この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Catalyst 4500シリーズ スイッチのCisco IOSコマンドをアルファベット順に一覧表示します。このマニュアルに記載されていないCisco IOSコマンドの詳細については、次のURLにある『Cisco IOS Release 12.1 Configuration Guides』およびコマンド リファレンスを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/index.htm
マクロ キーワードのヘルプ ストリングを指定するには、# macro keywords コマンドを使用します。
#macro keywords [ keyword1 ] [ keyword2 ] [ keyword3 ]
|
|
マクロの必須キーワードを指定しなかった場合、そのマクロは無効とみなされ、適用しようとすると失敗します。 # macro keywordsコマンドを入力すると、構文を有効にするために指定する必要のあるキーワードを示したメッセージが表示されます。
次に、testという名前のマクロに関連付けられたキーワードのヘルプ ストリングを指定する例を示します。
macro apply cisco-desktop
macro apply cisco-phone
macro apply cisco-router
macro apply cisco-switch
802.1x認証セッションのアカウンティングをイネーブルにするには、 aaa accounting dot1x default start-stop group radius コマンドを使用します。アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting dot1x default start-stop group radius
no aaa accounting dot1x default start-stop group radius
|
|
802.1xアカウンティングには、RADIUSサーバが必要です。
このコマンドは、802.1xサプリカント(ワークステーション クライアント)から認証(RADIUS)サーバへ802.1xアップデート パケットおよびウォッチドッグ パケットを転送するために、
Authentication, Authorization, and Accounting(AAA;認証、許可、アカウンティング)クライアントのアカウンティング機能をイネーブルにします(ウォッチドッグ パケットは、EAPOL-LOGON、
EAPOL-LOGOFF、およびEAPOL-INTERIMメッセージとして定義されています)。事前に、認証サーバによってサプリカントの認証および許可が正常に行われないと、これらのパケットを有効とみなし転送することはできません。クライアントが再認証されると、暫定アップデート アカウンティング通知がアカウンティング サーバへ送信されます。
(注) AAAクライアントからアップデート パケットまたはウォッチドッグ パケットを受信し記録するには、RADIUS認証サーバを適切に設定する必要があります。
スイッチの再起動後にセッション終端メッセージを受信するには、 aaa accounting system default
start-stop group radius コマンドを使用します。アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting system default start-stop group radius
no aaa accounting system default start-stop group radius
|
|
802.1xアカウンティングには、RADIUSサーバが必要です。
このコマンドは、802.1xサプリカント(ワークステーション クライアント)から認証(RADIUS)サーバへ802.1xアップデート パケットおよびウォッチドッグ パケットを転送するために、
Authentication, Authorization, and Accounting(AAA;認証、許可、アカウンティング)クライアントのアカウンティング機能をイネーブルにします(ウォッチドッグ パケットは、EAPOL-LOGON、
EAPOL-LOGOFF、およびEAPOL-INTERIMメッセージとして定義されています)。事前に、認証サーバによってサプリカントの認証および許可が正常に行われないと、これらのパケットを有効とみなし転送することはできません。クライアントが再認証されると、暫定アップデート アカウンティング通知がアカウンティング サーバへ送信されます。
(注) AAAクライアントからアップデート パケットまたはウォッチドッグ パケットを受信し記録するには、RADIUS認証サーバを適切に設定する必要があります。
オーバーライド モード(VACLをPACLよりも優先させる場合など)および非オーバーライド モード(mergeモードやstrictモードなど)を指定するには、 access-group modeコマンドを使用します。優先ポート モードに戻すには、このコマンドの no 形式を使用します。
access-group mode { prefer { port | vlan } | merge }
no access-group mode { prefer { port | vlan } | merge }
|
|
---|---|
レイヤ2インターフェイスでは、prefer port、prefer vlan、およびmergeモードがサポートされています。レイヤ2インターフェイスには、各方向(着信方向と発信方向)に1つずつIP ACLを適用できます。
show access-group mode interface
show ip interface (Cisco IOSのマニュアルを参照)
show mac access-group interface
Access Control List(ACL;アクセス制御リスト)をスイッチのハードウェアにプログラムする方法を指定するには、 access-list hardware entries コマンドを使用します。
access-list hardware entries { packed | scattered }
|
|
---|---|
ACLのプログラム時には、エントリとマスクの2種類のハードウェア リソースが使用されます。これらのリソースのいずれかが消費されて使用できない場合、ハードウェアに新たにACLをプログラムできません。マスクが消費されてもエントリが使用可能な場合、プログラミング アルゴリズムを packed から scattered に変更して、マスクを使用可能にします。このアクションにより、新たなACLをハードウェアにプログラムできるようになります。
このコマンドの目的は、ACLエントリごとのマスク数を少なくして、TCAMのリソースをより効率的に使用することです。 scattered または packed アルゴリズムを適用しているときにTCAMの使用率を比較するには、 show platform hardware acl statistics utilization brief コマンドを使用します。プログラムのアルゴリズムを packed から scattered に変更するには、 access-list hardware entries コマンドを使用します。
次に、ハードウェアにプログラムするACLをpackedアルゴリズムにする方法を示します。プログラムされたあとは、49%のACLエントリのみをプログラムするために、89%のマスクが必要になります。
次に、ハードウェアのACLエントリ間のスペースを個別に(scattered)確保する例を示します。49%のエントリをプログラムするために必要なマスク数は49%に減少します。
VACLのマッチングの場合に実行されるアクションを指定するには、 action コマンドを使用します。アクション句を削除するには、このコマンドの no 形式を使用します。
|
|
---|---|
VLAN(仮想LAN)アクセス マップでは、特定のパケット タイプ(IPまたはMAC [メディア アクセス制御])用に設定されているAccess Control List(ACL;アクセス制御リスト)が1つ以上存在する場合、そのパケット タイプのデフォルト アクションは drop (拒否)です。
特定のパケット タイプ用に設定されているACLが存在しない場合は、そのパケット タイプのデフォルト アクションは forward (許可)です。
特定のパケット タイプ用に設定されているACLが空または未定義の場合は、設定されたアクションがそのパケット タイプに適用されます。
新しいVLAN(仮想LAN)データベースを実装し、設定番号をインクリメントし、NVRAM(不揮発性RAM)で設定番号を保存し、管理ドメイン全体に設定番号を伝えるには、 apply コマンドを使用します。
|
|
---|---|
apply コマンドは、VLANデータベース モードを開始したあとに行った設定変更を実施し、これを実行コンフィギュレーションに使用します。このコマンドにより、VLANデータベース モードが開始されます。
スイッチがVLAN Trunk Protocol(VTP;VLANトランク プロトコル)クライアント モードの場合には、このコマンドを使用することはできません。
イネーブルEXECモードから show vlan コマンドを入力することにより、VLANデータベース変更が行われたかどうかを確認できます。
次に、新たなVLANデータベースを実装し、これを現在のデータベースとして認識する例を示します。
Switch(config-vlan)#
apply
Switch(config-vlan)#
abort (Cisco IOSのマニュアルを参照)
exit (Cisco IOSのマニュアルを参照)
reset
show vlan
shutdown vlan (Cisco IOSのマニュアルを参照)
vtp(グローバル コンフィギュレーション モード)
Address Resolution Protocol(ARP)アクセス リストを定義したり、設定済みリストの末尾にコマンドを追加するには、arp access-listコマンドを使用します。
|
|
---|---|
次に、static-hostsという名前のARPアクセス リストを定義する例を示します。
特定のモジュールにリモートから接続するには、 attach module コンフィギュレーション コマンドを使用します。
|
|
---|---|
このコマンドが適用されるのは、Catalyst 4500シリーズ スイッチのアクセス ゲートウェイ モジュールのみです。
mod の有効値は、使用するシャーシによって異なります。たとえば、Catalyst 4006シャーシを使用している場合、モジュールの有効値は2~6です。4507Rシャーシを使用している場合、有効値は3~7です。
attach module mod コマンドを実行すると、プロンプトがGateway#に変わります。
このコマンドのアクションは、 session module mod および remote login module mod コマンドのアクションと同じです。
次に、アクセス ゲートウェイ モジュールにリモートからログインする例を示します。
Quality of Service(QoS;サービス品質)ドメイン内にVoice over IP(VoIP)用のAuto-QoS(自動QoS)を自動設定するには、 auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。Auto-QoSコンフィギュレーションを標準QoSデフォルト設定に戻すには、このコマンドの no 形式を使用します。
auto qos voip { cisco-phone | trust }
no auto qos voip { cisco-phone | trust }
このインターフェイスをCisco IP Phoneに接続し、VoIP用のQoSを自動設定します。着信パケット内のClass of Service(CoS;サービス クラス)ラベルは、IP Phoneが検出された場合のみ信頼されます。 |
|
このインターフェイスを信頼できるスイッチまたはルータに接続し、VoIP用のQoSを自動設定します。着信パケットのCoSおよびDSCPラベルは、信頼されます。 |
|
|
---|---|
このコマンドを使用して、QoSドメイン内のVoIPトラフィックに適切なQoSを設定します。QoSドメインには、QoSの着信トラフィックを分類できるスイッチ、ネットワーク内部、およびエッジ デバイスが含まれます。
cisco-phone キーワードは、Cisco IP Phoneに接続されたネットワークのエッジにあるポートで使用します。スイッチは、Cisco Discovery Protocol(CDP)を介してIP Phoneを検出し、そのIP Phoneから受信したパケット内のCoSラベルを信頼します。
trustキーワードは、ネットワーク内部に接続されたポートで使用します。トラフィックはすでに他のエッジ デバイスで分類されているとみなされるので、これらのパケットのCoS/DSCPラベルは信頼されます。
指定されたインターフェイスでAuto-QoS機能をイネーブルにすると、自動的に次のアクションが発生します。
• QoSがグローバルにイネーブルになります( qos グローバル コンフィギュレーション コマンド)。
• DBLがグローバルにイネーブルになります(qos dblグローバル コンフィギュレーション コマンド)。
• auto qos voip cisco-phone インターフェイス コンフィギュレーション コマンドを入力した場合は、信頼性のある境界機能がイネーブルになります。Cisco IP Phoneの有無の検出には、CDPが使用されます。Cisco IP Phoneが検出されると、特定のインターフェイス上の入力分類は、パケットで受信されたCoSラベルを信頼するように設定されます。これは、一部の古いIP PhoneではDSCPがマークされないためです。Cisco IP Phoneが存在しない場合、入力分類はパケットのCoSラベルを信頼しないよう設定されます。
• auto qos voip trust インターフェイス コンフィギュレーション コマンドを入力すると、指定されたインターフェイスがレイヤ2として設定されている場合、このインターフェイス上の入力分類はパケットで受信されたCoSラベルを信頼するように設定されます(このインターフェイスがレイヤ3として設定されている場合は、DSCPを信頼するように設定されます)。
スタティック ポート、ダイナミック アクセス ポート、音声VLAN(仮想LAN)アクセス ポート、およびトランク ポートでAuto-QoSをイネーブルにできます。
Auto-QoSがイネーブルの場合に自動生成されるQoSコンフィギュレーションを表示するには、Auto-QoSをイネーブルにする前にデバッグをイネーブルにします。Auto-QoSデバッギングをイネーブルにするには、 debug auto qos イネーブルEXECコマンドを使用します。
インターフェイス上でAuto-QoSをディセーブルにするには、no auto qos voipインターフェイス コンフィギュレーション コマンドを使用します。このコマンドを入力すると、標準QoSがイネーブルになり、Auto-QoS設定がそのインターフェイスの標準QoSデフォルト設定に変更されます。Auto-QoSによって実行されたグローバル設定がこのアクションで変更されることはありません。グローバル設定は維持されます。
次に、インターフェイスGigabitEthernet 1/1に接続されたスイッチまたはルータが信頼できるデバイスの場合に、Auto-QoSをイネーブルにし、着信パケット内で受信されたCoSおよびDSCPラベルを信用する例を示します。
次に、インターフェイスFastEthernet 2/1に接続されたデバイスがCisco IP Phoneとして検出された場合に、Auto-QoSをイネーブルにして、着信パケット内で受信されたCoSラベルを信頼する例を示します。
次に、Auto-QoSがイネーブルの場合に自動的に生成されるQoSコンフィギュレーションを表示する例を示します。
debug auto qos (Cisco IOSのマニュアルを参照)
qos map cos
qos trust
show auto qos
show qos
show qos interface
show qos maps
NVRAM(不揮発性RAM)のコンフィギュレーション ファイルの自動同期化をイネーブルにするには、 auto-sync コマンドを使用します。自動同期化をディセーブルにするには、このコマンドの no 形式を使用します。
auto-sync { startup-config | config-register | bootvar | standard }
no auto-sync { startup-config | config-register | bootvar | standard }
スタートアップ コンフィギュレーション、BOOTVAR、およびコンフィギュレーション レジスタの自動同期化を指定します。 |
|
|
---|---|
次に(デフォルト設定から)メインCPUのコンフィギュレーション レジスタの自動同期化をイネーブルにする例を示します。
Switch#
config terminal
Switch (config)#
redundancy
Switch (config-r)#
main-cpu
Switch (config-r-mc)#
no auto-sync standard
Switch (config-r-mc)#
auto-sync configure-register
Switch (config-r-mc)#
EtherChannelインターフェイスのEtherChannelグループへの割り当て、または設定を行うには、 channel-group コマンドを使用します。インターフェイスからチャネル グループ コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
channel-group number mode { active | on | auto [ non-silent ]} | { passive | desirable [ non-silent ]}
|
|
---|---|
物理インターフェイスをチャネル グループに割り当てる前にポート チャネル インターフェイスを作成する必要はありません。ポート チャネル インターフェイスが作成されていない場合、ポート チャネル インターフェイスは、そのチャネル グループの最初の物理インターフェイスが作成されたときに自動的に作成されます。
チャネル グループのPAgPがイネーブルに設定されているインターフェイスに使用されている特定のチャネル番号は、LACPがイネーブルに設定されているインターフェイスを含むチャネルを設定する場合に使用できません。その逆も同様です。
interface port-channel コマンドを入力してポート チャネルを作成することもできます。この場合には、レイヤ3ポート チャネルが作成されます。レイヤ3ポート チャネルをレイヤ2ポート チャネルに変更するには、物理インターフェイスをチャネル グループに割り当てる前に switchport コマンドを使用してください。ポート チャネルにメンバー ポートがある場合には、ポート チャネルをレイヤ3からレイヤ2、またはレイヤ2からレイヤ3に変更することはできません。
チャネル グループの一部である物理インターフェイスに割り当てられたIPアドレスをディセーブルにする必要はありませんが、ディセーブルにすることを推奨します。
ポート チャネル インターフェイスに行われた設定変更または属性変更は、ポート チャネルとして同じチャネル グループ内のすべてのインターフェイスに伝えられます(たとえば、設定変更は、そのポート チャネルの一部ではないが、そのチャネル グループの一部である物理インターフェイスにも伝えられます)。
on モードで2つのポート グループを接続することにより、使用可能なEtherChannelを作成できます。
次に、インターフェイスGigabitEthernet 1/1をポート チャネル45によって指定されたEtherChannelグループに追加する例を示します。
Switch(config-if)#
channel-group 45 mode on
Switch(config-if)#
interface port-channel
show interfaces port-channel (Cisco IOSのマニュアルを参照)
インターフェイス上でLACPまたはPort Aggregation Protocol(PAgP;ポート集約プロトコル)をイネーブルにするには、 channel-protocol コマンドを使用します。これらのプロトコルをディセーブルにするには、このコマンドの no 形式を使用します。
channel-protocol { lacp | pagp }
no channel-protocol { lacp | pagp }
|
|
---|---|
このコマンドは、Supervisor Engine Iが搭載されているシステムではサポートされません。
channel-group コマンドを使用して、プロトコルを選択することもできます。
インターフェイスがチャネルに属する場合は、このコマンドの no 形式を使用しても拒否されます。
同じEtherChannelに属するすべてのポートでは、同じプロトコルを使用する必要があります。1つのモジュールで2つのプロトコルを実行することはできません。
PAgPとLACPには互換性がありません。チャネルの両端で同じプロトコルを使用する必要があります。
スイッチを手動で設定し、一方の側でPAgP、反対側でLACPを on モードにできます。
プロトコルはいつでも変更できます。ただし、変更した場合は、新しいプロトコルに対して、既存のすべてのEtherChannelがデフォルト チャネル モードにリセットされます。 channel-protocol コマンドを使用すると、選択されたプロトコルに適用不可能なモードを選択できなくなります。
