この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
認証、認可、およびアカウンティング(AAA)アカウンティングをイネーブルにして、IEEE 802.1x セッションの特定のアカウンティング方式を、回線単位またはインターフェイス単位で定義する方式リストを作成するには aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting dot1x { name| default} start-stop { broadcast group { name | radius| tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}
no aaa accounting dot1x { name| default}
name |
サーバ グループ名。これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。 |
default |
デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に指定します。 |
start-stop |
プロセスの開始時に start accounting 通知を送信し、プロセスの終了時に stop accounting 通知を送信します。start アカウンティング レコードはバックグラウンドで送信されます。アカウンティング サーバが start accounting 通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。 |
broadcast |
複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。 |
group |
broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。オプションの group キーワードより多くの値を入力できます。 |
radius |
(任意)RADIUS アカウンティングをイネーブルにします。 |
tacacs+ |
(任意)TACACS+ アカウンティングをイネーブルにします。 |
AAA アカウンティングはディセーブルです。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドは、RADIUS サーバへのアクセスが必要です。
インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、 dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。
次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。
Device(config)# aaa new-model Device(config)# aaa accounting dot1x default start-stop group radius
IEEE 802.1x、MAC 認証バイパス(MAB)、および Web 認証セッションの認証、認可、およびアカウンティング(AAA)アカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで、aaa accounting identity コマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting identity { name| default} start-stop { broadcast group { name | radius| tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}
no aaa accounting identity { name| default}
name |
サーバ グループ名。これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。 |
default |
デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に使用します。 |
start-stop |
プロセスの開始時に start accounting 通知を送信し、プロセスの終了時に stop accounting 通知を送信します。start アカウンティング レコードはバックグラウンドで送信されます。アカウンティング サーバが start アカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。 |
broadcast |
複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。 |
group |
broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。オプションの group キーワードより多くの値を入力できます。 |
radius |
(任意)RADIUS 認証をイネーブルにします。 |
tacacs+ |
(任意)TACACS+ アカウンティングをイネーブルにします。 |
AAA アカウンティングはディセーブルです。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
AAA アカウンティング アイデンティティをイネーブルにするには、ポリシー モードをイネーブルにする必要があります。ポリシー モードをイネーブルにするには、特権 EXEC モードで authentication display new-style コマンドを入力します。
次の例では、IEEE 802.1x アカウンティング アイデンティティを設定する方法を示します。
Device# authentication display new-style Please note that while you can revert to legacy style configuration at any time unless you have explicitly entered new-style configuration, the following caveats should be carefully read and understood. (1) If you save the config in this mode, it will be written to NVRAM in NEW-style config, and if you subsequently reload the router without reverting to legacy config and saving that, you will no longer be able to revert. (2) In this and legacy mode, Webauth is not IPv6-capable. It will only become IPv6-capable once you have entered new- style config manually, or have reloaded with config saved in 'authentication display new' mode. Device# configure terminal Device(config)# aaa accounting identity default start-stop group radius
IEEE 802.1x 認証に準拠するポートで使用する認証、認可、およびアカウンティング(AAA)方式を指定するには、スイッチ スタックまたはスタンドアロン スイッチ上のグローバル コンフィギュレーション モードで aaa authentication dot1x コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication dot1x { default} method1
no aaa authentication dot1x { default} method1
default |
ユーザがログインするときのデフォルトの方法。この引数に続いてリストされた認証方式が使用されます。 |
||
method1 |
サーバ認証を指定します。認証用にすべての RADIUS サーバの一覧を使用するには、group radius キーワードを入力します。
|
認証は実行されません。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために特定の順序で試みる方式を指定します。IEEE 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。
group radius を指定した場合、radius-server host グローバル コンフィギュレーション コマンドを入力して RADIUS サーバを設定する必要があります。
設定された認証方式の一覧を表示するには、show running-config 特権 EXEC コマンドを使用します。
次の例では AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試みます。この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。
Device(config)# aaa new-model Device(config)# aaa authentication dot1x default group radius
ネットワークへのユーザ アクセスを制限するパラメータを設定するには、グローバル コンフィギュレーション モードで aaa authorization コマンドを使用します。パラメータを削除するには、このコマンドの no 形式を使用します。
aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | onep | policy-if | prepaid | radius-proxy | reverse-access | subscriber-service | template} { default | list_name} [ method1 [ method2...]]
aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | reverse-access | template} { default | list_name} [ method1 [ method2...]]
no aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | reverse-access | template} { default | list_name} [ method1 [ method2...]]
auth-proxy |
認証プロキシ サービスに許可を実行します。 |
cache |
認証、許可、アカウンティング(AAA)サーバを設定します。 |
commands |
指定した特権レベルですべてのコマンドの許可を実行します。 |
level |
許可が必要な特定のコマンド レベル。有効な値は 0 ~ 15 です。 |
config-commands |
コンフィギュレーション モードで入力されたコマンドを許可するかどうかを決定する許可を実行します。 |
設定 |
AAA サーバから設定をダウンロードします。 |
console |
AAA サーバのコンソール許可をイネーブルにします。 |
credential-download |
Local/RADIUS/LDAP から EAP クレデンシャルをダウンロードします。 |
exec |
AAA サーバのコンソール許可をイネーブルにします。 |
multicast |
AAA サーバからマルチキャスト設定をダウンロードします。 |
network |
シリアル ライン インターネット プロトコル(SLIP)、PPP(ポイントツーポイント プロトコル)、PPP ネットワーク コントロール プログラム(NCP)、AppleTalk Remote Access(ARA)など、すべてのネットワーク関連サービス要求について許可を実行します。 |
onep |
ONEP サービスに許可を実行します。 |
reverse-access |
リバース Telnet などの逆アクセス接続の許可を実行します。 |
template |
AAA サーバのテンプレート許可をイネーブルにします。 |
default |
このキーワードに続く許可方式のリストを許可のデフォルト方式リストとして使用します。 |
list_name |
許可方式リストの名前の指定に使用する文字列です。 |
method1[method2...] |
(任意)許可に使用する 1 つまたは複数の許可方式を指定します。方式には、次の表に示すキーワードのどれでも指定できます。 |
すべてのアクションに対する許可がディセーブルになります(方式キーワード none と同等)。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
aaa authorization コマンドを使用して、許可をイネーブルにし、名前付きの方式リストを作成します。このリストにはユーザが特定の機能にアクセスするときに使用できる許可方式が定義されます。許可方式リストによって、許可の実行方法とこれらの方式の実行順序が定義されます。方式リストは、一定順序で使用する必要がある許可方式(RADIUS、TACACS+ など)を示す名前付きリストです。方式リストを使用すると、許可に使用するセキュリティ プロトコルを 1 つ以上指定できるため、最初の方式が失敗した場合のバックアップ システムを確保できます。Cisco IOS ソフトウェアでは、特定のネットワーク サービスについてユーザを許可するために最初の方式が使用されます。その方式が応答しない場合、方式リストの次の方式が選択されます。このプロセスは、リスト内の許可方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。
(注) | Cisco IOS ソフトウェアでは、前の方式からの応答がない場合にのみ、リストの次の許可方式が試行されます。このサイクルの任意の時点で許可が失敗した場合(つまり、セキュリティ サーバまたはローカル ユーザ名データベースからユーザ サービスの拒否応答が返される場合)、許可プロセスは停止し、その他の許可方式は試行されません。 |
特定の許可の種類の aaa authorization コマンドを、名前付き方式リストを指定しないで発行した場合、名前付き方式リストが明示的に定義されているものを除いて、すべてのインターフェイスまたは回線(この許可の種類が適用される)にデフォルトの方式リストが自動的に適用されます(定義済みの方式リストは、デフォルトの方式リストに優先します)。デフォルトの方式リストが定義されていない場合、許可は実行されません。RADIUS サーバからの IP プールのダウンロードを許可するなどの発信許可は、デフォルトの許可方式リストを使用して実行する必要があります。
aaa authorization コマンドを使用して、list-name 引数および method 引数に値を入力してリストを作成します。list-name にはこのリストの名前として使用する任意の文字列(すべての方式名を除く)を指定し、method には特定の順序で試行される許可方式のリストを指定します。
(注) | 次の表に、以前定義済みの RADIUS サーバまたは TACACS+ サーバのセットを参照する groupgroup-name 方式、group ldap 方式、group radius 方式、および group tacacs+ 方式を示します。ホスト サーバを設定するには、radius-server host コマンドおよび tacacs-server host コマンドを使用します。サーバの名前付きグループを作成するには、aaa group server radius コマンド、aaa group server ldap コマンドおよび aaa group server tacacs+ コマンドを使用します。 |
キーワード |
説明 |
||
---|---|---|---|
cachegroup-name |
キャッシュ サーバ グループを許可に使用します。 |
||
groupgroup-name |
アカウンティングに、server groupgroup-name コマンドで定義される RADIUS または TACACS+ サーバのサブセットを使用します。 |
||
group ldap |
許可にすべての Lightweight Directory Access Protocol(LDAP)サーバのリストを使用します。 |
||
group radius |
aaa group server radius コマンドで定義されるすべての RADIUS サーバのリストを認証に使用します。 |
||
grouptacacs+ |
aaa group server tacacs+ コマンドで定義されるすべての TACACS+ サーバのリストを認証に使用します。 |
||
if-authenticated |
|
||
local |
許可にローカル データベースを使用します。 |
||
none |
許可が行われないことを示します。 |
Cache Server Groups:ルータはキャッシュ サーバ グループを調べて、特定の権限をユーザに許可します。
If-Authenticated:ユーザが認証に成功した場合、ユーザは要求した機能にアクセスできます。
Local:ルータまたはアクセス サーバは、username コマンドの定義に従ってローカル データベースに問い合わせ、特定の権限をユーザに許可します。ローカル データベースでは制御できるのは、一部の機能だけです。
None:ネットワーク アクセス サーバは、許可情報を要求しません。許可は、この回線/インターフェイスで実行されません。
RADIUS:ネットワーク アクセス サーバは RADIUS セキュリティ サーバからの許可情報を要求します。RADIUS 認可では、属性を関連付けることでユーザに固有の権限を定義します。属性は適切なユーザとともに RADIUS サーバ上のデータベースに保存されます。
TACACS+:ネットワーク アクセス サーバは、TACACS+ セキュリティ デーモンと許可情報を交換します。TACACS+ 許可は、属性値(AV)ペアを関連付けることでユーザに特定の権限を定義します。属性ペアは適切なユーザとともに TACACS+ セキュリティ サーバのデータベースに保存されます。
方式リストは、要求されている許可のタイプによって異なります。AAA は 5 種類の許可方式をサポートしています。
Commands:ユーザが発行する EXEC モード コマンドに適用します。コマンドの認可は、特定の特権レベルに関連付けられた、グローバル コンフィギュレーション コマンドなどのすべての EXEC モード コマンドについて、認可を試行します。
EXEC:ユーザ EXEC ターミナル セッションに関連付けられた属性に適用します。
(注) | aaa authorization config-commands コマンドを設定して、先頭に do コマンドが追加される EXEC コマンドを含む、グローバル コンフィギュレーション コマンドを許可する必要があります。 |
Reverse Access:リバース Telnet セッションに適用されます。
Configuration:AAA サーバからダウンロードされた設定に適用されます。
名前付き方式リストを作成すると、指定した許可タイプに対して特定の許可方式リストが定義されます。
定義されると、方式リストを特定の回線またはインターフェイスに適用してから、定義済み方式のいずれかを実行する必要があります。
authorization コマンドにより、許可プロセスの一環として、一連の AV のペアを含む要求パケットが RADIUS または TACACS+ デーモンに送信されます。デーモンは、次のいずれかのアクションを実行できます。
(注) | 次の 5 個のコマンドは、特権レベル 0 と対応しています。disable、enable、exit、help、logout。特権レベルの AAA 認証を 0 より大きい値に設定した場合、これらの 5 個のコマンドは特権レベル コマンド セットに含まれません。 |
次に、PPP を使用するシリアル回線に RADIUS の許可を使用するように指定する mygroup というネットワーク許可方式リストを定義する例を示します。RADIUS サーバが応答しない場合、ローカル ネットワークの許可が実行されます。
Device(config)# aaa authorization network mygroup group radius local
認証、認可、およびアカウンティング(AAA)アクセス制御モデルを有効にするには、グローバル コンフィギュレーション モードで aaanew-model コマンドを使用します。AAA アクセス制御モデルを無効にするには、このコマンドの no 形式を使用します。
aaa new-model
no aaa new-model
このコマンドには引数またはキーワードはありません。
AAA が有効になっていません。
グローバル コンフィギュレーション(config)
リリース |
変更内容 |
---|---|
Cisco IOS XE Release 3.2SE |
このコマンドが Cisco Catalyst 3850 シリーズ スイッチに追加されました。 |
このコマンドにより、AAA アクセス制御システムが有効になります。
仮想端末回線(VTY)に関して login local コマンドが設定されている場合、aaa new-model コマンドを削除するときは、スイッチをリロードしてデフォルト設定または login コマンドを取得する必要があります。スイッチをリロードしない場合、スイッチは、VTY ではデフォルトで login local コマンドに設定されます。
(注) | aaa new-model コマンドを削除することは推奨されません。 |
Switch(config)# aaa new-model Switch(config)# line vty 0 15 Switch(config-line)# login local Switch(config-line)# exit Switch(config)# no aaa new-model Switch(config)# exit Switch# show running-config | b line vty line vty 0 4 login local !<=== Login local instead of "login" line vty 5 15 login local !
