Catalyst 3750 スイッチ Cisco IOS コマンド
aaa accounting dot1x
認証、許可、アカウンティング(AAA)アカウンティングをイネーブルにして、IEEE 802.1x セッションの特定のアカウンティング方式を、回線単位またはインターフェイス単位で定義する方式リストを作成するには aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ }...]}
no aaa accounting dot1x { name | default }
構文の説明
name |
サーバ グループ名。これは、 broadcast group および group キーワードの後に入力する場合に使用するオプションです。 |
default |
デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に使用します。 |
start-stop |
プロセスの開始時に start アカウンティング通知を送信し、プロセスの終了時に stop アカウンティング通知を送信します。start アカウンティング レコードはバックグラウンドで送信されます。アカウンティング サーバが start アカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。 |
broadcast |
複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。 |
group |
アカウンティング サービスに使用するサーバ グループを指定します。有効なサーバ グループ名は次のとおりです。 • name :サーバ グループ名 • radius :全 RADIUS ホストのリスト • tacacs+ :全 TACACS+ ホストのリスト broadcast group および group キーワードの後に入力する場合、 group キーワードはオプションです。オプションの group キーワードより多くのキーワードを入力できます。 |
radius |
(任意)RADIUS 認証をイネーブルにします。 |
tacacs+ |
(任意)TACACS+ アカウンティングをイネーブルにします。 |
デフォルト
AAA アカウンティングはディセーブルです。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(20)SE |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、RADIUS サーバへのアクセスが必要です。
インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。
例
次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。
Switch(config)# aaa new-model
Switch(config)# aaa accounting dot1x default start-stop group radius
(注) RADIUS 認証サーバは、AAA クライアントから更新パケットやウォッチドッグ パケットを受け入れて記録するよう、適切に設定する必要があります。
関連コマンド
|
|
aaa authentication dot1x |
IEEE 802.1x が動作しているインターフェイスで使用する 1 つ以上の AAA メソッドを指定します。 |
aaa new-model |
AAA アクセス コントロール モデルをイネーブルにします。 |
dot1x reauthentication |
定期的な再認証をイネーブルまたはディセーブルにします。 |
dot1x timeout reauth-period |
再認証の試行の間隔(秒)を設定します。 |
aaa authentication dot1x
IEEE 802.1x 認証に準拠するポートで認証、許可、アカウンティング(AAA)メソッドを使用するように指定するには aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication dot1x { default } method1
no aaa authentication dot1x { default }
構文の説明
default |
この引数の後に続く、リストされた認証方式をログイン時のデフォルトの方式として使用します。 |
method1 |
認証用にすべての RADIUS サーバのリストを使用するには、 group radius キーワードを入力します。 |
(注) 他のキーワードがコマンドラインのヘルプ ストリングに表示されますが、サポートされているのは default および group radius キーワードだけです。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために一定の順序で試みる方式を指定します。実際に IEEE 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。
group radius を指定した場合、 radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。
設定された認証方式のリストを表示するには、 show running-config 特権 EXEC コマンドを使用します。
例
次の例では AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試みます。この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。
関連コマンド
|
|
aaa new-model |
AAA アクセス コントロール モデルをイネーブルにします。 |
show running-config |
現在の動作設定を表示します。 |
aaa authorization network
IEEE 802.1x aaa ユーザ アクセス コントロール リスト(ACL)や VLAN 割り当てといったすべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を使用するようにスイッチを設定するには、 aaa authorization network グローバル コンフィギュレーション コマンドを使用します。RADIUS ユーザ認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authorization network default group radius
no aaa authorization network default
構文の説明
default group radius |
デフォルトの認証リストとして、サーバ グループ内のすべての RADIUS ホストのリストを使用します。 |
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
スイッチが、デフォルトの認証リスト内にある RADIUS サーバから IEEE 802.1x 認証パラメータをダウンロードできるようにするには、aaa authorization network default group radius グローバル コンフィギュレーション コマンドを使用します。認証パラメータは、ユーザごとの ACL または VLAN 割り当てなど、RADIUS サーバからパラメータを取得する機能で使用されます。
設定された認証方式リストを表示するには、 show running-config 特権 EXEC コマンドを使用します。
例
この例では、すべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を行うようスイッチを設定する方法を示します。
Switch(config)# aaa authorization network default group radius
設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show running-config |
現在の動作設定を表示します。 |
action
VLAN アクセス マップ エントリに対してアクションを設定するには、 action アクセス マップ コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
action {drop | forward }
no action
構文の説明
drop |
指定された条件に一致する場合に、パケットをドロップします。 |
forward |
指定された条件に一致する場合に、パケットを転送します。 |
デフォルト
デフォルトのアクションは、パケットの転送です。
コマンド モード
アクセス マップ コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
vlan access-map グローバル コンフィギュレーション コマンド を使用して、アクセス マップ コンフィギュレーション モードを開始します。
アクションが drop の場合は、一致条件にアクセス コントロール リスト(ACL)名を設定後、そのマップを VLAN に適用してアクセス マップを定義する必要があります。定義しない場合、すべてのパケットがドロップされることがあります。
アクセス マップ コンフィギュレーション モードでは、 match アクセス マップ コンフィギュレーション コマンドを使用して、VLAN マップの一致条件を定義できます。 action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。
drop パラメータおよび forward パラメータは、このコマンドの no 形式では使用されません。
例
次の例では、VLAN アクセス マップ vmap4 を指定し VLAN 5 と VLAN 6 に適用する方法を示します。このアクセス マップは、パケットがアクセス リスト al2 に定義された条件に一致する場合に、VLAN がその IP パケットを転送するように指定します。
Switch(config)# vlan access-map vmap4
Switch(config-access-map)# match ip address al2
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan filter vmap4 vlan-list 5-6
設定を確認するには、 show vlan access-map 特権 EXEC コマンドを入力します。
関連コマンド
|
|
access-list { deny | permit } |
番号付き標準 ACL を設定します。 |
ip access-list |
名前付きアクセス リストを作成します。 |
mac access-list extended |
名前付き MAC アドレス アクセス リストを作成します。 |
match(クラスマップ コンフィギュレーション) |
VLAN マップの一致条件を定義します。 |
show vlan access-map |
スイッチで作成された VLAN アクセス マップを表示します。 |
vlan access-map |
VLAN アクセス マップを作成します。 |
access-list
標準または拡張 IP アクセス リストのスマート ロギングをイネーブルにするには、グローバル コンフィギュレーション モードで、 access-list コマンドを smartlog キーワードとともに使用します。ACL エントリへの一致は、NetFlow コレクタのログに記録されます。アクセス リストのスマート ロギングをディセーブルにするには、このコマンドの no 形式を使用します。
access-list access-list-number { deny | permit } source [ source-wildcard ] [ log [ word ] | smartlog ]
access-list access-list-number [ dynamic dynamic-name [ timeout minutes ]] { deny | permit } protocol source source-wildcard destination destination-wildcard [ precedence precedence ] [ tos tos ] [ time-range time-range-name ] [ fragments ] [ log [ word ] | log-input [ word ] | smartlog ]
構文の説明
smartlog |
(任意)スイッチでスマート ロギングがイネーブルになっている場合、アクセス リストを照合するパケット フローを NetFlow コレクタに送信します。 |
デフォルト
ACL スマート ロギングはイネーブルになっていません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(58)SE |
smartlog キーワードが追加されました。 |
使用上のガイドライン
access-list コマンドの smartlog キーワードを使用しない構文の完全な説明については、『 Cisco IOS Security Command Reference 』を参照してください。
ACL がインターフェイスに適用されている場合、ACL に一致するパケットは、ACL の設定に基づいて拒否または許可されます。スイッチでスマート ロギングがイネーブルになっており、ACL に smartlog キーワードが含まれている場合、拒否または許可されたパケットの内容は Flexible NetFlow コレクタに送られます。
また、 logging smartlog グローバル コンフィギュレーション コマンドを使用して、スマート ロギングをグローバルにイネーブルにする必要があります。
ポート ACL(レイヤ 2 インターフェイスに適用された ACL)のみがスマート ロギングをサポートしています。ルータ ACL または VLAN ACL はスマート ロギングをサポートしていません。ポート ACL はロギングをサポートしていません。
ACL がインターフェイスに適用されている場合、一致するパケットはログまたはスマート ログのいずれかに記録され、両方に記録されることはありません。
アクセス リストのディセーブルであるスマート ロギングを削除するには、アクセス リスト コンフィギュレーション モードを開始し、 no deny { source [ source-wildcard ] | host source | any } [ smartlog ] コマンドまたは no permit { source [ source-wildcard ] | host source | any } [ smartlog ] コマンドを入力します。
ACL でスマート ロギングがイネーブルになっていることを確認するには、 show ip access list 特権 EXEC コマンドを入力します。
例
次の例では、拡張アクセス リスト、ACL 101 に対してスマート ロギングを設定する方法を示します。これにより、IP アドレスが 172.20.10.101 のホストから任意の宛先へ IP トラフィックが許可されます。スマート ロギングがイネーブルになっており、ACL がレイヤ 2 インターフェイスに適用されている場合、この条件に一致するパケットのコピーが NetFlow コレクタに送信されます。
Switch(config)# acl 101 permit ip host 10.1.1.2 any smartlog
関連コマンド
|
|
logging smartlog |
スマート ロギングをグローバルにイネーブルにします。 |
show access list show ip access list |
すべてのアクセス リストまたはすべての IP アクセス リストの内容を表示します。 |
archive copy-sw
特定のスタック メンバ上のフラッシュ メモリから実行イメージを、1 つ以上の別のスタック メンバ上にあるフラッシュ メモリにコピーするには、スタック マスター上で archive copy-sw 特権 EXEC コマンドを使用します。
archive copy-sw [ /destination-system destination-stack-member-number ] [ /force-reload ] [ leave-old-sw ] [ /no-set-boot ] [ /overwrite ] [ /reload ] [ /safe ] source-stack-member-number
コマンド履歴
/destination-system destination-stack- member-number |
(任意)実行イメージのコピー先のメンバ番号。指定できる範囲は 1 ~ 9 です。 |
/force-reload |
(任意)ソフトウェア イメージのダウンロードが成功した後、無条件にシステムのリロードを強制します。 |
/leave-old-sw |
(任意)ダウンロードが成功した後、古いソフトウェア バージョンを保存します。 |
/no-set-boot |
(任意)新しいソフトウェア イメージのダウンロードが成功した後、BOOT 環境変数の設定は新しいソフトウェア イメージを示すように変更されません。 |
/overwrite |
(任意)ダウンロードされたソフトウェア イメージで、フラッシュ メモリのソフトウェア イメージを上書きします。 |
/reload |
(任意)変更された設定が保存されていない場合を除き、イメージをダウンロードした後でシステムをリロードします。 |
/safe |
(任意)現在のソフトウェア イメージを保存します。新しいイメージがダウンロードされるまでは、新しいソフトウェア イメージ用の領域を作る目的で現在のソフトウェア イメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。 |
source-stack-member- number |
実行イメージのコピー元のメンバ番号。指定できる範囲は 1 ~ 9 です。 |
使用上のガイドライン
現行のソフトウェア イメージは、コピーされたイメージで上書きされません。
ソフトウェア イメージと HTML ファイルの両方がコピーされます。
新しいイメージは flash: ファイル システムにコピーされます。
BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを示すよう変更されます。
イメージ名では大文字と小文字が区別されます。イメージ ファイルは tar フォーマットで提供されます。
(注) archive copy-sw 特権 EXEC コマンドを正しく使用するには、追加されるスタック メンバ スイッチおよびマスターの両方のイメージを TFTP サーバからダウンロードしておく必要があります。ダウンロードを実行するには、archive download-sw 特権 EXEC コマンドを使用します。
互換性のないソフトウェアが搭載されたスイッチにコピーされるイメージは、少なくとも 1 つのメンバで実行している必要があります。
アップグレードする各メンバのコマンドで /destination -system destination-stack-member-number のオプションを繰り返すことで、複数の具体的なメンバにイメージをコピーできます。 destination-stack-member-number を指定しなかった場合は、デフォルト設定で、実行中のイメージ ファイルがすべてのメンバにコピーされます。
/safe または /leave-old-sw オプションを使用した場合に、十分なフラッシュ メモリがないと、新しいイメージのコピーに失敗する場合があります。ソフトウェアを残すことによってフラッシュ メモリの空き容量が不足し、新しいイメージが入りきらなかった場合にエラーが発生します。
/leave-old-sw オプションを使用したために、新しいイメージをコピーしても古いイメージが上書きされなかった場合、 delete 特権 EXEC コマンドを使用して古いイメージを削除できます。詳細については、 「delete」(P.2-129)の項 を参照してください。
フラッシュ デバイスのイメージを、コピーされたイメージで上書きする場合は、 /overwrite オプションを使用します。
/overwrite オプション なし でこのコマンドを指定した場合は、新しいイメージが、スイッチ フラッシュ デバイス上のイメージと同じでないことや、いずれのメンバでも実行中ではないことが、アルゴリズムによって確認されます。イメージが同じである場合には、コピーは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがコピーされます。
新しいイメージをコピーした後で、 reload 特権 EXEC コマンドを入力して新しいイメージの使用を開始するか、または archive copy-sw コマンドで /reload か /force-reload オプションを指定してください。
source-stack-member-number オプションを使用する場合、次のオプションを 1 つ以上入力できます。
• /destination-system destination-stack-member-number
• / force-reload
• / leave-old-sw
• / no-set-boot
• / overwrite
• / reload
• /safe
これよりも前にあるいずれかのオプションの前に source-stack-member-number オプションを入力する場合は、 archive copy-sw source-stack-member-number コマンドだけを入力できます。
次の例では、 archive copy-sw コマンドを入力する方法を示します。
• 実行イメージをメンバから別のメンバにコピーして、2 つめのメンバのフラッシュ メモリのソフトウェア イメージ(すでに存在する場合)を、コピーしたイメージで上書きするには、 archive copy-sw /destination destination-stack-member-number /overwrite s ource-stack-member-number コマンドを入力します。
• 実行イメージをメンバから別のメンバにコピーして、現在のソフトウェア イメージを保持しながらイメージのコピー後にシステムをリロードするには、 archive copy-sw/destination destination-stack-member-number /safe/reload source-stack-member-number コマンドを入力します。
例
次の例では、スタック メンバ 6 から実行イメージをメンバ 8 にコピーする方法を示します。
Switch# archive copy-sw /destination-system 8 6
次の例では、メンバ 6 から実行イメージを他のすべてのメンバにコピーする方法を示します。
Switch# archive copy-sw 6
次の例では、メンバ 5 から実行イメージをメンバ 7 にコピーする方法を示します。2 つめのメンバのフラッシュ メモリにコピー対象のイメージがすでに存在する場合は、コピーされたイメージで上書きされます。イメージがコピーされた後、システムはリロードされます。
Switch# archive copy-sw /destination-system 7 /overwrite /force-reload 5
関連コマンド
|
|
archive download-sw |
TFTP サーバからスイッチに新しいイメージをダウンロードします。 |
archive tar |
tar ファイルを作成し、tar ファイルのファイルを一覧表示し、tar ファイルからファイルを抽出します。 |
archive upload-sw |
スイッチの既存のイメージをサーバにアップロードします。 |
delete |
フラッシュ メモリ デバイスのファイルまたはディレクトリを削除します。 |
archive download-sw
新しいイメージを TFTP サーバからスイッチまたはスイッチ スタックにダウンロードして、既存のイメージを上書きまたは保持するには、 archive download-sw 特権 EXEC コマンドを使用します。
archive download-sw {/ allow-feature-upgrade | /directory | /force-reload | /imageonly | /leave-old-sw | /no-set-boot | /no-version-check | /destination-system stack-member-number | /only-system-type system-type | /overwrite | /reload | /safe } source-url
構文の説明
/allow-feature-upgrade |
異なるフィーチャ セットを持つイメージをインストールできます(たとえば、IP ベース イメージから IP サービス イメージへのアップグレード)。 |
/directory |
イメージのディレクトリを指定します。 |
/force-reload |
ソフトウェア イメージのダウンロードが成功した後で無条件にシステムのリロードを強制します。 |
/imageonly |
ソフトウェア イメージだけをダウンロードし、組み込みデバイス マネージャに関連する HTML ファイルはダウンロードしません。既存のバージョンの HTML ファイルは、既存のバージョンが上書きまたは削除されている場合にだけ削除されます。 |
/leave-old-sw |
ダウンロードに成功した後で古いソフトウェア バージョンを保存します。 |
/no-set-boot |
新しいソフトウェア イメージのダウンロードに成功した後に、BOOT 環境変数の設定が新しいソフトウェア イメージを指定するように変更されません。 |
/no-version-check |
そのバージョンのスイッチ上で動作中のイメージとの互換性を確認せずに、ソフトウェア イメージをダウンロードします。スイッチ スタックでは、イメージ上およびスタック上のスタック プロトコル バージョンの互換性を確認せずに、ソフトウェア イメージをダウンロードします。 |
/destination-system stack-member-number |
アップグレードする特定のメンバを指定します。指定できる範囲は 1 ~ 9 です。 |
/only-system-type system-type |
アップグレードする特定のシステム タイプを指定します。指定できる範囲は 0 ~ FFFFFFFF です。 |
/overwrite |
ダウンロードされたイメージで、フラッシュ メモリのソフトウェア イメージを上書きします。 |
/reload |
変更された設定が保存されていない場合を除き、イメージのダウンロードに成功した後でシステムをリロードします。 |
/safe |
現在のソフトウェア イメージを保存します。新しいイメージがダウンロードされるまでは、新しいソフトウェア イメージ用の領域を作る目的で現在のソフトウェア イメージを削除しません。ダウンロード終了後に現在のイメージが削除されます。 |
source-url |
ローカルまたはネットワーク ファイル システム用の送信元 URL エイリアス。次のオプションがサポートされています。 • セカンダリ ブートローダ(BS1)の構文: bs1: • スタンドアロン スイッチまたはマスター上のローカル フラッシュ ファイル システムの構文: flash: メンバ上のローカル フラッシュ ファイル システムの構文: flash member number : • FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar • HTTP サーバの構文: http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文: https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • Remote Copy Protocol(RCP)の構文: rcp: [[ // username @ location ]/ directory ] / image-name .tar • TFTP の構文: tftp: [[ // location ]/ directory ] / image-name .tar image-name .tar は、スイッチにダウンロードし、インストールするソフトウェア イメージです。 |
デフォルト
現行のソフトウェア イメージは、ダウンロードされたイメージで上書きされません。
ソフトウェア イメージと HTML ファイルの両方がダウンロードされます。
新しいイメージは flash: ファイル システムにダウンロードされます。
BOOT 環境変数は、flash: ファイル システムの新しいソフトウェア イメージを示すよう変更されます。
イメージ名では大文字と小文字が区別されます。イメージ ファイルは tar フォーマットで提供されます。
ダウンロードするイメージのスタック プロトコル バージョンの互換性は、スタックのバージョンと検査されます。
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
12.2(20)SE |
http および https キーワードが追加されました。 |
12.2(35)SE |
allow-feature-upgrade および directory キーワードが追加されました。 |
使用上のガイドライン
/allow-feature-upgrade オプションを使用すると、異なるフィーチャ セットを持つイメージをインストールできます(たとえば、IP ベース イメージから IP サービス イメージへのアップグレード)。
archive download-sw /directory コマンドを使用すると、ディレクトリを一度指定します。その後に、ダウンロードする tar ファイルや tar ファイル リストを指定するため、tar ファイルごとに完全なパスを指定することはしません。たとえば、 archive download-sw /directory tftp://10.1.1.10/ c3750-ipservices-tar.122-35.SE.tar c3750-ipbase-tar.122-35.SE.tar と入力します。
/imageonly オプションは、既存のイメージが削除または置き換えられている場合に、既存のイメージの HTML ファイルを削除します。(HTML ファイルのない)Cisco IOS イメージだけがダウンロードされます。
/safe または /leave-old-sw オプションを指定すると、十分なフラッシュ メモリがない場合には新しいイメージのダウンロードが行われないようにすることができます。ソフトウェアを残すことによってフラッシュ メモリの空き容量が不足し、新しいイメージが入りきらなかった場合に、エラーが発生します。
/leave-old-sw オプションを使用し、新しいイメージをダウンロードしたときに古いイメージが上書きされなかった場合、 delete 特権 EXEC コマンドを使用して古いイメージを削除することができます。詳細については、 「delete」(P.2-129)の項 を参照してください。
スタックに存在しているバージョンとは異なるスタック プロトコルのバージョンのイメージをダウンロードする場合は、 /no-version-check オプションを使用します。このオプションを使用する場合は /destination-system オプションを使用し、イメージでアップグレードする具体的なメンバを指定してください。
(注) /no-version-check オプションの使用には注意が必要です。同一のスタックにするためには、マスターを含め、すべてのメンバで、スタック プロトコルのバージョンが同一である必要があります。このオプションを指定すると、最初にスタック プロトコルのバージョンと、スタックのバージョンの互換性を確認することなく、イメージをダウンロードできます。
アップグレードするスタック メンバごとのコマンドで /destination-system オプションを繰り返すことで、複数のスタック メンバを指定し、アップグレードできます。
フラッシュ デバイスのイメージをダウンロードされたイメージで上書きする場合は、 /overwrite オプションを使用します。
/overwrite オプション なし でこのコマンドを指定する場合、ダウンロード アルゴリズムは、新しいイメージが、スイッチ フラッシュ デバイスのイメージ、またはスタック メンバで実行中のものと同じではないことを確認します。イメージが同じである場合は、ダウンロードは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがダウンロードされます。
新しいイメージをダウンロードした後で、 reload 特権 EXEC コマンドを入力して新しいイメージの使用を開始するか、または archive download-sw コマンドの /reload オプションか /force-reload オプションを指定してください。
/directory オプションを使用して、イメージのディレクトリを指定します。
例
次の例では、172.20.129.10 の TFTP サーバから新しいイメージをダウンロードし、スイッチでイメージを上書きする方法を示します。
Switch# archive download-sw /overwrite tftp://172.20.129.10/test-image.tar
次の例では、172.20.129.10 の TFTP サーバからソフトウェア イメージだけをスイッチにダウンロードする方法を示します。
Switch# archive download-sw /imageonly tftp://172.20.129.10/test-image.tar
次の例では、ダウンロードに成功した後で古いソフトウェア バージョンを保存する方法を示します。
Switch# archive download-sw /leave-old-sw tftp://172.20.129.10/test-image.tar
次の例では、毎回パスを指定しないで 2 つの tar イメージの場所を指定します。
Switch# archive download-sw /directory tftp://10.1.1.10/ c3750-ipservices-tar.122-35.SE.tar c3750-ipbase-tar.122-35.SE.tar.
