Catalyst 3750 スイッチコマンドリファレンス Cisco IOS Release 12.2(25)SED

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Catalyst 3750 スイッチコマンドリファレンス Cisco IOS Release 12.2(25)SED

Chapter Title

Catalyst 3750 スイッチ Cisco IOS コマンド

PDF - Complete Book (4.36 MB) PDF - This Chapter (5.32 MB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年6月15日

章のタイトル： Catalyst 3750 スイッチ Cisco IOS コマンド

aaa accounting dot1x
aaa authentication dot1x
action
archive copy-sw
archive download-sw
archive tar
archive upload-sw
arp access-list
auto qos voip
boot auto-copy-sw
boot boothlpr
boot config-file
boot enable-break
boot helper
boot helper-config-file
boot manual
boot private-config-file
boot system
channel-group
channel-protocol
class
class-map
clear ip arp inspection log
clear ip arp inspection statistics
clear ip dhcp snooping database
clear ipc
clear l2protocol-tunnel counters
clear lacp
clear mac address-table
clear mac address-table move update
clear pagp
clear port-security
clear spanning-tree counters
clear spanning-tree detected-protocols
clear vmps statistics
clear vtp counters
cluster commander-address
cluster discovery hop-count
cluster enable
cluster holdtime
cluster member
cluster outside-interface
cluster run
cluster standby-group
cluster timer
define interface-range
delete
deny（ARP アクセスリストコンフィギュレーション）
deny（IPv6 アクセスリストコンフィギュレーション）
deny（MAC アクセスリストコンフィギュレーション）
dot1x
dot1x auth-fail max-attempts
dot1x auth-fail vlan
dot1x control-direction
dot1x critical
dot1x default
dot1x guest-vlan
dot1x host-mode
dot1x initialize
dot1x max-reauth-req
dot1x max-req
dot1x multiple-hosts
dot1x port-control
dot1x re-authenticate
dot1x re-authentication
dot1x reauthentication
dot1x timeout
duplex
errdisable detect cause
errdisable recovery
exception crashinfo
flowcontrol
interface port-channel
interface range
interface vlan
ip access-group
ip address
ip arp inspection filter vlan
ip arp inspection limit
ip arp inspection log-buffer
ip arp inspection trust
ip arp inspection validate
ip arp inspection vlan
ip arp inspection vlan logging
ip dhcp snooping
ip dhcp snooping binding
ip dhcp snooping database
ip dhcp snooping information option
ip dhcp snooping information option allow-untrusted
ip dhcp snooping limit rate
ip dhcp snooping trust
ip dhcp snooping verify
ip dhcp snooping vlan
ip igmp filter
ip igmp max-groups
ip igmp profile
ip igmp snooping
ip igmp snooping last-member-query-interval
ip igmp snooping querier
ip igmp snooping report-suppression
ip igmp snooping tcn
ip igmp snooping tcn flood
ip igmp snooping vlan immediate-leave
ip igmp snooping vlan mrouter
ip igmp snooping vlan static
ip snap forwarding
ip source binding
ip ssh
ip verify source
ipv6 access-list
ipv6 mld snooping
ipv6 mld snooping last-listener-query-count
ipv6 mld snooping last-listener-query-interval
ipv6 mld snooping listener-message-suppression
ipv6 mld snooping robustness-variable
ipv6 mld snooping tcn
ipv6 mld snooping vlan
ipv6 traffic-filter
l2protocol-tunnel
l2protocol-tunnel cos
lacp port-priority
lacp system-priority
logging event power-inline-status
logging file
mac access-group
mac access-list extended
mac address-table aging-time
mac address-table move update
mac address-table notification
mac address-table static
mac address-table static drop
macro apply
macro description
macro global
macro global description
macro name
match（アクセスマップコンフィギュレーション）
match（クラスマップコンフィギュレーション）
mdix auto
mls qos
mls qos aggregate-policer
mls qos cos
mls qos dscp-mutation
mls qos map
mls qos queue-set output buffers
mls qos queue-set output threshold
mls qos rewrite ip dscp
mls qos srr-queue input bandwidth
mls qos srr-queue input buffers
mls qos srr-queue input cos-map
mls qos srr-queue input dscp-map
mls qos srr-queue input priority-queue
mls qos srr-queue input threshold
mls qos srr-queue output cos-map
mls qos srr-queue output dscp-map
mls qos trust
mls qos vlan-based
monitor session
mvr（グローバルコンフィギュレーション）
mvr（インターフェイスコンフィギュレーション）
pagp learn-method
pagp port-priority
permit（ARP アクセスリストコンフィギュレーション）
permit（IPv6 アクセスリストコンフィギュレーション）
permit（MAC アクセスリストコンフィギュレーション）
police
police aggregate
policy-map
port-channel load-balance
power inline
power inline consumption
priority-queue
private-vlan
private-vlan mapping
queue-set
rcommand
reload
remote command
remote-span
renew ip dhcp snooping database
rmon collection stats
sdm prefer
service password-recovery
service-policy
session
set
setup
setup express
show access-lists
show archive status
show arp access-list
show auto qos
show boot
show cable-diagnostics tdr
show class-map
show cluster
show cluster candidates
show cluster members
show controllers cpu-interface
show controllers ethernet-controller
show controllers power inline
show controllers tcam
show controllers utilization
show dot1q-tunnel
show dot1x
show dtp
show env
show errdisable detect
show errdisable flap-values
show errdisable recovery
show etherchannel
show flowcontrol
show idprom
show interfaces
show interfaces counters
show inventory
show ip arp inspection
show ip dhcp snooping
show ip dhcp snooping binding
show ip dhcp snooping database
show ip igmp profile
show ip igmp snooping
show ip igmp snooping groups
show ip igmp snooping mrouter
show ip igmp snooping querier
show ip source binding
show ip verify source
show ipc
show ipv6 access-list
show ipv6 mld snooping
show ipv6 mld snooping address
show ipv6 mld snooping mrouter
show ipv6 mld snooping querier
show l2protocol-tunnel
show lacp
show mac access-group
show mac address-table
show mac address-table address
show mac address-table aging-time
show mac address-table count
show mac address-table dynamic
show mac address-table interface
show mac address-table move update
show mac address-table notification
show mac address-table static
show mac address-table vlan
show mls qos
show mls qos aggregate-policer
show mls qos input-queue
show mls qos interface
show mls qos maps
show mls qos queue-set
show mls qos vlan
show monitor
show mvr
show mvr interface
show mvr members
show pagp
show parser macro
show policy-map
show port-security
show power inline
show sdm prefer
show setup express
show spanning-tree
show storm-control
show switch
show system mtu
show udld
show version
show vlan
show vlan access-map
show vlan filter
show vmps
show vtp
shutdown
shutdown vlan
snmp-server enable traps
snmp-server host
snmp trap mac-notification
spanning-tree backbonefast
spanning-tree bpdufilter
spanning-tree bpduguard
spanning-tree cost
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
spanning-tree guard
spanning-tree link-type
spanning-tree loopguard default
spanning-tree mode
spanning-tree mst configuration
spanning-tree mst cost
spanning-tree mst forward-time
spanning-tree mst hello-time
spanning-tree mst max-age
spanning-tree mst max-hops
spanning-tree mst port-priority
spanning-tree mst pre-standard
spanning-tree mst priority
spanning-tree mst root
spanning-tree port-priority
spanning-tree portfast（グローバルコンフィギュレーション）
spanning-tree portfast（インターフェイスコンフィギュレーション）
spanning-tree transmit hold-count
spanning-tree uplinkfast
spanning-tree vlan
speed
srr-queue bandwidth limit
srr-queue bandwidth shape
srr-queue bandwidth share
stack-mac persistent timer
storm-control
switch priority
switch provision
switch renumber
switchport
switchport access
switchport backup interface
switchport block
switchport host
switchport mode
switchport mode private-vlan
switchport nonegotiate
switchport port-security
switchport port-security aging
switchport priority extend
switchport private-vlan
switchport protected
switchport trunk
switchport voice vlan
system env temperature threshold yellow
system mtu
test cable-diagnostics tdr
traceroute mac
traceroute mac ip
trust
udld
udld port
udld reset
vlan（グローバルコンフィギュレーション）
vlan（VLAN コンフィギュレーション）
vlan access-map
vlan database
vlan dot1q tag native
vlan filter
vmps reconfirm（イネーブル EXEC）
vmps reconfirm（グローバルコンフィギュレーション）
vmps retry
vmps server
vtp（グローバルコンフィギュレーション）
vtp（VLAN コンフィギュレーション）

Catalyst 3750 スイッチ Cisco IOS コマンド

aaa accounting dot1x

Authentication, Authorization, Accounting（AAA; 認証、許可、アカウンティング）をイネーブルにし、特定のアカウンティング方式を回線単位またはインターフェイス単位で定義する IEEE（米国電気電子学会）802.1x セッションの方式リストを作成するには、 aaa accounting dot1x グローバルコンフィギュレーションコマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ]}

no aaa accounting dot1x { name | default }

シンタックスの説明

name	サーバグループ名。これは、 broadcast group および group キーワードのあとに入力する場合、オプションになります。
default	次に続くアカウンティング方式を、アカウンティングサービスのデフォルトのリストとして使用します。
start-stop	プロセスの開始時に開始アカウンティング通知を、プロセスの終了時に停止アカウンティング通知を送信します。開始アカウンティング記録が、バックグラウンドで送信されます。アカウンティングサーバで開始アカウンティング通知が受信されたかどうかに関わらず、要求されたユーザのプロセスが開始します。
broadcast	アカウンティング記録を複数の AAA サーバに送信できるようにし、各グループの最初のサーバにアカウンティング記録を送信します。最初のサーバが使用できない場合、スイッチはバックアップサーバのリストを使用して最初のサーバを識別します。
group	アカウンティングサービスに使用されるサーバグループを指定します。有効なサーバグループ名は次のとおりです。 • name ― サーバグループ名 • radius ― すべての RADIUS ホストのリスト • tacacs+ ― すべての Terminal Access Controller Access Control System Plus（TACACS+）ホストのリスト group キーワードは、 broadcast group および group キーワードのあとに入力する場合、オプションになります。オプション以外の group キーワードも入力できます。
radius	（任意）RADIUS 許可をイネーブルにします。
tacacs+	（任意）TACACS+ アカウンティングをイネーブルにします。

デフォルト

AAA アカウンティングはディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

このコマンドには、RADIUS サーバへのアクセスが必要です。

インターフェイス上で IEEE 802.1x RADIUS アカウンティングを設定する前に、
dot1x reauthentication インターフェイスコンフィギュレーションコマンドを入力することを推奨します。

例

次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。

Switch(config)# aaa new-model

Switch(config)# aaa accounting dot1x default start-stop group radius

（注） RADIUS 認証サーバは、AAA クライアントからの更新またはウォッチドッグパケットを受け取り、ログするよう適切に設定される必要があります。

aaa authentication dot1x

IEEE（米国電気電子学会）802.1x に準拠するポートで使用する Authentication, Authorization,
Accounting（AAA; 認証、許可、アカウンティング）方式を指定するには、スイッチスタックまたはスタンドアロンスイッチ上で aaa authentication dot1x グローバルコンフィギュレーションコマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication dot1x { default } method1

no aaa authentication dot1x { default }

シンタックスの説明

default	この引数のあとに指定した認証方式を、ユーザログイン時のデフォルトの方式として使用します。
method1	認証用にすべての RADIUS サーバのリストを使用するには、 group radius キーワードを入力します。

（注）他のキーワードがコマンドラインのヘルプストリングに表示されていますが、default および group radius キーワードだけがサポートされます。

デフォルト

認証は実行されません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

method 引数は、認証アルゴリズムがクライアントによって提供されたパスワードを確認するために試行する方式を、試行する順序で指定します。実際に IEEE 802.1x に準拠している唯一の方式は、クライアントデータが RADIUS 認証サーバに対して確認される group radius 方式です。

group radius を指定した場合、 radius-server host グローバルコンフィギュレーションコマンドを使用して RADIUS サーバを設定する必要があります。

設定された認証方式のリストを表示するには、 show running-config イネーブル EXEC コマンドを使用します。

例

次の例では、AAA をイネーブルにして IEEE 802.1x に準拠している認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試みます。この動作でエラーが返された場合、ユーザがネットワークへアクセスすることは許可されません。

Switch(config)# aaa new-model

Switch(config)# aaa authentication dot1x default group radius

設定を確認するには、 show running-config イネーブル EXEC コマンドを入力します。

コマンド	説明
aaa new-model	AAA アクセス制御モデルをイネーブルにします。構文情報については、 Cisco IOS Security Command Reference, Release 12.2 > Authentication, Authorization, and Accounting > Authentication Commands を参照してください。
show running-config	現在の実行コンフィギュレーションを表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を選択してください。

action

VLAN（仮想 LAN）のアクセスマップのエントリに対してアクションを設定するには、スイッチスタックまたはスタンドアロンスイッチ上で action アクセスマップコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

action { drop | forward }

no action

シンタックスの説明

drop	指定の条件に一致した場合、パケットを廃棄します。
forward	指定の条件に一致した場合、パケットを転送します。

デフォルト

デフォルトのアクションは、パケットを転送する設定です。

コマンドモード

アクセスマップコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

vlan access-map グローバルコンフィギュレーションコマンドを使用して、アクセスマップコンフィギュレーションモードを開始します。

アクションに drop を指定した場合、match コマンドにおける Access Control List（ACL; アクセス制御リスト）名の設定を含め、アクセスマップを定義してから VLAN に適用する必要があります。アクセスマップを定義しない場合、すべてのパケットは廃棄されます。

アクセスマップコンフィギュレーションモードで、VLAN マッピングの一致条件を定義するには、 match アクセスマップコンフィギュレーションコマンドを使用します。パケットが条件に一致した場合に発生するアクションを設定するには、 action コマンドを使用します。

drop および forward のパラメータは、このコマンドの no 形式では使用されません。

例

次の例では、VLAN アクセスマップ vmap4 を識別し、VLAN 5 および VLAN 6 に適用することで、アクセスリスト al2 に定義されたパケット一致条件と一致した場合、VLAN の IP パケットを転送させています。

Switch(config)# vlan access-map vmap4

Switch(config-access-map)# match ip address al2

Switch(config-access-map)# action forward

Switch(config-access-map)# exit

Switch(config)# vlan filter vmap4 vlan-list 5-6

設定を確認するには、 show vlan access-map イネーブル EXEC コマンドを入力します。

コマンド	説明
access-list { deny \| permit }	標準番号付き Access Control List（ACL; アクセス制御リスト）を設定します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を選択してください。
ip access-list	名前付きアクセスリストを作成します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を選択してください。
mac access-list extended	名前付き MAC（メディアアクセス制御）アドレスアクセスリストを作成します。
match（アクセスマップコンフィギュレーション）	VLAN マップの一致条件を定義します。
show vlan access-map	スイッチ上に作成されている VLAN アクセスマップを表示します。
vlan access-map	VLAN アクセスマップを作成します。

archive copy-sw

特定のスタックメンバー上のフラッシュメモリから実行イメージを、別の 1 つまたは複数のスタックメンバー上にあるフラッシュメモリにコピーするには、スタックマスター上で archive copy-sw イネーブル EXEC コマンドを使用します。

archive copy-sw [ /destination-system destination-stack-member-number ] [ /force-reload ] [ leave-old-sw ] [ /no-set-boot ] [ /overwrite ] [ /reload ] [ /safe ] source-stack-member-number

シンタックスの説明

/destination-system destination-stack- member-number	（任意）実行イメージのコピー先のスタックメンバー番号。指定できる範囲は、1 ～ 9 です。
/force-reload	（任意）ソフトウェアイメージのダウンロードが成功したあと、無条件にシステムのリロードを強制します。
/leave-old-sw	（任意）ダウンロードが成功したあと、古いソフトウェアバージョンを保存します。
/no-set-boot	（任意）新しいソフトウェアイメージのダウンロードが成功したあと、BOOT 環境変数の設定は新しいソフトウェアイメージを示すように変更されません。
/overwrite	（任意）ダウンロードされたソフトウェアイメージで、フラッシュメモリのソフトウェアイメージを上書きします。
/reload	（任意）変更された設定が保存されていない場合を除き、イメージをダウンロードしたあとでシステムをリロードします。
/safe	（任意）現在のソフトウェアイメージを保存します。新しいイメージがダウンロードされるまでは、新しいソフトウェアイメージ用の領域を作る目的で現在のソフトウェアイメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。
source-stack-member- number	実行イメージのコピー元のスタックメンバー番号。指定できる範囲は、1 ～ 9 です。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

現行のソフトウェアイメージは、コピーされたイメージで上書きされません。

ソフトウェアイメージと HTML ファイルの両方がコピーされます。

新しいイメージは flash: ファイルシステムにコピーされます。

BOOT 環境変数は、flash: ファイルシステムの新しいソフトウェアイメージを示すよう変更されます。

イメージ名では大文字と小文字が区別されます。イメージファイルは tar フォーマットで提供されます。

（注） archive copy-sw イネーブル EXEC コマンドを正常に使用するには、追加されるスタックメンバースイッチおよびスタックマスターの両方のイメージを Trivial File Transfer Protocol（TFTP; 簡易ファイル転送プロトコル）サーバからダウンロードしておく必要があります。ダウンロードを実行するには、archive download-sw イネーブル EXEC コマンドを使用します。

互換性のないソフトウェアが搭載されたスイッチにコピーされるイメージは、少なくとも 1 つのスタックメンバーで実行している必要があります。

/destination -system destination-stack-member-number のコマンドオプション繰り返すことで、イメージのコピー先に複数のスタックメンバーを指定し、各スタックメンバーをアップグレードできます。 destination-stack-member-number を指定しない場合、デフォルト設定で、実行中のイメージファイルがすべてのスタックメンバーにコピーされます。

/safe または /leave-old-sw オプションを使用した場合に、十分なフラッシュメモリがないと、新しいイメージのコピーに失敗する場合があります。ソフトウェアを残すことによってフラッシュメモリの空き容量が不足し、新しいイメージが入りきらなかった場合にエラーが発生します。

/leave-old-sw オプションを使用したために、新しいイメージをコピーしても古いイメージを上書きしなかった場合、 delete イネーブル EXEC コマンドを使用して古いイメージを削除できます。詳細は、「delete」を参照してください。

フラッシュデバイスのイメージを、コピーされたイメージで上書きする場合は、 /overwrite オプションを使用します。

/overwrite オプションなしでこのコマンドを指定する場合、新しいイメージが、スイッチフラッシュデバイスのイメージまたはスタックメンバーで実行中のものと同じではないことが、アルゴリズムによって確認されます。イメージが同じである場合には、コピーは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがコピーされます。

新しいイメージをコピーしたあとで、 reload イネーブル EXEC コマンドを入力して新しいイメージの使用を開始するか、 archive copy-sw コマンドで /reload または /force-reload オプションを指定してください。

source-stack-member-number オプションを使用する場合、次のオプションを 1 つ以上入力できます。

• /destination-system destination-stack-member-number

• / force-reload

• / leave-old-sw

• / no-set-boot

• / overwrite

• / reload

• /safe

これらのオプションの前に source-stack-member-number オプションを入力する場合、 archive copy-sw source-stack-member-number コマンドしか入力できません。

次の例では、 archive copy-sw コマンドを入力する方法を示します。

• 実行イメージをスタックメンバーから別のスタックメンバーにコピーして、2 つめのスタックメンバーのフラッシュメモリのソフトウェアイメージ（すでに存在する場合）をコピーしたイメージで上書きするには、 archive copy-sw/destination destination-stack-member-number /
overwrite s ource-stack-member-number コマンドを入力します。

• 実行イメージをスタックメンバーから別のスタックメンバーにコピーして、現在のソフトウェアイメージを維持しながらイメージのコピー後にシステムをリロードするには、 archive copy-sw/destination destination-stack-member-number /safe/reload source-stack-member-number コマンドを入力します。

例

次の例では、スタックメンバー 6 から実行イメージをスタックメンバー 8 にコピーする方法を示します。

Switch# archive copy-sw/destination-system 8 6

次の例では、スタックメンバー 6 から実行イメージを他のすべてのスタックメンバーにコピーする方法を示します。

Switch# archive copy-sw 6

次の例では、実行イメージをスタックメンバー 5 からスタックメンバー 7 にコピーする方法を示します。2 つめのスタックメンバーのフラッシュメモリにイメージがすでに存在する場合は、コピーされたイメージで上書きされます。イメージがコピーされたあと、システムはリロードされます。

Switch# archive copy-sw/destination-system 7/overwrite/force-reload 5

コマンド	説明
archive download-sw	新しいイメージを TFTP サーバからスイッチにダウンロードします。
archive tar	tar ファイルの作成、tar ファイル内のファイルを一覧表示、tar ファイルからのファイル抽出を行います。
archive upload-sw	スイッチの既存のイメージをサーバにアップロードします。
delete	フラッシュメモリデバイスのファイルまたはディレクトリを削除します。

archive download-sw

新しいイメージを Trivial File Transfer Protocol（TFTP; 簡易ファイル転送プロトコル）サーバからスイッチまたはスイッチスタックにダウンロードして、既存のイメージを上書きまたは保存するには、スイッチスタックまたはスタンドアロンスイッチ上で archive download-sw イネーブル EXEC コマンドを使用します。

archive download-sw { /force-reload | /imageonly | /leave-old-sw | /no-set-boot | /no-version-check |/destination-system stack-member-number |/only-system-type system-type | /overwrite | /reload | /safe } source-url

シンタックスの説明

/force-reload	ソフトウェアイメージのダウンロードが成功したあと、無条件にシステムのリロードを強制します。
/imageonly	ソフトウェアイメージだけをダウンロードし、組み込み型デバイスマネージャに関連する HTML ファイルはダウンロードしません。既存のバージョンの HTML ファイルは、既存のバージョンが上書きまたは削除された場合にだけ削除されます。
/leave-old-sw	ダウンロードが成功したあと、古いソフトウェアバージョンを保存します。
/no-set-boot	新しいソフトウェアイメージのダウンロードが成功したあと、BOOT 環境変数の設定は新しいソフトウェアイメージを示すように変更されません。
/no-version-check	イメージ上、およびスイッチスタック上のスタックプロトコルのバージョンの互換性を確認せずに、ソフトウェアイメージをダウンロードします。
/destination-system stack-member-number	アップグレードする特定のスタックメンバーを指定します。指定できる範囲は、1 ～ 9 です。
/only-system-type system-type	アップグレードする特定のシステムタイプを指定します。指定できる範囲は 0 ～ FFFFFFFF です。
/overwrite	ダウンロードされたソフトウェアイメージで、フラッシュメモリのソフトウェアイメージを上書きします。
/reload	変更された設定が保存されていない場合を除き、イメージのダウンロードに成功したあとでシステムをリロードします。
/safe	現在のソフトウェアイメージを保存します。新しいイメージがダウンロードされるまでは、新しいソフトウェアイメージ用の領域を作る目的で現在のソフトウェアイメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。
source-url	ローカルファイルシステムまたはネットワークファイルシステム用の送信元 URL エイリアス。次のオプションがサポートされています。 • スタンドアロンスイッチまたはスタックマスター上のローカルフラッシュファイルシステムの構文 flash: スタックメンバー上のローカルフラッシュファイルシステムの構文 flash member number : • FTP（ファイル転送プロトコル）の構文 ftp: [[ // username [ : password ]@ location ]/ directory ] / image-name .tar • HTTP サーバの構文 http:// [[ username : password ]@]{ hostname \| host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文 https:// [[ username : password ]@]{ hostname \| host-ip }[/ directory ] / image-name .tar • Remote Copy Protocol（RCP）の構文 rcp: [[ // username @ location ]/ directory ] / image-name .tar • TFTP の構文 tftp: [[ // location ]/ directory ] / image-name .tar image-name .tar は、スイッチにダウンロードし、インストールするソフトウェアイメージです。

デフォルト

現行のソフトウェアイメージは、ダウンロードされたイメージで上書きされません。

ソフトウェアイメージと HTML ファイルの両方がダウンロードされます。

新しいイメージは flash: ファイルシステムにダウンロードされます。

BOOT 環境変数は、flash: ファイルシステムの新しいソフトウェアイメージを示すよう変更されます。

イメージ名では大文字と小文字が区別されます。イメージファイルは tar フォーマットで提供されます。

イメージのスタックプロトコルの互換性は、ダウンロードする場合にスイッチスタックのバージョンで確認されます。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.2(20)SE	http および https キーワードが追加されました。

使用上のガイドライン

/imageonly オプションは、既存のイメージが削除または置き換えられている場合に、既存のイメージの HTML ファイルを削除します。（HTML ファイルのない）Cisco IOS イメージだけがダウンロードされます。

/safe または /leave-old-sw オプションを使用した場合に、十分なフラッシュメモリがないと、新しいイメージのダウンロードに失敗する場合があります。ソフトウェアを残すことによってフラッシュメモリの空き容量が不足し、新しいイメージが入りきらなかった場合にエラーが発生します。

/leave-old-sw オプションを使用したために、新しいイメージをダウンロードしても古いイメージを上書きしなかった場合、 delete イネーブル EXEC コマンドを使用して古いイメージを削除できます。詳細は、「delete」を参照してください。

スイッチスタックの既存のバージョンとは異なるスタックプロトコルのバージョンのイメージをダウンロードする場合、 /no-version-check オプションを使用します。このオプションを使用する場合には /destination-system オプションを使用し、イメージでアップグレードする特定のスタックメンバーを指定してください。

（注） /no-version-check オプションの使用には注意が必要です。同一のスイッチスタックにするためには、スタックマスターを含め、すべてのスタックメンバーは、スタックプロトコルのバージョンを同一にする必要があります。このオプションを指定することで、イメージをダウンロードする場合のスタックプロトコルのバージョンと、スイッチスタックのバージョンの互換性の最初の確認をスキップできます。

/destination-system のコマンドオプション繰り返すことで、複数のスタックメンバーを指定し、アップグレードできます。

フラッシュデバイスのイメージを、ダウンロードされたイメージで上書きする場合は、 /overwrite オプションを使用します。

/overwrite オプションなしでこのコマンドを指定する場合、ダウンロードアルゴリズムは、新しいイメージが、スイッチフラッシュデバイスのイメージ、またはスタックメンバーで実行中のものと同じではないことを確認します。イメージが同じである場合には、ダウンロードは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがダウンロードされます。

新しいイメージをダウンロードしたあとで、 reload イネーブル EXEC コマンドを入力して新しいイメージの使用を開始するか、 archive download-sw コマンドの /reload または /force-reload オプションを指定してください。

例

次の例では、172.20.129.10 の TFTP サーバから新しいイメージをダウンロードし、スイッチ上でイメージを上書きする方法を示します。

Switch# archive download-sw/overwrite tftp://172.20.129.10/test-image.tar

次の例では、172.20.129.10 の TFTP サーバからソフトウェアイメージだけをスイッチにダウンロードする方法を示します。

Switch# archive download-sw/imageonly tftp://172.20.129.10/test-image.tar

次の例では、ダウンロードが成功したあとで古いソフトウェアバージョンを保存する方法を示します。

Switch# archive download-sw/leave-old-sw tftp://172.20.129.10/test-image.tar

次の例では、スタックメンバー 6 および 8 をアップグレードする方法を示します。

Switch# archive download-sw/imageonly/destination-system 6/destination-system 8 tftp://172.20.129.10/test-image.tar

コマンド	説明
archive copy-sw	あるスタックメンバーのフラッシュメモリから実行イメージを、別の 1 つまたは複数のスタックメンバー上のフラッシュメモリにコピーします。
archive tar	tar ファイルの作成、tar ファイル内のファイルを一覧表示、tar ファイルからのファイル抽出を行います。
archive upload-sw	スイッチの既存のイメージをサーバにアップロードします。
delete	フラッシュメモリデバイスのファイルまたはディレクトリを削除します。

archive tar

tar ファイルの作成、tar ファイル内のファイル一覧表示、tar ファイルからのファイル抽出を実行するには、スイッチスタックまたはスタンドアロンスイッチ上で、 archive tar イネーブル EXEC コマンドを使用します。

archive tar { /create destination-url flash:/ file-url } | { /table source-url } | { /xtract source-url flash:/ file-ur l [ dir/file ...]}

シンタックスの説明

/create destination-url flash:/ file-url

ローカルファイルシステムまたはネットワークファイルシステムに新しい tar ファイルを作成します。

destination-url には、ローカルファイルシステムまたはネットワークファイルシステムの宛先 URL エイリアス、および作成する tar ファイルの名前を指定します。次のオプションがサポートされています。

• ローカルフラッシュファイルシステムの構文
flash:

• FTP（ファイル転送プロトコル）の構文
ftp: [[ // username [ : password ]@ location ]/ directory ] / tar-filename .tar

• HTTP サーバの構文
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] /
image-name .tar

• セキュア HTTP サーバの構文
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] /
image-name .tar

• Remote Copy Protocol（RCP）の構文
rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

• Trivial File Transfer Protocol（TFTP; 簡易ファイル転送プロトコル）の構文
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、作成する tar ファイルです。

flash:/ file-url には、新しい tar ファイルが作成されるローカルフラッシュファイルシステムの場所を指定します。

送信元ディレクトリ内のファイルまたはディレクトリのオプションのリストを指定して、新しい tar ファイルに書き込むことができます。何も指定しないと、このレベルのすべてのファイルおよびディレクトリが、新しく作成された tar ファイルに書き込まれます。

/table source-url

既存の tar ファイルの内容を画面に表示します。

source-url には、ローカルファイルシステムまたはネットワークファイルシステムの送信元 URL エイリアスを指定します。次のオプションがサポートされています。

• ローカルフラッシュファイルシステムの構文
flash:

• FTP の構文
ftp: [[ // username [ : password ]@ location ]/ directory ] / tar-filename .tar

• HTTP サーバの構文
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] /
image-name .tar

• セキュア HTTP サーバの構文
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] /
image-name .tar

• RCP の構文
rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

• TFTP の構文
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、表示する tar ファイルです。

/xtract source-url flash:/ file-url [ dir/file... ]

tar ファイルからローカルファイルシステムにファイルを抽出します。

source-url には、ローカルファイルシステムの送信元 URL エイリアスを指定します。次のオプションがサポートされています。

• ローカルフラッシュファイルシステムの構文
flash:

• FTP の構文
ftp: [[ // username [ : password ]@ location ]/ directory ] / tar-filename .tar

• HTTP サーバの構文
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] /
image-name .tar

• セキュア HTTP サーバの構文
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] /
image-name .tar

• RCP の構文
rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

• TFTP の構文
tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、抽出が行われる tar ファイルです。

flash:/ file-url [ dir/file ...] には、 tar ファイルが抽出されるローカルフラッシュファイルシステムの場所を指定します。tar ファイルから抽出されるファイルまたはディレクトリのオプションリストを指定するには、 dir/file ... オプションを使用します。何も指定されないと、すべてのファイルとディレクトリが抽出されます。

デフォルト

設定なし

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

イメージ名では、大文字と小文字が区別されます。

例

次の例では、tar ファイルを作成する方法を示します。このコマンドはローカルフラッシュデバイスの new-configs ディレクトリの内容を、172.20.10.30 にある TFTP サーバの saved.tar という名前のファイルに書き込みます。

Switch# archive tar/create tftp:172.20.10.30/saved.tar flash:/new-configs

次の例では、フラッシュメモリに存在する c3750-ipservices-tar.12-25.SEB ファイルの内容を表示する方法を示します。tar ファイルの内容は画面に表示されます。

Switch# archive tar/table flash:c3750-ipservices-12-25.SEB.tar

info (219 bytes)

c3750-ipservices-mz.12-25.SEB/(directory)

c3750-ipservices-mz.12-25.SEB (610856 bytes)

c3750-ipservices-mz.12-25.SEB/info (219 bytes)

info.ver (219 bytes)