次に、AAA を初期化する例を示します。
Switch(config)# aaa new-model Switch(config)#
コマンド |
説明 |
---|---|
aaaaccounting |
課金またはセキュリティ目的のために、要求されたサービスの AAA アカウンティングをイネーブルにします。 |
aaaauthenticationarap |
TACACS+ を使用する ARAP の AAA 認証方式を有効にします。 |
aaaauthenticationenabledefault |
ユーザが特権コマンド レベルにアクセスできるかどうかを決定する AAA 認証を有効にします。 |
aaaauthenticationlogin |
ログイン時の AAA 認証を設定します。 |
aaaauthenticationppp |
PPP を実行しているシリアル インターフェイス上で使用する 1 つまたは複数の AAA 認証方式を指定します。 |
aaaauthorization |
ネットワークへのユーザ アクセスを制限するパラメータを設定します。 |
デバイス 上での MAC 移動をディセーブルにするには、access-session mac-move deny グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
access-session mac-move deny
no access-session mac-move deny
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドの no 形式を使用すると、認証済みホストをデバイス上の認証対応ポート(MAC 認証バイパス [MAB]、802.1x、または Web-auth)間で移動することができます。たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。
MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。
次の例では、デバイス上で MAC 移動をイネーブルにする方法を示します。
Device(config)# no access-session mac-move deny
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
|
新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
|
VLAN アクセス マップ エントリのアクションを設定するには、アクセスマップ コンフィギュレーション モードで action コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
action { drop | forward }
no action
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
vlan access-map グローバル コンフィギュレーション コマンドを使用して、アクセス マップ コンフィギュレーション モードを開始します。
アクションが drop の場合は、一致条件でのアクセス コントロール リスト(ACL)名の設定など、アクセス マップを定義した後に、そのマップを VLAN に適用する必要があります。定義しない場合、すべてのパケットがドロップされることがあります。
アクセス マップ コンフィギュレーション モードでは、match access-map コンフィギュレーション コマンドを使用して、VLAN マップの一致条件を定義します。action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。
次の例では、VLAN アクセス マップ vmap4 を指定し VLAN 5 と VLAN 6 に適用する方法を示します。このアクセス マップは、パケットがアクセス リスト al2 に定義された条件に一致する場合に、VLAN がその IP パケットを転送するように指定します。
Device(config)# vlan access-map vmap4 Device(config-access-map)# match ip address al2 Device(config-access-map)# action forward Device(config-access-map)# exit Device(config)# vlan filter vmap4 vlan-list 5-6
ポートで認証マネージャ モードを設定するには、インターフェイス コンフィギュレーション モードで authentication host-mode コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication host-mode { multi-auth | multi-domain | multi-host | single-host}
no authentication host-mode
multi-auth |
ポートのマルチ認証モード(multi-auth モード)をイネーブルにします。 |
multi-domain |
ポートのマルチドメイン モードをイネーブルにします。 |
multi-host |
ポートのマルチホスト モードをイネーブルにします。 |
single-host |
ポートのシングルホスト モードをイネーブルにします。 |
シングルホスト モードがイネーブルにされています。
インターフェイス コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
接続されているデータ ホストが 1 つだけの場合は、シングルホスト モードを設定する必要があります。シングルホスト ポートでの認証のために音声デバイスを接続しないでください。ポートで音声 VLAN が設定されていないと、音声デバイスの許可が失敗します。
データ ホストが IP フォン経由でポートに接続されている場合は、マルチドメイン モードを設定する必要があります。音声デバイスを認証する必要がある場合は、マルチドメイン モードを設定する必要があります。
ハブの背後にデバイスを配置し、それぞれを認証してポート アクセスのセキュリティを確保できるようにするには、マルチ認証モードに設定する必要があります。音声 VLAN が設定されている場合は、このモードで認証できる音声デバイスは 1 つだけです。
マルチホスト モードでも、ハブ越しの複数ホストのためのポート アクセスが提供されますが、マルチホスト モードでは、最初のユーザが認証された後でデバイスに対して無制限のポート アクセスが与えられます。
次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。
Device(config-if)# authentication host-mode multi-auth
次の例では、ポートのマルチドメイン モードをイネーブルにする方法を示します。
Device(config-if)# authentication host-mode multi-domain
次の例では、ポートのマルチホスト モードをイネーブルにする方法を示します。
Device(config-if)# authentication host-mode multi-host
次の例では、ポートのシングルホスト モードをイネーブルにする方法を示します。
Device(config-if)# authentication host-mode single-host
設定を確認するには、show authentication sessions interface interface details 特権 EXEC コマンドを入力します。
デバイス上での MAC 移動をイネーブルにするには、グローバル コンフィギュレーション モードで authentication mac-move permit コマンドを使用します。MAC 移動をディセーブルにするには、このコマンドの no 形式を使用します。
authentication mac-move permit
no authentication mac-move permit
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
これはレガシー コマンドです。新しいコマンドは access-session mac-move deny です。
このコマンドを使用すると、デバイス上の 認証対応ポート(MAC 認証バイパス [MAB]、802.1x、または Web-auth)間で認証ホストを移動できます。たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。
MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。
次の例では、デバイス上で MAC 移動をイネーブルにする方法を示します。
Device(config)# authentication mac-move permit
プライオリティ リストに認証方式を追加するには、インターフェイス コンフィギュレーション モードで authentication priority コマンドを使用します。デフォルトに戻るには、no 形式のコマンドを使用します。
authentication priority [ dot1x | mab] { webauth}
no authentication priority [ dot1x | mab] { webauth}
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。
ポートにフォールバック方式を複数設定するときは、Web 認証(webauth)を最後に設定してください。
異なる認証方式にプライオリティを割り当てることにより、プライオリティの高い方式を、プライオリティの低い進行中の認証方式に割り込ませることができます。
(注) | クライアントがすでに認証されている場合に、プライオリティの高い方式の割り込みが発生すると、再認証されることがあります。 |
認証方式のデフォルトのプライオリティは、実行リストの順序におけるその位置と同じで、802.1x 認証、MAC 認証バイパス(MAB)、Web 認証の順です。このデフォルトの順序を変更するには、キーワード dot1x、mab、および webauth を使用します。
次の例では、802.1x を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。
Device(config-if)# authentication priority dotx webauth
次の例では、MAB を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。
Device(config-if)# authentication priority mab webauth
以前に到達不能であった認証、許可、アカウンティング サーバが使用可能になったときに認証マネージャ セッションを再初期化します。 |
|
新しいデバイスがポートに接続されたとき、または最大数のデバイスがポートに接続されている状態で新しいデバイスがポートに接続されたときに発生する違反モードを設定するには、インターフェイス コンフィギュレーション モードで authentication violation コマンドを使用します。
authentication violation{ protect| replace| restrict| shutdown }
no authentication violation{ protect| replace| restrict| shutdown }
protect |
予期しない着信 MAC アドレスをドロップします。syslog エラーは生成されません。 |
replace |
現在のセッションを削除し、新しいホストによる認証を開始します。 |
restrict |
違反エラーの発生時に Syslog エラーを生成します。 |
shutdown |
エラーによって、予期しない MAC アドレスが発生するポートまたは仮想ポートがディセーブルになります。 |
Authentication violation shutdown モードがイネーブルにされています。
インターフェイス コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
ポート上でセキュリティ違反が発生したときに実行するアクションを指定するには、authentication violation コマンドを使用します。
次の例では、新しいデバイスがポートに接続する場合に、errdisable になり、シャットダウンするように IEEE 802.1x 対応ポートを設定する方法を示します。
Device(config-if)# authentication violation shutdown
次の例では、新しいデバイスがポートに接続する場合に、システム エラー メッセージを生成して、ポートを制限モードに変更するように 802.1x 対応ポートを設定する方法を示します。
Device(config-if)# authentication violation restrict
次の例では、新しいデバイスがポートに接続するときに、そのデバイスを無視するように 802.1x 対応ポートを設定する方法を示します。
Device(config-if)# authentication violation protect
次の例では、新しいデバイスがポートに接続するときに、現在のセッションを削除し、新しいデバイスによる認証を開始するように 802.1x 対応ポートを設定する方法を示します。
Device(config-if)# authentication violation replace
設定を確認するには、show authentication 特権 EXEC コマンドを入力します。
スイッチ上で Client Information Signalling Protocol(CISP)を有効にして、サプリカント スイッチのオーセンティケータとして機能し、オーセンティケータ スイッチのサプリカントとして機能するようにするには、cisp enable グローバル コンフィギュレーション コマンドを使用します。
cisp enable
no cisp enable
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
Cisco IOS XE Denali 16.3.1 |
このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。 |
オーセンティケータとサプリカント スイッチの間のリンクはトランクです。両方のスイッチで VTP をイネーブルにする場合は、VTP ドメイン名が同一であり、VTP モードがサーバである必要があります。
VTP モードを設定する場合に MD5 チェックサムの不一致エラーにならないようにするために、次の点を確認してください。
Device(config)# cisp enable
dot1x supplicant force-multicast |
802.1X サプリカントがマルチキャスト パケットを送信するように強制します。 |
dot1x supplicant controlled transient |
802.1X サプリカントによる制御アクセスを設定します。 |
error-disabled 状態になっていた VLAN を再びイネーブルにするには、特権 EXEC モードで clear errdisable interface コマンドを使用します。
clear errdisable interface interface-id vlan [ vlan-list]
(任意)再びイネーブルにする VLAN のリストを指定します。VLAN リストを指定しない場合は、すべての VLAN が再びイネーブルになります。 |
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
shutdown および no shutdown のインターフェイス コンフィギュレーション コマンドを使用してポートを再びイネーブルにするか、clear errdisable インターフェイス コマンドを使用して VLAN の error-disabled をクリアできます。
次の例では、ギガビット イーサネット ポート 4/0/2 で errdisable になっているすべての VLAN を再びイネーブルにする方法を示します。
Device# clear errdisable interface gigabitethernet4/0/2 vlan
特定のダイナミック アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、スタック メンバ上のすべてのダイナミック アドレス、または特定の VLAN 上のすべてのダイナミック アドレスを MAC アドレス テーブルから削除するには、clear mac address-table コマンドを特権 EXEC モードで使用します。このコマンドはまた MAC アドレス通知グローバル カウンタもクリアします。
clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id] | move update | notification}
(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ~ 4094 です。 |
|
move update |
MAC アドレス テーブルの move-update カウンタをクリアします。 |
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
show mac address-table 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを確認できます。
次の例では、ダイナミック アドレス テーブルから特定の MAC アドレスを削除する方法を示します。
Device# clear mac address-table dynamic address 0008.0070.0007
interface キーワードが追加されると、すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。 |
|
Cisco TrustSec セキュリティ(CTS)のインターフェイスを手動で有効にするには、インターフェイス コンフィギュレーション モードで cts manual コマンドを使用します。
cts manual
このコマンドには引数またはキーワードはありません。
ディセーブル
インターフェイス コンフィギュレーション(config-if)
リリース |
変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが変更され、いくつかのオプションが追加されました。 |
Cisco IOS XE Denali 16.2.1 |
このコマンドが導入されました。 |
リンクにポリシーおよびセキュリティ アソシエーション プロトコル(SAP)を設定する TrustSec 手動インターフェイス コンフィギュレーションを開始するには、cts manual コマンドを使用します。
cts manual コマンドが設定された場合、802.1X 認証はリンクで実行されません。ポリシーを定義し、リンクに適用するには、 policy サブコマンドを使用します。デフォルトでは、ポリシーは適用されません。MACsec リンク間暗号化を設定するには、SAP ネゴシエーション パラメータを定義する必要があります。デフォルトでは、SAP は有効になっていません。同じ SAP ペアワイズ マスター キー(PMK)をリンクの両端で設定する必要があります(つまり、共有秘密)。
次に、Cisco TrustSec 手動モードを開始する例を示します。
Switch# configure terminal Switch(config)# interface gigabitethernet 0 Switch(config-if)# cts manual Switch(config-if-cts-manual))#
次に、インターフェイスから CTS 手動設定を削除する例を示します。
Switch# configure terminal Switch(config)# interface gigabitethernet 0 Switch(config-if)# no cts manual
コマンド |
説明 |
---|---|
propagate sgt(cts manual) |
Cisco TrustSec セキュリティ(CTS)インターフェイスで、レイヤ 2 でのセキュリティ グループ タグ(SGT)伝播を有効にします。 |
sap mode-list(cts manual) |
PMK インターフェイスと SAP インターフェイスの間での MACsec リンク暗号化のネゴシエーションのために、それらの認証と暗号化モードを手動で指定します。 |
show cts interface |
Cisco TrustSec インターフェイス設定統計情報を表示します。 |