次の例では、スタック メンバ 6 および 8 をアップグレードする方法を示します。
Switch# archive download-sw /imageonly /destination-system 6 /destination-system 8 tftp://172.20.129.10/test-image.tar
関連コマンド
|
|
archive copy-sw |
あるスタック メンバのフラッシュ メモリから実行イメージを、別の 1 つ以上のスタック メンバ上のフラッシュ メモリにコピーします。 |
archive tar |
tar ファイルを作成し、tar ファイルのファイルを一覧表示し、tar ファイルからファイルを抽出します。 |
archive upload-sw |
スイッチの既存のイメージをサーバにアップロードします。 |
delete |
フラッシュ メモリ デバイスのファイルまたはディレクトリを削除します。 |
archive tar
archive tar 特権 EXEC コマンドを使用して、tar ファイルの作成、tar ファイル内のファイルの一覧表示、または tar ファイルからのファイルの抽出を行います。
archive tar { /create destination-url flash:/ file-url } | { /table source-url } | { /xtract source-url flash:/ file-ur l [ dir/file ...]}
構文の説明
/create destination-url flash:/ file-url |
ローカルまたはネットワーク ファイル システムに新しい tar ファイルを作成します。 destination-url には、ローカルまたはネットワーク ファイル システムの宛先 URL エイリアスおよび作成する tar ファイルの名前を指定します。次のオプションがサポートされています。 • ローカル フラッシュ ファイル システムの構文: flash: • FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar • HTTP サーバの構文: http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文: https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • Remote Copy Protocol(RCP)の構文: rcp: [[ // username @ location ]/ directory ] / tar-filename .tar • TFTP の構文: tftp: [[ // location ]/ directory ] / tar-filename .tar tar-filename .tar は、作成する tar ファイルです。 flash:/ file-url には、新しい tar ファイルが作成されるローカル フラッシュ ファイル システムの場所を指定します。 送信元ディレクトリ内のファイルまたはディレクトリのオプションのリストを指定して、新しい tar ファイルに書き込むことができます。何も指定しないと、このレベルのすべてのファイルおよびディレクトリが、新しく作成された tar ファイルに書き込まれます。 |
/table source-url |
既存の tar ファイルの内容を画面に表示します。 source-url には、ローカル ファイル システムまたはネットワーク ファイル システムの送信元 URL エイリアスを指定します。次のオプションがサポートされています。 • ローカル フラッシュ ファイル システムの構文 flash: • FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar • HTTP サーバの構文: http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文: https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • RCP の構文: rcp: [[ // username @ location ]/ directory ] / tar-filename .tar • TFTP の構文: tftp: [[ // location ]/ directory ] / tar-filename .tar tar-filename .tar は、表示する tar ファイルです。 |
/xtract source-url flash:/ file-url [ dir/file... ] |
tar ファイルからローカル ファイル システムにファイルを抽出します。 source-url には、ローカル ファイル システムの 送信元 URL エイリアスを指定します。次のオプションがサポートされています。 • ローカル フラッシュ ファイル システムの構文 flash: • FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar • HTTP サーバの構文: http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文: https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • RCP の構文: rcp: [[ // username @ location ]/ directory ] / tar-filename .tar • TFTP の構文: tftp: [[ // location ]/ directory ] / tar-filename .tar tar-filename .tar は、抽出される tar ファイルです。 flash:/ file-url [ dir/file ...] には、tar ファイルが抽出されるローカル フラッシュ ファイル システムの場所を指定します。tar ファイルから抽出されるファイルまたはディレクトリのオプション リストを指定するには、 dir/file ... オプションを使用します。何も指定されないと、すべてのファイルとディレクトリが抽出されます。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
ファイル名およびディレクトリ名は、大文字と小文字を区別します。
イメージ名では、大文字と小文字が区別されます。
例
次の例では、tar ファイルを作成する方法を示します。このコマンドはローカル フラッシュ デバイスの new-configs ディレクトリの内容を、172.20.10.30 の TFTP サーバの saved.tar という名前のファイルに書き込みます。
Switch# archive tar /create tftp:172.20.10.30/saved.tar flash:/new_configs
次の例では、フラッシュ メモリに含まれるファイルの内容を表示する方法を示します。tar ファイルの内容が画面に表示されます。
Switch# archive tar /table flash:c3750-ipservices-12-25.SEB.tar
c3750-ipservices-mz.12-25.SEB/ (directory)
c3750-ipservices-mz.12-25.SEB (610856 bytes)
c3750-ipservices-mz.12-25.SEB/info (219 bytes)
次の例では、 /html ディレクトリおよびその内容だけを表示する方法を示します。
flash:c3750-ipservices-12-25.SEB.tar c3750-ipservices-12-25/html
c3750-ipservices-mz.12-25.SEB/html/ (directory)
c3750-ipservices-mz.12-25.SEB/html/const.htm (556 bytes)
c3750-ipservices-mz.12-25.SEB/html/xhome.htm (9373 bytes)
c3750-ipservices-mz.12-25.SEB/html/menu.css (1654 bytes)
次の例では、172.20.10.30 のサーバにある tar ファイルの内容を抽出する方法を示します。ここでは、ローカル フラッシュ ファイル システムのルート ディレクトリに単に new-configs ディレクトリを抽出しています。 saved.tar ファイルの残りのファイルは無視されます。
Switch# archive tar /xtract tftp://172.20.10.30/saved.tar flash:/new-configs
関連コマンド
|
|
archive copy-sw |
あるスタック メンバのフラッシュ メモリから実行イメージを、別の 1 つ以上のスタック メンバ上のフラッシュ メモリにコピーします。 |
archive download-sw |
TFTP サーバからスイッチに新しいイメージをダウンロードします。 |
archive upload-sw |
スイッチの既存のイメージをサーバにアップロードします。 |
archive upload-sw
archive upload-sw 特権 EXEC コマンドを使用して、既存のスイッチ イメージをサーバにアップロードします。
archive upload-sw [ /source-system-num stack member number | /version version_string ] destination-url
構文の説明
/source-system-num stack member number |
アップロードするイメージを持った特定のスタック メンバを指定します。 |
/version version_string |
(任意)アップロードするイメージの特定バージョン文字列を指定します。 |
destination-url |
ローカルまたはネットワーク ファイル システムの宛先 URL エイリアスです。次のオプションがサポートされています。 • スタンドアロン スイッチまたはスタック マスター上のローカル フラッシュ ファイル システムの構文: flash: スタック メンバ上のローカル フラッシュ ファイル システムの構文: flash member number : • FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar • HTTP サーバの構文: http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文: https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • Secure Copy Protocol(SCP)の構文: scp: [[ // username @ location ]/ directory ] / image-name .tar • Remote Copy Protocol(RCP)の構文: rcp: [[ // username @ location ]/ directory ] / image-name .tar • TFTP の構文: tftp: [[ // location ]/ directory ] / image-name .tar image-name .tar は、サーバに保存するソフトウェア イメージの名前です。 |
デフォルト
フラッシュ ファイル システムから現在稼働中のイメージをアップロードします。
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
/version オプションを使用するためには、 /source-system-num オプションを指定する必要があります。これらのオプションを同時に使用することで、指定のスタック メンバの特定のイメージ(実行イメージではない)をアップロードできます。
組み込みデバイス マネージャに関連付けられている HTML ファイルが既存のイメージとともにインストールされている場合にだけ、アップロード機能を使用します。
ファイルは、Cisco IOS イメージ、HTML ファイル、info の順序でアップロードされます。これらのファイルがアップロードされると、ソフトウェアは tar ファイルを作成します。
イメージ名では、大文字と小文字が区別されます。
例
次の例では、スタック メンバ 3 で現在実行中のイメージを、172.20.140.2 の TFTP サーバへアップロードする方法を示します。
Switch# archive upload-sw/source-system-num 3tftp://172.20.140.2/test-image.tar
関連コマンド
|
|
archive copy-sw |
あるスタック メンバのフラッシュ メモリから実行イメージを、別の 1 つ以上のスタック メンバ上のフラッシュ メモリにコピーします。 |
archive download-sw |
新しいイメージをスイッチにダウンロードします。 |
archive tar |
tar ファイルを作成し、tar ファイルのファイルを一覧表示し、tar ファイルからファイルを抽出します。 |
arp access-list
アドレス解決プロトコル(ARP)アクセス コントロール リスト(ACL)を定義する場合、または以前定義したリストの最後にコマンドを追加する場合は、arp access-list グローバル コンフィギュレーション コマンドを使用します。指定された ARP アクセス リストを削除するには、このコマンドの no 形式を使用します。
arp access-list acl-name
no arp access-list acl-name
デフォルト
ARP アクセス リストは定義されていません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(20)SE |
このコマンドが追加されました。 |
使用上のガイドライン
arp access-list コマンドを入力すると、ARP アクセス リスト コンフィギュレーション モードに入り、次のコンフィギュレーション コマンドが使用可能になります。
• default :コマンドをデフォルト設定に戻します。
• deny :パケットを拒否するように指定します。詳細については、 「deny(ARP アクセス リスト コンフィギュレーション)」(P.2-132)の項 を参照してください。
• exit :ARP アクセス リスト コンフィギュレーション モードを終了します。
• no :コマンドを無効にするか、デフォルト設定に戻します。
• permit :パケットを転送するように指定します。詳細については、 「permit(ARP アクセス リスト コンフィギュレーション)」(P.2-414)の項 を参照してください。
指定された一致条件に基づいて ARP パケットを転送またはドロップするには、 permit または deny アクセス リスト コンフィギュレーション コマンドを使用します。
ARP ACL が定義されると、 ip arp inspection filter vlan グローバル コンフィギュレーション コマンドを使用して VLAN に ARP ACL を適用できます。IP/MAC アドレス バインディングだけを含む ARP パケットが ACL と比較されます。それ以外のすべてのパケット タイプは、検証されずに、入力 VLAN 内でブリッジングされます。ACL がパケットを許可すると、スイッチがパケットを転送します。明示的拒否ステートメントによって ACL がパケットを拒否すると、スイッチがパケットをドロップします。暗黙拒否ステートメントによって ACL がパケットを拒否すると、スイッチはパケットを DHCP バインディングのリストと比較します。ただし、ACL が スタティック (パケットがバインディングと比較されない)である場合を除きます。
例
次の例では、ARP アクセス リストを定義し、IP アドレスが 1.1.1.1 で MAC アドレスが 0000.0000.abcd のホストからの ARP 要求と ARP 応答の両方を許可する方法を示します。
Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# permit ip host 1.1.1.1 mac host 00001.0000.abcd
Switch(config-arp-nacl)# end
設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。
関連コマンド
|
|
deny(ARP アクセス リスト コンフィギュレーション) |
DHCP バインディングとの比較による一致に基づいて ARP パケットを拒否します。 |
ip arp inspection filter vlan |
スタティック IP アドレスで設定されたホストからの ARP 要求および応答を許可します。 |
permit(ARP アクセス リスト コンフィギュレーション) |
DHCP バインディングとの比較による一致に基づいて ARP パケットを許可します。 |
show arp access-list |
ARP アクセス リストに関する詳細を表示します。 |
authentication command bounce-port ignore
スイッチがポートを一時的にディセーブルにするコマンドを無視できるようにするには、スイッチ スタックまたはスタンドアロン スイッチ上で authentication command bounce-port ignore グローバル コンフィギュレーション コマンドを使用します。デフォルトのステータスに戻すには、このコマンドの no 形式を使用します。
authentication command bounce-port ignore
no authentication command bounce-port ignore
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このスイッチは、RADIUS 認可変更(CoA) bounce port コマンドを受け入れます。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(52)SE |
このコマンドが追加されました。 |
使用上のガイドライン
CoA bounce port コマンドによってリンク フラップが発生し、ホストからの DHCP 再ネゴシエーションが作動します。これは VLAN 変更が発生した場合に有益であり、エンドポイントは、変更を検出するサプリカントを持たないプリンタなどのデバイスです。スイッチが bounce port コマンドを無視するように設定するには、このコマンドを使用します。
例
次の例では、スイッチが CoA bounce port コマンドを無視するように設定する方法を示します。
Switch(config)# authentication command bounce-port ignore
関連コマンド
|
|
authentication command disable-port ignore |
スイッチが CoA disable port コマンドを無視するように設定します。 |
authentication command disable-port ignore
スイッチがポートをディセーブルにするコマンドを無視できるようにするには、スイッチ スタックまたはスタンドアロン スイッチ上で authentication command disable-port ignore グローバル コンフィギュレーション コマンドを使用します。デフォルトのステータスに戻すには、このコマンドの no 形式を使用します。
authentication command disable-port ignore
no authentication command disable-port ignore
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
このスイッチは、RADIUS 認可変更(CoA) disable port コマンドを受け入れます。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(52)SE |
このコマンドが追加されました。 |
使用上のガイドライン
CoA disable port コマンドはセッションをホスティングするポートを管理上シャットダウンし、セッションを終了させます。スイッチがこのコマンドを無視するように設定するには、このコマンドを使用します。
例
次の例では、スイッチが CoA disable port コマンドを無視するように設定する方法を示します。
Switch(config)# authentication command disable-port ignore
関連コマンド
|
|
authentication command bounce-port ignore |
スイッチが CoA bounce port コマンドを無視するように設定します。 |
authentication control-direction
authentication control-direction インターフェイス コンフィギュレーション コマンドを使用して、ポート モードを単一方向または双方向に設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication control-direction {both | in}
no authentication control-direction
構文の説明
both |
ポートの双方向制御をイネーブルにします。ポートは、ホストにパケットを送受信できません。 |
in |
ポートの単一方向制御をイネーブルにします。ポートは、ホストにパケットを送信できますが、受信はできません。 |
デフォルト
ポートは双方向モードに設定されています。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
デフォルト設定の双方向モードに戻すには、このコマンドの both キーワードまたは no 形式を使用します。
例
次の例では、双方向モードをイネーブルにする方法を示します。
Switch(config-if)# authentication control-direction both
次の例では、単一方向モードをイネーブルにする方法を示します。
Switch(config-if)# authentication control-direction in
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
関連コマンド
|
|
authentication event |
特定の認証イベントのアクションを設定します。 |
authentication fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
authentication host-mode |
ポートで認証マネージャ モードを設定します。 |
authentication open |
ポートでオープン アクセスをイネーブルまたはディセーブルにします。 |
authentication order |
ポートで使用する認証方式の順序を設定します。 |
authentication periodic |
ポートの再認証をイネーブルまたはディセーブルにします。 |
authentication port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
authentication priority |
ポート プライオリティ リストに認証方式を追加します。 |
authentication timer |
802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。 |
authentication violation |
新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
authentication event
ポートに特定の認証イベントのアクションを設定するには、 authentication event インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication event { fail [ retry retry count ] action { authorize vlan vlan-id | next-method }} | { no-response action authorize vlan vlan-id } | { server { alive action reinitialize } | { dead action { authorize { vlan vlan-id | voice } | reinitialize vlan vlan-id }}
no authentication event { fail | no-response | { server { alive } | { dead [ action { authorize { vlan vlan-id | voice } | reinitialize vlan }] }
構文の説明
action |
認証イベントの必須アクションを設定します。 |
alive |
認証、認可、アカウンティング(AAA)サーバ稼働アクションを設定します。 |
authorize |
ポート上の VLAN を許可します。 |
dead |
AAA サーバ停止アクションを設定します。 |
fail |
失敗認証のパラメータを設定します。 |
next-method |
次の認証方式に移動します。 |
no-response |
非応答ホスト アクションを設定します。 |
reinitialize |
すべての認証済みクライアントを再初期化します。 |
retry |
失敗認証後の再試行をイネーブルにします。 |
retry count |
0 ~ 5 の再試行の回数です。 |
server |
AAA サーバ イベントのアクションを設定します。 |
vlan |
認証失敗 VLAN を指定します。 |
vlan-id |
1 ~ 4094 の VLAN ID 番号です。 |
voice |
ホストからのトラフィックが音声 VLAN とタグ付けされている場合、デバイスをポートで設定された音声 VLAN に配置することを指定します。 |
デフォルト
イベント応答はポートに設定されません。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
12.2(52)SE |
reinitialize キーワードが追加されました。 |
12.2(53)SE2 |
このコマンドが追加されました。 |
15.0(1)SE |
voice キーワードが追加されました。 |
使用上のガイドライン
このコマンドに fail、no-response、または event キーワードを付けて使用して、特定のアクションのスイッチ応答を設定します。
authentication-fail イベントの場合:
• サプリカントが認証に失敗すると、ポートは制限 VLAN に移動され、EAP 成功メッセージがサプリカントに送信されます。これは、サプリカントには実際の認証の失敗が通知されないためです。
– EAP の成功メッセージが送信されない場合、サプリカントは 60 秒ごと(デフォルト)に EAP 開始メッセージを送信して認証を行おうとします。
– 一部のホスト(たとえば、Windows XP を実行中のデバイス)は、EAP の成功メッセージを受け取るまで DHCP を実装できません。
制限 VLAN は、シングルホスト モード(デフォルトのポート モード)でだけサポートされます。ポートが制限 VLAN に配置されると、サプリカントの MAC アドレスが MAC アドレス テーブルに追加されます。ポート上の他の MAC アドレスはすべてセキュリティ違反として扱われます。
• レイヤ 3 ポートの内部 VLAN を制限 VLAN として設定することはできません。同じ VLAN を制限 VLAN としておよび音声 VLAN として指定することはできません。
制限 VLAN による再認証をイネーブルにしてください。再認証がディセーブルにされていると、制限 VLAN 内のポートは再認証要求を受信しません。
再認証プロセスを開始するには、制限 VLAN がポートからリンクダウン イベントまたは Extensible Authentication Protocol(EAP)ログオフ イベントを受け取る必要があります。ホストがハブ経由で接続されている場合:
– ホストが切断された場合にポートではリンクダウン イベントを受け取らないことがあります。
– ポートでは、次の再認証試行が行われるまで、新しいホストを検出しないことがあります。
制限 VLAN を異なるタイプの VLAN として再設定すると、制限 VLAN のポートも移行され、それらは現在認証されたステートのままになります。
no-response イベントの場合:
• IEEE 802.1x ポートでゲスト VLAN をイネーブルにした場合、認証サーバが Extensible Authentication Protocol over LAN(EAPOL)Request/Identity フレームに対する応答を受信しないか、EAPOL パケットがクライアントから送信されないと、スイッチではクライアントをゲスト VLAN に割り当てます。
• スイッチは EAPOL パケット履歴を保持します。リンクの存続時間内に別の EAPOL パケットがポート上で検出された場合、ゲスト VLAN 機能はディセーブルになります。ポートがすでにゲスト VLAN ステートにある場合、ポートは無許可ステートに戻り、認証が再開されます。EAPOL 履歴はクリアされます。
• スイッチ ポートがゲスト VLAN(マルチホスト モード)に移動されると、複数の IEEE 802.1x 非対応クライアントはアクセスを許可されます。IEEE 802.1x 対応クライアントが、ゲスト VLAN を設定しているポートと同じポートに加わると、ポートは RADIUS 設定 VLAN またはユーザ設定アクセス VLAN の無許可ステートに移行し、認証が再開されます。
リモート スイッチド ポート アナライザ(RSPAN)VLAN、プライマリ プライベート VLAN、または音声 VLAN 以外のアクティブなすべての VLAN は、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN 機能は、アクセス ポートでだけサポートされます。内部 VLAN(ルーテッド ポート)またはトランク ポートではサポートされません。
• MAC 認証バイパスが IEEE 802.1x ポートでイネーブルの場合に、EAPOL メッセージ交換を待機している間に IEEE802.1x 認証が期限切れになると、スイッチでは、クライアントの MAC アドレスに基づいてクライアントを許可できます。スイッチは、IEEE 802.1x ポート上のクライアントを検出した後で、クライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-access/request フレームを認証サーバに送信します。
– 認証に成功すると、スイッチはクライアントにネットワークへのアクセスを許可します。
– 認証に失敗すると、スイッチはポートにゲスト VLAN を割り当てます(指定されていない場合)。
詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with MAC Authentication Bypass」の項を参照してください。
server-dead イベントの場合:
• スイッチが critical-authentication ステートに移ると、認証を試行している新しいホストが critical-authentication VLAN(またはクリティカル VLAN)に移動されます。ポートがシングルホスト モード、マルチホスト モード、マルチ認証モード、または MDA モードの場合、これが適用されます。認証済みホストは認証済み VLAN に残り、再認証タイマーはディセーブルになります。
• クライアントで Windows XP を稼働し、クライアントが接続されているクリティカル ポートが critical-authentication ステートである場合、Windows XP はインターフェイスが認証されていないことを報告します。
• Windows XP クライアントに DHCP が設定されており、DHCP サーバからの IP アドレスが設定されている場合に、クリティカル ポートで EAP 認証成功メッセージを受信しても、DHCP 設定プロセスは再初期化できません。
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
例
次の例では、authentication event fail コマンドの設定方法を示します。
Switch(config-if)# authentication event fail action authorize vlan 20
次の例では、応答なしアクションの設定方法を示します。
Switch(config-if)# authentication event no-response action authorize vlan 10
次の例では、サーバ応答アクションの設定方法を示します。
Switch(config-if)# authentication event server alive action reinitialize
次の例では、RADIUS サーバが使用できない場合に、新規および既存のホストをクリティカル VLAN に送信するようポートを設定する方法を示します。複数認証(マルチ認証)モードのポートに対して、またはポートの音声ドメインが MDA モードにある場合は、このコマンドを使用します。
Switch(config-if)# authentication event server dead action authorize vlan 10
次の例では、RADIUS サーバが使用できない場合に、およびホストからのトラフィックを音声 VLAN とタグ付けしてポートに設定済みの音声 VLAN にホストを配置する場合に、クリティカル VLAN に新規および既存のホストを送信するようにポートを設定する方法を示します。このコマンドは、マルチホスト モードまたはマルチ認証モードのポートに使用します。
Switch(config-if)# authentication event server dead action reinitialize vlan 10
Switch(config-if)# authentication event server dead action authorize voice
関連コマンド
|
|
authentication control-direction |
ポート モードを単一方向または双方向に設定します。 |
authentication fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
authentication host-mode |
ポートで認証マネージャ モードを設定します。 |
authentication open |
ポートでオープン アクセスをイネーブルまたはディセーブルにします。 |
authentication order |
ポートで使用する認証方式の順序を設定します。 |
authentication periodic |
ポートで再認証をイネーブルまたはディセーブルにします。 |
authentication port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
authentication priority |
ポート プライオリティ リストに認証方式を追加します。 |
authentication timer |
802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。 |
authentication violation |
新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
authentication fallback
authentication fallback インターフェイス コンフィギュレーション コマンドを使用して、IEEE 802.1x 認証をサポートしないクライアントに対し、Web 認証をフォールバック方式として使用するようにポートを設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication fallback name
no authentication fallback name
構文の説明
name |
Web 認証のフォールバック プロファイルを指定します。 |
デフォルト
フォールバックはイネーブルではありません。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
フォールバック方式を設定する前に authentication port-control auto インターフェイス コンフィギュレーション コマンドを入力する必要があります。
Web 認証をフォールバック方式として設定できるのは、802.1x または MAB に対してだけです。したがってフォールバックできるようにするには、この認証方式の 1 つまたは両方を設定する必要があります。
例
次の例では、ポートのフォールバック プロファイルを指定する方法を示します。
Switch(config-if)# authentication fallback profile1
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
関連コマンド
|
|
authentication control-direction |
ポート モードを単一方向または双方向に設定します。 |
authentication event |
特定の認証イベントのアクションを設定します。 |
authentication host-mode |
ポートで認証マネージャ モードを設定します。 |
authentication open |
ポートでオープン アクセスをイネーブルまたはディセーブルにします。 |
authentication order |
ポートで使用する認証方式の順序を設定します。 |
authentication periodic |
ポートで再認証をイネーブルまたはディセーブルにします。 |
authentication port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
authentication priority |
ポート プライオリティ リストに認証方式を追加します。 |
authentication timer |
802.1x 対応ポートのタイムアウト パラメータおよび再認証パラメータを設定します。 |
authentication violation |
新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
authentication host-mode
authentication host-mode インターフェイス コンフィギュレーション コマンドを使用して、ポートで認証マネージャ モードを設定します。
authentication host-mode [multi-auth | multi-domain | multi-host | single-host]
no authentication host-mode [multi-auth | multi-domain | multi-host | single-host]
構文の説明
multi-auth |
ポートのマルチ認証モード(multiauth モード)をイネーブルにします。 |
multi-domain |
ポートのマルチドメイン モードをイネーブルにします。 |
multi-host |
ポートのマルチホスト モードをイネーブルにします。 |
single-host |
ポートのシングルホスト モードをイネーブルにします。 |
デフォルト
シングルホスト モードがイネーブルにされています。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
接続されているデータ ホストが 1 つだけの場合は、シングルホスト モードを設定する必要があります。シングルホスト ポートでの認証のために音声デバイスを接続しないでください。ポートで音声 VLAN が設定されていないと、音声デバイスの許可が失敗します。
データ ホストが IP Phone 経由でポートに接続されている場合は、マルチドメイン モードを設定する必要があります。音声デバイスを認証する必要がある場合は、マルチドメイン モードを設定する必要があります。
ハブの背後にデバイスを配置し、それぞれを認証してポート アクセスのセキュリティを確保できるようにするには、マルチ認証モードに設定する必要があります。音声 VLAN が設定されている場合は、このモードで認証できる音声デバイスは 1 つだけです。
マルチホスト モードでも、ハブ越しの複数ホストのためのポート アクセスが提供されますが、マルチホスト モードでは、最初のユーザが認証された後でデバイスに対して無制限のポート アクセスが与えられます。
例
次の例では、ポートのマルチ認証 モードをイネーブルにする方法を示します。
Switch(config-if)# authentication host-mode multi-auth
次の例では、ポートのマルチドメイン モードをイネーブルにする方法を示します。
Switch(config-if)# authentication host-mode multi-domain
次の例では、ポートのマルチホスト モードをイネーブルにする方法を示します。
Switch(config)# authentication host-mode multi-host
次の例では、ポートのシングルホスト モードをイネーブルにする方法を示します。
Switch(config-if)# authentication host-mode single-host
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
関連コマンド
|
|
authentication control-direction |
ポート モードを単一方向または双方向に設定します。 |
authentication event |
特定の認証イベントのアクションを設定します。 |
authentication fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
authentication open |
ポートでオープン アクセスをイネーブルまたはディセーブルにします。 |
authentication order |
ポートで使用する認証方式の順序を設定します。 |
authentication periodic |
ポートで再認証をイネーブルまたはディセーブルにします。 |
authentication port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
authentication priority |
ポート プライオリティ リストに認証方式を追加します。 |
authentication timer |
802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。 |
authentication violation |
新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
(注)
authentication mac-move permit
スイッチ上で MAC 移動をイネーブルにするには、authentication mac-move permit グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication mac-move permit
no authentication mac-move permit
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(52)SE |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドを使用すると、スイッチの 802.1x 対応ポート間で認証ホストを移動できます。たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。
MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。
MAC 移動は、ポート セキュリティ対応の 802.1x ポートではサポートされません。MAC 移動がスイッチ上でグローバルに設定され、ポート セキュリティ対応ホストが 802.1x 対応ポートに移動した場合、違反エラーが発生します。
例
次の例では、スイッチ上で MAC 移動をイネーブルにする方法を示します。
Switch(config)# authentication mac-move permit
関連コマンド
|
|
authentication event |
特定の認証イベントのアクションを設定します。 |
authentication fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
authentication host-mode |
ポートで認証マネージャ モードを設定します。 |
authentication open |
ポートでオープン アクセスをイネーブルまたはディセーブルにします。 |
authentication order |
ポートで使用する認証方式の順序を設定します。 |
authentication periodic |
ポートの再認証をイネーブルまたはディセーブルにします。 |
authentication port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
authentication priority |
ポート プライオリティ リストに認証方式を追加します。 |
authentication timer |
802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。 |
authentication violation |
新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
authentication open
authentication open インターフェイス コンフィギュレーション コマンドを使用して、ポートでオープン アクセスをイネーブルまたはディセーブルにします。オープン アクセスをディセーブルにするには、このコマンドの no 形式を使用します。
authentication open
no authentication open
デフォルト
オープン アクセスはディセーブルにされています。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
認証の前にネットワーク アクセスを必要とするデバイスでは、オープン認証がイネーブルにされている必要があります。
オープン認証をイネーブルにしてあるときは、ポート ACL を使用してホスト アクセスを制限する必要があります。