次の例では、 c3750-ipservices-12-25.SEB/html のディレクトリとその内容のみを表示する方法を示します。

Switch# archive tar/table flash:c3750-ipservices-12-25.SEB.tar c3750-ipservices-12-25/html

c3750-ipservices-mz.12-25.SEB/html/(directory)

c3750-ipservices-mz.12-25.SEB/html/const.htm (556 bytes)

c3750-ipservices-mz.12-25.SEB/html/xhome.htm (9373 bytes)

c3750-ipservices-mz.12-25.SEB/html/menu.css (1654 bytes)

（テキスト出力は省略）

次の例では、172.20.10.30 の TFTP サーバ上にある tar ファイルの内容を抽出する方法を示します。ここでは、ローカルフラッシュファイルシステムのルートディレクトリに単に new-configs ディレクトリを抽出しています。 saved.tar ファイルの残りのファイルは無視されます。

Switch# archive tar/xtract tftp:/172.20.10.30/saved.tar flash:/new-configs

コマンド	説明
archive copy-sw	あるスタックメンバーのフラッシュメモリから実行イメージを、別の 1 つまたは複数のスタックメンバー上のフラッシュメモリにコピーします。
archive download-sw	新しいイメージを TFTP サーバからスイッチにダウンロードします。
archive upload-sw	スイッチの既存のイメージをサーバにアップロードします。

archive upload-sw

既存のスイッチイメージをサーバにアップロードするには、スイッチスタックまたはスタンドアロンスイッチ上で archive upload-sw イネーブル EXEC コマンドを使用します。

archive upload-sw [ /source-system-num stack member number | /version version_string ] destination-url

シンタックスの説明

/source-system-num stack member number

アップロードするイメージを持った特定のスタックメンバーを指定します。

/version version_string

（任意）アップロードするイメージの特定のバージョンを、文字列で指定します。

destination-url

ローカルファイルシステムまたはネットワークファイルシステムの宛先 URL エイリアス。次のオプションがサポートされています。

• スタンドアロンスイッチまたはスタックマスター上のローカルフラッシュファイルシステムの構文
flash:

スタックメンバー上のローカルフラッシュファイルシステムの構文
flash member number :

• FTP（ファイル転送プロトコル）の構文
ftp: [[ // username [ : password ]@ location ]/ directory ] / image-name .tar

• HTTP サーバの構文
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] /
image-name .tar

• セキュア HTTP サーバの構文
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] /
image-name .tar

• Remote Copy Protocol（RCP）の構文
rcp: [[ // username @ location ]/ directory ] / image-name .tar

• Trivial File Transfer Protocol（TFTP; 簡易ファイル転送プロトコル）の構文
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、サーバに保存するソフトウェアイメージの名前です。

デフォルト

flash: ファイルシステムから現在の実行イメージをアップロードします。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

/version オプションを使用するためには、 /source-system-num オプションを指定する必要があります。これらのオプションを同時に使用することで、指定のスタックメンバーの特定のイメージ（実行イメージではない）をアップロードできます。

アップロード機能を利用できるのは、組み込み型デバイスマネージャに関連する HTML ファイルが既存イメージでインストールされている場合に限られます。

ファイルは Cisco IOS イメージ、HTML ファイル、info の順番でアップロードされます。これらのファイルがアップロードされると、ソフトウェアは tar ファイルを作成します。

イメージ名では、大文字と小文字が区別されます。

例

次の例では、スタックメンバー 6 で現在実行中のイメージを、172.20.140.2 の TFTP サーバへアップロードする方法を示します。

Switch# archive upload-sw/source-system-num 6 tftp://172.20.140.2/test-image.tar

コマンド	説明
archive copy-sw	あるスタックメンバーのフラッシュメモリから実行イメージを、別の 1 つまたは複数のスタックメンバー上のフラッシュメモリにコピーします。
archive download-sw	新しいイメージをスイッチにダウンロードします。
archive tar	tar ファイルの作成、tar ファイル内のファイルを一覧表示、tar ファイルからのファイル抽出を行います。

arp access-list

Address Resolution Protocol（ARP; アドレス解決プロトコル）Access Control List（ACL; アクセス制御リスト）を定義する、または以前定義したリストの最後にコマンドを追加するには、スイッチスタックまたはスタンドアロンスイッチ上で arp access-list グローバルコンフィギュレーションコマンドを使用します。指定の ARP アクセスリストを削除する場合は、このコマンドの no 形式を使用します。

arp access-list acl-name

no arp access-list acl-name

このコマンドは、ご使用のスイッチで IP サービスイメージが稼働している場合に限り使用できます。IP サービスイメージは、以前は Enhanced Multilayer Image（EMI）と呼ばれていました。

シンタックスの説明

acl-name

ACL 名

デフォルト

ARP アクセスリストは定義されていません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

arp access-list コマンドを入力すると、ARP アクセスリストコンフィギュレーションモードが開始され、次のコンフィギュレーションコマンドが使用可能になります。

• default ：コマンドをデフォルト設定に戻します。

• deny ：拒否するパケットを指定します。詳細は、「deny（ARP アクセスリストコンフィギュレーション）」を参照してください。

• exit ：ARP アクセスリストコンフィギュレーションモードを終了します。

• no ：コマンドを無効にする、またはデフォルト設定に戻します。

• permit ：転送するパケットを指定します。詳細は、「permit（ARP アクセスリストコンフィギュレーション）」を参照してください。

指定された一致条件に基づいた ARP パケットを転送および廃棄するには、 permit および deny アクセスリストコンフィギュレーションコマンドを使用します。

ARP ACL が定義されている場合、これを VLAN（仮想 LAN）に適用するには、 ip arp inspection
filter vlan グローバルコンフィギュレーションコマンドを使用します。IP から MAC（メディアアクセス制御）へのアドレスバインディングだけを含む ARP パケットは、ACL と照合されます。その他のすべてのタイプのパケットは、検証されずに入力 VLAN にブリッジされます。ACL がパケットを許可すると、スイッチがこれを転送します。明示的な拒否ステートメントにより ACL がパケットを拒否した場合、スイッチはこのパケットを廃棄します。暗黙的な拒否ステートメントにより ACL がパケットを拒否した場合、スイッチはパケットを Dynamic Host Configuration Protocol（DHCP）バインディングのリストと照合します（ACL が スタティック でない場合のみ。スタティックの場合は、パケットはバインディングと照合されません）。

例

次の例では、ARP アクセスリストを定義し、IP アドレス 1.1.1.1 および MAC アドレス
0000.0000.abcd: を使用して、ホストからの ARP 要求および ARP 応答の両方を許可する方法を示します。

Switch(config)# arp access-list static-hosts

Switch(config-arp-nacl)# permit ip host 1.1.1.1 mac host 00001.0000.abcd

Switch(config-arp-nacl)# end

設定を確認するには、 show arp access-list イネーブル EXEC コマンドを入力します。

コマンド	説明
deny（ARP アクセスリストコンフィギュレーション）	DHCP バインディングとの照合に基づいた ARP パケットを拒否します。
ip arp inspection filter vlan	スタティックな IP アドレスで設定されたホストからの ARP 要求および ARP 応答を許可します。
permit（ARP アクセスリストコンフィギュレーション）	DHCP バインディングとの照合に基づいた ARP パケットを許可します。
show arp access-list	ARP アクセスリストに関する詳細情報を表示します。

auto qos voip

Quality of Service（QoS; サービス品質）ドメイン内の Voice over IP（VoIP）に対し、QoS を自動的に設定するには、スイッチスタックまたはスタンドアロンスイッチ上で auto qos voip インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

auto qos voip { cisco-phone | cisco-softphone | trust }

no auto qos voip [ cisco-phone | cisco-softphone | trust ]

シンタックスの説明

cisco-phone	このポートが Cisco IP Phone に接続されていると識別し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルを信頼できるのは、IP Phone が検知される場合に限ります。このキーワードは、10 ギガビットイーサネットインターフェイスではサポートされません。
cisco-softphone	このポートが Cisco SoftPhone を実行している装置に接続されていると識別し、自動的に VoIP の QoS を設定します。このキーワードは、10 ギガビットイーサネットインターフェイスではサポートされません。
trust	このポートが信頼性のあるスイッチまたはルータに接続されていると識別し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルは信頼できます。ルーティングされないポートの場合、着信パケットの Class of Service（CoS; サービスクラス）値が信頼できます。ルーテッドポートの場合、着信パケットの DSCP 値が信頼できます。

デフォルト

Auto-QoS は、ポート上でディセーブルに設定されています。

Auto-QoS がイネーブルの場合、Auto-QoS は入力パケットラベルを使用して、表2-1 に示すようなトラフィックの分類、パケットラベルの割り当て、および入力キューと出力キューの設定を行います。

表2-1 トラフィックタイプ、パケットラベル、およびキュー
	VoIP データトラフィック	VoIP 制御トラフィック	ルーティングプロトコルトラフィック	STP 1 BPDU 2 トラフィック	リアルタイムビデオトラフィック	その他すべてのトラフィック
DSCP3	46	24、26	48	56	34	-
CoS4CoS	5	3	6	7	3	-
CoS から入力キューへのマッピング	2、3、4、5、6、7（キュー 2）					0、1（キュー 1）
CoS から出力キューへのマッピング	5（キュー 1）	3、6、7（キュー 2）			4（キュー 3）	2 （キュー 3）	0、1 （キュー 4）

^1.STP = Spanning-Tree Protocol（スパニングツリープロトコル）

^2.BPDU = Bridge Protocol Data Unit（ブリッジプロトコルデータユニット）

^3.DSCP = Differentiated Services Code Point

^4.CoS = Class of Service（サービスクラス）

表2-2 に、入力キューに対して生成された Auto-QoS の設定を示します。

表2-2 入力キューに対する Auto-QoS の設定
入力キュー	キュー番号	CoS からキューへのマッピング	キューウェイト（帯域幅）	キュー（バッファ）サイズ
SRR5共有	1	0、1	81%	67%
プライオリティ	2	2、3、4、5、6、7	19%	33%

^5.SRR = Shaped Round Robin（シェイプドラウンドロビン）。入力キューは共有モードのみサポートします。

表2-3 に、出力キューに対して生成された Auto-QoS の設定を示します。

表2-3 出力キューに対する Auto-QoS の設定
出力キュー	キュー番号	CoS からキューへのマッピング	キューウェイト（帯域幅）	ギガビット対応ポートのキュー（バッファ）サイズ	10/100 イーサネットポートのキュー（バッファ）サイズ
プライオリティ（シェーピング）	1	5	10%	16%	10%
SRR 共有	2	3、6、7	10%	6%	10%
SRR 共有	3	2、4	60%	17%	26%
SRR 共有	4	0、1	20%	61%	54%

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(14)EA1	このコマンドが導入されました。
12.2(20)SE	cisco-softphone キーワードが追加され、生成された Auto-Qos コンフィギュレーションが変更されました。

使用上のガイドライン

QoS ドメイン内の VoIP トラフィックに適切な QoS を設定する場合は、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類することのできるエッジ装置などが含まれます。

Cisco IOS Release 12.2(20)SE より前のリリースでは、Auto-Qos はスイッチポート上で Cisco IP Phone を使用した VoIP に対してのみスイッチを設定します。

Cisco IOS Release 12.2(20)SE 以降では、Auto-QoS はスイッチおよびルーテッドポート上で Cisco IP Phone を使用した VoIP、および Cisco SoftPhone アプリケーションが稼働する装置を使用した VoIP に対してスイッチを設定します。これらのリリースは、Cisco IP SoftPhone Version 1.3(3) 以降のみをサポートしています。接続された装置は、Cisco Call Manager Version 4 以降を使用する必要があります。

Auto-QoS のデフォルトを利用する場合、他の QoS コマンドを設定する前に、Auto-QoS をイネーブルにする必要があります。Auto-QoS をイネーブルにした あとに 、Auto-QoS 設定の調整ができます。

（注）スイッチは Auto-QoS で生成されたコマンドを、CLI（コマンドラインインターフェイス）から入力されたコマンドのように適用します。既存のユーザ設定は、生成されたコマンドの適用を妨げる可能性、または生成されたコマンドによって上書きされる可能性があります（これらは警告なしで発生します）。生成されたコマンドが正常に適用された場合、上書きされなかったユーザ入力の設定が、実行コンフィギュレーションに残っています。上書きされてしまったユーザ入力の設定は、現行コンフィギュレーションをメモリに保存せずにスイッチをリロードすることによって、復旧できます。生成されたコマンドの適用に失敗した場合、以前の実行コンフィギュレーションが復元されます。

最初に Auto-QoS をイネーブルにしたポートでは、Auto-QoS が生成するグローバルコンフィギュレーションコマンドが実行され、その後インターフェイスコンフィギュレーションコマンドが実行されます。他のポート上で Auto-QoS をイネーブルにした場合、Auto-QoS が生成するインターフェイスコンフィギュレーションコマンドは、そのポート用に実行されます。

最初のポート上で Auto-QoS 機能をイネーブルにした場合、次のアクションが自動的に起こります。

• QoS がグローバルにイネーブルになり（ mls qos グローバルコンフィギュレーションコマンド）、その後、他のグローバルコンフィギュレーションコマンドが追加されます。

• Cisco IP Phone に接続されたネットワークのエッジにあるポート上で、 auto qos voip cisco-phone インターフェイスコンフィギュレーションコマンドを入力した場合、スイッチは信頼境界機能をイネーブルにします。スイッチは Cisco Discovery Protocol（CDP）を使用し、Cisco IP Phone の有無を検出します。Cisco IP Phone が検出された場合、ポート上の入力分類は、パケットで受信された QoS 値を信頼するよう設定されます。Cisco IP Phone が検出されない場合、入力分類はパケットで受信された QoS 値を信頼しないよう設定されます。スイッチは、表2-2 および表2-3 の設定に対応して、ポート上の入力キューおよび出力キューを構成します。

• Cisco SoftPhone が稼働する装置に接続されたネットワークのエッジにあるポートで、 auto qos voip cisco-softphone インターフェイスコンフィギュレーションコマンドを入力した場合、スイッチはポリシングを使用してパケットが適合か不適合かを判断し、パケット上のアクションを指定します。パケットの DSCP 値が 24、26、または 46 であるか、またはパケットが不適合の場合、スイッチは DSCP 値を 0 に変更します。スイッチは、表2-2 および表2-3 の設定に対応して、ポート上の入力キューおよび出力キューを設定します。

• ネットワーク内部に接続されたポート上で、 auto qos voip trust インターフェイスコンフィギュレーションコマンドを入力した場合、スイッチは、入力パケットで非ルーテッドポートの CoS 値、またはルーテッドポートの DSCP 値を信頼します（トラフィックが他のエッジ装置ですでに分類されていることが前提条件になります）。スイッチは、表2-2 および表2-3 の設定に対応して、ポート上の入力キューおよび出力キューを設定します。

スタティックポート、ダイナミックアクセスポート、音声 VLAN（仮想 LAN）アクセスポート、およびトランクポートで Auto-QoS をイネーブルにできます。Cisco IP Phone が稼働するルーテッドポートで Auto-QoS をイネーブルにする場合、スタティック IP アドレスを IP Phone に割り当てる必要があります。

（注） Cisco SoftPhone が稼働する装置がスイッチまたはルーテッドポートに接続されている場合、スイッチはポートごとに 1 つの Cisco SoftPhone アプリケーションのみをサポートします。

Auto-QoS をイネーブルにした場合、その名前に AutoQoS を含むポリシーマップまたはアグリゲートポリサーを変更しないでください。ポリシーマップまたはアグリゲートポリサーを変更する必要がある場合は、まずコピーをとってから、コピーされたポリシーマップまたはポリサーを変更してください。生成されたポリシーマップではなく、新しいポリシーマップを使用するには、インターフェイスから生成されたものを削除し、新しいポリシーマップを適用します。

Auto-QoS がイネーブルの場合、自動生成された QoS 設定を表示させるには、Auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos イネーブル EXEC コマンドを使用することで、Auto-QoS のデバッグをイネーブルにできます。詳細は、 debug auto qos コマンドを参照してください。

ポート上で Auto-QoS をディセーブルにするには、no auto qos voip インターフェイスコンフィギュレーションコマンドを使用します。このポート用に生成された Auto-QoS インターフェイスコンフィギュレーションコマンドのみ削除されます。Auto-QoS がイネーブルである最後のポートで no auto qos voip コマンドを入力した場合、Auto-QoS 生成のグローバルコンフィギュレーションコマンドが残っていたとしても、Auto-QoS はディセーブルになったと認識されます（グローバルコンフィギュレーションから影響を受ける他のポートのトラフィック障害を回避するため）。 no mls qos グローバルコンフィギュレーションコマンドを使用して、Auto-QoS 生成のグローバルコンフィギュレーションコマンドをディセーブルにします。QoS がディセーブルの場合、パケットが修正されなくなるため（パケットの CoS、DSCP、IP precedence の値は変更されない）、ポートの信頼性に関する概念はなくなります。トラフィックは Pass-Through モードに切り替わります（パケットは書き換えなしにスイッチングされ、ポリシングなしのベストエフォートに分類されます）。

例

次の例では、Auto-QoS をイネーブルにして、ポートに接続されたスイッチまたはルータが信頼できる装置である場合に、受信した着信パケット内の QoS ラベルを信頼する方法を示します。

Switch(config)# interface gigabitethernet2/0/1

Switch(config-if)# auto qos voip trust

設定を確認するには、 show auto qos interface interface-id イネーブル EXEC コマンドを入力します。

コマンド	説明
debug auto qos	Auto-QoS 機能のデバッグをイネーブルにします。
mls qos cos	デフォルトのポート CoS 値を定義するか、あるいはポート上のすべての着信パケットにデフォルトの CoS 値を割り当てます。
mls qos map { cos-dscp dscp1 ... dscp8 \| dscp-cos dscp-list to cos }	CoS から DSCP へのマッピングまたは DSCP から CoS へのマッピングを定義します。
mls qos queue-set output buffers	キューセットに対しバッファを割り当てます。
mls qos srr-queue input bandwidth	入力キューに対し Shaped Round Robin（SRR; シェイプドラウンドロビン）ウェイトを割り当てます。
mls qos srr-queue input buffers	入力キュー間にバッファを割り当てます。
mls qos srr-queue input cos-map	CoS 値を入力キューにマッピング、または CoS 値をキューおよびスレッシュホールド ID にマッピングします。
mls qos srr-queue input dscp-map	DSCP 値を入力キューにマッピング、または DSCP 値をキューおよびスレッシュホールド ID にマッピングします。
mls qos srr-queue input priority-queue	入力プライオリティキューを設定し、帯域幅を保証します。
mls qos srr-queue output cos-map	CoS 値を出力キューにマッピング、または CoS 値をキューおよびスレッシュホールド ID にマッピングします。
mls qos srr-queue output dscp-map	DSCP 値を出力キューにマッピング、または DSCP 値をキューおよびスレッシュホールド ID にマッピングします。
mls qos trust	ポートの信頼状態を設定します。
queue-set	キューセットに対しポートをマッピングします。
show auto qos	Auto-QoS 情報を表示します。
show mls qos interface	ポートレベルで QoS 情報を表示します。
srr-queue bandwidth shape	シェーピングしたウェイトを割り当て、ポートにマッピングされた 4 つの出力キュー上の帯域幅シェーピングをイネーブルにします。
srr-queue bandwidth share	共有のウェイトを割り当て、ポートにマッピングされた 4 つの出力キュー上の帯域幅の共有をイネーブルにします。

boot auto-copy-sw

自動アップグレードプロセスをイネーブルにするには、スタックマスターから boot auto-copy-sw グローバルコンフィギュレーションコマンドを使用します。このコマンドにより、
Version-Mismatch（VM）モードのスイッチは、スタックメンバー上で実行中のソフトウェアイメージ、またはスイッチスタックのフラッシュメモリの tar ファイルイメージをコピーして、自動的にアップグレードします。自動アップグレードプロセスをディセーブルにするには、このコマンドの no 形式を使用します。

boot auto-copy-sw

no boot auto-copy-sw

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

イネーブル

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

VM モードにあるスイッチは、スイッチスタックとは異なるマイナーバージョン番号が適用されています。VM モードのスイッチは、完全に機能しているメンバーとしてはスイッチスタックに加入できません。スイッチスタックが VM モードのスイッチにコピーできるイメージを保有している場合、自動アップグレードプロセスを使用することで、スタックメンバーからのイメージを VM モードのスイッチに自動的にコピーできます。その場合、スイッチは VM モードを終了し、再起動後にスイッチスタックに完全に機能しているメンバーとして加入します。

自動アップグレードプロセスは、VM モードのスイッチにのみ影響します。既存のスタックメンバーには影響しません。

コマンド	説明
show boot	ブート環境変数の設定を表示します。
show version	ハードウェアおよびファームウェアのバージョン情報を表示します。

boot boothlpr

特別な Cisco IOS イメージをロードするには、スイッチスタックまたはスタンドアロンスイッチ上で boot boothlpr グローバルコンフィギュレーションコマンドを使用します。特別な Cisco IOS イメージがメモリにロードされると、2 つめの Cisco IOS イメージをメモリにロードして、それを起動できます。この変数を使用するのは、内部開発およびテストの場合だけです。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot boothlpr filesystem :/ file-url

no boot boothlpr

シンタックスの説明

filesystem :	フラッシュファイルシステムのエイリアスです。システムボードフラッシュデバイスには flash: を使用します。
/ file-url	ブート可能ヘルパーイメージのパス（ディレクトリ）および名前

デフォルト

ヘルパーイメージはロードされていません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、BOOTHLPR 環境変数の設定を変更します。詳細は、付録 A「Catalyst 3750 スイッチブートローダコマンド」を参照してください。

コマンド	説明
show boot	ブート環境変数の設定を表示します。

boot config-file

システム設定の不揮発性コピーの読み込みおよび書き込みを行うために、Cisco IOS が使用するファイル名を指定するには、スタンドアロンスイッチ上で boot config-file グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot config-file flash: / file-url

no boot config-file

シンタックスの説明

flash:/ file-url

コンフィギュレーションファイルのパス（ディレクトリ）および名前

デフォルト

デフォルトのコンフィギュレーションファイルは、flash:config.text です。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドは、スタンドアロンスイッチからのみ正常に動作します。

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、CONFIG_FILE 環境変数の設定を変更します。詳細は、付録 A「Catalyst 3750 スイッチブートローダコマンド」を参照してください。

コマンド	説明
show boot	ブート環境変数の設定を表示します。

boot enable-break

自動ブートプロセスの中断をイネーブルにするには、スタンドアロンスイッチ上で
boot enable-break グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot enable-break

no boot enable-break

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

ディセーブル。コンソール上で Break キーを押しても自動ブートプロセスを中断できません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドは、スタンドアロンスイッチからのみ正常に動作します。

このコマンドを入力すると、フラッシュファイルシステムが初期化されたあとで Break キーを押すことにより、自動ブートプロセスを中断できます。

（注）このコマンドの設定に関わりなく、スイッチ前面パネルの MODE ボタンを押せば、いつでも自動ブートプロセスを中断できます。

このコマンドは、ENABLE_BREAK 環境変数の設定を変更します。詳細は、付録 A「Catalyst 3750 スイッチブートローダコマンド」を参照してください。

コマンド	説明
show boot	ブート環境変数の設定を表示します。

boot helper

ブートローダ初期化中にダイナミックにファイルをロードして、ブートローダの機能を拡張するかまたは機能にパッチを当てるには、スイッチスタックまたはスタンドアロンスイッチ上で boot helper グローバルコンフィギュレーションコマンドを使用します。このコマンドをデフォルト設定に戻す場合は、このコマンドの no 形式を使用します。

boot helper filesystem :/ file-url ...

no boot helper

シンタックスの説明

filesystem :	フラッシュファイルシステムのエイリアスです。システムボードフラッシュデバイスには flash: を使用します。
/ file-url	ローダ初期化中にダイナミックにロードするためのパス（ディレクトリ）およびロード可能なファイルのリスト。イメージ名はセミコロンで区切ります。

デフォルト

ヘルパーファイルはロードされません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

この変数を使用するのは、内部開発およびテストの場合だけです。

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、HELPER 環境変数の設定を変更します。詳細は、付録 A「Catalyst 3750 スイッチブートローダコマンド」を参照してください。

コマンド	説明
show boot	ブート環境変数の設定を表示します。

boot helper-config-file

Cisco IOS ヘルパーイメージが使用するコンフィギュレーションファイルの名前を指定するには、スイッチスタックまたはスタンドアロンスイッチ上で boot helper-config-file グローバルコンフィギュレーションコマンドを使用します。このコマンドが設定されていない場合は、CONFIG_FILE 環境変数によって指定されたファイルがロードされたすべてのバージョンの Cisco IOS に使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot helper-config-file filesystem :/ file-url

no boot helper-config file

シンタックスの説明

filesystem :	フラッシュファイルシステムのエイリアスです。システムボードフラッシュデバイスには flash: を使用します。
/ file-url	ロードするパス（ディレクトリ）およびヘルパーコンフィギュレーションファイル

デフォルト

ヘルパーコンフィギュレーションファイルは指定されません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

この変数を使用するのは、内部開発およびテストの場合だけです。

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、HELPER_CONFIG_FILE 環境変数の設定を変更します。詳細は、付録 A「Catalyst 3750 スイッチブートローダコマンド」を参照してください。

コマンド	説明
show boot	ブート環境変数の設定を表示します。

boot manual

次回ブートサイクル中にスイッチの手動起動をイネーブルにするには、スタンドアロンスイッチ上で boot manual グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot manual

no boot manual

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

手動による起動はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドは、スタンドアロンスイッチからのみ正常に動作します。

次にシステムを再起動すると、スイッチはブートローダモードで起動します。これは switch: プロンプトに表示されます。システムを起動する場合は、 boot ブートローダコマンドを使用してブート可能イメージの名前を指定します。

このコマンドは、MANUAL_BOOT 環境変数の設定を変更します。詳細は、付録 A「Catalyst 3750 スイッチブートローダコマンド」を参照してください。

コマンド	説明
show boot	ブート環境変数の設定を表示します。

boot private-config-file

プライベートコンフィギュレーションの不揮発性コピーの読み込みおよび書き込みを行うために Cisco IOS が使用するファイル名を指定するには、スタンドアロンスイッチ上で boot
private-config-file グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot private-config-file filename

no boot private-config-file

シンタックスの説明

filename

プライベートコンフィギュレーションファイルの名前

デフォルト

デフォルトのコンフィギュレーションファイルは、 private-config です。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドは、スタンドアロンスイッチからのみ正常に動作します。

ファイル名では、大文字と小文字が区別されます。

例

次の例では、プライベートコンフィギュレーションファイルの名前を pconfig と指定する方法を示します。

Switch(config)# boot private-config-file pconfig

boot system

次回のブートサイクル中にロードする Cisco IOS イメージを指定するには、スイッチスタックまたはスタンドアロンスイッチ上で boot system グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot system { filesystem :/ file-url ... | switch { number | all }}

no boot system

no boot system switch { number | all }

シンタックスの説明

filesystem :	フラッシュファイルシステムのエイリアスです。システムボードフラッシュデバイスには flash: を使用します。
/ file-url	ブート可能イメージのパス（ディレクトリ）および名前。各イメージ名はセミコロンで区切ります。
switch	Cisco IOS イメージがロードされるスイッチを指定します。
number	スタックメンバーを指定します。
all	すべてのスタックメンバーを指定します。

デフォルト

スイッチは、BOOT 環境変数内の情報を使用して、自動的にシステムを起動しようとします。この変数が設定されていない場合、スイッチは、フラッシュファイルシステム全体に再帰的な縦型検索を行って、最初の実行可能イメージをロードして実行しようとします。ディレクトリの縦型検索では、検出した各サブディレクトリを完全に検索してから元のディレクトリでの検索を続けます。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.2(25)SEA	switch { number \| all } キーワードが追加されました。 boot system コマンドは現在、スイッチスタックおよびスタンドアロンスイッチ上で正常に動作します。

使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

スタックマスター上で boot system filesystem:/file-url コマンドを入力した場合、次回のブートサイクル中に指定のソフトウェアイメージがスタックマスター上でのみロードされます。

スタックマスター上で、次回のブートサイクル中に指定のスタックメンバーでソフトウェアイメージがロードされるように指定するには、 boot system switch number コマンドを使用します。次回のブートサイクル中にすべてのスタックメンバー上でソフトウェアイメージがロードされるように指定するには、 boot system switch all コマンドを使用します。

boot system switch number コマンドまたは boot system switch all コマンドをスタックマスター上で入力すると、スタックマスターはスタックメンバー上にソフトウェアイメージが存在しているかどうか確認します。スタックメンバー上（スタックメンバー 1 など）にソフトウェアイメージが存在しない場合、次のようなエラーメッセージが表示されます。

%Command to set boot system switch all xxx on switch=1 failed

archive download-sw イネーブル EXEC コマンドを使用してシステムイメージを保存している場合、 boot system コマンドを使用する必要はありません。 boot system コマンドは自動的に処理され、ダウンロードされたイメージがロードされます。

このコマンドは、BOOT 環境変数の設定を変更します。詳細は、付録 A「Catalyst 3750 スイッチブートローダコマンド」を参照してください。

channel-group

EhterChannel グループにイーサネットポートを割り当てたり、EtherChannel モードをイネーブルにしたりするには、スイッチスタックまたはスタンドアロンスイッチ上で channel-group インターフェイスコンフィギュレーションコマンドを使用します。イーサネットポートを EtherChannel グループから削除する場合は、このコマンドの no 形式を使用します。

channel-group channel -group-number mode { active | { auto [ non-silent ]} | { desirable [ non-silent ]} | on | passive }

no channel-group

PAgP モード:
channel-group channel -group-number mode { { auto [ non-silent ]} | { desirable [ non-silent}}

LACP モード:
channel-group channel -group-number mode {active | passive}

On モード:
channel-group channel -group-number mode on

シンタックスの説明

channel-group-number	チャネルグループ番号を指定します。指定できる範囲は 1 ～ 48 です。
mode	EtherChannel モードを指定します。
active	無条件で Link Aggregation Control Protocol（LACP）をイネーブルにします。 active モードは、ポートをネゴシエーションステートにします。この場合、ポートは LACP パケットを送信することによって、他のポートとのネゴシエーションを開始します。チャネルは、active モードまたは passive モードの別のポートグループで形成されます。
auto	Port Aggregation Protocol（PAgP）装置が検出された場合に限り、PAgP をイネーブルにします。 auto モードは、ポートをパッシブネゴシエーションステートにします。この場合、ポートは受信する PAgP パケットに応答しますが、PAgP パケットネゴシエーションを開始することはありません。チャネルは、desirable モードの別のポートグループだけで形成されます。 auto がイネーブルの場合、サイレント動作がデフォルトになります。
desirable	PAgP を無条件でイネーブルにします。 desirable モードは、ポートをアクティブネゴシエーションステートにします。この場合、ポートは PAgP パケットを送信することによって、他のポートとのネゴシエーションを開始します。EtherChannel は、desirable モードまたは auto モードの別のポートグループで形成されます。 desirable がイネーブルの場合、サイレント動作がデフォルトになります。
non-silent	（任意）他の装置からのトラフィックが予想されている場合に auto または desirable キーワードとともに PAgP モードで使用します。
on	on モードをイネーブルにします。 on モードでは、接続された両方のポートグループが on モードである場合のみ、EtherChannelが使用可能になります。
passive	LACP 装置が検出された場合に限り、LACP をイネーブルにします。 passive モードは、ポートをネゴシエーションステートにします。この場合、ポートは受信する LACP パケットに応答しますが、LACP パケットネゴシエーションを開始することはありません。チャネルは、active モードの別のポートグループだけで形成されます。

デフォルト

チャネルグループは割り当てられません。

モードは設定されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(14)EA1	active および passive キーワードが追加されました。
12.2(25)SE	channel -group-number の範囲が、1 ～ 12 から 1 ～ 48 に変更されました。
12.2(25)SEC	LACP はクロススタック EtherChannel をネゴシエートできるようになりました。