Cisco TrustSec ロールベース(セキュリティ グループ)アクセス コントロール適用を有効にするには、グローバル コンフィギュレーション モードで ctsrole-basedenforcement コマンドを使用します。設定を無効にするには、このコマンドの no 形式を使用します。
cts role-based enforcement [ logging-intervalinterval | vlan-list { all | vlan-ID [ , ] [ - ] } ]
no cts role-based enforcement [ logging-intervalinterval | vlan-list { all | vlan-ID [ , ] [ - ] } ]
logging-intervalinterval |
(任意)セキュリティ グループ アクセス コントロール リスト(SGACL)のロギング間隔を設定します。interval 引数の有効な値は 5 ~ 86400 秒です。デフォルトは 300 秒です。 |
vlan-list |
(任意)ロールベース ACLが適用される VLAN を設定します。 |
all |
(任意)すべての VLAN を指定します。 |
vlan-ID |
(任意)VLAN ID。有効な値は 1 ~ 4094 です。 |
, |
(任意)別の VLAN をカンマで区切って指定します。 |
- |
(任意)VLAN の範囲をハイフンで区切って指定します。 |
ロールベース アクセス コントロールは適用されません。
グローバル コンフィギュレーション(config)
リリース | 変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが導入されました。 |
(注) | RBACL と SGACL は互換的に使用されます。 |
システムで Cisco TrustSec 対応インターフェイスの SGACL 適用をグローバルに有効または無効にするには、ctsrole-basedenforcement コマンドを使用します。
特定のフローのログが出力されるデフォルトの間隔は 300 秒です。デフォルトの間隔を変更するには、logging-interval キーワードを使用します。ロギングは、Cisco ACE アプリケーション コントロール エンジンに logging キーワードがある場合にのみトリガーされます。
VLAN での SGACL 適用は、デフォルトでは有効になっていません。スイッチ仮想インターフェイス(SVI)でレイヤ 2 スイッチド パケットおよびレイヤ 3 スイッチド パケットの SGACL 適用を有効または無効にするには、ctsrole-basedenforcementvlan-list コマンドを使用します。
vlan-ID 引数には単一の VLAN ID、VLAN ID のリスト、または VLAN ID の範囲を指定できます。
SGACL が適用される VLAN で SVI がアクティブである場合、SGACL はその VLAN 内のレイヤ 2 とレイヤ 3 の両方のスイッチド パケットに適用されます。レイヤ 3 スイッチングは SVI を使用しない VLAN 内では使用できないため、SVI を使用しない場合、SGACL はレイヤ 2 スイッチド パケットにのみ適用されます。
次に、SGACL ロギング間隔を設定する例を示します。
Switch(config)# cts role-based enforcement logging-interval 90 Switch(config)# logging rate-limit May 27 10:19:21.509: %RBM-6-SGACLHIT: ingress_interface='GigabitEthernet1/0/2' sgacl_name='sgacl2' action='Deny' protocol='icmp' src-ip='16.16.1.3' src-port='8' dest-ip='17.17.1.2' dest-port='0' sgt='101' dgt='202' logging_interval_hits='5'
コマンド |
説明 |
---|---|
loggingrate-limit |
1 秒間にログに記録されるメッセージの割合を制限します。 |
showctsrole-basedpermissions |
SGACL 権限リストを表示します。 |
レイヤ 2 VLAN の Virtual Routing and Forwarding(VRF)インスタンスを選択するには、グローバル コンフィギュレーション モードで ctsrole-basedl2-vrf コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
cts role-based l2-vrf vrf-namevlan-list { all | vlan-ID } [ , ] [ - ]
no cts role-based l2-vrf vrf-namevlan-list { all | vlan-ID } [ , ] [ - ]
vrf-name |
VRF インスタンスの名前。 |
vlan-list |
VRF インスタンスに割り当てられる VLAN のリストを指定します。 |
all |
すべての VLAN を指定します。 |
vlan-ID |
VLAN ID。有効な値は 1 ~ 4094 です。 |
, |
(任意)別の VLAN をカンマで区切って指定します。 |
- |
(任意)VLAN の範囲をハイフンで区切って指定します。 |
VRF インスタンスは選択されていません。
グローバル コンフィギュレーション(config)
リリース | 変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが導入されました。 |
vlan-list 引数には単一の VLAN ID、カンマで区切られた VLAN ID のリスト、またはハイフンで区切られた VLAN ID の範囲を指定できます。
all キーワードは、ネットワーク デバイスによってサポートされている VLAN の全範囲と同等です。all キーワードは、不揮発性生成(NVGEN)プロセスで保持されません。
ctsrole-basedl2-vrf コマンドが同じ VRF に複数回実行される場合、入力される連続した各コマンドは、指定された VRF に VLAN ID を追加します。
ctsrole-basedl2-vrf コマンドで設定された VRF 割り当ては、VLAN がレイヤ 2 VLAN として維持されている間はアクティブです。VRF の割り当てがアクティブな間に、学習した IP-SGT バインディングも VRF と IP プロトコル バージョンに関連付けられた転送情報ベース(FIB)テーブルに追加されます。VLAN のスイッチ仮想インターフェイス(SVI)がアクティブになると、VRF から VLAN への割り当てが非アクティブになり、VLAN で学習されたすべてのバインディングが SVI の VRF に関連付けられた FIB テーブルに移動されます。
SVI インターフェイスを設定するには interface vlan コマンドを使用し、VRF インスタンスをインターフェイスに関連付けるには vrfforwarding コマンドを使用します。
VRF から VLAN への割り当ては、割り当てが非アクティブになっても保持されます。SVI が削除された、または SVI の IP アドレスの変更された場合に再アクティブ化されます。再アクティブ化された場合、IP-SGT バインディングは、SVI の FIB に関連付けられた FIB テーブルから、ctsrole-basedl2-vrf コマンドによって割り当てられた VRF に関連付けられた FIB テーブルに戻されます。
次に、VRF インスタンスに割り当てられる VLAN のリストを選択する例を示します。
Switch(config)# cts role-based l2-vrf vrf1 vlan-list 20次に、SVI インターフェイスを設定し、VRF インスタンスを関連付ける例を示します。
Switch(config)# interface vlan 101 Switch(config-if)# vrf forwarding vrf1
コマンド |
説明 |
---|---|
interfacevlan |
VLAN インターフェイスを設定します。 |
vrfforwarding |
VRF インスタンスまたは仮想ネットワークをインターフェイスまたはサブインターフェイスに関連付けます。 |
showctsrole-basedpermissions |
SGACL 権限リストを表示します。 |
ロールベース(セキュリティ グループ)アクセス リスト モニタリングを有効にするには、グローバル コンフィギュレーション モードで ctsrole-basedmonitor コマンドを使用します。ロールベース アクセス リスト モニタリングを削除するには、このコマンドの no 形式を使用します。
cts role-based monitor { all | permissions | { default | from { sgt | unknown } } to { sgt | unknown } [ ipv4 ] }
no cts role-based monitor { all | permissions | { default | from { sgt | unknown } } to { sgt | unknown } [ ipv4 ] }
all |
すべての宛先タグへのすべての送信元タグの権限をモニタします。 |
permissions |
1 つの送信元タグから 1 つの宛先タグへの権限をモニタします。 |
default |
デフォルトの権限リストをモニタします。 |
from |
フィルタリングされるトラフィックの送信元グループ タグを指定します。 |
sgt |
セキュリティ グループ タグ(SGT)有効値は 2 ~ 65519 です。 |
unknown |
未知の送信元または宛先グループ タグ(DST)を指定します。 |
ipv4 |
(任意)IPv4 プロトコルを指定します。 |
ロールベース アクセス コントロール モニタリングは有効になっていません。
グローバル コンフィギュレーション(config)
リリース | 変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが導入されました。 |
グローバル モニタ モードを有効にするには、ctsrole-basedmonitorall コマンドを使用します。ctsrole-basedmonitorall コマンドが設定されている場合、showctsrole-basedpermissions コマンドの出力には、設定されているすべてのポリシーのモニタ モードが true と表示されます。
次に、送信元タグから宛先タグへの SGACL モニタを設定する例を示します。
Switch(config)# cts role-based monitor permissions from 10 to 11
コマンド |
説明 |
---|---|
showctsrole-basedpermissions |
SGACL 権限リストを表示します。 |
1 つの送信元グループから 1 つの宛先グループへの権限を有効にするには、グローバル コンフィギュレーション モードで ctsrole-basedpermissions コマンドを使用します。権限を削除するには、このコマンドの no 形式を使用します。
cts role-based permissions { defaultipv4 | from { sgt | unknown } to { sgt | unknown } { ipv4 } { rbacl-name [ rbacl-name.... ] } }
no cts role-based permissions { default [ ipv4 ] | from { sgt | unknown } to { sgt | unknown } [ ipv4 ] }default |
デフォルトの権限リストを指定します。セキュリティ グループ アクセス コントロール リスト(SGACL)権限が静的または動的に設定されていないすべてのセル(SGT ペア)は、デフォルトのカテゴリに属します。 |
ipv4 |
IPv4 プロトコルを指定します。 |
from |
フィルタリングされるトラフィックの送信元グループ タグを指定します。 |
sgt |
セキュリティ グループ タグ(SGT)有効値は 2 ~ 65519 です。 |
unknown |
未知の送信元または宛先グループ タグを指定します。 |
rbacl-name |
ロールベース アクセス コントロール リスト(RBACL)または SGACL の名前。この設定では最大 16 の SGACL を指定できます。 |
1 つの送信元グループから 1 つの宛先グループへの権限は有効になっていません。
グローバル コンフィギュレーション(config)
リリース | 変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが導入されました。 |
特定の送信元グループ タグ(SGT)、宛先グループ タグ(DGT)ペアの SGACL のリストを定義したり、置き換えたり、削除したりするには、ctsrole-basedpermissions コマンドを使用します。このポリシーは、同じ DGT または SGT に対するダイナミックなポリシーがないかぎり有効です。
ctsrole-basedpermissionsdefault コマンドでは、同じ DGT に対するダイナミックなポリシーがないかぎり、デフォルト ポリシーの SGACL のリストを定義したり、置き換えたり、削除したりすることができます。
次に、宛先グループの権限を有効にする例を示します。
Switch(config)# cts role-based permissions from 6 to 6 mon_2
コマンド |
説明 |
---|---|
showctsrole-basedpermissions |
SGACL 権限リストを表示します。 |
条件が一致した場合に非 IP トラフィックが転送されるのを防止するには、スイッチ スタックまたはスタンドアロン スイッチ上で deny MAC アクセスリスト コンフィギュレーション コマンドを使用します。名前付き MAC アクセス リストから拒否条件を削除するには、このコマンドの no 形式を使用します。
deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
no deny { any | hostsrc-MAC-addr | src-MAC-addr mask} { any | hostdst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsaplsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
MAC アクセス リスト コンフィギュレーション モードを開始するには、mac access-list extended グローバル コンフィギュレーション コマンドを使用します。
host キーワードを使用した場合、アドレス マスクは入力できません。host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。
アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加された場合、リストの最後には暗黙の deny-any-any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。
IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、type mask または lsaplsap mask キーワードを使用します。Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を表に一覧表示します。
次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。
Device(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。
Device(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
次の例では、EtherType 0x4321 のすべてのパケットを拒否します。
Device(config-ext-macl)# deny any any 0x4321 0
MAC アクセスリスト コンフィギュレーションから許可します。 条件が一致した場合に非 IP トラフィックが転送されるのを許可します。 |
|
ポートに接続されているデバイスのロールを指定するには、IPv6 スヌーピング コンフィギュレーション モードで device-role コマンドを使用します。
device-role { node | switch}
node |
接続されたデバイスのロールをノードに設定します。 |
switch |
接続されたデバイスのロールをスイッチに設定します。 |
デバイスのロールはノードです。
IPv6 スヌーピング コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
device-role コマンドは、ポートに接続されているデバイスのロールを指定します。デフォルトでは、デバイスのロールはノードです。
switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートで学習したバインディング エントリは、trunk_port プリファレンス レベルでマークされます。ポートが trusted ポートに設定されている場合、バインディング エントリは trunk_trusted_port プリファレンス レベルでマークされます。
次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、デバイスをノードとして設定する例を示します。
Device(config)# ipv6 snooping policy policy1 Device(config-ipv6-snooping)# device-role node
ポートに接続されているデバイスのロールを指定するには、ネイバー探索(ND)インスペクション ポリシー コンフィギュレーション モードで device-role コマンドを使用します。
device-role { host | monitor | router | switch}
host |
接続されたデバイスのロールをホストに設定します。 |
monitor |
接続されたデバイスのロールをモニタに設定します。 |
router |
接続されたデバイスのロールをルータに設定します。 |
switch |
接続されたデバイスのロールをスイッチに設定します。 |
デバイスのロールはホストです。
ND インスペクション ポリシー コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
device-role コマンドは、ポートに接続されているデバイスのロールを指定します。デフォルトでは、デバイスのロールはホストであるため、すべての着信ルータ アドバタイズメントとリダイレクト メッセージはブロックされます。デバイス ロールが router キーワードを使用してイネーブルになっている場合、このポートですべてのメッセージ(ルータ送信要求(RS)、ルータ アドバタイズメント(RA)、またはリダイレクト)が許可されます。
router または monitor キーワードが使用されている場合、マルチキャストの RS メッセージは限定ブロードキャストがイネーブルかどうかに関係なく、ポート上でブリッジされます。ただし、monitor キーワードは着信 RA またはリダイレクト メッセージを許可しません。monitor キーワードを使用すると、これらのメッセージを必要とするデバイスがそれらを受け取ります。
switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートで学習したバインド エントリは、trunk_port プリファレンス レベルでマークされます。ポートが trusted ポートに設定されている場合、バインディング エントリは trunk_trusted_port プリファレンス レベルでマークされます。次に、Neighbor Discovery Protocol(NDP)ポリシー名を policy1 と定義し、デバイスを ND インスペクション ポリシー コンフィギュレーション モードにして、デバイスをホストとして設定する例を示します。
Device(config)# ipv6 nd inspection policy policy1 Device(config-nd-inspection)# device-role host
スイッチ統合型セキュリティ機能(SISF)ベースの IP デバイス トラッキング ポリシーを設定するには、グローバル コンフィギュレーション モードで device-tracking コマンドを使用します。デバイス トラッキング ポリシーを削除するには、このコマンドの no 形式を使用します。