EtherChannel内のすべてのポートを、同じ速度および同じデュプレックス モード(LACPモードの場合は全二重のみ)で動作するように設定してください。
詳細な注意事項については、『 Catalyst 4500 Series Switch Cisco IOS Software Configuration Guide 』の「Configuring EtherChannel」を参照してください。
次に、インターフェイスでチャネリングを管理するためにLACPを選択する例を示します。
Quality of Service(QoS;サービス品質)クラス マップを設定するためのQoSクラス マップ コンフィギュレーション モードにアクセスするには、 class-map コマンドを使用します。クラスマップを削除するには、このコマンドの no 形式を使用します。
class-map [ match-all | match-any ] name
no class-map [ match-all | match-any ] name
|
|
---|---|
name および acl_name 引数は、大文字と小文字を区別します。
グローバルに名付けられたサービス ポリシーの一部としてパケットの分類、マーキング、集約、およびフローポリシングを定義する場合は、 class-map および個々のインターフェイスに適用されるそのサブコマンドを使用します。
次のコマンドが、QoSクラス マップ コンフィギュレーション モードで利用できます。
• exit ― QoSクラス マップ コンフィギュレーション モードを終了します。
• no ― クラスマップから一致ステートメントを削除します。
– access-group { acl_index | name acl_name }
– ip { dscp | precedence } value1 value2... value8
次のサブコマンドは、CLI(コマンドライン インターフェイス)ヘルプに表示されますが、LANインターフェイスではサポートされません。
• input-interface { interface interface_number | null number | vlan vlan_id }
• destination-address mac mac_address
• source-address mac mac_address
クラスマップ名を設定して、クラスマップ コンフィギュレーション モードを開始すると、 match サブコマンドを入力できます。これらのサブコマンドの構文は次のとおりです。
match {[ access-group { acl_index | name acl_name } ] | [ ip { dscp | precedence } value1 value2... value8 ]}
match サブコマンドの構文説明については 表 2-1 を参照してください。
次に、 class-map コマンドおよびサブコマンドにアクセスして、ipp5という名前のクラスマップを設定し、IP precedence 5の一致ステートメントを入力する例を示します。
次に、すでに設定されたアクセス リストに一致するクラスマップを設定する例を示します。
policy-map
service-policy
show class-map
show policy-map
show policy-map interface
インターフェイス カウンタをクリアするには、 clear counters コマンドを使用します。
clear counters [{ FastEthernet interface_number } | { GigabitEthernet interface_number } |
{ null interface_number } | { port-channel number } | { vlan vlan_id }]
|
|
---|---|
インターフェイスが指定されていない場合、このコマンドはすべてのインターフェイスの現在のインターフェイス カウンタをクリアします。
(注) このコマンドは、SNMP(簡易ネットワーク管理プロトコル)で検索されたカウンタはクリアせず、show interface countersコマンドを入力したときに表示されるカウンタだけをクリアします。
次に、すべてのインターフェイス カウンタをクリアする例を示します。
Switch#
clear counters
Switch#
次に、特定のインターフェイスのカウンタをクリアする例を示します。
Switch#
clear counters vlan 200
Switch#
インテリジェント回線モジュールのパスワードをクリアするには、 clear hw-module slot password コマンドを使用します。
clear hw-module slot slot_num password
|
|
---|---|
次に、回線モジュールのスロット5のパスワードをクリアする方法を示します。
ギガビット イーサネットIEEE 802.3zインターフェイスからハードウェア ロジックをクリアするには、 clear interface gigabitethernet コマンドを使用します。
clear interface gigabitethernet slot/port
|
|
---|---|
次に、ギガビット イーサネットIEEE 802.3zインターフェイスからハードウェア ロジックをクリアする例を示します。
Switch#
clear interface gigabitethernet 1/1
Switch#
VLAN(仮想LAN)のハードウェア ロジックをクリアするには、 clear interface vlan コマンドを使用します。
|
|
---|---|
次に、特定のVLANからハードウェア ロジックをクリアする例を示します。
Switch#
clear interface vlan 5
Switch#
アクセス リストの統計情報をクリアするには、 clear ip access-template コマンドを使用します。
clear ip access-template access-list
アクセス リスト番号です。指定できる値はIP拡張アクセス リストについては100~199、拡張範囲IP拡張アクセス リストについては、2,000~2,699です。 |
|
|
---|---|
Switch#
clear ip access-template 201
Switch#
ログ バッファのステータスをクリアするには、 clear ip arp inspection log コマンドを使用します。
|
|
---|---|
Switch#
clear ip arp inspection log
Switch#
Dynamic ARP Inspection(DAI;ダイナミックARPインスペクション)統計情報をクリアするには、 clear ip arp inspection statistics コマンドを使用します。
clear ip arp inspection statistics [ vlan vlan-range ]
|
|
---|---|
次に、VLAN 1のDAI統計情報をクリアして、その状態を確認する例を示します。
arp access-list
clear ip arp inspection log
show ip arp inspection
DHCPバインディング データベースをクリアするには、 clear ip dhcp snooping database コマンドを使用します。
clear ip dhcp snooping database
|
|
---|---|
次に、DHCPバインディング データベースをクリアする例を示します。
Switch#
clear ip dhcp snooping database
Switch#
ip dhcp snooping
ip dhcp snooping binding interface (Cisco IOSのマニュアルを参照)
ip dhcp snooping information option
ip dhcp snooping trust
ip dhcp snooping vlan
show ip dhcp snooping
show ip dhcp snooping binding
DHCPバインディング データベース統計情報をクリアするには、 clear ip dhcp snooping database
statistics コマンドを使用します。
clear ip dhcp snooping database statistics
|
|
---|---|
次に、DHCPバインディング データベースをクリアする例を示します。
Switch#
clear ip dhcp snooping database statistics
Switch#
ip dhcp snooping
ip dhcp snooping binding
ip dhcp snooping information option
ip dhcp snooping trust
ip dhcp snooping vlan
show ip dhcp snooping
show ip dhcp snooping binding
Internet Group Management Protocol(IGMP)グループ キャッシュ エントリを削除するには、 clear ip igmp group コマンドを使用します。
clear ip igmp group [{ fastethernet slot/port } | { GigabitEthernet slot/port } | { host_name | group_address } { Loopback interface_number } | { null interface_number } |
{ port-channel number } | { vlan vlan_id }]
(任意)Domain Name System(DNS;ドメイン ネーム システム)ホスト テーブルまたは ip host コマンドで定義されているホスト名です。 |
|
|
|
---|---|
IGMPキャッシュには、直接接続されているLANのホストがメンバーであるマルチキャスト グループのリストが含まれています。
すべてのエントリをIGMPキャッシュから削除する場合は、引数なしで clear ip igmp group コマンドを入力します。
次に、IGMPキャッシュから特定のグループのエントリをクリアする例を示します。
次に、特定のインターフェイスから、IGMPグループ キャッシュ エントリをクリアする例を示します。
ip host (Cisco IOSのマニュアルを参照)
show ip igmp groups (Cisco IOSのマニュアルを参照)
show ip igmp interface
明示的なホスト追跡データベースをクリアするには、 clear ip igmp snooping membership コマンドを使用します。
clear ip igmp snooping membership [vlan vlan_id ]
|
|
---|---|
明示的なホスト追跡データベースには、デフォルトで最大1 KBのエントリを格納できます。この制限に達すると、データベースに新規エントリを作成できなくなります。さらにエントリを作成するには、 clear ip igmp snooping statistics vlan コマンドを使用して、データベースを削除する必要があります。
次に、VLAN 25のInternet Group Management Protocol(IGMP)スヌーピング統計情報を表示する例を示します。
Switch#
ip igmp snooping vlan explicit-tracking
show ip igmp snooping membership
グローバルMFIBカウンタおよびすべてのアクティブMFIBルートのカウンタをクリアするには、 clear ip mfib counters コマンドを使用します。
|
|
---|---|
次に、すべてのアクティブMFIBルートおよびグローバル カウンタをクリアする例を示します。
すべてのMFIB高速廃棄エントリをクリアするには、 clear ip mfib fastdrop コマンドを使用します。
|
|
---|---|
特定のチャネル グループに属するすべてのインターフェイスの統計情報をクリアするには、 clear lacp counters コマンドを使用します。
clear lacp [ channel-group ] counters
|
|
---|---|
このコマンドは、Supervisor Engine Iが搭載されているシステムではサポートされません。
channel group を指定しない場合は、すべてのチャネル グループがクリアされます。
Port Aggregation Protocol(PAgP;ポート集約プロトコル)モードのメンバーを含むチャネル グループにこのコマンドを入力しても、無視されます。
ダイナミック アドレス エントリをレイヤ2 MAC(メディア アクセス制御)アドレス テーブルからクリアするには、 clear mac-address-table dynamic コマンドを使用します。
clear mac-address-table dynamic [{ address mac_addr } | { interface interface }] [ vlan vlan_id ]
(任意)インターフェイスを指定して、それに対応付けられるエントリをクリアします。指定できる値は、 FastEthernet および GigabitEthernet です。 |
|
|
|
---|---|
すべてのダイナミック エントリをテーブルから削除するには、 clear mac-address-table dynamic コマンドを引数なしで入力します。
次に、特定インターフェイス(gi1/1)のすべてのダイナミック レイヤ2エントリをクリアする例を示します。
Switch#
clear mac-address-table dynamic interface gi1/1
Switch#
mac-address-table aging-time
main-cpu
show mac-address-table address
ポート チャネル情報をクリアするには、 clear pagp コマンドを使用します。
clear pagp { group-number | counters }
|
|
---|---|
次に、特定グループのポート チャネル情報をクリアする例を示します。
Switch#
clear pagp 32
Switch#
次に、ポート チャネル トラフィック フィルタをすべてクリアする例を示します。
Switch#
clear pagp counters
Switch#
MAC(メディア アクセス制御)アドレス テーブルからすべての設定済みセキュア アドレス、もしくはインターフェイス上の特定のダイナミックまたはスティッキー セキュア アドレスを削除するには、 clear port-security コマンドを使用します。
clear port-security { all | dynamic } [ address mac-addr [ vlan vlan-id ]] | [ interface interface-id ]
clear port-security all コマンドを入力すると、スイッチはすべてのセキュアMACアドレスをMACアドレス テーブルから削除します。
clear port-security dynamic interface interface-id コマンドを入力すると、スイッチはインターフェイス上のすべてのダイナミック セキュアMACアドレスをMACアドレス テーブルから削除します。
|
|
---|---|
次に、MACアドレス テーブルからすべてのセキュア アドレスを削除する例を示します。
次に、MACアドレス テーブルからダイナミック セキュア アドレスを削除する例を示します。
次に、特定のインターフェイスで学習したダイナミック セキュア アドレスをすべて削除する例を示します。
グローバルおよびインターフェイスごとの集約Quality of Service(QoS;サービス品質)カウンタをクリアするには、 clear qos コマンドを使用します。
clear qos [ aggregate-policer [ name ] | interface {{ fastethernet | GigabitEthernet } { slot/interface }} | vlan { vlan_num } | port-channel { number }]
|
|
---|---|
(注) clear qosコマンドを入力すると、カウンタの動作方法が影響を受け、通常は制限されるトラフィックが短期間転送されることがあります。
clear qos コマンドは、インターフェイスQoSポリシー カウンタをリセットします。インターフェイスが指定されていない場合、 clear qos コマンドはすべてのインターフェイスのQoSポリシー カウンタをリセットします。
次に、すべてのプロトコルでグローバルおよびインターフェイスごとの集約QoSカウンタをクリアする例を示します。
Switch#
clear qos
Switch#
次に、すべてのインターフェイスで特定プロトコルの集約QoSカウンタをクリアする例を示します。
Switch#
clear qos aggregate-policer
Switch#
指定されたVLAN(仮想LAN)またはすべての既存VLANのソフトウェアキャッシュ カウンタ値をクリアして、0から再開させるには、 clear vlan counters コマンドを使用します。
clear vlan [ vlan-id ] counters
|
|
---|---|
次に、特定のVLANのソフトウェアキャッシュ カウンタ値をクリアする例を示します。
VLAN Membership Policy Server(VMPS;VLANメンバーシップ ポリシー サーバ)統計情報をクリアするには、 clear vmps statistics コマンドを使用します。
|
|
---|---|
隣接デバッギング情報を表示するには、 debug adjacency コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
(任意)隣接データベースのInter-Processor Communication(IPC;プロセッサ間通信)エントリを表示します。 |
|
|
---|---|
バックアップ イベントをデバッグするには、 debug backup コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
---|---|
インターフェイス関連アクティビティのデバッギング出力を制限するには、 debug condition
interface コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
debug condition interface { fastethernet slot/port | GigabitEthernet slot/port | null interface_num | port-channel interface-num | vlan vlan_id }
no debug condition interface { fastethernet slot/port | GigabitEthernet slot/port | null interface_num | port-channel interface-num | vlan vlan_id }
|
|
---|---|
次に、VLANインターフェイス1のデバッギング出力を制限する例を示します。
debug interface
undebug condition interface ( no debug condition interface と同じ)
スタンバイ ステート変化のデバッギング出力を制限するには、 debug condition standby コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
debug condition standby { fastethernet slot/port | GigabitEthernet slot/port |
port-channel interface-num | vlan vlan_id group-number }
no debug condition standby { fastethernet slot/port | GigabitEthernet slot/port |
port-channel interface-num | vlan vlan_id group-number }
|
|
---|---|
1つしかない条件セットを削除しようとした場合には、削除操作を中断するかどうかを尋ねるメッセージとともにプロンプトが表示されます。 n を押して削除を中断するか、または y を押して削除を実行できます。1つしかない条件セットを削除した場合は、過剰な数のデバッギング メッセージが表示される場合があります。
次に、VLAN 1のgroup 0へのデバッギング出力を制限する例を示します。
次に、最後のスタンバイ デバッグ条件をオフにしようとした場合の表示例を示します。
特定VLAN(仮想LAN)のVLANデバッギング出力を制限するには、 debug condition vlan コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
debug condition vlan { vlan_id }
no debug condition vlan { vlan_id }
|
|
---|---|
1つしかないVLAN条件セットを削除しようとした場合には、削除操作を中断するかどうかを尋ねるメッセージとともにプロンプトが表示されます。 n を押して削除を中断するか、または y を押して削除を実行できます。1つしかない条件セットを削除した場合は、過剰な数のメッセージが表示される場合があります。
次に、VLAN 1へのデバッギング出力を制限する例を示します。