使用上のガイドライン

レイヤ 2 の EtherChannel の場合、物理ポートをチャネルグループに割り当てる前に、 interface port-channel グローバルコンフィギュレーションコマンドを使用してポートチャネルインターフェイスを作成する必要はありません。代わりに、 channel-group インターフェイスコンフィギュレーションコマンドを使用できます。論理ポートが作成されていない状態でチャネルグループが最初の物理ポートを取得すると、ポートチャネルインターフェイスは自動的に作成されます。ポートチャネルインターフェイスを最初に作成した場合、 channel-group-number と port - channel-number を同一にするか、または新しい番号を使用できます。新しい番号を使用した場合、 channel-group コマンドはダイナミックに新しいポートチャネルを作成します。

チャネルグループの一部である物理ポートに割り当てられた IP アドレスをディセーブルにする必要はありませんが、これをディセーブルにすることを強く推奨します。

interface port-channel コマンドの次に no switchport インターフェイスコンフィギュレーションコマンドを使用することで、レイヤ 3 のポートチャネルを作成できます。インターフェイスをチャネルグループに適用する前に、ポートチャネルの論理インターフェイスを手動で設定してください。

EtherChannel を設定したあと、ポートチャネルインターフェイス上で変更された設定は、ポートチャネルインターフェイスが割り当てられたすべての物理ポートに適用されます。物理ポートに適用された設定の変更は、設定を適用したポートのみに有効です。EtherChannel のすべてのポートのパラメータを変更する場合、ポートチャネルインターフェイスにコンフィギュレーションコマンドを適用します（スパニングツリーのコマンド、またはトランクとしてレイヤ 2 の EtherChannel を設定するコマンドなど）。

auto モードまたは desirable モードとともに non-silent を指定しなかった場合は、サイレントが指定されているものとみなされます。サイレントモードを設定するのは、PAgP 非対応で、かつほとんどパケットを送信しない装置にスイッチを接続する場合です。サイレントパートナーの例は、トラフィックを生成しないファイルサーバ、またはパケットアナライザなどです。この場合、物理インターフェイスポート上で稼働している PAgP は、そのポートを動作可能にしません。ただし、PAgP は動作可能で、チャネルグループにポートを付与したり、伝送用ポートを使用できます。リンクの両端はサイレントに設定することはできません。

on モードの場合、EtherChannel が存在するのは、 on モードのポートグループが、同じく on モードの別のポートグループに接続する場合だけです。

注意 on モードを使用する際は、注意が必要です。これは手動設定で、EtherChannelの両端のポートは同じ設定にする必要があります。グループの設定を誤ると、パケット損失またはスパニングツリーのループが発生することがあります。

クロススタック EtherChannel は、最大 2 つの 10 ギガビットイーサネットインターフェイスをサポートします。

PAgP および LACP モードの両方で EtherChannel を設定することは避けてください。PAgP および LACP を実行している EtherChannle グループは、同一のスイッチ、またはスタックにある異なるスイッチ上で共存できます（クロススタック設定ではできません）。個々の EtherChannel グループは PAgP または LACP のどちらかを実行できますが、相互運用はできません。

channel-protocol インターフェイスコンフィギュレーションコマンドを使用してプロトコルを設定する場合、設定が channel-group インターフェイスコンフィギュレーションコマンドで上書きされることはありません。

IEEE（米国電気電子学会）802.1x のポートとしてアクティブまたはまだアクティブになっていない EtherChannel のメンバーポートを設定することは避けてください。EtherChannel ポートで IEEE 802.1x をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x はイネーブルになりません。

（注） Cisco IOS Release 12.2(18)SE より前のソフトウェアリリースの場合、まだアクティブになっていない EtherChannel 上のポートで IEEE 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。

EtherChannel のポートとしてセキュアポートを設定、またはセキュアポートとして EtherChannel ポートを設定することは避けてください。

設定の注意事項の一覧については、このリリースに対応するソフトウェアコンフィギュレーションガイドの「Configuring EtherChannels」を参照してください。

注意物理 EtherChannel ポート上で、レイヤ 3 のアドレスをイネーブルにしないでください。物理
EtherChannel ポート上でブリッジグループを割り当てることは、ループ発生の原因になるため、行わないようにしてください。

例

次の例では、スタック内の単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN（仮想 LAN）10 内の 2 つのスタティックアクセスポートを、PAgP モードが desirable のチャネル 5 に割り当てます。

Switch# configure terminal

Switch(config)# interface range gigabitethernet2/0/1 -2

Switch(config-if-range)# switchport mode access

Switch(config-if-range)# switchport access vlan 10

Switch(config-if-range)# channel-group 5 mode desirable

Switch(config-if-range)# end

次の例では、スタック内の単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN 10 内の 2 つのスタティックアクセスポートを、LACP モードが active のチャネル 5 に割り当てます。

Switch# configure terminal

Switch(config)# interface range gigabitethernet2/0/1 -2

Switch(config-if-range)# switchport mode access

Switch(config-if-range)# switchport access vlan 10

Switch(config-if-range)# channel-group 5 mode active

Switch(config-if-range)# end

次の例では、クロススタック EtherChannel を設定する方法を示します。LACP パッシブモードを使用して、VLAN10 内のスタテイックアクセスポートとしてスタックメンバー 2 のポートを 2 つ、スタックメンバー 3 のポートを 1 つチャネル 5 に割り当てます。

Switch# configure terminal

Switch(config)# interface range gigabitethernet2/0/4 -5

Switch(config-if-range)# switchport mode access

Switch(config-if-range)# switchport access vlan 10

Switch(config-if-range)# channel-group 5 mode passive

Switch(config-if-range)# exit

Switch(config)# interface gigabitethernet3/0/3

Switch(config-if)# switchport mode access

Switch(config-if)# switchport access vlan 10

Switch(config-if)# channel-group 5 mode passive

Switch(config-if)# exit

設定を確認するには、 show running-config イネーブル EXEC コマンドを使用します。

channel-protocol

チャネリングを管理するために、ポート上で使用されるプロトコルを制限するには、スイッチスタックまたはスタンドアロンスイッチ上で channel-protocol インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

channel-protocol { lacp | pagp }

no channel-protocol

シンタックスの説明

lacp	Link Aggregation Control Protocol（LACP）で EtherChannel を設定します。
pagp	Port Aggregation Protocol（PAgP）で EtherChannel を設定します。

デフォルト

EtherChannel に割り当てられているプロトコルはありません。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(14)EA1	このコマンドが導入されました。

使用上のガイドライン

channel-protocol コマンドは、チャネルを LACP または PAgP に制限するためのみに使用します。 channel-protocol コマンドを使用してプロトコルを設定する場合、設定は channel-group インターフェイスコンフィギュレーションコマンドで上書きされることはありません。

channel-group インターフェイスコンフィギュレーションコマンドは、EtherChannel のパラメータ設定に使用してください。また、 channel-group コマンドは、EtherChannel に対しモードを設定することもできます。

EtherChannel グループ上で、PAgP および LACP モードの両方をイネーブルにすることはできません。

PAgP と LACP には互換性がないため、チャネルの両端は同じプロトコルを使用する必要があります。

例

次の例では、EtherChannel を管理するプロトコルとして LACP を指定する方法を示します。

Switch(config-if)# channel-protocol lacp

設定を確認するには、 show etherchannel [ channel-group-number ] protocol イネーブル EXEC コマンドを入力します。

class

指定のクラスマップ名のトラフィックを分類する一致条件を（ police 、 set 、および trust ポリシーマップクラスコンフィギュレーションコマンドを使用して）定義するには、スイッチスタックまたはスタンドアロンスイッチ上で class ポリシーマップコンフィギュレーションコマンドを使用します。既存のクラスマップを削除する場合は、このコマンドの no 形式を使用します。

class class-map-name

no class class-map-name

シンタックスの説明

class-map-name

クラスマップ名

デフォルト

ポリシーマップクラスマップは定義されていません。

コマンドモード

ポリシーマップコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

class コマンドを使用する前に、 policy-map グローバルコンフィギュレーションコマンドを使用することでポリシーマップを識別してから、ポリシーマップコンフィギュレーションモードを開始します。ポリシーマップを指定すると、ポリシーマップ内で新規クラスのポリシーを設定したり、既存クラスのポリシーを変更したりできます。 service-policy インターフェイスコンフィギュレーションコマンドを使用して、ポリシーマップをポートに適用します。

class コマンドを入力すると、ポリシーマップクラスコンフィギュレーションモードが開始され、次のコマンドが使用可能になります。

• exit ：ポリシーマップクラスコンフィギュレーションモードを終了し、ポリシーマップコンフィギュレーションモードに戻ります。

• no ：コマンドをデフォルト設定に戻します。

• police ：分類されたトラフィックにポリサーまたはアグリゲートポリサーを定義します。ポリサーは、帯域幅の限度およびその限度を超過した場合に実行するアクションを指定します。詳細については、 police および police aggregate ポリシーマップクラスコマンドを参照してください。

• set ：分類されたトラフィックに割り当てる値を指定します。詳細は、 set コマンドを参照してください。

• trust ： class または class-map コマンドで分類されたトラフィックに、信頼状態を定義します。詳細は、 trust コマンドを参照してください。

ポリシーマップコンフィギュレーションモードに戻るには、 exit コマンドを使用します。イネーブル EXEC モードに戻るには、 end コマンドを使用します。

class コマンドは、 class-map グローバルコンフィギュレーションコマンドと同じ機能を実行します。他のポートと共有されていない新しい分類が必要な場合は、 class コマンドを使用します。多数のポート間でマップを共有する場合には、class-map コマンドを使用します。

例

次の例では、 policy1 という名前のポリシーマップを作成する方法を示します。このコマンドが入力方向に適用された場合、 class1 で定義されたすべての着信トラフィックのマッチングを行い、IP Differentiated Services Code Point（DSCP）を 10 に設定してから、平均レート 1 Mbps（メガビット/秒）でトラフィックをポリシングして 20 KB でバーストします。プロファイルを超過したトラフィックは、ポリシングされた DSCP マップから取得した DSCP 値にマークダウンされ、送信されます。

Switch(config)# policy-map policy1

Switch(config-pmap)# class class1

Switch(config-pmap-c)# set dscp 10

Switch(config-pmap-c)# police 1000000 20000 exceed-action policed-dscp-transmit

Switch(config-pmap-c)# exit

設定を確認するには、 show policy-map イネーブル EXEC コマンドを入力します。

class-map

パケットと名前を指定したクラスとの照合に使用するクラスマップを作成し、クラスマップコンフィギュレーションモードを開始するには、スイッチスタックまたはスタンドアロンスイッチ上で class-map グローバルコンフィギュレーションコマンドを使用します。既存のクラスマップを削除し、グローバルコンフィギュレーションモードに戻る場合は、このコマンドの no 形式を使用します。

class-map [ match-all | match-any ] class-map-name

no class-map [ match-all | match-any ] class-map-name

シンタックスの説明

match-all	（任意）このクラスマップ内のすべての一致ステートメントの論理積をとります。クラスマップ内のすべての基準が一致する必要があります。
match-any	（任意）このクラスマップ内の一致ステートメントの論理和をとります。複数の条件が一致する必要があります。
class-map-name	クラスマップ名

デフォルト

クラスマップは定義されていません。

match-all または match-any キーワードがどちらとも指定されない場合、デフォルトは match-all になります。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

クラスマップ一致条件の作成または変更を希望するクラスの名前を指定し、クラスマップコンフィギュレーションモードを開始する場合は、このコマンドを使用します。

ポートごとに適用される、グローバルに名付けられたサービスポリシーの一部としてパケットの分類、マーキング、および集約のポリシングを定義する場合は、 class-map コマンドおよびそのサブコマンドを使用します。

Quality of Service（QoS; サービス品質）クラスマップコンフィギュレーションモードでは、次の設定コマンドを利用できます。

• description ：クラスマップを記述します（最大 200 文字）。 show class-map イネーブル EXEC コマンドは、クラスマップの記述およびクラスマップ名を表示します。

• exit ：QoS クラスマップコンフィギュレーションモードを終了します。

• match ：分類基準を設定します。詳細は、 match（クラスマップコンフィギュレーション） コマンドを参照してください。

• no ：クラスマップから一致ステートメントを削除します。

• rename ：現行のクラスマップ名を変更します。すでに使用されている名前にクラスマップ名を変更すると、 A class-map with this name already exists メッセージが表示されます。

物理ポートベースでパケットの分類を定義するために、クラスマップごとに match コマンドがサポートされています。この場合、 match-all および match-any キーワードは同等です。

1 つのクラスマップで設定できる Access Control List（ACL; アクセス制御リスト）は 1 つだけです。ACL には複数の Access Control Entry（ACE; アクセス制御エントリ）を含めることができます。

例

次の例では、 103 というアクセスリストである 1 つの一致条件を使い、 class1 と呼ばれるクラスマップを設定する方法を示します。

Switch(config)# access-list 103 permit any any dscp 10

Switch(config)# class-map class1

Switch(config-cmap)# match access-group 103

Switch(config-cmap)# exit

次の例では、クラスマップの class1 を削除する方法を示します。

Switch(config)# no class-map class1

設定を確認するには、 show class-map イネーブル EXEC コマンドを入力します。

clear ip arp inspection log

ダイナミック Address Resolution Protocol（ARP; アドレス解決プロトコル）検査のロギングバッファをクリアするには、スイッチスタックまたはスタンドアロンスイッチ上で clear ip arp inspection log イネーブル EXEC コマンドを使用します。

clear ip arp inspection log

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

例

次の例では、ロギングバッファの内容をクリアする方法を示します。

Switch# clear ip arp inspection log

ログがクリアされたことを確認するには、 show ip arp inspection log イネーブル EXEC コマンドを入力します。

clear ip arp inspection statistics

ダイナミック Address Resolution Protocol（ARP; アドレス解決プロトコル）検査の統計情報をクリアするには、スイッチスタックまたはスタンドアロンスイッチ上で clear ip arp inspection statistics イネーブル EXEC コマンドを使用します。

clear ip arp inspection statistics [ vlan vlan-range ]

シンタックスの説明

vlan vlan-range

（任意）指定された VLAN（仮想 LAN）またはすべての VLAN の統計情報をクリアします。

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は、1 ～ 4094 です。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

例

次の例では、VLAN 1 の統計情報をクリアする方法を示します。

Switch# clear ip arp inspection statistics vlan 1

統計情報が削除されたことを確認するには、 show ip arp inspection statistics vlan 1 イネーブル EXEC コマンドを入力します。

clear ip dhcp snooping database

Dynamic Host Configuration Protocol（DHCP）バインディングデータベースエージェントの統計情報をクリアするには、スイッチスタックまたはスタンドアロンスイッチ上で clear ip dhcp snooping database イネーブル EXEC コマンドを使用します。

clear ip dhcp snooping database statistics

このコマンドは、スイッチで IP サービスイメージが稼働している場合に限り使用できます。IP サービスイメージは、以前は Enhanced Multilayer Image（EMI）と呼ばれていました。

シンタックスの説明

statistics

DHCP スヌーピングバインディングデータベースエージェントの統計情報をクリアします。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

clear ip dhcp snooping database statistics コマンドを入力すると、スイッチは、統計情報がクリアされてから、バインディングデータベースおよびバインディングファイルのエントリを更新します。

例

次の例では、DHCP スヌーピングバインディングデータベースエージェントの統計情報をクリアする方法を示します。

Switch# clear ip dhcp snooping database statistics

統計情報がクリアされたことを確認するには、 show ip dhcp snooping database イネーブル EXEC コマンドを入力します。

clear ipc

Interprocess Communication（IPC; プロセス間通信）プロトコルの統計情報をクリアするには、スイッチスタックまたはスタンドアロンスイッチ上で clear ipc イネーブル EXEC コマンドを使用します。

clear ipc { queue-statistics | statistics }

シンタックスの説明

queue-statistics	IPC キュー統計情報をクリアします。
statistics	IPC 統計情報をクリアします。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.2(18)SE	このコマンドが導入されました。

使用上のガイドライン

すべての統計情報をクリアするには、 clear ipc statistics コマンドを使用します。キュー統計情報のみをクリアするには、 clear ipc queue-statistics コマンドを使用します。

例

次の例では、すべての統計情報をクリアする方法を示します。

Switch# clear ipc statistics

次の例では、キュー統計情報のみをクリアする方法を示します。

Switch# clear ipc queue-statistics

統計情報が削除されたかどうかを確認するには、 show ipc rpc または show ipc session イネーブル EXEC コマンドを入力します。

clear l2protocol-tunnel counters

プロトコルトンネルポートのプロトコルカウンタをクリアするには、スイッチスタックまたはスタンドアロンスイッチ上で clear l2protocol-tunnel counters イネーブル EXEC コマンドを使用します。

clear l2protocol-tunnel counters [ interface-id ]

シンタックスの説明

interface-id

（任意）プロトコルカウンタがクリアされるインターフェイス（物理インターフェイスまたはポートチャネル）を指定します。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.2(25)SE	このコマンドが導入されました。

使用上のガイドライン

スイッチまたは指定されたインターフェイス上のプロトコルトンネルカウンタをクリアする場合、このコマンドを使用します。

例

次の例では、インターフェイス上のレイヤ 2 プロトコルトンネルカウンタをクリアする方法を示します。

Switch# clear l2protocol-tunnel counters gigabitethernet0/3

clear lacp

Link Aggregation Control Protocol（LACP）チャネルグループのカウンタをクリアするには、スイッチスタックまたはスタンドアロンスイッチ上で clear lacp イネーブル EXEC コマンドを使用します。

clear lacp { channel-group-number counters | counters }

シンタックスの説明

channel-group-number	（任意）チャネルグループ番号。指定できる範囲は 1 ～ 48 です。
counters	トラフィックのカウンタをクリアします。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(14)EA1	このコマンドが導入されました。
12.2(25)SE	channel -group-number の範囲が、1 ～ 12 から 1 ～ 48 に変更されました。

使用上のガイドライン

clear lacp counters コマンドを使用することで、カウンタをすべてクリアできます。また、指定の
チャネルグループのカウンタのみをクリアする場合には、 clear lacp channel-group-number counters コマンドを使用します。

例

次の例では、すべてのチャネルグループ情報をクリアする方法を示します。

Switch# clear lacp counters

次の例では、グループ 4 の LACP トラフィックのカウンタをクリアする方法を示します。

Switch# clear lacp 4 counters

情報が削除されたかどうかを確認するには、 show lacp counters または show lacp 4 counters イネーブル EXEC コマンドを入力します。

clear mac address-table

指定のダイナミックアドレス、特定のインターフェイス上のすべてのダイナミックアドレス、スタックメンバー上のすべてのダイナミックアドレス、または特定の VLAN（仮想 LAN）上のすべてのダイナミックアドレスを MAC（メディアアクセス制御）アドレステーブルから削除するには、スイッチスタックまたはスタンドアロンスイッチ上で clear mac-address-table イネーブル EXEC コマンドを使用します。このコマンドは MAC アドレス通知グローバルカウンタもクリアします。

clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id ] | notification }

シンタックスの説明

dynamic	すべてのダイナミック MAC アドレスを削除します。
dynamic address mac-addr	（任意）指定されたダイナミック MAC アドレスを削除します。
dynamic interface interface-id	（任意）指定された物理ポートまたはポートチャネル上のすべてのダイナミック MAC アドレスを削除します。
dynamic vlan vlan-id	（任意）指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ～ 4094 です。
notification	履歴テーブルの通知をクリアし、カウンタをリセットします。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(19)EA1	clear mac-address-table コマンド（ハイフンあり）は、 clear mac address-table （ハイフンなし）に変更されました。

例

次の例では、ダイナミックアドレステーブルから特定の MAC アドレスを削除する方法を示します。

Switch# clear mac address-table dynamic address 0008.0070.0007

情報が削除されたかどうかを確認するには、 show mac address-table イネーブル EXEC コマンドを入力します。

clear mac address-table move update

MAC（メディアアクセス制御）アドレステーブルの移行更新関連カウンタをクリアするには、スイッチスタックまたはスタンドアロンスイッチ上で clear mac address-table move update イネーブル EXEC コマンドを使用します。

clear mac address-table move update

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.2(25)SED	このコマンドが導入されました。

例

次の例では、MAC アドレステーブル移行更新関連カウンタをクリアする方法を示します。

Switch# clear mac address-table move update

情報がクリアされたかどうかを確認するには、 show mac address-table move update イネーブル EXEC コマンドを入力します。

clear pagp

Port Aggregation Protocol（PAgP）チャネルグループの情報をクリアするには、スイッチスタックまたはスタンドアロンスイッチ上で clear pagp イネーブル EXEC コマンドを使用します。

clear pagp { channel-group-number counters | counters }

シンタックスの説明

channel- group-number	（任意）チャネルグループ番号。指定できる範囲は 1 ～ 48 です。
counters	トラフィックのカウンタをクリアします。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.2(25)SE	channel -group-number の範囲が、1 ～ 12 から 1 ～ 48 に変更されました。

使用上のガイドライン

clear pagp counters コマンドを使用することで、カウンタをすべてクリアできます。また、指定のチャネルグループのカウンタのみをクリアする場合には、 clear pagp channel-group-number counters コマンドを使用します。

例

次の例では、すべてのチャネルグループ情報をクリアする方法を示します。

Switch# clear pagp counters

次の例では、グループ 10 の PAgP トラフィックのカウンタをクリアする方法を示します。

Switch# clear pagp 10 counters

情報が削除されたかどうかを確認するには、 show pagp イネーブル EXEC コマンドを入力します。

clear port-security

MAC（メディアアクセス制御）アドレステーブルからすべてのセキュアアドレスを削除する、またはスイッチ、インターフェイス上の特定タイプ（設定済み、ダイナミック、スティッキー）のすべてのセキュアアドレスを削除するには、スイッチスタックまたはスタンドアロンスイッチ上で clear port-security イネーブル EXEC コマンドを使用します。

clear port-security { all | configured | dynamic | sticky } [[ address mac-addr | interface interface-id ] [ vlan { vlan-id | { access | voice}}]]

シンタックスの説明

all	すべてのセキュア MAC アドレスを削除します。
configured	設定済みのセキュア MAC アドレスを削除します。
dynamic	ハードウェアで自動学習されたセキュア MAC アドレスを削除します。
sticky	自動学習されたセキュア MAC アドレスまたは設定済みのセキュア MAC アドレスのいずれかを削除します。
address mac-addr	（任意）指定のダイナミックセキュア MAC アドレスを削除します。
interface interface-id	（任意）指定の物理ポートまたは VLAN（仮想 LAN）上のすべてのダイナミックセキュア MAC アドレスを削除します。
vlan	（任意）指定した VLAN から指定したセキュア MAC アドレスを削除します。 vlan キーワードを入力したあとで、次のいずれかのオプションを入力します。 • vlan-id ― トランクポート上で、アドレスを削除する VLAN の VLAN ID を指定します。 • access ― アクセスポート上で、アクセス VLAN 上の指定したセキュア MAC アドレスを削除します。 • voice ― アクセスポート上で、音声 VLAN 上の指定したセキュア MAC アドレスを削除します。（注） voiceキーワードは、ポート上で音声 VLAN が設定されており、そのポートがアクセス VLAN ではない場合にだけ指定できます。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.2(25)SEA	このコマンドが導入されました。
12.2(25)SEB	access および voice キーワードが追加されました。

例

次の例では、MAC アドレステーブルからすべてのセキュアアドレスをクリアする方法を示します。

Switch# clear port-security all

次の例では、MAC アドレステーブルから特定の設定済みセキュアアドレスを削除する方法を示します。

Switch# clear port-security configured address 0008.0070.0007

次の例では、特定のインターフェイス上で学習されたすべてのダイナミックセキュアアドレスを削除する方法を示します。

Switch# clear port-security dynamic interface gigabitethernet1/0/1

次の例では、アドレステーブルからすべてのダイナミックセキュアアドレスを削除する方法を示します。

Switch# clear port-security dynamic

情報が削除されたかどうかを確認するには、 show port-security イネーブル EXEC コマンドを入力します。

clear spanning-tree counters

スパニングツリーのカウンタをクリアするには、スイッチスタックまたはスタンドアロンスイッチ上で clear spanning-tree counters イネーブル EXEC コマンドを使用します。

clear spanning-tree counters [ interface interface-id ]

シンタックスの説明

interface interface-id

（任意）指定のインターフェイス上にあるすべてのスパニングツリーのカウンタをクリアします。有効なインターフェイスは、物理ポート、VLAN（仮想 LAN）、およびポートチャネルです。VLAN の使用範囲は 1 ～ 4094 です。ポートチャネルの使用範囲は 1 ～ 48 です。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(14)EA1	このコマンドが導入されました。

使用上のガイドライン

interface-id が指定されていない場合、すべてのインターフェイス上にあるスパニングツリーのカウンタがクリアされます。

例

次の例では、すべてのインターフェイス上でスパニングツリーのカウンタをクリアする方法を示します。

Switch# clear spanning-tree counters

clear spanning-tree detected-protocols

すべてのインターフェイス、または指定されたインターフェイスでプロトコル移行プロセスを再開する（強制的に近接スイッチと再度ネゴシエートさせる）には、スイッチスタックまたはスタンドアロンスイッチ上で clear spanning-tree detected-protocols イネーブル EXEC コマンドを使用します。

clear spanning-tree detected-protocols [ interface interface-id ]

シンタックスの説明

interface interface-id

（任意）指定されたインターフェイスでプロトコル移行プロセスを再開します。有効なインターフェイスは、物理ポート、VLAN（仮想 LAN）、およびポートチャネルです。VLAN の使用範囲は 1 ～ 4094 です。ポートチャネルの使用範囲は 1 ～ 48 です。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(14)EA1	このコマンドが導入されました。

使用上のガイドライン

Rapid Per-VLAN Spanning-Tree Plus（Rapid-PVST+）プロトコル、または Multiple Spanning-Tree Protocol（MSTP）が動作するスイッチは、組み込みのプロトコル移行機能をサポートしており、IEEE（米国電気電子学会）802.1D のレガシースイッチと相互運用させることができます。Rapid-PVST+ スイッチまたは MSTP スイッチが、プロトコルのバージョンが 0 に設定されているレガシー IEEE 802.1D コンフィギュレーション Bridge Protocol Data Unit（BPDU; ブリッジプロトコルデータユニット）を受信した場合は、そのポート上で IEEE 802.1D BPDU だけを送信します。Multiple Spanning-Tree（MST）スイッチは、レガシー BPDU、別のリージョンに関連付けられた MST BPDU（バージョン 3）、または Rapid Spanning-Tree（RST）BPDU（バージョン 2）を受信したときに、そのポートがリージョンの境界にあることを検知します。

ただし、スイッチは、IEEE 802.1D BPDU を受信しなくなった場合であっても、自動的に Rapid-PVST または MSTP モードに戻りません。これは、レガシースイッチが指定スイッチでなければ、リンクから削除されたかどうかを判断できないためです。この場合、
clear spanning-tree detected-protocols コマンドを使用します。

例

次の例では、特定のポートでプロトコル移行プロセスを再開する方法を示します。

Switch# clear spanning-tree detected-protocols interface gigabitethernet2/0/1

clear vmps statistics

VLAN（仮想 LAN）Query Protocol（VQP）クライアントが保持する統計情報をクリアするには、スイッチスタックまたはスタンドアロンスイッチ上で clear vmps statistics イネーブル EXEC コマンドを使用します。

clear vmps statistics

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

例

次の例では、VLAN Membership Policy Server（VMPS; VLAN メンバーシップポリシーサーバ）統計情報をクリアする方法を示します。

Switch# clear vmps statistics

情報が削除されたかどうかを確認するには、 show vmps statistics イネーブル EXEC コマンドを入力します。

clear vtp counters

VLAN（仮想 LAN）Trunking Protocol（VTP; VLAN トランキングプロトコル）およびプルーニングカウンタをクリアするには、スイッチスタックまたはスタンドアロンスイッチ上で clear vtp counters イネーブル EXEC コマンドを使用します。

clear vtp counters

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

例

次の例では、VTP カウンタをクリアする方法を示します。

Switch# clear vtp counters

情報が削除されたかどうかを確認するには、 show vtp counters イネーブル EXEC コマンドを入力します。

cluster commander-address

このコマンドは、スイッチスタックまたはスタンドアロンクラスタメンバースイッチから入力する必要はありません。クラスタコマンドスイッチは、スイッチがクラスタに加入した場合、MAC（メディアアクセス制御）アドレスをクラスタメンバーのスイッチに自動的に提供します。クラスタメンバースイッチは、この情報および他のクラスタ情報をその実行コンフィギュレーションファイルに追加します。デバッグまたはリカバリ手順の間だけスイッチをクラスタから削除する場合は、クラスタメンバースイッチコンソールポートから、このグローバルコンフィギュレーションコマンドの no 形式を使用します。

cluster commander-address mac-address [ member number name name ]

no cluster commander-address

シンタックスの説明

mac-address	クラスタコマンドスイッチの MAC アドレス
member number	（任意）設定されたクラスタメンバースイッチの番号指定できる範囲は、0 ～ 15 です。
name name	（任意）設定されたクラスタの名前（最大 31 文字）

デフォルト

このスイッチはどのクラスタのメンバーでもありません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドは、クラスタコマンドのスイッチスタックまたはクラスタコマンドスイッチ上でのみ使用できます。

各クラスタメンバーは、クラスタコマンドスイッチを 1 つしか持てません。

クラスタメンバースイッチは、mac-address パラメータによりシステムリロード中にクラスタコマンドスイッチの ID を保持します。

あるクラスタメンバースイッチで no 形式を入力すれば、デバッグまたはリカバリ手順の間そのメンバースイッチをクラスタから削除できます。通常は、メンバーがクラスタコマンドスイッチと通信ができなくなった場合にのみ、クラスタメンバースイッチコンソールポートからこのコマンドを入力します。通常のスイッチ設定では、クラスタコマンドスイッチで no cluster member n グローバルコンフィギュレーションコマンドを入力することによってのみ、クラスタメンバースイッチを削除することを推奨します。

スタンバイクラスタコマンドスイッチがアクティブになった場合（クラスタコマンドスイッチになった場合）、このスイッチは cluster commander-address 行をコンフィギュレーションから削除します。

例

次の例では、実行しているクラスタメンバーの設定から、その出力の一部を示します。

Switch(config)# show running-configuration

（テキスト出力は省略）

cluster commander-address 00e0.9bc0.a500 member 4 name my_cluster

（テキスト出力は省略）

次の例では、クラスタメンバーコンソールでクラスタからメンバーを削除する方法を示します。

Switch # configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# no cluster commander-address

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

cluster discovery hop-count

候補スイッチの拡張検出用にホップカウントの制限を設定するには、スイッチスタックまたはクラスタコマンドスイッチ上で cluster discovery hop-count グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster discovery hop-count number

no cluster discovery hop-count

シンタックスの説明

number

クラスタコマンドスイッチが候補の検出を制限するクラスタエッジからのホップ数。指定できる範囲は、1 ～ 7 です。

デフォルト

ホップカウントは 3 に設定されます。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドが利用できるのは、クラスタコマンドスイッチスタックまたはクラスタコマンドスイッチに限られます。このコマンドは、クラスタメンバースイッチでは機能しません。

ホップカウントが 1 に設定された場合、拡張検出はディセーブルになります。クラスタコマンドスイッチは、クラスタのエッジから 1 ホップの候補だけを検出します。クラスタのエッジとは、最後に検出されたクラスタのメンバースイッチと最初に検出された候補スイッチの間のポイントです。

例

次の例では、ホップカウント制限を 4 に設定する方法を示します。このコマンドは、クラスタコマンドスイッチから実行されます。

Switch(config)# cluster discovery hop-count 4

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

cluster enable

このコマンド対応スイッチをクラスタコマンドスイッチとしてイネーブルにし、クラスタ名を割り当て、任意でメンバー番号を割り当てるには、コマンド対応スイッチまたはスイッチスタック上で cluster enable グローバルコンフィギュレーションコマンドを使用します。すべてのメンバーを削除して、このコマンドスイッチを候補スイッチにする場合は、このコマンドの no 形式を使用します。

cluster enable name [ command-switch-member-number ]

no cluster enable

シンタックスの説明

name	クラスタ名（最大 31 文字）。指定できる文字は、英数字、ダッシュ、および下線のみです。
command-switch-member-number	（任意）クラスタのクラスタコマンドスイッチにメンバー番号を割り当てます。指定できる範囲は、0 ～ 15 です。

