力し、次に大きい方の IP マルチキャスト アドレスを入力します。
IGMP のプロファイルを、1 つまたは複数のレイヤ 2 インターフェイスに適用できますが、各インターフェイスに適用できるプロファイルは 1 つのみです。
次の例では、IP マルチキャスト アドレスの指定の範囲を許可する IGMP プロファイル 40 の設定方法を示します。
|
|
---|---|
Internet Group Management Protocol(IGMP)スヌーピングをスイッチ上でグローバルにイネーブル、または VLAN(仮想 LAN)ごとにイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で ip igmp snooping グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip igmp snooping [ vlan vlan-id ]
no ip igmp snooping [ vlan vlan-id ]
(任意)指定の VLAN で IGMP スヌーピングをイネーブルにします。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。 |
|
|
---|---|
IGMP スヌーピングがグローバルにイネーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがイネーブルになります。IGMP スヌーピングがグローバルにディセーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがディセーブルになります。
VLAN ID 1002 ~ 1005 はトークンリングおよび Fiber Distributed Data Interface(FDDI)VLAN 専用で、IGMP スヌーピングでは使用できません。
次の例では、IGMP スヌーピングをグローバルにイネーブルにする方法を示します。
次の例では、IGMP スヌーピングを VLAN 1 でイネーブルにする方法を示します。
|
|
---|---|
Internet Group Management Protocol(IGMP)の設定可能脱退タイマーをグローバルにまたは VLAN(仮想 LAN)ベースごとにイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で ip igmp snooping last-member-query-interval グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip igmp snooping [ vlan vlan-id ] last-member-query-interval time
no ip igmp snooping [ vlan vlan-id ] last-member-query-interval
(任意)指定の VLAN で IGMP スヌーピングと脱退タイマーをイネーブルにします。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。 |
|
|
|
---|---|
IGMP スヌーピングがグローバルにイネーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがイネーブルになります。IGMP スヌーピングがグローバルにディセーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがディセーブルになります。
VLAN ID 1002 ~ 1005 はトークンリングおよび Fiber Distributed Data Interface(FDDI)VLAN 専用で、IGMP スヌーピングでは使用できません。
VLAN 上で脱退タイマーを設定すると、グローバル設定が上書きされます。
次の例では、IGMP 脱退タイマーを 2000 ミリ秒にグローバルにイネーブルにする方法を示します。
次の例では、VLAN 1 上で IGMP 脱退タイマーを 3000 ミリ秒に設定する方法を示します。
|
|
---|---|
レイヤ 2 ネットワークの Internet Group Management Protocol(IGMP)クエリア機能をグローバルにイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で ip igmp snooping querier グローバル コンフィギュレーション コマンドを使用します。キーワードと合わせてコマンドを使用し、VLAN(仮想 LAN)インターフェイス上で IGMP クエリア機能をイネーブルにして設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip igmp snooping querier [ vlan vlan-id ] [ address ip-address | max-response-time response-time | query-interval interval-count | tcn query [ count count | interval interval ] | timer expiry | version version ]
no ip igmp snooping querier [ vlan vlan-id ] [ address | max-response-time | query-interval | tcn query { count count | interval interval } | timer expiry | version ]
IGMP スヌーピング クエリア機能は、スイッチ上でグローバルにディセーブルに設定されています。
IGMP スヌーピング クエリアがイネーブルの場合に、マルチキャスト対応装置からの IGMP トラフィックを検出すると、IGMP スヌーピング クエリア自身をディセーブルにします。
|
|
---|---|
IGMP スヌーピングをイネーブルにして、IGMP クエリー メッセージを送信する装置( クエリア )の IGMP バージョンおよび IP アドレスを検出する場合は、このコマンドを使用します。
デフォルトでは、IGMP スヌーピング クエリアは IGMP バージョン 2 (IGMPv2)を使用する装置を検出するように設定されています。IGMP バージョン 1 (IGMPv1)を使用しているクライアントを検出するようには設定されていません。装置が IGMPv2 を使用する場合は、手動で
max-response-time 値を設定できます。装置が IGMPv1 を使用する場合は、 max-response-time を設定できません(値を設定することはできず、0 に設定されています)。
IGMPv1 が稼働する RFC に準拠しない装置は、 max-response-time 値が 0 でない値を持つ一般的な IGMP クエリー メッセージを拒否する可能性があります。装置が一般的な IGMP クエリー メッセージを受け取るようにするには、IGMP スヌーピング クエリアで IGMPv1 を稼働するように設定します。
VLAN ID 1002 ~ 1005 はトークンリングおよび Fiber Distributed Data Interface(FDDI)VLAN 専用で、IGMP スヌーピングでは使用できません。
次の例では、IGMP スヌーピング クエリア機能をグローバルにイネーブルにする方法を示します。
次の例では、IGMP スヌーピング クエリアの最大応答時間を 25 秒に設定する方法を示します。
次の例では、IGMP スヌーピング クエリアの間隔を 60 秒に設定する方法を示します。
次の例では、IGMP スヌーピング クエリアの TCN クエリー カウントを 25 に設定する方法を示します。