次に、最後のVLANデバッグ条件をディセーブルにしようとしたときに表示されるメッセージ例を示します。
802.1x機能のデバッグをイネーブルにするには、 debug dot1x コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
debug dot1x { all | errors | events | packets | registry | state-machine }
no debug dot1x { all | errors | events | packets | registry | state-machine }
|
|
---|---|
次に、すべての条件の802.1xデバッギングをイネーブルにする例を示します。
show dot1x
undebug dot1x ( no debug dot1x と同じ)
EtherChannelをデバッグするには、 debug etherchnl コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
debug etherchnl [ all | detail | error | event | idb | linecard ]
(任意)Port Aggregation Protocol(PAgP;ポート集約プロトコル)IDBメッセージをデバッグします。 |
|
|
|
---|---|
次に、すべてのEtherChannelデバッグ メッセージを表示する例を示します。
次に、EtherChannel IDBデバッグ メッセージを表示する例を示します。
debug condition interface コマンドのエントリを省略するには、 debug interface コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug interface { FastEthernet slot/port | GigabitEthernet slot/port | null |
port-channel interface-num | vlan vlan_id }
no debug interface { FastEthernet slot/port | GigabitEthernet slot/port | null |
port-channel interface-num | vlan vlan_id }
|
|
---|---|
次に、インターフェイスVLAN 1へのデバッギングを制限する例を示します。
debug condition interface
undebug interface ( no debug interface と同じ)
Inter-Processor Communication(IPC;プロセッサ間通信)アクティビティをデバッグするには、 debug ipc コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
debug ipc { all | errors | events | headers | packets | ports | seats }
no debug ipc { all | errors | events | headers | packets | ports | seats }
|
|
---|---|
次に、IPCイベントのデバッギングをイネーブルにする例を示します。
DHCPスヌーピング イベントをデバッグするには、 debug ip dhcp snooping event コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
no debug ip dhcp snooping event
|
|
---|---|
次に、DHCPスヌーピング イベントのデバッギングをイネーブルにする例を示します。
次に、DHCPスヌーピング イベントのデバッギングをディセーブルにする例を示します。
DHCPスヌーピング メッセージをデバッグするには、 debug ip dhcp snooping packet コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
no debug ip dhcp snooping packet
|
|
---|---|
次に、DHCPスヌーピング パケットのデバッギングをイネーブルにする例を示します。
次に、DHCPスヌーピング パケットのデバッギングをディセーブルにする例を示します。
IP送信元ガード メッセージをデバッグするには、 debug ip verify source packet コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
no debug ip verify source packet
|
|
---|---|
次に、IP送信元ガードのデバッギングをイネーブルにする例を示します。
次に、IP送信元ガードのデバッギングをディセーブルにする例を示します。
ip dhcp snooping
ip dhcp snooping information option
ip dhcp snooping limit rate
ip dhcp snooping trust
ip verify source vlan dhcp-snooping (Cisco IOSのマニュアルを参照)
show ip dhcp snooping
show ip dhcp snooping binding
show ip verify source (Cisco IOSのマニュアルを参照)
LACPアクティビティをデバッグするには、 debug lacp コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug lacp [ all | event | fsm | misc | packet ]
|
|
---|---|
このコマンドをサポートするのはスーパバイザ エンジンだけです。また、このコマンドを入力できるのは、Catalyst 4500シリーズ スイッチ コンソールからに限ります。
次に、LACPの各種デバッギングをイネーブルにする例を示します。
モニタリング アクティビティを表示するには debug monitor コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug monitor { all | errors | idb-update | list | notifications | platform | requests }
no debug monitor { all | errors | idb-update | list | notifications | platform | requests }
すべてのSwitched Port Analyzer(SPAN;スイッチド ポート アナライザ)デバッギング メッセージを表示します。 |
|
|
|
---|---|
NVRAM(不揮発性RAM)アクティビティをデバッグするには、 debug nvram コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
|
|
---|---|
Port Aggregation Protocol(PAgP;ポート集約プロトコル)アクティビティをデバッグするには、 debug pagp コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug pagp [ all | event | fsm | misc | packet ]
|
|
---|---|
このコマンドをサポートするのはスーパバイザ エンジンだけです。また、このコマンドを入力できるのは、Catalyst 4500シリーズ スイッチ コンソールからに限ります。
次に、PAgPの各種デバッギングをイネーブルにする例を示します。
LACPプロトコル パケットをデバッグするには、 debug platform packet protocol lacp コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug platform packet protocol lacp [ receive | transmit | vlan ]
no debug platform packet protocol lacp [ receive | transmit | vlan ]
|
|
---|---|
次に、すべてのPMデバッギングをイネーブルにする例を示します。
undebug platform packet protocol lacp ( no debug platform packet protocol lacp と同じ)
Port Aggregation Protocol(PAgP;ポート集約プロトコル)のプロトコル パケットをデバッグするには、 debug platform packet protocol pagp コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug platform packet protocol pagp [ receive | transmit | vlan ]
no debug platform packet protocol pagp [ receive | transmit | vlan ]
|
|
---|---|
次に、すべてのPMデバッギングをイネーブルにする例を示します。
undebug platform packet protocol pagp ( no debug platform packet protocol pagp と同じ)
Port Manager(PM)アクティビティをデバッグするには、 debug pm コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug pm { all | card | cookies | etherchnl | messages | port | registry | scp | sm | span | split | vlan | vp }
no debug pm { all | card | cookies | etherchnl | messages | port | registry | scp | sm | span | split |vlan | vp }
|
|
---|---|
次に、すべてのPMデバッギングをイネーブルにする例を示します。
ポート セキュリティをデバッグするには、 debug psecure コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
|
|
---|---|
次に、すべてのPMデバッギングをイネーブルにする例を示します。
スーパバイザ エンジン冗長をデバッグするには、 debug redundancy コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドの no 形式を使用します。
debug redundancy { errors | fsm | kpa | msg | progression | status | timer }
|
|
---|---|
次に、冗長ファシリティ タイマー イベント デバッギングをデバッグする例を示します。
Software MAC Filter(SMF)アドレスの挿入と削除をデバッグするには、 debug smf updates コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
|
|
---|---|
スパニングツリー アクティビティをデバッグするには、 debug spanning-tree コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug spanning-tree { all | bpdu | bpdu-opt | etherchannel | config | events | exceptions |
general | mst | pvst+ | root | snmp }
no debug spanning-tree { all | bpdu | bpdu-opt | etherchannel | config | events | exceptions | general | mst | pvst+ | root | snmp }
スパニングツリーBridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)をデバッグします。 |
|
|
|
---|---|
次に、スパニングツリーPVST+をデバッグする例を示します。
スパニングツリーBackboneFastイベントのデバッギングをイネーブルにするには、 debug spanning-tree backbonefast コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug spanning-tree backbonefast [ detail | exceptions ]
no debug spanning-tree backbonefast
|
|
---|---|
このコマンドをサポートするのはスーパバイザ エンジンだけです。また、このコマンドを入力できるのは、Catalyst 4500シリーズ スイッチ コンソールからに限ります。
次に、デバッギングをイネーブルにして、スパニングツリーBackboneFastデバッギング情報を表示する例を示します。
undebug spanning-tree backbonefast ( no debug spanning-tree backbonefast と同じ)
スイッチ シム デバッギングをイネーブルにするには、 debug spanning-tree switch コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug spanning-tree switch { all | errors | general | pm | rx { decode | errors | interrupt |
process } | state | tx [ decode ]}
no debug spanning-tree switch { all | errors | general | pm | rx { decode | errors | interrupt |
process } | state | tx [ decode ]}
受信Bridge Protocol Data Unit(BPDU;ブリッジ プロトコル データ ユニット)処理デバッギング メッセージを表示します。 |
|
|
|
---|---|
このコマンドをサポートするのはスーパバイザ エンジンだけです。また、このコマンドを入力できるのは、スイッチ コンソールからに限ります。
次に、スパニングツリー スイッチ シム上で送信BPDUデバッギングをイネーブルにする例を示します。
undebug spanning-tree switch ( no debug spanning-tree switch と同じ)
スパニングツリーUplinkFastイベントのデバッギングをイネーブルにするには、 debug spanning-tree uplinkfast コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug spanning-tree uplinkfast [ exceptions ]
no debug spanning-tree uplinkfast
|
|
---|---|
このコマンドをサポートするのはスーパバイザ エンジンだけです。また、このコマンドを入力できるのは、スイッチ コンソールからに限ります。
次に、スパニングツリーUplinkFast例外をデバッグする例を示します。
undebug spanning-tree uplinkfast ( no debug spanning-tree uplinkfast と同じ)
VLAN(仮想LAN)マネージャ アクティビティをデバッグするには、 debug sw-vlan コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug sw-vlan { badpmcookies | events | management | packets | registries }
no debug sw-vlan { badpmcookies | events | management | packets | registries }
|
|
---|---|
次に、ソフトウェアVLANイベントをデバッグする例を示します。
VLAN(仮想LAN)マネージャCisco IOS File System(IFS; IOSファイル システム)エラー テストをイネーブルにするには、 debug sw-vlan ifs コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug sw-vlan ifs { open { read | write } | read { 1 | 2 | 3 | 4 } | write }
no debug sw-vlan ifs { open { read | write } | read { 1 | 2 | 3 | 4 } | write }
|
|
---|---|
• 操作 1 ― ヘッダー確認ワードおよびファイル確認番号を含むファイル ヘッダーを読み込みます。
• 操作 2 ― ドメインおよびVLAN情報のほとんどを含むファイルのメイン ボディを読み込みます。
次に、ファイル読み込み操作中にTLVデータ エラーをデバッグする例を示します。
ISL(スイッチ間リンク)VLAN(仮想LAN)IDのアクティベーションおよび非アクティベーションを追跡するデバッギング メッセージをイネーブルにするには、 debug sw-vlan notification コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug sw-vlan notification { accfwdchange | allowedvlancfgchange | fwdchange | linkchange | modechange | pruningcfgchange | statechange }
no debug sw-vlan notification { accfwdchange | allowedvlancfgchange | fwdchange | linkchange | modechange | pruningcfgchange | statechange }
集約アクセス インターフェイスSpanning-Tree Protocol(STP;スパニングツリー プロトコル)転送変更のVLANマネージャ通知をイネーブルにします。 |
|
|
|
---|---|
次に、ソフトウェアVLANインターフェイス モード変更通知をデバッグする例を示します。
undebug sw-vlan notification ( no debug sw-vlan notification と同じ)
VLAN Trunk Protocol(VTP;VLANトランク プロトコル)のプロトコル コードによって生成されるデバッギング メッセージをイネーブルにするには、 debug sw-vlan vtp コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug sw-vlan vtp { events | packets | pruning [ packets | xmit ] | xmit }
no debug sw-vlan vtp { events | packets | pruning [ packets | xmit ] | xmit }
|
|
---|---|
pruning を入力後、さらにパラメータを追加しない場合は、VTPプルーニング デバッギング メッセージが表示されます。
次に、ソフトウェアVLAN(仮想LAN)送信VTPパケットをデバッグする例を示します。
UniDirectional Link Detection Protocol(UDLD;単一方向リンク検出)アクティビティのデバッギングをイネーブルにするには、 debug udld コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug udld { events | packets | registries }
no debug udld { events | packets | registries }
パケット キューからパケットを受信するときのUDLDプロセスのデバッギングをイネーブルにして、UDLDプロトコル コードの要求によりパケットを送信しようとします。 |
|
UDLDプロセス依存モジュールおよび他の機能モジュールからのレジストリ アップコールを処理するときのUDLDプロセスのデバッギングをイネーブルにします。 |
|
|
---|---|
このコマンドをサポートするのはスーパバイザ エンジンだけです。また、このコマンドを入力できるのは、Catalyst 4500シリーズ スイッチ コンソールからに限ります。
次に、UDLDレジストリ イベントをデバッグする例を示します。
VLAN Query Protocol(VQP)をデバッグするには、 debug vqpc コマンドを使用します。デバッギング出力をディセーブルにするには、このコマンドのno形式を使用します。
debug vqpc [ all | cli | events | learn | packet ]
no debug vqpc [ all | cli | events | learn | packet ]
|
|
---|---|
次に、すべてのVQPデバッギングをイネーブルにする例を示します。
インターフェイスのマクロを作成するには、 define interface-range コマンドを使用します。
define interface-range macro-name interface-range
|
|
---|---|