device -tracking policy policy-name
no device-tracking policy policy-name
policy-name |
デバイス トラッキング ポリシーのユーザ定義名。ポリシー名には象徴的な文字列(Engineering など)または整数(0 など)を使用できます。 |
デバイス トラッキング ポリシーは設定されていません。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE Denali 16.1.1 |
このコマンドが導入されました。 |
(任意)device-role{node] | switch}:ポートに接続されたデバイスのロールを指定します。デフォルトは node です。
(任意)limit address-countvalue:ターゲットごとに許可されるアドレス数を制限します。
(任意)no:コマンドを無効にするか、またはそのデフォルトに設定します。
(任意)destination-glean{recovery| log-only}[dhcp]}:データ トラフィックの送信元アドレス グリーニングによるバインディング テーブルの回復をイネーブルにします。
(任意)data-glean{recovery| log-only}[dhcp | ndp]}:送信元アドレスまたはデータ アドレスのグリーニングを使用したバインディング テーブルの回復をイネーブルにします。
(任意)security-level{glean|guard|inspect}:この機能によって適用されるセキュリティのレベルを指定します。デフォルトは guard です。
(任意)tracking {disable | enable}:トラッキング オプションを指定します。
(任意)trusted-port:信頼できるポートを設定します。これにより、該当するターゲットに対するガードがディセーブルになります。信頼できるポートを経由して学習されたバインディングは、他のどのポートを経由して学習されたバインディングよりも優先されます。テーブル内にエントリを作成しているときに衝突が発生した場合、信頼できるポートが優先されます。
次に、デバイストラッキング ポリシーを設定する例を示します。
Device(config)# device-tracking policy policy1 Device(config-device-tracking)# trusted-port
IEEE 802.1X クリティカル認証パラメータを設定するには、グローバル コンフィギュレーション モードで dot1x critical コマンドを使用します。
dot1x critical eapol
eapol |
スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するように指定します。 |
eapol はディセーブルです
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次に、スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するよう指定する例を示します。
Device(config)# dot1x critical eapol
もう一方の端で 802.1X が認識されないと判断されるまでにサプリカントがクライアントに送信する(応答が受信されないと想定)Extensible Authentication Protocol over LAN(EAPOL)開始フレームの最大数を設定するには、インターフェイス コンフィギュレーション モードで dot1x max-start コマンドを使用します。最大回数の設定を削除するには、このコマンドの no 形式を使用します。
dot1x max-start number
no dot1x max-start
number |
ルータが EAPOL 開始フレームを送信する最大回数を指定します。1 ~ 10 の値を指定できます。デフォルトは 3 です。 |
デフォルトの最大数の設定は 3 です。
インターフェイス コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドを入力する前に、スイッチポートで switchport mode access インターフェイス コンフィギュレーション コマンドを入力する必要があります。
次に、EAPOL 開始要求の最大数が 5 に設定されている例を示します。
Device(config)# interface g1/0/3 Device(config-if)# dot1x max-start 5
Port Access Entity(PAE)タイプを設定するには、インターフェイス コンフィギュレーション モードで dot1x pae コマンドを使用します。設定された PAE タイプをディセーブルにするには、このコマンドの no 形式を使用します。
dot1x pae { supplicant | authenticator}
no dot1x pae { supplicant | authenticator}
supplicant |
インターフェイスはサプリカントとしてだけ機能し、オーセンティケータ向けのメッセージに応答しません。 |
authenticator |
インターフェイスはオーセンティケータとしてだけ動作し、サプリカント向けのメッセージに応答しません。 |
PAE タイプは設定されていません。
インターフェイス コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
Cisco IOS XE Denali 16.3.1 |
このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。 |
IEEE 802.1x 認証をポート上でディセーブルにする場合は、no dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。
dot1x port-control インターフェイス コンフィギュレーション コマンドを入力するなどしてポート上で IEEE 802.1x 認証を設定した場合、スイッチは自動的にポートを IEEE 802.1x オーセンティケータとして設定します。オーセンティケータの PAE 動作は、no dot1x pae インターフェイス コンフィギュレーション コマンドを入力した後でディセーブルになります。
次に、インターフェイスがサプリカントとして動作するように設定されている例を示します。
Device(config)# interface g1/0/3 Device(config-if)# dot1x pae supplicant
認証中に 802.1x サプリカント ポートへのアクセスを制御するには、グローバル コンフィギュレーション モードで dot1x supplicant controlled transient コマンドを使用します。認証中にサプリカントのポートを開くには、このコマンドの no 形式を使用します。
dot1x supplicant controlled transient
no dot1x supplicant controlled transient
このコマンドには引数またはキーワードはありません。
認証中に 802.1x サプリカントのポートへのアクセスが許可されます。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
Cisco IOS XE Denali 16.3.1 |
このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。 |
デフォルトでは、BPCU ガードがイネーブルにされたオーセンティケータ スイッチにサプリカントのスイッチを接続する場合、オーセンティケータのポートはサプリカント スイッチが認証する前にスパニングツリー プロトコル(STP)のブリッジ プロトコル データ ユニット(BPDU)を受信した場合、errdisable 状態になる可能性があります。Cisco IOS Release 15.0(1) SE 以降では、認証中にサプリカントのポートから送信されるトラフィックを制御できます。dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証が完了する前にオーセンティケータ ポートがシャットダウンすることがないように、認証中に一時的にサプリカントのポートがブロックされます。認証に失敗すると、サプリカントのポートが開きます。no dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証期間中にサプリカント ポートが開きます。これはデフォルトの動作です。
BPDU ガードが spanning-tree bpduguard enable インターフェイス コンフィギュレーション コマンドによりオーセンティケータ スイッチ ポートでイネーブルになっている場合、サプリカント スイッチで dot1x supplicant controlled transient コマンドを使用することを強く推奨します。
次に、認証の間にスイッチの 802.1x サプリカントのポートへのアクセスを制御する例を示します。
Device(config)# dot1x supplicant controlled transient
サプリカント スイッチでマルチキャストまたはユニキャストの Extensible Authentication Protocol over LAN(EAPOL)パケットを受信した場合に、常にマルチキャスト EAPOL パケットのみを送信するように強制するには、グローバル コンフィギュレーション モードで dot1x supplicant force-multicast コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x supplicant force-multicast
no dot1x supplicant force-multicast
このコマンドには引数またはキーワードはありません。
サプリカント スイッチは、ユニキャスト EAPOL パケットを受信すると、ユニキャスト EAPOL パケットを送信します。同様に、マルチキャスト EAPOL パケットを受信すると、EAPOL パケットを送信します。
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
Cisco IOS XE Denali 16.3.1 |
このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。 |
Network Edge Access Topology(NEAT)がすべてのホスト モードで機能するようにするには、サプリカント スイッチ上でこのコマンドをイネーブルにします。
次の例では、サプリカント スイッチがオーセンティケータ スイッチにマルチキャスト EAPOL パケットを送信するように設定する方法を示します。
Device(config)# dot1x supplicant force-multicast
スイッチの Client Information Signalling Protocol(CISP)をイネーブルにすることで、スイッチがサプリカント スイッチに対するオーセンティケータとして動作するようにします。 |
|
すべてのスイッチ ポート上の IEEE 802.1x のアクティビティをモニタリングして、IEEE 802.1x をサポートするポートに接続しているデバイスの情報を表示するには、スイッチ スタックまたはスタンドアロン スイッチの特権 EXEC モードで dot1x test eapol-capable コマンドを使用します。
dot1x test eapol-capable [ interface interface-id]
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
スイッチ上のすべてのポートまたは特定のポートに接続するデバイスの IEEE 802.1x 機能をテストするには、このコマンドを使用します。
次の例では、スイッチ上で IEEE 802.1x の準備チェックをイネーブルにして、ポートに対してクエリーを実行する方法を示します。また、ポートに接続しているデバイスを確認するためのクエリーの実行対象ポートから受信した応答が IEEE 802.1x 対応であることを示します。
Device# dot1x test eapol-capable interface gigabitethernet1/0/13 DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable
IEEE 802.1x 準備状態を照会しているポートからの EAPOL 応答の待機に使用されるタイムアウトを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で、グローバル コンフィギュレーション モードで dot1x test timeout コマンドを使用します。
dot1x test timeout timeout
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、EAPOL 応答を 27 秒間待機するようにスイッチを設定する方法を示します。
Device# dot1x test timeout 27
すべての、または指定された IEEE 802.1x 対応ポートに接続するデバイスで IEEE 802.1x の準備が整っているかを確認します。 |
再試行タイムアウトの値を設定するには、グローバル コンフィギュレーション モードまたはインターフェイス コンフィギュレーション モードで dot1x timeout コマンドを使用します。再試行タイムアウトをデフォルト値に戻すには、このコマンドの no 形式を使用します。
dot1x timeout { auth-period seconds | held-period seconds | quiet-period seconds| ratelimit-period seconds| server-timeout seconds | start-period seconds | supp-timeout seconds | tx-period seconds}
auth-periodseconds |
サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。 有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。 |
held-periodseconds |
サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。 有効な範囲は 1 ~ 65535 です。デフォルト値は 60 です。 |
quiet-periodseconds |
認証情報の交換に失敗したあと、クライアントの再認証を試みるまでにオーセンティケータ(サーバ)が待機状態(HELD 状態)を続ける秒数を設定します。 有効な範囲は 1 ~ 65535 です。デフォルト値は 60 です。 |
ratelimit-periodseconds |
動作の不正なクライアント PC(たとえば、スイッチ処理電力の無駄につながる、EAP-START パケットを送信する PC)から送信される EAP-START パケットを抑制します。 |
server-timeoutseconds |
連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。 サーバが指定時間内に 802.1X パケットへの応答を送信しない場合、パケットは再度送信されます。 |
start-periodseconds |
連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。 有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。 |
supp-timeoutseconds |
EAP 要求 ID 以外のすべての EAP メッセージについて、オーセンティケータからホストへの再送信時間を設定します。 有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。 |
tx-periodseconds |
クライアントに EAP 要求 ID パケットを再送信する間隔を(応答が受信されないものと仮定して)秒数で設定します。 |
定期的な再認証と定期的なレート制限が行われます。
インターフェイス コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。
dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにしただけの場合、dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、スイッチの動作に影響します。
待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。デフォルトよりも小さい数を入力することによって、ユーザへの応答時間を短縮できます。
ratelimit-period が 0(デフォルト)に設定された場合、スイッチは認証に成功したクライアントからの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。
次に、さまざまな 802.1X 再送信およびタイムアウト時間が設定されている例を示します。
Device(config)# configure terminal Device(config)# interface g1/0/3 Device(config-if)# dot1x port-control auto Device(config-if)# dot1x timeout auth-period 2000 Device(config-if)# dot1x timeout held-period 2400 Device(config-if)# dot1x timeout quiet-period 600 Device(config-if)# dot1x timeout start-period 90 Device(config-if)# dot1x timeout supp-timeout 300 Device(config-if)# dot1x timeout tx-period 60 Device(config-if)# dot1x timeout server-timeout 60
アクセス コントロール リスト(ACL)が設定されていないポートにオープン ディレクティブを設定するには、グローバル コンフィギュレーション モードで epm access-control open コマンドを使用します。オープン ディレクティブをディセーブルにするには、このコマンドの no 形式を使用します。
epm access-control open
no epm access-control open
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
スタティック ACL が設定されたアクセス ポートに、認可ポリシーのないホストを許可するオープン ディレクティブを設定するには、このコマンドを使用します。このコマンドを設定しない場合、ポートは設定された ACL のポリシーをトラフィックに適用します。ポートにスタティック ACL が設定されていない場合、デフォルトおよびオープンの両方のディレクティブがポートへのアクセスを許可します。
次の例では、オープン ディレクティブを設定する方法を示します。
Device(config)# epm access-control open
ロールベース(セキュリティ グループ)アクセス コントロール リスト(RBACL)を作成して、ロールベース ACL コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで ip access-list role-based コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
ip access-list role-based access-list-name
no ip access-list role-based access-list-name
access-list-name |
セキュリティ グループ アクセス コントロール リスト(SGACL)の名前。 |
ロールベースの ACL は設定されていません。
グローバル コンフィギュレーション(config)
リリース | 変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが導入されました。 |
SGACL ロギングの場合は、permitiplog コマンドを設定する必要があります。また、このコマンドは、ダイナミック SGACL のロギングを有効にするために、Cisco Identity Services Engine(ISE)でも設定する必要があります。