例
次の例では、ポートのオープン アクセスをイネーブルにする方法を示します。
Switch(config-if)# authentication open
次の例では、ポートのオープン アクセスをディセーブルにするようポートを設定する方法を示します。
Switch(config-if)# no authentication open
関連コマンド
|
|
authentication control-direction |
ポート モードを単一方向または双方向に設定します。 |
authentication event |
特定の認証イベントのアクションを設定します。 |
authentication fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
authentication host-mode |
ポートで認証マネージャ モードを設定します。 |
authentication order |
ポートで使用する認証方式の順序を設定します。 |
authentication periodic |
ポートで再認証をイネーブルまたはディセーブルにします。 |
authentication port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
authentication priority |
ポート プライオリティ リストに認証方式を追加します。 |
authentication timer |
802.1x 対応ポートのタイムアウト パラメータおよび再認証パラメータを設定します。 |
authentication violation |
新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
authentication order
authentication order インターフェイス コンフィギュレーション コマンドを使用して、ポートで使用する認証方式の順序を設定します。
authentication order [dot1x | mab] {webauth}
no authentication order
構文の説明
dot1x |
認証方式の順序に 802.1x を追加します。 |
mab |
認証方式の順序に MAC 認証バイパス(MAB)を追加します。 |
webauth |
認証方式の順序に Web 認証を追加します。 |
コマンド デフォルト
デフォルトの認証順序は dot1x、mab、および webauth の順です。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。リスト内の方式の 1 つで成功しないと、次の方式が試行されます。
各方式は一度だけ試行できます。弾力的順序付けは、802.1x と MAB の間でだけ可能です。
Web 認証は、スタンドアロン方式として設定するか、順序において 802.1x または MAB のいずれかの後で最後の方式として設定することができます。Web 認証は dot1x または mab に対するフォールバックとしてだけ設定する必要があります。
例
次の例では、最初の認証方式として 802.1x を、2 番めの方式として MAB を、3 番めの方式として Web 認証を追加する方法を示します。
Switch(config-if)# authentication order dotx mab webauth
次の例では、最初の認証方式として MAC 認証バイパス(MAB)を、2 番めの認証方式として Web 認証を追加する方法を示します。
Switch(config-if)# authentication order mab webauth
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
関連コマンド
|
|
authentication control-direction |
ポート モードを単一方向または双方向に設定します。 |
authentication event |
特定の認証イベントのアクションを設定します。 |
authentication fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
authentication host-mode |
ポートで認証マネージャ モードを設定します。 |
authentication open |
ポートでオープン アクセスをイネーブルまたはディセーブルにします。 |
authentication periodic |
ポートで再認証をイネーブルまたはディセーブルにします。 |
authentication port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
authentication priority |
ポート プライオリティ リストに認証方式を追加します。 |
authentication timer |
802.1x 対応ポートのタイムアウト パラメータおよび再認証パラメータを設定します。 |
authentication violation |
新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
mab |
ポートの MAC 認証バイパスをイネーブルにします。 |
mab eap |
Extensible Authentication Protocol(EAP)を使用するようポートを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
authentication periodic
authentication periodic インターフェイス コンフィギュレーション コマンドを使用して、ポートで再認証をイネーブルまたはディセーブルにします。再認証をディセーブルにする場合は、このコマンドの no 形式を入力します。
authentication periodic
no authentication periodic
コマンド デフォルト
再認証はディセーブルにされています。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
authentication timer reauthentication インターフェイス コンフィギュレーション コマンドを使用して、定期的に再認証を行う間隔の時間量を設定します。
例
次の例では、ポートの定期的再認証をイネーブルにする方法を示します。
Switch(config-if)# authentication periodic
次の例では、ポートの定期的再認証をディセーブルにする方法を示します。
Switch(config-if)# no authentication periodic
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
関連コマンド
|
|
authentication control-direction |
ポート モードを単一方向または双方向に設定します。 |
authentication event |
特定の認証イベントのアクションを設定します。 |
authentication fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
authentication host-mode |
ポートで認証マネージャ モードを設定します。 |
authentication open |
ポートでオープン アクセスをイネーブルまたはディセーブルにします。 |
authentication order |
ポートで使用する認証方式の順序を設定します。 |
authentication port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
authentication priority |
ポート プライオリティ リストに認証方式を追加します。 |
authentication timer |
802.1x 対応ポートのタイムアウト パラメータおよび再認証パラメータを設定します。 |
authentication violation |
新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
authentication port-control
authentication port-control インターフェイス コンフィギュレーション コマンドを使用して、ポート許可ステートの手動制御をイネーブルにします。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication port-control {auto | force-authorized | force-un authorized}
no authentication port-control {auto | force-authorized | force-un authorized}
構文の説明
auto |
ポートの IEEE 802.1x 認証をイネーブルにします。ポートは、IEEE 802.1x 認証情報のスイッチとクライアントの間での交換に基づいて、許可ステートまたは無許可ステートに変わります。 |
force-authorized |
ポートの IEEE 802.1x 認証をディセーブルにします。ポートは、認証情報を交換することなく、許可ステートに変わります。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。 |
force-un authorized |
ポートへのアクセスをすべて拒否します。ポートは、クライアントによる認証の試行をすべて無視して、無許可ステートに変わります。スイッチはポートを介してクライアントに認証サービスを提供できません。 |
デフォルト
デフォルトの設定は force-authorized です。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
auto キーワードは、次のいずれかのポート タイプでだけ使用してください。
• トランク ポート:トランク ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。
• ダイナミック ポート:ダイナミック ポートは、ネイバーとネゴシエートして、トランク ポートになることができます。ダイナミック ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとすると、エラー メッセージが表示され、ポート モードは変更されません。
• ダイナミック アクセス ポート:ダイナミック アクセス(VLAN Query Protocol(VQP))ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミック VLAN に変更しようとすると、エラー メッセージが表示され、VLAN 設定は変更されません。
• EtherChannel ポート:アクティブまたはアクティブでない EtherChannel メンバであるポートを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。
• スイッチド ポート アナライザ(SPAN)および Remote SPAN(RSPAN)宛先ポート:SPAN または RSPAN 宛先ポートであるポートの IEEE 802.1x 認証をイネーブルにすることができます。ただし、そのポートが SPAN または RSPAN 宛先として削除されるまで、IEEE 802.1x 認証はディセーブルのままです。SPAN または RSPAN 送信元ポートでは IEEE 802.1x 認証をイネーブルにすることができます。
スイッチで IEEE 802.1x 認証をグローバルにディセーブルにするには、no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。特定のポートで IEEE 802.1x 認証をディセーブルにするか、デフォルト設定に戻すには、no authentication port-control インターフェイス コンフィギュレーション コマンドを使用します。
例
次の例では、ポート ステートを自動に設定する方法を示します。
Switch(config-if)# authentication port-control auto
次の例では、ポート ステートを force- authorized ステートに設定する方法を示します。
Switch(config-if)# authentication port-control force-authorized
次の例では、ポート ステートを force-unauthorized ステートに設定する方法を示します。
Switch(config-if)# authentication port-control force-unauthorized
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
関連コマンド
|
|
authentication control-direction |
ポート モードを単一方向または双方向に設定します。 |
authentication event |
特定の認証イベントのアクションを設定します。 |
authentication fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
authentication host-mode |
ポートで認証マネージャ モードを設定します。 |
authentication open |
ポートでオープン アクセスをイネーブルまたはディセーブルにします。 |
authentication order |
ポートで使用する認証方式の順序を設定します。 |
authentication periodic |
ポートで再認証をイネーブルまたはディセーブルにします。 |
authentication priority |
ポート プライオリティ リストに認証方式を追加します。 |
authentication timer |
802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。 |
authentication violation |
新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
authentication priority
authentication priority インターフェイス コンフィギュレーション コマンドを使用して、ポート プライオリティ リストに認証方式を追加します。
auth priority [dot1x | mab] {webauth}
no auth priority [dot1x | mab] {webauth}
構文の説明
dot1x |
認証方式の順序に 802.1x を追加します。 |
mab |
認証方式の順序に MAC 認証バイパス(MAB)を追加します。 |
webauth |
認証方式の順序に Web 認証を追加します。 |
コマンド デフォルト
デフォルトのプライオリティは、802.1x 認証、MAC 認証バイパス、Web 認証の順です。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。
ポートにフォールバック方式を複数設定するときは、Web 認証(webauth)を最後に設定してください。
異なる認証方式にプライオリティを割り当てることにより、プライオリティの高い方式を、プライオリティの低い進行中の認証方式に割り込ませることができます。
(注) クライアントがすでに認証されている場合に、プライオリティの高い方式の割り込みが発生すると、再認証されることがあります。
認証方式のデフォルトのプライオリティは、実行リストの順序におけるその位置と同じで、802.1x 認証、MAC 認証バイパス、Web 認証の順です。このデフォルトの順序を変更するには、キーワード dot1x、mab、および webauth を使用します。
例
次の例では、802.1x を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。
Switch(config-if)# authentication priority dotx webauth
次の例では、MAC 認証バイパス(MAB)を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。
Switch(config-if)# authentication priority mab webauth
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
関連コマンド
|
|
authentication control-direction |
ポート モードを単一方向または双方向に設定します。 |
authentication event |
特定の認証イベントのアクションを設定します。 |
authentication fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
authentication host-mode |
ポートで認証マネージャ モードを設定します。 |
authentication open |
ポートでオープン アクセスをイネーブルまたはディセーブルにします。 |
authentication order |
ポートで使用する認証方式の順序を設定します。 |
authentication periodic |
ポートで再認証をイネーブルまたはディセーブルにします。 |
authentication port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
authentication timer |
802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。 |
authentication violation |
新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
mab |
ポートの MAC 認証バイパスをイネーブルにします。 |
mab eap |
Extensible Authentication Protocol(EAP)を使用するようポートを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
authentication timer
authentication timer インターフェイス コンフィギュレーション コマンドを使用して、802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。
authentication timer {{[inactivity | reauthenticate] [server | am]} {restart value}}
no authentication timer {{[inactivity | reauthenticate] [server | am]} {restart value}}
構文の説明
inactivity |
この時間間隔を過ぎてもアクティビティがない場合に、クライアントが無許可にされる秒数です。 |
reauthenticate |
自動再認証の試行が開始されるまで時間(秒)です。 |
server |
無許可ポートの認証の試行が行われるまでの間隔(秒)です。 |
restart |
無許可ポートの認証の試行が行われるまでの間隔(秒)です。 |
value |
1 から 65535 までの値(秒)を入力します。 |
デフォルト
inactivity、server、および restart キーワードは 60 秒に設定されます。reauthenticate キーワードは 1 時間に設定されます。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
タイムアウト値を設定しないと、802.1x セッションは、無期限で認証されたままになります。他のホストではそのポートを使用できず、接続されているホストは、同じスイッチの別のポートに移動できません。
例
次の例では、認証非アクティビティ タイマーを 60 秒に設定する方法を示します。
Switch(config-if)# authentication timer inactivity 60
次の例では、再認証タイマーを 120 秒に設定する方法を示します。
Switch(config-if)# authentication timer restart 120
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
関連コマンド
|
|
authentication control-direction |
ポート モードを単一方向または双方向に設定します。 |
authentication event |
特定の認証イベントのアクションを設定します。 |
authentication fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
authentication host-mode |
ポートで認証マネージャ モードを設定します。 |
authentication open |
ポートでオープン アクセスをイネーブルまたはディセーブルにします。 |
authentication order |
ポートで使用する認証方式の順序を設定します。 |
authentication periodic |
ポートで再認証をイネーブルまたはディセーブルにします。 |
authentication port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
authentication priority |
ポート プライオリティ リストに認証方式を追加します。 |
authentication violation |
新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
authentication violation
authentication violation インターフェイス コンフィギュレーション コマンドを使用して、新しいデバイスがポートに接続するとき、または最大数のデバイスがポートに接続されている状態で新しいデバイスがポートに接続するときに発生する違反モードを設定します。
authentication violation {protect | replace | restrict | shutdown}
no authentication violation {protect | replace | restrict | shutdown}
構文の説明
protect |
予期しない着信 MAC アドレスはドロップされます。syslog エラーは生成されません。 |
replace |
現在のセッションを削除し、新しいホストによる認証を開始します。 |
restrict |
違反エラーの発生時に Syslog エラーを生成します。 |
shutdown |
エラーによって、予期しない MAC アドレスが発生するポートまたは仮想ポートがディセーブルになります。 |
デフォルト
デフォルトでは、authentication violation shutdown モードはイネーブルです。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
12.2(55)SE |
replace キーワードが追加されました。 |
例
次の例では、新しいデバイスがポートに接続する場合に、errdisable になり、シャットダウンするように IEEE 802.1x 対応ポートを設定する方法を示します。
Switch(config-if)# authentication violation shutdown
次の例では、新しいデバイスがポートに接続する場合に、システム エラー メッセージを生成して、ポートを制限モードに変更するように 802.1x 対応ポートを設定する方法を示します。
Switch(config-if)# authentication violation restrict
次の例では、新しいデバイスがポートに接続するときに、そのデバイスを無視するように 802.1x 対応ポートを設定する方法を示します。
Switch(config-if)# authentication violation protect
次の例では、新しいデバイスがポートに接続するときに、現在のセッションを削除し、新しいデバイスによる認証を開始するように 802.1x 対応ポートを設定する方法を示します。
Switch(config-if)# authentication violation replace
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
関連コマンド
|
|
authentication control-direction |
ポート モードを単一方向または双方向に設定します。 |
authentication event |
特定の認証イベントのアクションを設定します。 |
authentication fallback |
802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
authentication host-mode |
ポートで認証マネージャ モードを設定します。 |
authentication open |
ポートでオープン アクセスをイネーブルまたはディセーブルにします。 |
authentication order |
ポートで使用する認証方式の順序を設定します。 |
authentication periodic |
ポートで再認証をイネーブルまたはディセーブルにします。 |
authentication port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
authentication priority |
ポート プライオリティ リストに認証方式を追加します。 |
authentication timer |
802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。 |
show authentication |
スイッチの認証マネージャ イベントに関する情報を表示します。 |
auto qos classify
Quality of Service(QoS)ドメイン内で信頼できないデバイスの QoS 分類を自動設定するには、 auto qos classify インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
auto qos classify [ police ]
no auto qos classify [ police ]
構文の説明
police |
(任意)信頼できないデバイスの QoS ポリシングを設定します。 |
デフォルト
auto-QoS 分類は、すべてのポートでディセーブルです。
auto-QoS がイネーブルの場合は、入力パケットのラベルを使用して、トラフィックの分類、パケット ラベルの割り当て、および入力/出力キューの設定を行います。
表 2-1 入力キューに対する Auto-QoS の設定
|
|
|
|
|
SRR 共有 |
1 |
0、1、2、3、6、7 |
70% |
90% |
プライオリティ |
2 |
4、5 |
30% |
10% |
表 2-2 に、出力キューに対して生成される auto-QoS の設定を示します。
表 2-2 出力キューに対する auto-QoS の設定
|
|
|
|
|
10/100 イーサネット ポートのキュー(バッファ)サイズ
|
プライオリティ(シェイプド) |
1 |
4、5 |
最大 100% |
25% |
15% |
SRR 共有 |
2 |
2、3、6、7 |
10% |
25% |
25% |
SRR 共有 |
3 |
0 |
60% |
25% |
40% |
SRR 共有 |
4 |
1 |
20% |
25% |
20% |
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(55)SE |
このコマンドが追加されました。 |
使用上のガイドライン
QoS ドメイン内の信頼インターフェイスに QoS を設定する場合は、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類することのできるエッジ装置などが含まれます。
Auto-QoS は、スイッチが信頼インターフェイスと接続するように設定します。着信パケットの QoS ラベルは信頼されます。非ルーテッド ポートの場合は、着信パケットの CoS 値が信頼されます。ルーテッド ポートでは、着信パケットの DSCP 値が信頼されます。
auto-QoS のデフォルトを利用するには、auto-QoS をイネーブルにしてから、その他の QoS コマンドを設定する必要があります。auto-QoS をイネーブルにした 後で 、auto-QoS を調整できます。
これは、 auto qos classify コマンドが設定されている場合のポリシー マップです。
policy-map AUTOQOS-SRND4-CLASSIFY-POLICY
class AUTOQOS_MULTIENHANCED_CONF_CLASS
class AUTOQOS_BULK_DATA_CLASS
class AUTOQOS_TRANSACTION_CLASS
class AUTOQOS_SCAVANGER_CLASS
class AUTOQOS_SIGNALING_CLASS
class AUTOQOS_DEFAULT_CLASS
これは、 auto qos classify police コマンドが設定されている場合のポリシー マップです。
policy-map AUTOQOS-SRND4-CLASSIFY-POLICE-POLICY
class AUTOQOS_MULTIENHANCED_CONF_CLASS
police 5000000 8000 exceed-action drop
class AUTOQOS_BULK_DATA_CLASS
police 10000000 8000 exceed-action policed-dscp-transmit
class AUTOQOS_TRANSACTION_CLASS
police 10000000 8000 exceed-action policed-dscp-transmit
class AUTOQOS_SCAVANGER_CLASS
police 10000000 8000 exceed-action drop
class AUTOQOS_SIGNALING_CLASS
police 32000 8000 exceed-action drop
class AUTOQOS_DEFAULT_CLASS
police 10000000 8000 exceed-action policed-dscp-transmit
(注) スイッチは、コマンドライン インターフェイス(CLI)からコマンドが入力された場合と同じように、auto-QoS によって生成されたコマンドを適用します。既存のユーザ設定では、生成されたコマンドの適用に失敗することがあります。また、生成されたコマンドで既存の設定が上書きされることもあります。これらのアクションは、警告を表示せずに実行されます。生成されたコマンドがすべて正常に適用された場合、上書きされなかったユーザ入力の設定は実行コンフィギュレーション内に残ります。上書きされたユーザ入力の設定は、現在の設定をメモリに保存せずに、スイッチをリロードすると復元できます。生成されたコマンドの適用に失敗した場合は、前の実行コンフィギュレーションが復元されます。
auto-QoS をイネーブルにした後、名前に AutoQoS を含むポリシー マップや集約ポリサーを変更しないでください。ポリシー マップや集約ポリサーを変更する必要がある場合、そのコピーを作成し、コピーしたポリシー マップやポリサーを変更します。生成されたポリシー マップの代わりに新しいポリシー マップを使用するには、生成したポリシー マップをインターフェイスから削除して、新しいポリシー マップを適用します。
auto-QoS がイネーブルのときに自動的に生成される QoS の設定を表示するには、auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos 特権 EXEC コマンドを使用すると、auto-QoS のデバッギングがイネーブルになります。詳細については、 debug auto qos コマンドを参照してください。
ポートの auto-QoS をディセーブルにするには、 no auto qos trust インターフェイス コンフィギュレーション コマンドを使用します。このポートに対して、auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが削除されます。auto-QoS をイネーブルにした最後のポートで、 no auto qos trust コマンドを入力すると、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドが残っている場合でも、auto-QoS はディセーブルと見なされます(グローバル コンフィギュレーションによって影響を受ける他のポートでのトラフィックの中断を避けるため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドをディセーブルにできます。QoS がディセーブルの場合は、パケットが変更されないため、信頼できるポートまたは信頼できないポートといった概念はありません。パケット内の CoS、DSCP、および IP precedence 値は変更されません。トラフィックは Pass-Through モードでスイッチングされます。パケットは書き換えられることなくスイッチングされ、ポリシングなしのベスト エフォートに分類されます。
例
次の例では、信頼できないデバイスの auto-QoS 分類をイネーブルにし、トラフィックをポリシングする方法を示します。
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# auto qos classify police
設定を確認するには、 show auto qos interface interface-id 特権 EXEC コマンドを入力します。
関連コマンド
|
|
debug auto qos |
auto-QoS 機能のデバッグをイネーブルにします。 |
mls qos trust |
ポートの信頼状態を設定します。 |
srr-queue bandwidth share |
共有する重みを割り当て、ポートにマッピングされた 4 つの出力キュー上で帯域幅の共有をイネーブルにします。 |
queue-set |
ポートをキューセットにマッピングします。 |
show auto qos |
auto-QoS 情報を表示します。 |
show mls qos interface |
ポート レベルで QoS 情報を表示します。 |
auto qos trust
Quality of Service(QoS)ドメイン内で信頼できるインターフェイスの QoS 分類を自動設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で、 auto qos trust インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
auto qos trust { cos | dscp }
no auto qos trust { cos | dscp }
構文の説明
cos |
CoS パケット分類を信頼します。 |
dscp |
DSCP パケット分類を信頼します。 |
デフォルト
auto-QoS 信頼は、すべてのポートでディセーブルです。
auto-QoS がイネーブルの場合は、入力パケットのラベルを使用して、トラフィックの分類、パケット ラベルの割り当て、および入力/出力キューの設定を行います。
表 2-3 トラフィック タイプ、パケット ラベル、およびキュー
|
|
|
|
|
|
|
DSCP |
46 |
24、26 |
48 |
56 |
34 |
- |
CoS |
5 |
3 |
6 |
7 |
3 |
- |
CoS から入力キューへのマッピング |
4、5(キュー 2) |
0、1、2、3、6、7(キュー 1) |
CoS から出力キューへのマッピング |
4、5 (キュー 1) |
2、3、6、7(キュー 2) |
0(キュー 3) |
2 (キュー 3) |
0、1(キュー 4) |
表 2-4 入力キューに対する Auto-QoS の設定
|
|
|
|
|
SRR 共有 |
1 |
0、1、2、3、6、7 |
70% |
90% |
プライオリティ |
2 |
4、5 |
30% |
10% |
表 2-5 出力キューに対する auto-QoS の設定
|
|
|
|
|
10/100 イーサネット ポートのキュー(バッファ)サイズ
|
プライオリティ(シェイプド) |
1 |
4、5 |
最大 100% |
25% |
15% |
SRR 共有 |
2 |
2、3、6、7 |
10% |
25% |
25% |
SRR 共有 |
3 |
0 |
60% |
25% |
40% |
SRR 共有 |
4 |
1 |
20% |
25% |
20% |
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(55)SE |
このコマンドが追加されました。 |
使用上のガイドライン
QoS ドメイン内の信頼インターフェイスに QoS を設定する場合は、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類することのできるエッジ装置などが含まれます。
Auto-QoS は、スイッチが信頼インターフェイスと接続するように設定します。着信パケットの QoS ラベルは信頼されます。非ルーテッド ポートの場合は、着信パケットの CoS 値が信頼されます。ルーテッド ポートでは、着信パケットの DSCP 値が信頼されます。
auto-QoS のデフォルトを利用するには、auto-QoS をイネーブルにしてから、その他の QoS コマンドを設定する必要があります。auto-QoS をイネーブルにした 後で 、auto-QoS を調整できます。
ポートに auto-QoS 信頼が設定されると、ポートはポート上のすべてのパケットを信頼します。パケットに DSCP または CoS 値がマーキングされていない場合、デフォルトのマーキングが実行されます。
(注) スイッチは、コマンドライン インターフェイス(CLI)からコマンドが入力された場合と同じように、auto-QoS によって生成されたコマンドを適用します。既存のユーザ設定では、生成されたコマンドの適用に失敗することがあります。また、生成されたコマンドで既存の設定が上書きされることもあります。これらのアクションは、警告を表示せずに実行されます。生成されたコマンドがすべて正常に適用された場合、上書きされなかったユーザ入力の設定は実行コンフィギュレーション内に残ります。上書きされたユーザ入力の設定は、現在の設定をメモリに保存せずに、スイッチをリロードすると復元できます。生成されたコマンドの適用に失敗した場合は、前の実行コンフィギュレーションが復元されます。
auto-QoS をイネーブルにした後、名前に AutoQoS を含むポリシー マップや集約ポリサーを変更しないでください。ポリシー マップや集約ポリサーを変更する必要がある場合、そのコピーを作成し、コピーしたポリシー マップやポリサーを変更します。生成されたポリシー マップの代わりに新しいポリシー マップを使用するには、生成したポリシー マップをインターフェイスから削除して、新しいポリシー マップを適用します。
auto-QoS がイネーブルのときに自動的に生成される QoS の設定を表示するには、auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos 特権 EXEC コマンドを使用すると、auto-QoS のデバッギングがイネーブルになります。詳細については、 debug auto qos コマンドを参照してください。
ポートの auto-QoS をディセーブルにするには、 no auto qos trust インターフェイス コンフィギュレーション コマンドを使用します。このポートに対して、auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが削除されます。auto-QoS をイネーブルにした最後のポートで、 no auto qos trust コマンドを入力すると、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドが残っている場合でも、auto-QoS はディセーブルと見なされます(グローバル コンフィギュレーションによって影響を受ける他のポートでのトラフィックの中断を避けるため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドをディセーブルにできます。QoS がディセーブルの場合は、パケットが変更されない(パケット内の CoS、DSCP、および IP precedence 値は変更されない)ため、信頼できるポートまたは信頼できないポートといった概念はありません。トラフィックは Pass-Through モードでスイッチングされます(パケットは書き換えられることなくスイッチングされ、ポリシングなしのベスト エフォートに分類されます)。
例
次の例では、特定の cos 分類を持つ信頼できるインターフェイスの auto-QoS をイネーブルにする方法を示します。
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# auto qos trust cos
設定を確認するには、 show auto qos interface interface-id 特権 EXEC コマンドを入力します。
関連コマンド
|
|
debug auto qos |
auto-QoS 機能のデバッグをイネーブルにします。 |
mls qos trust |
ポートの信頼状態を設定します。 |
srr-queue bandwidth share |
共有する重みを割り当て、ポートにマッピングされた 4 つの出力キュー上で帯域幅の共有をイネーブルにします。 |
queue-set |
ポートをキューセットにマッピングします。 |
show auto qos |
auto-QoS 情報を表示します。 |
show mls qos interface |
ポート レベルで QoS 情報を表示します。 |
auto qos video
QoS ドメイン内のビデオに対して Quality of Service(QoS)を自動設定するには、スイッチ スタック上またはスタンドアロン スイッチ上で auto qos video インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
auto qos video { cts | ip-camera }
no auto qos video { cts | ip-camera }
構文の説明
cts |
このポートが Cisco TelePresence System に接続されていると判断し、ビデオの QoS を自動設定します。 |
ip-camera |
Cisco IP カメラにこのポートが接続されていると判断し、自動的にビデオの QoS を設定します。 |
デフォルト
Auto-QoS ビデオは、ポート上でディセーブルに設定されています。
auto-QoS がイネーブルの場合は、入力パケットのラベルを使用して、トラフィックの分類、パケット ラベルの割り当て、および入力/出力キューの設定を行います。
表 2-6 トラフィック タイプ、パケット ラベル、およびキュー
|
|
|
|
|
|
|
DSCP |
46 |
24、26 |
48 |
56 |
34 |
- |
CoS |
5 |
3 |
6 |
7 |
3 |
- |
CoS から入力キューへのマッピング |
4、5(キュー 2) |
0、1、2、3、6、7(キュー 1) |
CoS から出力キューへのマッピング |
4、5 (キュー 1) |
2、3、6、7(キュー 2) |
0(キュー 3) |
2 (キュー 3) |
0、1(キュー 4) |
表 2-7 入力キューに対する Auto-QoS の設定
|
|
|
|
|
SRR 共有 |
1 |
0、1、2、3、6、7 |
70% |
90% |
プライオリティ |
2 |
4、5 |
30% |
10% |
表 2-8 出力キューに対する auto-QoS の設定
|
|
|
|
|
10/100 イーサネット ポートのキュー(バッファ)サイズ
|
プライオリティ(シェイプド) |
1 |
4、5 |
最大 100% |
25% |
15% |
SRR 共有 |
2 |
2、3、6、7 |
10% |
25% |
25% |
SRR 共有 |
3 |
0 |
60% |
25% |
40% |
SRR 共有 |
4 |
1 |
20% |
25% |
20% |
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(55)SE |
このコマンドが追加されました。 |
使用上のガイドライン
QoS ドメイン内のビデオ トラフィックに適切な QoS を設定するには、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類することのできるエッジ装置などが含まれます。
Auto-Qos はスイッチを設定し、Cisco TelePresence システムおよび Cisco IP カメラとビデオ接続します。
auto-QoS のデフォルトを利用するには、auto-QoS をイネーブルにしてから、その他の QoS コマンドを設定する必要があります。auto-QoS をイネーブルにした 後で 、auto-QoS を調整できます。
(注) スイッチは、コマンドライン インターフェイス(CLI)からコマンドが入力された場合と同じように、auto-QoS によって生成されたコマンドを適用します。既存のユーザ設定では、生成されたコマンドの適用に失敗することがあります。また、生成されたコマンドで既存の設定が上書きされることもあります。これらのアクションは、警告を表示せずに実行されます。生成されたコマンドがすべて正常に適用された場合、上書きされなかったユーザ入力の設定は実行コンフィギュレーション内に残ります。上書きされたユーザ入力の設定は、現在の設定をメモリに保存せずに、スイッチをリロードすると復元できます。生成されたコマンドの適用に失敗した場合は、前の実行コンフィギュレーションが復元されます。
これが auto-QoS をイネーブルにする最初のポートの場合は、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドに続いてインターフェイス コンフィギュレーション コマンドが実行されます。別のポートで auto-QoS をイネーブルにすると、そのポートに対して auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが実行されます。
最初のポートで auto-QoS 機能をイネーブルにすると、次の自動アクションが実行されます。
• QoS がグローバルにイネーブルになり( mls qos グローバル コンフィギュレーション コマンド)、そのあと、他のグローバル コンフィギュレーション コマンドが追加されます。