マクロには最大5つまでのレンジを含むことができます。インターフェイス レンジはモジュールをまたがることはできません。
interface-range を入力するときは、次のフォーマットを使用します。
• interface-type { mod }/{ first-interface } - { last-interface }
• interface-type { mod }/{ first-interface } - { last-interface }
Switch(config)#
define
interface-range macro1 gigabitethernet 4/1-6, fastethernet 2/1-5
Switch(config)#
DHCPバインディングとの一致に基づいてAddress Resolution Protocol(ARP)パケットを拒否するには、 deny コマンドを使用します。アクセス リストから指定されたAccess Control Entry(ACE;アクセス制御エントリ)を削除するには、このコマンドの no 形式を使用します。
deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]
no deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]
|
|
---|---|
次に、MACアドレスが0000.0000.abcdで、IPアドレスが1.1.1.1であるホストの例を示します。次に、このホストからの要求および応答の両方を拒否する例を示します。
パケット メモリ障害を検出したときのスイッチのアクションを指示するには、 diagnostic monitor action コマンドを使用します。
diagnostic monitor action [ conservative | normal | aggressive ]
|
|
---|---|
問題を修復するためにスイッチを再起動したくない場合は、 conservative キーワードを使用します。
冗長スーパバイザ エンジンがある場合、またはネットワークレベルの冗長性が提供されている場合は、 aggressive キーワードを使用します。
次に、継続的な障害の発生時にRPRスイッチオーバーを開始するようにスイッチを設定する例を示します。
show diagnostic result module test 2
show diagnostic result module test 3
ポート単位でゲストVLAN(仮想LAN)をイネーブルにするには、 dot1x guest-vlan コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
ゲストVLANはアクセス ポートとして静的に設定されたスイッチ ポート上でのみ設定されます。
ゲストVLANには、トランク ポート、ダイナミック ポート、EtherChannelポート、またはSwitched Port Analyzer(SPAN;スイッチド ポート アナライザ)宛先ポートを持たないdot1xポートと同じ制限が適用されます。
次に、インターフェイスFastEthernet 4/3上でゲストVLANをイネーブルにする例を示します。
802.1xを再初期化する前にインターフェイスを無許可にするには、 dot1x initialize コマンドを使用します。
|
|
---|---|
次に、インターフェイス上で802.1xステート マシンを初期化する例を示します。
認証プロセスを再起動する前に、スイッチがEAP要求/IDフレームをクライアントに再送信する最大回数を設定するには、 dot1x max-reauth-req コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
このコマンドのデフォルト値の変更は、信頼性のないリンクや特定のクライアントおよび認証サーバの特殊な動作問題など、異常な状況を調整する場合だけ行うようにしてください。この設定は、dot1x非対応クライアントを設定した場合に、このクライアントがゲストVLAN(仮想LAN)に登録されるまでの待機時間に影響します。
次に、認証プロセスを再開するまでに、スイッチがEAP要求/IDフレームを再送信する回数を5回に設定する例を示します。
認証プロセスを再開する前にスイッチがEAP要求/ID以外のタイプのEAP要求フレームをクライアントに再送信する最大回数を設定するには、 dot1x max-req コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
認証プロセスを再開するまでにスイッチがEAP要求/IDフレーム以外のタイプのEAP要求フレームを再送信する回数です。指定できる値は1~10回です。 |
|
|
---|---|
このコマンドのデフォルト値の変更は、信頼性のないリンクや特定のクライアントおよび認証サーバの特殊な動作問題など、異常な状況を調整する場合だけ行うようにしてください。
次に、認証プロセスを再開するまでに、スイッチがEAP要求フレームを再送信する回数を5回に設定する例を示します。
dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている802.1x許可済みポート上で複数のホスト(クライアント)を許可するには、 dot1x multiple-hosts コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
このコマンドを使用すると、複数のホストを1つの802.1x対応ポートに接続できます。このモードで、すべてのホストにネットワーク アクセスが許可されるには、少なくとも接続ホストのいずれか1つが正常に許可される必要があります。ポートが無許可になると(再認証が失敗するか、Extensible Authentication Protocol over LAN [EAPOL]ログオフ メッセージを受信すると)、接続されたすべてのクライアントのネットワーク アクセスが拒否されます。
次に、GigabitEthernet 1/1上で802.1xをイネーブルにし、複数のポートを許可する例を示します。
show dot1x [ interface interface-id ]イネーブルEXECコマンドを入力すると、設定を確認できます。
ポート上での認証ステートの手動制御をイネーブルにするには、 dot1x port-control コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
dot1x port-control { auto | force-authorized | force-unauthorized }
no dot1x port-control { auto | force-authorized | force-unauthorized }
|
|
---|---|
802.1xプロトコルは、レイヤ2スタティック アクセス ポートおよびレイヤ3ルーテッド ポートの両方でサポートされています。
ポートが次のように設定されていない場合にだけ auto キーワードを使用できます。
• トランク ポート ― トランク ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートのモードをトランクに変更しようとしても、ポート モードは変更されません。
• ダイナミック ポート ― ダイナミック モードのポートは、近接ポートとネゴシエーションしてトランク ポートになる可能性があります。ダイナミック ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートのモードをダイナミックに変更しようとしても、ポート モードは変更されません。
• EtherChannelポート ― ポート上で802.1xをイネーブルにする前に、まずEtherChannelから削除する必要があります。EtherChannelまたはEtherChannelのアクティブ ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。EtherChannelの非アクティブ ポートで802.1xをイネーブルにしようとすると、ポートはEtherChannelに加入しません。
• Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)宛先ポート ― SPAN宛先ポートで802.1xをイネーブルにできますが、SPAN宛先として削除するまで802.1xはディセーブルに設定されます。SPAN送信元ポートでは、802.1xをイネーブルにできます。
スイッチで802.1xをグローバルにディセーブルにするには、各ポートでディセーブルにする必要があります。このタスクにはグローバル コンフィギュレーション コマンドはありません。
次に、GigabitEthernet 1/1上で802.1xをイネーブルにする例を示します。
show dot1x all または show dot1x interface int コマンドを入力してポート制御ステータスを表示すると、設定を確認できます。イネーブル化されたステータスとは、ポート制御値が auto または force-unauthorized に設定されることです。
手動ですべての802.1x対応ポートまたは指定された802.1x対応ポートの再認証を初期化するには、 dot1x re-authenticate コマンドを使用します。
dot1x re-authenticate [ interface interface-id ]
|
|
---|---|
再認証試行(re-authperiod)および自動再認証との間で設定された秒数を待たずにクライアントを再認証する場合に、このコマンドを使用できます。
次に、インターフェイスGigabitEthernet 1/1に接続された装置を手動で再認証する例を示します。
クライアントの定期的再認証をイネーブルにするには、 dot1x re-authentication コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
dot1x timeout re-authperiod グローバル コンフィギュレーション コマンドを使用すると、定期的再認証試行間隔の時間を設定できます。
次に、クライアントの定期的再認証をディセーブルにする例を示します。
次に、定期的再認証をイネーブルにし、再認証を試行する間隔を4,000秒に設定する例を示します。
スイッチで802.1x認証をイネーブルにするには、 dot1x system-auth-control コマンドを使用します。システムの802.1x認証をディセーブルにするには、このコマンドの no 形式を使用します。
no dot1x syst em-auth-co ntrol
|
|
---|---|
スイッチの任意のポートで802.1xアクセス制御を使用するには、 dot1x system-auth-control コマンドをイネーブルにする必要があります。このようにすると、802.1xアクセス制御を使用する各ポート上で、 dot1x port-control auto コマンドを使用できます。
再認証タイマーを設定するには、 dot1x timeout コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout { reauth-period seconds | quiet-period seconds | tx-period seconds |
supp-timeout seconds | server-timeout seconds }
no dot1x timeout { reauth-period | quiet-period | tx-period | supp-timeout | server-timeout }
|
|
---|---|
dot1x timeout re-authperiod コマンドを入力する前に定期的再認証をイネーブルにしておく必要があります。定期的再認証をイネーブルにするには、 dot1x re-authentication コマンドを入力します。
次に、要求を再送信するまでに、スイッチがクライアントからのEAP要求/IDフレームに対する応答を待機する秒数を60秒に設定する例を示します。
インターフェイス上でデュプレックス操作を設定するには、 duplex コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
|
|
---|---|
表 2-2 に、サポートされているコマンド オプションをインターフェイス別に示します。
16ポートRJ-45ギガビット イーサネット ポート上での伝送速度が 1000 に設定されている場合、デュプレックス モードは full に設定されます。伝送速度が 10 または 100 に変化した場合、デュプレックス モードは full のままです。伝送速度が1000 Mbpsから 10 または 100 に変化した場合、スイッチに正しいデュプレックス モードを設定する必要があります。
(注) Catalyst 4006スイッチは、いずれかの接続先インターフェイスがauto以外の値に設定されている場合、インターフェイス速度およびデュプレックス モードを自動ネゴシエーションできません。
表 2-3 に、デュプレックスおよび速度モードをさまざまに組み合わせた場合のシステム パフォーマンスを示します。 duplex コマンドと speed コマンドの設定により、表に示すアクションが行われます。
|
|
|
---|---|---|
Switch(config-if)#
duplex full
Switch(config-if)#
speed
interface (Cisco IOSのマニュアルを参照)
show controllers (Cisco IOSのマニュアルを参照)
show interfaces (Cisco IOSのマニュアルを参照)
エラー ディセーブル検出をイネーブルにするには、 errdisable detect コマンドを使用します。エラー ディセーブル検出機能をディセーブルにするには、このコマンドの no 形式を使用します。
errdisable detect cause { all | arp-inspection | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | pagp-flap }
no errdisable detect cause { all | arp-inspection | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | pagp-flap }
Address Resolution Protocol(ARP)インスペクション エラー ディセーブル原因の検出を指定します。 |
|
Port Aggregation Protocol(PAgP;ポート集約プロトコル)フラップ エラー ディセーブル原因の検出を指定します。 |
|
|
---|---|
原因(dtp-flap、link-flap、pagp-flap)は、エラー ディセーブル ステートが発生する理由として定義されます。原因が検出されたインターフェイスは、エラー ディセーブル ステート(リンク ダウン ステートに似た操作ステート)となります。
shutdown コマンドを入力し、次に no shutdown コマンドを入力して、インターフェイスをエラー ディセーブルから手動で回復する必要があります。
次に、リンク フラップ エラー ディセーブル原因のエラー ディセーブル検出をイネーブルにする例を示します。
Switch(config)#
errdisable detect cause link-flap
Switch(config)#
次に、Dynamic ARP Inspection(DAI;ダイナミックARPインスペクション)のエラー ディセーブル検出ステータスを表示する例を示します。
回復メカニズム変数を設定するには、 errdisable recovery コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
errdisable recovery [ cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | pagp-flap | pesecure-violation | security-violation | storm-control | udld | unicastflood | vmps } [ arp-inspection ] [ interval { interval }]]
no errdisable recovery [ cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | l2ptguard | link-flap | pagp-flap | pesecure-violation | security-violation | storm-control | udld | unicastflood | vmps } [ arp-inspection ] [ interval { interval }]]
|
|
---|---|
原因(bpduguard、dtp-flap、link-flap、pagp-flap、udld)は、エラー ディセーブル ステートが発生する理由として定義されます。原因が検出されたインターフェイスは、エラー ディセーブル ステート(リンク ダウン ステートに似た操作ステート)となります。その原因のエラー ディセーブル回復をイネーブルにしない場合、shutdownおよびno shutdownが発生するまでインターフェイスはエラー ディセーブル ステートのままです。原因の回復をイネーブルにした場合、インターフェイスはエラー ディセーブル ステートから抜け出し、すべての原因がタイムアウトになったときに動作を再開できるようになります。
shutdown コマンドを入力し、次に no shutdown コマンドを入力して、インターフェイスをエラー ディセーブルから手動で回復する必要があります。
次に、BPDUガード エラー ディセーブル原因の回復タイマーをイネーブルにする例を示します。
Switch(config)#
errdisable recovery cause bpduguard
Switch(config)#
Switch(config)#
errdisable recovery interval 300
Switch(config)#
次に、ARPインスペクションのエラーディセーブル回復をイネーブルにする例を示します。
ギガビット イーサネット インターフェイスがポーズ フレームを送信または受信するよう設定するには、 flowcontrol コマンドを使用します。フロー制御設定をディセーブルにするには、このコマンドの no 形式を使用します。
flowcontrol { receive | send } { off | on | desired }
no flowcontrol { receive | send } { off | on | desired }
ローカル ポートがリモート ポートからのポーズ フレームを受信して処理したり、リモート ポートへポーズ フレームを送信したりすることを禁止します。 |
|
ローカル ポートがリモート ポートからのポーズ フレームを受信して処理したり、リモート ポートへポーズ フレームを送信したりすることをイネーブルにします。 |
|
ギガビット イーサネット インターフェイスのデフォルト設定は次のとおりです。
• ポーズ フレームの送信 ― desired(ギガビット イーサネット インターフェイス)
• ポーズ フレームの受信 ― off(ギガビット イーサネット インターフェイス)
• ポーズ フレームの送信 ― on(オーバーサブスクライブ ギガビット イーサネット インターフェイス)
• ポーズ フレームの受信 ― desired(オーバーサブスクライブ ギガビット イーサネット インターフェイス)
表 2-4 に、モジュールのデフォルト設定を示します。
|
|
|
---|---|---|
|
|
---|---|
ポーズ フレームは、バッファがいっぱいであるために特定の期間フレームの送信を停止する信号を送信元に送る特殊なパケットです。
表 2-5 に、 flowcontrol コマンドと send キーワードおよび receive キーワードをさまざまな組み合わせで使用する場合の注意事項を示します。
表 2-6 では、速度設定に基づいてギガビット イーサネット インターフェイス上でフロー制御がどのように強制またはネゴシエーションされるのかを示します。
(注) ギガビット インターフェイス上にある場合に限り、Catalyst 4006スイッチはフロー制御をサポートします。
|
|
|
---|---|---|
次に、受信フロー制御をdesiredに設定する例を示します。
interface port-channel
interface range
interface vlan
flowcontrol
show running-config (Cisco IOSのマニュアルを参照)
speed
スロットまたは回線モジュールの電源をオフにするには、 no hw-module power コマンドを使用します。電源を再びオンにするには、 hw-module power コマンドを使用します。
hw-module [slot | module ] number power
no hw-module [slot | module ] number power
|
|
---|---|
次に、スロット5にあるモジュールの電源をオフにする方法を示します。
Supervisor Engine V-10GE1上で10ギガビット イーサネットまたはギガビット イーサネット アップリンクを選択するには、 hw-module uplink select コマンドを使用します。
hw-module uplink select { tengigabitethernet | gigabitethernet }
|
|
---|---|
アップリンク選択は初期化中ハードウェアにプログラムされるので、アクティブなアップリンクを変更するには設定を保存し、スイッチをリロードする必要があります。アップリンクへの変更を設定する場合、システムはスイッチをリロードする必要があることを通知するメッセージで応答し、スイッチをリロードするのに適切なコマンドを(冗長モードに応じて)使用するよう示します。