次に、IPv4トラフィックに適用できる SGACL を定義し、ロールベース アクセス リスト コンフィギュレーション モードを開始する例を示します。
Switch(config)# ip access-list role-based rbacl1 Switch(config-rb-acl)# permit ip log
コマンド |
説明 |
---|---|
permitiplog |
設定されたエントリに一致するロギングを許可します。 |
showipaccess-list |
現在のすべての IP アクセス リストの内容を表示します。 |
Web 認証をイネーブルにするには、インターフェイス コンフィギュレーション モードで ip admission コマンドを使用します。このコマンドは、フォールバック プロファイル コンフィギュレーション モードでも使用できます。Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。
ip admission rule
no ip admission rule
rule |
IP アドミッション ルールの名前。 |
Web 認証はディセーブルです。
インターフェイス コンフィギュレーション
フォールバック プロファイル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
ip admission コマンドにより、スイッチ ポートに Web 認証ルールが適用されます。
次の例では、スイッチ ポートに Web 認証ルールを適用する方法を示します。
Device# configure terminal Device(config)# interface gigabitethernet1/0/1 Device(config-if)# ip admission rule1
次の例では、IEEE 802.1x 対応のスイッチ ポートで使用するフォールバック プロファイルに Web 認証ルールを適用する方法を示します。
Device# configure terminal Device(config)# fallback profile profile1 Device(config-fallback-profile)# ip admission rule1
Web 認証をイネーブルにするには、グローバル コンフィギュレーション モードで ip admission name コマンドを使用します。Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。
ip admission name name { consent | proxyhttp} [ absolute timer minutes | inactivity-timeminutes | list{ acl | acl-name} | service-policy type tagservice-policy-name]
no ip admission name name { consent | proxyhttp} [ absolute timer minutes | inactivity-timeminutes | list{ acl | acl-name} | service-policy type tagservice-policy-name]
name |
ネットワーク アドミッション制御ルールの名前。 |
consent |
認証プロキシ同意 Web ページを admission-name 引数で指定された IP アドミッション ルールに対応させます。 |
proxy http |
Web 認証のカスタム ページを設定します。 |
absolute-timer minutes |
(任意)外部サーバがタイム アウトするまでの経過時間(分)。 |
inactivity-timeminutes |
(任意)外部ファイル サーバが到達不能であると見なされるまでの経過時間(分)。 |
list | (任意)指定されたルールをアクセス コントロール リスト(ACL)に関連付けます。 |
acl |
標準、拡張リストを指定のアドミッション制御ルールに適用します。値の範囲は 1~199、または拡張範囲で 1300 から 2699 です。 |
acl-name |
名前付きのアクセス リストを指定のアドミッション制御ルールに適用します。 |
service-policy type tag |
(任意)コントロール プレーン サービス ポリシーを設定できます。 |
service-policy-name |
policy-map type control tagpolicyname コマンド、キーワード、および引数を使用して設定されたコントロール プレーン タグのサービス ポリシー。このポリシー マップは、タグを受信したときのホストでの処理を適用するために使用されます。 |
Web 認証はディセーブルです。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
ip admission name コマンドにより、スイッチ上で Web 認証がグローバルにイネーブルになります。
スイッチ上で Web 認証をイネーブルにしてから、ip access-group in および ip admission web-rule インターフェイス コンフィギュレーション コマンドを使用して、特定のインターフェイス上で Web 認証をイネーブルにします。
次に、スイッチ ポートで Web 認証のみを設定する例を示します。
Device# configure terminal Device(config) ip admission name http-rule proxy http Device(config)# interface gigabitethernet1/0/1 Device(config-if)# ip access-group 101 in Device(config-if)# ip admission rule Device(config-if)# end
次の例では、スイッチ ポートでのフォールバック メカニズムとして、Web 認証とともに IEEE 802.1x 認証を設定する方法を示します。
Device# configure terminal Device(config)# ip admission name rule2 proxy http Device(config)# fallback profile profile1 Device(config)# ip access group 101 in Device(config)# ip admission name rule2 Device(config)# interface gigabitethernet1/0/1 Device(config-if)# dot1x port-control auto Device(config-if)# dot1x fallback profile1 Device(config-if)# end
コマンド |
説明 |
---|---|
dot1x fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
fallback profile |
Web 認証のフォールバック プロファイルを作成します。 |
ip admission |
ポートで Web 認証をイネーブルにします。 |
show authentication sessions interface interface detail |
Web 認証セッションのステータスに関する情報を表示します。 |
show ip admission |
NAC のキャッシュされたエントリまたは NAC 設定についての情報を表示します。 |
レイヤ 2 アクセス ポートで IP デバイス トラッキング パラメータを設定するには、インターフェイス コンフィギュレーション モードで ip device tracking maximum コマンドを使用します。最大値を削除するには、このコマンドの no 形式を使用します。
ip device tracking maximum number
no ip device tracking maximum
number |
ポートの IP デバイス トラッキング テーブルに作成するバインディングの数。範囲は 0(ディセーブル)~ 65535 です。 |
なし
インターフェイス コンフィギュレーション モード
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
最大値を削除するには、no ip device tracking maximum コマンドを使用します。
IP デバイス トラッキングをディセーブルにするには、ip device tracking maximum 0 コマンドを使用します。
(注) | このコマンドは、設定されている場合は常に IPDT を有効にします。 |
次の例では、レイヤ 2 アクセス ポートで IP デバイス トラッキング パラメータを設定する方法を示します。
Device# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)# ip device tracking Device(config)# interface gigabitethernet1/0/3 Device(config-if)# switchport mode access Device(config-if)# switchport access vlan 1 Device(config-if)# ip device tracking maximum 5 Device(config-if)# switchport port-security Device(config-if)# switchport port-security maximum 5 Device(config-if)# end
Address Resolution Protocol(ARP)プローブの IP デバイス トラッキング テーブルを設定するには、グローバル コンフィギュレーション モードで ip device tracking probe コマンドを使用します。ARP インスペクションをディセーブルにするには、このコマンドの no 形式を使用します。
ip device tracking probe { count number | delay seconds | interval seconds | use-svi address }
no ip device tracking probe { count number | delay seconds | interval seconds | use-svi address }
countnumber |
デバイスが ARP プローブを送信する回数を設定します。範囲は 1 ~ 255 です。 |
delayseconds |
デバイスが ARP プローブを送信するまで待機する秒数を設定します。指定できる範囲は 1 ~ 120 です。 |
intervalseconds |
デバイスが応答を待ち、ARP プローブを再送信するまでの秒数を設定します。指定できる範囲は 30 ~ 1814400 秒です。 |
use-svi |
スイッチ仮想インターフェイス(SVI)IP アドレスを ARP プローブのソースとして使用します。 |
カウント番号は 3 です。
遅延はありません。
30 秒間隔です。
ARP プローブのデフォルト ソース IP アドレスはレイヤ 3 インターフェイスで、スイッチポートでは 0.0.0.0 です。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
スイッチ ポートのデフォルト ソース IP アドレス 0.0.0.0 が使用され、ARP プローブがドロップする場合に、IP デバイス トラッキング テーブルが SVI IP アドレスを ARP プローブに使用するように設定するには、use-svi キーワードを使用します。
次の例では、SVI を ARP プローブのソースとして設定する方法を示します。
Device(config)# ip device tracking probe use-svi
Dynamic Host Configuration Protocol(DHCP)のスヌーピング データベースを設定するには、グローバル コンフィギュレーション モードで ip dhcp snooping database コマンドを使用します。DHCP スヌーピング サーバをディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping database { crashinfo:url | flash:url | ftp:url | http:url | https:url | rcp:url | scp:url | tftp:url | timeout seconds | usbflash0:url | write-delay seconds}
no ip dhcp snooping database [ timeout| write-delay ]
crashinfo:url |
crashinfo を使用して、エントリを格納するためのデータベースの URL を指定します。 |
flash:url |
flash を使用して、エントリを格納するためのデータベースの URL を指定します。 |
ftp:url |
FTP を使用して、エントリを格納するためのデータベースの URL を指定します。 |
http:url |
HTTP を使用して、エントリを格納するためのデータベースの URL を指定します。 |
https:url |
セキュア HTTP(HTTPS)を使用して、エントリを格納するためのデータベースの URL を指定します。 |
rcp:url |
リモート コピー(RCP)を使用して、エントリを格納するためのデータベースの URL を指定します。 |
scp:url |
セキュア コピー(SCP)を使用して、エントリを格納するためのデータベースの URL を指定します。 |
tftp:url |
TFTP を使用して、エントリを格納するためのデータベースの URL を指定します。 |
timeout seconds |
中断タイムアウト インターバルを指定します。有効値は 0 ~ 86,400 秒です。 |
usbflash0:url |
USB flash を使用して、エントリを格納するためのデータベースの URL を指定します。 |
write-delay seconds |
ローカル DHCP スヌーピング データベースにデータが追加されてから、DHCP スヌーピング エントリを外部サーバに書き込みするまでの時間を指定します。有効値は 15 ~ 86,400 秒です。 |
DHCP スヌーピング データベースは設定されていません。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドを入力する前に、インターフェイス上で DHCP スヌーピングをイネーブルにする必要があります。DHCP スヌーピングをイネーブルにするには、ip dhcp snooping コマンドを使用します。
次に、TFTP を使用してデータベースの URL を指定する例を示します。
Device(config)# ip dhcp snooping database tftp://10.90.90.90/snooping-rp2
次に、DHCP スヌーピング エントリを外部サーバに書き込むまでの時間を指定する例を示します。
Device(config)# ip dhcp snooping database write-delay 15
オプション 82 リモート ID サブオプションを設定するには、スイッチのグローバル コンフィギュレーション モードで ip dhcp snooping information option format remote-id コマンドを使用します。デフォルトのリモート ID サブオプションを設定するには、このコマンドの no 形式を使用します。
ip dhcp snooping information option format remote-id { hostname | string string}
no ip dhcp snooping information option format remote-id { hostname | string string}
hostname |
スイッチのホスト名をリモート ID として指定します。 |
string string |
1 ~ 63 の ASCII 文字(スペースなし)を使用して、リモート ID を指定します。 |
スイッチの MAC アドレスは、リモート ID です。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
DHCP スヌーピング設定を有効にするには、ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して、DHCP スヌーピングをグローバルにイネーブルにする必要があります。
オプション 82 機能がイネーブルの場合、デフォルトのリモート ID サブオプションはスイッチの MAC アドレスです。このコマンドを使用すると、スイッチのホスト名または 63 個の ASCII 文字列(スペースなし)のいずれかをリモート ID として設定できます。
(注) | ホスト名が 63 文字を超える場合、リモート ID 設定では 63 文字以降は省略されます。 |
次の例では、オプション 82 リモート ID サブオプションを設定する方法を示します。
Device(config)# ip dhcp snooping information option format remote-id hostname
DHCP クライアント メッセージのリレー エージェント アドレス(giaddr)が信頼できないポート上のクライアント ハードウェア アドレスに一致することを確認して、DHCP スヌーピング機能をディセーブルにするには、グローバル コンフィギュレーション モードで ip dhcp snooping verify no-relay-agent-address コマンドを使用します。検証をイネーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping verify no-relay-agent-address
no ip dhcp snooping verify no-relay-agent-address
このコマンドには引数またはキーワードはありません。
DHCP スヌーピング機能では、信頼できないポート上の DHCP クライアント メッセージのリレー エージェント IP アドレス(giaddr)フィールドが 0 であることを確認します。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
デフォルトでは、DHCP スヌーピング機能では、信頼できないポート上の DHCP クライアント メッセージのリレー エージェントの IP アドレス(giaddr)フィールドが 0 であることを確認します。giaddr フィールドが 0 でない場合、メッセージはドロップされます。検証をディセーブルにするには、ip dhcp snooping verify no-relay-agent-address コマンドを使用します。検証を再度イネーブルにするには、no ip dhcp snooping verify no-relay-agent-address コマンドを使用します。
次に、DHCP クライアント メッセージの giaddr 検証をイネーブルにする例を示します。
Device(config)# no ip dhcp snooping verify no-relay-agent-address
(注) | 既存の ip http access-classaccess-list-number コマンドは、現在サポートされていますが、廃止される予定です。代わりに ip http access-class ipv4 { access-list-number | access-list-name } and ip http access-class ipv6access-list-name を使用します。 |
ip http access-class { access-list-number | ipv4 { access-list-number | access-list-name } | ipv6 access-list-name }
no ip http access-class { access-list-number | ipv4 { access-list-number | access-list-name } | ipv6 access-list-name }
ipv4 |
セキュア HTTP サーバへのアクセスを制限するように IPv4 アクセス リストを指定します。 |
ipv6 |
セキュア HTTP サーバへのアクセスを制限するように IPv6 アクセス リストを指定します。 |
access-list-number |
グローバル コンフィギュレーション コマンド access-list を使用して設定される、0 ~ 99 の標準 IP アクセス リスト番号。 |
access-list-name |