次の例では、IGMP スヌーピング クエリアのタイムアウトを 60 秒に設定する方法を示します。
次の例では、IGMP スヌーピング クエリア機能をバージョン 2 に設定する方法を示します。
|
|
---|---|
Internet Group Management Protocol(IGMP)レポート抑制をイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で ip igmp snooping report-suppression グローバル コンフィギュレーション コマンドを使用します。IGMP レポート抑制をディセーブルにしてすべての IGMP レポートをマルチキャスト ルータに転送するには、このコマンドの no 形式を使用します。
ip igmp snooping report-suppression
no ip igmp snooping report-suppression
|
|
---|---|
IGMP レポート抑制は、マルチキャスト クエリーに IGMPv1 および IGMPv2 レポートがある場合のみサポートされます。この機能は、クエリーに IGMPv1 レポートが含まれている場合はサポートされません。
スイッチは IGMP レポート抑制を使用してマルチキャスト ルータ クエリーごとに 1 つの IGMP レポートをマルチキャスト装置に転送します。IGMP ルータ抑制がイネーブル(デフォルト)の場合、スイッチはグループのすべてのホストの中から最初に来る IGMP レポートを、すべてのマルチキャスト ルータに転送します。スイッチは、グループの残りの IGMP レポートをマルチキャスト ルータに送信しません。この機能により、マルチキャスト装置に重複レポートを送信することが避けられます。
マルチキャスト ルータ クエリーに、IGMPv1 および IGMPv2 レポートのみに対する要求が含まれている場合、スイッチはグループのすべてのホストの中から最初に来る IGMPv1 または IGMPv2 レポートのみを、すべてのマルチキャスト ルータに転送します。マルチキャスト ルータのクエリーに IGMPv3 レポートに対する要求も含まれている場合、スイッチはグループのすべての IGMPv1、IGMPv2、および IGMPv3 レポートをマルチキャスト装置に転送します。
no ip igmp snooping report-suppression コマンドを入力して IGMP レポート抑制をディセーブルにする場合、すべての IGMP レポートがすべてのマルチキャスト ルータに転送されます。
次の例では、レポート抑制をディセーブルにする方法を示します。
|
|
---|---|
Internet Group Management Protocol(IGMP)Topology Change Notification(TCN; トポロジー変更通知)の動作を設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip igmp snooping tcn グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip igmp snooping tcn { flood query count count | query solicit }
no ip igmp snooping tcn { flood query count | query solicit }
マルチキャスト トラフィックのフラッディングが発生する一般的な IGMP クエリーの数を指定します。指定できる範囲は、1 ~ 10 です。 |
|
TCN イベント中に発生する、フラッディング モードからの回復処理を高速化するために、IGMP 脱退メッセージ(グローバル脱退)を送信します。 |
|
|
---|---|
TCN イベント後のマルチキャスト トラフィックのフラッディング時間を制御するには、 ip igmp snooping tcn flood query count グローバル コンフィギュレーション コマンドを使用します。 ip igmp snooping tcn flood query count コマンドで TCN フラッディング クエリー カウントを 1 に設定した場合、一般的なクエリーを 1 回受信したあとにフラッディングが停止します。カウントを 7 に設定した場合、TCN イベントによるマルチキャスト トラフィックのフラッディングは、一般的なクエリーを 7 回受信するまで続きます。グループは、TCN イベント中に受信した一般的なクエリーに基づいて再学習されます。
スパニングツリーのルートであるかどうかに関係なく、スイッチでのグローバル脱退メッセージの送信をイネーブルにするには、 ip igmp snooping tcn query solicit グローバル コンフィギュレーション コマンドを使用します。このコマンドにより、TCN イベント中に発生するフラッディング モードからの回復処理の高速化も行われます。
次の例では、マルチキャスト トラフィックのフラッディングが発生する一般的な IGMP クエリーの数として 7 を指定する方法を示します。
|
|
---|---|
マルチキャスト フラッディングを Internet Group Management Protocol(IGMP)スヌーピング スパニングツリー Topology Change Notification(TCN; トポロジー変更通知)の動作として設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で ip igmp snooping tcn flood インターフェイス コンフィギュレーション コマンドを使用します。マルチキャスト フラッディングをディセーブルにする場合は、このコマンドの no 形式を使用します。
|
|
---|---|
スイッチが TCN を受信すると、一般的なクエリーを 2 回受信するまで、すべてのポートでマルチキャスト トラフィックのフラッディングが発生します。スイッチに、異なるマルチキャスト グループに加入しているホストが接続された多数のポートがある場合、フラッディングがリンクの容量を超え、パケット損失が発生することがあります。
ip igmp snooping tcn flood query count count グローバル コンフィギュレーション コマンドを使用することにより、フラッディング クエリー カウントを変更できます。
次の例では、インターフェイスでマルチキャスト フラッディングをディセーブルにする方法を示します。
|
|
---|---|
VLAN(仮想 LAN)ごとに Internet Group Management Protocol(IGMP)スヌーピング即時脱退処理をイネーブルにするには、スイッチ スタックまたはスタンドアロン スイッチ上で ip igmp snooping immediate-leave グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip igmp snooping vlan vlan-id immediate-leave
no ip igmp snooping vlan vlan-id immediate-leave
指定の VLAN で IGMP スヌーピングと即時脱退機能をイネーブルにします。指定できる範囲は 1 ~ 1001 または 1006 ~ 4094 です。 |
|
|
---|---|
VLAN ID 1002 ~ 1005 はトークンリングおよび Fiber Distributed Data Interface(FDDI)VLAN 専用で、IGMP スヌーピングでは使用できません。
即時脱退機能を設定するには、VLAN の各ポート上で最大 1 つのレシーバーが設定されていなければなりません。設定は、NVRAM(不揮発性 RAM)に保存されます。
次の例では、VLAN 1 で IGMP 即時脱退処理をイネーブルにする方法を示します。