次に、ギガビット イーサネット アップリンクを選択する例を示します。
(注) ギガビット イーサネット アップリンクは、次にリロードしたあとでアクティブになります。
次に、SSOモードの冗長システムのギガビット イーサネット アップリンクを選択する例を示します。
(注) ギガビット イーサネット アップリンクは、シャーシ/シェルフを次にリロードしたあとでアクティブになります。シャーシ/シェルフをリロードするには、 redundancy reload shelf コマンドを使用します。
次に、RPRモードの冗長システムのギガビット イーサネット アップリンクを選択する例を示します。
(注) ギガビット イーサネットは、アクティブ スーパバイザ エンジンのスイッチオーバーまたはリロードが発生してもアクティブのままです。
1つまたは一連のVLAN(仮想LAN)をMSTインスタンスにマッピングするには、 instance コマンドを使用します。VLANを共通インスタンスのデフォルトに戻すには、このコマンドの no 形式を使用します。
instance instance-id { vlans vlan-range }
指定されたインスタンスにマッピングされるVLANの番号を指定します。番号は、1つの値または範囲として入力できます。設定できる値は1~4,094です。 |
|
|
---|---|
マッピングは増分であり、絶対値ではありません。VLANの範囲を入力した場合には、この範囲は既存のVLANに追加されるか、既存のVLANから削除されます。
次に、VLANの範囲をinstance 2にマッピングする例を示します。
次に、VLANをinstance 5にマッピングする例を示します。
次に、VLANの範囲をinstance 2からCISTインスタンスに移動する例を示します。
次に、instance 2にマッピングされているすべてのVLANを再びCISTインスタンスに移動する例を示します。
name
revision
show spanning-tree mst
spanning-tree mst configuration
設定するインターフェイスを選択し、インターフェイス コンフィギュレーション モードを開始するには、 interface コマンドを使用します。
設定するインターフェイスのタイプを指定します。有効値については、 表 2-7 を参照してください。 |
|
|
|
---|---|
|
|
---|---|
ギガビット イーサネットWAN IEEE 802.3zインターフェイス。Supervisor Engine 2を搭載したCatalyst 4500シリーズ スイッチでのみ、サポートされます。 |
|
Packet OC-3 interface on the Packet over SONET(POS)インターフェイス プロセッサ。Supervisor Engine 2を搭載したCatalyst 4500シリーズ スイッチでのみ、サポートされます。 |
|
Asynchronous Transfer Mode(ATM;非同期転送モード)インターフェイス。Supervisor Engine 2を搭載したCatalyst 4500シリーズ スイッチでのみ、サポートされます。 |
|
VLAN(仮想LAN)インターフェイス。 interface vlan コマンドを参照してください。 |
|
ポート チャネル インターフェイス。 interface port-channel コマンドを参照してください。 |
|
次に、インターフェイスFast Ethernet2/4上でインターフェイス設定モードを開始する例を示します。
ポートチャネル インターフェイスのアクセスまたは作成を行うには、 interface port-channel コマンドを使用します。
interface port-channel channel-group
|
|
---|---|
物理インターフェイスをチャネル グループに割り当てる前にポート チャネル インターフェイスを作成する必要はありません。ポート チャネル インターフェイスがまだ作成されていない場合には、チャネル グループの最初の物理インターフェイスが作成されたときに、ポート チャネル インターフェイスが自動的に作成されます。
interface port-channel コマンドを入力してポート チャネルを作成することもできます。この場合には、レイヤ3ポート チャネルが作成されます。レイヤ3ポート チャネルをレイヤ2ポート チャネルに変更するには、物理インターフェイスをチャネル グループに割り当てる前に switchport コマンドを使用してください。ポート チャネルにメンバー ポートがある場合には、ポート チャネルをレイヤ3からレイヤ2、またはレイヤ2からレイヤ3に変更することはできません。
1つのチャネル グループには、ポート チャネルは1つだけです。
Cisco Discovery Protocol(CDP)を使用したい場合は、物理ファスト イーサネット インターフェイス上でだけ設定する必要があります。ポート チャネル インターフェイス上で設定することはできません。
次に、チャネル グループ番号64でポート チャネル インターフェイスを作成する例を示します。
コマンドを複数のポートで同時に実行するには、 interface range コマンドを使用します。
interface range { vlan vlan_id - vlan_id } { port-range | macro name }
|
|
---|---|
interface range コマンドは、既存のVLAN SVI上でだけ使用できます。VLAN SVIを表示するには、 show running config コマンドを入力します。表示されないVLANは、 interface range コマンドで使用することはできません。
interface range コマンドとともに入力される値は、すべての既存のVLAN SVIに適用されます。
マクロを使用する前に、 define interface-range コマンドで範囲を定義する必要があります。
ポート範囲に対して行われるすべての設定変更はNVRAM(不揮発性RAM)に保存されますが、 interface range コマンドで作成されたポート範囲はNVRAMには保存されません。
ポートまたはポート範囲マクロ名のいずれかを指定できます。ポート範囲は、同じポート タイプで構成される必要があり、範囲内のポートはモジュールをまたがることはできません。
1つのコマンドで最大5つのポート範囲を定義できます。それぞれの範囲はカンマで区切ってください。
範囲を定義する場合は、最初のポートとハイフン(-)の間にスペースを挿入します。
port-range を入力するときは、次のフォーマットを使用します。
• interface-type { mod }/{ first-port } - { last-port }
• interface-type { mod }/{ first-port } - { last-port }
同じコマンドでマクロとインターフェイス範囲の両方を指定することはできません。マクロを作成したあとで、さらに範囲を入力できます。すでにインターフェイス範囲を入力している場合は、CLI(コマンドライン インターフェイス)でマクロを入力することはできません。
port-range 値に単一のインターフェイスを指定できます。この場合、このコマンドは interface interface-number コマンドと同様に機能します。
次に、 interface range コマンドをFE 5/18~20へのインターフェイスに使用する例を示します。
define interface-range
show running config (Cisco IOSのマニュアルを参照)
レイヤ3 Switch Virtual Interface(SVI;スイッチ仮想インターフェイス)の作成またはアクセスを行うには、 interface vlan コマンドを使用します。SVIを削除するには、このコマンドの no 形式を使用します。
|
|
---|---|
SVIは、特定の VLAN に最初に interface vlan vlan_id コマンドを入力したときに作成されます。
vlan_id 値は、ISL(スイッチ間リンク)または802.1Qカプセル化トランク上のデータ フレームに関連付けられるVLANタグまたはアクセス ポートに設定されたVLAN IDに対応します。VLANインターフェイスが新たに作成されたときには必ずメッセージが表示されるので、正しいVLAN番号が入力されたかどうかを確認できます。
no interface vlan vlan_id コマンドを入力してSVIを削除した場合、関連付けられたインターフェイスは強制的に管理上のダウン状態に設定され、削除とマークされます。削除されたインターフェイスは、show interfaceコマンドでは見ることはできません。
削除されたインターフェイスに interface vlan vlan_id コマンドを入力すると、削除されたSVIを元に戻すことができます。インターフェイスは戻りますが、以前の設定の多くは消失します。
次に、新しいVLAN 番号に interface vlan vlan_id コマンドを入力したときの出力例を示します。
Dynamic ARP Inspection(DAI;ダイナミックARPインスペクション)がイネーブルの場合にスタティックIP用に設定されたホストからのAddress Resolution Protocol(ARP)を許可したり、ARPアクセス リストを定義してVLAN(仮想LAN)に適用したりするには、ip arp inspection filter vlanコマンドを使用します。この適用をディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection filter arp-acl-name vlan vlan-range [ static ]
no ip arp inspection filter arp-acl-name vlan vlan-range [ static ]
|
|
---|---|
ARP ACLをVLANに適用してDAIを行う場合は、IP/イーサネットMAC(メディア アクセス制御)バインディングのみを含むARPパケットがACLと比較されます。それ以外のすべてのパケット タイプは、検証されずに、着信VLAN内でブリッジングされます。
このコマンドは、着信ARPパケットをARP ACLと比較し、ACLで許可されている場合のみパケットを許可するように指定します。
ACLの明示的な拒否によってパケットが拒否されると、そのパケットは廃棄されます。ACLがスタティックに適用されていない場合、暗黙的な拒否によってパケットが拒否されると、そのパケットはDHCPバインディングのリストと照合されます。
次に、DAI用にARP ACL[static-hosts]をVLAN 1に適用する例を示します。
インターフェイスの着信Address Resolution Protocol(ARP)要求および応答のレートを制限したり、DoS攻撃が発生した場合にDynamic ARP Inspection(DAI;ダイナミックARPインスペクション)によってシステム リソースがすべて消費されないようにするには、ip arp inspection limitコマンドを使用します。この制限を解除するには、このコマンドの no 形式を使用します。
ip arp inspection limit { rate pps | none } [ burst interval seconds ]
(任意)インターフェイスで高速ARPパケットをモニタするインターバルを秒単位で指定します。設定できるインターバルは1~15秒です。 |
1秒間に15台の新規ホストに接続するホストが配置されたスイッチド ネットワークの場合、信頼できないインターフェイスのレートは15パケット/秒に設定されます。
|
|
---|---|
トランク ポートは、集約が反映されるように、より大きなレートに設定する必要があります。着信パケットのレートがユーザが定義したレートを超えると、インターフェイスはエラーディセーブル ステートになります。エラーディセーブル タイムアウト機能を使用すると、ポートのエラーディセーブル ステートを解除できます。レートは信頼できるインターフェイスと信頼できないインターフェイスの両方に適用されます。複数のDAI対応VLAN(仮想LAN)でパケットを処理する場合は、トランクに適切なレートを設定します。レートを無制限に設定する場合は、noneキーワードを使用します。
チャネル ポートの着信ARPパケットのレートは、すべてのチャネル メンバーの着信パケット レートの合計と同じです。チャネル ポートのレート制限は、チャネル メンバーの着信ARPパケットを調べたあとにのみ設定してください。
バースト期間中に、設定されたレートを超えるレートでスイッチがパケットを受信した場合、インターフェイスはエラーディセーブル ステートになります。
次に、着信ARP要求のレートを25パケット/秒に制限する例を示します。
次に、着信ARP要求のレートを20パケット/秒に制限し、インターフェイス モニタリング インターバルを5秒間に設定する例を示します。
ロギング バッファに対応するパラメータを設定するには、ip arp inspection log-bufferコマンドを使用します。このパラメータをディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection log-buffer { entries number | logs number interval seconds }
no ip arp inspection log-buffer { entries | logs }
インターバル中に記録されるエントリ数です。有効範囲は、0~1,024です。値が0の場合は、エントリがこのバッファ外で記録されないことを意味します。 |
|
Dynamic ARP Inspection(DAI;ダイナミックARPインスペクション)がイネーブル化、拒否、または削除されると、 Address Resolution Protocol(ARP)パケットが記録されます。
|
|
---|---|
指定されたフロー内で最初に廃棄されたパケットは、即座に記録されます。同じフローの後続パケットは記録されますが、即座には記録されません。これらのパケットは、すべてのVLAN(仮想LAN)で共有されるログ バッファに登録されます。このバッファのエントリは、レート制御に基づいて記録されます。
次に、最大45のエントリを保持するようにロギング バッファを設定する例を示します。
次に、3秒間に10のログを記録するようにロギング レートを設定する例を示します。
着信Address Resolution Protocol(ARP)パケットを検査する一連のインターフェイスを判別する、ポート単位で設定可能な信頼状態を設定するには、ip arp inspection trustコマンドを使用します。インターフェイスを信頼できない状態にするには、このコマンドの no 形式を使用します。
|
|
---|---|
設定を確認するには、このコマンドのshow形式を使用します。
Address Resolution Protocol(ARP)インスペクションに関する特定のチェックを実行するには、ip arp inspection validateコマンドを使用します。チェックをディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection validate [ src-mac ] [ dst-mac ] [ ip ]
no ip arp inspection validate [ src-mac ] [ dst-mac ] [ ip ]
|
|
---|---|
チェックをイネーブルにする場合は、コマンド ラインに少なくとも1つのキーワード(src-mac、
dst-mac、およびip)を指定します。コマンドを実行するごとに、その前のコマンドの設定は上書きされます。srcおよびdst macの検証をイネーブルにするコマンドのあとに、IP検証のみをイネーブルにするコマンドを実行すると、2番めのコマンドによってsrcおよびdst macの検証がディセーブルになります。
このコマンドの no 形式を使用すると、指定されたチェックのみがディセーブルになります。どのチェック オプションもイネーブル化しない場合は、すべてのチェックがディセーブルになります。
VLAN(仮想LAN)単位でDynamic ARP Inspection(DAI;ダイナミックARPインスペクション)をイネーブルにするには、ip arp inspection vlanコマンドを使用します。DAIをディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection vlan vlan-range
no ip arp inspection vlan vlan-range
すべてのVLANで、Address Resolution Protocol(ARP)インスペクションはディセーブルです。
|
|
---|---|
DAIをイネーブルにするVLANを指定する必要があります。設定済みのVLANが作成されていない場合、または設定済みのVLANがプライベートの場合、DAIは機能しないことがあります。
記録するパケット タイプを制御するには、ip arp inspection vlan loggingコマンドを使用します。このロギング制御をディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection vlan vlan-range logging { acl-match { matchlog | none } | dhcp-bindings
{ permit | all | none }}
no ip arp inspection vlan vlan-range logging { acl-match | dhcp-bindings }
|
|
---|---|
acl-matchおよびdhcp-bindingsキーワードは、連携しています。ACL一致設定を設定すると、DHCPバインディング設定はイネーブルになります。このコマンドのno形式を使用すると、ロギング基準の一部がデフォルトにリセットされます。いずれのオプションも指定しない場合は、ARPパケットが拒否されると、すべてのロギング タイプが記録されるようにリセットされます。使用できるオプションは、次の2つです。
• acl-match ― 拒否されたパケットが記録されるように、ACLとの一致に関するロギングがリセットされます。
• dhcp-bindings ― 拒否されたパケットが記録されるように、DHCPバインディングとの比較に関するロギングがリセットされます。
次に、loggingキーワードを含むACLと一致した場合にパケットを追加するように、VLAN 1のARPインスペクションを設定する例を示します。
送信元および宛先IPアドレスに加えて送信元TCP/UDPポート、宛先TCP/UDPポート、またはその両方のポートをハッシュに含めることができるよう負荷分散ハッシュ機能を設定するには、 ip cef load-sharing algorithm コマンドを使用します。ポートを含まないデフォルトに戻るには、このコマンドの no 形式を使用します。
ip cef load-sharing algorithm { include-ports { source source | destination dest } | original | tunnel | universal }
no ip cef load-sharing algorithm { include-ports { source source | destination dest } | original | tunnel | universal }
(注) このオプションには、負荷分散ハッシュの送信元または宛先ポートは含まれません。
|
|
---|---|
originalアルゴリズム、tunnelアルゴリズム、およびuniversalアルゴリズムは、ハードウェアを通してルーティングされます。ソフトウェアによってパケットをルーティングする場合、アルゴリズムはソフトウェアで処理されます。 include-ports オプションは、ソフトウェアによってスイッチングされたトラフィックには適用されません。
次に、レイヤ4ポートを含むIP Cisco Express Forwarding(CEF)負荷分散アルゴリズムを設定する例を示します。
DHCPスヌーピングをグローバルにイネーブルにするには、 ip dhcp snooping コマンドを使用します。DHCPスヌーピングをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
---|---|
VLAN(仮想LAN)でDHCPスヌーピングを使用する前に、DHCPスヌーピングをグローバルにイネーブルにする必要があります。
次に、DHCPスヌーピングをディセーブルにする例を示します。
ip dhcp snooping information option
ip dhcp snooping limit rate
ip dhcp snooping trust
ip dhcp snooping vlan
show ip dhcp snooping
show ip dhcp snooping binding
再起動時にDHCPバインディングを復元するように、DHCPバインディング コンフィギュレーションを設定および生成するには、 ip dhcp snooping binding コマンドを使用します。バインディング コンフィギュレーションをディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping binding mac-address vlan vlan-# ip-address interface interface expiry seconds
no ip dhcp snooping binding mac-address vlan vlan-# ip-address interface interface