• auto-QoS をイネーブルにした後、名前に AutoQoS を含むポリシー マップや集約ポリサーを変更しないでください。ポリシー マップや集約ポリサーを変更する必要がある場合、そのコピーを作成し、コピーしたポリシー マップやポリサーを変更します。生成されたポリシー マップの代わりに新しいポリシー マップを使用するには、生成したポリシー マップをインターフェイスから削除して、新しいポリシー マップを適用します。
auto-QoS がイネーブルのときに自動的に生成される QoS の設定を表示するには、auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos 特権 EXEC コマンドを使用すると、auto-QoS のデバッギングがイネーブルになります。詳細については、 debug auto qos コマンドを参照してください。
ポートの Auto-QoS をディセーブルにするには、 no auto qos video インターフェイス コンフィギュレーション コマンドを使用します。このポートに対して、auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが削除されます。Auto-QoS がイネーブルである最後のポートで no auto qos video コマンドを入力すると、Auto-QoS 生成のグローバル コンフィギュレーション コマンドが残っていたとしても、Auto-QoS はディセーブルになったと認識されます(グローバル コンフィギュレーションに影響を受ける他のポートのトラフィック障害を回避するため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドをディセーブルにできます。QoS がディセーブルの場合は、パケットが変更されない(パケット内の CoS、DSCP、および IP precedence 値は変更されない)ため、信頼できるポートまたは信頼できないポートといった概念はありません。トラフィックは Pass-Through モードでスイッチングされます(パケットは書き換えられることなくスイッチングされ、ポリシングなしのベスト エフォートに分類されます)。
例
次の例では、条件付き trust で Cisco Telepresence インターフェイスに対し Auto-QoS をイネーブルにする方法を示します。このインターフェイスが信頼されるのは Cisco Telepresence デバイスが検出された場合だけで、それ以外はこのポートは信頼性なしになります。
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# auto qos video cts
設定を確認するには、 show auto qos video interface interface-id 特権 EXEC コマンドを入力します。
関連コマンド
|
|
debug auto qos |
auto-QoS 機能のデバッグをイネーブルにします。 |
mls qos trust |
ポートの信頼状態を設定します。 |
srr-queue bandwidth share |
共有する重みを割り当て、ポートにマッピングされた 4 つの出力キュー上で帯域幅の共有をイネーブルにします。 |
queue-set |
ポートをキューセットにマッピングします。 |
show auto qos |
auto-QoS 情報を表示します。 |
show mls qos interface |
ポート レベルで QoS 情報を表示します。 |
auto qos voip
auto qos voip インターフェイス コンフィギュレーション コマンドを使用して、Quality of Service(QoS)ドメイン内で Voice over IP(VoIP)の QoS を自動設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
auto qos voip { cisco-phone | cisco-softphone | trust }
no auto qos voip [ cisco-phone | cisco-softphone | trust ]
構文の説明
cisco-phone |
このポートが Cisco IP Phone に接続されていると判断し、VoIP の QoS を自動設定します。着信パケットの QoS ラベルが信頼されるのは、IP Phone が検知される場合に限ります。このキーワードは、10 ギガビット イーサネット インターフェイスではサポートされません。 |
cisco-softphone |
このポートが Cisco SoftPhone が動作している装置に接続されていると判断し、VoIP の QoS を自動設定します。このキーワードは、10 ギガビット イーサネット インターフェイスではサポートされません。 |
trust |
このポートが信頼できるスイッチまたはルータに接続されていると判断し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルは信頼されます。非ルーテッド ポートの場合は、着信パケットの CoS 値が信頼されます。ルーテッド ポートでは、着信パケットの DSCP 値が信頼されます。 |
デフォルト
auto-QoS がイネーブルの場合は、入力パケットのラベルを使用して、トラフィックの分類、パケット ラベルの割り当て、および入力/出力キューの設定を行います。
表 2-9 トラフィック タイプ、パケット ラベル、およびキュー
|
|
|
|
|
|
|
DSCP |
46 |
24、26 |
48 |
56 |
34 |
- |
CoS |
5 |
3 |
6 |
7 |
3 |
- |
CoS から入力キューへのマッピング |
4、5(キュー 2) |
0、1、2、3、6、7(キュー 1) |
CoS から出力キューへのマッピング |
4、5 (キュー 1) |
2、3、6、7(キュー 2) |
0(キュー 3) |
2 (キュー 3) |
0、1(キュー 4) |
表 2-10 入力キューに対する Auto-QoS の設定
|
|
|
|
|
SRR 共有 |
1 |
0、1、2、3、6、7 |
70% |
90% |
プライオリティ |
2 |
4、5 |
30% |
10% |
表 2-11 出力キューに対する auto-QoS の設定
|
|
|
|
|
10/100 イーサネット ポートのキュー(バッファ)サイズ
|
プライオリティ(シェイプド) |
1 |
4、5 |
最大 100% |
25% |
15% |
SRR 共有 |
2 |
2、3、6、7 |
10% |
25% |
25% |
SRR 共有 |
3 |
0 |
60% |
25% |
40% |
SRR 共有 |
4 |
1 |
20% |
25% |
20% |
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.1(14)EA1 |
このコマンドが追加されました。 |
12.2(20)SE |
cisco-softphone キーワードが追加され、生成される auto-QoS の設定が変更されました。 |
12.2(40)SE |
コマンド出力の情報が変更されました。 |
12.2(55)SE |
拡張 auto-QoS のサポートが追加されました。 |
使用上のガイドライン
QoS ドメイン内の VoIP トラフィックに適切な QoS を設定する場合は、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類することのできるエッジ装置などが含まれます。
Auto-QoS は、スイッチとルーテッド ポート上の Cisco IP Phone を使用した VoIP と、Cisco SoftPhone アプリケーションが稼働する装置を使用した VoIP に対してスイッチを設定します。これらのリリースは Cisco IP SoftPhone バージョン 1.3(3)以降だけをサポートします。接続される装置は Cisco Call Manager バージョン 4 以降を使用する必要があります。
show auto qos コマンド出力は Cisco IP Phone のサービス ポリシー情報を表示します。
auto-QoS のデフォルトを利用するには、auto-QoS をイネーブルにしてから、その他の QoS コマンドを設定する必要があります。auto-QoS をイネーブルにした 後で 、auto-QoS を調整できます。
(注) スイッチは、コマンドライン インターフェイス(CLI)からコマンドが入力された場合と同じように、auto-QoS によって生成されたコマンドを適用します。既存のユーザ設定では、生成されたコマンドの適用に失敗することがあります。また、生成されたコマンドで既存の設定が上書きされることもあります。これらのアクションは、警告を表示せずに実行されます。生成されたコマンドがすべて正常に適用された場合、上書きされなかったユーザ入力の設定は実行コンフィギュレーション内に残ります。上書きされたユーザ入力の設定は、現在の設定をメモリに保存せずに、スイッチをリロードすると復元できます。生成されたコマンドの適用に失敗した場合は、前の実行コンフィギュレーションが復元されます。
これが auto-QoS をイネーブルにする最初のポートの場合は、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドに続いてインターフェイス コンフィギュレーション コマンドが実行されます。別のポートで auto-QoS をイネーブルにすると、そのポートに対して auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが実行されます。
最初のポートで auto-QoS 機能をイネーブルにすると、次の自動アクションが実行されます。
• QoS がグローバルにイネーブルになり( mls qos グローバル コンフィギュレーション コマンド)、そのあと、他のグローバル コンフィギュレーション コマンドが追加されます。
• Cisco IP Phone に接続されたネットワーク エッジのポートで auto qos voip cisco-phone インターフェイス コンフィギュレーション コマンドを入力すると、スイッチにより信頼境界の機能がイネーブルになります。スイッチは、Cisco Discovery Protocol(CDP)を使用して、Cisco IP Phone が存在するかしないかを検出します。Cisco IP Phone が検出されると、ポートの入力分類は、パケットで受け取った QoS ラベルを信頼するように設定されます。また、スイッチはポリシングを使用してパケットがプロファイル内か、プロファイル外かを判断し、パケットに対するアクションを指定します。パケットに 24、26、または 46 という DSCP 値がない場合、またはパケットがプロファイル外にある場合、スイッチは DSCP 値を 0 に変更します。Cisco IP Phone がない場合、入力分類は、パケットの QoS ラベルを信頼しないように設定されます。スイッチは、ポートの入力キューと出力キューを、 表 2-10 および 表 2-11 の設定値に従って設定します。ポリシングがポリシー マップ分類と一致したトラフィックに適用された後で、スイッチが信頼境界の機能をイネーブルにします。
スイッチ ポートが Cisco IOS Release 12.2(37)SE かそれよりも前のリリースで auto qos voip cisco-phone インターフェイス コンフィギュレーション コマンドを使用して設定された場合、auto-QoS によって Cisco IOS Release 12.2(40)SE に新しく生成されたコマンドは、ポートに適用されません。このようなコマンドを自動的に適用するには、設定を削除してからポートに再度適用する必要があります。
• Cisco SoftPhone が動作する装置に接続されたネットワーク エッジにあるポートに auto qos voip cisco-softphone インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチはポリシングを使用してパケットがプロファイル内かプロファイル外かを判断し、パケットに対するアクションを指定します。パケットに 24、26、または 46 という DSCP 値がない場合、またはパケットがプロファイル外にある場合、スイッチは DSCP 値を 0 に変更します。スイッチは、ポートの入力キューと出力キューを、 表 2-10 および 表 2-11 の設定値に従って設定します。
• ネットワーク内部に接続されたポート上で、 auto qos voip trust インターフェイス コンフィギュレーション コマンドを入力した場合、スイッチは、入力パケットでルーティングされないポートの CoS 値、またはルーテッド ポートの DSCP 値を信頼します(トラフィックが他のエッジ装置ですでに分類されていることが前提条件になります)。スイッチは、ポートの入力キューと出力キューを、 表 2-10 および 表 2-11 の設定値に従って設定します。
スタティック ポート、ダイナミック アクセス ポート、音声 VLAN アクセス ポート、およびトランク ポートで auto-QoS をイネーブルにすることができます。ルーテッド ポートにある Cisco IP Phone で auto-QoS をイネーブルにする場合、スタティック IP アドレスを IP Phone に割り当てる必要があります。
(注) Cisco SoftPhone が稼働する装置がスイッチまたはルーテッド ポートに接続されている場合、スイッチはポートごとに 1 つの Cisco SoftPhone アプリケーションだけをサポートします。
auto-QoS をイネーブルにした後、名前に AutoQoS を含むポリシー マップや集約ポリサーを変更しないでください。ポリシー マップや集約ポリサーを変更する必要がある場合、そのコピーを作成し、コピーしたポリシー マップやポリサーを変更します。生成されたポリシー マップの代わりに新しいポリシー マップを使用するには、生成したポリシー マップをインターフェイスから削除して、新しいポリシー マップを適用します。
auto-QoS がイネーブルのときに自動的に生成される QoS の設定を表示するには、auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos 特権 EXEC コマンドを使用すると、auto-QoS のデバッギングがイネーブルになります。
ポートの auto-QoS をディセーブルにするには、no auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。このポートに対して、auto-QoS によって生成されたインターフェイス コンフィギュレーション コマンドだけが削除されます。auto-QoS をイネーブルにした最後のポートで、 no auto qos voip コマンドを入力すると、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドが残っている場合でも、auto-QoS はディセーブルと見なされます(グローバル コンフィギュレーションによって影響を受ける他のポートでのトラフィックの中断を避けるため)。 no mls qos グローバル コンフィギュレーション コマンドを使用して、auto-QoS によって生成されたグローバル コンフィギュレーション コマンドをディセーブルにできます。QoS がディセーブルの場合は、パケットが変更されない(パケット内の CoS、DSCP、および IP precedence 値は変更されない)ため、信頼できるポートまたは信頼できないポートといった概念はありません。トラフィックは Pass-Through モードでスイッチングされます(パケットは書き換えられることなくスイッチングされ、ポリシングなしのベスト エフォートに分類されます)。
auto qos voip コマンドがイネーブルであるポートでは、生成される queue-set ID はインターフェイスによって異なります。
• ファスト イーサネット インターフェイスでは、auto-QoS は queue-set 1(デフォルト)を生成します。
• ギガビット イーサネット インターフェイスでは、auto-QoS は queue-set 2 を生成します。
これは、 auto qos voip cisco-phone コマンドの拡張コンフィギュレーションです。
Switch(config)# mls qos map policed-dscp 0 10 18 to 8
Switch(config)# mls qos map cos-dscp 0 8 16 24 32 46 48 56
Switch(config)# class-map match-all AUTOQOS_VOIP_DATA_CLASS
Switch(config-cmap)# match ip dscp ef
Switch(config)# class-map match-all AUTOQOS_DEFAULT_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-DEFAULT
Switch(config)# class-map match-all AUTOQOS_VOIP_SIGNAL_CLASS
Switch(config-cmap)# match ip dscp cs3
Switch(config)# policy-map AUTOQOS-SRND4-CISCOPHONE-POLICY
Switch(config-pmap)# class AUTOQOS_VOIP_DATA_CLASS
Switch(config-pmap-c)# set dscp ef
Switch(config-pmap-c)# police 128000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_VOIP_SIGNAL_CLASS
Switch(config-pmap-c)# set dscp cs3
Switch(config-pmap-c)# police 32000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_DEFAULT_CLASS
Switch(config-pmap-c)# set dscp default
Switch(config-pmap-c)# police 10000000 8000 exceed-action policed-dscp-transmit
Switch(config-if)# service-policy input AUTOQOS-SRND4-CISCOPHONE-POLICY
これは、 auto qos voip cisco-softphone コマンドの拡張コンフィギュレーションです。
Switch(config)# mls qos map policed-dscp 0 10 18 to 8
Switch(config)# mls qos map cos-dscp 0 8 16 24 32 46 48 56
Switch(config)# class-map match-all AUTOQOS_MULTIENHANCED_CONF_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-MULTIENHANCED-CONF
Switch(config)# class-map match-all AUTOQOS_VOIP_DATA_CLASS
Switch(config-cmap)# match ip dscp ef
Switch(config)# class-map match-all AUTOQOS_DEFAULT_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-DEFAULT
Switch(config)# class-map match-all AUTOQOS_TRANSACTION_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-TRANSACTIONAL-DATA
Switch(config)# class-map match-all AUTOQOS_VOIP_SIGNAL_CLASS
Switch(config-cmap)# match ip dscp cs3
Switch(config)# class-map match-all AUTOQOS_SIGNALING_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-SIGNALING
Switch(config)# class-map match-all AUTOQOS_BULK_DATA_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-BULK-DATA
Switch(config)# class-map match-all AUTOQOS_SCAVANGER_CLASS
Switch(config-cmap)# match access-group name AUTOQOS-ACL-SCAVANGER
Switch(config)# policy-map AUTOQOS-SRND4-SOFTPHONE-POLICY
Switch(config-pmap)# class AUTOQOS_VOIP_DATA_CLASS
Switch(config-pmap-c)# set dscp ef
Switch(config-pmap-c)# police 128000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_VOIP_SIGNAL_CLASS
Switch(config-pmap-c)# set dscp cs3
Switch(config-pmap-c)# police 32000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_MULTIENHANCED_CONF_CLASS
Switch(config-pmap-c)# set dscp af41
Switch(config-pmap-c)# police 5000000 8000 exceed-action drop
Switch(config-pmap)# class AUTOQOS_BULK_DATA_CLASS
Switch(config-pmap-c)# set dscp af11
Switch(config-pmap-c)# police 10000000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_TRANSACTION_CLASS
Switch(config-pmap-c)# set dscp af21
Switch(config-pmap-c)# police 10000000 8000 exceed-action policed-dscp-transmit
Switch(config-pmap)# class AUTOQOS_SCAVANGER_CLASS
Switch(config-pmap-c)# set dscp cs1
Switch(config-pmap-c)# police 10000000 8000 exceed-action drop
Switch(config-pmap)# class AUTOQOS_SIGNALING_CLASS
Switch(config-pmap-c)# set dscp cs3
Switch(config-pmap-c)# police 32000 8000 exceed-action drop
Switch(config-pmap)# class AUTOQOS_DEFAULT_CLASS
Switch(config-pmap-c)# set dscp default
Switch(config-if)# service-policy input AUTOQOS-SRND4-SOFTPHONE-POLICY
例
次の例では、ポートに接続されているスイッチまたはルータが信頼できる装置である場合に、auto-QoS をイネーブルにし、着信パケットで受信した QoS ラベルを信頼する方法を示します。
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# auto qos voip trust
設定を確認するには、 show auto qos interface interface-id 特権 EXEC コマンドを入力します。
関連コマンド
|
|
debug auto qos |
auto-QoS 機能のデバッグをイネーブルにします。 |
mls qos cos |
デフォルトのポート CoS 値を定義するか、あるいはポートのすべての着信パケットにデフォルトの CoS 値を割り当てます。 |
mls qos map |
CoS/DSCP マップまたは DSCP/CoS マップを定義します。 |
mls qos queue-set output buffers |
バッファをキューセットに割り当てます。 |
mls qos srr-queue input bandwidth |
シェイプド ラウンドロビン(SRR)の重みを入力キューに割り当てます。 |
mls qos srr-queue input buffers |
入力キュー間のバッファを割り当てます。 |
mls qos srr-queue input cos-map |
CoS 値を入力キューにマッピングするか、または CoS 値をキューとしきい値 ID にマッピングします。 |
mls qos srr-queue input dscp-map |
DSCP 値を入力キューにマッピングするか、または DSCP 値をキューとしきい値 ID にマッピングします。 |
mls qos srr-queue input priority-queue |
入力プライオリティ キューを設定し、帯域幅を保証します。 |
mls qos srr-queue output cos-map |
CoS 値を出力キューにマッピング、または CoS 値をキューおよびしきい値 ID にマッピングします。 |
mls qos srr-queue output dscp-map |
DSCP 値を出力キュー、またはキューとしきい値 ID にマッピングします。 |
mls qos trust |
ポートの信頼状態を設定します。 |
queue-set |
ポートをキューセットにマッピングします。 |
show auto qos |
auto-QoS 情報を表示します。 |
show mls qos interface |
ポート レベルで QoS 情報を表示します。 |
srr-queue bandwidth shape |
シェーピングされた重みを割り当て、ポートにマッピングされた 4 つの出力キュー上で帯域幅シェーピングをイネーブルにします。 |
srr-queue bandwidth share |
共有する重みを割り当て、ポートにマッピングされた 4 つの出力キュー上で帯域幅の共有をイネーブルにします。 |
boot auto-copy-sw
自動アップグレード プロセスをイネーブルにするには、スタック マスターから boot auto-copy-sw グローバル コンフィギュレーション コマンドを使用します。このコマンドにより、Version-Mismatch モードのスイッチは、いずれかのスタック メンバ上で実行中のソフトウェア イメージをコピーするか、スイッチ スタックのフラッシュ メモリの tar ファイル イメージをコピーして、自動的にアップグレードされます。自動アップグレード プロセスをディセーブルにするには、このコマンドの no 形式を使用します。
boot auto-copy-sw
no boot auto-copy-sw
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
Version-Mismatch モードのスイッチは、スタック上のバージョンと異なるマイナー バージョン番号を持つスイッチです。Version-Mismatch モードのスイッチは、完全に機能しているメンバとしてはスタックに加入できません。スタックが Version-Mismatch モードのスイッチにコピーできるイメージを保有している場合、自動アップグレード プロセスを使用することで、スタック メンバから Version-Mismatch モードのスイッチにイメージを自動でコピーできます。その場合、スイッチは Version-Mismatch モードを終了し、再起動後に完全に機能しているメンバとしてスタックに加入します。
自動アップグレード プロセスは、Version-Mismatch モードのスイッチだけに影響します。既存のスタック メンバには影響しません。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
show version |
ハードウェアおよびファームウェアのバージョン情報を表示します。 |
boot auto-download-sw
boot auto-download-sw グローバル コンフィギュレーション コマンドを使用して、ソフトウェアの自動アップグレードのために使用する URL パス名を指定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot auto-download-sw source-url
no boot auto-download-sw
構文の説明
source-url |
自動アップグレードのためのソース URL エイリアス。次のオプションがサポートされています。 • スタンドアロン スイッチまたはスタック マスター上のローカル フラッシュ ファイル システムの構文: flash: スタック メンバ上のローカル フラッシュ ファイル システムの構文: flash member number : • FTP の構文: ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar • HTTP サーバの構文: http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文: https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar • Remote Copy Protocol(RCP)の構文: rcp: [[ // username @ location ]/ directory ] / image-name .tar • TFTP の構文: tftp: [[ // location ]/ directory ] / image-name .tar image-name .tar は、スイッチにダウンロードし、インストールするソフトウェア イメージです。 |
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(35)SE |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドを使用すると、ソフトウェアの自動アップグレードのために使用する URL パスを指定します。
このコマンドを使用して、バージョンのミスマッチの場合にアクセスするマスタースイッチの URL を設定できます。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot buffersize
NVRAM サイズを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で boot buffersize グローバル コンフィギュレーション コマンドを使用します。このコマンドをデフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot buffersize size
no boot buffersize
構文の説明
size |
NVRAM バッファ サイズ(KB) 有効な範囲は 4096 ~ 1048576 です。 |
デフォルト
デフォルトの NVRAM バッファ サイズは 512 KB です。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(55)SE |
このコマンドが追加されました。 |
使用上のガイドライン
デフォルトの NVRAM バッファ サイズは 512 KB です。コンフィギュレーション ファイルが大きすぎて NVRAM に保存できない場合があります。一般的に、この状態はスイッチ スタック内に多くのスイッチがある場合に発生します。より大きいコンフィギュレーション ファイルをサポートできるように、NVRAM バッファのサイズを設定できます。新しい NVRAM バッファ サイズは、現在および新しいすべてのメンバ スイッチに同期されます。
NVRAM バッファ サイズを設定後、スイッチまたはスイッチ スタックをリロードします。
スイッチをスタックに追加し、NVRAM サイズが異なる場合、新しいスイッチはスタックに同期化し、自動的にリロードされます。
例
次の例では、NVRAM バッファ サイズを設定する方法を示します。
Switch(config)#
boot buffersize 524288
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot config-file
システム設定の不揮発性コピーの読み込みおよび書き込みを行うために、Cisco IOS が使用するファイル名を指定するには、スタンドアロン スイッチ上で boot config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot config-file flash: / file-url
no boot config-file
構文の説明
flash:/ file-url |
コンフィギュレーション ファイルのパス(ディレクトリ)および名前です。 |
デフォルト
デフォルトのコンフィギュレーション ファイルは、flash:config.text です。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、スタンドアロン スイッチからだけ正常に動作します。
ファイル名およびディレクトリ名は、大文字と小文字を区別します。
このコマンドは、CONFIG_FILE 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 スイッチ ブートローダ コマンド」 を参照してください。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot enable-break
自動ブート プロセスの中断をイネーブルにするには、スタンドアロン スイッチ上で boot enable-break グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot enable-break
no boot enable-break
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
無効です。コンソール上で Break キーを押しても自動ブート プロセスを中断することはできません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、スタンドアロン スイッチからだけ正常に動作します。
このコマンドを入力すると、フラッシュ ファイル システムが初期化された後で Break キーを押して、自動ブート プロセスを中断できます。
(注) このコマンドの設定に関係なく、スイッチ前面パネルの MODE ボタンを押すと、いつでも自動ブート プロセスを中断することができます。
このコマンドは、ENABLE_BREAK 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 スイッチ ブートローダ コマンド」 を参照してください。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot helper
boot helper グローバル コンフィギュレーション コマンドを使用して、ブートローダ初期化中に動的にファイルをロードして、ブートローダの機能を拡張したり、パッチを当てたりします。このコマンドをデフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot helper filesystem :/ file-url ...
no boot helper
構文の説明
filesystem : |
フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。 |
/ file-url |
ローダー初期化中に動的にロードするためのパス(ディレクトリ)およびロード可能なファイルのリストです。イメージ名はセミコロンで区切ります。 |
デフォルト
ヘルパー ファイルはロードされません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
この変数は、内部開発およびテスト専用です。
ファイル名およびディレクトリ名は、大文字と小文字を区別します。
このコマンドは、HELPER 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 スイッチ ブートローダ コマンド」 を参照してください。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot helper-config-file
boot helper-config-file グローバル コンフィギュレーション コマンドを使用して、Cisco IOS ヘルパー イメージが使用するコンフィギュレーション ファイルの名前を指定します。このコマンドが設定されていない場合は、CONFIG_FILE 環境変数によって指定されたファイルが、ロードされたすべてのバージョンの Cisco IOS に使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot helper-config-file filesystem :/ file-url
no boot helper-config file
構文の説明
filesystem : |
フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。 |
/ file-url |
ロードするパス(ディレクトリ)およびヘルパー コンフィギュレーション ファイル |
デフォルト
ヘルパー コンフィギュレーション ファイルは指定されません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
この変数は、内部開発およびテスト専用です。
ファイル名およびディレクトリ名は、大文字と小文字を区別します。
このコマンドは、HELPER_CONFIG_FILE 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 スイッチ ブートローダ コマンド」 を参照してください。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot manual
次回ブート サイクル中にスイッチの手動起動をイネーブルにするには、スタンドアロン スイッチ上で boot manual グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot manual
no boot manual
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、スタンドアロン スイッチからだけ正常に動作します。
システムを次回再起動すると、スイッチはブートローダ モードで起動します。これは switch: プロンプトによってわかります。システムを起動するには、 boot ブートローダ コマンドを使用して起動可能なイメージの名前を指定します。
このコマンドは、MANUAL_BOOT 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 スイッチ ブートローダ コマンド」 を参照してください。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot private-config-file
プライベート コンフィギュレーションの不揮発性コピーの読み込みおよび書き込みを行うために Cisco IOS が使用するファイル名を指定するには、スタンドアロン スイッチ上で boot private-config-file グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot private-config-file filename
no boot private-config-file
構文の説明
filename |
プライベート コンフィギュレーション ファイルの名前 |
デフォルト
デフォルトのコンフィギュレーション ファイルは、 private-config です。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、スタンドアロン スイッチからだけ正常に動作します。
ファイル名は、大文字と小文字を区別します。
例
次の例では、プライベート コンフィギュレーション ファイルの名前を pconfig と指定する方法を示します。
Switch(config)# boot private-config-file pconfig
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
boot system
boot system グローバル コンフィギュレーション コマンドを使用して、次回のブート サイクル中にロードする Cisco IOS イメージを指定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
boot system { filesystem :/ file-url ... | switch { number | all }}
no boot system
no boot system switch { number | all }
構文の説明
filesystem : |
フラッシュ ファイル システムのエイリアスです。システム ボード フラッシュ デバイスには flash: を使用します。 |
/ file-url |
ブート可能なイメージのパス(ディレクトリ)および名前。各イメージ名はセミコロンで区切ります。 |
switch |
Cisco IOS イメージがロードされるスイッチを指定します。 |
number |
スタック メンバを指定します(1 ~9 の範囲で、1 つのスタック メンバだけを指定する)。 |
all |
すべてのスタック メンバを指定します。 |
デフォルト
スイッチは、BOOT 環境変数内の情報を使用して、自動的にシステムを起動しようとします。この変数が設定されていない場合、スイッチは、フラッシュ ファイル システム全体に再帰的に縦型検索し、最初の実行可能イメージをロードして実行しようとします。ディレクトリの縦型検索では、検出した各サブディレクトリを完全に検索してから元のディレクトリでの検索を続けます。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
12.2(25)SEA |
switch { number | all } キーワードが追加されました。 boot system コマンドは現在、スイッチ スタックおよびスタンドアロン スイッチ上で正常に動作します。 |
使用上のガイドライン
ファイル名およびディレクトリ名は、大文字と小文字を区別します。
スタック マスター上で boot system filesystem:/file-url コマンドを入力した場合、指定したソフトウェア イメージは、次回のブート サイクルの際に、スタック マスター上でだけロードされます。
スタック マスター上で、次回のブート サイクル中に指定のスタック メンバでソフトウェア イメージがロードされるように指定するには、 boot system switch number コマンドを使用します。次回のブート サイクル中にすべてのスタック メンバ上でソフトウェア イメージがロードされるように指定するには、 boot system switch all コマンドを使用します。
boot system switch number コマンドまたは boot system switch all コマンドをスタック マスター上で入力すると、スタック マスターはスタック メンバ(スタック マスターを除く)上にソフトウェア イメージが存在しているかどうか確認します。スタック メンバ上(スタック メンバ 1 など)にソフトウェア イメージが存在しない場合、次のようなエラー メッセージが表示されます。
%Command to set boot system switch all xxx on switch=1 failed
スタック マスター上で boot system switch number コマンドを入力した場合、 number 変数に 1 つのスタック メンバだけを指定できます。 number 変数に複数のスタック メンバを入力することはサポートされていません。
archive download-sw 特権 EXEC コマンドを使用してシステム イメージを保存している場合、 boot system コマンドを使用する必要はありません。 boot system コマンドは自動的に処理され、ダウンロードされたイメージがロードされます。
このコマンドは、BOOT 環境変数の設定を変更します。詳細については、 付録 A「Catalyst 3750 スイッチ ブートローダ コマンド」 を参照してください。
関連コマンド
|
|
show boot |
BOOT 環境変数の設定を表示します。 |
cdp forward
CDP トラフィックの入力および出力スイッチ ポートを指定するには、 cdp forward グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cdp forward ingress port-id egress port-id
no cdp forward ingress port-id
構文の説明
ingress port-id |
IP Phone から CDP パケットを受信するスイッチ ポートを指定します。 |
egress port-id |
Cisco TelePresence System に CDP パケットを転送するスイッチ ポートを指定します。 |
デフォルト
スイッチを通る CDP パケットのデフォルト パスは、任意の入力ポートから Cisco TelePresence System に接続された出力ポートです。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(53)SE |
このコマンドが追加されました。 |
使用上のガイドライン
TelePresence E911 IP Phone がサポートされた CDP 対応の電話機だけを使用する必要があります。
スイッチ スタック内の任意の 2 つのポートを経由した Cisco TelePresence System 内で、IP Phone とコーデックを接続できます。
例
Switch# configure terminal
Enter configuration commands, one per line.End with CNTL/Z.