ip access-list コマンドで設定された標準 IPv4 アクセス リストの名前。 |
アクセス リストは、HTTP サーバには適用されません。
グローバル コンフィギュレーション(config)
リリース |
変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが変更されました。ipv4 および ipv6 キーワードが追加されました。 |
Cisco IOS XE Release 3.3SE |
このコマンドが導入されました。 |
このコマンドが設定されていると、指定されたアクセス リストは HTTP サーバに割り当てられます。HTTP サーバは、接続を受け入れる前にアクセス リストを確認します。確認に失敗すると、HTTP サーバは接続要求を承認しません。
次に、アクセス リストを 20 に定義して、HTTP サーバに割り当てる例を示します。
Device(config)# ip access-list standard 20 Device(config-std-nacl)# permit 209.165.202.130 0.0.0.255 Device(config-std-nacl)# permit 209.165.201.1 0.0.255.255 Device(config-std-nacl)# permit 209.165.200.225 0.255.255.255 Device(config-std-nacl)# exit Device(config)# ip http access-class 20
次に、IPv4 の指定済みアクセス リストを定義して、HTTP サーバに割り当てる例を示します。
Device(config)# ip access-list standard Internet_filter Device(config-std-nacl)# permit 1.2.3.4 Device(config-std-nacl)# exit Device(config)# ip http access-class ipv4 Internet_filter
コマンド |
説明 |
---|---|
ipaccess-list |
ID をアクセス リストに割り当て、アクセス リストのコンフィギュレーション モードを開始します。 |
iphttpserver |
HTTP 1.1 サーバ(Cisco Web ブラウザ ユーザ インターフェイスを含む)をイネーブルにします。 |
スタティック IP ソース バインディング エントリを追加するには、ip source binding コマンドを使用します。スタティック IP ソース バインディング エントリを削除するには、このコマンドの no 形式を使用します。
ip source binding mac-address vlan vlan-id ip-address interface interface-id
no ip source binding mac-address vlan vlan-id ip-address interface interface-id
mac-address |
バインディング対象 MAC アドレスです。 |
vlan vlan-id |
レイヤ 2 VLAN ID を指定します。有効な値は 1~4094 です。 |
ip-address |
バインディング対象 IP アドレスです。 |
interface interface-id |
物理インターフェイスの ID です。 |
IP 送信元バインディングは設定されていません。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドは、スタティック IP ソース バインディング エントリだけを追加するために使用できます。
no 形式は、対応する IP ソース バインディング エントリを削除します。削除が正常に実行されるためには、すべての必須パラメータが正確に一致しなければなりません。各スタティック IP バインディング エントリは MAC アドレスと VLAN 番号がキーであることに注意してください。コマンドに既存の MAC アドレスと VLAN 番号が含まれる場合、別のバインディング エントリが作成される代わりに既存のバインディング エントリが新しいパラメータで更新されます。
次の例では、スタティック IP ソース バインディング エントリを追加する方法を示します。
Device# configure terminal Deviceconfig) ip source binding 0100.0230.0002 vlan 11 10.0.0.4 interface gigabitethernet1/0/1
インターフェイス上の IP ソース ガードをイネーブルにするには、インターフェイス コンフィギュレーション モードで ip verify source コマンドを使用します。IP ソース ガードをディセーブルにするには、このコマンドの no 形式を使用します。
ip verify source [ mac-check ] [ tracking]
no ip verify source
mac-check |
(任意)MAC アドレス検証による IP ソース ガードをイネーブルにします。 |
tracking |
(任意)ポートで静的 IP アドレス を学習するために IP ポート セキュリティをイネーブルにします。 |
IP 送信元ガードはディセーブルです。
インターフェイス コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
送信元 IP アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、ip verify source インターフェイス コンフィギュレーション コマンドを使用します。
送信元 IP アドレス フィルタリングおよび MAC アドレス検証による IP ソース ガードをイネーブルにするには、ip verify sourcemac-check インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、送信元 IP アドレス フィルタリングによる IP ソース ガードをインターフェイス上でイネーブルにする方法を示します。
Device(config)# interface gigabitethernet1/0/1 Device(config-if)# ip verify source
次の例では、MAC アドレスの検証による IP ソース ガードをイネーブルにする方法を示します。
Device(config)# interface gigabitethernet1/0/1 Device(config-if)# ip verify source mac-check
Device# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)# ip dhcp snooping Device(config)# ip dhcp snooping vlan 10 20 Device(config)# interface gigabitethernet1/0/1 Device(config-if)# switchport trunk encapsulation dot1q Device(config-if)# switchport mode trunk Device(config-if)# switchport trunk native vlan 10 Device(config-if)# switchport trunk allowed vlan 11-20 Device(config-if)# no ip dhcp snooping trust Device(config-if)# ip verify source vlan dhcp-snooping Device(config)# end Device# show ip verify source interface fastethernet0/1 Interface Filter-type Filter-mode IP-address Mac-address Vlan --------- ----------- ----------- --------------- ----------------- ---------- Gi1/0/1 ip-mac active 10.0.0.1 10 Gi1/0/1 ip-mac active deny-all 11-20 Device#
Device# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)# ip device tracking Device(config)# interface gigabitethernet1/0/3 Device(config-if)# switchport mode access Device(config-if)# switchport access vlan 1 Device(config-if)# ip device tracking maximum 5 Device(config-if)# switchport port-security Device(config-if)# switchport port-security maximum 5 Device(config-if)# ip verify source tracking port-security Device(config-if)# end
設定を確認するには、show ip verify source 特権 EXEC コマンドを入力します。
IPv6 アクセス リストを定義してデバイスを IPv6 アクセス リスト コンフィギュレーション モードに設定するには、グローバル コンフィギュレーション モードで ipv6access-list コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。
ipv6 access-list access-list-name | match-local-traffic | log-update threshold threshold-in-msgs | role-based list-name
noipv6 access-list access-list-name | client permit-control-packets| log-update threshold | role-based list-name
ipv6 access-list-name |
名前付き IPv6 ACL(最長 64 文字)を作成し、IPv6 ACL コンフィギュレーション モードを開始します。 access-list-name:IPv6 アクセス リストの名前。名前は、スペース、疑問符を含むことができず、また、数字で始めることはできません。 |
match-local-traffic |
ローカルで生成されたトラフィックに対する照合を有効にします。 |
log-update threshold threshold-in-msgs |
最初のパケットの一致後に、syslog メッセージを生成する方法を決定します。 threshold-in-msgs:生成されるパケット数。 |
role-based list-name |
ロールベースの IPv6 ACL を作成します。 |
IPv6 アクセス リストは定義されていません。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。 |
IPv6 ACL は、グローバル コンフィギュレーション モードで ipv6access-list コマンドを使用することで定義され、その許可と拒否の条件は IPv6 アクセス リスト コンフィギュレーション モードで deny および permit コマンドを使用することで設定されます。ipv6access-list コマンドを設定すると、デバイスは IPv6 アクセス リスト コンフィギュレーション モードになり、デバイス プロンプトは Device(config-ipv6-acl)# に変わります。IPv6 アクセス リスト コンフィギュレーション モードから、定義済みの IPv6 ACL に許可および拒否の条件を設定できます。
(注) | IPv6 ACL は一意な名前によって定義されます(IPv6 は番号付けされた ACL をサポートしません)。IPv4 ACL と IPv6 ACL は同じ名前を共有できません。 |
IPv6 は、グローバル コンフィギュレーション モードから IPv6 アクセス リスト コンフィギュレーション モードに変換される permitanyany ステートメントおよび denyanyany ステートメントでプロトコル タイプとして自動的に設定されます。
すべての IPv6 ACL には、最終一致条件として、暗黙の permiticmpanyanynd-na、permiticmpanyanynd-ns および denyipv6anyany の各ステートメントがあります(前の 2 つの一致条件は、ICMPv6 ネイバー探索を許可します)。1 つの IPv6 ACL には、暗黙の denyipv6anyany ステートメントを有効にするために少なくとも 1 つのエントリが含まれている必要があります。IPv6 ネイバー探索プロセスでは、IPv6 ネットワーク層サービスを利用するため、デフォルトで、インターフェイス上での IPv6 ネイバー探索パケットの送受信が IPv6 ACL によって暗黙的に許可されます。IPv4 の場合、IPv6 ネイバー探索プロセスに相当するアドレス解決プロトコル(ARP)では、個別のデータ リンク層プロトコルを利用するため、デフォルトで、インターフェイス上での ARP パケットの送受信が IPv4 ACL によって暗黙的に許可されます。
IPv6 ACL を IPv6 インターフェイスに適用するには、access-list-name 引数を指定してipv6traffic-filter インターフェイス コンフィギュレーション コマンドを使用します。IPv6 ACL をデバイスとの着信および発信 IPv6 仮想端末接続に適用するには、access-list-name 引数を指定して、ipv6access-class ライン コンフィギュレーション コマンドを使用します。
ipv6traffic-filter コマンドでインターフェイスに適用される IPv6 ACL は、デバイスによって発信されたトラフィックではなく、転送されたトラフィックをフィルタ処理します。
次に、list1 という名前の IPv6 ACL を設定し、デバイスを IPv6 アクセス リスト コンフィギュレーション モードにする例を示します。
Device(config)# ipv6 access-list list1 Device(config-ipv6-acl)#
次に、list2 という名前の IPv6 ACL を設定し、その ACL をイーサネット インターフェイス 0 上の発信トラフィックに適用する例を示します。特に、最初の ACL エントリは、ネットワーク FEC0:0:0:2::/64(送信元 IPv6 アドレスの最初の 64 ビットとしてサイトローカル プレフィックス FEC0:0:0:2 を持つパケット)がイーサネット インターフェイス 0 から出て行くことを拒否します。2 番目の ACL エントリは、その他のすべてのトラフィックがイーサネット インターフェイス 0 から出て行くことを許可します。2 番目のエントリは、各 IPv6 ACL の末尾に暗黙的な deny all 条件があるため、必要となります。
Device(config)# ipv6 access-list list2 deny FEC0:0:0:2::/64 any Device(config)# ipv6 access-list list2 permit any any Device(config)# interface ethernet 0 Device(config-if)# ipv6 traffic-filter list2 out
(注) | すべての既存の IPv6 スヌーピング コマンド(Cisco IOS XE Denali 16.1.1 より前)には、対応する SISF ベースのデバイス トラッキング コマンドが用意され、IPv4 と IPv6 の両方のアドレス ファミリに設定を適用できるようになりました。詳細については、「デバイス トラッキング ポリシー」を参照してください。 |
ipv6 snooping policy snooping-policy
no ipv6 snooping policy snooping-policy
snooping-policy |
スヌーピング ポリシーのユーザ定義名。ポリシー名には象徴的な文字列(Engineering など)または整数(0 など)を使用できます。 |
IPv6 スヌーピング ポリシーは設定されていません。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
device-role コマンドは、ポートに接続されているデバイスのロールを指定します。
limit address-count maximum コマンドは、ポートで使用できる IPv6 アドレスの数を制限します。
protocol コマンドは、アドレスを Dynamic Host Configuration Protocol(DHCP)または Neighbor Discovery Protocol(NDP)で収集する必要があることを指定します。
security-level コマンドは、適用されるセキュリティのレベルを指定します。
tracking コマンドは、ポートのデフォルトのトラッキング ポリシーに優先します。
trusted-port コマンドは、ポートを信頼できるポートとして設定します。つまり、メッセージを受信したときに検証が限定的に実行されるか、まったく実行されません。
次に、IPv6 スヌーピング ポリシーを設定する例を示します。
Device(config)# ipv6 snooping policy policy1 Device(config-ipv6-snooping)#
事前共有キー(PSK)を取得するためにデバイス インターフェイスの MACsec キー チェーンの名前を設定するには、グローバル コンフィギュレーション モードで key chain macsec コマンドを使用します。CDP をディセーブルにするには、このコマンドの no 形式を使用します。
key chain namemacsec { description| key| exit}
name |
キーを取得するために使用するキー チェーンの名前。 |
description |
MACsec キー チェーンの説明を入力します。 |
key |
MACsec キーを設定します。 |
exit |
MACsec キーチェーン コンフィギュレーション モードを終了します。 |
no |
コマンドを無効にするか、またはデフォルト値を設定します。 |
key chain macsec は無効になっています。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが導入されました。 |
次に、128 ビットの事前共有キー(PSK)を取得するために MACsec キー チェーンを設定する例を示します。
Switch#configure terminal Switch(config)#key chain kc1 macsec Switch(config-keychain-macsec)#key 1000 Switch(config-keychain-macsec)#cryptographic-algorithm aes-128-cmac Switch(config-keychain-macsec-key)# key-string fb63e0269e2768c49bab8ee9a5c2258f Switch(config-keychain-macsec-key)#end Switch#
次に、256 ビットの事前共有キー(PSK)を取得するために MACsec キー チェーンを設定する例を示します。
Switch#configure terminal Switch(config)#key chain kc1 macsec Switch(config-keychain-macsec)#key 2000 Switch(config-keychain-macsec)#cryptographic-algorithm aes-256-cmac Switch(config-keychain-macsec-key)# key-string c865632acb269022447c417504a1bf5db1c296449b52627ba01f2ba2574c2878 Switch(config-keychain-macsec-key)#end Switch#
ポートで使用できる IPv6 アドレスの数を制限するには、Neighbor Discovery Protocol(NDP)インスペクション ポリシー コンフィギュレーション モードまたは IPv6 スヌーピング コンフィギュレーション モードで limit address-count コマンドを使用します。デフォルトに戻るには、no 形式のコマンドを使用します。
limit address-count maximum
no limit address-count