|
|
---|---|
このコマンドを使用してバインディングを追加または削除すると、バインディング データベースは変更済みとマークされ、書き込みが開始されます。
次に、VLAN 1のインターフェイスgi1/1に、有効期限が1,000秒のDHCPバインディング コンフィギュレーションを生成する例を示します。
Switch# ip dhcp snooping binding 0001.1234.1234 vlan 1 172.20.50.5 interface gi1/1 expiry 1000
ip dhcp snooping
ip dhcp snooping information option
ip dhcp snooping trust
ip dhcp snooping vlan
show ip dhcp snooping
show ip dhcp snooping binding
DHCPスヌーピングによって生成されたバインディングを保存するには、 ip dhcp snooping database コマンドを使用します。タイムアウトのリセット、書き込み遅延のリセット、またはURLによって指定されたエージェントの削除を行うには、このコマンドのno形式を使用します。
ip dhcp snooping database { url | timeout seconds | write-delay seconds }
no ip dhcp snooping database {timeout | write-delay}
• |
|
|
|
---|---|
NVRAM(不揮発性RAM)とブートフラッシュのストレージ容量には限りがあるため、ファイルをTrivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)サーバ上に保管することを推奨します。ファイルをTFTPによってアクセス可能なリモートの位置に保管しておくと、スイッチオーバーが発生した場合に、RPR冗長スーパバイザ エンジンがバインディング リストを引き継ぐことができます。
ネットワークベースURL(TFTPやFTP[ファイル転送プロトコル]など)の設定済みURLに一連のバインディングが書き込まれる前に、このURLに空のファイルを作成する必要があります。
次に、IPアドレス10.1.1.1のdirectoryという名前のディレクトリ内にデータベース ファイルを保存する例を示します。TFTPサーバにfileという名前のファイルが存在しなければなりません。
ip dhcp snooping
ip dhcp snooping binding
ip dhcp snooping information option
ip dhcp snooping trust
ip dhcp snooping vlan
show ip dhcp snooping
show ip dhcp snooping binding
DHCPオプション82データ挿入をイネーブルにするには、 ip dhcp snooping information option コマンドを使用します。DHCPオプション82データ挿入をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping information option
no ip dhcp snooping information option
|
|
---|---|
次に、DHCPオプション82データ挿入をイネーブルにする例を示します。
次に、DHCPオプション82データ挿入をディセーブルにする例を示します。
ip dhcp snooping
ip dhcp snooping limit rate
ip dhcp snooping trust
ip dhcp snooping vlan
show ip dhcp snooping
show ip dhcp snooping binding
インターフェイスが1秒あたりに受信することのできるDHCPメッセージの数を設定するには、 ip dhcp snooping limit rate コマンドを使用します。DHCPスヌーピング レート制限をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping limit rate rate
no ip dhcp snooping limit rate
|
|
---|---|
通常このレート制限は信頼できないインターフェイスに適用されます。信頼できるインターフェイスのレート制限を設定する場合、信頼できるインターフェイスはスイッチのすべてのDHCPトラフィックを集約するので、インターフェイス レート制限を大きい値に調整する必要があります。
次に、DHCPメッセージ レート制限をイネーブルにする例を示します。
次に、DHCPメッセージ レート制限をディセーブルにする例を示します。
ip dhcp snooping
ip dhcp snooping information option
ip dhcp snooping trust
ip dhcp snooping vlan
show ip dhcp snooping
show ip dhcp snooping binding
DHCPスヌーピングでインターフェイスを信頼できると設定するには、 ip dhcp snooping trust コマンドを使用します。インターフェイスを信頼できないように設定するには、このコマンドの no 形式を使用します。
|
|
---|---|
次に、インターフェイス上でDHCPスヌーピング信頼をイネーブルにする例を示します。
次に、インターフェイス上でDHCPスヌーピング信頼をディセーブルにする例を示します。
ip dhcp snooping
ip dhcp snooping information option
ip dhcp snooping limit rate
ip dhcp snooping vlan
show ip dhcp snooping
show ip dhcp snooping binding
VLAN(仮想LAN)上でDHCPスヌーピングをイネーブルにするには、 ip dhcp snooping vlan コマンドを使用します。VLAN上でDHCPスヌーピングをディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping [ vlan number ]
no ip dhcp snooping [ vlan number ]
|
|
---|---|
DHCPスヌーピングは、グローバル スヌーピングとVLANスヌーピングが両方ともイネーブルの場合のみ、VLAN上でイネーブルになります。
次に、DHCPスヌーピングをVLAN上でイネーブルにする例を示します。
次に、DHCPスヌーピングをVLAN上でディセーブルにする例を示します。
次に、DHCPスヌーピングをVLANグループ上でイネーブルにする例を示します。
次に、DHCPスヌーピングをVLANグループ上でディセーブルにする例を示します。
ip dhcp snooping
ip dhcp snooping information option
ip dhcp snooping limit rate
ip dhcp snooping trust
show ip dhcp snooping
show ip dhcp snooping binding
Internet Group Management Protocol(IGMP)プロファイルをインターフェイスに適用することにより、レイヤ2インターフェイス上のすべてのホストが1つまたは複数のIPマルチキャスト グループに加入できるかどうかを制御するには、 ip igmp filter コマンドを使用します。インターフェイスからプロファイルを削除するには、このコマンドの no 形式を使用します。
|
|
---|---|
IGMPフィルタはレイヤ2物理インターフェイスにだけ適用できます。IGMPフィルタはルーテッド ポート、Switch Virtual Interface(SVI;スイッチ仮想インターフェイス)、またはEtherChannelグループに属するポートに適用することはできません。
IGMPプロファイルは、1つまたは複数のスイッチ ポート インターフェイスに適用できますが、1つのポートには、1つのプロファイルしか適用できません。
次に、IGMPプロファイル22をインターフェイスに適用する例を示します。
レイヤ2インターフェイスが加入できるInternet Group Management Protocol(IGMP)グループの最大数を設定するには、 ip igmp max-groups コマンドを使用します。最大数をデフォルトに戻すには、このコマンドの no 形式を使用します。
インターフェイスが加入することのできるIGMPグループの最大数です。指定できる値は、0~4,294,967,294です。 |
|
|
---|---|
ip igmp max-groups コマンドは、レイヤ2物理インターフェイス上でだけ使用できます。IGMP最大グループは、ルーテッド ポート、Switch Virtual Interface(SVI;スイッチ仮想インターフェイス)、またはEtherChannelグループに属するポートに設定することはできません。
次に、インターフェイスが加入できるIGMPグループの数を25に制限する例を示します。
Internet Group Management Protocol(IGMP)プロファイルを作成するには、 ip igmp profile コマンドを使用します。IGMPプロファイルを削除するには、このコマンドの no 形式を使用します。
ip igmp profile profile number
no ip igmp profile profile number
|
|
---|---|
範囲を入力する場合、小さい方のIPマルチキャスト アドレスを入力してからスペースを入れ、大きい方のIPマルチキャスト アドレスを入力します。
IGMPプロファイルは1つまたは複数のレイヤ2インターフェイスに適用できますが、それぞれのインターフェイスにはプロファイルを1つしか適用できません。
次に、IPマルチキャスト アドレスの指定された範囲を許可するIGMPプロファイル40を設定する例を示します。
スイッチがInternet Group Management Protocol(IGMP)ホスト クエリ メッセージを送信する頻度を設定するには、 ip igmp query-interval コマンドを使用します。デフォルトの頻度に戻すには、このコマンドの no 形式を使用します。
ip igmp query-interval seconds
IGMPホスト クエリ メッセージを送信する頻度(秒)です。指定できる値は、IGMPスヌーピング モードによって異なります。詳細については、「使用上の注意事項」を参照してください。 |
|
|
---|---|
デフォルトのIGMPスヌーピング設定を使用する場合、指定できるクエリ インターバルは1~65,535秒です。デフォルト設定を変更して、CGMPをIGMPスヌーピング学習方式としてサポートする場合、指定できるクエリ インターバルは1~300秒です。
LANの指定スイッチだけが、IGMPホスト クエリ メッセージを送信します。IGMPバージョン1の場合、指定スイッチは、LAN上で実行するマルチキャスト ルーティング プロトコルにより選択されます。IGMPバージョン2の場合、指定クエリアはサブネット上のIPアドレスが最小のマルチキャスト スイッチです。
( ip igmp query-timeout コマンドによって制御される)タイムアウト期間クエリが送信されなかった場合、スイッチがクエリアとなります。
(注) タイムアウト期間を変更すると、マルチキャスト転送は深刻な影響を受けます。
次に、指定スイッチがIGMPホスト クエリ メッセージを送信する頻度を変更する例を示します。
Switch(config-if)#
ip igmp query-interval 120
Switch(config-if)#
ip igmp query-timeout (Cisco IOSのマニュアルを参照)
ip pim query-interval (Cisco IOSのマニュアルを参照)
show ip igmp groups (Cisco IOSのマニュアルを参照)
Internet Group Management Protocol(IGMP)スヌーピングをイネーブルにするには、 ip igmp snooping コマンドを使用します。IGMPスヌーピングをディセーブルにするには、このコマンドの no 形式を使用します。
ip igmp snooping [ tcn { flood query count count | query solicit }]
no ip igmp snooping [ tcn { flood query count count | query solicit }]
|
|
---|---|
tcn flood オプションは、レイヤ2スイッチ ポートおよびEtherChannelだけに適用されます。ルーテッド ポート、VLAN(仮想LAN)インターフェイス、またはレイヤ3チャネルには適用されません。
マルチキャスト ルータでは、ip igmp snoopingコマンドはデフォルトでディセーブルです。
(注) インターフェイス コンフィギュレーション モードでtcn floodオプションを使用できます。
Switch(config)#
ip igmp snooping
Switch(config)#
次に、IGMPスヌーピングをディセーブルにする例を示します。
Switch(config)#
no ip igmp snooping
Switch(config)#
次に、9つのトポロジー変更が発生したあとでスパニングツリー テーブルのネットワークへのフラッディングをイネーブルにする例を示します。
Switch(config)#
ip igmp snooping tcn flood query count 9
Switch(config)#
次に、スパニングツリー テーブルのネットワークへのフラッディングをディセーブルにする例を示します。
Switch(config)#
no ip igmp snooping tcn flood
Switch(config)#
Switch(config)#
ip igmp snooping tcn query solicit
Switch(config)#
Switch(config)#
no ip igmp snooping tcn query solicit
Switch(config)#
ip igmp snooping vlan immediate-leave
ip igmp snooping vlan mrouter
ip igmp snooping vlan static
レポート抑制をイネーブルにするには、 ip igmp snooping report-suppression コマンドを使用します。レポート抑制をディセーブルにして、レポートをマルチキャスト デバイスへ転送するには、このコマンドの no 形式を使用します。
ip igmp snooping report-suppression
no igmp snooping report-suppression
Internet Group Management Protocol(IGMP)スヌーピング レポート抑制はイネーブルです。
|
|
---|---|
ip igmp snooping report-suppressionコマンドがディセーブルの場合、すべてのIGMPレポートはマルチキャスト デバイスへ転送されます。
Switch(config)#
ip igmp snooping report-suppression
Switch(config)#
Switch(config)#
no
ip igmp snooping report-suppression
Switch(config)#
次に、レポート抑制のシステム ステータスを表示する例を示します。
Switch#
show ip igmp snoop
vlan 1
----------
IGMP snooping is globally enabled
IGMP snooping TCN solicit query is globally disabled
IGMP snooping global TCN flood query count is 2
IGMP snooping is enabled on this Vlan
IGMP snooping immediate-leave is disabled on this Vlan
IGMP snooping mrouter learn mode is pim-dvmrp on this Vlan
IGMP snooping is running in IGMP_ONLY mode on this Vlan
IGMP snooping report suppression is enabled on this Vlan
Switch#
ip igmp snooping vlan immediate-leave
ip igmp snooping vlan mrouter
ip igmp snooping vlan static
VLAN(仮想LAN)のInternet Group Management Protocol(IGMP)スヌーピングをイネーブルにするには、 ip igmp snooping vlan コマンドを使用します。IGMPスヌーピングをディセーブルにするには、このコマンドの no 形式を使用します。
no ip igmp snooping vlan vlan-id
|
|
---|---|
Catalyst 4006スイッチのIGMPスヌーピングをイネーブルにするには、まずマルチキャスト ルーティングのVLANインターフェイスを設定する必要があります。
次に、IGMPスヌーピングをVLAN上でイネーブルにする例を示します。
Switch(config)#
ip igmp snooping vlan 200
Switch(config)#
次に、IGMPスヌーピングをVLAN上でディセーブルにする例を示します。
Switch(config)#
no ip igmp snooping vlan 200
Switch(config)#
ip igmp snooping vlan immediate-leave
ip igmp snooping vlan mrouter
ip igmp snooping vlan static
VLAN(仮想LAN)単位で明示的なホスト追跡をイネーブルにするには、 ip igmp snooping vlan explicit-tracking コマンドを使用します。明示的なホスト追跡をディセーブルにするには、このコマンドの no 形式を使用します。
ip igmp snooping vlan vlan-id explicit-tracking
no ip igmp snooping vlan vlan-id explicit-tracking
|
|
---|---|
次に、インターフェイスVLAN 200でInternet Group Management Protocol(IGMP)の明示的なホスト追跡をディセーブルにし、設定を確認する例を示します。
show ip igmp snooping membership
clear ip igmp snooping statistics vlan (Cisco IOSのマニュアルを参照)
show ip igmp snooping statistics vlan (Cisco IOSのマニュアルを参照)
Internet Group Management Protocol(IGMP)即時脱退処理をイネーブルにするには、 ip igmp snooping vlan immediate-leave コマンドを使用します。即時脱退処理をディセーブルにするには、このコマンドの no 形式を使用します。
ip igmp snooping vlan vlan_num immediate-leave
no ip igmp snooping vlan vlan_num immediate-leave
|
|
---|---|
このコマンドを入力できるのは、グローバル コンフィギュレーション モードに限ります。
即時脱退機能の使用は、特定VLANのMAC(メディア アクセス制御)グループの単一レシーバーがある場合に限定してください。
次に、VLAN 4上でのIGMP即時脱退処理をイネーブルにする例を示します。
Switch(config)#
ip igmp snooping vlan 4 immediate-leave
Switch(config)#
次に、VLAN 4上でのIGMP即時脱退処理をディセーブルにする例を示します。
Switch(config)#
no ip igmp snooping vlan 4 immediate-leave
Switch(config)#
ip igmp snooping
ip igmp snooping vlan mrouter
ip igmp snooping vlan static
show ip igmp interface (Cisco IOSのマニュアルを参照)
show mac-address-table multicast
VLAN(仮想LAN)のマルチキャスト ルータ インターフェイスとしてレイヤ2インターフェイスをスタティックに設定するには、 ip igmp snooping vlan mrouter コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
ip igmp snooping vlan vlan-id mrouter { interface {{ fastethernet slot/port } | { gigabitethernet slot/port } | { tengigabitethernet slot/port } | { port-channel number }} |
{ learn { cgmp | pim-dvmrp }}
noip igmp snooping vlan vlan-id mrouter { interface {{ fastethernet slot/port } | { gigabitethernet slot/port } | { tengigabitethernet slot/port } | { port-channel number }} |