デフォルト

このスイッチはクラスタコマンドスイッチではありません。

クラスタ名は定義されていません。

スイッチがクラスタコマンドスイッチである場合、メンバー番号は 0 です。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドは、どのクラスタにも属していない任意のコマンド対応スイッチ上で入力します。装置がすでにクラスタのメンバーとして設定されている場合、コマンドはエラーとなります。

クラスタコマンドスイッチをイネーブルにする場合は、クラスタに名前を付けてください。スイッチがすでにクラスタコマンドスイッチとして設定されており、クラスタ名が以前の名前と異なっている場合、このコマンドでクラスタ名が変更されます。

例

次の例では、クラスタコマンドスイッチをイネーブルにし、クラスタに名前を付け、クラスタコマンドスイッチメンバー番号を 4 に設定する方法を示します。

Switch(config)# cluster enable Engineering-IDF4 4

クラスタコマンドスイッチ上で設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

cluster holdtime

スイッチ（コマンドまたはクラスタメンバースイッチ）が、他のスイッチのハートビートメッセージを受信しなくなってからそのスイッチのダウンを宣言するまでの期間を秒単位で設定するには、スイッチスタックまたはクラスタコマンドスイッチ上で cluster holdtime グローバルコンフィギュレーションコマンドを使用します。期間をデフォルト値に設定する場合は、このコマンドの no 形式を使用します。

cluster holdtime holdtime-in-secs

no cluster holdtime

シンタックスの説明

holdtime-in-secs

スイッチ（コマンドまたはクラスタメンバースイッチ）が、他のスイッチのダウンを宣言するまでの期間（秒）。指定できる範囲は 1 ～ 300 秒です。

デフォルト

デフォルトのホールド時間は 80 秒です。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

クラスタコマンドスイッチ上でのみ、このコマンドと cluster timer グローバルコンフィギュレーションコマンドを入力してください。設定がクラスタ内のすべてのスイッチ間で一貫性を持つよう、クラスタコマンドスイッチはこの値をそのすべてのクラスタメンバーに伝播します。

ホールド時間は、通常インターバルタイマー（ クラスタタイマー ）の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、ホールド時間をインターバルで除算した値（いずれも単位は秒）の回数分、ハートビートメッセージが連続して脱落します。

例

次の例では、クラスタコマンドスイッチでインターバルタイマーおよび期間を変更する方法を示します。

Switch(config)# cluster timer 3

Switch(config)# cluster holdtime 30

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

cluster member

クラスタに候補を追加するには、クラスタコマンドスイッチ上で cluster member グローバルコンフィギュレーションコマンドを使用します。メンバーをクラスタから削除する場合は、このコマンドの no 形式を使用します。

cluster member [ n ] mac-address H.H.H [ password enable-password ] [ vlan vlan-id ]

no cluster member n

シンタックスの説明

n	クラスタメンバーを識別する番号。指定できる範囲は、0 ～ 15 です。
mac-address H.H.H	クラスタメンバースイッチの MAC（メディアアクセス制御）アドレス（16 進数）
password enable-password	候補スイッチのパスワードをイネーブルにします。候補スイッチにパスワードがない場合、パスワードは必要ありません。
vlan vlan-id	（任意）クラスタコマンドスイッチが候補をクラスタに追加するときに使用する VLAN（仮想 LAN）ID。指定できる範囲は、1 ～ 4094 です。

デフォルト

新しくイネーブルになったクラスタコマンドスイッチには、関連するクラスタメンバーはありません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドは、候補をクラスタに追加したり、メンバーをクラスタから削除したりする場合にクラスタコマンドスイッチでのみ入力できます。このコマンドをクラスタコマンドスイッチ以外のスイッチで入力すると、スイッチはコマンドを拒否し、エラーメッセージを表示します。

スイッチをクラスタから削除する場合はメンバー番号を入力してください。ただし、スイッチをクラスタに追加する場合には、メンバー番号を入力する必要はありません。クラスタコマンドスイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。

候補スイッチがクラスタに加入した場合には、認証を行うためにそのスイッチのイネーブルパスワードを入力してください。パスワードは、実行コンフィギュレーションまたはスタートアップコンフィギュレーションには保存されません。候補スイッチがクラスタのメンバーになったあと、そのパスワードはクラスタコマンドスイッチパスワードと同じになります。

スイッチが、設定されたホスト名を持たない場合、クラスタコマンドスイッチは、メンバー番号をクラスタコマンドスイッチホスト名に追加し、これをクラスタメンバースイッチに割り当てます。

VLAN を指定していない場合、クラスタコマンドスイッチは自動的に VLAN を選択し、候補をクラスタに追加します。

例

次の例では、スイッチをメンバー 2、MAC アドレス 00E0.1E00.2222、パスワード key としてクラスタに追加する方法を示しています。クラスタコマンドスイッチは、VLAN 3 を経由して候補をクラスタに追加します。

Switch(config)# cluster member 2 mac-address 00E0.1E00.2222 password key vlan 3

次の例では、MAC アドレス 00E0.1E00.3333 のスイッチをクラスタに追加する方法を示します。このスイッチにはパスワードはありません。クラスタコマンドスイッチは、次に利用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。

Switch(config)# cluster member mac-address 00E0.1E00.3333

設定を確認するには、クラスタコマンドスイッチで show cluster members イネーブル EXEC コマンドを入力します。

cluster outside-interface

クラスタの Network Address Translation（NAT; ネットワークアドレス変換）の外部インターフェイスを設定し、IP アドレスのないメンバーがクラスタの外部にある装置と通信できるようにするには、スイッチスタックまたはクラスタコマンドスイッチ上で cluster outside-interface グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster outside-interface interface-id

no cluster outside-interface

シンタックスの説明

interface-id

外部インターフェイスとして機能するインターフェイス。有効なインターフェイスとしては、物理インターフェイス、ポートチャネル、または VLAN（仮想 LAN）があります。ポートチャネルに指定できる範囲は 1 ～ 48 です。指定できる VLAN 範囲は 1 ～ 4094 です。

デフォルト

デフォルトの外部インターフェイスは、クラスタコマンドスイッチによって自動的に選択されます。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドは、クラスタコマンドスイッチ上でのみ入力できます。クラスタメンバースイッチでコマンドを入力すると、エラーメッセージが表示されます。

例

次の例では、VLAN 1 に外部インターフェイスを設定する方法を示します。

Switch(config)# cluster outside-interface vlan 1

設定を確認するには、 show running-config イネーブル EXEC コマンドを入力します。

cluster run

スイッチ上でクラスタリングをイネーブルにするには、 cluster run グローバルコンフィギュレーションコマンドを使用します。スイッチ上でクラスタリングをディセーブルにする場合は、このコマンドの no 形式を使用します。

cluster run

no cluster run

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

すべてのスイッチでクラスタリングがイネーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

クラスタコマンドスイッチまたはクラスタコマンドスイッチのスタック上で no cluster run コマンドを入力すると、クラスタコマンドスイッチはディセーブルになります。クラスタリングはディセーブルになり、スイッチは候補スイッチになることができません。

クラスタメンバースイッチで no cluster run コマンドを入力すると、このメンバースイッチはクラスタから削除されます。クラスタリングはディセーブルになり、スイッチは候補スイッチになることができません。

クラスタに属していないスイッチで no cluster run コマンドを入力すると、クラスタリングはそのスイッチ上でディセーブルになります。このスイッチは候補スイッチになることができません。

例

次の例では、クラスタコマンドスイッチでクラスタリングをディセーブルにする方法を示します。

Switch(config)# no cluster run

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

cluster standby-group

既存の Hot Standby Router Protocol（HSRP）にクラスタをバインドすることにより、クラスタコマンドスイッチの冗長性をイネーブルにするには、 cluster standby-group グローバルコンフィギュレーションコマンドを使用します。routing-redundancy キーワードを入力することで、同一の HSRP グループが、クラスタコマンドスイッチの冗長性およびルーティングの冗長性に対して使用できるようになります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster standby-grou p HSRP-group-name [ routing-redundancy ]

no cluster standby-group

シンタックスの説明

HSRP-group-name	クラスタにバインドされる HSRP グループの名前。グループ名の文字数は最大 32 文字です。
routing-redundancy	（任意）同一の HSRP スタンバイグループをイネーブルにし、クラスタコマンドスイッチの冗長性およびルーティングの冗長性に対して使用します。

デフォルト

クラスタは、どの HSRP グループにもバインドされません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドは、クラスタコマンドスイッチ上でのみ入力できます。クラスタメンバースイッチでこれを入力すると、エラーメッセージが表示されます。

クラスタコマンドスイッチは、クラスタ HSRP バインディング情報をすべてのクラスタ HSRP 対応メンバーに伝播します。各クラスタメンバースイッチはバインディング情報を NVRAM（不揮発性 RAM）に保存します。HSRP グループ名は、有効なスタンバイグループでなければなりません。有効なスタンバイグループでない場合、エラーが発生してコマンドが終了します。

クラスタにバインドする HSRP スタンバイグループのすべてのメンバーに同じグループ名を使用する必要があります。バインドされる HSRP グループのすべてのクラスタ HSRP 対応メンバーに同じ HSRP グループ名を使用してください（クラスタを HSRP グループにバインドしない場合には、クラスタのコマンドスイッチおよびメンバーに異なった名前を使用できます）。

例

次の例では、 my_hsrp という名前の HSRP グループをクラスタにバインドする方法を示します。このコマンドは、クラスタコマンドスイッチ上から実行します。

Switch(config)# cluster standby-group my_hsrp

次の例では、ルーティングの冗長性およびクラスタの冗長性に対して my_hsrp という名前の HSRP グループを使用する方法を示します。

Switch(config)# cluster standby-group my_hsrp routing-redundancy

次の例では、このコマンドがクラスタコマンドスイッチから実行され、指定された HSRP スタンバイグループが存在しない場合のエラーメッセージを示します。

Switch(config)# cluster standby-group my_hsrp

%ERROR: Standby (my_hsrp) group does not exist

次の例では、このコマンドがクラスタメンバースイッチで実行された場合のエラーメッセージを示します。

Switch(config)# cluster standby-group my_hsrp routing-redundancy

%ERROR: This command runs on a cluster command switch

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。クラスタ内の冗長性がイネーブルになっているかどうかは出力から確認できます。

cluster timer

ハートビートメッセージの間隔を秒単位で設定するには、スイッチスタックまたはクラスタコマンドスイッチ上で cluster timer グローバルコンフィギュレーションコマンドを使用します。間隔をデフォルト値に設定する場合は、このコマンドの no 形式を使用します。

cluster timer interval-in-secs

no cluster timer

シンタックスの説明

interval-in-secs

ハートビートメッセージ間の間隔（秒）。指定できる範囲は 1 ～ 300 秒です。

デフォルト

8 秒間隔です。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドと cluster holdtime グローバルコンフィギュレーションコマンドは、クラスタコマンドスイッチ上でのみ入力してください。設定がクラスタ内のすべてのスイッチ間で一貫性を持つよう、クラスタコマンドスイッチはこの値をそのすべてのクラスタメンバーに伝播します。

ホールド時間は通常ハートビートインターバルタイマー（ クラスタタイマー ）の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、ホールド時間をインターバルで除算した値（いずれも単位は秒）の回数分、ハートビートメッセージが連続して脱落します。

例

次の例では、クラスタコマンドスイッチでハートビートインターバルタイマーおよび期間を変更する方法を示します。

Switch(config)# cluster timer 3

Switch(config)# cluster holdtime 30

設定を確認するには、 show cluster イネーブル EXEC コマンドを入力します。

define interface-range

インターフェイスレンジマクロを作成するには、スイッチスタックまたはスタンドアロンスイッチ上で define interface-range グローバルコンフィギュレーションコマンドを使用します。定義されたマクロを削除する場合は、このコマンドの no 形式を使用します。

define interface-range macro-name interface-range

no define interface-range macro-name interface-range

シンタックスの説明

macro-name	インターフェイスレンジマクロの名前（最大 32 文字）
interface-range	インターフェイス範囲。インターフェイス範囲の有効値については、「使用上の注意事項」を参照してください。

デフォルト

このコマンドにはデフォルト設定がありません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

マクロ名は、最大 32 文字の文字列です。

マクロには、最大 5 つの範囲を含めることができます。

ある範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファストイーサネットポート、すべてがギガビットイーサネットポート、すべてが EtherChannel ポート、またはすべてが VLAN（仮想 LAN）のいずれかでなければなりません。ただし、マクロ内では複数のインターフェイスタイプを組み合わせることができます。

interface-range を入力する場合は、次のフォーマットを使用します。

• type { first-interface } - { last-interface }

• interface-range を入力するときは、最初のインターフェイス番号とハイフンの間にスペースを入れます。たとえば、 gigabitethernet 1/0/1 - 2 ならば範囲は指定されますが、 gigabit ethernet 1/0/1-2 では指定されません。

type および interface の有効値は次のとおりです。

• vlan vlan-id - vlan-ID （VLAN ID の範囲は 1 ～ 4094）

VLAN インターフェイスは、 interface vlan コマンドで設定してください（ show running-config イネーブル EXEC コマンドは、設定された VLAN インターフェイスを表示します）。 show running-config コマンドで表示されない VLAN インターフェイスは、 interface-range では使用できません。

• port-channel port-channel-number （ port-channel-number の範囲は 1 ～ 48）

• fastethernet stack member/module/{ first port } - { last port }

• gigabitethernet stack member/module/{ first port } - { last port }

物理インターフェイスの場合

• stack member は、スタック内のスイッチ識別に使用する番号です。番号に指定できる範囲は 1 ～ 9 で、スタックメンバーの最初の初期化の際に、スイッチに割り当てられます。

• module は常に 0 です。

• 使用可能範囲は、type stack member /0/number - number です（例：gigabitethernet 1/0/1 - 2）。

範囲を定義するときは、ハイフン（-）の前にスペースが必要です。次に例を示します。

gigabitethernet1/0/1 - 2

複数の範囲を入力することもできます。複数の範囲を定義するときは、カンマ（,）の前の最初のエントリのあとにスペースが必要です。カンマのあとのスペースは任意になります。次に例を示します。

fastethernet1/0/3, gigabitethernet1/0/1 - 2

fastethernet1/0/3 -4, gigabitethernet1/0/1 - 2

例

次の例では、複数のインターフェイスマクロを作成する方法を示します。

Switch(config)# define interface-range macro1 fastethernet1/0/1 - 2, gigabitethernet1/0/1 - 2

delete

フラッシュメモリデバイス上のファイルまたはディレクトリを削除するには、スイッチスタックまたはスタンドアロンスイッチ上で delete イネーブル EXEC コマンドを使用します。

delete [ /force ] [/ recursive ] filesystem :/ file-url

シンタックスの説明

/force	（任意）削除を確認するプロンプトを抑制します。
/recursive	（任意）指定されたディレクトリおよびそのディレクトリに含まれるすべてのサブディレクトリおよびファイルを削除します。
filesystem :	フラッシュファイルシステムのエイリアスです。スタックメンバーまたはマスターのスタック上のローカルフラッシュファイルシステムの構文 flash: スタックマスターから、スタックメンバー上のローカルフラッシュファイルシステムの構文 flash member number :
/ file-url	削除するパス（ディレクトリ）およびファイル名

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

/force キーワードを使用すると、削除プロセスにおいて削除の確認を要求するプロンプトが、最初の 1 回のみとなります。

/force キーワードを指定せずに /recursive キーワードを使用すると、ファイルごとに削除の確認を要求するプロンプトが表示されます。

プロンプト動作は、 file prompt グローバルコンフィギュレーションコマンドの設定によって異なります。デフォルトでは、スイッチは、ファイルを破壊する操作に対して確認のプロンプトを表示します。このコマンドの詳細については、『 Cisco IOS Command Reference 』Release 12.1 を参照してください。

例

次の例では、新しいイメージのダウンロードが正常に終了したあとに、古いソフトウェアイメージを含むディレクトリを削除する方法を示します。

Switch# delete/force/recursive flash:/old-image

ディレクトリが削除されたかどうかを確認するには、 dir filesystem : イネーブル EXEC コマンドを入力します。

deny（ARP アクセスリストコンフィギュレーション）

Dynamic Host Configuration Protocol（DHCP）バインディングとの照合に基づく Address Resolution Protocol（ARP; アドレス解決プロトコル）パケットを拒否するには、スイッチスタックまたはスタンドアロンスイッチ上で、 deny ARP アクセスリストコンフィギュレーションコマンドを使用します。アクセスリストから指定された Access Control Entry（ACE; アクセス制御エントリ）を削除する場合は、このコマンドの no 形式を使用します。

deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

no deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

シンタックスの説明

request	（任意）ARP 要求の一致条件を定義します。request が指定されない場合、照合はすべての ARP パケットに対して実行されます。
ip	送信側の IP アドレスを指定します。
any	任意の IP または MAC（メディアアクセス制御）アドレスを拒否します。
host sender-ip	指定された送信側の IP アドレスを拒否します。
sender-ip sender-ip-mask	指定された送信側の IP アドレスの範囲を拒否します。
mac	送信側の MAC アドレスを拒否します。
host sender-mac	特定の送信側の MAC アドレスを拒否します。
sender-mac sender-mac-mask	指定された送信側の MAC アドレスの範囲を拒否します。
response ip	ARP 応答の IP アドレス値を定義します。
host target-ip	指定されたターゲット IP アドレスを拒否します。
target-ip target-ip-mask	指定されたターゲット IP アドレスの範囲を拒否します。
mac	ARP 応答の MAC アドレス値を拒否します。
host target-mac	指定されたターゲット MAC アドレスを拒否します。
target-mac target-mac-mask	指定されたターゲット MAC アドレスの範囲を拒否します。
log	（任意）ACE に一致するパケットをロギングします。

デフォルト

デフォルト設定はありません。ただし、ARP アクセスリストの最後に、暗黙的な deny ip any mac any コマンドがあります。

コマンドモード

ARP アクセスリストコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

一致条件に基づいて ARP パケットを廃棄するのに、拒否コマンドを追加できます。

例

次の例では、ARP アクセスリストを定義し、IP アドレス 1.1.1.1 および MAC アドレス
0000.0000.abcd: を使用して、ホストからの ARP 要求および ARP 応答の両方を拒否する方法を示します。

Switch(config)# arp access-list static-hosts

Switch(config-arp-nacl)# deny ip host 1.1.1.1 mac host 0000.0000.abcd

Switch(config-arp-nacl)# end

設定を確認するには、 show arp access-list イネーブル EXEC コマンドを入力します。

deny（IPv6 アクセスリストコンフィギュレーション）

IPv6 アクセスリストの拒否条件を設定するには、IPv6 アクセスリストコンフィギュレーションモードを開始し、スイッチスタックまたはスタンドアロンスイッチ上で deny コマンドを使用します。拒否条件を削除する場合は、このコマンドの no 形式を使用します。

deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

no deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

Internet Gontrol Message Protocol

deny icmp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ icmp-type [ icmp-code ] | icmp-message ] [ dscp value ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

Transmission Control Protocol

deny tcp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ ack ] [ dscp value ] [ established ] [ fin ] [ log ] [ log-input ] [ neq { port | protocol }] [ psh ] [ range { port | protocol }] [ rst ] [ sequence value ] [ syn ] [ time-range name ] [ urg ]

User Datagram Protocol

deny udp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ log ] [ log-input ] [ neq { port | protocol }] [ range { port | protocol }] [ sequence value ] [ time-range name ]

（注）このコマンドは、スイッチスタックで拡張 IP サービスイメージが動作していて、スイッチにデュアル IPv4 および IPv6 Switch Database Management（SDM）テンプレートが設定されている場合のみ利用できます。

シンタックスの説明

protocol	インターネットプロトコルの名前または番号。ここには、 ahp 、 esp 、 icmp 、 ipv6 、 pcp 、 sctp 、 tcp 、 udp のいずれかのキーワード、または IPv6 のプロトコル番号を示す 0 ～ 255 の数字を指定できます。
source-ipv6-prefix / prefix-length	拒否条件の設定対象となる送信元 IPv6 ネットワークまたはネットワーククラスこの引数はコロン間に 16 ビット値を使用して、アドレスが 16 進数で指定されている、RFC 2373 に記載されている形式である必要があります。（注） CLI のヘルプにはプレフィクスの長さの範囲として/0 ～/128 が表示されますが、スイッチでサポートされる IPv6 アドレスマッチングは、プレフィクスの長さ範囲/0 ～/64 と、集約グローバルユニキャストおよびリンクローカルホストアドレスの場合、Extended Universal Identifier（EUI）ベースの/128 のプレフィクスのみです。
any	IPv6 プレフィクス ::/0 の略称。
host source-ipv6-address	拒否条件の設定対象となる送信元 IPv6 ホストアドレスこの source-ipv6-address 引数はコロン間に 16 ビット値を使用して、アドレスが 16 進数で指定されている、RFC 2373 に記載されている形式である必要があります。
operator [ port-number ]	（任意）指定したプロトコルの送信元および宛先ポートを比較する演算子を指定します。演算子は、 lt （未満）、 gt （より大きい）、 eq （等しい）、 neq （等しくない）、 range （包含範囲）が使用できます。演算子を source-ipv6-prefix / prefix-length 引数の後に指定した場合、送信元ポートと一致する必要があります。演算子を destination-ipv6-prefix/prefix-length 引数の後に指定した場合、宛先ポートと一致する必要があります。 range 演算子には、ポート番号を 2 個指定する必要があります。これ以外の演算子には、ポート番号を 1 個指定します。オプションの port-number 引数には、10 進数の数字、あるいは TCP または UDP ポートの名前を指定します。指定できるポート番号の範囲は、0 ～ 65535 です。TCP のポート名は、TCP をフィルタリングする場合のみ使用できます。UDP のポート名は、UDP をフィルタリングする場合のみ使用できます。
destination-ipv6-prefix / prefix-length	拒否条件の設定対象となる宛先 IPv6 ネットワークまたはネットワーククラスこの引数はコロン間に 16 ビット値を使用して、アドレスが 16 進数で指定されている、RFC 2373 に記載されている形式である必要があります。（注） CLI のヘルプにはプレフィクスの長さの範囲として/0 ～/128 が表示されますが、スイッチでサポートされる IPv6 アドレスマッチングは、プレフィクスの長さ範囲/0 ～/64 と、集約グローバルユニキャストおよびリンクローカルホストアドレスの場合、EUI ベースの/128 のプレフィクスのみです。
host destination-ipv6-address	拒否条件の設定対象となる宛先 IPv6 ホストアドレスこの destination-ipv6-address 引数はコロン間に 16 ビット値を使用して、アドレスが 16 進数で指定されている、RFC 2373 に記載されている形式である必要があります。
dscp value	（任意）区別されるサービスコードポイント値を、各 IPv6 パケットヘッダーのトラフィッククラスフィールドのトラフィッククラス値と比較します。許容される範囲は 0 ～ 63 です。
fragments	（任意）フラグメント拡張ヘッダーに 0 でないフラグメントオフセットが設定されている非初期フラグメントパケットを一致させます。 fragments キーワードは、プロトコルが ipv6 で、 operator [ port-number ] 引数が指定されていない場合のみ使用できます。
log	（任意）コンソールに、エントリに一致するパケットに関する情報ロギングメッセージを送信します（コンソールに送信されるメッセージのレベルは、 logging console コマンドで制御できます）。メッセージには、アクセスリスト名、一連の番号、パケットが拒否されたかどうか、プロトコルがTCP、UDP、ICMP または数値のいずれであるか、該当する場合、送信元アドレスと宛先アドレス、送信元ポート番号と宛先ポート番号が含まれます。メッセージは、一致した最初のパケットに対して生成され、5 分間隔で、前の 5 分間に拒否されたパケットの数が追加されます。（注）ポート ACL については、ロギングはサポートされません。
log-input	（任意）機能は log キーワードと同じですが、ロギングメッセージに受信インターフェイスも含まれます。
sequence value	（任意）アクセスリストステートメントの一連の番号を指定します。許容される範囲は 1 ～ 4294967295 です。
time-range name	（任意）拒否ステートメントに適用する時間範囲を指定します。時間範囲の名前と制限事項を指定するには、それぞれ time-range コマンドと、 absolute または periodic コマンドを使用します。
icmp-type	（任意）ICMP パケットをフィルタリングするための ICMP メッセージタイプを指定します。ICMP パケットは、ICMP メッセージタイプによってフィルタリングできます。指定できるタイプの範囲は 0 ～ 255 です。
icmp-code	（任意）ICMP パケットをフィルタリングするための ICMP コードを指定します。ICMP メッセージタイプでフィルタリングされる ICMP パケットは、ICMP メッセージコードによってもフィルタリングできます。指定できるコードの範囲は 0 ～ 255 です。
icmp-message	（任意）ICMP パケットをフィルタリングするための ICMP メッセージ名を指定します。ICMP パケットは、ICMP メッセージタイプおよびコードのほか、ICMP メッセージ名によってもフィルタリングできます。使用できる名前については、「Usage Guidelines」セクションを参照してください。
ack	（任意）TCP プロトコルでのみ使用できます。Acknowledgment（ACK）ビットを設定します。
established	（任意）TCP プロトコルでのみ使用できます。接続が確立されていることを示します。TCP データグラムに ACK または RST ビットが設定されている場合に比較が行われます。接続を確立するための初期 TCP データグラムのケースでは、比較は行われません。
fin	（任意）TCP プロトコルでのみ使用できます。Fin ビットを設定します。送信元からそれ以上データは送信されません。
neq { port \| protocol }	（任意）所定のポート番号以外のパケットのみを一致させます。
psh	（任意）TCP プロトコルでのみ使用できます。Push function ビットを設定します。
range { port \| protocol }	（任意）ポート番号の範囲内にあるパケットのみを一致させます。
rst	（任意）TCP プロトコルでのみ使用できます。Reset ビットを設定します。
syn	（任意）TCP プロトコルでのみ使用できます。Synchronize ビットを設定します。
urg	（任意）TCP プロトコルでのみ使用できます。Urgent pointer ビットを設定します。

（注） flow-label、routing、および undetermined-transport キーワードは、コマンドラインのヘルプストリングには表示されますが、サポートされていません。

デフォルト

IPv6 アクセスリストは定義されていません。

コマンドモード

IPv6 アクセスリストコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(25)SED	このコマンドが導入されました。

使用上のガイドライン

deny （IPv6 アクセスリストコンフィギュレーションモード) コマンドは deny （IPv4 アクセスリストコンフィギュレーションモード）コマンドと同じですが、IPv6専用です。

IPv6 アクセスリストコンフィギュレーションモードを開始してパケットのアクセスリスト通過条件を定義するには、 ipv6 access-list コマンドのあとに deny （IPv6）コマンドを使用します。

protocol 引数に IPv6 を指定すると、パケットの IPv6 ヘッダーとの比較が行われます。

デフォルトでは、アクセスリストの最初のステートメントは数値 10 で、それ以後のステートメントは 10 ずつ加算されます。

既存のリストに permit 、 deny 、または remark ステートメントを追加することができ、リスト全体を入力しなおす必要はありません。リストの最後以外の任意の場所に新しくステートメントを追加するには、2 つの既存エントリ番号の間のエントリ番号によって属する場所を示し、新しいステートメントを作成します。

（注） IPv6 ACL には、最後の一致条件として、暗黙的な permit icmp any any nd-na、permit icmp any any nd-ns、および deny ipv6 any any ステートメントが設定されています。2 つの permit 条件により、ICMPv6 ネイバの検出が可能になります。ICMPv6 のネイバの検出を無効にして、 icmp any any nd-na または icmp any any nd-ns を拒否するには、ACL に明示的な deny エントリを設定する必要があります。暗黙的な deny ipv6 any any ステートメントを有効にするには、IPv6 ACL に少なくとも 1 個のエントリが設定されていなければなりません。

IPv6 ネイバの検出プロセスには、IPv6 ネットワークレイヤサービスが使用されます。そのため、デフォルトでは、IPv6 ACL はインターフェイス上での IPv6 ネイバ検出パケットの送受信を暗黙的に有効にします。IPv4 では、IPv6 ネイバ検出プロセスと同等の Address Resolution Protocol（ARP; アドレス解決プロトコル）で専用のデータリンクレイヤプロトコルが使用されます。そのため、デフォルトでは、Ipv4 ACL はインターフェイス上での ARP パケットの送受信を暗黙的に有効にします。

source-ipv6-prefix / prefix-length 引数と destination-ipv6-prefix / prefix-length 引数は、トラフィックフィルタリングに使用されます（送信元プレフィクスはトラフィック送信元に基づいてトラフィックのフィルタリングを行い、宛先プレフィクスはトラフィック宛先に基づいてトラフィックのフィルタリングを行います）。

スイッチでサポートされているのは、/0 ～/64 のプレフィクス、集約グローバルユニキャストおよびリンクローカルホストアドレスの場合は EUI ベースの/128 のプレフィクスです。

fragments キーワードは、プロトコルが ipv6 で、 operator [ port-number ] 引数が指定されていない場合のみ使用できます。

次に、ICMP メッセージ名の一覧を示します。

beyond-scope	destination-unreachable
echo-reply	echo-request
header	hop-limit
mld-query	mld-reduction
mld-report	nd-na
nd-ns	next-header
no-admin	no-route
packet-too-big	parameter-option
parameter-problem	port-unreachable
reassembly-timeout	renum-command
renum-result	renum-seq-number
router-advertisement	router-renumbering
router-solicitation	time-exceeded
unreachable

例

次の例では、CISCO という名前の IPv6 アクセスリストを設定し、アクセスリストをレイヤ 3 インターフェイスの発信トラフィックに適用します。リストの最初の拒否エントリにより、宛先 TCP ポート番号が 5000 より大きいパケットがインターフェイスから発信されなくなります。リストの 2 番めの拒否エントリにより、送信元 UDP ポート番号が 5000 未満のパケットがインターフェイスから発信されなくなります。また、2 番めの拒否エントリは、一致項目をコンソールに記録します。リストの最初の許可エントリにより、インターフェイスでの ICMP パケットの発信が許可されます。リストの 2 番めの許可エントリにより、インターフェイスでのその他のトラフィックの発信が許可されます。2 番めの許可エントリが必要となるのは、IPv6 アクセスリストの最後に暗黙的な deny-all 条件が存在するためです。

Switch(config)# ipv6 access-list CISCO

Switch(config-ipv6-acl)# deny tcp any any gt 5000

Switch config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log

Switch(config-ipv6-acl)# permit icmp any any

Switch(config-ipv6-acl)# permit any any

Switch(config-ipv6-acl)# exit

Switch(config)# interface gigabitethernet1/0/3

Switch(config-if)# no switchport

Switch(config-if)# ipv6 address 2001::/64 eui-64

Switch(config-if)# ipv6 traffic-filter CISCO out

deny（MAC アクセスリストコンフィギュレーション）

条件が一致した場合に、非 IP トラフィックの転送を回避するには、スイッチスタックまたはスタンドアロンスイッチ上で deny MAC（メディアアクセス制御）アクセスリストコンフィギュレーションコマンドを使用します。名前付き MAC アクセスリストから拒否条件を削除する場合は、このコマンドの no 形式を使用します。

{ deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask |mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

no { deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

シンタックスの説明

any	あらゆる送信元または宛先 MAC アドレスを拒否するために指定するキーワード
host src MAC-addr \| src-MAC-addr mask	ホスト MAC アドレスおよびオプションのサブネットマスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。
host dst-MAC-addr \| dst-MAC-addr mask	宛先 MAC アドレスおよびオプションのサブネットマスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。
type mask	（任意）Ethernet II または Subnetwork Access Protocol（SNAP）のカプセル化でパケットの Ethertype 番号を使用し、パケットのプロトコルを識別します。指定できる type の範囲は 0 ～ 65535 です（16 進数）。 mask は、一致テストの前に Ethertype に適用される don’t care （無視）ビットのマスクです。
aarp	（任意）データリンクアドレスをネットワークアドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を選択します。
amber	（任意）EtherType Digital Equipment Corporation（DEC）-Amber を選択します。
cos cos	（任意）0 ～ 7 の Class of Service（CoS; サービスクラス）番号を選択し、プライオリティを設定します。CoS のフィルタリングはハードウェア内でのみ実行可能です。 cos オプションが設定されると、警告メッセージが表示されます。
dec-spanning	（任意）EtherType DEC スパニングツリーを選択します。
decnet-iv	（任意）EtherType DECnet Phase IV プロトコルを選択します。
diagnostic	（任意）EtherType DEC-Diagnostic を選択します。
dsm	（任意）EtherType DEC-DSM を選択します。
etype-6000	（任意）EtherType 0x6000 を選択します。
etype-8042	（任意）EtherType 0x8042 を選択します。
lat	（任意）EtherType DEC-LAT を選択します。
lavc-sca	（任意）EtherType DEC-LAVC-SCA を選択します。
lsap lsap-number mask	（任意）802.2 のカプセル化でパケットの LSAP 番号（0 ～ 65535）を使用し、パケットのプロトコルを識別します。 mask は、一致テストの前に LSAP 番号に適用される don’t care ビットのマスクです。
mop-console	（任意）EtherType DEC-MOP Remote Console を選択します。
mop-dump	（任意）EtherType DEC-MOP Dump を選択します。
msdos	（任意）EtherType DEC-MSDOS を選択します。
mumps	（任意）EtherType DEC-MUMPS を選択します。
netbios	（任意）EtherType DEC-Network Basic Input/Output System（NETBIOS）を選択します。
vines-echo	（任意）Banyan Systems による EtherType Virtual Integrated Network Service（VINES）を選択します。
vines-ip	（任意）EtherType VINES IP を選択します。
xns-idp	（任意）10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems（XNS）プロトコルスイート（0 ～ 65535）を選択します。

（注） appletalk は、コマンドラインのヘルプストリングには表示されますが、一致条件としてサポートされていません。

Internetwork Packet Exchange（IPX）トラフィックをフィルタリングする場合、使用される IPX のカプセル化タイプに応じて、 type mask または lsap lsap mask キーワードを使用します。Novell 専門用語および Cisco IOS 専門用語で指定の IPX のカプセル化タイプのフィルタ条件は、表2-4 にリストされています。

表2-4 IPX のフィルタリング条件
IPX のカプセル化タイプ		フィルタ条件
Cisco IOS 名	Novell 名	フィルタ条件
arpa	Ethernet II	Ethertype 0x8137
snap	Ethernet-snap	Ethertype 0x8137
sap	Ethernet 802.2	LSAP 0xE0E0
novell-ether	Ethernet 802.3	LSAP 0xFFFF

デフォルト

このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL（アクセス制御リスト）のデフォルトアクションは拒否します。

コマンドモード

MAC アクセスリストコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

mac access-list extended グローバルコンフィギュレーションコマンドを使用して、MAC アクセスリストコンフィギュレーションモードを開始します。

host キーワードを使用した場合、アドレスマスクを入力できません。 host キーワードを使用しない場合は、アドレスマスクを入力する必要があります。

Access Control Entry（ACE; アクセス制御エントリ）が ACL に追加された場合、リストの最後には暗黙の deny - any - any 条件が存在します。すなわち、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

名前付き MAC 拡張アクセスリストに関する詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドを参照してください。

例

次の例では、あらゆる送信元から MAC アドレス 00c0.00a0.03fa へ送信される、NETBIOS トラフィックを拒否するための名前付き MAC 拡張アクセスリストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。

Switch(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.