maximum |
ポートで許可されているアドレスの数。範囲は 1 ~ 10000 です。 |
デフォルト設定は無制限です。
ND インスペクション ポリシー コンフィギュレーション
IPv6 スヌーピング コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次に、NDP ポリシー名を policy1 と定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートで使用できる IPv6 アドレスの数を 25 に制限する例を示します。
Device(config)# ipv6 nd inspection policy policy1 Device(config-nd-inspection)# limit address-count 25
次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートで使用できる IPv6 アドレスの数を 25 に制限する例を示します。
Device(config)# ipv6 snooping policy policy1 Device(config-ipv6-snooping)# limit address-count 25
スイッチ上で VLAN ID ベースの MAC 認証をイネーブルにするには、グローバル コンフィギュレーション モードで mab request format attribute 32 vlan access-vlan コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
mab request format attribute 32 vlan access-vlan
no mab request format attribute 32 vlan access-vlan
このコマンドには引数またはキーワードはありません。
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
RADIUS サーバがホスト MAC アドレスと VLAN に基づいて新しいユーザを認証できるようにするには、このコマンドを使用します。
Microsoft IAS RADIUS サーバを使用したネットワークでこの機能を使用します。Cisco ACS はこのコマンドを無視します。
次の例では、スイッチで VLAN-ID ベースの MAC 認証をイネーブルにする方法を示します。
Device(config)# mab request format attribute 32 vlan access-vlan
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
|
新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
|
アップリンク インターフェイスの MKA MACsec 設定を有効にするには、インターフェイスで macsec network-link コマンドを使用します。CDP をディセーブルにするには、このコマンドの no 形式を使用します。
macsec network-link
macsec network-link |
EAP-TLS 認証プロトコルを使用してデバイス インターフェイスの MKA MACsec 設定を有効にします。 |
macsec network-link は無効になっています。
インターフェイス コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが導入されました。 |
次に、EAP-TLS 認証プロトコルを使用して、インターフェイスに MACsec MKA を設定する例を示します。
Switch#configure terminal Switch(config)# int G1/0/20 Switch(config-if)# macsec network-link Switch(config-if)# end Switch#
1 つまたは複数のアクセス リストをパケットと照合するように VLAN マップを設定するには、スイッチ スタックまたはスタンドアロン スイッチのアクセスマップ コンフィギュレーション モードで match コマンドを使用します。照合パラメータを削除するには、このコマンドの no 形式を使用します。
match { ip address { name | number } [ name | number ] [ name | number ] ... | ipv6 address { name | number } [ name | number ] [ name | number ] ... | mac address { name } [ name ] [ name ] ... }
no match { ip address { name | number } [ name | number ] [ name | number ] ... | ipv6 address { name | number } [ name | number ] [ name | number ] ... | mac address { name } [ name ] [ name ] ... }
ip address |
パケットを IP アドレス アクセス リストと照合するようにアクセス マップを設定します。 |
ipv6 address |
パケットを IPv6 アドレス アクセス リストと照合するようにアクセス マップを設定します。 |
mac address |
パケットを MAC アドレス アクセス リストと照合するようにアクセス マップを設定します。 |
name |
パケットを照合するアクセス リストの名前です。 |
number |
パケットを照合するアクセス リストの番号です。このオプションは、MAC アクセス リストに対しては無効です。 |
デフォルトのアクションでは、一致パラメータは VLAN マップに適用されません。
アクセス マップ コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
vlan access-map グローバル コンフィギュレーション コマンドを使用して、アクセス マップ コンフィギュレーション モードを開始します。
1 つのアクセス リストの名前または番号を入力する必要があります。その他は任意です。パケットは、1 つまたは複数のアクセス リストに対して照合できます。いずれかのリストに一致すると、エントリの一致としてカウントされます。
アクセス マップ コンフィギュレーション モードでは、match コマンドを使用して、VLAN に適用される VLAN マップの一致条件を定義できます。action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。
パケットは、同じプロトコル タイプのアクセス リストに対してだけ照合されます。IP パケットは、IP アクセス リストに対して照合され、IPv6 パケットは IPv6 アクセス リストに対して照合され、その他のパケットはすべて MAC アクセス リストに対して照合されます。
同じマップ エントリに、IP アドレス、IPv6 アドレスおよび MAC アドレスを指定できます。
次の例では、VLAN アクセス マップ vmap4 を定義して VLAN 5 と VLAN 6 に適用する方法を示します。このアクセス マップでは、パケットがアクセス リスト al2 に定義された条件に一致すると、インターフェイスは IP パケットをドロップします。
Device(config)# vlan access-map vmap4 Device(config-access-map)# match ip address al2 Device(config-access-map)# action drop Device(config-access-map)# exit Device(config)# vlan filter vmap4 vlan-list 5-6
設定を確認するには、show vlan access-map 特権 EXEC コマンドを入力します。
事前共有キー(PSK)を使用してデバイス インターフェイスの MKA MACsec を設定するには、グローバル コンフィギュレーション モードで mka pre-shared-key key-chainkey-chain name コマンドを使用します。CDP をディセーブルにするには、このコマンドの no 形式を使用します。
mka pre-shared-key key-chain key-chain-name
mka pre-shared-key key-chain |
PSK を使用してデバイス インターフェイスの MACsec MKA 設定を有効にします。 |
mka pre-shared-key はディセーブルです。
インターフェイス コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが導入されました。 |
次に、PSK を使用して、インターフェイスの MKA MACsec を設定する例を示します。
Switch# Switch(config)# int G1/0/20 Switch(config-if)# mka pre-shared-key key-chain kc1 Switch(config-if)# end Switch#
認証システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no authentication logging verbose コマンドをグローバル コンフィギュレーション モードで使用します。
no authentication logging verbose
このコマンドには引数またはキーワードはありません。
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドにより、認証システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。失敗メッセージはフィルタリングされません。
verbose 認証システム メッセージをフィルタリングするには、次の手順に従います。
Device(config)# no authentication logging verbose
802.1x システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチのグローバル コンフィギュレーション モードで no dot1x logging verbose コマンドを使用します。
no dot1x logging verbose
このコマンドには引数またはキーワードはありません。
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドにより、802.1x システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。失敗メッセージはフィルタリングされません。
verbose 802.1x システム メッセージをフィルタリングするには、次の手順に従います。
Device(config)# no dot1x logging verbose
MAC 認証バイパス(MAB)のシステム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で、グローバル コンフィギュレーション モードで no mab logging verbose コマンドを使用します。
no mab logging verbose
このコマンドには引数またはキーワードはありません。
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドにより、MAC 認証バイパス(MAB)システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。失敗メッセージはフィルタリングされません。
verbose MAB システム メッセージをフィルタリングするには、次の手順に従います。
Device(config)# no mab logging verbose
条件が一致した場合に非 IP トラフィックの転送を許可するには、スイッチ スタックまたはスタンドアロン スイッチ上で permit MAC アクセスリスト コンフィギュレーション コマンドを使用します。拡張 MAC アクセス リストから許可条件を削除するには、このコマンドの no 形式を使用します。
{ permit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
nopermit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
appletalk は、コマンドラインのヘルプ ストリングには表示されますが、一致条件としてはサポートされていません。
MAC アクセス リスト コンフィギュレーション モードを開始するには、mac access-list extended グローバル コンフィギュレーション コマンドを使用します。
host キーワードを使用した場合、アドレス マスクは入力できません。 any キーワードまたは host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。
アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加されると、リストの最後には暗黙の deny-any-any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。
IPX トラフィックをフィルタ処理するには、使用されている IPX カプセル化のタイプに応じて、type mask または lsaplsap mask キーワードを使用します。Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を、次の表に一覧表示します。
次の例では、あらゆる送信元から MAC アドレス 00c0.00a0.03fa への NetBIOS トラフィックを許可する名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは許可されます。
Device(config-ext-macl)# permit any host 00c0.00a0.03fa netbios
次の例では、名前付き MAC 拡張アクセス リストから許可条件を削除する方法を示します。
Device(config-ext-macl)# no permit any 00c0.00a0.03fa 0000.0000.0000 netbios
次の例では、EtherType 0x4321 のすべてのパケットを許可します。
Device(config-ext-macl)# permit any any 0x4321 0
MAC アクセスリスト コンフィギュレーションを拒否します。条件が一致した場合に非 IP トラフィックが転送されるのを拒否します。 |
|
propagate sgt
このコマンドには引数またはキーワードはありません。
SGT 処理の伝達が有効になっています。
CTS 手動インターフェイス コンフィギュレーション モード(config-if-cts-manual)
リリース |
変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが導入されました。 |
SGT 処理の伝達によって、CTS 対応のインターフェイスは L2 SGT タグに基づいて CTS メタ データ(CMD)を受信および送信できます。ピア デバイスが SGT を受信できず、その結果、SGT タグを L2 ヘッダーに配置できない状況で、インターフェイスの SGT 伝達を無効にするには no propagate sgt コマンドを使用します。
次に、手動で設定された TrustSec 対応のインターフェイスで SGT 伝達を無効にする例を示します。
Switch# configure terminal Switch(config)# interface gigabitethernet 0 Switch(config-if)# cts manual Switch(config-if-cts-manual)# no propagate sgt
次に、ギガビット イーサネット インターフェイス 0 で SGT 伝達が無効になっている例を示します。
Switch#show cts interface brief Global Dot1x feature is Disabled Interface GigabitEthernet0: CTS is enabled, mode: MANUAL IFC state: OPEN Authentication Status: NOT APPLICABLE Peer identity: "unknown" Peer's advertised capabilities: "" Authorization Status: NOT APPLICABLE SAP Status: NOT APPLICABLE Propagate SGT: Disabled Cache Info: Cache applied to link : NONE
コマンド |
説明 |
---|---|
cts manual |
CTS のインターフェイスを有効にします。 |
show cts interface |
インターフェイスごとの Cisco TrustSec ステートおよび統計情報を表示します。 |
アドレスを Dynamic Host Configuration Protocol(DHCP)または Neighbor Discovery Protocol(NDP)で収集する必要があることを指定するか、プロトコルを IPv6 プレフィックス リストに対応させるには、protocol コマンドを使用します。DHCP または NDP によるアドレス収集をディセーブルにするには、このコマンドの no 形式を使用します。
protocol { dhcp | ndp}
no protocol { dhcp | ndp}
dhcp |
アドレスをダイナミック ホスト コンフィギュレーション プロトコル(DHCP)パケットで収集する必要があることを指定します。 |
ndp |
アドレスをネイバー探索プロトコル(NDP)パケットで収集する必要があることを指定します。 |
スヌーピングとリカバリは DHCP および NDP の両方を使用して試行します。
IPv6 スヌーピング コンフィギュレーション モード
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
アドレスが DHCP または NDP に対応するプレフィックス リストと一致しない場合は、制御パケットがドロップされ、バインディング テーブル エントリのリカバリはそのプロトコルに対しては試行されません。
次に、IPv6 スヌーピングポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、アドレスの収集に DHCP を使用するようにポートを設定する例を示します。
Device(config)# ipv6 snooping policy policy1 Device(config-ipv6-snooping)# protocol dhcp
2 個のインターフェイスの間のリンク暗号化をネゴシエートするために使用される Security Association Protocol(SAP)の認証と暗号化モード(最高から最低に優先順位付けされた)を選択するには、CTS dot1x インターフェイス コンフィギュレーション モードで sap mode-list コマンドを使用します。モードリストを削除してデフォルトに戻すには、このコマンドの no 形式を使用します。
2 個のインターフェイス間で MACsec のリンク暗号化をネゴシエートするために、ペアワイズ マスター キー(PMK)と Security Association Protocol(SAP)の認証および暗号化モードを手動で指定するには、sap mode-list コマンドを使用します。設定を無効にするには、このコマンドの no 形式を使用します。
sap pmk mode-list { gcm-encrypt | gmac | no-encap | null } [ gcm-encrypt | gmac | no-encap | null ]
no sap pmk mode-list { gcm-encrypt | gmac | no-encap | null } [ gcm-encrypt | gmac | no-encap | null ]
pmkhex_value |
16 進数データ PMK を指定します(先行する 0x なし。偶数の16 進数文字を入力する。そうでない場合は、最後の文字に 0 のプレフィックスが付加される)。 |
mode-list |
アドバタイズされたモードのリストを指定します(最高から最低に優先順位付け)。 |
gcm-encrypt |
GMAC 認証、GCM 暗号化を指定します。 |
gmac |
GMAC 認証だけを指定し、暗号化を指定しません。 |
no-encap |