{ learn { cgmp | pim-dvmrp }}
|
|
---|---|
このコマンドを入力できるのは、グローバル コンフィギュレーション モードに限ります。
スイッチとのインターフェイスは、コマンドを入力するVLAN内になければなりません。スイッチは管理上のアップ状態にあり、ライン プロトコルもアップになっている必要があります。
CGMP学習方式により、制御トラフィックを減少させることができます。
次に、マルチキャスト スイッチへのネクスト ホップ インターフェイスを指定する例を示します。
Switch(config-if)#
ip igmp snooping 400 mrouter interface fastethernet 5/6
Switch(config-if)#
次に、マルチキャスト スイッチ学習方式を指定する例を示します。
Switch(config-if)#
ip igmp snooping 400 mrouter learn cgmp
Switch(config-if)#
ip igmp snooping
ip igmp snooping vlan immediate-leave
ip igmp snooping vlan static
show ip igmp snooping
show ip igmp snooping mrouter
レイヤ2インターフェイスをグループのメンバーとして設定するには、 ip igmp snooping vlan static コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
ip igmp snooping vlan vlan_num static mac-address { interface { fastethernet slot/port } | { gigabitethernet slot/port } | { tengigabitethernet slot/port } | { port-channel number }}
no ip igmp snooping vlan vlan_num static mac-address { interface { fastethernet slot/port } | { gigabitethernet slot/port } | { tengigabitethernet mod/interface-number } | { port-channel number }}
|
|
---|---|
次に、インターフェイスでホストをスタティックに設定する例を示します。
Switch(config)#
ip igmp snooping vlan 4 static 0100.5e02.0203 interface fastethernet 5/11
Configuring port FastEthernet5/11 on group 0100.5e02.0203 vlan 4
Switch(config)#
ip igmp snooping
ip igmp snooping vlan immediate-leave
ip igmp snooping vlan mrouter
show mac-address-table multicast
ローカル プロキシAddress Resolution Protocol(ARP)機能をイネーブルにするには、ip local-proxy-arp コマンドを使用します。ローカル プロキシARP機能をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
---|---|
この機能は、ホストが接続されているスイッチに直接通信することが意図的に禁止されているサブネット上でだけ使用されます。
Internet Control Message Protocol(ICMP)リダイレクトは、ローカル プロキシARP機能がイネーブルのインターフェイス上でディセーブルです。
次に、ローカル プロキシARP機能をイネーブルにする例を示します。
Switch(config-if)#
ip local-proxy-arp
Switch(config-if)#
MFIB高速廃棄をイネーブルにするには、 ip mfib fastdrop コマンドを使用します。MFIB高速廃棄をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
---|---|
IPルーティングのNetFlow統計情報をイネーブルにするには、 ip route-cache flow コマンドを使用します。NetFlow統計情報をディセーブルにするには、このコマンドの no 形式を使用します。
ip route-cache flow [ infer-fields ]
no ip route-cache flow [ infer-fields ]
(任意)ソフトウェアによって推測された場合に、入力ID、出力ID、ルーティング情報といったNetFlowフィールドを含めます。 |
|
|
---|---|
これらのコマンドを使用するには、Supervisor Engine IVおよびNetFlow Service Cardを搭載する必要があります。
NetFlow統計機能は、一連のトラフィック統計情報を取得します。これらのトラフィック統計情報には、送信元IPアドレス、宛先IPアドレス、レイヤ4ポート情報、プロトコル、入出力IDなど、ネットワークの分析、計画、アカウンティング、課金、およびDoS攻撃の識別に使用可能な情報が含まれます。
NetFlowスイッチングは、すべてのインターフェイス タイプのIPトラフィックおよびIPカプセル化トラフィックでサポートされます。
ip route-cache flowコマンドのあとにip route-cache flow infer-fieldsコマンドを入力すると、既存のキャッシュが消去されます。この逆も同様です。これは、キャッシュ内に推測フィールドを持つフローと持たないフローが混在しないようにするためです。
NetFlowスイッチングの詳細については、『 Catalyst 4500 Series Switch Cisco IOS Software Configuration Guide 』を参照してください。
(注) NetFlowは他のスイッチング モデルよりも多くのメモリおよびCPUリソースを消費します。NetFlowをイネーブルにする前に、スイッチに必要なリソースを把握する必要があります。
次に、スイッチでNetFlowスイッチングをイネーブルにする例を示します。
(注) このコマンドは、インターフェイス単位では機能しません。
スタティックIP送信元バインディング エントリを追加または削除するには、ip source bindingコマンドを使用します。対応するIP送信元バインディング エントリを削除するには、このコマンドの no 形式を使用します。
ip source binding ip-address mac-address vlan vlan-id interface interface-name
no ip source binding ip-address mac-address vlan vlan-id interface interface-name
|
|
---|---|
ip source binding コマンドは、スタティックIP送信元バインディング エントリの追加のみを行います。
このコマンドのno形式は、対応するIP送信元バインディング エントリを削除します。削除を正常に行うには、すべての必須パラメータを一致させる必要があります。
各スタティックIPバインディング エントリは、MACアドレスおよびVLAN番号で指定されます。CLI(コマンドライン インターフェイス)に既存のMACおよびVLANを含めると、既存のバインディング エントリが新しいパラメータで更新されます。別のバインディング エントリは作成されません。
次に、スタティックIP送信元バインディングを設定する例を示します。
レイヤ2でスイッチングされたIPv4パケットのIPヘッダー検証をイネーブルにするには、 ip verify header vlan all コマンドを使用します。IPヘッダー検証をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
---|---|
このコマンドはレイヤ3でスイッチング(ルーティング)されたパケットには適用されません。
Catalyst 4500シリーズ スイッチは、スイッチングされたすべてのIPv4パケットのIPv4ヘッダーについて、次のフィールドの有効性を調べます。
• 全体長がヘッダー長の4倍以上であり、かつレイヤ2パケット サイズからレイヤ2カプセル サイズを引いた値よりも大きいこと
IPv4パケットのIPヘッダー検証に失敗した場合、パケットは廃棄されます。ヘッダー検証をディセーブルにすると、IPヘッダーが無効なパケットはブリッジングされますが、ルーティングが必要な場合であってもルーティングされません。また、IPv4アクセス リストもIPヘッダーに適用されません。
次に、レイヤ2でスイッチングされたIPv4パケットのIPヘッダー検証をディセーブルにする例を示します。
信頼できないレイヤ2インターフェイス上のDHCPスヌーピングによって、IP送信元ガードをイネーブルにするには、 ip verify source vlan dhcp-snooping コマンドを使用します。信頼できないレイヤ2インターフェイス上のDHCPスヌーピングによって、IP送信元ガードをディセーブルにするには、このコマンドの no 形式を使用します。
ip verify source vlan dhcp-snooping [port-security]
no ip verify source vlan dhcp-snooping [port-security]
(任意)ポート セキュリティ機能を使用して、送信元IPアドレスおよびMAC(メディア アクセス制御)アドレスを両方ともフィルタリングします。 |
|
|
---|---|
次にVLAN 10~20のDHCPスヌーピング セキュリティをイネーブルにする例を示します。
debug ip verify source packet (Cisco IOSのマニュアルを参照)
ip dhcp snooping
ip dhcp snooping limit rate
ip dhcp snooping information option
ip dhcp snooping trust
ip source binding (Cisco IOSのマニュアルを参照)
show ip dhcp snooping
show ip dhcp snooping binding
show ip verify source (Cisco IOSのマニュアルを参照)
show ip source binding (Cisco IOSのマニュアルを参照)
インターフェイスのプロトコル トンネリングをイネーブルにするには、 l2protocol-tunnel コマンドを使用します。Cisco Discovery Protocol(CDP)、Spanning-Tree Protocol(STP;スパニング ツリー プロトコル)、またはVLAN Trunking Protocol(VTP;VLANトランキング プロトコル)のパケットのトンネリングをイネーブルにできます。インターフェイスのトンネリングをディセーブルにするには、このコマンドの no 形式を使用します。
l2protocol-tunnel [ cdp | stp | vtp ]
no l2protocol-tunnel [ cdp | stp | vtp ]
|
|
---|---|
レイヤ2パケットをトンネリングするには、プロトコル タイプを指定して、または指定せずに、このコマンドを入力する必要があります。
サービス プロバイダー ネットワーク全体に渡るレイヤ2プロトコル トンネリングは、レイヤ2情報がネットワーク経由ですべてのカスタマーの場所へ伝播されるように保証します。プロトコル トンネリングがイネーブルの場合、プロトコル パケットは既知のシスコ マルチキャスト アドレスを使ってカプセル化され、ネットワーク全体へ送信されます。パケットがそれぞれの宛先に到達すると、既知のMAC(メディア アクセス制御)アドレスはレイヤ2プロトコルMACアドレスによって置き換えられます。
レイヤ2プロトコル トンネリングは、CDP、STP、およびVTPに対して個別にイネーブルにすることもできれば、3つすべてのプロトコルに対してイネーブルにすることもできます。
次に、CDPパケットのプロトコル トンネリングをイネーブルにする例を示します。
S
witch(config-if)# l2protocol-tunnel cdp
S
witch(config-if)#
l2protocol-tunnel cos
l2protocol-tunnel drop-threshold
l2protocol-tunnel shutdown-threshold
トンネリングされるレイヤ2プロトコル パケットすべてに対してClass of Service(CoS;サービス クラス)値を設定するには、 l2protocol-tunnel cos コマンドを使用します。デフォルト値のゼロに戻すには、このコマンドの no 形式を使用します。
トンネリングされるレイヤ2プロトコル パケットのCoSプライオリティ値を指定します。有効範囲は0~7です。7が最高プライオリティになります。 |
デフォルトでは、インターフェイス上でデータに設定されたCoS値を使用します。CoS値が設定されていない場合、すべてのトンネリングされるレイヤ2プロトコル パケットのデフォルト値は5です。
|
|
---|---|
次に、レイヤ2プロトコル トンネルのCoS値を7に設定する例を示します。
S
witch(config)# l2protocol-tunnel cos 7
S
witch(config)#
l2protocol-tunnel
l2protocol-tunnel drop-threshold
l2protocol-tunnel shutdown-threshold
インターフェイスがパケットを廃棄する前に受信される最大レート(1秒あたりのレイヤ2プロトコル パケット数)に対して廃棄スレッシュホールドを設定するには、 I2protocol-tunnel
drop-threshold コマンドを使用します。Cisco Discovery Protocol(CDP)、Spanning-Tree Protocol(STP;スパニング ツリー プロトコル)、またはVLAN Trunking Protocol(VTP;VLANトランキング プロトコル)のパケットに対して廃棄スレッシュホールドを設定できます。インターフェイス上で廃棄スレッシュホールドをディセーブルにするには、このコマンドの no 形式を使用します。
l2protocol-tunnel drop -threshold [ cdp | stp | vtp ] value
no l2protocol-tunnel drop -threshold [ cdp | stp | vtp ] value
インターフェイスがシャットダウンする前にカプセル化のために受信される1秒あたりのパケット数のスレッシュホールドを指定するか、または、インターフェイスがパケットを廃棄する前のスレッシュホールドを指定します。有効範囲は1~4,096です。デフォルトでは、スレッシュホールドはありません。 |
|
|
---|---|
l2protocol-tunnel drop-threshold コマンドは、インターフェイスがパケットを廃棄する前に、インターフェイスで受信される1秒あたりのプロトコル パケット数を制御します。プロトコル オプションにキーワードが指定されていない場合、スレッシュホールドはトンネリングされるレイヤ2プロトコルの各タイプに適用されます。また、インターフェイスにシャットダウン スレッシュホールドも設定されている場合、廃棄スレッシュホールド値はシャットダウンスレッシュホールドの値以下でなければなりません。
廃棄スレッシュホールドに達すると、インターフェイスは、受信レートが廃棄スレッシュホールドを下回るまで、レイヤ2プロトコル パケットを廃棄します。
次に、廃棄スレッシュホールド レートを設定する例を示します。
S
witch(config-if)# l2protocol-tunnel drop-threshold cdp 50
S
witch(config-if)#
l2protocol-tunnel
l2protocol-tunnel cos
l2protocol-tunnel shutdown-threshold
プロトコル トンネリングのカプセル化レートを設定するには、 I2protocol-tunnel shutdown-threshold コマンドを使用します。Cisco Discovery Protocol(CDP)、Spanning-Tree Protocol(STP;スパニング ツリー プロトコル)、またはVLAN Trunking Protocol(VTP;VLANトランキング プロトコル)のパケットに対してカプセル化レートを設定できます。カプセル化レートをインターフェイス上でディセーブルにするには、このコマンドの no 形式を使用します。
l2protocol-tunnel shutdown-threshold [ cdp | stp | vtp ] value
no l2protocol-tunnel shutdown-threshold [ cdp | stp | vtp ] value
インターフェイスがシャットダウンする前に、カプセル化のために受信される1秒あたりのパケット数のスレッシュホールドを指定します。有効範囲は1~4,096です。デフォルトでは、スレッシュホールドはありません。 |
|
|
---|---|
l2-protocol-tunnel shutdown-threshold コマンドは、インターフェイスがシャット ダウンする前に、インターフェイスで受信される1秒あたりのプロトコル パケット数を制御します。プロトコル オプションにキーワードが指定されていない場合、スレッシュホールドはトンネリングされるレイヤ2プロトコルの各タイプに適用されます。また、インターフェイスに廃棄スレッシュホールドも設定されている場合、シャットダウン スレッシュホールド値は廃棄スレッシュホールドの値以上でなければなりません。
シャットダウン スレッシュホールドに達すると、インターフェイスはエラー ディセーブルになります。 errdisable recovery cause l2ptguard コマンドを入力してエラー回復をイネーブルにした場合は、インターフェイスはエラーディセーブル状態を抜け、すべての原因がタイム アウトになった時点で操作を再試行できるようになります。エラー回復機能生成が l2ptguard に対してイネーブルでない場合は、 shutdown コマンドおよび no shutdown コマンドを入力するまで、インターフェイスはエラーディセーブル状態のままです。
S
witch(config-if)# l2protocol-tunnel shutdown-threshold cdp 50
S
witch(config-if)#
l2protocol-tunnel
l2protocol-tunnel cos
l2protocol-tunnel shutdown-threshold
物理インターフェイスのLACPプライオリティを設定するには、 lacp port-priority コマンドを使用します。
|
|
---|---|
このコマンドは、Supervisor Engine Iが搭載されているシステムではサポートされません。
スイッチの各ポートにポート プライオリティを割り当てるには、自動指定するか、または lacp port-priority コマンドを入力して指定する必要があります。ポート プライオリティとポート番号を組み合わせて、ポートIDが形成されます。ハードウェアの制限により互換性のあるすべてのポートを集約できない場合は、ポート プライオリティを使用して、スタンバイ モードにする必要があるポートを決定します。
このコマンドはグローバル コンフィギュレーション コマンドですが、 priority 値はLACP対応の物理インターフェイスを持つポート チャネルでのみサポートされます。このコマンドはLACP対応インターフェイスでサポートされます。
次に、インターフェイスのプライオリティを設定する例を示します。
channel-group
channel-protocol
lacp system-priority
show lacp
LACPのシステム プライオリティを設定するには、 lacp system-priority コマンドを使用します。
|
|
---|---|
このコマンドは、Supervisor Engine Iが搭載されているシステムではサポートされません。
LACPが稼働する各スイッチにシステム プライオリティを割り当てるには、自動指定するか、または lacp system-priority コマンドを入力して指定する必要があります。システム プライオリティとMAC(メディア アクセス制御)アドレスを組み合わせて、システムIDが形成されます。システム プライオリティは、他のシステムとのネゴシエーションでも使用されます。
このコマンドはグローバル コンフィギュレーション コマンドですが、 priority 値はLACP対応の物理インターフェイスを持つポート チャネルでサポートされます。
プライオリティを設定する場合は、値が大きいほど、プライオリティは低くなります。
lacp system-priority コマンドは、インターフェイス コンフィギュレーション モードで入力することもできます。このコマンドの入力後、システムはデフォルトでグローバル コンフィギュレーション モードになります。
拡張MAC(メディア アクセス制御)アクセス リストを定義するには、 mac access-list extended コマンドを使用します。MACアクセス リストを削除するには、このコマンドの no 形式を使用します。
no mac access-list extended name
|
|
---|---|
• 最大31文字で、a~z、A~Z、0~9、ダッシュ文字(-)、アンダースコア(_)、ピリオド文字(.)を含むことができます。