次の例では、名前付き MAC 拡張アクセスリストから拒否条件を削除する方法を示します。

Switch(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.

次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。

Switch(config-ext-macl)# deny any any 0x4321 0

設定を確認するには、 show access-lists イネーブル EXEC コマンドを入力します。

dot1x

IEEE（米国電気電子学会）802.1x をグローバルにイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x { system-auth-control } | { guest-vlan supplicant }

no dot1x { system-auth-control } | { guest-vlan supplicant }

シンタックスの説明

system-auth-control	スイッチ上で IEEE 802.1x をグローバルにイネーブルにします。
guest-vlan supplicant	スイッチ上で、任意のゲスト VLAN（仮想 LAN）の動作をグローバルにイネーブルにします。

デフォルト

IEEE 802.1x はディセーブルです。任意のゲスト VLAN の動作はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(14)EA1	このコマンドが導入されました。
12.2(25)SE	guest-vlan supplicant キーワードが追加されました。

使用上のガイドライン

IEEE 802.1x をグローバルにイネーブルにする前に、Authentication, Authorization, Accounting（AAA; 認証、許可、アカウンティング）をイネーブルにし、認証方式のリストを指定する必要があります。方式リストには、ユーザを認証するために使用する順番と認証方式が記載されています。

スイッチ上で IEEE 802.1x をグローバルにイネーブルにする前に、IEEE 802.1x および EtherChannel を設定するインターフェイスから EtherChannel の設定を削除しておく必要があります。

使用している装置で、IEEE 802.1x 認証のための Cisco Access Control Server（ACS）アプリケーションと、EAP-Transparent LAN Services（TLS; 透過型 LAN サービス）および EAP-MD5 が動作していて、使用しているスイッチで Cisco IOS Release 12.1(14)EA1 が稼働している場合、その装置では ACS Version 3.2.1 以降が稼動していることを確認してください。

スイッチ上で任意の IEEE 802.1x のゲスト VLAN 動作をグローバルにイネーブルにするには、 guest-vlan supplicant キーワードを使用します。詳細は、 dot1x guest-vlan コマンドを参照してください。

例

次の例では、スイッチ上で IEEE 802.1x をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control

次の例では、スイッチ上で任意のゲスト VLAN 動作をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x guest-vlan supplicant

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x auth-fail max-attempts

ポートが制限 VLAN に移行するまでに許容可能な最大認証試行回数を設定するには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x auth-fail max-attempts インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x auth-fail max-attempts max-attempts

no dot1x auth-fail max-attempts

シンタックスの説明

max-attempts

ポートが制限 VLAN に移行するまでに許容可能な最大認証試行回数を指定します。指定できる範囲は 1 ～ 3 です。デフォルト値は 3 です。

デフォルト

デフォルト値は 3 です。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(25)SED	このコマンドが導入されました。

使用上のガイドライン

VLAN で許容される最大認証試行回数を設定した場合、変更内容が反映されるのは、再認証タイマーが時間切れになったあとです。

例

次の例では、ポート 3 が制限 VLAN に移行するまでに許容可能な最大認証試行回数として 2 を設定する方法を示します。

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface gigabitethernet1/0/3

Switch(config-if)# dot1x auth-fail max-attempts 2

Switch(config-if)# end

Switch(config)# end

Switch#

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x auth-fail vlan

ポートで制限 VLAN をイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x auth-fail vlan インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x auth-fail vlan vlan-id

no dot1x auth-fail vlan vlan-id

シンタックスの説明

vlan-id

1 ～ 4094 の範囲で VLAN を指定します。

デフォルト

制限 VLAN は設定されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(25)SED	このコマンドが導入されました。

使用上のガイドライン

次のように設定されたポート上で制限 VLAN を設定できます。

• シングルホスト（デフォルト）モード

• 自動認証モード

再認証をイネーブルにする必要があります。再認証がディセーブルになっていると、制限 VLAN のポートは再認証要求を受信しません。再認証プロセスを開始するには、制限 VLAN が、ポートからリンクダウンイベントまたは Extensible Authentication Protocol（EAP）ログオフイベントを受信する必要があります。ホストがハブ経由で接続されている場合、ホストが切断されてもポートでリンクダウンイベントが受信されないことがあり、その結果、次の再認証試行が行われるまで新しいホストが検出できないことがあります。

サプリカントが認証に失敗すると、ポートは制限 VLAN に移行し、EAP success メッセージがサプリカントに送信されます。サプリカントは実際の認証失敗を通知されないため、この制限されたネットワークアクセスに混乱が生じることがあります。EAP success メッセージは、次の理由で送信されます。

• EAP success メッセージが送信されないと、サプリカントは EAP-start メッセージを送信し、60 秒（デフォルト）ごとに認証を試みます。

• EAP success メッセージを受信するまで DHCP を実装できないホスト（Windows XP が動作する装置など）もあります。

サプリカントは、認証サーバから EAP success メッセージを受信したあと、正しくないユーザ名とパスワードの組み合わせをキャッシュし、再認証時にその情報を再使用することがあります。サプリカントが正しいユーザ名とパスワードの組み合わせを送信するまで、ポートは制限 VLAN の状態のままになります。

レイヤ 3 ポートに使用される内部 VLAN は、制限 VLAN として設定できません。

1 つの VLAN を、制限 VLAN と音声 VLAN の両方として設定することはできません。このような設定をした場合、シスログメッセージが生成されます。

制限 VLAN ポートが無許可ステートに移行すると、認証プロセスが再開されます。サプリカントが認証プロセスに再度失敗すると、認証サーバは保持ステートで待ちます。サプリカントが正しく再認証されると、IEEE 802.1x ポートは再初期化され、正常な IEEE 802.1x ポートとして扱われます。

制限 VLAN を別の VLAN として設定しなおすと、制限 VLAN 内のポートも変更され、ポートは現在の許可ステートを保持します。

シャットダウンすると、または VLAN データベースから制限 VLAN を削除すると、制限 VLAN 内のポートはただちに無許可ステートに移行し、認証プロセスが再開されます。制限 VLAN 設定がまだ存在しているため、認証サーバは保持ステートになりません。制限 VLAN がアクティブでない間も、制限 VLAN がアクティブになったときにポートがただちに制限 VLAN になるように、認証試行はカウントされます。

制限 VLAN は、シングルホストモード（デフォルトのポートモード）でのみサポートされます。このため、ポートが制限 VLAN になると、サプリカントの MAC アドレスが MAC アドレステーブルに追加され、ポートに到達するそれ以外の MAC アドレスはセキュリティ違反として扱われます。

例

次の例では、ポート 1 に制限 VLAN を設定する方法を示します。

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface gigabitethernet1/0/1

Switch(config-if)# dot1x auth-fail vlan 40

Switch(config-if)# end

Switch(config)# end

Switch#

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x control-direction

ポート制御を単一方向制御または双方向制御に変更するには、 dot1x control-direction インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x control-direction { in | both }

no dot1x control-direction { in | both }

シンタックスの説明

in	ポート上の単一方向制御をイネーブルにします。
both	ポート上の双方向制御をイネーブルにします。

デフォルト

ポートは双方向モードに設定されます。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(25)SEC	このコマンドが導入されました。

使用上のガイドライン

キーワード both を使用した場合と、このコマンドの no 形式を使用した場合とでは、同じコマンドになります。

キーワード both およびこのコマンドの no 形式を使用すると、ポートのデフォルト設定は双方向に変更されます。

例

次の例では、単一方向制御をイネーブルにする方法を示します。

Switch(config-if)# dot1x control-direction in

次の例では、双方向制御をイネーブルにする方法を示します。

Switch(config-if)# dot1x control-direction both

Switch(config-if)# no dot1x control-direction

設定を確認するには、 show dot1x all イネーブル EXEC コマンドを入力します。

show dot1x all イネーブル EXEC コマンドの出力結果は、ポート名とポートのステートをのぞき、すべてのスイッチで同じです。ポートに未認証のホストが設定されている場合、次の内容に似た画面が表示されます。

Supplicant MAC 0002.b39a.9275

AuthSM State = CONNECTING

BendSM State = IDLE

PortStatus = UNAUTHORIZED

単一方向制御をイネーブルにするために dot1x control-direction in インターフェイスコンフィギュレーションコマンドを入力すると、 show dot1x all コマンドの出力は次のようになります。

ControlDirection = In

dot1x control-direction in インターフェイスコンフィギュレーションコマンドを入力してもコンフィギュレーションが競合するためにポートがこのモードに対応できない場合は、 show dot1x all コマンドの出力は次のようになります。

ControlDirection = In (Disabled due to port settings)

dot1x critical

アクセス不能認証バイパス機能をイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x critical インターフェイスコンフィギュレーションコマンドを使用します。機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

dot1x critical

no dot1x critical

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

アクセス不能認証バイパス機能はディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(25)SED	このコマンドが導入されました。

使用上のガイドライン

この機能は、単一ホストモードの IEEE 802.1x ポート上でのみサポートされます。ポートをクリティカルポートとして設定しようとすると、またはホストモードを複数ホストモードに変更すると、次のメッセージが表示されます。

%Command rejected:Critical ports are only allowed in single-host mode

クライアントで Windows XP が動作していて、クライアントが接続されるクリティカルポートがクリティカル認証ステートである場合、Windows XP により、インターフェイスが認証されない旨のレポートが作成されることがあります。

Windows XP クライアントが DHCP 用に設定されていて、DHCP サーバで生成される IP アドレスを使用している場合、クリティカルポートで EAP-Success メッセージを受信しても DHCP 設定プロセスが再開されないことがあります。

IEEE 802.1x ポートで、アクセス不能認証バイパス機能と制限付き VLAN を設定できます。スイッチが制限付き VLAN でクリティカルポートの再認証を試行し、RADIUS サーバがすべて使用できない場合、ポートの状態はクリティカル認証ステートに移行し、ポートは制限付き VLAN のままとなります。

同一のスイッチポート上で、アクセス不能バイパス機能とポートセキュリティの両方を設定できます。

例

次の例では、ポート 1 上でアクセス不能認証バイパス機能をイネーブルにする方法を示します。

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface gigabitethernet1/0/1

Switch(config-if)# dot1x critical

Switch(config-if)# end

Switch(config)# end

Switch#

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x default

IEEE（米国電気電子学会）802.1x パラメータをデフォルト値にリセットするには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x default インターフェイスコンフィギュレーションコマンドを使用します。

dot1x default

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルト値は次のとおりです。

• ポートごとの IEEE 802.1x プロトコルのイネーブルステートはディセーブルです（強制認証）。

• 再認証の試行間隔の秒数は 3600 秒です。

• 定期的な再認証はディセーブルです。

• 待機時間は 60 秒です。

• 再伝送時間は 30 秒です。

• 最大再伝送回数は 2 回です。

• ホストモードはシングルホストです。

• クライアントのタイムアウト時間は 30 秒です。

• 認証サーバのタイムアウト時間は 30 秒です。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(14)EA1	コマンドはインターフェイスコンフィギュレーションモードに変更されました。

例

次の例では、ポート上の IEEE 802.1x パラメータをリセットする方法を示します。

Switch(config-if)# dot1x default

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x guest-vlan

アクティブな VLAN（仮想 LAN）を IEEE 802.1x のゲスト VLAN として指定するには、スイッチスタックまたはスタンドアロンスイッチ上で、 dot1x guest-vlan インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x guest-vlan vlan-id

no dot1x guest-vlan

シンタックスの説明

vlan-id

アクティブな VLAN を IEEE 802.1x のゲスト VLAN として指定します。指定できる範囲は、1 ～ 4094 です。

デフォルト

ゲスト VLAN は設定されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(14)EA1	このコマンドが導入されました。
12.2(25)SE	このコマンドは修正され、デフォルトのゲスト VLAN 動作を変更しました。
12.2(25)SEC	使用上の注意事項が変更されました。

使用上のガイドライン

次のいずれかのスイッチポートでゲスト VLAN を設定できます。

• 非プライベート VLAN に属するスタティックアクセスポート。

• セカンダリプライベート VLAN に属するプライベート VLAN ポート。スイッチポートに接続する全ホストは、端末状態が正しく妥当性評価されたかどうかにかかわらず、プライベート VLAN に割り当てられます。スイッチは、スイッチ上のプライマリおよびセカンダリプライベート VLAN アソシエーションを使用して、プライマリプライベート VLAN を決定します。

IEEE 802.1x が動作していないクライアント（スイッチに接続されたデバイスまたはワークステーション）に制限されたサービスを提供するよう、スイッチ上の IEEE 802.1x ポートごとにゲスト VLAN を設定できます。ユーザは、IEEE 802.1x 認証用に自分のシステムをアップグレードできます。Windows 98 システムなどの一部のホストでは、IEEE 802.1x 対応でない場合があります。

IEEE 802.1x ポート上でゲスト VLAN をイネーブルにする場合で、Extensible Authentication Protocol over LAN（EAPOL）-Request/Identity フレームへの応答を受信しない場合、または EAPOL パケットがクライアントによって送信されない場合、スイッチはクライアントをゲスト VLAN に割り当てます。

Cisco IOS Release 12.2(25)SE より前では、スイッチは EAPOL パケット履歴を保持せず、インターフェイス上で EAPOL パケットが削除されたかどうかに関係なく、ゲスト VLAN への認証アクセスに失敗したクライアントを許可していました。この任意の動作をイネーブルにするには、 dot1x guest-vlan supplicant グローバルコンフィギュレーションコマンドを使用します。

Cisco IOS Release 12.2(25)SE 以降では、スイッチは EAPOL パケット履歴を保持します。リンクの存続時間の間にインターフェイス上で別の EAPOL パケットが検出された場合、ゲスト VLAN 機能はディセーブルになります。ポートがすでにゲスト VLAN ステートになっている場合、ポートは無許可ステートになり、認証プロセスが再開されます。EAPOL 履歴はリンクが切断されるとリセットされます。

この動作をイネーブルにするには、 dot1x guest-vlan supplicant グローバルコンフィギュレーションコマンドを入力します。

スイッチポートがゲスト VLAN に移行されると、IEEE 802.1x 非対応のクライアントのアクセスがいくつでも許可されます。IEEE 802.1x 対応のクライアントが、ゲスト VLAN が設定された同じポートに加入する場合、ポートはユーザ設定されたアクセス VLAN の無許可ステートになり、認証が再開されます。

ゲスト VLAN は、単一ホストモードまたは複数ホストモードの IEEE 802.1x ポート上でサポートされます。

Remote Switched Port Analyzer（RSPAN）VLAN、プライマリプライベート VLAN、または音声 VLAN 以外、アクティブなすべての VLAN は、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN の機能は、内部 VLAN（ルーテッドポート）またはトランクポート上ではサポートされません。サポートされるのはアクセスポートのみです。

Dynamic Host Configuration Protocol（DHCP）クライアントが接続された IEEE 802.1x ポートにゲスト VLAN を設定したあと、DHCP サーバからホスト IP アドレスを取得する必要がある場合があります。クライアントの DHCP プロセスがタイムアウトして DHCP サーバからホスト IP アドレスを取得しようとする前に、スイッチの IEEE 802.1x 認証プロセスを再始動するために設定を変更することもできます。IEEE 802.1x 認証プロセスの設定値を小さくします（ dot1x timeout quiet-period および dot1x timeout tx-period インターフェイスコンフィギュレーションコマンド）。設定値を小さくする度合は、接続されている IEEE 802.1x クライアントのタイプによって異なります。

例

次の例では、VLAN 5 を IEEE 802.1x のゲスト VLAN として指定する方法を示します。

Switch(config-if)# dot1x guest-vlan 5

次の例では、スイッチの待機時間として 3、EAP-Request/Identity フレームに対するクライアントからの応答をスイッチが待機する（要求の再送を待機する）秒数として 15 を設定し、IEEE 802.1x ポートが DHCP クライアントに接続されたときに VLAN 2 をゲスト VLAN としてイネーブルにする方法を示します。

Switch(config-if)# dot1x timeout quiet-period 3

Switch(config-if)# dot1x timeout tx-period 15

Switch(config-if)# dot1x guest-vlan 2

次の例では、任意のゲスト VLAN 動作をイネーブルにし、VLAN 5 を IEEE 802.1x のゲスト VLAN として指定する方法を示します。

Switch(config)# dot1x guest-vlan supplicant

Switch(config)# interface gigabitethernet2/0/1

Switch(config-if)# dot1x guest-vlan 5

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x host-mode

dot1x port-control インターフェイスコンフィギュレーションコマンドを auto に設定された IEEE 802.1x 許可ポート上で、単一のホスト（クライアント）または複数のホストに設定するには、スイッチスタックまたはスタンドアロンスイッチ上で、 dot1x host-mode インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x host-mode { multi-host | single-host }

no dot1x host-mode [ multi-host | single-host ]

シンタックスの説明

multi-host	スイッチ上で複数のホストをイネーブルにします。
single-host	スイッチ上で単一のホストをイネーブルにします。

デフォルト

デフォルト設定は、シングルホストモードです。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(14)EA1	このコマンドが導入されました。 dot1x multiple-hosts インターフェイスコンフィギュレーションコマンドはこのコマンドに変更されました。

使用上のガイドライン

IEEE 802.1x 対応のポートを単一のクライアントに制限する場合、または IEEE 802.1x 対応ポートに複数のクライアントを適用する場合にこのコマンドを使用します。マルチホストのモードでは、接続されたホストのうち 1 つが許可されれば、すべてのホストのネットワークアクセスも許可されます。ポートが無許可ステートになった場合（再認証が失敗した場合、または Extensible Authentication Protocol over LAN[EAPOL]-Logoff メッセージを受信した場合）には、接続されたすべてのクライアントがネットワークアクセスを拒否されます。

このコマンドを入力する前に、指定したポート上で dot1x port-control インターフェイスコンフィギュレーションコマンドが auto に設定されていることを確認してください。

例

次の例では、IEEE 802.1x をグローバルにイネーブルにする方法、1 つのポート上で IEEE 802.1x をイネーブルにする方法、およびマルチホストモードをイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control

Switch(config)# interface gigabitethernet2/0/1

Switch(config-if)# dot1x port-control auto

Switch(config-if)# dot1x host-mode multi-host

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x initialize

ポート上で新しく認証セッションを初期化する前に、指定の IEEE 802.1x 対応ポートを、手動で無許可ステートに戻すには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x initialize イネーブル EXEC コマンドを使用します。

dot1x initialize interface interface-id

シンタックスの説明

interface interface-id

ポートが初期化されます。

デフォルト

デフォルト設定はありません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(14)EA1	このコマンドが導入されました。

使用上のガイドライン

このコマンドを使用し、IEEE 802.1x の状態にあるマシンを初期化することで、認証環境を新規に設定します。このコマンドを入力したあと、ポートのステータスは無許可になります。

このコマンドに no 形式はありません。

例

次の例では、ポートを手動で初期化する方法を示します。

Switch# dot1x initialize interface gigabitethernet2/0/2

無許可のポートの状態を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x max-reauth-req

ポートが無許可ステートに変わるまでに、スイッチが認証プロセスを再始動する上限回数を設定するには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x max-reauth-req インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max -reauth -req count

no dot1x max -reauth -req

シンタックスの説明

count

ポートが無許可ステートに変わるまでに、スイッチが認証プロセスを再始動する回数。指定できる範囲は、0 ～ 10 です。

デフォルト

デフォルトは 2 回です。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(18)SE	このコマンドが導入されました。
12.2(25)SEC	count の範囲が変更されました。

使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

例

次の例では、ポートが無許可ステートに変わるまでにスイッチが認証プロセスを再始動する回数として 4 を設定する方法を示します。

Switch(config-if)# dot1x max-reauth-req 4

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x max-req

スイッチが認証プロセスを再始動する前に、Extensible Authentication Protocol（EAP）フレームを認証サーバからクライアントに送信する最大回数を設定するには（応答を受信しないことが前提）、スイッチスタックまたはスタンドアロンスイッチ上で dot1x max-req インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max-req count

no dot1x max-req

シンタックスの説明

count

スイッチが、認証プロセスを再始動する前に、EAPフレームを認証サーバから再送信する回数。指定できる範囲は、1～ 10 です。

デフォルト

デフォルトは 2 回です。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(14)EA1	コマンドはインターフェイスコンフィギュレーションモードに変更されました。

使用上のガイドライン

例

次の例では、スイッチが、認証プロセスを再始動する前に EAP フレームを認証サーバからクライアントに送信する回数として 5 を設定する方法を示します。

Switch(config-if)# dot1x max-req 5

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x multiple-hosts

このコマンドは現在使用されていません。

過去のリリースで、dot1x multiple-hosts インターフェイスコンフィギュレーションコマンドは、スイッチスタックまたはスタンドアロンスイッチ上で、IEEE（米国電気電子学会）802.1x の許可ポートで複数のホスト（クライアント）を設定するために使用されました。

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(14)EA1	dot1x multiple-hosts インターフェイスコンフィギュレーションコマンドはdot1x host-mode インターフェイスコンフィギュレーションコマンドに変更されました。

dot1x port-control

ポートの許可ステートを手動で制御するには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x port-control インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x port-control { auto | force-authorized | force-unauthorized }

no dot1x port-control

シンタックスの説明

auto	ポート上で IEEE（米国電気電子学会）802.1x 認証をイネーブルにし、スイッチおよびクライアント間の IEEE 802.1x 認証交換に基づきポートを許可または無許可ステートに移行させます。
force-authorized	ポート上で IEEE 802.1x 認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに移行させます。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。
force-unauthorized	クライアントからの認証試行をすべて無視し、ポートを強制的に無許可ステートに移行させることによって、このポート経由のすべてのアクセスを拒否します。スイッチはポートを通してクライアントに認証サービスを提供できません。

デフォルト

デフォルトの設定は force-authorized です。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

特定のポート上で IEEE 802.1x をイネーブルにする前に、 dot1x system-auth-control グローバルコンフィギュレーションコマンドを使用し、スイッチ上の IEEE 802.1x をグローバルにイネーブルにする必要があります。

IEEE 802.1x プロトコルは、レイヤ 2 のスタティックアクセスポート、音声 VLAN（仮想 LAN）のポート、およびレイヤ 3 のルーテッドポート上でサポートされます。

ポートが、次のポートの 1 つとして設定されていない場合に auto キーワードを使用できます。

• トランクポート ― トランクポートで IEEE 802.1x をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートをトランクに変更しようとしても、エラーメッセージが表示され、ポートモードは変更されません。

• ダイナミックポート ― ダイナミックモードのポートは、ネイバとトランクポートへの変更をネゴシエートする場合があります。ダイナミックポートで IEEE 802.1x をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミックに変更しようとしても、エラーメッセージが表示され、ポートモードは変更されません。

• ダイナミックアクセスポート ― ダイナミックアクセス（VLAN［仮想 LAN］ Query Protocol [VQP]）ポートで IEEE 802.1x をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラーメッセージが表示され、VLAN 設定は変更されません。

• EtherChannel ポート ― IEEE 802.1x のポートとしてアクティブまたはまだアクティブになっていない EtherChannel のメンバーであるポートを設定することは避けてください。EtherChannel ポートで IEEE 802.1x をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x はイネーブルになりません。

• Switched Port Analyzer（SPAN; スイッチドポートアナライザ）および Remote SPAN（RSPAN）の宛先ポート ― SPAN または RSPAN の宛先ポート上の IEEE 802.1x をイネーブルにできます。ただし、SPAN または RSPAN の宛先としてポートが削除されないかぎり、IEEE 802.1x はディセーブルです。SPAN または RSPAN 送信元ポートでは IEEE 802.1x をイネーブルにできます。

スイッチ上で、IEEE 802.1x をグローバルにディセーブルにする場合、 no dot1x system-auth-control グローバルコンフィギュレーションコマンドを使用します。特定のポート上で、IEEE 802.1x をディセーブルにする場合、 no dot1x port-control インターフェイスコンフィギュレーションコマンドを使用します。

例

次の例では、ポートで IEEE 802.1x をイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet2/0/1

Switch(config-if)# dot1x port-control auto

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x re-authenticate

指定の IEEE（米国電気電子学会）802.1x 対応ポートの再認証を手動で開始するには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x re-authenticate イネーブル EXEC コマンドを使用します。

dot1x re-authenticate interface interface-id

シンタックスの説明

interface interface-id

再認証するインターフェイスのスタックスイッチ番号、モジュール、およびポート番号

デフォルト

デフォルト設定はありません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このコマンドを使用すれば、再認証試行（re-authperiod）および自動再認証の間に設定した秒数を待たずにクライアントを再認証できます。

例

次の例では、ポートに接続された装置を手動で再認証する方法を示します。

Switch# dot1x re-authenticate interface gigabitethernet2/0/1

dot1x re-authentication

このコマンドは現在使用されていません。

過去のリリースで、 dot1x re-authentication グローバルコンフィギュレーションコマンドは、スイッチスタックまたはスタンドアロンスイッチ上で、定期的な再認証の試行間隔を設定するために使用されました。

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(14)EA1	dot1x re-authentication グローバルコンフィギュレーションコマンドは、 dot1x reauthentication インターフェイスコンフィギュレーションコマンドに変更されました。

dot1x reauthentication

定期的なクライアントの再認証をイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x reauthentication インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x reauthentication

no dot1x reauthentication

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

定期的な再認証はディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(14)EA1	このコマンドが導入されました。 dot1x re-authentication グローバルコンフィギュレーションコマンド（ハイフン付き）がこのコマンドに変更されました。

使用上のガイドライン

dot1x timeout reauth-period インターフェイスコンフィギュレーションコマンドを使用して、定期的に再認証を行う間隔を設定します。

例

次の例では、クライアントの定期的な再認証をディセーブルにする方法を示します。

Switch(config-if)# no dot1x reauthentication

次の例では、定期的な再認証をイネーブルにし、再認証の試行間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication

Switch(config-if)# dot1x timeout reauth-period 4000

設定を確認するには、 show dot1x [ interface interface-id ] イネーブル EXEC コマンドを入力します。

dot1x timeout

IEEE（米国電気電子学会）802.1x のタイマーを設定するには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x timeout インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x timeout { quiet-period seconds | reauth-period { seconds | server } | server-timeout seconds | supp-timeout seconds | tx-period seconds }

no dot1x timeout { quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }

シンタックスの説明

quiet-period seconds	スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数。指定できる範囲は、1 ～ 65535 です。
reauth-period { seconds \| server }	再認証の試行間隔（秒）を指定します。キーワードの意味は次のとおりです。 • seconds ― 1 ～ 65535 の間で秒数を指定します。デフォルトは 3600 秒です。 • server ― Session-Timeout RADIUS 属性の値を秒数で指定します（Attribute[27]）。
server-timeout seconds	認証サーバに対して、スイッチのパケット再送信を待機する秒数。指定できる範囲は、30 ～ 65535 です。
supp-timeout seconds	IEEE 802.1x クライアントに対して、スイッチのパケット再送信を待機する秒数。指定できる範囲は、30 ～ 65535 です。
tx-period seconds	スイッチが Extensible Authentication Protocol（EAP）-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数。指定できる範囲は、5 ～ 65535 です。

デフォルト

デフォルトの設定は次のとおりです。

reauth-period は 3600 秒です。

quiet-period は 60 秒です。

tx-period は 5 秒です。

supp-timeout は 30 秒です。

server-timeout は 30 秒です。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(14)EA1	supp-timeout および server-timeout キーワードが追加され、コマンドがインターフェイスコンフィギュレーションモードに変更されました。
12.2(18)SE	server-timeout キーワード、 supp-timeout キーワード、および tx-period キーワードの範囲が変更されました。
12.2(25)SEC	tx-period キーワードの指定範囲が変更され、 reauth-period server キーワードが追加されました。

使用上のガイドライン

dot1x reauthentication インターフェイスコンフィギュレーションコマンドを使用して定期的な再認証をイネーブルにした場合にのみ、 dot1x timeout reauth-period インターフェイスコンフィギュレーションコマンドが、スイッチの動作に影響します。

待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

例

次の例では、定期的な再認証をイネーブルにし、再認証の試行間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication

Switch(config-if)# dot1x timeout reauth-period 4000

次の例では、定期的な再認証をイネーブルにし、Session-Timeout RADIUS 属性の値を再認証の試行間隔の秒数で設定する方法を示します。

Switch(config-if)# dot1x reauthentication

Switch(config-if)# dot1x timeout reauth-period server

次の例では、スイッチの待機時間を 30 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout quiet-period 30