Switch(config)# cdp forward ingress gigabitethernet2/0/1 egress gigabitethernet2/0/12
Switch(config)# cdp forward ingress gigabitethernet2/0/2 egress gigabitethernet2/0/13
Switch# show running-config | include cdp
cdp forward ingress GigabitEthernet2/0/1 egress GigabitEthernet2/0/12
cdp forward ingress GigabitEthernet2/0/2 egress GigabitEthernet2/0/13
Ingress Egress # packets # packets
Port Port forwarded dropped
-------------------------------------------------------------
関連コマンド
|
|
show cdp forward |
CDP フォワーディング テーブルを表示します。 |
channel-group
channel-group インターフェイス コンフィギュレーション コマンドを使用して、EtherChannel グループにイーサネット ポートを割り当てたり、EtherChannel モードをイネーブルにしたり、この両方を行ったりします。イーサネット ポートを EtherChannel グループから削除する場合は、このコマンドの no 形式を使用します。
channel-group channel -group-number mode { active | { auto [ non-silent ]} | { desirable [ non-silent ]} | on | passive }
no channel-group
PAgP モード:
channel-group channel -group-number mode { { auto [ non-silent ]} | { desirable [ non-silent}}
LACP モード:
channel-group channel -group-number mode {active | passive}
on モード:
channel-group channel -group-number mode on
構文の説明
channel-group-number |
チャネル グループ番号を指定します。指定できる範囲は 1 ~ 48 です。 |
mode |
EtherChannel モードを指定します。 |
active |
無条件に Link Aggregation Control Protocol(LACP)をイネーブルにします。 active モードは、ポートをネゴシエーション ステートにします。このステートでは、ポートは LACP パケットを送信することによって、他のポートとのネゴシエーションを開始します。チャネルは、active モードまたは passive モードの別のポート グループで形成されます。 |
auto |
ポート集約プロトコル(PAgP)装置が検出された場合に限り、PAgP をイネーブルにします。 auto モードは、ポートをパッシブ ネゴシエーション ステートにします。この場合、ポートは受信する PAgP パケットに応答しますが、PAgP パケット ネゴシエーションを開始することはありません。チャネルは、desirable モードの別のポート グループでだけ形成されます。 auto がイネーブルの場合、サイレント動作がデフォルトになります。 |
desirable |
無条件に PAgP をイネーブルにします。 desirable モードは、ポートをアクティブ ネゴシエーション ステートにします。この場合、ポートは PAgP パケットを送信することによって、他のポートとのネゴシエーションを開始します。EtherChannel は、desirable モードまたは auto モードの別のポート グループで形成されます。 desirable がイネーブルの場合は、デフォルトでサイレント動作となります。 |
non-silent |
(任意)他の装置からのトラフィックが予想されている場合に PAgP モードで auto または desirable キーワードとともに使用されます。 |
on |
on モードをイネーブルにします。 on モードでは、使用可能な EtherChannel が存在するのは、両方の接続ポート グループが on モードになっている場合だけです。 |
passive |
LACP 装置が検出された場合に限り、LACP をイネーブルにします。 passive モードは、ポートをネゴシエーション ステートにします。この場合、ポートは受信した LACP パケットに応答しますが、LACP パケット ネゴシエーションを開始することはありません。チャネルは、active モードの別のポート グループでだけ形成されます。 |
デフォルト
チャネル グループは割り当てることができません。
モードは設定されていません。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
12.1(14)EA1 |
active キーワードおよび passive キーワードが追加されました。 |
12.2(25)SE |
channel -group-number 範囲が 1 ~ 12 から 1 ~ 48 に変更されました。 |
12.2(25)SEC |
LACP はクロススタック EtherChannel をネゴシエートできるようになりました。 |
使用上のガイドライン
レイヤ 2 EtherChannel の場合、物理ポートをチャネル グループに割り当てる前に、先に interface port-channel グローバル コンフィギュレーション コマンドを使用してポートチャネル インターフェイスを作成しておく必要はありません。代わりに、 channel-group インターフェイス コンフィギュレーション コマンドを使用できます。論理インターフェイスがまだ作成されていない場合は、チャネル グループが最初の物理ポートを取得した時点で、自動的にポートチャネル インターフェイスが作成されます。最初にポートチャネル インターフェイスを作成する場合は、 channel-group-number を port - channel-number と同じ番号にしても、新しい番号にしてもかまいません。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポート チャネルを作成します。
チャネル グループの一部である物理ポートに割り当てられた IP アドレスをディセーブルにする必要はありませんが、これをディセーブルにすることを強く推奨します。
interface port-channel コマンドの次に no switchport インターフェイス コンフィギュレーション コマンドを使用して、レイヤ 3 のポート チャネルを作成できます。インターフェイスをチャネル グループに適用する前に、ポート チャネルの論理インターフェイスを手動で設定してください。
EtherChannel を設定した後、ポートチャネル インターフェイスに加えられた設定の変更は、そのポートチャネル インターフェイスに割り当てられたすべての物理ポートに適用されます。物理ポートに適用された設定の変更は、設定を適用したポートだけに有効です。EtherChannel 内のすべてのポートのパラメータを変更するには、ポートチャネル インターフェイスに対してコンフィギュレーション コマンドを適用します。たとえば、spanning-tree コマンドを使用して、レイヤ 2 EtherChannel をトランクとして設定します。
auto モードまたは desirable モードとともに non-silent を指定しなかった場合は、サイレントが指定されているものと見なされます。サイレント モードを設定するのは、PAgP 非対応で、かつほとんどパケットを送信しない装置にスイッチを接続する場合です。サイレント パートナーの例は、トラフィックを生成しないファイル サーバ、またはパケット アナライザなどです。この場合、物理ポート上で稼働している PAgP は、そのポートを動作可能にしません。ただし、PAgP は動作可能で、チャネル グループにポートを付与したり、伝送用ポートを使用したりできます。リンクの両端はサイレントに設定することはできません。
on モードでは、使用可能な EtherChannel が存在するのは、 on モードのポート グループが、 on モードの別のポート グループに接続する場合だけです。
注意 on モードの使用には注意が必要です。これは手動の設定であり、EtherChannel の両端のポートには、同一の設定が必要です。グループの設定を誤ると、パケット損失またはスパニングツリー ループが発生することがあります。
クロススタック EtherChannel は、最大 2 つの 10 ギガビット イーサネット インターフェイスをサポートします。
EtherChannel は、PAgP と LACP の両方のモードには設定しないでください。PAgP および LACP を実行している EtherChannel グループは、同一のスイッチ、またはスタックにある異なるスイッチ上で共存できます(クロススタック構成ではできません)。個々の EtherChannel グループは PAgP または LACP のいずれかを実行できますが、相互運用することはできません。
channel-protocol インターフェイス コンフィギュレーション コマンドを使用してプロトコルを設定した場合、設定値は、 channel-group インターフェイス コンフィギュレーション コマンドによっては上書きされません。
アクティブまたはアクティブでない EtherChannel メンバであるポートを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。
セキュア ポートを EtherChannel の一部として、または EtherChannel ポートをセキュア ポートとしては設定しないでください。
設定の注意事項の一覧については、このリリースに対応するソフトウェア コンフィギュレーション ガイドの「Configuring EtherChannels」の章を参照してください。
注意 物理 EtherChannel ポート上で、レイヤ 3 のアドレスをイネーブルにしないでください。物理 EtherChannel ポート上でブリッジ グループを割り当てることは、ループが発生する原因になるため、行わないでください。
例
次の例では、単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN 10 のスタティックアクセス ポート 2 つを PAgP モード desirable であるチャネル 5 に割り当てます。
Switch# configure terminal
Switch(config)# interface range gigabitethernet2//1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode desirable
Switch(config-if-range)# end
次の例では、単一のスイッチ上で、EtherChannel を設定する方法を示します。VLAN 10 のスタティックアクセス ポート 2 つを LACP モード active であるチャネル 5 に割り当てます。
Switch# configure terminal
Switch(config)# interface range gigabitethernet2//1 -2
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode active
Switch(config-if-range)# end
次の例では、クロススタック EtherChannel を設定する方法を示します。LACP パッシブ モードを使用して、VLAN 10 内のスタティックアクセス ポートとしてスタック メンバ 2 のポートを 2 つ、スタック メンバ 3 のポートを 1 つチャネル 5 に割り当てます。
Switch# configure terminal
Switch(config)# interface range gigabitethernet2/0/4 -5
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# channel-group 5 mode passive
Switch(config-if-range)# exit
Switch(config)# interface gigabitethernet3/0/3
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# channel-group 5 mode passive
設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。
関連コマンド
|
|
channel-protocol |
チャネリングを管理するため、ポート上で使用されるプロトコルを制限します。 |
interface port-channel |
ポート チャネルへのアクセスや、ポート チャネルの作成を行います。 |
show etherchannel |
チャネルの EtherChannel 情報を表示します。 |
show lacp |
LACP チャネル グループ情報を表示します。 |
show pagp |
PAgP チャネル グループ情報を表示します。 |
show running-config |
現在の動作設定を表示します。 |
channel-protocol
channel-protocol インターフェイス コンフィギュレーション コマンドを使用して、チャネリングを管理するために、ポート上で使用されるプロトコルを制限します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
channel-protocol { lacp | pagp }
no channel-protocol
構文の説明
lacp |
Link Aggregation Control Protocol(LACP)で EtherChannel を設定します。 |
pagp |
ポート集約プロトコル(PAgP)で EtherChannel を設定します。 |
デフォルト
EtherChannel に割り当てられているプロトコルはありません。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.1(14)EA1 |
このコマンドが追加されました。 |
使用上のガイドライン
channel-protocol コマンドは、チャネルを LACP または PAgP に制限するためだけに使用します。 channel-protocol コマンドを使用してプロトコルを設定する場合、設定は channel-group インターフェイス コンフィギュレーション コマンドで上書きされることはありません。
channel-group インターフェイス コンフィギュレーション コマンドは、EtherChannel のパラメータ設定に使用してください。また、 channel-group コマンドは、EtherChannel に対しモードを設定することもできます。
EtherChannel グループ上で、PAgP および LACP モードの両方をイネーブルにすることはできません。
PAgP と LACP には互換性がありません。両方ともチャネルの終端は同じプロトコルを使用する必要があります。
例
次の例では、EtherChannel を管理するプロトコルとして LACP を指定する方法を示します。
Switch(config-if)# channel-protocol lacp
設定を確認するには、 show etherchannel [ channel-group-number ] protocol 特権 EXEC コマンドを入力します。
関連コマンド
|
|
channel-group |
EtherChannel グループにイーサネット ポートを割り当てます。 |
show etherchannel protocol |
EtherChannel のプロトコル情報を表示します。 |
cisp enable
スイッチ上で Client Information Signalling Protocol(CISP)をイネーブルにして、サプリカント スイッチのオーセンティケータとして機能するようにするには、cisp enable グローバル コンフィギュレーション コマンドを使用します。
cisp enable
no cisp enable
構文の説明
cisp enable |
CISP をイネーブルにします。 |
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
オーセンティケータとサプリカント スイッチの間のリンクはトランクです。両方のスイッチで VTP をイネーブルにする場合は、VTP ドメイン名が同一であり、VTP モードがサーバである必要があります。
VTP モードを設定する場合は、MD5 チェックサムの不一致エラーにならないようにするために、次の点を確認してください。
• VLAN が異なる 2 台のスイッチに設定されていないこと。同じドメインに VTP サーバが 2 台存在することがこの状態の原因になることがあります。
• 両方のスイッチで、設定のリビジョン番号が異なっていること。
例
次の例では、CISP をイネーブルにする方法を示します。
switch(config)# cisp enable
関連コマンド
|
|
dot1x credentials(グローバル コンフィギュレーション) profile |
プロファイルをサプリカント スイッチに設定します。 |
show cisp |
指定されたインターフェイスの CISP 情報を表示します。 |
class
指定のクラス マップ名のトラフィックを分類する一致条件を( police 、 set 、および trust ポリシー マップ クラス コンフィギュレーション コマンドを使用して)定義するには、class ポリシー マップ コンフィギュレーション コマンドを使用します。既存のクラス マップを削除する場合は、このコマンドの no 形式を使用します。
class { class-map-name | class-default }
no class { class-map-name | class-default }
構文の説明
class-map-name |
クラス マップの名前を指定します。 |
class-default |
分類されていないパケットに一致するシステムのデフォルト クラスです。 |
コマンド モード
ポリシー マップ コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
12.2(55)SE |
class-default キーワードが追加されました。 |
使用上のガイドライン
class コマンドを使用する前に、 policy-map グローバル コンフィギュレーション コマンドを使用してポリシー マップを識別し、ポリシー マップ コンフィギュレーション モードを開始する必要があります。ポリシー マップを指定すると、ポリシー マップ内で新規クラスのポリシーを設定したり、既存クラスのポリシーを変更したりすることができます。 service-policy インターフェイス コンフィギュレーション コマンドを使用して、ポリシー マップをポートへ添付することができます。
class コマンドを入力すると、ポリシー マップ クラス コンフィギュレーション モードに入り、次のコンフィギュレーション コマンドが使用可能になります。
• exit : ポリシー マップ クラス コンフィギュレーション モードを終了し、ポリシー マップ コンフィギュレーション モードに戻ります。
• no : コマンドをデフォルト設定に戻します。
• police : 分類したトラフィックのポリサーまたは集約ポリサーを定義します。ポリサーは、帯域幅の限度およびその限度を超過した場合に実行するアクションを指定します。詳細については、 police および police aggregate ポリシー マップ クラス コマンドを参照してください。
• set : 分類されたトラフィックに割り当てられる値を指定します。詳細については、 set コマンドを参照してください。
• trust : class コマンドまたは class-map コマンドで分類されたトラフィックの信頼状態を定義します。詳細については、 trust コマンドを参照してください。
ポリシー マップ コンフィギュレーション モードに戻るには、 exit コマンドを使用します。特権 EXEC モードに戻るには、 end コマンドを使用します。
class コマンドは、 class-map グローバル コンフィギュレーション コマンドと同じ機能を実行します。他のポートと共有されない新しい分類を必要とする場合は、 class コマンドを使用します。多数のポート間でマップを共有する場合は、class-map コマンドを使用します。
class class-default ポリシー マップ コンフィギュレーション コマンドを使用して、デフォルト クラスを設定できます。分類されていないトラフィック(トラフィック クラスで指定された一致基準を満たさないトラフィック)は、デフォルト トラフィックと見なされます。
例
次の例では、 policy1 という名前のポリシー マップを作成する方法を示します。このコマンドが入力方向に添付された場合、 class1 で定義されたすべての着信トラフィックの照合を行い、IP Diffserv コード ポイント(DSCP)を 10 に設定し、平均レート 1 Mb/s、バースト 20 KB のトラフィックをポリシングします。プロファイルを超えるトラフィックは、ポリシング設定 DSCP マップから受信した DSCP 値がマークされてから送信されます。
Switch(config)# policy-map policy1
Switch(config-pmap)# class class1
Switch(config-pmap-c)# set dscp 10
Switch(config-pmap-c)# police 1000000 20000 exceed-action policed-dscp-transmit
Switch(config-pmap-c)# exit
次の例では、ポリシー マップにデフォルトのトラフィック クラスを設定する方法を示します。
Switch# configure terminal
Switch(config)# class-map cm-3
Switch(config-cmap)# match ip dscp 30
Switch(config-cmap)# match protocol ipv6
Switch(config-cmap)# exit
Switch(config)# class-map cm-4
Switch(config-cmap)# match ip dscp 40
Switch(config-cmap)# match protocol ip
Switch(config-cmap)# exit
Switch(config)# policy-map pm3
Switch(config-pmap)# class class-default
Switch(config-pmap-c)# set dscp 10
Switch(config-pmap-c)# exit
Switch(config-pmap)# class cm-3
Switch(config-pmap-c) set dscp 4
Switch(config-pmap-c)# exit
Switch(config-pmap)# class cm-4
Switch(config-pmap-c)# trust cos
Switch(config-pmap-c)# exit
Switch(config-pmap)# exit
設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。
次の例では、 class-default が最初に設定された場合でも、デフォルトのトラフィック クラスをポリシー マップ pm3 の終わりに自動的に配置する方法を示します。
Switch# show policy-map pm3
関連コマンド
|
|
class-map |
名前を指定したクラスとパケットとの照合に使用されるクラス マップを作成します。 |
police |
分類したトラフィックにポリサーを定義します。 |
policy-map |
複数のポートに接続可能なポリシー マップを作成または変更して、サービス ポリシーを指定します。 |
set |
パケットに DSCP 値または IP precedence 値を設定することによって、IP トラフィックを分類します。 |
show policy-map |
Quality of Service(QoS)ポリシー マップを表示します。 |
trust |
class ポリシー マップ コンフィギュレーション コマンドまたは class-map グローバル コンフィギュレーション コマンドを使用して分類されたトラフィックの信頼状態を定義します。 |
class-map
パケットと名前を指定したクラスとの照合に使用するクラス マップを作成し、クラスマップ コンフィギュレーション モードを開始するには、 class-map グローバル コンフィギュレーション コマンドを使用します。既存のクラス マップを削除し、グローバル コンフィギュレーション モードに戻るには、このコマンドの no 形式を使用します。
class-map [ match-all | match-any ] class-map-name
no class-map [ match-all | match-any ] class-map-name
構文の説明
match-all |
(任意)このクラス マップ内のすべての一致ステートメントの論理積をとります。クラス マップ内のすべての基準が一致する必要があります。 |
match-any |
(任意)このクラス マップ内の一致ステートメントの論理和をとります。1 つ以上の条件が一致していなければなりません。 |
class-map-name |
クラス マップ名です。 |
デフォルト
クラス マップは定義されていません。
match-all または match-any のどちらのキーワードも指定されていない場合、デフォルトは match-all です。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
クラス マップ一致基準を作成または変更するクラスの名前を指定し、クラス マップ コンフィギュレーション モードを開始する場合は、このコマンドを使用します。
グローバルに名前が付けられたポートごとに適用されるサービス ポリシーの一部としてパケットの分類、マーキング、および集約ポリシングを定義する場合は、 class-map コマンドおよびそのサブコマンドを使用します。
Quality of Service(QoS)クラスマップ コンフィギュレーション モードでは、次のコンフィギュレーション コマンドを利用することができます。
• description :クラス マップを説明します(最大 200 文字)。s how class-map 特権 EXEC コマンドは、クラスマップの説明と名前を表示します。
• exit :QoS クラスマップ コンフィギュレーション モードを終了します。
• match :分類基準を設定します。詳細については、 match(クラスマップ コンフィギュレーション) コマンドを参照してください。
• no :クラス マップから一致ステートメントを削除します。
• rename :現在のクラス マップの名前を変更します。クラス マップ名をすでに使用されている名前に変更すると、「 A class-map with this name already exists
」というメッセージが表示されます。
物理ポート単位でパケット分類を定義するため、クラス マップごとに 1 つずつに限り match コマンドがサポートされています。この状況では、 match-all キーワードと match-any キーワードは同じです。
1 つのクラス マップで設定できるアクセス コントロール リスト(ACL)は 1 つだけです。ACL には複数のアクセス コントロール エントリ(ACE)を含めることができます。
例
次の例では、クラス マップ class1 に 1 つの一致基準(アクセス リスト 103 )を設定する方法を示します。
Switch(config)# access-list 103 permit ip any any dscp 10
Switch(config)# class-map class1
Switch(config-cmap)# match access-group 103
Switch(config-cmap)# exit
次の例では、クラス マップ class1 を削除する方法を示します。
Switch(config)# no class-map class1
show class-map 特権 EXEC コマンドを入力すると、設定を確認できます。
関連コマンド
|
|
class |
指定されたクラスマップ名のトラフィック分類一致条件( police 、 set 、および trust ポリシー マップ クラス コンフィギュレーション コマンドによる)を定義します。 |
match(クラスマップ コンフィギュレーション) |
トラフィックを分類するための一致条件を定義します。 |
policy-map |
複数のポートに接続可能なポリシー マップを作成または変更して、サービス ポリシーを指定します。 |
show class-map |
QoS クラス マップを表示します。 |
clear arp inspection log
ダイナミック アドレス解決プロトコル(ARP)インスペクション ログ バッファを消去するには、 clear ip arp inspection log 特権 EXEC コマンドを使用します。
clear ip arp inspection log
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(20)SE |
このコマンドが追加されました。 |
例
次の例では、ログ バッファの内容をクリアする方法を示します。
Switch#
clear ip arp inspection log
ログがクリアされたかどうかを確認するには、 show ip arp inspection log 特権 EXEC コマンドを入力します。
関連コマンド
|
|
arp access-list |
ARP アクセス コントロール リスト(ACL)を定義します。 |
ip arp inspection log-buffer |
ダイナミック ARP インスペクション ロギング バッファを設定します。 |
ip arp inspection vlan logging |
VLAN 単位で記録するパケットのタイプを制御します。 |
show inventory log |
ダイナミック ARP インスペクション ログ バッファの設定と内容を表示します。 |
clear dot1x
スイッチまたは指定したポートの IEEE 802.1x 情報をクリアするには、 clear dot1x 特権 EXEC コマンドを使用します。
clear dot1x { all | interface interface-id }
構文の説明
all |
スイッチのすべての IEEE 802.1x 情報をクリアします。 |
interface interface-id |
指定されたインターフェイスの IEEE 802.1x 情報をクリアします。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(25)SEE |
このコマンドが追加されました。 |
使用上のガイドライン
clear dot1x all コマンドを使用して、すべての情報をクリアできます。また、 clear dot1x interface interface-id コマンドを使用して、指定されたインターフェイスの情報だけをクリアできます。
例
次の例では、すべての IEEE 802.1x 情報をクリアする方法を示します。
次の例では、指定されたインターフェイスの IEEE 802.1x 情報をクリアする方法を示します。
Switch#
clear dot1x interface gigabithethernet1/0/1
Switch#
clear dot1x interface gigabithethernet1/1
情報が削除されたかどうかを確認するには、 show dot1x 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show dot1x |
スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。 |
clear eap sessions
スイッチまたは指定したポートの Extensible Authentication Protocol(EAP)セッション情報をクリアするには、 clear eap sessions 特権 EXEC コマンドを使用します。
clear eap sessions [ credentials name [ interface interface-id ] | interface interface-id | method name | transport name ] [ credentials name | interface interface-id | transport name ] ...
構文の説明
credentials name |
指定されたプロファイルの EAP クレデンシャル情報をクリアします。 |
interface interface-id |
指定されたインターフェイスの EAP 情報をクリアします。 |
method name |
指定された方式の EAP 情報をクリアします。 |
transport name |
指定された下位レベルの EAP トランスポート情報をクリアします。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(25)SEE |
このコマンドが追加されました。 |
使用上のガイドライン
clear eap sessions コマンドを使用して、すべてのカウンタをクリアできます。キーワードを使用して、特定の情報だけをクリアできます。
例
次の例では、すべての EAP 情報をクリアする方法を示します。
次の例では、指定されたプロファイルの EAP セッション クレデンシャル情報をクリアする方法を示します。
Switch#
clear eap sessions credential type1
情報が削除されたかどうかを確認するには、 show dot1x 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show eap |
スイッチまたは指定されたポートの EAP のレジストレーション情報およびセッション情報を表示します。 |
clear errdisable interface
errdisable になっていた VLAN を再度イネーブルにするには、 clear errdisable interface 特権 EXEC コマンドを使用します。
clear errdisable interface interface-id vlan [vlan-list]
構文の説明
vlan list |
(任意)再びイネーブルにする VLAN のリストを指定します。vlan-list を指定しない場合は、すべての VLAN が再びイネーブルになります。 |
コマンド デフォルト
デフォルトは定義されていません。
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(37)SE |
このコマンドが追加されました。 |
使用上のガイドライン
shutdown および no shutdown のインターフェイス コンフィギュレーション コマンドを使用してポートを再びイネーブルにするか、clear errdisable interface コマンドを使用して VLAN の errdisable をクリアできます。
例
次の例では、ポート 2 で error-disabled になっているすべての VLAN を再びイネーブルにする方法を示します。
Switch#
clear errdisable interface GigabitEthernet4/0/2 vlan
関連コマンド
|
|
errdisable detect cause |
特定の原因、またはすべての原因に対して errdisable 検出をイネーブルにします。 |
errdisable recovery |
回復メカニズム変数を設定します。 |
show errdisable detect |
errdisable 検出ステータスを表示します。 |
show errdisable recovery |
errdisable 回復タイマー情報を表示します。 |
show interfaces status err-disabled |
errdisable ステートになっているインターフェイスのリストのインターフェイス ステータスを表示します。 |
clear ip arp inspection statistics
ダイナミック アドレス解決プロトコル(ARP)インスペクションの統計情報をクリアするには、 clear ip arp inspection statistics 特権 EXEC コマンドを使用します。
clear ip arp inspection statistics [ vlan vlan-range ]
構文の説明
vlan vlan-range |
(任意)指定された 1 つ以上の VLAN の統計情報をクリアします。 VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は 1 ~ 4094 です。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(20)SE |
このコマンドが追加されました。 |
例
次の例では、VLAN 1 の統計情報をクリアする方法を示します。
Switch# clear ip arp inspection statistics vlan 1
統計情報が削除されたかどうかを確認するには、 show ip arp inspection statistics vlan 1 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show inventory statistics |
すべての VLAN または指定された VLAN の転送済みパケット、ドロップ済みパケット、MAC 検証に失敗したパケット、および IP 検証に失敗したパケットの統計情報を表示します。 |
clear ip dhcp snooping
DHCP スヌーピング バインディング データベース、DHCP スヌーピング バインディング データベース エージェントの統計情報または DHCP スヌーピング統計カウンタをクリアするには、 clear ip dhcp snooping 特権 EXEC コマンドを使用します。
clear ip dhcp snooping { binding {* | ip-address | interface interface-id | vlan vlan-id } | database statistics | statistics }
構文の説明
binding |
DHCP スヌーピング バインディング データベースをクリアします。 |
* |
すべての自動バインディングをクリアします。 |
ip-address |
バインディング エントリ IP アドレスをクリアします。 |
interface interface-id |
バインディング入力インターフェイスをクリアします。 |
vlan vlan-id |
バインディング エントリ VLAN をクリアします。 |
database statistics |
DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアします。 |
statistics |
DHCP スヌーピング統計カウンタをクリアします。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(20)SE |
このコマンドが追加されました。 |
12.2(37)SE |
statistics キーワードが導入されました。 |
12.2(44)SE |
*、ip-address、interface interface-id、および vlan vlan-id キーワードが追加されました。 |
使用上のガイドライン
clear ip dhcp snooping database statistics コマンドを入力すると、スイッチは統計情報をクリアする前にバインディング データベースおよびバインディング ファイル内のエントリを更新しません。
例
次の例では、DHCP スヌーピング バインディング データベース エージェントの統計情報をクリアする方法を示します。
Switch# clear ip dhcp snooping database statistics
統計情報がクリアされたかどうかを確認するには、 show ip dhcp snooping database 特権 EXEC コマンドを入力します。
次の例では、DHCP スヌーピング統計カウンタをクリアする方法を示します。
Switch#
clear ip dhcp snooping statistics
統計情報がクリアされたかどうかを確認するには、 show ip dhcp snooping statistics ユーザ EXEC コマンドを入力します。
関連コマンド
|
|
ip dhcp snooping |
VLAN 上で DHCP スヌーピングをイネーブルにします。 |
ip dhcp snooping database |
DHCP スヌーピング バインディング データベース エージェントまたはバインディング ファイルを設定します。 |
show ip dhcp snooping binding |
DHCP スヌーピング データベース エージェントのステータスを表示します。 |
show ip dhcp snooping database |
DHCP スヌーピング バインディング データベース エージェントの統計情報を表示します。 |
show ip dhcp snooping statistics |
DHCP スヌーピングの統計情報を表示します。 |
clear ipc
プロセス間通信(IPC)プロトコルの統計情報をクリアするには、 clear ipc 特権 EXEC コマンドを使用します。
clear ipc { queue-statistics | statistics }
構文の説明
queue-statistics |
IPC キューの統計情報をクリアします。 |
statistics |
IPC の統計情報をクリアします。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(18)SE |
このコマンドが追加されました。 |
使用上のガイドライン
clear ipc statistics コマンドを使用してすべての統計情報をクリアできますが、 clear ipc queue-statistics コマンドを使用してキューの統計情報だけをクリアすることもできます。
例
次の例では、すべての統計情報をクリアする方法を示します。
Switch#
clear ipc statistics
次の例では、キューの統計情報だけをクリアする方法を示します。
Switch#
clear ipc queue-statistics
統計情報が削除されたかどうかを確認するには、 show ipc rpc または show ipc session 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show ipc { rpc | session } |
IPC マルチキャスト ルーティングの統計情報を表示します。 |
clear ipv6 dhcp conflict
Dynamic Host Configuration Protocol for IPv6(DHCPv6)サーバ データベースからアドレス競合をクリアするには、 clear ipv6 dhcp conflict 特権 EXEC コマンドを使用します。
clear ipv6 dhcp conflict {* | IPv6-address}
(注) このコマンドは、スイッチでデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートが設定されている場合に限り使用可能です。
構文の説明
* |
すべてのアドレス競合をクリアします。 |
IPv6-address |
競合するアドレスを含むホスト IPv6 アドレスをクリアします。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(46)SE |
このコマンドが追加されました。 |
使用上のガイドライン
デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバル コンフィギュレーション コマンドを入力し、スイッチをリロードします。
競合を検出するように DHCPv6 サーバを設定する場合、DHCPv6 サーバは ping を使用します。クライアントはネイバー探索を使用してクライアントを検出し、DECLINE メッセージを介してサーバに報告します。アドレス競合が検出されると、このアドレスはプールから削除されます。管理者がこのアドレスを競合リストから削除するまでこのアドレスは割り当てることができません。
アドレス パラメータとしてアスタリスク(*)文字を使用すると、DHCP はすべての競合をクリアします。
例
次の例では、DHCPv6 サーバ データベースからすべてのアドレス競合をクリアする方法を示します。
Switch# clear ipv6 dhcp conflict *
関連コマンド
|
|
show ipv6 dhcp conflict |
DHCPv6 サーバによって検出された、またはクライアントから DECLINE メッセージにより報告されたアドレス競合を表示します。 |
clear l2protocol-tunnel counters
プロトコル トンネル ポートのプロトコル カウンタをクリアするには、 clear l2protocol-tunnel counters 特権 EXEC コマンドを使用します。
clear l2protocol-tunnel counters [ interface-id ]