• 英文字で始まり、すべてのタイプのすべてのACLで一意である必要があります。
• キーワードは使用できません。避けるべきキーワードは、all、default-action、map、help、およびeditbufferです。
mac access-list extended nameコマンドを入力した場合に、MACレイヤ アクセス リストのエントリを作成または削除するには、[ no ] { permit | deny } {{ src-mac mask | any } [ dest-mac mask ]}
[ protocol-family { appletalk | arp-non-ipv4 | decnet | ipx | ipv6 | rarp-ipv4 | rarp-non-ipv4 | vines | xns }] サブセットを使用します。
表 2-8 に、mac access-list extended サブコマンド の構文を示します。
|
|
---|---|
次の形式の送信元MACアドレスです。 |
|
(任意)次の形式の宛先MACアドレスです。 |
|
(任意)プロトコル ファミリー名です。 表 2-9 で、特定のプロトコル ファミリーにマッピングされるパケットについて説明します。 |
表 2-9 に、イーサネット パケットのプロトコル ファミリーへのマッピングを示します。
|
|
---|---|
src-mac mask または dest-mac mask 値を入力した場合は、次の注意事項に従います。
• MACアドレスは、0030.9629.9f84などのドット付き16進表記で3つの4バイト値として入力します。
• MACアドレス マスクは、ドット付き16進表記で3つの4バイト値として入力します。1ビットをワイルドカードとして使用します。たとえば、アドレスを完全に一致させるには、
0000.0000.0000を使用します(0.0.0として入力できます)。
• 省略可能な protocol パラメータについては、ethertypeまたはキーワードのいずれかを入力できます。
• protocol パラメータなしのエントリはどのプロトコルとも一致します。
• アクセス リスト エントリは入力順にスキャンされます。最初に一致したエントリが使用されます。パフォーマンスを高めるには、アクセス リストの最初のあたりに、最も一般に使用されるエントリを置きます。
• リストの最後に明示的な permit any any エントリを含めなかった場合、アクセス リストの最後には暗示的な deny any any エントリが存在します。
次に、0000.4700.0001から0000.4700.0009へのトラフィックを拒否し、それ以外のすべてのトラフィックを許可する、mac_layerという名前のMACレイヤ アクセス リストを作成する例を示します。
レイヤ2テーブルでエントリのエージング タイムを設定するには、 mac-address-table aging-time コマンドを使用します。 seconds 値をデフォルト設定にリセットするには、このコマンドの no 形式を使用します。
mac-address-table aging-time seconds [ vlan vlan_id ]
no mac-address-table aging-time seconds [ vlan vlan_id ]
|
|
---|---|
Switch(config)#
mac-address-table aging-time 400
Switch(config)#
Switch(config)#
mac-address-table aging-time 0
Switch(config)
VLAN(仮想LAN)インターフェイスのスタティックMAC(メディア アクセス制御)アドレスの設定や、VLANインターフェイスのMACアドレスに対するユニキャスト トラフィックの廃棄を行うには、 mac-address-table static コマンドを使用します。スタティックMACアドレス設定を削除するには、このコマンドの no 形式を使用します。
mac-address-table static mac-addr { vlan vlan-id } { interface type | drop }
no mac-address-table static mac-addr { vlan vlan-id } { interface type } { drop }
インターフェイスのタイプおよび番号です。有効なオプションは FastEthernet および GigabitEthernet です。 |
|
|
|
---|---|
導入されたスタティックMACアドレスは、ポートに関連付けられます。
指定する出力インターフェイスは、Switch Virtual Interface(SVI;スイッチ仮想インターフェイス)ではなく、レイヤ2インターフェイスである必要があります。
プロトコル タイプを入力しない場合、4つのプロトコル タイプごとに、エントリが1つ自動作成されます。
このコマンドの no 形式を入力しても、システムMACアドレスは削除されません。
MACアドレスを削除するときには、 interface int の入力は省略できます。ユニキャスト エントリの場合、エントリは自動的に削除されます。マルチキャスト エントリの場合、インターフェイスを指定しないとエントリ全体が削除されます。インターフェイスを指定することにより、削除する選択ポートを指定できます。
次に、MACアドレス テーブルへのスタティック エントリを追加する例を示します。
Switch(config)#
mac-address-table static 0050.3e8d.6400 vlan 100 interface fastethernet5/7
Switch(config)#
次に、スタティックMACアドレスを設定し、指定されたアドレスに対してInternet Group Management Protocol(IGMP)スヌーピングをディセーブルにする例を示します。
Switch(config)#
mac-address-table static 0050.3e8d.6400 vlan 100 interface fastethernet5/7 disable-snooping
Switch(config)#
スイッチ ポートを標準デスクトップへ接続するのに適したシスコ推奨機能および設定値をイネーブルにするには、 macro apply cisco-desktop コマンドを使用します。
macro apply cisco-desktop $AVID access_vlanid
|
|
このコマンドは、表示および適用のみが可能で、変更はできません。
インターフェイスの既存の設定が目的とするマクロ設定と競合しないように確認してください。マクロを適用する前に、default interfaceコマンドを使用してインターフェイスの設定をクリアします。
次に、ポートFastEthernet2/1でシスコ推奨機能および設定値をイネーブルにする例を示します。
macro apply cisco-phone
macro apply cisco-router
macro apply cisco-switch
スイッチ ポートを標準デスクトップおよびCisco IP Phoneへ接続するのに適したシスコ推奨機能および設定値をイネーブルにするには、 macro apply cisco-phone コマンドを使用します。
macro apply cisco-phone $AVID access_vlanid $VVID voice_vlanid
|
|
このコマンドは、表示および適用のみが可能で、変更はできません。
インターフェイスの既存の設定が目的とするマクロ設定と競合しないように確認してください。マクロを適用する前に、default interfaceコマンドを使用してインターフェイスの設定をクリアします。
次に、ポートFastEthernet2/1でシスコ推奨機能および設定値をイネーブルにする例を示します。
macro apply cisco-desktop
macro apply cisco-router
macro apply cisco-switch
スイッチ ポートをルータへ接続するのに適したシスコ推奨機能および設定値をイネーブルにするには、 macro apply cisco-router コマンドを使用します。
macro apply cisco-router $NVID native_vlanid
|
|
このコマンドは、表示および適用のみが可能で、変更はできません。
インターフェイスの既存の設定が目的とするマクロ設定と競合しないように確認してください。macro apply cisco-routerコマンドを適用する前に、default interfaceコマンドを使用してインターフェイスの設定をクリアします。
次に、ポートFastEthernet2/1でシスコ推奨機能および設定値をイネーブルにする例を示します。
macro apply cisco-desktop
macro apply cisco-phone
macro apply cisco-switch
スイッチ ポートを別のスイッチへ接続するのに適したシスコ推奨機能および設定値をイネーブルにするには、 macro apply cisco-switch コマンドを使用します。
macro apply cisco-switch $NVID native_vlanid
|
|
このコマンドは、表示および適用のみが可能で、変更はできません。
インターフェイスの既存の設定が目的とするマクロ設定と競合しないように確認してください。このマクロを適用する前に、default interfaceコマンドを使用してインターフェイスの設定をクリアします。
次に、ポートFastEthernet2/1でシスコ推奨機能および設定値をイネーブルにする例を示します。
macro apply cisco-desktop
macro apply cisco-phone
macro apply cisco-router
メインCPUサブモードを開始し、2つのスーパバイザ エンジン上の設定を手動で同期化するには、 main-cpu コマンドを使用します。
|
|
---|---|
メインCPUサブモードは、2つのスーパバイザ エンジン上の設定を手動で同期するのに用いられます。
auto-sync コマンドは、メインCPUサブモードからNVRAM(不揮発性RAM)内のコンフィギュレーション ファイルの自動同期をイネーブルにします。
(注) メインCPUサブモードを開始したあとで、auto-syncコマンドを使用して、プライマリ コンフィギュレーションに基づきプライマリおよびセカンダリのルート プロセッサの設定を自動的に同期化できます。さらに、メインCPUに適用可能な冗長コマンドのすべてを使用できます。
次に、auto-sync standardコマンドを使用してデフォルトの自動同期化機能をイネーブルに戻して、アクティブ スーパバイザ エンジンのstartup-configおよびconfig-registerコンフィギュレーションをスタンバイ スーパバイザ エンジンと同期させる例を示します。ブート変数の更新は自動的に行われるため、ディセーブルにできません。
VLAN(仮想LAN)アクセス マップ シーケンスの1つまたは複数のAccess Control List(ACL;アクセス制御リスト)を選択することにより、match節を指定するには、 match サブコマンドを使用します。match節を削除するには、このコマンドの no 形式を使用します。
match { ip address { acl-number | acl-name }} | { mac address acl-name }
no match { ip address { acl-number | acl-name }} | { mac address acl-name }
(注) match節が指定されていない場合は、VLANアクセス マップ シーケンスのアクションがすべてのパケットに適用されます。すべてのパケットが、アクセス マップのシーケンスとマッチングされます。
VLANアクセス マップ シーケンスのIP ACLを1つまたは複数選択します。指定できる値は、1~199および1,300~2,699です。 |
|
|
|
---|---|
match節は、トラフィック フィルタリングのIPまたはMAC ACLを指定します。
IPパケットの場合、MACシーケンスは有効ではありません。IPパケットはIP match節によってアクセス制御が行われます。
設定に関する注意事項および制限については、『 Catalyst 4500 Series Switch Cisco IOS Software Configuration Guide 』を参照してください。
match 節情報の詳細については、『 Cisco IOS Command Reference 』のマニュアルを参照してください。
次に、VLANアクセス マップのmatch節を定義する例を示します。
一意の送信元または宛先アドレスのあるフローを新規フローとして処理するように一致基準を指定するには、 match flow ip コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
match flow ip { source - address | destination - address }
no match flow ip { source - address | destination - address }
|
|
---|---|
source-addressキーワードを指定すると、一意の送信元アドレスのある各フローは新規フローとして処理されます。destination-addressキーワードを指定すると、一意の宛先アドレスのある各フローは新規フローとして処理されます。
使用するクラス マップ上のflowキーワードを設定する場合、ポリシー マップは フローベースの ポリシー マップといいます。フローベースのポリシー マップを子として集約ポリシー マップに対応付けるには、 service - policy コマンドを使用します。
(注) match flow コマンドは、Supervisor Engine VI(WS-X4516-10GE)2が存在する場合にのみ、Catalyst 4500シリーズ スイッチで利用できます。
次に、送信元アドレスと関連付けられたフローベースのクラス マップを作成する例を示します。
次に、宛先アドレスと関連付けられたフローベースのクラス マップを作成する例を示します。
インターフェイスfastethernet6/1上で、送信元アドレス192.168.10.20および192.168.10.21を持つアクティブなフローが2つ存在すると想定します。次の例では、9,000バイトの許可バースト値があるフローをそれぞれ1 Mbpsに維持する方法を示します。
インターフェイスfastethernet6/1上で、宛先アドレス192.168.20.20および192.168.20.21を持つアクティブなフローが2つ存在すると想定します。次の例では、9,000バイトの許可バースト値があるフローをそれぞれ1 Mbpsに維持する方法を示します。
service-policy
show class-map
show policy-map
show policy-map interfaces (Cisco IOSのマニュアルを参照)
デュアルモード対応のポート用のコネクタを選択するには、 media-type コマンドを使用します。
|
|
---|---|
このコマンドは、WS-X4306-GB-Tモジュール上のすべてのポートおよびWS-X4948シャーシ上の1/45~48ポートでサポートされます。
show interface capabilities コマンドを入力すると、Multiple Media Typeフィールドが提供されます。ここでは、ポートがデュアルモード対応でない場合は no の値が表示され、ポートがデュアルモード対応の場合は、メディア タイプ( sfp および rj45 )が表示されます。
次に、WS-X4948シャーシ上のポート5/45がRJ-45コネクタを使用するよう設定する例を示します。
冗長モードを設定するには、 mode コマンドを使用します。
Supervisor Engine II+、Supervisor Engine IV、およびSupervisor Engine V3が搭載されたCatalyst 4500シリーズ スイッチのデフォルト設定は、次のとおりです。
• スーパバイザ エンジンがCisco IOS Release 12.2(20)EWAを使用している場合は、SSOです。
• スーパバイザ エンジンがCisco IOS Release 12.2(12c)EW~Release 12.2(18)EW、およびRelease 12.1(xx)Eを使用している場合は、RPRです。
(注) 現在のスーパバイザ エンジンでRelease 12.2(18)EWまたは以前のリリースから
Release 12.2(20)EWAにアップグレードし、RPRモードがスタートアップ コンフィギュレーションに保存された場合、両方のスーパバイザ エンジンはソフトウェアのアップグレード後も継続してRPRモードで動作します。SSOモードを使用するには、手動で冗長モードをSSOモードに変更する必要があります。
|
|
---|---|
RPRモードおよびSSOモードは、Supervisor Engine 2を搭載したCatalyst 4500シリーズ スイッチではサポートされません。
冗長コンフィギュレーション モードでのみ、 mode コマンドを入力できます。
システムをRPRモードまたはSSOモードに設定する場合は、次の注意事項に従ってください。
• RPRモードおよびSSOモードをサポートするには、使用するCisco IOSイメージおよびスーパバイザ エンジンが同じである必要があります。Cisco IOSリリースとスーパバイザ エンジンの機能が異なる場合、冗長性が作用しない場合があります。
• スイッチオーバー時にオンライン状態でないモジュールはいずれもリセットされ、スイッチオーバー時にリロードされます。
• ステートフル スイッチオーバーまでの60秒間に、モジュールのOnline Insertion and Removal(OIR;ホットスワップ)が実行された場合、モジュールはステートフル スイッチオーバー中にリセットし、ポート ステートが再開されます。
• スイッチオーバーが発生すると、Forwarding Information Base(FIB;転送情報ベース)テーブルはクリアされます。ルーテッド トラフィックは、ルート テーブルが再コンバージェンスするまで中断されます。
redundancy
redundancy force-switchover
show redundancy
show running-config
インターフェイスまたはVLAN(仮想LAN)上でSwitched Port Analyzer(SPAN;スイッチド ポート アナライザ)セッションをイネーブルにするには、 monitor session コマンドを使用します。SPANセッションから1つまたは複数の送信元または宛先インターフェイスを削除したり、SPANセッションから送信元VLANを削除したりするには、このコマンドの no 形式を使用します。
monitor session session { destination interface { FastEthernet interface-number | GigabitEthernet interface-number } [ encapsulation { isl | dot1q }] [ ingress [ vlan vlan_id ] [ learning ]]} | { remote vlan vlan_id } | { source { interface { FastEthernet interface-number | GigabitEthernet interface-number | Port-channel interface-number }} | [ vlan vlan_id ] |{ remote vlan vlan_id } | { cpu [ queue queue_id ]} [ , | - | rx | tx | both ]} | { filter { ip access-group [ name | id ]}{ vlan vlan_id [ , | - ]} | { packet-type { good | bad }} | { address-type { unicast | multicast | broadcast } [ rx | tx | both ]}
no monitor session session { destination interface { FastEthernet interface-number | GigabitEthernet interface-number } [ encapsulation { isl | dot1q }] [ ingress [ vlan vlan_id ] [ learning ]]} | { remote vlan vlan_id } | { source { interface { FastEthernet interface-number | GigabitEthernet interface-number | Port-channel interface-number }} | [ vlan vlan_id ] |{ remote vlan vlan_id } | { cpu [ queue queue_id ]} [ , | - | rx | tx | both ]} | { filter { ip access-group [ name | id ]}{ vlan vlan_id [ , | - ]} | { packet-type { good | bad }} | { address-type { unicast | multicast | broadcast } [ rx | tx | both ]}
トランキング インターフェイスでは、送受信されたトラフィック、およびすべてのVLAN、パケット タイプ、およびアドレス タイプがモニタされます。
|
|
---|---|