次の例では、スイッチから認証サーバへの再送信時間を 45 秒に設定する方法を示します。

Switch(config)# dot1x timeout server-timeout 45

次の例では、EAP Request フレームに対してスイッチからクライアントへの再送信時間を 45 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout supp-timeout 45

次の例では、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout tx-period 60

設定を確認するには、 show dot1x イネーブル EXEC コマンドを入力します。

duplex

ポートの動作のデュプレックスモードを指定するには、スイッチスタックまたはスタンドアロンスイッチ上で duplex インターフェイスコンフィギュレーションコマンドを使用します。ポートをデフォルト値に戻すには、このコマンドの no 形式を使用します。

duplex { auto | full | half }

no duplex

シンタックスの説明

auto	自動によるデュプレックス設定をイネーブルにします（接続されたデバイスモードにより、ポートが自動的に全二重モードか半二重モードかを判断します）。
full	全二重モードをイネーブルにします。
half	半二重モードをイネーブルにします（10 Mbps［メガビット/秒］または 100 Mbps で動作しているインターフェイスのみ）。1000 Mbps または 10000 Mbps で動作しているインターフェイスについては、半二重モードを設定することはできません。

デフォルト

ファストイーサネットおよびギガビットイーサネットポートの場合、デフォルトは auto です。

100 BASE- x SFP モジュールの場合、デフォルトは full です（- x は、-BX、-FX、-FX-FE、および -LX）。

1000 BASE- x SFP モジュールでは、デュプレックスオプションはサポートされていません（- x は、-BX、-CWDM、-LX、-SX、および -ZX）。

スイッチでサポートされる SFP モジュールの詳細については、製品のリリースノートを参照してください。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(20)SE	100BASE-FX MMF SFP モジュールに half キーワードへのサポートが追加されました。

使用上のガイドライン

このコマンドは、10 ギガビットイーサネットインターフェイスでは使用できません。

ファストイーサネットポートでは、接続された装置がデュプレックスパラメータをオートネゴシエートしない場合にポートを auto に設定すると、 half を指定するのと同じ効果があります。

ギガビットイーサネットポートでは、接続された装置がデュプレックスパラメータをオートネゴシエートしない場合にポートを auto に設定すると、 full を指定するのと同じ効果があります。

（注）デュプレックスモードが auto で、接続された装置が半二重で動作している場合、半二重モードはギガビットイーサネットインターフェイス上でサポートされます。ただし、これらのインターフェイスが半二重モードで動作するようには設定できません。

一部のポートは、全二重または半二重に設定できます。このコマンドの適用可能性は、スイッチが接続されている装置によって異なります。

回線の両端が自動ネゴシエーションをサポートしている場合、デフォルトの自動ネゴシエーションを使用することを強く推奨します。片方のインターフェイスが自動ネゴシエーションをサポートし、もう片方がサポートしていない場合、両方のインターフェイス上でデュプレックスと速度を設定し、サポートされている側で auto の設定を使用してください。

速度が auto に設定されている場合、スイッチはリンクの反対にある終端の装置と速度設定についてネゴシエートし、速度をネゴシエートされた値に強制的に設定します。デュプレックス設定はリンクの両端での設定が引き継がれますが、これにより、デュプレックス設定に矛盾が生じることがあります。

Cisco IOS Release 12.2(20)SE1 から、速度が auto に設定されている場合にデュプレックス設定を設定できます。

注意インターフェイスの速度およびデュプレックスモードの設定を変更することで、再設定の間、インターフェイスのシャットダウンとインターフェイスの再イネーブル化が発生する場合があります。

スイッチの速度およびデュプレックスのパラメータの設定に関する注意事項は、このリリースに対応するソフトウェアコンフィギュレーションガイドの「Configuring Interface Characteristics」の章を参照してください。

例

次の例では、全二重で動作するようインターフェイスを設定する方法を示します。

Switch(config)# interface gigabitethernet1/0/1

Switch(config-if)# duplex full

設定を確認するには、 show interfaces イネーブル EXEC コマンドを入力します。

errdisable detect cause

特定の原因、またはすべての原因に対して、errdisable 検出をイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で errdisable detect cause グローバルコンフィギュレーションコマンドを使用します。errdisable 検出の機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

errdisable detect cause { all | arp-inspection | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap }

no errdisable detect cause { all | arp-inspection | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | pagp-flap }

シンタックスの説明

all	すべての errdisable の原因に対して、エラー検出をイネーブルにします。
arp-inspection	ダイナミック Address Resolution Protocol（ARP; アドレス解決プロトコル）検査のエラー検出をイネーブルにします。
dhcp-rate-limit	Dynamic Host Configuration Protocol（DHCP）スヌーピングのエラー検出をイネーブルにします。
dtp-flap	Dynamic Trunking Protocol（DTP）フラップのエラー検出をイネーブルにします。
gbic-invalid	無効な GBIC（ギガビットインターフェイスコンバータ）モジュールのエラー検出をイネーブルにします。（注） Catalyst 3750 スイッチ上では、このエラーは無効な Small Form-Factor Pluggable（SFP）モジュールを指します。
l2ptguard	レイヤ 2 プロトコルトンネル errdisable の原因に対して、エラー検出をイネーブルにします。
link-flap	リンクステートのフラップに対して、エラー検出をイネーブルにします。
loopback	検出されたループバックに対して、エラー検出をイネーブルにします。
pagp-flap	Port Aggregation Protocol（PAgP）フラップ errdisable の原因に対してエラー検出をイネーブルにします。

コマンドのデフォルト設定

検出はすべての原因に対してイネーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(14)EA1	loopback キーワードが追加されました。
12.1(19)EA1	dhcp-rate-limit キーワードが追加されました。
12.2(20)SE	arp-inspection キーワードが追加されました。
12.2(25)SE	l2ptguard キーワードが追加されました。

使用上のガイドライン

原因（ all や dhcp-rate-limit など）とは、errdisable ステートが発生した理由です。原因がインターフェイス上で検出された場合、インターフェイスは errdisable ステートとなり、リンクダウンステートに類似した動作ステートとなります。

この原因に対して、 errdisable recovery グローバルコンフィギュレーションコマンドを入力し、原因の回復メカニズムを設定した場合、インターフェイスは errdisable ステートから抜け出し、すべての原因がタイムアウトになったときに動作を再開できるようになります。回復メカニズムを設定していない場合、 shutdown および no shutdown コマンドを入力し、errdisable ステートから手動でインターフェイスを回復する必要があります。

例

次の例では、リンクフラップ errdisable の原因に対する errdisable 検出をイネーブルにする方法を示します。

Switch(config)# errdisable detect cause link-flap

設定を確認するには、 show errdisable detect イネーブル EXEC コマンドを入力します。

errdisable recovery

回復メカニズムの変数を設定するには、スイッチスタックまたはスタンドアロンスイッチ上で、 errdisable recovery グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | udld | vmps } | { interval interval }

no errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | udld | vmps } | { interval interval }

シンタックスの説明

cause	errdisable メカニズムをイネーブルにして、特定の原因から回復します。
all	すべての errdisable の原因から回復するタイマーをイネーブルにします。
bpduguard	Bridge Protocol Data Unit（BPDU; ブリッジプロトコルデータユニット）ガード errdisable ステートから回復するタイマーをイネーブルにします。
arp-inspection	Address Resolution Protocol（ARP; アドレス解決プロトコル）検査 errdisable ステートから回復するタイマーをイネーブルにします。
channel-misconfig	EtherChannel 設定不良 errdisable ステートから回復するタイマーをイネーブルにします。
dhcp-rate-limit	Dynamic Host Configuration Protocol（DHCP）スヌーピング errdisable ステートから回復するタイマーをイネーブルにします。
dtp-flap	Dynamic Trunking Protocol（DTP; ダイナミックトランキングプロトコル）フラップ errdisable ステートから回復するタイマーをイネーブルにします。
gbic-invalid	無効な GBIC（ギガビットインターフェイスコンバータ）モジュール errdisable ステートから回復するタイマーをイネーブルにします。（注） Catalyst 3750 スイッチ上では、このエラーは無効な Small Form-Factor Pluggable（SFP）errdisable ステートを指します。
l2ptguard	レイヤ 2 プロトコルトンネル errdisable ステートから回復するタイマーをイネーブルにします。
link-flap	リンクフラップ errdisable ステートから回復するタイマーをイネーブルにします。
loopback	ループバック errdisable ステートから回復するタイマーをイネーブルにします。
pagp-flap	Port Aggregation Protocol（PAgP）フラップ errdisable ステートから回復するタイマーをイネーブルにします。
psecure-violation	ポートセキュリティ違反ディセーブルステートから回復するタイマーをイネーブルにします。
security-violation	IEEE（米国電気電子学会）802.1x の違反ディセーブルステートから回復するタイマーをイネーブルにします。
udld	Unidirectional Link Detection（UDLD; 単一方向リンク検出）errdisable ステートから回復するタイマーをイネーブルにします。
vmps	VLAN（仮想 LAN）Membership Policy Server（VMPS; VLAN メンバーシップポリシーサーバ）errdisable ステートから回復するタイマーをイネーブルにします。
interval interval	指定された errdisable ステートから回復する時間を指定します。指定できる範囲は 30 ～ 86400 秒です。すべての原因に同じ間隔が適用されます。デフォルト間隔は 300 秒です。（注） errdisable 回復のタイマーは、設定された間隔の値からランダムな差で初期化されます。実際のタイムアウト値と設定された値の差は、設定された間隔の 15% まで認められます。

デフォルト

すべての原因に対して回復はディセーブルです。

デフォルトの回復間隔は 300 秒です。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(14)EA1	security-violation キーワードが追加されました。 gbic-invalid キーワードが SFP モジュールポートに対してサポートされます。
12.1(19)EA1	dhcp-rate-limit キーワードが追加されました。
12.2(18)SE	channel-misconfig キーワードが追加されました。
12.2(20)SE	arp-inspection キーワードが追加されました。
12.2(25)SE	l2ptguard キーワードが追加されました。

使用上のガイドライン

原因（ all や bpduguard など）は、errdisable ステートが発生した理由として定義されています。原因がインターフェイス上で検出された場合、インターフェイスは errdisable ステートとなり、リンクダウンステートに類似した動作ステートとなります。その原因に対して回復をイネーブルにしない場合、インターフェイスは、 shutdown および no shutdown インターフェイスコンフィギュレーションコマンドが入力されるまで、errdisable ステートに置かれます。原因の回復をイネーブルにした場合、インターフェイスは errdisable ステートから抜け出し、すべての原因がタイムアウトになったときに動作を再開できるようになります。

原因の回復をイネーブルにしない場合、手動でインターフェイスを errdisable ステートから回復するには、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力する必要があります。

例

次の例では、BPDU ガード errdisable の原因に対して回復タイマーをイネーブルにする方法を示します。

Switch(config)# errdisable recovery cause bpduguard

次の例では、タイマーを 500 秒に設定する方法を示します。

Switch(config)# errdisable recovery interval 500

設定を確認するには、 show errdisable recovery イネーブル EXEC コマンドを入力します。

exception crashinfo

Cisco IOS イメージのエラー時にスイッチで拡張クラッシュ情報ファイルが作成されるよう設定するには、スイッチスタックまたはスタンドアロンスイッチ上で exception crashinfo グローバルコンフィギュレーションコマンドを使用します。この機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

exception crashinfo

no exception crashinfo

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

スイッチで拡張クラッシュ情報ファイルが作成されます。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(25)SEC	このコマンドが導入されました。

使用上のガイドライン

基本クラッシュ情報ファイルには、エラーとなった Cisco IOS イメージの名前とバージョン、プロセッサレジスタのリスト、スタックトレースが記述されます。拡張クラッシュ情報ファイルには、スイッチのエラー原因の特定に役立つ追加情報が記述されます。

スタックマスターで exception crashinfo グローバルコンフィギュレーションコマンドを入力すると、スタックメンバーの Cisco IOS イメージでエラーが発生したときに、すべてのスタックメンバーで拡張クラッシュ情報ファイルが作成されるよう設定されます。

スイッチで拡張クラッシュ情報ファイルが作成されないよう設定するには、 no exception crashinfo グローバルコンフィギュレーションコマンドを使用します。

例

次の例では、スイッチで拡張クラッシュ情報ファイルが作成されないよう設定する方法を示します。

Switch(config)# no exception crashinfo

設定を確認するには、 show running-config イネーブル EXEC コマンドを入力します。

flowcontrol

インターフェイスに対する受信フロー制御ステートを設定するには、スイッチスタックまたはスタンドアロンスイッチ上で flowcontrol インターフェイスコンフィギュレーションコマンドを使用します。特定の装置に対してフロー制御 send が実行可能、かつオンの状態で、終端で輻輳を検出した場合、休止フレームを送信することによって、リンクの相手側またはリモート装置に輻輳を通知します。装置に対してフロー制御 receive がオンであり、休止フレームを受信した場合、データパケットの送信を停止します。こうすることにより、輻輳している間のデータパケットの損失を防ぎます。

フロー制御をディセーブルにする場合は、 receive off キーワードを使用します。

flowcontrol receive { desired | off | on }

（注） Catalyst 3750 スイッチは休止フレームを受信できますが、送信はできません。

シンタックスの説明

receive	インターフェイスがリモート装置からフロー制御パケットを受信できるかどうかを設定します。
desired	インターフェイスは、フロー制御パケットを送信する必要がある接続された装置、またはフロー制御パケットを送信する必要はないが、送信することのできる接続された装置と連携して稼働できます。
off	接続された装置がフロー制御パケットをインターフェイスに送信する機能はオフになります。
on	インターフェイスは、フロー制御パケットを送信する必要がある接続された装置、またはフロー制御パケットを送信する必要はないが、送信することのできる接続された装置と連携して稼働できます。

デフォルト

デフォルトは、 flowcontrol receive off に設定されています。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

このスイッチでは、送信フロー制御の休止フレームはサポートされません。

on および desired キーワードは同一の結果になることに注意してください。

flowcontrol コマンドを使用してポートが輻輳中にトラフィックレートを制御するよう設定する場合、フロー制御はポート上で次の条件のうちの 1 つに設定されます。

• receive on または desired ：ポートは休止フレームを送信できませんが、休止フレームの送信に必要、または送信ができる装置を接続して一緒に使用できます。ポートは休止フレームを受信できます。

• receive off ：フロー制御はどちらの方向にも動作しません。輻輳が生じても、リンクの相手側に通知はなく、どちら側の装置も休止フレームの送受信を行いません。

表2-5 は、各設定の組み合わせによるローカルポートおよびリモートポート上のフロー制御の結果を示したものです。テーブルは receive desired キーワードの使用時と receive on キーワードの使用時の結果が同一になることを前提としています。

表2-5 フロー制御設定およびローカル/リモートポートフロー制御解決
フロー制御設定		フロー制御解決
ローカル装置	リモート装置	ローカル装置	リモート装置
send off/receive on	send on/receive on send on/receive off send desired/receive on send desired/receive off send off/receive on send off/receive off	受信のみ行います。受信のみ行います。受信のみ行います。受信のみ行います。受信のみ行います。送受信を行いません。	送受信を行います。送信のみ行います。送受信を行います。送信のみ行います。受信のみ行います。送受信を行いません。
send off/receive off	send on/receive on send on/receive off send desired/receive on send desired/receive off send off/receive on send off/receive off	送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。	送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。

例

次の例では、リモートポートによってフロー制御がサポートされないようにローカルポートを設定する方法を示します。

Switch(config)# interface gigabitethernet1/0/1

Switch(config-if)# flowcontrol receive off

設定を確認するには、 show interfaces イネーブル EXEC コマンドを入力します。

interface port-channel

ポートチャネルの論理インターフェイスへのアクセス、または作成を行うには、スイッチスタックまたはスタンドアロンスイッチ上で interface port-channel グローバルコンフィギュレーションコマンドを使用します。ポートチャネルを削除する場合は、このコマンドの no 形式を使用します。

interface port-channel port - channel-number

no interface port-channel port - channel-number

シンタックスの説明

port-channel-number

ポートチャネル番号。指定できる範囲は 1 ～ 48 です。

デフォルト

ポートチャネル論理インターフェイスは定義されません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.2(25)SE	port - channel -number の範囲が、1 ～ 12 から 1 ～ 48 に変更されました。

使用上のガイドライン

レイヤ 2 の EtherChannel に関しては、物理ポートをチャネルグループに割り当てる前にポートチャネルインターフェイスを作成する必要はありません。代わりに、 channel-group インターフェイスコンフィギュレーションコマンドを使用できます。チャネルグループが最初の物理ポートを取得すると、ポートチャネルインターフェイスは自動的に作成されます。ポートチャネルインターフェイスを最初に作成した場合、 channel-group-number と port - channel-number を同一にするか、または新しい番号を使用できます。新しい番号を使用した場合、 channel-group コマンドはダイナミックに新しいポートチャネルを作成します。

チャネルグループ内の 1 つのポートチャネルだけが許可されます。

注意ポートチャネルインターフェイスをルーテッドポートとして使用する場合、チャネルグループに割り当てられた物理ポート上にレイヤ 3 アドレスを割り当てないようにしてください。

注意レイヤ 3 のポートチャネルインターフェイスとして使用されているチャネルグループの物理ポート上で、ブリッジグループを割り当てることは、ループ発生の原因になるため行わないようにしてください。スパニングツリーもディセーブルにする必要があります。

interface port-channel コマンドを使用する場合は、次の注意事項に従ってください。

• Cisco Discovery Protocol（CDP）を使用する場合には、これを物理ポート上でのみ設定してください。ポートチャネルインターフェイスでは設定できません。

• IEEE（米国電気電子学会）802.1x のポートとしてアクティブな EtherChannel のメンバーであるポートを設定することは避けてください。まだアクティブになっていない EtherChannel 上のポートで IEEE 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。

設定の注意事項の一覧については、このリリースに対応するソフトウェアコンフィギュレーションガイドの「Configuring EtherChannels」の章を参照してください。

例

次の例では、ポートチャネル番号 5 でポートチャネルインターフェイスを作成する方法を示します。

Switch(config)# interface port-channel 5

設定を確認するには、 show running-config または show etherchannel channel-group-number detail イネーブル EXEC コマンドを入力します。

interface range

インターフェイスレンジコンフィギュレーションモードの開始、および複数のポートにおけるコマンドを同時に実行するには、スイッチスタックまたはスタンドアロンスイッチ上で interface range グローバルコンフィギュレーションコマンドを使用します。インターフェイス範囲を削除する場合は、このコマンドの no 形式を使用します。

interface range { port-range | macro name }

no interface range { port-range | macro name }

シンタックスの説明

port-range	ポート範囲。 port-range の有効値のリストについては、「使用上の注意事項」を参照してください。
macro name	マクロ名を指定します。

デフォルト

このコマンドにはデフォルト設定がありません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

インターフェイスレンジコンフィギュレーションモードを開始すると、入力したすべてのインターフェイスのパラメータは、その範囲内のすべてのインターフェイスに適用されます。

VLAN（仮想 LAN）では、既存の VLAN の Switch Virtual Interface（SVI; スイッチ仮想インターフェイス）でのみ interface range コマンドを使用できます。VLAN の SVI を表示する場合は、 show running-config イネーブル EXEC コマンドを入力します。表示されない VLAN は、 interface range コマンドで使用することはできません。 interface range コマンドのもとで入力したコマンドは、この範囲のすべての既存の VLAN SVI に適用されます。

あるインターフェイス範囲に対して行われた設定変更は、すべて NVRAM（不揮発性 RAM）に保存されますが、 インターフェイス範囲 自体は NVRAM に保存されません。

インターフェイス範囲は 2 つの方法で入力できます。

• 最大 5 つまでのインターフェイス範囲を指定

• 定義済みのインターフェイスレンジマクロ設定を指定

範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファストイーサネットポート、すべてがギガビットイーサネットポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、各範囲をカンマ（,）で区切ることにより、1 つのコマンドで最大 5 つのインターフェイス範囲を定義できます。

port-range タイプおよびインターフェイス の有効値は次のとおりです。

• vlan vlan-ID - vlan-ID （VLAN ID の範囲が 1 ～ 4094）

• fastethernet stack member/module/{ first port } - { last port }（module は常に 0 ）

• gigabitethernet stack member/module/{ first port } - { last port }（module は常に 0 ）

物理インターフェイスの場合

–stack member は、スタック内のスイッチ識別に使用する番号です。番号に指定できる範囲は 1 ～ 9 で、スタックメンバーの最初の初期化の際に、スイッチに割り当てられます。

–module は常に 0 です。

–使用可能範囲は、type stack member /0/number - number です（例：gigabitethernet 1/0/1 - 2）。

• port-channel port-channel-number - port-channel-number （ port-channel-number の範囲は 1 ～ 48）

（注）ポートチャネルを指定して interface range コマンドを使用する場合、範囲内の最初と最後のポートチャネル番号はアクティブなポートチャネルとする必要があります。

範囲を定義するときは、最初のエントリとハイフン（-）の間にスペースが必要です。

interface range gigabitethernet1/0/1 -2

複数の範囲を定義するときは、カンマ（,）の前に入力される最初のエントリのあとにもスペースが必要です。

interface range fastethernet1/0/1 - 2, gigabitethernet1/0/1 - 2

同じコマンドでマクロとインターフェイス範囲の両方を指定することはできません。

port-range に 1 つのインターフェイスを指定することもできます。その場合、コマンドの内容は interface interface-id グローバルコンフィギュレーションコマンドと同様になります。

インターフェイスの範囲の設定に関する詳細は、このリリースに対応するソフトウェアコンフィギュレーションガイドを参照してください。

例

次の例では、 interface range コマンドを使用して、インターフェイスレンジコンフィギュレーションモードを開始し、2 つのポートにコマンドを適用する方法を示します。

Switch(config)# interface range gigabitethernet1/0/1 - 2

Switch(config-if-range)#

次の例では、同じ機能に対して 1 つのポート範囲マクロ macro1 を使用する方法を示します。この利点は、 macro1 を削除するまで再利用できることです。

Switch(config)# define interface-range macro1 gigabitethernet1/0/1 - 2

Switch(config)# interface range macro macro1

Switch(config-if-range)#

interface vlan

動的な Switch Virtual Interface（SVI; スイッチ仮想インターフェイス）へのアクセス、または作成を行い、インターフェイスコンフィギュレーションモードを開始するには、スイッチスタックまたはスタンドアロンスイッチ上で interface vlan グローバルコンフィギュレーションコマンドを使用します。SVI を削除する場合は、このコマンドの no 形式を使用します。

interface vlan vlan-id

no interface vlan vlan-id

シンタックスの説明

vlan-id

VLAN（仮想 LAN）番号。指定できる範囲は、1 ～ 4094 です。

デフォルト

デフォルトの VLAN インターフェイスは VLAN 1 です。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

SVI は、特定の VLANに対して、初めて interface vlan vlan-id コマンドを入力すると作成されます。 vlan-id は、ISL（スイッチ間リンク）上のデータフレーム、IEEE 802.1Q カプセル化トランク、またはアクセスポートで設定された VLAN ID と関連した VLAN タグに対応します。

（注） SVI を作成しても物理ポートと関連付けられるまでアクティブにはなりません。

no interface vlan vlan -id コマンドを入力して SVI を削除した場合、削除されたインターフェイスは show interfaces イネーブル EXEC コマンドからの出力には表示されなくなります。

（注） VLAN 1 のインターフェイスは削除できません。

削除した SVI は、削除したインターフェイスに対して interface vlan vlan-id コマンドを入力することで、元に戻すことができます。インターフェイスは元に戻りますが、前の設定内容は消えてしまいます。

スイッチスタック上で設定された SVI の数と、設定された他の機能の数の相互関係によっては、ハードウェア制限により、CPU 使用率に影響がでる可能性もあります。 sdm prefer グローバルコンフィギュレーションコマンドを使用し、システムのハードウェアリソースを、テンプレートおよび機能テーブルに基づいて再度割り当てできます。詳細は、 sdm prefer コマンドを参照してください。

例

次の例では、VLAN ID 23 で新しい SVI を作成し、インターフェイスコンフィギュレーションモードを開始する方法を示します。

Switch(config)# interface vlan 23

Switch(config-if)#

設定を確認するには、 show interfaces および show interfaces vlan vlan-id イネーブル EXEC コマンドを入力します。

ip access-group

レイヤ 2 またはレイヤ 3 インターフェイスへのアクセスを制御するには、スイッチスタックまたはスタンドアロンスイッチ上で ip access-group インターフェイスコンフィギュレーションコマンドを使用します。インターフェイスからすべてのアクセスグループ、または指定のアクセスグループを削除する場合は、このコマンドの no 形式を使用します。

ip access-group { access-list-number | name } { in | out }

no ip access-group [ access-list-number | name ] { in | out }

シンタックスの説明

access-list-number	IP Access Control List（ACL; アクセス制御リスト）の番号。指定できる範囲は 1 ～ 199、または 1300 ～ 2699 です。
name	ip access-list グローバルコンフィギュレーションコマンドで指定された IP ACL 名
in	着信パケットに対するフィルタリングを指定します。
out	発信パケットに対するフィルタリングを指定します。このキーワードは、レイヤ 3 のインターフェイス上でのみ有効です。

デフォルト

インターフェイスにアクセスリストは適用されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(14)EA1	コマンドのサポートがレイヤ 2 インターフェイスまで拡張されました。

使用上のガイドライン

インターフェイスに、名前付き、番号付き標準 IP アクセスリストまたは拡張 IP アクセスリストを適用できます。名前によるアクセスリストを定義する場合、 ip access-list グローバルコンフィギュレーションコマンドを使用します。番号付きアクセスリストを定義する場合、 access list グローバルコンフィギュレーションコマンドを使用します。標準アクセスリストの範囲は 1 ～ 99 および 1300 ～ 1999、または拡張アクセスリストの範囲は 100 ～ 199 および 2000 ～ 2699 の番号を使用できます。

このコマンドを使用し、アクセスリストをレイヤ 2 またはレイヤ 3 のインターフェイスに適用できます。ただし、レイヤ 2 のインターフェイス（ポート ACL）には、次のような制限があることに注意してください。

• ACL は着信方向に対してのみ適用できます。 out キーワードはレイヤ 2 のインターフェイスでサポートされていません。

• インターフェイスごとの IP ACL および MAC（メディアアクセス制御）ACL は 1 つずつのみ適用できます。

• レイヤ 2 のインターフェイスはロギングをサポートしていません。 log キーワードが IP ACL で指定された場合、無視されます。

• レイヤ 2 のインターフェイスに適用された IP ACL は、IP パケットのみをフィルタにかけます。非 IP パケットにフィルタをかける場合、 mac access-group インターフェイスコンフィギュレーションコマンドを MAC 拡張 ACL で使用します。

ユーザは同一のスイッチ上で、ルータ ACL、入力ポート ACL、VLAN（仮想 LAN）マップを使用できます。ただし、ポートの ACL はルータの ACL または VLAN マップより優先されます。

• 入力ポートの ACL がインターフェイスに適用され、さらにインターフェイスがメンバーとなっている VLAN に VLAN マップが適用された場合、ACL のポート上で受信した着信パケットは、そのポート ACL でフィルタリングにかけられます。他のパケットは VLAN マップのフィルタが適用されます。

• 入力ルータの ACL および入力ポートの ACL が Switch Virtual Interface（SVI; スイッチ仮想インターフェイス）に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。他のポートで受信した着信ルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

• 出力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。発信ルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

• VLAN マップ、入力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタのみが適用されます。他のポートで受信した着信ルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタのみ適用されます。

• VLAN マップ、出力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタのみが適用されます。発信ルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタのみ適用されます。

IP の ACL は、発信または着信のレイヤ 3 インターフェイス両方に適用できます。

レイヤ 3 のインターフェイスでは、IP の ACL を各方向に 1 つ適用できます。

VLAN インターフェイス上の各方向（入力および出力）に VLAN マップおよびルータの ACL を 1 つずつのみ設定できます。

通常の着信アクセスリストでは、スイッチがパケットを受信したあと、アクセスリストと照合することでパケットの送信元アドレスを確認します。IP の拡張アクセスリストはオプションで、宛先 IP アドレスやプロトコルタイプ、ポート番号など、パケットの他のフィールドの部分を確認できます。アクセスリストがパケットを許可した場合、スイッチはパケットの処理を継続します。アクセスリストがパケットを拒否した場合、スイッチはパケットを廃棄します。アクセスリストがレイヤ 3 インターフェイスに適用された場合、パケットの廃棄にともない（デフォルト設定）、Internet Control Message Protocol（ICMP）Host Unreachable メッセージが生成されます。ICMP Host Unreachable メッセージは、レイヤ 2 インターフェイスで廃棄されたパケットに対しては生成されません。

通常の発信アクセスリストでは、パケットを受信して、それを制御されたインターフェイスへ送信したあと、スイッチがアクセスリストと照合することでパケットを確認します。アクセスリストがパケットを許可した場合、スイッチはパケットを送信します。アクセスリストがパケットを拒否した場合、スイッチはパケットを廃棄し、デフォルトの設定では、ICMP Host Unreachable メッセージが生成されます。

指定のアクセスリストが存在しない場合、すべてのパケットが通過します。

例

次の例では、IP アクセスリスト 101 をポートの着信パケットに適用する例を示します。

Switch(config)# interface gigabitethernet1/0/1

Switch(config-if)# ip access-group 101 in

設定を確認するには、 show ip interface、show access-lists 、または show ip access-lists イネーブル EXEC コマンドを入力します。

ip address

レイヤ 2 スイッチの IP アドレス、各 Switch Virtual Interface（SVI; スイッチ仮想インターフェイス）の IP アドレス、レイヤ 3 スイッチのルーテッドポートの IP アドレスを設定するには、スイッチスタックまたはスタンドアロンスイッチ上で、 ip address インターフェイスコンフィギュレーションコマンドを使用します。IP アドレスを削除したり、IP 処理をディセーブルにする場合は、このコマンドの no 形式を使用します。

ip address ip-address subnet-mask [ secondary ]

no ip address [ ip-address subnet-mask ] [ secondary ]

シンタックスの説明

ip-address	IP アドレス
subnet-mask	関連する IP サブネットのマスク
secondary	（任意）設定されたアドレスをセカンダリ IP アドレスに指定します。このキーワードが省略された場合、設定されたアドレスはプライマリ IP アドレスになります。

デフォルト

IP アドレスは定義されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

Telnet セッションで、スイッチの IP アドレスを削除した場合、スイッチとの接続が切断されます。

ホストは Internet Control Message Protocol（ICMP）Mask Request メッセージを使用してサブネットマスクを判断できます。ルータは、この ICMP Mask Reply メッセージの要求に対して応答します。

no ip address コマンドを使って IP アドレスを削除することで、特定のインターフェイス上の IP 処理をディセーブルにできます。スイッチが、その IP アドレスのうちの 1 つを使用している他のホストを検出した場合、コンソールにエラーメッセージを送信します。

オプションで secondary キーワードを使用することで、セカンダリアドレスの番号を無制限に指定できます。システムがセカンダリの送信元アドレスのルーティングの更新以外にデータグラムを生成しないということを除けば、セカンダリアドレスはプライマリアドレスのように処理されます。IP ブロードキャストおよび Address Resolution Protocol（ARP; アドレス解決プロトコル）要求は適切に処理され、インターフェイスも IP のルーティングテーブルでルーティングされます。

（注）ネットワークセグメント上のすべてのルータがセカンダリアドレスを使用した場合、同一のセグメント上にある他の装置も、同一のネットワークまたはサブネットからセカンダリアドレスを使用しなければなりません。ネットワークセグメント上のセカンダリアドレスに整合性がないと、すぐにルーティングでループが発生します。

Open Shortest Path First（OSPF）のルーティングの場合、インターフェイスのすべてのセカンダリアドレスが、プライマリアドレスと同一の OSPF 領域にあることを確認してください。