構文の説明
interface-id |
(任意)プロトコル カウンタをクリアするインターフェイス(物理インターフェイスまたはポート チャネル)を指定します。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(25)SE |
このコマンドが追加されました。 |
使用上のガイドライン
スイッチまたは指定されたインターフェイスのプロトコル トンネル カウンタをクリアするには、このコマンドを使用します。
例
次の例では、インターフェイスのレイヤ 2 プロトコル トンネル カウンタをクリアする方法を示します。
S
witch# clear l2protocol-tunnel counters gigabitethernet1/0/3
関連コマンド
|
|
show l2protocol-tunnel |
レイヤ 2 プロトコル トンネリングが設定されたポートに関する情報を表示します。 |
clear lacp
Link Aggregation Control Protocol(LACP)チャネル グループのカウンタをクリアするには、 clear lacp 特権 EXEC コマンドを使用します。
clear lacp { channel-group-number counters | counters }
構文の説明
channel-group-number |
(任意)チャネル グループ番号。指定できる範囲は 1 ~ 48 です。 |
counters |
トラフィックのカウンタをクリアします。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.1(14)EA1 |
このコマンドが追加されました。 |
12.2(25)SE |
channel -group-number 範囲が 1 ~ 12 から 1 ~ 48 に変更されました。 |
使用上のガイドライン
clear lacp counters コマンドを使用することで、カウンタをすべてクリアできます。また、指定のチャネル グループのカウンタだけをクリアする場合には、 clear lacp channel-group-number counters コマンドを使用します。
例
次の例では、すべてのチャネル グループ情報をクリアする方法を示します。
Switch#
clear lacp counters
次の例では、グループ 4 の LACP トラフィックのカウンタをクリアする方法を示します。
Switch#
clear lacp 4 counters
情報が削除されたかどうかを確認するには、 show lacp counters または show lacp 4 counters 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show lacp |
LACP チャネル グループ情報を表示します。 |
clear logging smartlog statistics interface
インターフェイスに対するスマート ロギング カウンタをクリアするには、 clear logging smartlog statistics interface コマンドを特権 EXEC モードで使用します。
clear logging smartlog statistics [ interface interface-id ]
構文の説明
interface interface-id |
指定したインターフェイスのスマートログ カウンタをクリアします。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(58)SE |
このコマンドが追加されました。 |
使用上のガイドライン
すべてのスマート ロギング統計情報をクリアするには、 clear logging smartlog statistics コマンドを使用します。インターフェイスの統計情報のみをクリアするには、 clear logging smartlog statistics interface interface-id コマンドを使用します。
例
次の例では、スマート ロギング統計情報をすべてクリアする方法を示します。
Switch#
clear logging smartlog statistics
次の例では、指定したインターフェイスのスマート ロギング統計情報のみをクリアする方法を示します。
Switch#
clear logging smartlog statistics interface gi1/0/1
統計情報が削除されたかどうかを確認するには、 show ipc rpc または show ipc session 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show logging smartlog statistics |
スマート ロギング統計情報を表示します。 |
clear mac address-table
特定のダイナミック アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、スタック メンバ上のすべてのダイナミック アドレス、または特定の VLAN 上のすべてのダイナミック アドレスを MAC アドレス テーブルから削除するには、 clear mac-address-table 特権 EXEC コマンドを使用します。このコマンドはまた MAC アドレス通知グローバル カウンタもクリアします。
clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id ] | notification }
構文の説明
dynamic |
すべてのダイナミック MAC アドレスを削除します。 |
dynamic address mac-addr |
(任意)指定されたダイナミック MAC アドレスを削除します。 |
dynamic interface interface-id |
(任意)指定された物理ポートまたはポート チャネル上のすべてのダイナミック MAC アドレスを削除します。 |
dynamic vlan vlan-id |
(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ~ 4094 です。 |
notification |
履歴テーブルの通知をクリアし、カウンタをリセットします。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
12.1(19)EA1 |
clear mac-address-table (ハイフン付き)コマンドは、 clear mac address-table (ハイフンなし)コマンドに替わりました。 |
例
次の例では、ダイナミック アドレス テーブルから特定の MAC アドレスを削除する方法を示します。
Switch# clear mac address-table dynamic address 0008.0070.0007
show mac address-table 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを確認できます。
関連コマンド
|
|
mac address-table notification |
MAC アドレス通知機能をイネーブルにします。 |
show mac access-group |
MAC アドレス テーブルのスタティック エントリおよびダイナミック エントリを表示します。 |
show mac address-table notification |
すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。 |
snmp trap mac-notification change |
特定のインターフェイス上の簡易ネットワーク管理プロトコル(SNMP)MAC アドレス通知トラップをイネーブルにします。 |
clear mac address-table move update
MAC アドレス テーブルの移行更新関連カウンタをクリアするには、 clear mac address-table move update 特権 EXEC コマンドを使用します。
clear mac address-table move update
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(25)SED |
このコマンドが追加されました。 |
例
次の例では、MAC アドレス テーブル移行更新関連カウンタをクリアする方法を示します。
Switch# clear mac address-table move update
show mac address-table move update 特権 EXEC コマンドを入力することにより、情報がクリアされたかどうかを確認できます。
関連コマンド
|
|
mac address-table move update { receive | transmit } |
スイッチ上の MAC アドレス テーブル移行更新を設定します。 |
show mac address-table move update |
スイッチに MAC アドレス テーブル移行更新情報を表示します。 |
clear nmsp statistics
ネットワーク モビリティ サービス プロトコル(NMSP)の統計情報をクリアするには、 clear nmsp statistics 特権 EXEC コマンドを使用します。このコマンドは、スイッチで暗号化ソフトウェア イメージが実行されている場合にだけ利用できます。
clear nmsp statistics
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
例
次の例では、NMSP の統計情報をクリアする方法を示します。
Switch# clear nmsp statistics
show nmsp statistics 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを確認できます。
clear pagp
ポート集約プロトコル(PAgP)チャネル グループ情報を表示するには、 clear pagp 特権 EXEC コマンドを使用します。
clear pagp { channel-group-number counters | counters }
構文の説明
channel- group-number |
(任意)チャネル グループ番号。指定できる範囲は 1 ~ 48 です。 |
counters |
トラフィックのカウンタをクリアします。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
12.2(25)SE |
channel -group-number 範囲が 1 ~ 12 から 1 ~ 48 に変更されました。 |
使用上のガイドライン
すべてのカウンタをクリアするには、 clear pagp counters コマンドを使用します。また、 clear pagp channel-group-number counters コマンドを使用すると、指定のチャネル グループのカウンタだけをクリアできます。
例
次の例では、すべてのチャネル グループ情報をクリアする方法を示します。
Switch#
clear pagp counters
次の例では、グループ 10 の PAgP トラフィックのカウンタをクリアする方法を示します。
Switch#
clear pagp 10 counters
情報が削除されたかどうかを確認するには、 show pagp 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show pagp |
PAgP チャネル グループ情報を表示します。 |
clear port-security
MAC アドレス テーブルからすべてのセキュア アドレスを削除するか、スイッチまたはインターフェイス上の特定のタイプ(設定済み、ダイナミック、またはスティッキ)のすべてのセキュア アドレスを削除するには、 clear port-security 特権 EXEC コマンドを使用します。
clear port-security { all | configured | dynamic | sticky } [[ address mac-addr | interface interface-id ] [ vlan { vlan-id | { access | voice}}]]
構文の説明
all |
すべてのセキュア MAC アドレスを削除します。 |
configured |
設定済みセキュア MAC アドレスを削除します。 |
dynamic |
ハードウェアによって自動学習されたセキュア MAC アドレスを削除します。 |
sticky |
自動学習または設定済みセキュア MAC アドレスを削除します。 |
address mac-addr |
(任意)指定されたダイナミック セキュア MAC アドレスを削除します。 |
interface interface-id |
(任意)指定された物理ポートまたは VLAN 上のすべてのダイナミック セキュア MAC アドレスを削除します。 |
vlan |
(任意)指定された VLAN から指定されたセキュア MAC アドレスを削除します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。 • vlan-id :トランク ポート上で、クリアする必要のあるアドレスの VLAN の VLAN ID を指定します。 • access :アクセス ポートで、アクセス VLAN 上の指定されたセキュア MAC アドレスをクリアします。 • voice :アクセス ポートで、音声 VLAN 上の指定されたセキュア MAC アドレスをクリアします。 (注) voice キーワードは、音声 VLAN がポートに設定されてそのポートがアクセス VLAN でない場合に限り利用可能です。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(25)SEA |
このコマンドが追加されました。 |
12.2(25)SEB |
access および voice キーワードが追加されました。 |
例
次の例では、MAC アドレス テーブルからすべてのセキュア アドレスを削除する方法を示します。
Switch# clear port-security all
次の例では、MAC アドレス テーブルから特定の設定済みセキュア アドレスを削除する方法を示します。
Switch# clear port-security configured address 0008.0070.0007
次の例では、特定のインターフェイスで学習されたすべてのダイナミック セキュア アドレスを削除する方法を示します。
Switch# clear port-security dynamic interface gigabitethernet1/0/1
次の例では、アドレス テーブルからすべてのダイナミック セキュア アドレスを削除する方法を示します。
Switch# clear port-security dynamic
show port-security 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを確認できます。
関連コマンド
|
|
switchport port-security |
インターフェイス上でポート セキュリティをイネーブルにします。 |
switchport port-security mac-address mac-address |
セキュア MAC アドレスを設定します。 |
switchport port-security maximum value |
セキュア インターフェイスにセキュア MAC アドレスの最大数を設定します。 |
show port-security |
インターフェイスまたはスイッチに定義されたポート セキュリティ設定を表示します。 |
clear psp counter
すべてのプロトコルについてドロップされたパケットのプロトコル ストーム プロテクション カウンタをクリアするには、 clear psp counter 特権 EXEC コマンドを使用します。
clear psp counter [ arp | igmp | dhcp ]
構文の説明
arp |
(任意)ARP および ARP スヌーピングのドロップされたパケットのカウンタをクリアします。 |
dhcp |
(任意)DHCP および DHCP スヌーピングのドロップされたパケットのカウンタをクリアします。 |
igmp |
(任意)IGMP および IGMP スヌーピングのドロップされたパケットのカウンタをクリアします。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.2(58)SE |
このコマンドが追加されました。 |
例
この例では、DHCP のプロトコル ストーム プロテクション カウンタがクリアされます。
Switch# clear psp counter dhcp
関連コマンド
|
|
psp { arp | dhcp | igmp } pps value |
ARP、DHCP、または IGMP のプロトコル ストーム プロテクションを設定します。 |
show psp config |
プロトコル ストーム プロテクションの設定を表示します。 |
show psp statistics |
ドロップされたパケットの数を表示します。 |
clear spanning-tree counters
スパニングツリーのカウンタをクリアするには、 clear spanning-tree counters 特権 EXEC コマンドを使用します。
clear spanning-tree counters [ interface interface-id ]
構文の説明
interface interface-id |
(任意)指定のインターフェイスのスパニングツリー カウンタをすべてクリアします。有効なインターフェイスとしては、物理ポート、VLAN、ポート チャネルなどがあります。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 48 です。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.1(14)EA1 |
このコマンドが追加されました。 |
使用上のガイドライン
interface-id が指定されていない場合は、すべてのインターフェイスのスパニングツリー カウンタがクリアされます。
例
次の例では、すべてのインターフェイスのスパニングツリー カウンタをクリアする方法を示します。
Switch# clear spanning-tree counters
関連コマンド
|
|
show spanning-tree |
スパニングツリー ステート情報を表示します。 |
clear spanning-tree detected-protocols
すべてのインターフェイスまたは指定されたインターフェイスで、プロトコル移行プロセスを再開する(近接スイッチと強制的に再ネゴシエーションさせる)には、 clear spanning-tree detected-protocols 特権 EXEC コマンドを使用します。
clear spanning-tree detected-protocols [ interface interface-id ]
構文の説明
interface interface-id |
(任意)指定されたインターフェイスでプロトコル移行プロセスを再開します。有効なインターフェイスとしては、物理ポート、VLAN、ポート チャネルなどがあります。指定できる VLAN 範囲は 1 ~ 4094 です。ポート チャネル範囲は 1 ~ 48 です。 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.1(14)EA1 |
このコマンドが追加されました。 |
使用上のガイドライン
Rapid Per-VLAN Spanning-Tree Plus(Rapid PVST+)プロトコルまたは Multiple Spanning-Tree Protocol(MSTP)が稼働するスイッチは、組み込み済みのプロトコル移行メカニズムをサポートしています。それによって、スイッチはレガシー IEEE 802.1D スイッチと相互に動作できるようになります。Rapid PVST+ スイッチまたは MSTP スイッチが、プロトコルのバージョンが 0 に設定されているレガシー IEEE 802.1D コンフィギュレーション ブリッジ プロトコル データ ユニット(BPDU)を受信した場合は、そのポートで IEEE 802.1D BPDU だけを送信します。マルチ スパニングツリー(MST)スイッチが、レガシー BPDU、別のリージョンに関連付けられた MST BPDU(バージョン 3)、または高速スパニングツリー(RST)BPDU(バージョン 2)を受信したときは、そのポートがリージョンの境界にあることを検知します。
ただし、スイッチは、IEEE 802.1D BPDU を受信しなくなった場合であっても、自動的には Rapid PVST+ モードまたは MSTP モードには戻りません。これは、レガシー スイッチが指定スイッチでなければ、リンクから削除されたかどうかを学習できないためです。この状況では、 clear spanning-tree detected-protocols コマンドを使用します。
例
次の例では、ポートでプロトコル移行プロセスを再開する方法を示します。
Switch# clear spanning-tree detected-protocols interface gigabitethernet2/0/1
関連コマンド
|
|
show spanning-tree |
スパニングツリー ステート情報を表示します。 |
spanning-tree link-type |
デフォルト リンクタイプ設定を上書きし、スパニングツリーがフォワーディング ステートに高速移行できるようにします。 |
clear vmps statistics
VLAN Query Protocol(VQP)クライアントが保持する統計情報をクリアするには、 clear vmps statistics 特権 EXEC コマンドを使用します。
clear vmps statistics
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
例
次の例では、VLAN メンバーシップ ポリシー サーバ(VMPS)統計情報をクリアする方法を示します。
Switch# clear vmps statistics
情報が削除されたかどうかを確認するには、 show vmps statistics 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show vmps |
VQP バージョン、再確認間隔、再試行回数、VMPS IP アドレス、および現在のサーバとプライマリ サーバを表示します。 |
clear vtp counters
VLAN トランキング プロトコル(VTP)およびプルーニング カウンタをクリアするには、 clear vtp counters 特権 EXEC コマンドを使用します。
clear vtp counters
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
例
次の例では、VTP カウンタをクリアする方法を示します。
Switch# clear vtp counters
情報が削除されたかどうかを確認するには、 show vtp counters 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show vtp |
VTP 管理ドメイン、ステータス、カウンタの一般情報を表示します。 |
cluster commander-address
このコマンドは、スタンドアロン クラスタ メンバ スイッチから 入力する必要はありません。クラスタ コマンド スイッチは、メンバ スイッチがクラスタに加入した場合に、MAC アドレスをそのメンバ スイッチに自動的に提供します。クラスタ メンバ スイッチは、この情報および他のクラスタ情報をその実行コンフィギュレーション ファイルに追加します。デバッグまたはリカバリ手順の間だけスイッチをクラスタから削除する場合は、クラスタ メンバ スイッチ コンソール ポートから、このグローバル コンフィギュレーション コマンドの no 形式 を使用します。
cluster commander-address mac-address [ member number name name ]
no cluster commander-address
構文の説明
mac-address |
クラスタ コマンド スイッチの MAC アドレス |
member number |
(任意)設定されたクラスタ メンバ スイッチの番号。指定できる範囲は 0 ~ 15 です。 |
name name |
(任意)設定されたクラスタの名前(最大 31 文字) |
デフォルト
このスイッチはどのクラスタのメンバでもありません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、クラスタ コマンド スイッチ上でだけ使用できます。
各クラスタ メンバは、クラスタ コマンド スイッチを 1 つしか持てません。
クラスタ メンバ スイッチは、mac-address パラメータによりシステム リロード中にクラスタ コマンド スイッチの ID を保持します。
特定のクラスタ メンバ スイッチで no 形式を入力すると、デバッグまたはリカバリ手順の間そのクラスタ メンバ スイッチをクラスタから削除できます。通常は、メンバがクラスタ コマンド スイッチと通信ができなくなった場合にだけ、クラスタ メンバ スイッチ コンソール ポートからこのコマンドを使用することになります。通常のスイッチ構成では、クラスタ コマンド スイッチで no cluster member n グローバル コンフィギュレーション コマンドを入力することによってだけ、クラスタ メンバ スイッチを削除することを推奨します。
スタンバイ クラスタ コマンド スイッチがアクティブになった場合(クラスタ コマンド スイッチになった場合)、このスイッチは cluster commander-address 行をその設定から削除します。
例
次の例では、実行中のクラスタ メンバの設定から、その出力を一部示します。
Switch(config)# show running-configuration
cluster commander-address 00e0.9bc0.a500 member 4 name my_cluster
次の例では、クラスタ メンバ コンソールでクラスタからメンバを削除する方法を示します。
Switch # configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# no cluster commander-address
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
debug cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
cluster discovery hop-count
候補スイッチの拡張検出用にホップカウントの制限を設定するには、クラスタ コマンド スイッチ上で cluster discovery hop-count グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cluster discovery hop-count number
no cluster discovery hop-count
構文の説明
number |
クラスタ コマンド スイッチが候補の検出を制限するクラスタ エッジからのホップの数。指定できる範囲は 1 ~ 7 です。 |
デフォルト
ホップ カウントは 3 に設定されています。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、クラスタ コマンド スイッチ上でだけ使用できます。このコマンドは、クラスタ メンバ スイッチでは機能しません。
ホップ カウントが 1 に設定された場合、拡張検出はディセーブルになります。クラスタ コマンド スイッチは、クラスタのエッジから 1 ホップの候補だけを検出します。クラスタのエッジとは、最後に検出されたクラスタのメンバ スイッチと最初に検出された候補スイッチの間の点です。
例
次の例では、ホップ カウント制限を 4 に設定する方法を示します。このコマンドは、クラスタ コマンド スイッチ上から実行します。
Switch(config)# cluster discovery hop-count 4
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
show cluster candidates |
候補スイッチのリストを表示します。 |
cluster enable
このコマンド対応スイッチをクラスタ コマンド スイッチとしてイネーブルにし、クラスタ名を割り当て、任意でメンバ番号を割り当てるには、コマンド対応スイッチ上で cluster enable グローバル コンフィギュレーション コマンドを使用します。すべてのメンバを削除して、このクラスタ コマンド スイッチを候補スイッチにするには、このコマンドの no 形式を使用します。
cluster enable name [ command-switch-member-number ]
no cluster enable
構文の説明
name |
クラスタ名(最大 31 文字)。指定できる文字は、英数字、ダッシュ、および下線だけです。 |
command-switch-member-number |
(任意)クラスタのクラスタ コマンド スイッチにメンバ番号を割り当てます。指定できる範囲は 0 ~ 15 です。 |
デフォルト
このスイッチはクラスタ コマンド スイッチではありません。
クラスタ名は定義されません。
スイッチがクラスタ コマンド スイッチである場合、メンバ番号は 0 です。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、どのクラスタにも属していない任意のコマンド対応スイッチ上で入力します。装置がすでにクラスタのメンバとして設定されている場合、コマンドはエラーとなります。
クラスタ コマンド スイッチをイネーブルにするときには、クラスタに名前を付けてください。スイッチがすでにクラスタ コマンド スイッチとして設定されており、クラスタ名が以前の名前と異なっている場合、コマンドはクラスタ名を変更します。
例
次の例では、クラスタ コマンド スイッチをイネーブルにし、クラスタに名前を付け、クラスタ コマンド スイッチ メンバ番号を 4 に設定する方法を示します。
Switch(config)# cluster enable Engineering-IDF4 4
設定を確認するには、クラスタ コマンド スイッチで show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
cluster holdtime
スイッチ(コマンドまたはクラスタ メンバ スイッチのいずれか)が、他のスイッチのハートビート メッセージを受信しなくなってからそのスイッチのダウンを宣言するまでの期間を秒単位で設定するには、クラスタ コマンド スイッチ上で cluster holdtime グローバル コンフィギュレーション コマンドを使用します。期間をデフォルト値に設定する場合は、このコマンドの no 形式を使用します。
cluster holdtime holdtime-in-secs
no cluster holdtime
構文の説明
holdtime-in-secs |
スイッチ(コマンドまたはクラスタ メンバ スイッチ)が、他のスイッチのダウンを宣言するまでの期間(秒)。指定できる範囲は 1 ~ 300 秒です。 |
デフォルト
デフォルトのホールド時間は 80 秒です。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
クラスタ コマンド スイッチ上でだけ、このコマンドと cluster timer グローバル コンフィギュレーション コマンドを入力してください。クラスタ内のすべてのスイッチ間で設定の一貫性が保たれるように、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバに伝達します。
ホールドタイムは通常インターバル タイマー( cluster timer )の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、「ホールド タイムをインターバル タイムで割った秒数」回のハートビート メッセージが連続して受信されなかったことになります。
例
次の例では、クラスタ コマンド スイッチでインターバル タイマーおよびホールド タイム時間を変更する方法を示します。
Switch(config)# cluster timer 3
Switch(config)# cluster holdtime 30
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
cluster member
クラスタに候補を追加するには、クラスタ コマンド スイッチ上で cluster member グローバル コンフィギュレーション コマンドを使用します。メンバをクラスタから削除するには、このコマンドの no 形式を使用します。
cluster member [ n ] mac-address H.H.H [ password enable-password ] [ vlan vlan-id ]
no cluster member n
構文の説明
n |
クラスタ メンバを識別する番号。指定できる範囲は 0 ~ 15 です。 |
mac-address H.H.H |
クラスタ メンバ スイッチの MAC アドレス(16 進数) |
password enable-password |
候補スイッチのパスワードをイネーブルにします。候補スイッチにパスワードがない場合、パスワードは必要ありません。 |
vlan vlan-id |
(任意)クラスタ コマンド スイッチが候補をクラスタに追加するときに使用される VLAN ID。指定できる範囲は 1 ~ 4094 です。 |
デフォルト
新しくイネーブルになったクラスタ コマンド スイッチには、関連するクラスタ メンバはありません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、候補をクラスタに追加したり、メンバをクラスタから削除したりする場合にクラスタ コマンド スイッチでだけ入力できます。このコマンドをクラスタ コマンド スイッチ以外のスイッチで入力すると、スイッチはコマンドを拒否し、エラー メッセージを表示します。
スイッチをクラスタから削除する場合はメンバ番号を入力してください。ただし、スイッチをクラスタに追加する場合には、メンバ番号を入力する必要はありません。クラスタ コマンド スイッチは、次に利用可能なメンバ番号を選択し、これをクラスタに加入しているスイッチに割り当てます。
候補スイッチがクラスタに加入した場合には、認証を行うためにそのスイッチのイネーブル パスワードを入力してください。パスワードは、実行コンフィギュレーションまたはスタートアップ コンフィギュレーションには保存されません。候補スイッチがクラスタのメンバになった後、そのパスワードはクラスタ コマンド スイッチ パスワードと同じになります。
スイッチが、設定されたホスト名を持たない場合、クラスタ コマンド スイッチは、メンバ番号をクラスタ コマンド スイッチ ホスト名に追加し、これをクラスタ メンバ スイッチに割り当てます。
VLAN ID を指定していない場合、クラスタ コマンド スイッチは自動的に VLAN を選択し、候補をクラスタに追加します。
例
次の例では、スイッチをメンバ 2、MAC アドレス 00E0.1E00.2222、パスワード key としてクラスタに追加する方法を示しています。クラスタ コマンド スイッチは、VLAN 3 を経由して候補をクラスタに追加します。
Switch(config)# cluster member 2 mac-address 00E0.1E00.2222 password key vlan 3
次の例では、MAC アドレス 00E0.1E00.3333 のスイッチをクラスタに追加する方法を示します。このスイッチにはパスワードはありません。クラスタ コマンド スイッチは、次に利用可能なメンバ番号を選択し、これをクラスタに加入しているスイッチに割り当てます。
Switch(config)# cluster member mac-address 00E0.1E00.3333
設定を確認するには、クラスタ コマンド スイッチで show cluster members 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
show cluster candidates |
候補スイッチのリストを表示します。 |
show cluster members |
クラスタ メンバに関する情報を表示します。 |
cluster outside-interface
クラスタのネットワーク アドレス変換(NAT)の外部インターフェイスを設定し、IP アドレスのないメンバがクラスタの外部にある装置と通信できるようにするには、クラスタ コマンド スイッチ上で cluster outside-interface グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cluster outside-interface interface-id
no cluster outside-interface
構文の説明
interface-id |
外部インターフェイスとして機能するインターフェイス。有効なインターフェイスとしては、物理インターフェイス、ポート チャネル、または VLAN があります。ポート チャネル範囲は 1 ~ 48 です。指定できる VLAN 範囲は 1 ~ 4094 です。 |
デフォルト
デフォルトの外部インターフェイスは、クラスタ コマンド スイッチによって自動的に選択されます。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、クラスタ コマンド スイッチ上でだけ入力できます。クラスタ メンバ スイッチでコマンドを入力すると、エラー メッセージが表示されます。
例
次の例では、VLAN 1 に外部インターフェイスを設定する方法を示します。
Switch(config)# cluster outside-interface vlan 1
設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show running-config |
現在の動作設定を表示します。 |
cluster run
スイッチ上でクラスタリングをイネーブルにするには、 cluster run グローバル コンフィギュレーション コマンドを使用します。スイッチでクラスタリングをディセーブルにする場合は、このコマンドの no 形式を使用します。
cluster run
no cluster run
構文の説明
このコマンドには、引数またはキーワードはありません。
デフォルト
すべてのスイッチでクラスタリングがイネーブルです。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
クラスタ コマンド スイッチ上で no cluster run コマンドを入力すると、クラスタ コマンド スイッチはディセーブルになります。クラスタリングはディセーブルになり、スイッチは候補スイッチになることができません。
クラスタ メンバ スイッチで no cluster run コマンドを入力すると、このメンバ スイッチはクラスタから削除されます。クラスタリングはディセーブルになり、スイッチは候補スイッチになることができません。
クラスタに属していないスイッチで no cluster run コマンドを入力すると、クラスタリングはそのスイッチ上でディセーブルになります。このスイッチは候補スイッチになることができません。
例
次の例では、クラスタ コマンド スイッチでクラスタリングをディセーブルにする方法を示します。
Switch(config)# no cluster run
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
cluster standby-group
既存の ホットスタンバイ ルータ プロトコル(HSRP)にクラスタをバインドして、クラスタ コマンド スイッチ冗長をイネーブルにするには、 cluster standby-group グローバル コンフィギュレーション コマンドを使用します。routing-redundancy キーワードを入力することで、同一の HSRP グループが、クラスタ コマンド スイッチの冗長性およびルーティングの冗長性に対して使用できるようになります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cluster standby-grou p HSRP-group-name [ routing-redundancy ]
no cluster standby-group
構文の説明
HSRP-group-name |
クラスタにバインドされる HSRP グループの名前。設定できるグループ名は 32 文字までです。 |
routing-redundancy |
(任意)同一の HSRP スタンバイ グループをイネーブルにし、クラスタ コマンド スイッチの冗長性およびルーティングの冗長性に対して使用します。 |
デフォルト
クラスタは、どの HSRP グループにもバインドされません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドは、クラスタ コマンド スイッチ上でだけ入力できます。クラスタ メンバ スイッチでこれを入力すると、エラー メッセージが表示されます。
クラスタ コマンド スイッチは、クラスタ HSRP バインディング情報をすべてのクラスタ HSRP 対応メンバに伝播します。各クラスタ メンバ スイッチはバインディング情報を NVRAM に保存します。HSRP グループ名は、有効なスタンバイ グループである必要があります。そうでない場合、エラーが発生してコマンドが終了します。
クラスタにバインドする HSRP スタンバイ グループのすべてのメンバに同じグループ名を使用する必要があります。バインドされる HSRP グループのすべてのクラスタ HSRP 対応メンバに同じ HSRP グループ名を使用してください (クラスタを HSRP グループにバインドしない場合には、クラスタ コマンダおよびメンバに異なる名前を使用できます)。
例
次の例では、 my_hsrp という名前の HSRP グループをクラスタにバインドする方法を示します。このコマンドは、クラスタ コマンド スイッチ上から実行します。
Switch(config)# cluster standby-group my_hsrp
次の例では、同じ HSRP グループ名 my_hsrp を使用して、ルーティング冗長とクラスタ冗長を確立する方法を示します。
Switch(config)# cluster standby-group my_hsrp routing-redundancy
次の例では、このコマンドがクラスタ コマンド スイッチから実行され、指定された HSRP スタンバイ グループが存在しない場合のエラー メッセージを示します。
Switch(config)# cluster standby-group my_hsrp
%ERROR: Standby (my_hsrp) group does not exist
次の例では、このコマンドがクラスタ メンバ スイッチで実行された場合のエラー メッセージを示します。
Switch(config)# cluster standby-group my_hsrp routing-redundancy
%ERROR: This command runs on a cluster command switch
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。出力は、クラスタ内の冗長性がイネーブルになったかどうかを示します。
関連コマンド
|
|
standby ip |
インターフェイスで HSRP をイネーブルにします。 |
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
show standby |
スタンバイ グループ情報を表示します。 |
cluster timer
ハートビート メッセージの間隔を秒単位で設定するには、クラスタ コマンド スイッチ上で cluster timer グローバル コンフィギュレーション コマンドを使用します。デフォルト値の間隔を設定する場合は、このコマンドの no 形式を使用します。
cluster timer interval-in-secs
no cluster timer
構文の説明
interval-in-secs |
ハートビート メッセージ間の間隔(秒)。指定できる範囲は 1 ~ 300 秒です。 |
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
このコマンドと cluster holdtime グローバル コンフィギュレーション コマンドは、クラスタ コマンド スイッチ上に限り入力してください。クラスタ内のすべてのスイッチ間で設定の一貫性が保たれるように、クラスタ コマンド スイッチはこの値をそのすべてのクラスタ メンバに伝達します。
ホールドタイムは通常ハートビート インターバル タイマー( cluster timer )の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、「ホールド タイムをインターバル タイムで割った秒数」回のハートビート メッセージが連続して受信されなかったことになります。
例
次の例では、クラスタ コマンド スイッチでハートビート間隔のタイマーおよび期間を変更する方法を示します。
Switch(config)# cluster timer 3
Switch(config)# cluster holdtime 30
設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。
関連コマンド
|
|
show cluster |
スイッチが属するクラスタのステータスおよびサマリーを表示します。 |
define interface-range