スイッチが、Bootstrap Protocol（BOOTP）または Dynamic Host Configured Protocol（DHCP）サーバから IP アドレスを受信し、そのスイッチ IP アドレスを no ip address コマンドで削除した場合、IP 処理はディセーブルとなり、BOOTP または DHCP サーバは、再びアドレスを割り当てることはできません。

レイヤ 3 スイッチは、各ルーテッドポートおよび SVI に割り当てられた IP アドレスを持つことができます。設定するルーテッドポートおよび SVI の数はソフトウェアでは制限されていません。ただし、この数と設定された他の機能の数との相互関係によっては、ハードウェア制限により、CPU 使用率に影響がでる可能性があります。 sdm prefer グローバルコンフィギュレーションコマンドを使用し、システムのハードウェアリソースを、テンプレートおよび機能テーブルに基づいて再度割り当てできます。詳細は、 sdm prefer コマンドを参照してください。

例

次の例では、サブネットネットワークでレイヤ 2 スイッチの IP アドレスを設定する方法を示します。

Switch(config)# interface vlan 1

Switch(config-if)# ip address 172.20.128.2 255.255.255.0

次の例では、レイヤ 3 スイッチ上のポートに IP アドレスを設定する方法を示します。

Switch(config)# ip multicast-routing

Switch(config)# interface gigabitethernet6/0/1

Switch(config-if)# no switchport

Switch(config-if)# ip address 172.20.128.2 255.255.255.0

設定を確認するには、 show running-config イネーブル EXEC コマンドを使用します。

ip arp inspection filter vlan

ダイナミック Address Resolution Protocol（ARP; アドレス解決プロトコル）検査がイネーブルの場合、スタティック IP アドレスが設定されたホストからの ARP 要求および応答を許可または拒否するには、スイッチスタックまたはスタンドアロンスイッチで ip arp inspection filter vlan グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection filter arp-acl-name vlan vlan-range [ static ]

no ip arp inspection filter arp-acl-name vlan vlan-range [ static ]

シンタックスの説明

arp-acl-name

ARP Access Control List（ACL; アクセス制御リスト）名。

vlan-range

VLAN（仮想 LAN）番号または VLAN 範囲

static

（任意）ARP ACL の暗黙的拒否を明示的拒否として扱い、ACL 内の以前のコマンドと一致しないパケットを廃棄するには、 static を指定します。Dynamic Host Configuration Protocol（DHCP）バインディングは、使用されません。

このキーワードを指定しない場合は、パケットを拒否する ACL に明示的拒否が存在しないということになり、パケットが ACL 内のコマンドと一致しない場合には、DHCP バインディングがパケットを許可するか拒否するかを決定します。

デフォルト

定義された ARP ACL は、いずれの VLAN にも適用されません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

ARP ACL が、ダイナミック ARP 検査用に VLAN に適用される場合、IP から MAC（メディアアクセス制御）へのアドレスを含む ARP パケットバインディングだけが ACL に照合されます。ACL がパケットを許可すると、スイッチがこれを転送します。その他のすべてのタイプのパケットは、確認されずに入力 VLAN にブリッジされます。

明示的な拒否ステートメントによりスイッチがパケットを拒否した場合、このパケットは廃棄されます。暗黙的な拒否ステートメントによりスイッチがパケットを拒否した場合、パケットは DHCP バインディングのリストに照合されます（ACL が スタティック でない場合のみ。スタティックの場合は、パケットはバインディングに照合されません）。

ARP ACL を定義する、または以前定義されたリストの最後にコマンドを追加するには、
arp access-list acl-name グローバルコンフィギュレーションコマンドを使用します。

例

次の例では、ダイナミック ARP 検査用に ARP ACL static-hosts を VLAN 1 に適用する方法を示します。

Switch(config)# ip arp inspection filter static-hosts vlan 1

設定を確認するには、 show ip arp inspection vlan 1 イネーブル EXEC コマンドを入力します。

ip arp inspection limit

インターフェイス上の着信 Address Resolution Protocol（ARP; アドレス解決プロトコル）要求および応答のレートを制限するには、スイッチスタックまたはスタンドアロンスイッチ上で ip arp inspection limit インターフェイスコンフィギュレーションコマンドを使用します。これにより、DoS 攻撃の場合にダイナミック ARP 検査でスイッチリソースをすべて消費してしまう状況が避けられます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection limit { rate pps [ burst interval seconds ] | none }

no ip arp inspection limit

シンタックスの説明

rate pps	1 秒あたりに処理される着信パケット数の上限を指定します。指定できる範囲は 0 ～ 2048 pps（パケット/秒）です
burst interval seconds	（任意）インターフェイスを高いレートの ARP パケットに関してモニタする連続した間隔（秒）を指定します。指定できる範囲は 1 ～ 15 秒です。
none	処理が可能な着信 ARP パケットのレートの上限は、指定されません。

デフォルト

レートは、信頼性のないインターフェイス上で 15 pps です。この場合ネットワークは、毎秒 15 くらいの新しいホストと接続しているホストを持つスイッチドネットワークであることが前提です。

レートは、すべての信頼性のあるインターフェイス上で無制限です。

バースト間隔は 1 秒です。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

レートは、信頼性があるインターフェイスおよび信頼性がないインターフェイスの両方で適用されます。トランクに適切なレートを設定して、ダイナミック ARP 検査がイネーブルな複数の VLAN のパケットを処理します。または、none キーワードを使用して、レートを無制限にします。

スイッチが、バースト期間（秒）に毎秒連続して設定されたレート以上のパケットを受信すると、インターフェイスは errdisable ステートになります。

インターフェイスで明示的にレート制限を設定していない場合は、インターフェイスで信頼状態が変更されると、レート制限もまたその信頼状態のデフォルト値に変更されます。レート制限が設定されると、信頼状態が変更された場合でも、インターフェイスはそのレート制限を維持します。 no ip arp inspection limit インターフェイスコンフィギュレーションコマンドを入力すると、インターフェイスはデフォルトのレート制限に戻ります。

より高いレートのトランクポートには、その集約を反映させるよう設定する必要があります。着信パケットのレートが、ユーザ設定のレートを超えた場合、スイッチはインターフェイスを errdisable ステートにします。errdisable 回復機能により、ポートは errdisable ステートから回復設定に従って自動的に削除されます。

レート制限は、スイッチスタックの各スイッチで別々に算出されます。クロススタック
EtherChannel の場合、これは実際のレート制限が設定値よりも高い可能性があることを意味します。たとえば、レート制限が 30 pps に設定された EtherChannel で、スイッチ 1 に 1 つのポート、およびスイッチ 2 に 1 つのポートがある場合、EtherChannel が errdisable にならずに、各ポートは 29 pps でパケットを受信できます。

EtherChannel ポートの着信 ARP パケットレートは、すべてのチャネルメンバーからの着信 ARP パケットレートの合計と同等になります。すべてのチャネルメンバー上の着信 ARP パケットレートを調べた場合に限り、EtherChannel ポートのレート制限を設定してください。

例

次の例では、ポート上の着信 ARP 要求のレートを 25 pps に制限し、インターフェイスモニタリングの間隔を連続 5 秒に設定する方法を示します。

Switch(config)# interface gigabitethernet1/0/1

Switch(config-if)# ip arp inspection limit rate 25 burst interval 5

設定を確認するには、 show ip arp inspection interfaces interface-id イネーブル EXEC コマンドを入力します。

ip arp inspection log-buffer

ダイナミック Address Resolution Protocol（ARP; アドレス解決プロトコル）検査のロギングバッファを設定するには、スイッチスタックまたはスタンドアロンスイッチ上で ip arp inspection log-buffer イネーブル EXEC コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection log-buffer { entries number | logs number interval seconds }

no ip arp inspection log-buffer { entries | logs }

シンタックスの説明

entries number

バッファにロギングされるエントリ数。指定できる範囲は、0 ～ 1024 です。

logs number interval seconds

システムメッセージを生成するのに必要な指定された間隔のエントリ数

logs number に指定できる範囲は 0 ～ 1024 です。値が 0 の場合、エントリはロギングバッファにありますが、システムメッセージは生成されないことを意味します。

interval seconds に指定できる範囲は 0 ～ 86400 秒（1 日）です。値が 0 の場合、システムメッセージがただちに生成される（およびロギングバッファは常に空である）ことを意味します。

デフォルト

ダイナミック ARP 検査がイネーブルの場合、拒否された、または廃棄された ARP パケットがロギングされます。

ログエントリの数は 32 です。

システムメッセージ数は、毎秒 5 つに制限されています。

ロギングレート間隔は、1 秒です。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

logs および interval キーワードには、0 の値は許可されません。

logs および interval の設定は、相互作用します。 logs number X が interval seconds Y よりも大きい場合、X を Y で除算した数（X/Y）のシステムメッセージが、毎秒送信されます。X が Y 以下の場合は、Y を X で除算した数（Y/X）秒ごとに、1 つのシステムメッセージが送信されます。たとえば、 logs number が 20 で、 interval seconds が 4 の場合、ロギングバッファにエントリがある場合でも、スイッチは毎秒 5 つのエントリのシステムメッセージを生成します。

1 つのロギングバッファエントリで、複数のパケットを表せます。たとえば、インターフェイスが同じ ARP パラメータを持つ同じ VLAN（仮想 LAN）上で多量のパケットを受信した場合、スイッチはパケットをロギングバッファ内の 1 つのエントリとして組み合わせて、システムメッセージを単一のエントリとして生成します。

ロギングバッファがオーバーフローの場合は、ログイベントがロギングバッファのサイズに適合していないことを意味し、 show ip arp inspection log イネーブル EXEC コマンドの表示が影響されます。表示中の A -- は、パケットカウントおよび時間以外のすべてのデータの代わりに表示されます。エントリには、その他の統計情報は提供されません。表示中にこのエントリがある場合は、ロギングバッファのエントリ数を増やすか、ロギングレートを上げてください。

ロギングバッファコンフィギュレーションは、スイッチスタックの各スタックメンバーに適用されます。各スタックメンバーでは、 logs number が指定されていて、設定されたレートでシステムメッセージを生成します。たとえば、間隔（レート）が 1 エントリ/秒の場合、5 つのメンバーのスイッチスタックでは、1 秒当たり最大 5 つのシステムメッセージが生成されます。

例

次の例では、ロギングバッファが最大 45 エントリを維持するよう設定する方法を示します。

Switch(config)# ip arp inspection log-buffer entries 45

次の例では、ロギングレートを 4 秒当たり 20 ログエントリに設定する方法を示します。この設定では、ロギングバッファにエントリがある場合でも、スイッチは毎秒 5 つのエントリのシステムメッセージを生成します。

Switch(config)# ip arp inspection log-buffer logs 20 interval 4

設定を確認するには、 show ip arp inspection log イネーブル EXEC コマンドを入力します。

ip arp inspection trust

検査される着信 Address Resolution Protocol（ARP; アドレス解決プロトコル）パケットを決定する信頼状態を、インターフェイスに設定するには、スイッチスタックまたはスタンドアロンスイッチ上で ip arp inspection trust インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection trust

no ip arp inspection trust

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

インターフェイスには、信頼性がありません。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

スイッチでは、ARP パケットが信頼性のあるインターフェイス上で受信したことを確認せず、単にパケットを転送します。

信頼性のないインターフェイスでは、スイッチはすべての ARP 要求および応答を代行受信します。スイッチは、代行受信したパケットが有効な IP から MAC（メディアアクセス制御）アドレスバインディングを持っていることを確認してから、ローカルキャッシュを更新し、パケットを適切な宛先に転送します。スイッチは、無効なパケットを廃棄し、 ip arp inspection vlan logging グローバルコンフィギュレーションコマンドで指定されたロギングコンフィギュレーションに従って、ロギングバッファ内にロギングします。

例

次の例では、ポートを信頼性のある状態に設定する方法を示します。

Switch(config)# interface gigabitethernet1/0/1

Switch(config-if)# ip arp inspection trust

設定を確認するには、 show ip arp inspection interfaces interface-id イネーブル EXEC コマンドを入力します。

ip arp inspection validate

ダイナミック Address Resolution Protocol（ARP; アドレス解決プロトコル）検査の特定の確認を実行するには、スイッチスタックまたはスタンドアロンスイッチ上で ip arp inspection validate グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection validate {[ src-mac ] [ dst-mac ] [ ip ]}

no ip arp inspection validate [ src-mac ] [ dst-mac ] [ ip ]

シンタックスの説明

src-mac

イーサネットヘッダーの送信元 MAC（メディアアクセス制御）アドレスを、ARP 本体の送信側 MAC アドレスと照合して確認します。確認は、ARP 要求および ARP 応答の両方で実行されます。

イネーブルの場合、異なる MAC アドレスを持つパケットは無効と分類され、廃棄されます。

dst-mac

イーサネットヘッダーの宛先 MAC アドレスを、ARP 本体のターゲット MAC アドレスと照合して確認します。この確認は、ARP 応答に実行されます。

イネーブルの場合、異なる MAC アドレスを持つパケットは無効と分類され、廃棄されます。

無効および予想外の IP アドレスと ARP 本体を照合して確認します。アドレスには、0.0.0.0、255.255.255.255、およびすべての IP マルチキャストアドレスが含まれます。

送信側 IP アドレスは、すべての ARP 要求および応答で照合されます。ターゲット IP アドレスは、ARP 応答でのみ確認されます。

デフォルト

確認は実行されません。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

キーワードは、少なくとも 1 つ指定する必要があります。各コマンドは、前のコマンドを上書きします。すなわち、あるコマンドで src-mac および dst-mac 確認がイネーブルで、その次のコマンドで IP 確認のみがイネーブルの場合、src-mac および dst-mac 確認は、次のコマンドのためにディセーブルになります。

最初に src-mac キーワードを指定した場合は、 dst-mac および ip キーワードも指定できます。最初に ip キーワードを指定した場合は、ほかのキーワードを指定できません。

このコマンドの no 形式は、指定された確認をディセーブルにするだけです。イネーブルのオプションがない場合は、すべての確認がディセーブルになります。

例

次の例では、送信元 MAC 確認をイネーブルにする方法を示します。

Switch(config)# ip arp inspection validate src-mac

設定を確認するには、 show ip arp inspection vlan vlan-range イネーブル EXEC コマンドを入力します。

ip arp inspection vlan

VLAN（仮想 LAN）単位で、ダイナミック Address Resolution Protocol（ARP; アドレス解決プロトコル）検査をイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で ip arp inspection vlan グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection vlan vlan-range

no ip arp inspection vlan vlan-range

シンタックスの説明

vlan-range

VLAN 番号または VLAN 範囲

デフォルト

すべての VLAN で ARP 検査はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

ダイナミック ARP 検査をイネーブルとする VLAN を指定する必要があります。

ダイナミック ARP 検査は、アクセスポート、トランクポート、EtherChannel ポート、またはプライベートVLANポートでサポートされています。

例

次の例では、ダイナミック ARP 検査を VLAN 1 でイネーブルにする方法を示します。

Switch(config)# ip arp inspection vlan 1

設定を確認するには、 show ip arp inspection vlan vlan-range イネーブル EXEC コマンドを入力します。

ip arp inspection vlan logging

VLAN（仮想 LAN）単位でロギングされるパケットタイプを制御するには、スイッチスタックまたはスタンドアロンスイッチ上で、ip arp inspection vlan logging グローバルコンフィギュレーションコマンドを使用します。このロギング制御をディセーブルにする場合は、このコマンドの no 形式を使用します。

ip arp inspection vlan vlan-range logging { acl-match { matchlog | none } | dhcp-bindings { all | none | permit }}

no ip arp inspection vlan vlan-range logging { acl-match | dhcp-bindings }

シンタックスの説明

vlan-range

ロギングを設定する VLAN を指定します。

acl-match { matchlog | none }

パケットのロギングが Access Control List（ACL; アクセス制御リスト）に基づいて行われるよう指定します。

キーワードの意味は次のとおりです。

• matchlog ― Access Control Entry（ACE; アクセス制御エントリ）で指定されたロギングコンフィギュレーションに基づいたログパケット。このコマンドで matchlog キーワードを指定、および permit または deny Address Resolution Protocol（ARP; アドレス解決プロトコル）アクセスリストコンフィギュレーションコマンドで log キーワードを指定すると、ACL で許可または拒否された ARP パケットが、ロギングされます。

• none ― ACL と一致するパケットをロギングしません。

dhcp-bindings { permit | all | none }

パケットのロギングは、Dynamic Host Configuration Protocol（DHCP）バインディング照合に基づいて行われるよう指定します。

キーワードの意味は次のとおりです。

• all ― DHCP バインディングに一致するすべてのパケットをロギングします。

• none ― DHCP バインディングと一致するパケットをロギングしません。

• permit ― DHCP バインディングで許可されたパケットをロギングします。

デフォルト

すべての拒否された、またはすべての廃棄されたパケットがロギングされます。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

logged という用語は、エントリがログバッファに置かれ、システムメッセージが生成されることを意味します。

acl-match および dhcp-bindings キーワードは、互いに組み合わせて使用できます。すなわち、ACL 一致を設定する場合は、DHCP バインディングコンフィギュレーションはディセーブルにはなりません。ロギング基準をデフォルトにリセットする場合は、このコマンドの no 形式を使用します。いずれのオプションも指定されていない場合、ARP パケットが拒否されると、すべてのタイプのロギングがログにリセットされます。オプションは、次のとおりです。

• acl-match ― ACL 一致でのロギングは、拒否でのロギングにリセットされます。

• dhcp-bindings ― DHCP バインディングでのロギングは、拒否でのロギングにリセットされます。

acl-match または dhcp-bindings キーワードがどちらとも指定されない場合は、拒否されたパケットすべてが、ロギングされます。

ACL の最後付近の暗黙的な拒否には、 log キーワードが含まれます。これは、 ip arp inspection filter vlan グローバルコンフィギュレーションコマンドで static キーワードを使用すると、ACL が DHCP バインディングを上書きするという意味です。ARP ACL の最後で deny ip any mac any log ACE を明示的に指定しないかぎり、拒否されたパケットがロギングされる場合があります。

例

次の例では、VLAN 1 に ARP 検査を設定して、ACL の permit コマンドと一致するパケットをロギングする方法を示します。

Switch(config)# arp access-list test1

Switch(config-arp-nacl)# permit request ip any mac any log

Switch(config-arp-nacl)# permit response ip any any mac any any log

Switch(config-arp-nacl)# exit

Switch(config)# ip arp inspection vlan 1 logging acl-match matchlog

設定を確認するには、 show ip arp inspection vlan vlan-range イネーブル EXEC コマンドを入力します。

ip dhcp snooping

Dynamic Host Configuration Protocol（DHCP）スヌーピングをグローバルにイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で ip dhcp snooping グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping

no ip dhcp snooping

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

DHCP スヌーピングはディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(19)EA1	このコマンドが導入されました。

使用上のガイドライン

DHCP スヌーピング設定を有効にするには、DHCP スヌーピングをグローバルにイネーブル化する必要があります。

ip dhcp snooping vlan vlan-id グローバルコンフィギュレーションコマンドを使用して、VLAN（仮想 LAN）でスヌーピングをイネーブルにしないと、DHCP スヌーピングはアクティブになりません。

例

次の例では、DHCP スヌーピングをイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

ip dhcp snooping binding

Dynamic Host Configuration Protocol（DHCP）スヌーピングバインディングデータベースを設定して、バインディングエントリをデータベースに追加するには、スイッチスタックまたはスタンドアロンスイッチ上で ip dhcp snooping binding イネーブル EXEC コマンドを使用します。バインディングデータベースからエントリを削除する場合は、このコマンドの no 形式を使用します。

ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id expiry seconds

no ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id

このコマンドは、スイッチで IP サービスが動作している場合に限り使用できます。IP サービスは、以前は Enhanced Multilayer Image（EMI）と呼ばれていました。

シンタックスの説明

mac-address	MAC（メディアアクセス制御）アドレスを指定します。
vlan vlan-id	VLAN（仮想 LAN）番号を指定します。指定できる範囲は、1 ～ 4094 です。
ip-address	IP アドレスを指定します。
interface interface-id	バインディングエントリを追加または削除するインターフェイスを指定します。
expiry seconds	バインディングエントリが有効でなくなる間隔（秒）を指定します。指定できる範囲は、1 ～ 4294967295 です。

デフォルト

デフォルトのデータベースは定義されていません。

コマンドモード

イネーブル EXEC

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

スイッチのテストまたはデバッグを行う際は、このコマンドを使用します。

DHCP スヌーピングバインディングデータベースで、各データベースエントリ（バインディング）には、IP アドレス、対応する MAC アドレス、リース時間（16 進数）、バインディングが適用されるインターフェイス、およびインターフェイスが所属する VLAN が含まれます。データベースには、最大 8192 のバインディングを含めます。

設定されたバインディングのみを表示するには、 show ip dhcp snooping binding イネーブル EXEC コマンドを使用します。ダイナミックおよびスタティックに設定されたバインディングのみを表示するには、 show ip source binding イネーブル EXEC コマンドを使用します。

例

次の例では、VLAN 1 のポート上で期限切れの時間が 1000 秒の DHCP バインディングコンフィギュレーションを生成する方法を示します。

Switch# ip dhcp snooping binding 0001.1234.1234 vlan 1 172.20.50.5 interface gigabitethernet1/0/1 expiry 1000

設定を確認するには、 show ip dhcp snooping binding または show ip dhcp source binding イネーブル EXEC コマンドを入力します。

ip dhcp snooping database

Dynamic Host Configuration Protocol（DHCP）スヌーピングバインディングデータベースエージェントまたはバインディングファイルを設定するには、スイッチスタックまたはスタンドアロンスイッチ上で ip dhcp snooping database グローバルコンフィギュレーションコマンドを使用します。エージェントをディセーブルにする、タイムアウト値をリセットする、または書き込み遅延値をリセットするには、このコマンドの no 形式を使用します。

ip dhcp snooping database {{ flash [ number ] :/ filename | ftp:// user:password @host/filename | http: //[[username:password]@]{hostname | host-ip}[/directory]/image-name .tar | rcp:// user @host/filename | tftp:// host/filename } | timeout seconds | write-delay seconds }

no ip dhcp snooping database [ timeout | write-delay ]

シンタックスの説明

flash [ number ] :/ filename	データベースエージェントまたはバインディングファイルがフラッシュメモリにあることを指定します。（任意）スタックマスターのスタックメンバー番号を指定するには、 number パラメータを使用します。 number に指定できる範囲は 1 ～ 9 です。
ftp:// user : password @ host / filename	データベースエージェントまたはバインディングファイルが FTP（ファイル転送プロトコル）サーバにあることを指定します。
http: //[[username:password]@] {hostname \| host-ip}[/directory] /image-name . tar	データベースエージェントまたはバインディングファイルが FTP サーバにあることを指定します。
rcp:// user @ host / filename	データベースエージェントまたはバインディングファイルが Remote Control Protocol（RCP）にあることを指定します。
tftp:// host / filename	データベースエージェントまたはバインディングファイルが Trivial File Transfer Protocol（TFTP; 簡易ファイル転送プロトコル）サーバにあることを指定します。
timeout seconds	データベース転送プロセスが完了するのを待ち、一定時間が経過したら停止させるための時間（秒単位）を指定します。デフォルト値は 300 秒です。指定できる範囲は 0 ～ 86400 です。無制限の時間を定義するには 0 を使用します。この場合、無限に転送の試行を継続します。
write-delay seconds	バインディングデータベースの変更後、転送が遅延される必要のある期間（秒）指定します。デフォルト値は 300 秒です。指定できる範囲は、15 ～ 86400 です。

デフォルト

データベースエージェントまたはバインディングファイルの URL は、定義されていません。

タイムアウト値は 300 秒（5 分）です。

書き込み遅延値は 300 秒（5 分）です。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(20)SE	このコマンドが導入されました。

使用上のガイドライン

DHCP スヌーピングバインディングデータベースには、最大 8192 のバインディングを含めます。

データベースのリース時間を正確なものにするために、Network Time Protocol（NTP）をイネーブルに設定し、次の機能がイネーブルでかつ設定されていることを推奨します。

• NTP 認証

• NTP ピアおよびサーバアソシエーション

• NTP ブロードキャストサービス

• NTP アクセス制限

• NTP パケットの送信元 IP アドレス

NTP が設定されている場合、スイッチは、スイッチシステムクロックが NTP と同期化されているときにのみ、バインディングの変更をバインディングファイルに書き込みます。

NVRAM（不揮発性メモリ）およびフラッシュメモリのストレージ容量には制限があるため、バインディングファイルを TFTP サーバに保存することを推奨します。ネットワークベースの URL（TFTP および FTP など）上の設定された URL に空のファイルを作成する必要があります。その後初めて、スイッチはこの URL でバインディングファイルにバインディングを書き込めます。

DHCP スヌーピングバインディングデータベースをスタックマスター NVRAM に保存するには、ip dhcp snooping database flash [ number ] :/ filename コマンドを使用します。データベースは、スタックメンバー NVRAM に保存されません。

ip dhcp snooping database timeout コマンドを 0 秒に設定した状態でデータベースが TFTP ファイルに書き込まれる場合、TFTP サーバがダウンすると、データベースエージェントが無制限に転送の試行を継続します。この処理の続行中は、他の転送は開始できません。サーバがダウンするとファイルの書き込みは行えないため、このことは大して重要ではありません。

エージェントをディセーブルにするには、no ip dhcp snooping database コマンドを使用します。

タイムアウト値をリセットするには、no ip dhcp snooping database timeout コマンドを使用します。

書き込み遅延値をリセットするには、no ip dhcp snooping database write-delay コマンドを使用します。

例

次の例では、 directory というディレクトリにある IP アドレス 10.1.1.1 で、バインディングファイルを保存する方法を示します。 file という名前のファイルは、TFTP サーバ上にあるものとします。

Switch(config)# ip dhcp snooping database tftp://10.1.1.1/directory/file

次の例では、スタックマスター NVRAM に file01.txt というバインディングファイルを保存する方法を示します。

Switch(config)# ip dhcp snooping database flash:file01.txt

設定を確認するには、 show ip dhcp snooping database イネーブル EXEC コマンドを入力します。

ip dhcp snooping information option

Dynamic Host Configuration Protocol（DHCP）オプション 82 データ挿入をイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチで ip dhcp snooping information option グローバルコンフィギュレーションコマンドを使用します。DHCP オプション 82 データ挿入をディセーブルにする場合は、このコマンドの no 形式を使用します。

ip dhcp snooping information option

no ip dhcp snooping information option

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

DHCP オプション 82 データが挿入されます。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(19)EA1	このコマンドが導入されました。

使用上のガイドライン

DHCP スヌーピング設定を有効にするには、 ip dhcp snooping グローバルコンフィギュレーションコマンドを使用して DCHP スヌーピングをグローバルにイネーブルにする必要があります。

オプション 82 機能がイネーブルで、スイッチが DHCP 要求をホストから受信した場合、オプション 82 情報がパケットに追加されます。オプション 82 情報には、スイッチ MAC（メディアアクセス制御）アドレス（リモート ID サブオプション）およびパケットを受信したポート ID、 vlan-mod-port （回線 ID サブオプション）が含まれています。スイッチは、オプション 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。

DHCP サーバがパケットを受信する場合、IP アドレスの割り当てや、単一のリモート ID や回線 ID に割り当て可能な IP アドレス数の制限といったポリシーの適用に、リモート ID、回線 ID、またはこの両方を使用できます。DHCP サーバは DHCP 応答のオプション 82 フィールドをエコーします。

DHCP サーバは、スイッチによって要求がサーバにリレーされた場合に、スイッチへの応答をユニキャストします。クライアントおよびサーバが同じサブネット上にある場合、サーバは応答をブロードキャストします。スイッチは、リモート ID と、可能であれば回線 ID を検査して、初めからオプション 82 データが挿入されていたかを確認します。スイッチはオプション 82 フィールドを削除し、DHCP 要求を送信した DHCP ホストに接続しているスイッチポートにそのパケットを転送します。

例

次の例では、DHCP オプション 82 データ挿入をイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping information option

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

ip dhcp snooping information option allow-untrusted

アグリゲーションスイッチが、エッジスイッチに接続される可能性のある信頼性のないポートで受信される、オプション 82 情報を持つ Dynamic Host Configuration Protocol（DHCP）パケットを受け取るように設定するには、アグリゲーションスイッチ上で ip dhcp snooping information option allow-untrusted グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping information option allow-untrusted

no ip dhcp snooping information option allow-untrusted

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

スイッチは、エッジスイッチに接続される可能性のある信頼性のないポートで受信する、オプション 82 情報を持つ DHCP パケットを廃棄します。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(25)SEA	このコマンドが導入されました。

使用上のガイドライン

ネットワークエッジでは、ホストが接続されているエッジスイッチにより DHCP オプション 82 情報を挿入する場合があります。また、アグリゲーションスイッチ上で DHCP スヌーピング、IP ソースガード、またはダイナミック Address Resolution Protocol（ARP; アドレス解決プロトコル）検査などの DHCP セキュリティ機能をイネーブルにする場合もあります。ただし、アグリゲーションスイッチ上で DHCP スヌーピングがイネーブルの場合、スイッチは信頼性のないポートで受信されたオプション 82 情報を持つパケットを廃棄し、信頼性のあるインターフェイス上で接続された装置の DHCP スヌーピングバインディングを学習しません。

ホストが接続されているエッジスイッチでオプション 82 情報を挿入し、アグリゲーションスイッチ上で DHCP スヌーピングを使用する場合は、アグリゲーションスイッチで ip dhcp snooping information option allow-untrusted コマンドを入力します。アグリゲーションスイッチが信頼性のないポート上で DHCP スヌーピングパケットを受信した場合でも、アグリゲーションスイッチはホストのバインディングを学習できます。また、アグリゲーションスイッチで DHCP セキュリティ機能をイネーブルにすることもできます。アグリゲーションスイッチが接続されているエッジスイッチ上のポートは、信頼性のあるポートとして設定される必要があります。

（注）信頼性のない装置が接続されているアグリゲーションスイッチでは、ip dhcp snooping information option allow-untrusted コマンドを入力しないでください。このコマンドを入力した場合、信頼性のない装置がオプション 82 情報をスプーフィングする可能性があります。

例

次の例では、アクセススイッチでエッジスイッチからの信頼性のないパケットのオプション 82 情報を確認せずに、そのパケットを受け取るよう設定する方法を示します。

Switch(config)# ip dhcp snooping information option allow-untrusted

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

ip dhcp snooping limit rate

インターフェイスが 1 秒あたりに受信可能な Dynamic Host Configuration Protocol（DHCP）メッセージの数を設定するには、スイッチスタックまたはスタンドアロンスイッチで ip dhcp snooping limit rate インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping limit rate rate

no ip dhcp snooping limit rate

シンタックスの説明

rate

インターフェイスが 1 秒当たりに受信可能な DHCP メッセージ数。指定できる範囲は、1 ～ 2048 です。

デフォルト

DHCP スヌーピングレート制限はディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(19)EA1	このコマンドが導入されました。
12.2(18)SE	指定できる範囲が 1 ～ 2048 に変更されました。

使用上のガイドライン

通常、レート制限は信頼性のないインターフェイスに適用されます。信頼性のあるインターフェイスにレート制限を設定したい場合、信頼性のあるインターフェイスはスイッチ内にある（スヌーピングされていないものも含む）複数の VLAN（仮想 LAN）上の DHCP トラフィックを集計する場合があり、インターフェイスのレート制限を高めの値に調整する必要がある点に留意してください。

レート制限を超過した場合、インターフェイスは errdisable になります。 errdisable recovery
dhcp-rate-limit グローバルコンフィギュレーションコマンドを入力してエラー回復をイネーブルにした場合、すべての原因がタイムアウトになると、インターフェイスは動作を再試行します。エラー回復メカニズムをイネーブルにしない場合、インターフェイスは、 shutdown および no shutdown インターフェイスコンフィギュレーションコマンドが入力されるまで errdisable ステートに置かれます。

例

次の例では、メッセージのレート制限をインターフェイスで 1 秒あたり 150 メッセージに設定する方法を示します。

Switch(config-if)# ip dhcp snooping limit rate 150

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

ip dhcp snooping trust

Dynamic Host Configuration Protocol（DHCP）スヌーピングのためにポートを信頼性があるものとして設定するには、スイッチスタックまたはスタンドアロンスイッチ上で ip dhcp snooping trust インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping trust

no ip dhcp snooping trust

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

DHCP スヌーピング信頼性はディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(19)EA1	このコマンドが導入されました。

使用上のガイドライン

DHCP サーバまたは他のスイッチやルータに接続されたポートは信頼性のあるポートとして設定します。DHCP クライアントに接続されたポートは信頼性のないポートとして設定します。

例

次の例では、特定のポート上で DHCP スヌーピング信頼性をイネーブルにする方法を示します。

Switch(config-if)# ip dhcp snooping trust

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

ip dhcp snooping verify

スイッチが、信頼性のないポート上で Dynamic Host Configuration Protocol（DHCP）パケットの送信元 MAC（メディアアクセス制御）アドレスがクライアントのハードウェアアドレスと一致することを確認するよう設定するには、スイッチスタックまたはスタンドアロンスイッチ上で ip dhcp snooping verify グローバルコンフィギュレーションコマンドを使用します。スイッチで MAC アドレスを確認しないように設定する場合は、このコマンドの no 形式を使用します。

ip dhcp snooping verify mac-address

no ip dhcp snooping verify mac-address

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

スイッチは、信頼性のないポートで受信した DHCP パケット内の送信元 MAC アドレスがパケットのクライアントハードウェアアドレスに一致することを確認します。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(18)SE	このコマンドが導入されました。

使用上のガイドライン

サービスプロバイダーのネットワークでは、スイッチが信頼性のないポートで DHCP クライアントからのパケットを受信すると、送信元 MAC アドレスと DHCP クライアントハードウェアアドレスが一致するかどうかが自動的に確認されます。アドレスが一致した場合、パケットは転送されます。アドレスが一致しない場合、パケットは廃棄されます。

例

次の例では、MAC アドレスの確認をディセーブルにする方法を示します。

Switch(config)# no ip dhcp snooping verify mac-address

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

ip dhcp snooping vlan

VLAN（仮想 LAN）で Dynamic Host Configuration Protocol（DHCP）スヌーピングをイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で ip dhcp snooping vlan グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping vlan vlan-range

no ip dhcp snooping vlan vlan-range

シンタックスの説明

vlan vlan-range

DHCP スヌーピングをイネーブルにする VLAN ID または VLAN の範囲を指定します。指定できる範囲は、1 ～ 4094 です。

単一の VLAN ID を入力する場合は、VLAN ID 番号で識別される VLAN ID を入力します。複数の VLAN ID を入力する場合はカンマで区切ります。VLAN ID を範囲指定する場合は、ハイフンで区切るか、開始の VLAN ID と終了の VLAN ID をスペースで区切って入力します。

デフォルト

すべての VLAN で DHCP スヌーピングはディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(19)EA1	このコマンドが導入されました。

使用上のガイドライン

VLAN で DHCP スヌーピングをイネーブルにするには、まず DCHP スヌーピングをグローバルにイネーブルにする必要があります。

例

次の例では、DHCP スヌーピングを VLAN 10 でイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping vlan 10

設定を確認するには、 show ip dhcp snooping イネーブル EXEC コマンドを入力します。

ip igmp filter

インターフェイスに Internet Group Management Protocol（IGMP）を適用することで、レイヤ 2 インターフェイス上のすべてのホストが 1 つまたは複数の IP マルチキャストグループに加入できるかどうかを制御するには、スイッチスタックまたはスタンドアロンスイッチ上で ip igmp filter インターフェイスコンフィギュレーションコマンドを使用します。インターフェイスから指定されたプロファイルを削除するには、このコマンドの no 形式を使用します。

ip igmp filter profile number

no ip igmp filter

シンタックスの説明

profile number

適用する IGMP プロファイル番号。指定できる範囲は、1 ～ 4294967295 です。

デフォルト

IGMP のフィルタは適用されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

IGMP フィルタはレイヤ 2 の物理インターフェイスのみに適用できます。ルーテッドポート、Switch Virtual Interface（SVI; スイッチ仮想インターフェイス）、または EtherChannel グループに属するポートに対しては IGMP フィルタを適用できません。

IGMP のプロファイルは 1 つまたは複数のスイッチポートインターフェイスに適用できますが、1 つのポートに対して 1 つのプロファイルのみ適用できます。

例

次の例では、ポートに IGMP プロファイルの 22 を適用する方法を示します。

Switch(config)# interface gigabitethernet1/0/2

Switch(config-if)# ip igmp filter 22

設定を確認するには、 show running-config イネーブル EXEC コマンドを使用してインターフェイスを指定します。

ip igmp max-groups

レイヤ 2 インターフェイスが加入可能な Internet Group Management Protocol（IGMP）グループの最大数を設定したり、転送テーブル内でエントリが最大数に達する場合の IGMP スロットリング動作を設定したりするには、スイッチスタックまたはスタンドアロンスイッチ上で ip igmp max-groups インターフェイスコンフィギュレーションコマンドを使用します。最大数を制限なしのデフォルト設定に戻したり、レポートを廃棄するデフォルトのスロットリング動作に戻したりするには、このコマンドの no 形式を使用します。

ip igmp max-groups { number | action { deny | replace }}

no ip igmp max-groups { number | action }

シンタックスの説明

number	インターフェイスが加入できる IGMP グループの最大数。指定できる範囲は 0 ～ 4294967294 です。デフォルトの設定は無制限です。
action deny	IGMP スヌーピング転送テーブル内のエントリが最大数に達すると、次の IGMP 加入レポートを廃棄します。これがデフォルトの動作になります。
action replace	IGMP スヌーピング転送テーブル内のエントリが最大数に達すると、既存のグループが、IGMP レポートを受信した新しいグループに変わります。

デフォルト

グループの最大数のデフォルト設定は、無制限です。

スイッチがインターフェイス上の IGMP グループエントリの最大数を学習したあとに行われるデフォルトのスロットリング動作は、インターフェイスが受信した次の IGMP レポートを廃棄することで、インターフェイスへの IGMP グループのエントリを追加しません。

コマンドモード

インターフェイスコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。
12.1(19)EA1	action { deny \| replace } キーワードが追加されました。

使用上のガイドライン

このコマンドは、レイヤ 2 物理インターフェイスと論理 EtherChannel インターフェイスでのみ使用可能です。ルーテッドポート、Switch Virtual Interface（SVI; スイッチ仮想インターフェイス）、または EtherChannel グループに属するポートに対しては IGMP 最大グループを設定できません。

IGMP スロットリング動作を設定するときには、次の注意事項に従ってください。

• スロットリング動作を deny と設定して最大グループ制限を設定する場合、すでに転送テーブル内にあるエントリは、削除されませんが期限切れになります。これらのエントリが期限切れになると、転送テーブル内のエントリが最大数に達したときに、スイッチはインターフェイスで受信される次の IGMP レポートを廃棄します。

• スロットリング動作を replace と設定して最大グループ制限を設定する場合、すでに転送テーブル内にあるエントリは削除されます。IGMP スヌーピング転送テーブル内のエントリが最大数に達すると、ランダムに選択したマルチキャストエントリが、受信した IGMP レポートに変わります。

• 最大グループ制限がデフォルト（無制限）に設定されている場合、 ip igmp max-groups { deny | replace } コマンドを入力しても無効になります。

例

次の例では、ポートが加入できる IGMP グループ数を 25 に制限する方法を示します。

Switch(config)# interface gigabitethernet1/0/2

Switch(config-if)# ip igmp max-groups 25

次の例では、IGMP スヌーピング転送テーブル内のエントリが最大数に達したときに、既存のグループを、IGMP レポートを受信した新しいグループに置き換えるよう設定する方法を示します。

Switch(config)# interface gigabitethernet2/0/1

Switch(config-if)# ip igmp max-groups action replace

設定を確認するには、 show running-config イネーブル EXEC コマンドを使用してインターフェイスを指定します。

ip igmp profile

Internet Group Mnagement Protocol（IGMP）プロファイルを作成し、IGMP プロファイルコンフィギュレーションモードを開始するには、スイッチスタックまたはスタンドアロンスイッチ上で ip igmp profile グローバルコンフィギュレーションコマンドを使用します。このモードから、スイッチポートの IGMP メンバーシップレポートをフィルタリングするために使用する、IGMP プロファイルの設定を指定できます。IGMP プロファイルを削除する場合は、このコマンドの no 形式を使用します。

ip igmp profile profile number

no ip igmp profile profile number

シンタックスの説明

profile number

設定する IGMP プロファイル番号。指定できる範囲は、1 ～ 4294967295 です。

デフォルト

IGMP プロファイルは定義されていません。設定された場合、IGMP プロファイルとの照合におけるデフォルトアクションは、一致するアドレスを拒否する設定になります。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

IGMP プロファイルコンフィギュレーションモードでは、次のコマンドを使用することでプロファイルを作成できます。

• deny ：一致するアドレスを拒否します（デフォルトの条件）。

• exit ：IGMP プロファイルコンフィギュレーションモードを終了します。

• no ：コマンドを無効にする、またはデフォルトにリセットします。

• permit ：一致するアドレスを許可します。

• range ：プロファイルに対する IP アドレスの範囲を指定します。1 つの IP アドレス、またはアドレスの最初と最後で範囲を指定することもできます。

範囲を入力する場合、小さい方の IP マルチキャストアドレスを入力してからスペースを入力し、次に大きい方の IP マルチキャストアドレスを入力します。

IGMP のプロファイルを、1 つまたは複数のレイヤ 2 インターフェイスに適用できますが、各インターフェイスに適用できるプロファイルは 1 つのみです。

例

次の例では、IP マルチキャストアドレスの指定の範囲を許可する IGMP プロファイル 40 の設定方法を示します。

Switch(config)# ip igmp profile 40

Switch(config-igmp-profile)# permit

Switch(config-igmp-profile)# range 233.1.1.1 233.255.255.255

コマンド設定を確認するには、 show ip igmp profile イネーブル EXEC コマンドを使用します。

ip igmp snooping

Internet Group Management Protocol（IGMP）スヌーピングをスイッチ上でグローバルにイネーブル、または VLAN（仮想 LAN）ごとにイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で ip igmp snooping グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping [ vlan vlan-id ]

no ip igmp snooping [ vlan vlan-id ]

シンタックスの説明

vlan vlan-id

（任意）指定の VLAN で IGMP スヌーピングをイネーブルにします。指定できる範囲は 1 ～ 1001 または 1006 ～ 4094 です。

デフォルト

スイッチ上で、IGMP スヌーピングはグローバルにイネーブルです。

VLAN インターフェイス上で、IGMP スヌーピングはイネーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(11)AX	このコマンドが導入されました。

使用上のガイドライン

IGMP スヌーピングがグローバルにイネーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがイネーブルになります。IGMP スヌーピングがグローバルにディセーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがディセーブルになります。

VLAN ID 1002 ～ 1005 はトークンリングおよび Fiber Distributed Data Interface（FDDI）VLAN 専用で、IGMP スヌーピングでは使用できません。

例

次の例では、IGMP スヌーピングをグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping

次の例では、IGMP スヌーピングを VLAN 1 でイネーブルにする方法を示します。

Switch(config)# ip igmp snooping vlan 1

コマンド設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

ip igmp snooping last-member-query-interval

Internet Group Management Protocol（IGMP）の設定可能脱退タイマーをグローバルにまたは VLAN（仮想 LAN）ベースごとにイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で ip igmp snooping last-member-query-interval グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping [ vlan vlan-id ] last-member-query-interval time

no ip igmp snooping [ vlan vlan-id ] last-member-query-interval

シンタックスの説明

vlan vlan-id	（任意）指定の VLAN で IGMP スヌーピングと脱退タイマーをイネーブルにします。指定できる範囲は 1 ～ 1001 または 1006 ～ 4094 です。
time	タイムアウトする間隔（秒）。指定できる範囲は、100 ～ 5000 ミリ秒です。

デフォルト

デフォルトのタイムアウトは 1000 ミリ秒です。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(25)SEB	このコマンドが導入されました。

使用上のガイドライン

VLAN ID 1002 ～ 1005 はトークンリングおよび Fiber Distributed Data Interface（FDDI）VLAN 専用で、IGMP スヌーピングでは使用できません。

VLAN 上で脱退タイマーを設定すると、グローバル設定が上書きされます。

IGMP で設定可能な脱退時間は、IGMP バージョン 2 を実行するデバイスでのみサポートされています。

設定は、NVRAM（不揮発性 RAM）に保存されます。

例

次の例では、IGMP 脱退タイマーを 2000 ミリ秒にグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping last-member-query-interval 2000

次の例では、VLAN 1 上で IGMP 脱退タイマーを 3000 ミリ秒に設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 last-member-query-interval 3000

コマンド設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

ip igmp snooping querier

レイヤ 2 ネットワークの Internet Group Management Protocol（IGMP）クエリア機能をグローバルにイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で ip igmp snooping querier グローバルコンフィギュレーションコマンドを使用します。キーワードと合わせてコマンドを使用し、VLAN（仮想 LAN）インターフェイス上で IGMP クエリア機能をイネーブルにして設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

no ip igmp snooping querier [ vlan vlan-id ] [ address | max-response-time | query-interval | tcn query { count count | interval interval } | timer expiry | version ]

シンタックスの説明

vlan vlan-id	（任意）指定の VLAN で IGMP スヌーピングと IGMP クエリア機能をイネーブルにします。指定できる範囲は 1 ～ 1001 または 1006 ～ 4094 です。
address ip-address	（任意）送信元 IP アドレスを指定します。IP アドレスを指定しない場合は、クエリアが IGMP クエリアに設定されたグローバルな IP アドレスを使用しようと試みます。
max-response-time response-time	（任意）IGMP クエリアレポートを待つ最大時間を設定します。指定できる範囲は 1 ～ 25 秒です。
query-interval interval-count	（任意）IGMP クエリア間の間隔を設定します。指定できる範囲は 1 ～ 18000 秒です。
tcn query[count count \| interval interval ]	（任意）Topology Change Notification（TCN; トポロジー変更通知）に関連するパラメータを設定します。キーワードの意味は次のとおりです。 • count count ― TCN の間隔で実行される TCN クエリー数を設定します。指定できる範囲は、1 ～ 10 です。 • interval interval ― TCN クエリー間隔を設定します。指定できる範囲は、1 ～ 255 です。
timer expiry	（任意）IGMP クエリアが期限切れになるまでの時間を設定します。指定できる範囲は 60 ～ 300 秒です。
version version	（任意）クエリア機能が使用する IGMP バージョン番号を選択します。1 または 2 を選択してください。

デフォルト

IGMP スヌーピングクエリア機能は、スイッチ上でグローバルにディセーブルに設定されています。

IGMP スヌーピングクエリアがイネーブルの場合に、マルチキャスト対応装置からの IGMP トラフィックを検出すると、IGMP スヌーピングクエリア自身をディセーブルにします。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(25)SEA	このコマンドが導入されました。

使用上のガイドライン

IGMP スヌーピングをイネーブルにして、IGMP クエリーメッセージを送信する装置（ クエリア ）の IGMP バージョンおよび IP アドレスを検出する場合は、このコマンドを使用します。

デフォルトでは、IGMP スヌーピングクエリアは IGMP バージョン 2 （IGMPv2）を使用する装置を検出するように設定されています。IGMP バージョン 1 （IGMPv1）を使用しているクライアントを検出するようには設定されていません。装置が IGMPv2 を使用する場合は、手動で
max-response-time 値を設定できます。装置が IGMPv1 を使用する場合は、 max-response-time を設定できません（値を設定することはできず、0 に設定されています）。

IGMPv1 が稼働する RFC に準拠しない装置は、 max-response-time 値が 0 でない値を持つ一般的な IGMP クエリーメッセージを拒否する可能性があります。装置が一般的な IGMP クエリーメッセージを受け取るようにするには、IGMP スヌーピングクエリアで IGMPv1 を稼働するように設定します。

VLAN ID 1002 ～ 1005 はトークンリングおよび Fiber Distributed Data Interface（FDDI）VLAN 専用で、IGMP スヌーピングでは使用できません。

例

次の例では、IGMP スヌーピングクエリア機能をグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping querier

次の例では、IGMP スヌーピングクエリアの最大応答時間を 25 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier max-response-time 25

次の例では、IGMP スヌーピングクエリアの間隔を 60 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier query-interval 60

次の例では、IGMP スヌーピングクエリアの TCN クエリーカウントを 25 に設定する方法を示します。

Switch(config)# ip igmp snooping querier tcn count 25

次の例では、IGMP スヌーピングクエリアのタイムアウトを 60 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier timeout expiry 60

次の例では、IGMP スヌーピングクエリア機能をバージョン 2 に設定する方法を示します。

Switch(config)# ip igmp snooping querier version 2

コマンド設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

ip igmp snooping report-suppression

Internet Group Management Protocol（IGMP）レポート抑制をイネーブルにするには、スイッチスタックまたはスタンドアロンスイッチ上で ip igmp snooping report-suppression グローバルコンフィギュレーションコマンドを使用します。IGMP レポート抑制をディセーブルにしてすべての IGMP レポートをマルチキャストルータに転送するには、このコマンドの no 形式を使用します。

ip igmp snooping report-suppression

no ip igmp snooping report-suppression

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

IGMP レポート抑制はイネーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.1(19)EA1	このコマンドが導入されました。

使用上のガイドライン

IGMP レポート抑制は、マルチキャストクエリーに IGMPv1 および IGMPv2 レポートがある場合のみサポートされます。この機能は、クエリーに IGMPv1 レポートが含まれている場合はサポートされません。

スイッチは IGMP レポート抑制を使用してマルチキャストルータクエリーごとに 1 つの IGMP レポートをマルチキャスト装置に転送します。IGMP ルータ抑制がイネーブル（デフォルト）の場合、スイッチはグループのすべてのホストの中から最初に来る IGMP レポートを、すべてのマルチキャストルータに転送します。スイッチは、グループの残りの IGMP レポートをマルチキャストルータに送信しません。この機能により、マルチキャスト装置に重複レポートを送信することが避けられます。

マルチキャストルータクエリーに、IGMPv1 および IGMPv2 レポートのみに対する要求が含まれている場合、スイッチはグループのすべてのホストの中から最初に来る IGMPv1 または IGMPv2 レポートのみを、すべてのマルチキャストルータに転送します。マルチキャストルータのクエリーに IGMPv3 レポートに対する要求も含まれている場合、スイッチはグループのすべての IGMPv1、IGMPv2、および IGMPv3 レポートをマルチキャスト装置に転送します。

no ip igmp snooping report-suppression コマンドを入力して IGMP レポート抑制をディセーブルにする場合、すべての IGMP レポートがすべてのマルチキャストルータに転送されます。

例

次の例では、レポート抑制をディセーブルにする方法を示します。

Switch(config)# no ip igmp snooping report-suppression

コマンド設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

ip igmp snooping tcn

Internet Group Management Protocol（IGMP）Topology Change Notification（TCN; トポロジー変更通知）の動作を設定するには、スイッチスタックまたはスタンドアロンスイッチ上で ip igmp snooping tcn グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping tcn { flood query count count | query solicit }

no ip igmp snooping tcn { flood query count | query solicit }

シンタックスの説明

flood query count count	マルチキャストトラフィックのフラッディングが発生する一般的な IGMP クエリーの数を指定します。指定できる範囲は、1 ～ 10 です。
query solicit	TCN イベント中に発生する、フラッディングモードからの回復処理を高速化するために、IGMP 脱退メッセージ（グローバル脱退）を送信します。

デフォルト

TCN フラッディングクエリーカウントは 2 です。

TCN クエリー要求はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンド履歴

リリース	変更内容
12.2(25)SEB	このコマンドが導入されました。

使用上のガイドライン

TCN イベント後のマルチキャストトラフィックのフラッディング時間を制御するには、 ip igmp snooping tcn flood query count グローバルコンフィギュレーションコマンドを使用します。 ip igmp snooping tcn flood query count コマンドで TCN フラッディングクエリーカウントを 1 に設定した場合、一般的なクエリーを 1 回受信したあとにフラッディングが停止します。カウントを 7 に設定した場合、TCN イベントによるマルチキャストトラフィックのフラッディングは、一般的なクエリーを 7 回受信するまで続きます。グループは、TCN イベント中に受信した一般的なクエリーに基づいて再学習されます。

スパニングツリーのルートであるかどうかに関係なく、スイッチでのグローバル脱退メッセージの送信をイネーブルにするには、 ip igmp snooping tcn query solicit グローバルコンフィギュレーションコマンドを使用します。このコマンドにより、TCN イベント中に発生するフラッディングモードからの回復処理の高速化も行われます。

例

次の例では、マルチキャストトラフィックのフラッディングが発生する一般的な IGMP クエリーの数として 7 を指定する方法を示します。

Switch(config)# no ip igmp snooping tcn flood query count 7

コマンド設定を確認するには、 show ip igmp snooping イネーブル EXEC コマンドを入力します。

ip igmp snooping tcn flood

マルチキャストフラッディングを Internet Group Management Protocol（IGMP）スヌーピングスパニングツリー Topology Change Notification（TCN; トポロジー変更通知）の動作として設定するには、スイッチスタックまたはスタンドアロンスイッチ上で ip igmp snooping tcn flood インターフェイスコンフィギュレーションコマンドを使用します。マルチキャストフラッディングをディセーブルにする場合は、このコマンドの

コマンド	説明
mac address-table notification	MAC アドレス通知機能をイネーブルにします。
show mac address-table	MAC アドレステーブルのスタティックエントリおよびダイナミックエントリを表示します。
show mac address-table notification	すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。
snmp trap mac-notification	特定のインターフェイス上の SNMP（簡易ネットワーク管理プロトコル）MAC アドレス通知トラップをイネーブルにします。

コマンド	説明
switchport port-security	インターフェイス上でポートセキュリティをイネーブルにします。
switchport port-security mac-address mac-address	セキュア MAC アドレスを設定します。
switchport port-security maximum value	セキュアインターフェイス上のセキュア MAC アドレスの最大数を設定します。
show port-security	インターフェイスまたはスイッチに定義されたポートセキュリティ設定を表示します。

コマンド	説明
show spanning-tree	スパニングツリーステート情報を表示します。
spanning-tree link-type	デフォルトリンクタイプの設定を上書きし、RST からフォワーディングステートに変更する機能をイネーブルにします。

コマンド	説明
aaa authentication dot1x	IEEE 802.1x を実行中のインターフェイスで使用する 1 つまたは複数の AAA 方式を指定します。
aaa new-model	AAA アクセス制御モデルをイネーブルにします。構文情報については、 Cisco IOS Security Command Reference, Release 12.2 > Authentication, Authorization, and Accounting > Authentication Commands を参照してください。
dot1x reauthentication	定期的な再認証をイネーブルまたはディセーブルにします。
dot1x timeout reauth-period	再認証の試行間隔（秒）を指定します。

コマンド	説明
channel-protocol	チャネリングを管理するため、ポート上で使用されるプロトコルを制限します。
interface port-channel	ポートチャネルへのアクセスや、ポートチャネルの作成を行います。
show etherchannel	チャネルの EtherChannel 情報を表示します。
show lacp	LACP チャネルグループ情報を表示します。
show pagp	PAgP チャネルグループ情報を表示します。
show running-config	現在の実行コンフィギュレーションを表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を選択してください。

コマンド	説明
channel-group	EtherChannel グループにイーサネットポートを割り当てます。
show etherchannel protocol	EtherChannel のプロトコル情報を表示します。

コマンド	説明
class-map	名前を指定したクラスとパケットとを照合する場合に使用されるクラスマップを作成します。
police	分類したトラフィックにポリサーを定義します。
policy-map	複数のポートに適用することによってサービスポリシーを指定できるポリシーマップを作成、または変更します。
set	パケットに DSCP 値、または IP precedence 値を設定することによって、IP トラフィックを分類します。
show policy-map	Quality of Service（QoS; サービス品質）ポリシーマップを表示します。
trust	class ポリシーマップコンフィギュレーションコマンドまたは class-map グローバルコンフィギュレーションコマンドで分類されたトラフィックに、信頼状態を定義します。

コマンド	説明
class	指定のクラスマップ名で、トラフィックの分類一致条件を定義します（ police 、 set 、および trust ポリシーマップクラスコンフィギュレーションコマンドを使用）。
match（クラスマップコンフィギュレーション）	トラフィックを分類するための一致条件を定義します。
policy-map	複数のポートに適用することによってサービスポリシーを指定できるポリシーマップを作成、または変更します。
show class-map	QoS クラスマップを表示します。

コマンド	説明
arp access-list	ARP ACL を定義します。
ip arp inspection log-buffer	ダイナミック ARP 検査のロギングバッファを設定します。
ip arp inspection vlan logging	VLAN（仮想 LAN）単位で記録されたパケットタイプを制御します。
show inventory log	ダイナミック ARP 検査のロギングバッファの設定および内容を表示します。

コマンド	説明
ip dhcp snooping	VLAN（仮想 LAN）上で DHCP スヌーピングをイネーブルにします。
ip dhcp snooping database	DHCP スヌーピングバインディングデータベースエージェントまたはバインディングファイルを設定します。
show ip dhcp snooping binding	DHCP スヌーピングデータベースエージェントのステータスを表示します。

コマンド	説明
mac address-table move update { receive \| transmit }	スイッチ上で MAC アドレステーブル移行更新を設定します。
show mac address-table move update	スイッチの MAC アドレステーブル移行更新情報を表示します。

コマンド	説明
show cluster	スイッチが属するクラスタのステータスおよびサマリーを表示します。
show cluster candidates	候補スイッチのリストを表示します。

コマンド	説明
standby ip	インターフェイスで HSRP をイネーブルにします。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を選択してください。
show cluster	スイッチが属するクラスタのステータスおよびサマリーを表示します。
show standby	スタンバイグループ情報を表示します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を選択してください。

コマンド	説明
interface range	複数のポートで 1 つのコマンドを同時に実行します。
show running-config	定義されたマクロを含む現在の実行コンフィギュレーションを表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を選択してください。

コマンド	説明
ipv6 access-list	IPv6 アクセスリストを定義して、IPv6 アクセスリストコンフィギュレーションモードを開始します。
ipv6 traffic-filter	インターフェイスで IPv6 の着信トラフィックおよび発信トラフィックをフィルタリングします。
permit（IPv6 アクセスリストコンフィギュレーション）	IPv6 アクセスリストの許可条件を設定します。
show ipv6 access-list	現在の IPv6 アクセスリストの全内容を表示します。

コマンド	説明
mac access-list extended	非 IP トラフィック用に MAC アドレスベースのアクセスリストを作成します。
permit（MAC アクセスリストコンフィギュレーション）	条件が一致した場合に、非 IP トラフィックが転送されるのを許可します。
show access-lists	スイッチで設定される ACL を表示します。

コマンド	説明
dot1x guest-vlan	アクティブな VLAN をイネーブルにし、IEEE 802.1x のゲスト VLAN として指定します。
dot1x port-control	ポートの許可ステートの手動制御をイネーブルにします。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x のステータスを表示します。

コマンド	説明
dot1x auth-fail vlan [ vlan-id]	オプションの制限 VLAN 機能をイネーブルにします。
dot1x max-reauth-req [ count]	ポートが無許可ステートに変わるまでに、スイッチが認証プロセスを再始動する最大回数を設定します。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x のステータスを表示します。

コマンド	説明
dot1x auth-fail max-attempts [ max-attempts]	サプリカントを制限 VLAN に割り当てるまでに許容可能な認証試行回数を設定します。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x のステータスを表示します。

コマンド	説明
dot1x	任意のゲスト VLAN のサプリカント機能をイネーブルにします。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x のステータスを表示します。

コマンド	説明
dot1x max-req	スイッチが、認証プロセスを再始動する前に、Extensible Authentication Protocol（EAP）フレームをクライアントに送信する最大回数を設定します（応答を受信しないことが前提）。
dot1x timeout tx-period	スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x のステータスを表示します。

コマンド	説明
dot1x host-mode	ポート上で、IEEE 802.1x ホストのモードを設定します。
show dot1x	スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。

コマンド	説明
dot1x reauthentication	クライアントの定期的再認証をイネーブルにします。
dot1x timeout reauth-period	再認証の試行間隔（秒）を指定します。

Catalyst 3750 スイッチ コマンド リファレンス Cisco IOS Release 12.2(25)SED

検索結果

章のタイトル： Catalyst 3750 スイッチ Cisco IOS コマンド

Catalyst 3750 スイッチ Cisco IOS コマンド

aaa accounting dot1x

シンタックスの説明

デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

aaa authentication dot1x

シンタックスの説明

デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

action

シンタックスの説明

デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

archive copy-sw

シンタックスの説明

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

archive download-sw

シンタックスの説明

デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

archive tar

シンタックスの説明

デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

archive upload-sw

シンタックスの説明

デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

arp access-list

シンタックスの説明

デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

auto qos voip

シンタックスの説明

デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

boot auto-copy-sw

シンタックスの説明

デフォルト

コマンド モード

コマンド履歴

Catalyst 3750 スイッチコマンドリファレンス Cisco IOS Release 12.2(25)SED

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンド	説明
dot1x re-authenticate	IEEE 802.1x 対応ポートの再認証を手動で開始します。
dot1x timeout reauth-period	再認証の試行間隔（秒）を指定します。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x のステータスを表示します。

コマンド	説明
dot1x max-req	スイッチが、認証プロセスを再始動する前に、EAP-Request/Identity フレームを送信する最大回数を設定します。
dot1x reauthentication	クライアントの定期的再認証をイネーブルにします。
show dot1x	すべてのポートの IEEE 802.1x のステータスを表示します。

コマンド	説明
show interfaces	スイッチのインターフェイスの設定を表示します。
speed	10/100 または 10/100/1000 Mbps インターフェイス上で速度を設定します。

コマンド	説明
show errdisable detect	errdisable の検出情報を表示します。
show interfaces status err-disabled	インターフェイスのステータスまたは errdisable ステートにあるインターフェイスのリストを表示します。

コマンド	説明
show errdisable recovery	errdisable 回復タイマーの情報を表示します。
show interfaces status err-disabled	インターフェイスのステータスまたは errdisable ステートにあるインターフェイスのリストを表示します。

コマンド	説明
define interface-range	インターフェイスレンジのマクロを作成します。
show running-config	スイッチの現在の実行コンフィギュレーション情報を表示します。構文情報については、 Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands を選択してください。

コマンド	説明
access list	番号付けされた ACL を設定します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を選択してください。
ip access-list	名前付き ACL を設定します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を選択してください。
show access-lists	スイッチで設定される ACL を表示します。
show ip access-lists	スイッチで設定される IP ACL を表示します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を選択してください。
show ip interface	インターフェイスのステータスおよび設定情報を表示します。構文情報については、 Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2 > IP Services Commands を選択してください。

コマンド	説明
arp access-list	ARP Access Control List（ACL; アクセス制御リスト）を定義します。
clear ip arp inspection log	ダイナミック ARP 検査のロギングバッファをクリアします。
ip arp inspection vlan logging	VLAN 単位で記録されたパケットタイプを制御します。
show inventory log	ダイナミック ARP 検査のロギングバッファの設定および内容を表示します。

コマンド	説明
ip arp inspection log-buffer	ダイナミック ARP 検査のロギングバッファを設定します。
show inventory interfaces	指定されたインターフェイス、またはすべてのインターフェイスの ARP パケットの信頼状態およびレート制限を表示します。
show inventory log	ダイナミック ARP 検査のロギングバッファの設定および内容を表示します。

コマンド	説明
arp access-list	ARP Access Control List（ACL; アクセス制御リスト）を定義します。
show inventory vlan vlan-range	指定された VLAN 用のダイナミック ARP 検査の設定および動作ステートを表示します。