インターフェイス範囲マクロを作成するには、 define interface-range グローバル コンフィギュレーション コマンドを使用します。定義されたマクロを削除するには、このコマンドの no 形式を使用します。
define interface-range macro-name interface-range
no define interface-range macro-name interface-range
構文の説明
macro-name |
インターフェイス範囲マクロの名前(最大 32 文字) |
interface-range |
インターフェイス範囲。インターフェイス範囲の有効値については、「使用上のガイドライン」を参照してください。 |
デフォルト
このコマンドにはデフォルト設定はありません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
マクロ名は、最大 32 文字の文字列です。
マクロには、最大 5 つの範囲を含めることができます。
ある範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファスト イーサネット ポート、すべてがギガビット イーサネット ポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、マクロ内では複数のインターフェイス タイプを組み合わせることができます。
interface-range を入力する場合は、次のフォーマットを使用します。
• type { first-interface } - { last-interface }
• interface-range を入力するときは、最初のインターフェイス番号とハイフンの間にスペースを入れます。たとえば、 gigabitethernet 1/0/1 - 2 は有効な範囲ですが、 gigabit ethernet 1/0/1 -2 は有効な範囲ではありません。
type および interface の有効値は次のとおりです。
• vlan vlan-id - vlan-id (vlan-id の範囲は 1 ~ 4094)
VLAN インターフェイスは、 interface vlan コマンドで設定する必要があります( show running-config 特権 EXEC コマンドは、設定された VLAN インターフェイスを表示します)。 show running-config コマンドで表示されない VLAN インターフェイスは、 interface-range では使用できません。
• port-channel port-channel-number 、ここで、 port-channel-number は 1 ~ 48 です。
• fastethernet stack member/module/{ first port } - { last port }
• gigabitethernet stack member/module/{ first port } - { last port }
物理インターフェイス
• stack member は、スタック内のスイッチ識別に使用する番号です。番号に指定できる範囲は 1 ~ 9 で、スタック メンバの最初の初期化の際に、スイッチに割り当てられます。
• モジュールは常に 0 です。
• 使用可能範囲は、type stack member /0/number - number です(例:gigabitethernet 1/0/1 - 2)。
範囲を定義するときは、ハイフン(-)の前にスペースが必要です。次に例を示します。
• gigabitethernet1/0/1 - 2
複数の範囲を入力することもできます。複数の範囲を定義するときは、カンマ(,)の前の最初のエントリの後にスペースを入力する必要があります。カンマの後のスペースは任意になります。次に例を示します。
• fastethernet1/0/3, gigabitethernet1/ 0/1 - 2
• fastethernet1/0/3 -4, gigabitethernet1/ 0/1 - 2
例
次の例では、複数インターフェイスのマクロを作成する方法を示します。
Switch(config)# define interface-range macro1 fastethernet1/01 - 2, gigabitethernet1/0/1 - 2
関連コマンド
|
|
interface range |
複数のポートで 1 つのコマンドを同時に実行します。 |
show running-config |
定義されたマクロを含む現在の動作設定を表示します。 |
delete
フラッシュ メモリ デバイス上のファイルまたはディレクトリを削除するには、 delete 特権 EXEC コマンドを使用します。
delete [ /force ] [/ recursive ] filesystem :/ file-url
構文の説明
/force |
(任意)削除を確認するプロンプトを抑制します。 |
/recursive |
(任意)指定されたディレクトリおよびそのディレクトリに含まれるすべてのサブディレクトリおよびファイルを削除します。 |
filesystem : |
フラッシュ ファイル システムのエイリアスです。 スタック メンバまたはスタック マスター上のローカル フラッシュ ファイル システムの構文: flash: |
/ file-url |
削除するパス(ディレクトリ)およびファイル名 |
コマンド モード
特権 EXEC
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
/force キーワードを使用すると、削除プロセスにおいて削除の確認を要求するプロンプトが、最初の 1 回だけとなります。
/force キーワードを指定せずに /recursive キーワードを使用すると、ファイルごとに削除の確認を要求するプロンプトが表示されます。
プロンプト動作は、 file prompt グローバル コンフィギュレーション コマンドの設定によって異なります。デフォルトでは、スイッチは、破壊的なファイル操作に関する確認をプロンプトで要求します。このコマンドの詳細については、『 Cisco IOS Command Reference for Release 12.1 』を参照してください。
例
次の例では、新しいイメージのダウンロードが正常に終了した後で、古いソフトウェア イメージを含むディレクトリを削除する方法を示します。
Switch# delete /force /recursive flash:/old-image
dir filesystem : 特権 EXEC コマンドを入力することにより、ディレクトリが削除されたかどうかを確認できます。
関連コマンド
|
|
archive download-sw |
新しいイメージをスイッチにダウンロードし、既存のイメージを上書きまたは保存します。 |
deny(アクセス リスト コンフィギュレーション モード)
拒否条件を使用した名前付き IP アクセス リストでスマート ロギングをイネーブルにするには、アクセス リスト コンフィギュレーション モードで deny コマンドを smartlog キーワードとともに使用します。ACL エントリへの一致は、NetFlow コレクタのログに記録されます。アクセス リストのスマート ロギングをディセーブルにするには、このコマンドの no 形式を使用します。
deny { source [ source-wildcard ] | host source | any } [ log ] [ smartlog ]
no deny { source [ source-wildcard ] | host source | any } [ smartlog ]
deny protocol { source [ source-wildcard ] | host source | any } { destination [ destination-wildcard ] | host destination | any } [ dscp tos ] [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [ time-range time-range-name ] [ smartlog ]
no deny protocol { source [ source-wildcard ] | host source | any } { destination [ destination-wildcard ] | host destination | any } [ dscp tos ] [ precedence precedence ] [ tos tos ] [ fragments ] [ log ] [ time-range time-range-name ] [ smartlog ]
構文の説明
smartlog |
(任意)スイッチでスマート ロギングがイネーブルになっている場合、アクセス リストを照合するパケット フローを NetFlow コレクタに送信します。 |
デフォルト
ACL スマート ロギングはイネーブルになっていません。
コマンド モード
アクセス リスト コンフィギュレーション
コマンド履歴
|
|
12.2(58)SE |
smartlog キーワードが追加されました。 |
使用上のガイドライン
deny コマンドの smartlog キーワードを使用しない構文の完全な説明については、『 Cisco IOS Security Command Reference 』を参照してください。
ACL がインターフェイスに適用されている場合、ACL に一致するパケットは、ACL の設定に基づいて拒否または許可されます。スイッチでスマート ロギングがイネーブルになっており、ACL に smartlog キーワードが含まれている場合、拒否または許可されたパケットの内容は Flexible NetFlow コレクタに送られます。
また、 logging smartlog グローバル コンフィギュレーション コマンドを使用して、スマート ロギングをグローバルにイネーブルにする必要があります。
ポート ACL(レイヤ 2 インターフェイスに適用された ACL)のみがスマート ロギングをサポートしています。ルータ ACL または VLAN ACL はスマート ロギングをサポートしていません。ポート ACL はロギングをサポートしていません。
ACL がインターフェイスに適用されている場合、一致するパケットはログまたはスマート ログのいずれかに記録され、両方に記録されることはありません。
ACL でスマート ロギングがイネーブルになっていることを確認するには、 show ip access list 特権 EXEC コマンドを入力します。
例
この例では、拒否条件を使用した名前付きアクセス リストに対してスマート ロギングをイネーブルにします。
Switch(config)# ip access-list extended test1
Switch(config-ext-nacl)# deny ip host 10.1.1.3 any smartlog
関連コマンド
|
|
logging smartlog |
スマート ロギングをグローバルにイネーブルにします。 |
show access list show ip access list |
すべてのアクセス リストまたはすべての IP アクセス リストの内容を表示します。 |
deny(ARP アクセス リスト コンフィギュレーション)
DHCP バインディングとの照合に基づいてアドレス解決プロトコル(ARP)パケットを拒否するには、 deny ARP アクセス リスト コンフィギュレーション コマンドを使用します。アクセス リストから指定されたアクセス コントロール エントリ(ACE)を削除するには、このコマンドの no 形式を使用します。
deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]
no deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]
構文の説明
request |
(任意)ARP 要求との一致を定義します。request を指定しない場合は、すべての ARP パケットに対して照合が行われます。 |
ip |
送信側 IP アドレスを指定します。 |
any |
すべての IP アドレスまたは MAC アドレスを拒否します。 |
host sender-ip |
指定された送信側 IP アドレスを拒否します。 |
sender-ip sender-ip-mask |
指定された範囲の送信側 IP アドレスを拒否します。 |
mac |
送信側 MAC アドレスを拒否します。 |
host sender-mac |
特定の送信側 MAC アドレスを拒否します。 |
sender-mac sender-mac-mask |
指定された範囲の送信側 MAC アドレスを拒否します。 |
response ip |
ARP 応答の IP アドレス値を定義します。 |
host target-ip |
指定されたターゲット IP アドレスを拒否します。 |
target-ip target-ip-mask |
指定された範囲のターゲット IP アドレスを拒否します。 |
mac |
ARP 応答の MAC アドレス値を拒否します。 |
host target-mac |
指定されたターゲット MAC アドレスを拒否します。 |
target-mac target-mac-mask |
指定された範囲のターゲット MAC アドレスを拒否します。 |
log |
(任意)ACE と一致するパケットを記録します。 |
デフォルト
デフォルト設定はありません。ただし、ARP アクセス リストの末尾に暗黙の deny ip any mac any コマンドがあります。
コマンド モード
ARP アクセス リスト コンフィギュレーション
コマンド履歴
|
|
12.2(20)SE |
このコマンドが追加されました。 |
使用上のガイドライン
deny 句を追加すると、一致条件に基づいて ARP パケットをドロップできます。
例
次の例では、ARP アクセス リストを定義し、IP アドレスが 1.1.1.1 で MAC アドレスが 0000.0000.abcd のホストからの ARP 要求と ARP 応答の両方を拒否する方法を示します。
Switch(config)# arp access-list static-hosts
Switch(config-arp-nacl)# deny ip host 1.1.1.1 mac host 0000.0000.abcd
Switch(config-arp-nacl)# end
設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。
関連コマンド
|
|
arp access-list |
ARP アクセス コントロール リスト(ACL)を定義します。 |
ip arp inspection filter vlan |
スタティック IP アドレスで設定されたホストからの ARP 要求および応答を許可します。 |
permit(ARP アクセス リスト コンフィギュレーション) |
DHCP バインディングとの一致に基づいて ARP パケットを許可します。 |
show arp access-list |
ARP アクセス リストに関する詳細を表示します。 |
deny(IPv6 アクセス リスト コンフィギュレーション)
IPv6 アクセス リスト コンフィギュレーション モードで、 deny コマンドを使用して IPv6 アクセス リストの拒否条件を設定します。拒否条件を削除するには、このコマンドの no 形式を使用します。
deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]
no deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]
インターネット制御メッセージ プロトコル
deny icmp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ icmp-type [ icmp-code ] | icmp-message ] [ dscp value ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]
伝送制御プロトコル
deny tcp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ ack ] [ dscp value ] [ established ] [ fin ] [ log ] [ log-input ] [ neq { port | protocol }] [ psh ] [ range { port | protocol }] [ rst ] [ sequence value ] [ syn ] [ time-range name ] [ urg ]
ユーザ データグラム プロトコル
deny udp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ log ] [ log-input ] [ neq { port | protocol }] [ range { port | protocol }] [ sequence value ] [ time-range name ]
(注) このコマンドは、スイッチ スタックでデュアル IPv4/IPv6 Switch Database Management(SDM)テンプレートが設定されている場合に限り使用可能です。
構文の説明
protocol |
インターネット プロトコルの名前または番号。これは、キーワード ahp 、 esp 、 icmp 、 ipv6 、 pcp 、 sctp 、 tcp 、または udp にするか、IPv6 プロトコル番号を表す 0 ~ 255 の整数にすることができます。 |
source-ipv6-prefix / prefix-length |
拒否条件を設定する送信元 IPv6 ネットワークまたはネットワークのクラス。 この引数は、RFC 2373 に記述されている形式にする必要があります。コロン区切りの 16 ビット値を使用して、アドレスを 16 進数で指定します。 (注) CLI ヘルプでは /0 ~ /128 のプレフィックス長が表示されますが、スイッチは集約可能なグローバル ユニキャストおよびリンク ローカル ホスト アドレスの /0 ~ /64 のプレフィックス、および Extended Universal Identifier(EUI)ベースの /128 プレフィックスに対してだけ IPv6 アドレス照合をサポートします。 |
any |
IPv6 プレフィックス ::/0 の省略形。 |
host source-ipv6-address |
拒否条件を設定する送信元 IPv6 ホスト アドレス。 この source-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。 |
operator [ port-number ] |
(任意)指定のプロトコルの送信元または宛先ポートを比較する演算子を指定します。演算子は、 lt (less than:未満)、 gt (greater than:より大きい)、 eq (equal:一致)、 neq (not equal:不一致)、 range (inclusive range:包含範囲)です。 source-ipv6-prefix / prefix-length 引数の後ろに演算子が置かれた場合、送信元ポートと一致する必要があります。 destination-ipv6-prefix/prefix-length 引数の後ろに演算子が置かれた場合、宛先ポートと一致する必要があります。 range 演算子には 2 つのポート番号が必要です。他のすべての演算子は 1 つのポート番号が必要です。 任意の port-number 引数は 10 進数、または TCP あるいは UDP ポートの名前です。ポート番号の範囲は 0 ~ 65535 です。TCP ポート名は TCP をフィルタリングする場合に限り使用できます。UDP ポート名は UDP をフィルタリングする場合に限り使用できます。 |
destination-ipv6-prefix / prefix-length |
拒否条件を設定する宛先 IPv6 ネットワークまたはネットワークのクラス。 この引数は、RFC 2373 に記述されている形式にする必要があります。コロン区切りの 16 ビット値を使用して、アドレスを 16 進数で指定します。 (注) CLI ヘルプでは /0 ~ /128 のプレフィックス長が表示されますが、スイッチは集約可能なグローバル ユニキャストおよびリンク ローカル ホスト アドレスの /0 ~ /64 のプレフィックス、および EUI ベースの /128 プレフィックスに対してだけ IPv6 アドレス照合をサポートします。 |
host destination-ipv6-address |
拒否条件を設定する宛先 IPv6 ホスト アドレス。 この destination-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。 |
dscp value |
(任意)各 IPv6 パケット ヘッダーのトラフィック クラス フィールドのトラフィック クラス値と DiffServ コード ポイント値を照合します。指定できる範囲は 0 ~ 63 です。 |
fragments |
(任意)フラグメント拡張ヘッダーに 0 以外のフラグメント オフセットが含まれる場合、非初期フラグメント パケットを照合します。 fragments キーワードは、プロトコルが ipv6 で operator [ port-number ] 引数が指定されていない場合に限り、指定できるオプションです。 |
log |
(任意)エントリと一致するパケットに関する情報ロギング メッセージをコンソールに送信します (コンソールに送信するメッセージ レベルは logging console コマンドで制御します)。 メッセージには、アクセス リスト名、シーケンス番号、パケットが拒否されたかどうか、プロトコル(TCP、UDP、ICMP または番号のいずれか)、適正な場合には送信元/宛先アドレス、送信元/宛先ポート番号が含まれます。メッセージは、一致した最初のパケットに対して生成され、その後、5 分間隔で拒否されたパケット数を含めて生成されます。 (注) ロギングはポート ACL ではサポートされません。 |
log-input |
(任意) log キーワードと同じ機能を提供します(ただし、ロギング メッセージには受信インターフェイスも表示されます)。 |
sequence value |
(任意)アクセス リスト ステートメントのシーケンス番号を指定します。指定できる範囲は 1 ~ 4294967295 です。 |
time-range name |
(任意)拒否ステートメントに適用する時間範囲を指定します。時間範囲の名前と制限事項は、 time-range コマンドと、 absolute または periodic コマンドによってそれぞれ指定します。 |
icmp-type |
(任意)ICMP パケットのフィルタリングに ICMP メッセージ タイプを指定します。ICMP パケットは ICMP メッセージ タイプによってフィルタリングできます。メッセージ タイプの番号は 0 ~ 255 です。 |
icmp-code |
(任意)ICMP パケットのフィルタリングに ICMP メッセージ コードを指定します。ICMP メッセージ タイプによってフィルタリングされる ICMP パケットは、ICMP メッセージ コードによってもフィルタリングできます。メッセージ コードの番号は 0 ~ 255 です。 |
icmp-message |
(任意)ICMP パケットのフィルタリングに ICMP メッセージ名を指定します。ICMP パケットは、ICMP メッセージ名、または ICMP メッセージ タイプおよびコードによってフィルタリングできます。使用可能な名前については、「使用上のガイドライン」を参照してください。 |
ack |
(任意)TCP プロトコルの場合に限り ACK ビットを設定します。 |
established |
(任意)TCP プロトコルの場合に限り、接続が確立済みであることを意味します。TCP データグラムに ACK または RST ビットが設定されている場合、照合が行われます。接続するための初期 TCP データグラムの場合は照合しません。 |
fin |
(任意)TCP プロトコルの場合に限り、FIN ビットを設定します。送信元からのデータはこれ以上ありません。 |
neq { port | protocol } |
(任意)指定のポート番号上にないパケットだけを照合します。 |
psh |
(任意)TCP プロトコルの場合に限り、PSH ビットを設定します。 |
range { port | protocol } |
(任意)ポート番号範囲のパケットだけを照合します。 |
rst |
(任意)TCP プロトコルの場合に限り RST ビットを設定します。 |
syn |
(任意)TCP プロトコルの場合に限り SYN ビットを設定します。 |
urg |
(任意)TCP プロトコルの場合に限り URG ビットを設定します。 |
(注) flow-label、routing および undetermined-transport キーワードはコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。
デフォルト
IPv6 アクセス リストは定義されていません。
コマンド モード
IPv6 アクセス リスト コンフィギュレーション
コマンド履歴
|
|
12.2(25)SED |
このコマンドが追加されました。 |
使用上のガイドライン
deny (IPv6 アクセス リスト コンフィギュレーション モード)コマンドは、IPv6 固有である点を除き、 deny (IPv4 アクセス リスト コンフィギュレーション モード)コマンドと類似しています。
IPv6 アクセス リスト コンフィギュレーション モードを開始し、パケットがアクセス リストを通過する条件を定義するには、 ipv6 access-list コマンドの後ろに deny (IPv6)コマンドを使用します。
protocol 引数に IPv6 を指定すると、パケットの IPv6 ヘッダーに対して照合を行います。
デフォルトでは、アクセス リストの最初のステートメントの番号は 10 で、その次のステートメントからは 10 ずつ増加します。
リスト全体を再入力しないで、 permit 、 deny 、または remark ステートメントを既存のアクセス リストに追加できます。リストの最後以外の場所に新しいステートメントを追加するには、挿入する場所を示す、既存の 2 つのエントリ番号の間にある適切なエントリ番号を持った新しいステートメントを作成します。
(注) すべての IPv6 ACL には最後の一致条件として、暗黙の permit icmp any any nd-na、permit icmp any any nd-ns、および deny ipv6 any any ステートメントがあります。このうち 2 つの permit 条件は、ICMPv6 ネイバー探索を許可します。ICMPv6 ネイバー探索を許可しないで icmp any any nd-na または icmp any any nd-ns を拒否するには、明示的な拒否エントリが ACL 内にある必要があります。暗黙的な deny ipv6 any any ステートメントを有効にするには、IPv6 ACL に 1 つ以上のエントリを含める必要があります。
IPv6 ネイバー探索プロセスでは、IPv6 ネットワーク層サービスを使用します。したがって、デフォルトでは IPv6 ACL により、IPv6 ネイバー探索パケットのインターフェイス上での送受信が暗黙的に許可されます。IPv4 では、IPv6 ネイバー探索プロセスと同等の Address Resolution Protocol(ARP)は、別のデータリンク層プロトコルを使用します。したがってデフォルトでは、IPv4 ACL により、ARP パケットのインターフェイス上での送受信が暗黙的に許可されます。
source-ipv6-prefix / prefix-length と destination-ipv6-prefix / prefix-length の両方の引数をトラフィック フィルタリングに使用します (送信元プレフィックスはトラフィックの送信元に基づいて、宛先プレフィックスはトラフィックの宛先に基づいてトラフィックをフィルタリングします)。
スイッチは集約可能なグローバル ユニキャストおよびリンク ローカル ホスト アドレスの /0 ~ /64 のプレフィックスと EUI ベースの /128 プレフィックスだけをサポートします。
fragments キーワードは、プロトコルが ipv6 で operator [ port-number ] 引数が指定されていない場合に限り、指定できるオプションです。
次に、ICMP メッセージ名を表示します。
beyond-scope |
destination-unreachable |
echo-reply |
echo-request |
header |
hop-limit |
mld-query |
mld-reduction |
mld-report |
nd-na |
nd-ns |
next-header |
no-admin |
no-route |
packet-too-big |
parameter-option |
parameter-problem |
port-unreachable |
reassembly-timeout |
renum-command |
renum-result |
renum-seq-number |
router-advertisement |
router-renumbering |
router-solicitation |
time-exceeded |
unreachable |
|
例
次の例では、CISCO という名の IPv6 アクセス リストを設定し、そのアクセス リストをレイヤ 3 インターフェイス上の発信トラフィックに適用する方法を示します。リストの最初の拒否エントリは、5000 より大きい宛先 TCP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。リストの 2 番めの拒否エントリは、5000 未満の送信元 UDP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。また、この 2 番めの拒否エントリは、すべての一致をコンソールに表示します。リストの最初の許可エントリは、すべての ICMP パケットのインターフェイスでの送信を許可します。リストの 2 番めの許可エントリは、その他すべてのトラフィックのインターフェイスでの送信を許可します。すべてのパケットを拒否する暗黙の条件が各 IPv6 アクセス リストの末尾にあるため、この 2 番めの許可エントリが必要となります。
Switch(config)# ipv6 access-list CISCO
Switch(config-ipv6-acl)# deny tcp any any gt 5000
Switch config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log
Switch(config-ipv6-acl)# permit icmp any any
Switch(config-ipv6-acl)# permit any any
Switch(config-ipv6-acl)# exit
Switch(config)# interface gigabitethernet1/0/3
Switch(config-if)# no switchport
Switch(config-if)# ipv6 address 2001::/64 eui-64
Switch(config-if)# ipv6 traffic-filter CISCO out
関連コマンド
|
|
ipv6 access-list |
IPv6 アクセス リストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。 |
ipv6 traffic-filter |
インターフェイス上の着信または発信 IPv6 トラフィックをフィルタリングします。 |
permit(IPv6 アクセス リスト コンフィギュレーション) |
IPv6 アクセス リストに許可条件を設定します。 |
show ipv6 access-list |
現在のすべての IPv6 アクセス リストの内容を表示します。 |
deny(MAC アクセス リスト コンフィギュレーション)
条件が一致した場合に、非 IP トラフィックの転送を回避するには、 deny MAC アクセス リスト コンフィギュレーション コマンドを使用します。拒否条件を名前付き MAC アクセス リストから削除するには、このコマンドの no 形式を使用します。
{ deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask |mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]
no { deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]
構文の説明
any |
あらゆる送信元または宛先 MAC アドレスを拒否するために指定するキーワードです。 |
host src MAC-addr | src-MAC-addr mask |
ホスト MAC アドレスと任意のサブネット マスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。 |
host dst-MAC-addr | dst-MAC-addr mask |
宛先 MAC アドレスと任意のサブネット マスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。 |
type mask |
(任意)パケットの Ethertype 番号と、Ethernet II または SNAP カプセル化を使用して、パケットのプロトコルを識別します。 type には、0 ~ 65535 の 16 進数を指定できます。 mask は、一致をテストする前に Ethertype に適用される don’t care ビットのマスクです。 |
aarp |
(任意)データリンク アドレスをネットワーク アドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を選択します。 |
amber |
(任意)EtherType DEC-Amber を選択します。 |
cos cos |
(任意)プライオリティを設定するため、0 ~ 7 までのサービス クラス(CoS)値を選択します。CoS に基づくフィルタリングは、ハードウェアでだけ実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。 |
dec-spanning |
(任意)EtherType Digital Equipment Corporation(DEC)スパニングツリーを選択します。 |
decnet-iv |
(任意)EtherType DECnet Phase IV プロトコルを選択します。 |
diagnostic |
(任意)EtherType DEC-Diagnostic を選択します。 |
dsm |
(任意)EtherType DEC-DSM を選択します。 |
etype-6000 |
(任意)EtherType 0x6000 を選択します。 |
etype-8042 |
(任意)EtherType 0x8042 を選択します。 |
lat |
(任意)EtherType DEC-LAT を選択します。 |
lavc-sca |
(任意)EtherType DEC-LAVC-SCA を選択します。 |
lsap lsap-number mask |
(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を使用して、パケットのプロトコルを識別します。 mask は、一致をテストする前に LSAP 番号に適用される don’t care ビットのマスクです。 |
mop-console |
(任意)EtherType DEC-MOP Remote Console を選択します。 |
mop-dump |
(任意)EtherType DEC-MOP Dump を選択します。 |
msdos |
(任意)EtherType DEC-MSDOS を選択します。 |
mumps |
(任意)EtherType DEC-MUMPS を選択します。 |
netbios |
(任意)EtherType DEC-Network Basic Input/Output System(NETBIOS)を選択します。 |
vines-echo |
(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)Echo を選択します。 |
vines-ip |
(任意)EtherType VINES IP を選択します。 |
xns-idp |
(任意)10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems(XNS)プロトコル スイート(0 ~ 65535)を選択します。 |
(注) appletalk は、コマンドラインのヘルプ ストリングには表示されますが、一致条件としてはサポートされていません。
IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。 表 2-12 に、Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を一覧表示します。
表 2-12 IPX フィルタ基準
|
|
|
|
arpa |
Ethernet II |
Ethertype 0x8137 |
snap |
Ethernet-snap |
Ethertype 0x8137 |
sap |
Ethernet 802.2 |
LSAP 0xE0E0 |
novell-ether |
Ethernet 802.3 |
LSAP 0xFFFF |
デフォルト
このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルト アクションは拒否です。
コマンド モード
MAC アクセス リスト コンフィギュレーション
コマンド履歴
|
|
12.1(11)AX |
このコマンドが追加されました。 |
使用上のガイドライン
MAC アクセス リスト コンフィギュレーション モードを開始するには、 mac access-list extended グローバル コンフィギュレーション コマンドを使用します。
host キーワードを使用した場合、アドレス マスクは入力できません。 host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。
Access Control Entry(ACE; アクセス コントロール エントリ)がアクセス コントロール リストに追加された場合、リストの最後には暗黙の deny - any - any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。
名前付き MAC 拡張アクセス リストの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。
例
次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。
Switch(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。
Switch(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。
Switch(config-ext-macl)# deny any any 0x4321 0
設定を確認するには、 show access-lists 特権 EXEC コマンドを入力します。
関連コマンド
|
|
mac access-list extended |
非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。 |
permit(MAC アクセス リスト コンフィギュレーション) |
条件が一致した場合に非 IP トラフィックが転送されるのを許可します。 |
show access-lists |
スイッチに設定された ACL を表示します。 |
device-sensor accounting
新しいデバイス センサー データの検出時に、デバイス センサー プロトコル データをアカウンティング レコードに追加し、アカウンティング イベントを生成するには、グローバル コンフィギュレーション モードで device-sensor accounting コマンドを使用します。アカウンティング レコードへのデバイス センサー プロトコル データの追加をディセーブルにし、アカウンティング イベントの生成をディセーブルにするには、このコマンドの no 形式を使用します。
device-sensor accounting
no device-sensor accounting
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド デフォルト
新しいデバイス センサー データが検出されたときに、デバイス センサー プロトコル データがアカウンティング レコードに追加され、アカウンティング イベントが生成されます。
コマンド モード
グローバル コンフィギュレーション(config)
コマンド履歴
|
|
15.0(1)SE1 |
このコマンドが追加されました。 |
使用上のガイドライン
デバイス センサーは、Cisco Discovery Protocol(CDP)、Link Layer Discovery Protocol(LLDP)、および DHCP メッセージからのエンドポイント情報を収集し、アクセス セッションのコンテキストで、登録済みクライアントにこの情報を提供します。 device-sensor accounting コマンドを使用して、RADIUS アカウンティング メッセージにデバイス センサー プロトコル データを含めることができます。
デバイス センサー プロトコル データをアカウンティング メッセージに追加するには、まず aaa および radius-server コマンドで、セッションのアカウンティングをイネーブルにする必要があります。
例
次に、デバイス センサー プロトコル データをアカウンティング レコードに追加する例を示します。
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# radius-server host host1
Switch(config)# radius-server vsa send accounting
Switch(config)# device-sensor accounting
関連コマンド
|
|
debug device-sensor |
デバイス センサーのデバッグをイネーブルにします。 |
show device-sensor cache |
デバイス センサーのキャッシュ エントリを表示します。 |
device-sensor filter-list
センサー デバイスの出力に追加または除外される CDP または Link Layer Discovery Protocol(LLPD)フィルタ リスト(Type-Length-Value(TLV)フィールドのリストを含む)を作成するには、グローバル コンフィギュレーション モードで、 device-sensor filter-list コマンドを使用します。フィルタ リストを削除するには、このコマンドの no 形式を使用します。
device-sensor filter-list cdp | lldp list list-name
no device-sensor filter-list cdp | lldp list list-name
構文の説明
list |
ディスカバリ プロトコル フィルタ リストが含まれます。 |
list-name |
フィルタ リストの名前。 |
コマンド デフォルト
プロトコル TLV フィールドのフィルタ リストは使用できません。
コマンド モード
グローバル コンフィギュレーション(config)
コマンド履歴
|
|
15.0(1)SE1 |
このコマンドが追加されました。 |
使用上のガイドライン
プロトコル フィルタ リストの名前を設定し、Discovery Protocol センサー コンフィギュレーション モードを開始するには、 device-sensor filter-list コマンドを使用します。 tlv { name tlv-name | number tlv-number } コマンドを使用して、Discovery Protocol センサー コンフィギュレーション モードで TLV のリストを設定できます。 name tlv-name のキーワードと引数のペアを使用して、TLV の名前を指定します。次にコマンドラインに入力する必要があるコマンドを表示するには、 ? 使用可能な TLV の名前を調べるには、? を入力するか、次の表を参照してください。
表 2-1 CDP TLV 名
|
|
グローバル コンフィギュレーション モード |
app |
アプリケーション TLV をイネーブルにします。 |
forward |
別のインターフェイスに CDP パケットを転送します |
location |
ロケーション情報をイネーブルにします。 |
インターフェイス コンフィギュレーション モード |
app |
アプリケーション TLV をイネーブルにします。 |
location |
ロケーション情報をイネーブルにします。 |
server-location |
インターフェイス上で CDP ロケーション サーバをイネーブルにします。 |
表 2-2 LLDP TLV
|
|
|
4-wire-power-management |
MDI TLV の Cisco 4-wire 電源 |
mac-phy-cfg |
IEEE 802.3 MAC/PHY コンフィギュレーション ステータス TLV |
management-address |
管理アドレス TLV |
port-description |
ポート記述 TLV |
port-vlan |
ポート VLAN ID TLV |
power-management |
MDI TLV の IEEE 802.3 DTE 電源 |
system-capabilities |
システム機能 TLV |
system-description |
システム記述 TLV |
system-name |
システム名 TLV |
|
inventory-management |
LLDP Media Endpoint Devices(MED)のインベントリ管理 TLV |
location |
LLDP-MED ロケーション TLV |
network-policy |
LLDP-MED ネットワーク ポリシー TLV |
number tlv-name のキーワードと引数のペアを使用して、TLV フィルタ リストに追加する TLV 番号を指定します。
no tlv { name tlv-name | number tlv-number } コマンドを使用して、TLV フィルタ リストから個々の TLV を削除します。
no device-sensor filter-list lldp list tlv-list-name コマンドを使用して、すべての TLV を含む TLV リスト全体を削除します。
次に、TLV のリストを含む LLDP フィルタを作成する例を示します。
Switch# configure terminal
Switch(config)# device-sensor filter-list lldp list lldp-list
Switch(config-sensor-lldplist)# tlv name mac-phy-config
Switch(config-sensor-lldplist)# tlv name system-name
Switch(config-sensor-lldplist)# end
例
次に、TLV のリストを含む LLDP フィルタを作成する例を示します。
Switch# configure terminal
Switch(config)# device-sensor filter-list lldp list lldp-list
Switch(config-sensor-lldplist)# tlv name mac-phy-config
Switch(config-sensor-lldplist)# tlv name system-name
Switch(config-sensor-lldplist)# end
関連コマンド
|
|
debug device-sensor |
デバイス センサーのデバッグをイネーブルにします。 |
device-sensor accounting |
新しいセンサー データの検出時に、デバイス センサー プロトコル データをアカウンティング レコードに追加し、追加のアカウンティング イベントを生成します。 |
device-sensor filter-list dhcp |
デバイス センサー出力に含めるまたは除外することができるオプションのリストを含む DHCP フィルタを作成します。 |
show device-sensor cache |
デバイス センサーのキャッシュ エントリが表示されます。 |
device-sensor filter-list dhcp
デバイス センサー出力に含めるまたは除外することができるオプションのリストを含む DHCP フィルタを作成するには、グローバル コンフィギュレーション モードで device-sensor filter-list dhcp コマンドを使用します。オプションのリストを含む DHCP フィルタを削除するには、このコマンドの no 形式を使用します。
device-sensor filter-list dhcp list option-list-name
no device-sensor filter-list dhcp list option-list-name
構文の説明
list |
DHCP オプション フィルタ リストが含まれます。 |
option-list-name |
DHCP オプション フィルタ リスト名。 |
コマンド デフォルト
DHCP オプション フィルタ リストは使用できません。
コマンド モード
グローバル コンフィギュレーション(config)
コマンド履歴
|
|
15.0(1)SE1 |
このコマンドが追加されました。 |
使用上のガイドライン
device-sensor filter-list dhcp コマンドを使用して DHCP オプション フィルタ リストの名前を設定し、DHCP センサー コンフィギュレーション モードを開始します。 option { name option-name | number option-number } コマンドを使用して、DHCP センサー コンフィギュレーション モードでオプションのリストを設定できます。 name option-name のキーワードと引数のペアを使用して、DHCP オプションの名前を指定します。 number option-number のキーワードと引数のペアを使用して、DHCP オプション フィルタ リストに追加する TLV 番号を指定します。
no option { name option-name | number option-number } コマンドを使用して、DHCP オプション フィルタ リストから個々のオプションを削除します。
DHCP オプション フィルタ リスト全体を削除するには、 no device-sensor filter-list dhcp list option-list-name コマンドを使用します。
例
次に、オプションのリストを含む DHCP フィルタを作成する例を示します。
Switch# configure terminal
Switch(config)# device-sensor filter-list dhcp list dhcp-list
Switch(config-sensor-dhcplist)# option name domain-name
Switch(config-sensor-dhcplist)# option name host-name
Switch(config-sensor-dhcplist)# option number 50
Switch(config-sensor-dhcplist)# end
関連コマンド
|
|
debug device-sensor |
デバイス センサーのデバッグをイネーブルにします。 |
device-sensor accounting |
新しいセンサー データの検出時に、デバイス センサー プロトコル データをアカウンティング レコードに追加し、追加のアカウンティング イベントを生成します。 |
device-sensor filter-list |
デバイス センサー出力に含めるまたは除外することができるオプションのリストを含む CDP または LLDP フィルタを作成します。 |
show device-sensor cache |
デバイス センサーのキャッシュ エントリが表示されます。 |
device-sensor filter-spec
センサー デバイスの出力にプロトコル フィルタ リストを適用するには、グローバル コンフィギュレーション モードで device-sensor filter-spec コマンドを使用します。デバイス センサー出力からプロトコル フィルタ リストを削除するには、このコマンドの no 形式を使用します。
device-sensor filter-spec {cdp | lldp | dhcp} {exclude {all | list list-name } | include list list-name }
構文の説明
cdp |
デバイス センサー出力に CDP TLV フィルタ リストを適用します。 |
lldp |
デバイス センサー出力に LLDP TLV フィルタ リストを適用します。 |
dhcp |
デバイス センサー出力に DHCP オプション フィルタ リストを適用します。 |
exclude |
デバイス センサーの出力から除外するプロトコル TLV または DHCP オプションを指定します。 |
all |
関連するプロトコル用のすべての通知をディセーブルにします。 |
list list-name |
フィルタ リストの名前を指定します。 |
include |
デバイス センサー出力に含める必要がある TLV または DHCP オプションを指定します。 |
コマンド デフォルト
すべての TLV または DHCP オプションは通知に含まれ、通知をトリガーします。
コマンド モード
グローバル コンフィギュレーション(config)
コマンド履歴
|
|
15.0(1)SE1 |
このコマンドが追加されました。 |
使用上のガイドライン
センサー デバイスの出力に含まれる CDP または LLDP の TLV フィールドや、DHCP オプションのリストを指定するには、 device-sensor filter-spec コマンドを使用します。
DISCOVER、OFFER、REQUEST、ACK および IP アドレスなど、特定の TLV およびメッセージ タイプは、無条件に除外されます。除外される TLV およびメッセージ タイプは、上位層プロトコルの転送に使用されます。これらは、頻繁に変更され、エンドポイントに関する有益な情報をほとんど伝送しません。OFFER メッセージも、複数のサーバかで受信されることがあり、エンドポイントに関する有益な情報を伝送しないため、除外されます。
例
次に、CDP TLV フィルタ リストをデバイス センサー出力に適用する例を示します。
Switch# configure terminal
Switch(config)# device-sensor filter-spec cdp include cdp-list1
関連コマンド
|
|
debug device-sensor |
デバイス センサーのデバッグをイネーブルにします。 |
device-sensor accounting |
新しいセンサー データの検出時に、デバイス センサー プロトコル データをアカウンティング レコードに追加し、追加のアカウンティング イベントを生成します。 |
device-sensor filter-list |
デバイス センサー出力に含めるまたは除外することができるオプションのリストを含む CDP または LLDP フィルタを作成します。 |
device-sensor filter-list dhcp |
デバイス センサー出力に含めるまたは除外することができるオプションのリストを含む DHCP フィルタを作成します。 |
show device-sensor cache |
デバイス センサーのキャッシュ エントリが表示されます。 |
device-sensor notify
TLV 変更に関するクライアント通知およびアカウンティング イベントをイネーブルにするには、グローバル コンフィギュレーション モードで device-sensor notify コマンドを使用します。TLV 変更に関するクライアント通知およびアカウンティング イベントをディセーブルにするには、このコマンドの no 形式を使用します。
device-sensor notify all-changes | new-tlvs
no device-sensor notify all-changes | new-tlvs
構文の説明
all-changes |
すべての TLV 変更に関するクライアント通知およびアカウンティング イベントをイネーブルにします。 |
new-tlvs |
新しい TLV 変更のみに関するクライアント通知およびアカウンティング イベントをイネーブルにします。 |
コマンド デフォルト
クライアント通知とアカウンティング イベントは新しい TLV に関してのみ生成されます。
コマンド モード
グローバル コンフィギュレーション(config)
コマンド履歴
|
|
15.0(1)SE1 |
このコマンドが追加されました。 |
使用上のガイドライン
デフォルトでは、サポートされている各ピア プロトコルに関して、特定のセッションのコンテキストで以前受信されなかった TLV が着信パケットに含まれている場合にのみクライアント通知とアカウンティング イベントが生成されます。
すべての TLV 変更に関するクライアント通知とアカウンティング イベントをイネーブルにして、新しい TLV が受信され、以前受信された TLV は異なる値で受信されるようにするには、 device-sensor notify all-changes コマンドを使用します。
デフォルトの動作に戻すには、 device-sensor notify new-tlvs または default device-sensor notify コマンドを使用します。
例
次に、すべての TLV 変更のクライアント通知およびアカウンティング イベントをイネーブルにする例を示します。
Switch# configure terminal
Switch(config)# device-sensor notify all-changes
関連コマンド
|
|
debug device-sensor |
デバイス センサーのデバッグをイネーブルにします。 |
device-sensor accounting |
新しいセンサー データの検出時に、デバイス センサー プロトコル データをアカウンティング レコードに追加し、追加のアカウンティング イベントを生成します。 |
device-sensor filter-list |
デバイス センサー出力に含めるまたは除外することができるオプションのリストを含む CDP または LLDP フィルタを作成します。 |
device-sensor filter-list dhcp |
デバイス センサー出力に含めるまたは除外することができるオプションのリストを含む DHCP フィルタを作成します。 |
show device-sensor cache |
デバイス センサーのキャッシュ エントリが表示されます。 |
diagnostic monitor
diagnostic monitor グローバル コンフィギュレーション コマンドを使用して、ヘルス モニタリング診断テストを設定します。テストをディセーブルにし、デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。
diagnostic monitor switch { num } test { test-id | test-id-range | all }
diagnostic monitor interval switch { num } test { test-id | test-id-range | all } hh:mm:ss milliseconds day
diagnostic monitor syslog
diagnostic monitor threshold switch { num } test { test-id | test-id-range | all } count failure count
no diagnostic monitor switch { num } test { test-id | test-id-range | all }
no diagnostic monitor interval switch { num } test { test-id | test-id-range | all }
no diagnostic monitor syslog
no diagnostic monitor threshold switch { num } test { test-id | test-id-range | all } failure coun t
構文の説明
switch num |
モジュール番号を指定します。指定できる範囲は 1 ~ 9 です。 |
test |
実行するテストを指定します。 |
test-id |
実行するテストの識別番号。詳細については、「使用上のガイドライン」の項を参照してください。 |
test-id-range |
実行するテストの識別番号の範囲。詳細については、「使用上のガイドライン」の項を参照してください。 |
all |
すべての診断テストを実行します。 |
interval |
テストを実行する間隔を指定します。 |
hh:mm:ss |
テストの時間間隔を指定します。形式については、「使用上のガイドライン」の項を参照してください。 |
milliseconds |
時間(ミリ秒)を指定します。指定できる値は 0 ~ 999 です。 |
day |
テストの間隔(日数)を指定します。形式については、「使用上のガイドライン」の項を参照してください。 |
syslog |
ヘルス モニタ診断テストが失敗した場合に Syslog メッセージを生成します。 |
threshold |
障害しきい値を指定します。 |
failure count count |
障害しきい値のカウントを指定します。 |
デフォルト
• モニタリングはディセーブルです。
• syslog がイネーブルです。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(25)SEE |
このコマンドが追加されました。 |
使用上のガイドライン
テストをスケジューリングする場合、次の注意事項があります。
• test-id :テスト ID リストを表示するには、 show diagnostic content 特権 EXEC コマンドを 使用 します 。
• test-id-range :テスト ID リストを表示するには、 show diagnostic content コマンドを 使用 します 。カンマおよびハイフンで区切られた整数で範囲を入力します(例:1,3-6 はテスト ID 1、3、4、5 および 6)。
• hh :時間(0 ~ 23)を入力します。
• mm :分(0 ~ 60)を入力します。
• ss :秒(0 ~ 60)を入力します。
• milliseconds :ミリ秒(0 ~ 999)を入力します。
• day :0 ~ 20 の数字として日を入力します。
diagnostic monitor switch { num } test { test-id | test-id-range | all } コマンドを入力する場合は、次の注意事項に従ってください。
• すべての接続ポートをディセーブルにし、ネットワーク トラフィックを隔離します。テスト中はテスト パケットを送出できません。
• システムまたはテスト済みモジュールをリセットした後で、システムを通常の動作モードに戻します。
(注) スタックのスイッチにリロードされた属性がある診断テストを実行している場合、ケーブル接続の設定に応じてスタックをパーティションで区切ることができます。スタックをパーティションで区切らないようにするには、show switch detail 特権 EXEC コマンドを入力して、スタック設定を確認する必要があります。
例
次の例では、2 分ごとに指定したテストを行うように設定する方法を示します。
Switch(config)#
diagnostic monitor interval switch 1 test 1 00:02:00 0 1
次の例では、ヘルス モニタが以前にイネーブルになっていない場合に、指定されたスイッチでテストを実行する方法を示します。
Switch(config)#
diagnostic monitor switch 1 test 1
次の例では、スイッチ上でテスト モニタリング用の障害しきい値を設定する方法を示します。
Switch(config)#
diagnostic monitor threshold switch 1 test 1 failure count 50
次の例では、ヘルス モニタ テストが失敗した場合に Syslog メッセージの生成をイネーブルにする方法を示します。
Switch(config)#
diagnostic monitor syslog
関連コマンド
|
|
show diagnostic |
オンライン診断テストの結果を表示します。 |
diagnostic schedule
diagnostic schedule 特権 EXEC コマンドを使用して、診断テストのスケジューリングを設定します。スケジューリングを削除し、デフォルト設定に戻す場合は、このコマンドの no 形式を使用します。
diagnostic schedule switch num test { test-id | test-id-range | all | basic | non-disruptive } { daily hh : mm | on mm dd yyyy hh : mm | weekly day-of-week hh : mm }
no diagnostic schedule switch num test { test-id | test-id-range | all | basic | non-disruptive } { daily hh : mm | on mm dd yyyy hh : mm | weekly day-of-week hh : mm }
構文の説明
switch num |
スイッチ番号を指定します。指定できる範囲は 1 ~ 9 です。 |
test |
スケジューリングするテストを指定します。 |
test-id |
実行するテストの識別番号。詳細については、「使用上のガイドライン」の項を参照してください。 |
test-id-range |
実行するテストの識別番号の範囲。詳細については、「使用上のガイドライン」の項を参照してください。 |
all |
すべての診断テストを実行します。 |
basic |
基本的なオンデマンドの診断テストを実行します。 |
non-disruptive |
ノンディスラプティブ ヘルスモニタ テストを実行します。 |
daily hh : mm |
テストベースの診断タスクのスケジュール(日単位)を指定します。形式については、「使用上のガイドライン」の項を参照してください。 |
on mm dd yyyy hh : mm |
テストベースの診断タスクのスケジュールを指定します。形式については、「使用上のガイドライン」の項を参照してください。 |
weekly day-of-week hh : mm |
テストベースの診断タスクのスケジュール(週単位)を指定します。形式については、「使用上のガイドライン」の項を参照してください。 |
デフォルト
このコマンドには、デフォルト設定がありません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(25)SEE |
このコマンドが追加されました。 |
使用上のガイドライン
テストをスケジューリングする場合、次の注意事項があります。
• test-id :テスト ID リストを表示するには、 show diagnostic content コマンドを 使用 します 。
• test-id-range :テスト ID リストを表示するには、 show diagnostic content コマンドを 使用 します 。カンマおよびハイフンで区切られた整数で範囲を入力します(例:1,3-6 はテスト ID 1、3、4、5 および 6)。
• hh : mm :2 桁の数字(24 時間表記)で時間および分を入力します。コロン( : )が必要です。
• mm :January、February ~ December のように、月を入力します(大文字または小文字のいずれかを使用)。
• dd :2 桁の数字で日を入力します。
• yyyy :4 桁の数字で年を入力します。
• day-of-week :Monday、Tuesday ~ Sunday のように、曜日を入力します(大文字または小文字のいずれかを使用)。
例
次の例では、特定のスイッチに対して特定の日時に診断テストをスケジューリングする方法を示します。
Switch(config)# diagnostic schedule switch 1 test 1,2,4-6 on january 3 2006 23:32
次の例では、指定されたスイッチで毎週特定の時間に診断テストを行うようスケジューリングする方法を示します。
Switch(config)# diagnostic schedule switch 1 test 1,2,4-6 weekly friday 09:23
関連コマンド
|
|
show diagnostic |
オンライン診断テストの結果を表示します。 |
diagnostic start
指定した診断テストを実行するには、 diagnostic start ユーザ コマンドを使用します。
diagnostic start switch num test { test-id | test-id-range | all | basic | non-disruptive }
構文の説明
switch num |
スイッチ番号を指定します。指定できる範囲は 1 ~ 9 です。 |
test |
実行するテストを指定します。 |
test-id |
実行するテストの識別番号。詳細については、「使用上のガイドライン」の項を参照してください。 |
test-id-range |
実行するテストの識別番号の範囲。詳細については、「使用上のガイドライン」の項を参照してください。 |
all |
すべての診断テストを実行します。 |
basic |
基本的なオンデマンドの診断テストを実行します。 |
non-disruptive |
ノンディスラプティブ ヘルスモニタ テストを実行します。 |
デフォルト
このコマンドには、デフォルト設定がありません。
コマンド モード
ユーザ EXEC
コマンド履歴
|
|
12.2(25)SEE |
このコマンドが追加されました。 |
使用上のガイドライン
テスト ID リストを表示するには、 show diagnostic content コマンドを 使用 します 。
test-id-range をカンマおよびハイフンで区切られた整数で入力します(例:1,3-6 はテスト ID 1、3、4、5、および 6)。
例
次の例では、特定のスイッチで診断テストを実行する方法を示します。
Switch> diagnostic start switch 1 test 1
06:27:50: %DIAG-6-TEST_RUNNING: Switch 1: Running TestPortAsicStackPortLoopback{ID=1} ...
06:27:51: %DIAG-6-TEST_OK: Switch 1: TestPortAsicStackPortLoopback{ID=1} has completed
次の例では、正常なシステム動作を阻害するスイッチに診断テスト 2 を開始する方法を示します。
Switch> diagnostic start switch 1 test 2
Switch 1: Running test(s) 2 will cause the switch under test to reload after completion of
Switch 1: Running test(s) 2 may disrupt normal system operation
Do you want to continue?[no]: y
16:43:29: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 2 Switch 2 has changed to state DOWN
16:43:30: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 1 Switch 9 has changed to state DOWN
16:43:30: %STACKMGR-2-SWITCH_REMOVED: Switch 1 has been REMOVED from the stack
16:44:35: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 1 Switch 2 has changed to state UP
16:44:37: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 2 Switch 2 has changed to state UP
16:44:45: %STACKMGR-2-SWITCH_ADDED: Switch 1 has been ADDED to the stack
16:45:00: %STACKMGR-3-SWITCH_READY: Switch 1 is READY
16:45:00: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 1 Switch 1 has changed to state UP
16:45:00: %STACKMGR-2-STACK_LINK_CHANGE: Stack Port 2 Switch 1 has changed to state UP
00:00:20: %STACKMGR-2-SWITCH_ADDED: Switch 1 has been ADDED to the stack (Switch-1)
00:00:20: %STACKMGR-2-SWITCH_ADDED: Switch 2 has been ADDED to the stack (Switch-1)
00:00:25: %SPANTREE-3-EXTENDED_SYSID: Extended SysId enabled for type vlan (Switch-1)
00:00:29: %SYS-3-CONFIG_I: Configured from memory by console (Switch-1)
00:00:29: %STACKMGR-3-SWITCH_READY: Switch 2 is READY (Switch-1)
00:00:29: %STACKMGR-3-MASTER_READY: Master Switch 2 is READY (Switch-1)
00:00:30: %STACKMGR-3-SWITCH_READY: Switch 1 is READY (Switch-1)
00:00:30: %DIAG-6-TEST_RUNNING: Switch 1: Running TestPortAsicLoopback{ID=2} ...
00:00:30: %DIAG-6-TEST_OK: Switch 1: TestPortAsicLoopback{ID=2} has completed successfully
次のメッセージは、テストを実行することによりスタック接続性が失われる場合に表示されます。
Switch 3: Running test(s) 2 will cause the switch under test to reload after completion of
Switch 3: Running test(s) 2 may disrupt normal system operation
Do you want to continue?[no]:
次のメッセージは、テストを実行することによりスタックの分離が発生する場合に表示されます。
Switch 4: Running test(s) 2 will cause the switch under test to reload after completion of
Switch 4: Running test(s) 2 will partition stack
Switch 4: Running test(s) 2 may disrupt normal system operation
Do you want to continue?[no]:
関連コマンド
|
|
show diagnostic |
オンライン診断テストの結果を表示します。 |
dot1x
IEEE 802.1x 認証をグローバルにイネーブルにするには、 dot1x グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x { critical { eapol | recovery delay milliseconds } | { guest-vlan supplicant } | system-auth-control }
no dot1x { critical { eapol | recovery delay } | { guest-vlan supplicant } | system-auth-control }
(注) credentials name キーワードは、コマンドラインのヘルプ ストリングには表示されますが、サポートされていません。
構文の説明
critical { eapol | recovery delay milliseconds } |
アクセス不能な認証バイパス パラメータを設定します。詳細については、 dot1x critical(グローバル コンフィギュレーション) コマンドを参照してください。 |
guest-vlan supplicant |
スイッチでオプションのゲスト VLAN の動作をグローバルにイネーブルにします。 |
system-auth-control |
スイッチで IEEE 802.1x 認証をグローバルにイネーブルにします。 |
デフォルト
IEEE 802.1x 認証はディセーブルで、オプションのゲスト VLAN の動作はディセーブルです。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.1(14)EA1 |
このコマンドが追加されました。 |
12.2(25)SE |
guest-vlan supplicant キーワードが追加されました。 |
12.2(25)SEE |
critical { eapol | recovery delay milliseconds } キーワードが追加されました。 |
使用上のガイドライン
IEEE 802.1x 認証をグローバルにイネーブルにする前に、認証、許可、アカウンティング(AAA)をイネーブルにし、認証方式リストを指定する必要があります。方式リストには、ユーザの認証に使用する、順序と認証方式が記述されています。
スイッチの IEEE 802.1x 認証をグローバルにイネーブルにする前に、IEEE 802.1x 認証および EtherChannel が設定されているインターフェイスから EtherChannel の設定を削除します。
EAP-Transparent LAN Service(TLS)および EAP-MD5 で IEEE 802.1x を認証する Cisco Access Control Server(ACS)アプリケーションが稼働する装置を使用し、スイッチが Cisco IOS Release 12.1(14)EA1 を実行している場合、装置が ACS バージョン 3.2.1 以上で稼働していることを確認します。
guest-vlan supplicant キーワードを使用して、スイッチでオプションの IEEE 802.1x ゲスト VLAN の動作をグローバルにイネーブルにできます。詳細については、 dot1x guest-vlan コマンドを参照してください。
例
次の例では、スイッチで IEEE 802.1x 認証をグローバルにイネーブルにする方法を示します。
Switch(config)# dot1x system-auth-control
次の例では、スイッチでオプションのゲスト VLAN の動作をグローバルにイネーブルにする方法を示します。
Switch(config)# dot1x guest-vlan supplicant
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x critical(グローバル コンフィギュレーション) |
スイッチ上で、アクセス不能な認証バイパス機能のパラメータを設定します。 |
dot1x guest-vlan |
アクティブ VLAN をイネーブルにし、IEEE 802.1x ゲスト VLAN として指定します。 |
dot1x port-control |
ポートの認証ステートの手動制御をイネーブルにします。 |
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x auth-fail max-attempts
ポートが制限 VLAN に移行されるまでに許容される最大の認証試行回数を設定するには、 dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x auth-fail max-attempts max-attempts
no dot1x auth-fail max-attempts
構文の説明
max-attempts |
ポートが制限 VLAN に移行するまでに許容される最大の認証試行回数を指定します。指定できる範囲は 1 ~ 3 です。デフォルト値は 3 です。 |
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(25)SED |
このコマンドが追加されました。 |
使用上のガイドライン
VLAN で許容される最大の認証試行回数を再設定する場合、変更内容は再認証タイマーが期限切れになった後で反映されます。
例
次の例では、ポート 3 の制限 VLAN にポートが移行する前に許容される最大の認証試行回数を 2 に設定する方法を示します。
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet1/01/3
Switch(config-if)# dot1x auth-fail max-attempts 2
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x auth-fail vlan [ vlan id] |
オプションの制限 VLAN の機能をイネーブルにします。 |
dot1x max-reauth-req [ count] |
ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する最大回数を設定します。 |
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x auth-fail vlan
ポートで制限 VLAN をイネーブルにするには、 dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x auth-fail vlan vlan-id
no dot1x auth-fail v lan
構文の説明
vlan-id |
VLAN を 1 ~ 4094 の範囲で指定します。 |
デフォルト
制限 VLAN は設定されていません。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(25)SED |
このコマンドが追加されました。 |
使用上のガイドライン
次のように設定されたポートで制限 VLAN を設定できます。
• シングルホスト(デフォルト)モード
• 認証用 auto モード
再認証をイネーブルにする必要があります。ディセーブルになっていると、制限 VLAN のポートは再認証要求を受け取りません。再認証プロセスを開始するには、制限 VLAN がポートからリンクダウン イベントまたは Extensible Authentication Protocol(EAP)ログオフ イベントを受け取る必要があります。ホストがハブを介して接続されている場合、ホストが切断されているとポートがリンクダウン イベントを受け取ることができず、次の再認証試行が行われるまで新しいホストが検出されないことがあります。
サプリカントが認証に失敗すると、ポートは制限 VLAN に移行し、EAP 認証成功 メッセージがサプリカントに送信されます。サプリカントには実際の認証失敗が通知されないため、この制限ネットワーク アクセスに混乱が生じることがあります。EAP の成功メッセージは、次の理由で送信されます。
• EAP の成功メッセージが送信されない場合、サプリカントは 60 秒ごと(デフォルト)に EAP 開始メッセージを送信して認証を行おうとします。
• 一部のホスト(たとえば、Windows XP を実行中のデバイス)は、EAP の成功メッセージを受け取るまで DHCP を実装できません。
サプリカントは、認証から EAP 成功メッセージを受け取った後で不正なユーザ名とパスワードの組み合わせをキャッシュし、再認証のたびにその情報を使用する可能性があります。サプリカントが正しいユーザ名とパスワードの組み合わせを送信するまで、ポートは制限 VLAN のままになります。
レイヤ 3 ポートに使用する内部 VLAN は、制限 VLAN として設定することはできません。
VLAN を制限 VLAN と音声 VLAN の両方に設定することはできません。そのように設定すると、syslog メッセージが生成されます。
制限 VLAN ポートが無許可ステートに移行すると、認証プロセスが再起動されます。サプリカントが再度認証プロセスに失敗すると、認証は保持ステートで待機します。サプリカントが正常に再認証された後、すべての IEEE 802.1x ポートが再初期化され、通常の IEEE 802.1x ポートとして扱われます。
制限 VLAN を異なる VLAN として再設定すると、制限 VLAN のポートも移行し、そのポートは現在認証されたステートのままになります。
制限 VLAN をシャットダウンするか VLAN データベースから削除すると、制限 VLAN のポートはただちに無許可ステートに移行し、認証プロセスが再起動します。制限 VLAN 設定がまだ存在するため、認証は保持ステートで待機しません。制限 VLAN が非アクティブである間も、制限 VLAN がアクティブになったときにポートがただちに制限 VLAN になるように、すべての認証試行がカウントされます。
制限 VLAN は、シングルホスト モード(デフォルトのポート モード)でだけサポートされます。そのため、ポートが制限 VLAN に配置されると、サプリカントの MAC アドレスが MAC アドレス テーブルに追加され、ポートに表示される他の MAC アドレスは、すべてセキュリティ違反として扱われます。
例
次の例では、ポート 1 で制限 VLAN を設定する方法を示します。
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface gigabitethernet1/01/3
Switch(config-if)# dot1x auth-fail vlan 40
設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。
関連コマンド
|
|
dot1x auth-fail max-attempts [ max-attempts] |
サプリカントを制限 VLAN に割り当てる前に、試行可能な認証回数を設定します。 |
show dot1x [ interface interface-id ] |
指定されたポートの IEEE 802.1x の状態を表示します。 |
dot1x control-direction
このコマンドは、現在は使用されていません。
Wake-on-LAN(WoL)機能を搭載した IEEE 802.1x 認証をイネーブルにし、ポート制御を単一方向または双方向に設定するには、 dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x control-direction { both | in }
no dot1x control-direction
構文の説明
both |
ポートの双方向制御をイネーブルにします。ポートは、ホストにパケットを送受信できません。 |
in |
ポートの単一方向制御をイネーブルにします。ポートは、ホストにパケットを送信できますが、受信はできません。 |
デフォルト
ポートは双方向モードに設定されています。
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
|
|
12.2(25)SEC |
このコマンドが追加されました。 |
12.2(58)SE |
dot1x control-direction インターフェイス コンフィギュレーション コマンドは、 authentication control-direction インターフェイス コンフィギュレーション コマンドに替わりました。 |
使用上のガイドライン
デフォルト設定の双方向モードに戻すには、このコマンドの both キーワードまたは no 形式を使用します。
WoL の詳細については、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with Wake-on-LAN」の項を参照してください。
例
次の例では、単一方向制御をイネーブルにする方法を示します。
Switch(config-if)# dot1x control-direction in
次の例では、双方向制御をイネーブルにする方法を示します。
Switch(config-if)# dot1x control-direction both
設定を確認するには、 show dot1x all 特権 EXEC コマンドを入力します。
show dot1x all 特権 EXEC コマンド出力は、ポート名とポートのステートを除き、すべてのスイッチで同一です。ホストがポートに接続されていてまだ認証されていない場合、次のように表示されます。
Supplicant MAC 0002.b39a.9275
AuthSM State = CONNECTING
PortStatus = UNAUTHORIZED
dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力して単一方向制御をイネーブルにする場合、これが show dot1x all コマンド出力で次のように表示されます。
dot1x control-direction in インターフェイス コンフィギュレーション コマンドを入力しても、設定の競合によりポートでこのモードをサポートできない場合、 show dot1x all コマンド出力で次のように表示されます。
ControlDirection = In (Disabled due to port settings)
関連コマンド
|
|
authentication control-direction |
wake-on-LAN(WoL)機能を搭載した IEEE 802.1x 認証をイネーブルにします。 |
show dot1x [ all | interface interface-id ] |
指定したインターフェイスに対する制御方向のポート設定ステータスを表示します。 |
dot1x credentials(グローバル コンフィギュレーション)
dot1x credentials グローバル コンフィギュレーション コマンドを使用して、サプリカント スイッチでプロファイルを設定します。
dot1x credentials profile
no dot1x credentials profile
構文の説明
profile |
サプリカント スイッチのプロファイルを指定します。 |
デフォルト
スイッチにプロファイルは設定されません。
コマンド モード
グローバル コンフィギュレーション
コマンド履歴
|
|
12.2(50)SE |
このコマンドが追加されました。 |
使用上のガイドライン
このスイッチをサプリカントにするには、オーセンティケー