カプセル化を指定しません。 |
null |
カプセル化あり、認証なし、暗号化なしを指定します。 |
デフォルトのカプセル化は、sap pmk mode-list gcm-encrypt null です。ピア インターフェイスが 802.1AE MACsec または 802.REV レイヤ 2 リンク暗号化をサポートしない場合、デフォルトの暗号化は null です。
CTS 手動インターフェイス コンフィギュレーション(config-if-cts-manual)
リリース |
変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが導入されました。 |
認証と暗号化方式を指定するには、sap pmk mode-list コマンドを使用します。
セキュリティ アソシエーション プロトコル(SAP)は 802.11i IEEE プロトコルのドラフト バージョンに基づいた暗号キーの取得および交換プロトコルです。SAP は MACsec をサポートするインターフェイス間の 802.1AE リンク間暗号化(MACsec)を確立および管理するために使用します。
SAP およびペアワイズ マスター キー(PMK)は、sap pmk mode-list コマンドを使用して、2 個のインターフェイス間に手動で設定することもできます。802.1X 認証を使用する場合、両方(サプリカントおよびオーセンティケータ)が Cisco Secure Access Control Server からピアのポートの PMK および MAC アドレスを受信します。
デバイスが CTS 対応ソフトウェアを実行していて、ハードウェアが CTS 非対応である場合は、sap mode-list no-encap コマンドを使用してカプセル化を拒否します。
次に、ギガビット イーサネット インターフェイスで SAP を設定する例を示します。
Switch# configure terminal Switch(config)# interface gigabitethernet 2/1 Switch(config-if)# cts manual Switch(config-if-cts-manual)# sap pmk FFFEE mode-list gcm-encrypt
コマンド |
説明 |
---|---|
cts manual |
CTS のインターフェイスを有効にします。 |
propagate sgt (cts manual) |
Cisco TrustSec Security(CTS)のレイヤ 2 でのセキュリティ グループ タグ(SGT)伝達を有効にします。 |
show cts interface |
Cisco TrustSec インターフェイス設定の統計情報を表示します。 |
適用されるセキュリティのレベルを指定するには、IPv6 スヌーピング ポリシー コンフィギュレーション モードで security-level コマンドを使用します。
security level { glean | guard | inspect}
glean |
アドレスをメッセージから抽出し、検証を行わずにそれらをバインディング テーブルにインストールします。 |
guard |
収集と検査の両方を実行します。さらに、信頼できるポートで受信されていない場合、または別のポリシーによって許可されていない場合、RA メッセージおよび DHCP サーバ メッセージは拒否されます。 |
inspect |
メッセージの一貫性と準拠度を検証します。特に、アドレス所有権が強制されます。無効なメッセージはドロップされます。 |
デフォルトのセキュリティ レベルは guard です。
IPv6 スヌーピング コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、セキュリティ レベルを inspect として設定する例を示します。
Device(config)# ipv6 snooping policy policy1 Device(config-ipv6-snooping)# security-level inspect
IPSec のパススルーを変更するには、securitypassthru コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
security passthru ip-address
no security passthru
ip-address |
(任意)VPN トンネルの終端となる IPSec ゲートウェイ(ルータ)の IP アドレスです。 |
なし。
wlan
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次に、IPSec のパススルーを変更する例を示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#security passthrough 10.1.1.1
AAA クライアントの統計情報を表示するには、show aaa clients コマンドを使用します。
show aaa clients [ detailed]
detailed |
(任意)詳細な AAA クライアントの統計情報を示します。 |
ユーザ EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、show aaa clients コマンドの出力を示します。
Device# show aaa clients
Dropped request packets: 0
AAA コマンド ハンドラの統計情報を表示するには、show aaa command handler コマンドを使用します。
show aaa command handler
このコマンドには引数またはキーワードはありません。
ユーザ EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、show aaa command handler コマンドの出力を示します。
Device# show aaa command handler
AAA Command Handler Statistics:
account-logon: 0, account-logoff: 0
account-query: 0, pod: 0
service-logon: 0, service-logoff: 0
user-profile-push: 0, session-state-log: 0
reauthenticate: 0, bounce-host-port: 0
disable-host-port: 0, update-rbacl: 0
update-sgt: 0, update-cts-policies: 0
invalid commands: 0
async message not sent: 0
AAA ローカル方式オプションを表示するには、show aaa local コマンドを使用します。
show aaa local { netuser{ name | all} | statistics | user lockout}
netuser |
AAA ローカル ネットワークまたはゲスト ユーザ データベースを指定します。 |
name |
ネットワーク ユーザ名。 |
all |
ネットワークおよびゲスト ユーザ情報を指定します。 |
statistics |
ローカル認証の統計情報を表示します。 |
user lockout |
AAA ローカルのロックアウトされたユーザを指定します。 |
ユーザ EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、show aaa local statistics コマンドの出力を示します。
Device# show aaa local statistics
Local EAP statistics
EAP Method Success Fail
-------------------------------------
Unknown 0 0
EAP-MD5 0 0
EAP-GTC 0 0
LEAP 0 0
PEAP 0 0
EAP-TLS 0 0
EAP-MSCHAPV2 0 0
EAP-FAST 0 0
Requests received from AAA: 0
Responses returned from EAP: 0
Requests dropped (no EAP AVP): 0
Requests dropped (other reasons): 0
Authentication timeouts from EAP: 0
Credential request statistics
Requests sent to backend: 0
Requests failed (unable to send): 0
Authorization results received
Success: 0
Fail: 0
AAA サーバの MIB によって認識されるすべての AAA サーバを表示するには、show aaa servers コマンドを使用します。
show aaa servers [ private| public| [ detailed] ]
detailed |
(任意)AAA サーバの MIB によって認識されるプライベート AAA サーバを表示します。 |
public |
(任意)AAA サーバの MIB によって認識されるパブリック AAA サーバを表示します。 |
detailed |
(任意)詳細な AAA サーバの統計情報を表示します。 |
ユーザ EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、show aaa servers コマンドの出力を示します。
Device# show aaa servers
RADIUS: id 1, priority 1, host 172.20.128.2, auth-port 1645, acct-port 1646
State: current UP, duration 9s, previous duration 0s
Dead: total time 0s, count 0
Quarantined: No
Authen: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Author: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Account: request 0, timeouts 0, failover 0, retransmission 0
Request: start 0, interim 0, stop 0
Response: start 0, interim 0, stop 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Elapsed time since counters last cleared: 0m
Estimated Outstanding Access Transactions: 0
Estimated Outstanding Accounting Transactions: 0
Estimated Throttled Access Transactions: 0
Estimated Throttled Accounting Transactions: 0
Maximum Throttled Transactions: access 0, accounting 0
AAA セッション MIB によって認識される AAA セッションを表示するには、show aaa sessions コマンドを使用します。
show aaa sessions
このコマンドには引数またはキーワードはありません。
ユーザ EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、show aaa sessions コマンドの出力を示します。
Device# show aaa sessions
Total sessions since last reload: 7
Session Id: 4007
Unique Id: 4025
User Name: *not available*
IP Address: 0.0.0.0
Idle Time: 0
CT Call Handle: 0
デバイスで稼働中の認証セッションを表示するには、show authentication history コマンドを使用します。
show authentication history [ min-uptime seconds]
min-uptime seconds |
(任意)最小アップタイム内のセッションを表示します。有効範囲は 1 ~ 4294967295 秒です。 |
ユーザ EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
デバイスで稼働中の認証セッションを表示するには、show authentication history コマンドを使用します。
次の例では、show authentication history コマンドの出力を示します。
Device# show authentication history
Interface MAC Address Method Domain Status Uptime
Gi3/0/2 0021.d864.07c0 dot1x DATA Auth 38s
Session count = 1
現在の認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。
show authentication sessions [ database] [ handle handle-id[ details] ] [ interface type number[ details] [ mac mac-address[ interface type number] [ method method-name[ interface type number[ details] [ session-id session-id [ details] ]
database |
(任意)セッション データベースに格納されているデータだけを示します。 |
handlehandle-id |
(任意)認証マネージャ情報を表示する特定のハンドルを指定します。 |
details |
(任意)詳細情報を表示します。 |
interfacetypenumber |
(任意)認証マネージャ情報を表示する特定のインターフェイスのタイプと番号を指定します。 |
macmac-address |
(任意)情報を表示する特定の MAC アドレスを指定します。 |
methodmethod-name |
(任意)認証マネージャ情報を表示する特定の認証方法を指定します。方式を指定する場合(dot1x、mab、または webauth)、インターフェイスも指定できます。 |
session-idsession-id |
(任意)認証マネージャ情報を表示する特定のセッションを指定します。 |
ユーザ EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
現在のすべての認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。特定の認証マネージャ セッションに関する情報を表示するには、1 つ以上のキーワードを使用します。
状態 |
説明 |
---|---|
Not run |
このセッションの方式は実行されていません。 |
Running |
このセッションの方式が実行中です。 |
Failed over |
この方式は失敗しました。次の方式が結果を出すことが予期されています。 |
Success |
この方式は、セッションの成功した認証結果を提供しました。 |
Authc Failed |
この方式は、セッションの失敗した認証結果を提供しました。 |
状態 |
説明 |
---|---|
dot1x |
802.1X |
mab |
MAC 認証バイパス |
webauth |
Web 認証 |
次に、スイッチ上のすべての認証セッションを表示する例を示します。
Device# show authentication sessions
Interface MAC Address Method Domain Status Session ID
Gi1/0/48 0015.63b0.f676 dot1x DATA Authz Success 0A3462B1000000102983C05C
Gi1/0/5 000f.23c4.a401 mab DATA Authz Success 0A3462B10000000D24F80B58
Gi1/0/5 0014.bf5d.d26d dot1x DATA Authz Success 0A3462B10000000E29811B94
次に、インターフェイス上のすべての認証セッションを表示する例を示します。
Device# show authentication sessions interface gigabitethernet2/0/47
Interface: GigabitEthernet2/0/47
MAC Address: Unknown
IP Address: Unknown
Status: Authz Success
Domain: DATA
Oper host mode: multi-host
Oper control dir: both
Authorized By: Guest Vlan
Vlan Policy: 20
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A3462C8000000000002763C
Acct Session ID: 0x00000002
Handle: 0x25000000
Runnable methods list:
Method State
mab Failed over
dot1x Failed over
----------------------------------------
Interface: GigabitEthernet2/0/47
MAC Address: 0005.5e7c.da05
IP Address: Unknown
User-Name: 00055e7cda05
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A3462C8000000010002A238
Acct Session ID: 0x00000003
Handle: 0x91000001
Runnable methods list:
Method State
mab Authc Success
dot1x Not run
インターフェイスの Cisco TrustSec(CTS)設定の統計を表示するには、特権 EXEC モードで show cts interface コマンドを使用します。
show cts interface [ type slot/port | brief | summary ]
typeslot/port |
(任意)インターフェイス タイプおよびスロット番号またはポート番号を指定します。このインターフェイスの詳細な出力が返されます。 |
brief |
(任意)すべての CTS インターフェイスの短縮ステータスを表示します。 |
summary |
(任意)インターフェイスごとに、すべての CTS インターフェイスのサマリーを、4 個または 5 個のキー ステータス フィールドを持つ表形式で表示します。 |
なし
EXEC(>)
特権 EXEC(#)
リリース |
変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが変更され、いくつかのオプションが追加されました。 |
Cisco IOS XE Denali 16.2.1 |
このコマンドが導入されました。 |
すべての CTS インターフェイスの冗長ステータスを表示するには、キーワードを使用せずに show cts interface コマンドを使用します。
次に、キーワードを使用せずに出力を表示する例を示します(すべての CTS インターフェイスの冗長ステータス)。
Switch# show cts interface Global Dot1x feature is Disabled Interface GigabitEthernet0/1/0: CTS is enabled, mode: MANUAL IFC state: OPEN Interface Active for 00:00:18.232 Authentication Status: NOT APPLICABLE Peer identity: "unknown" Peer's advertised capabilities: "" Authorization Status: NOT APPLICABLE SAP Status: NOT APPLICABLE Configured pairwise ciphers: gcm-encrypt null Replay protection: enabled Replay protection mode: STRICT Selected cipher: Propagate SGT: Enabled Cache Info: Cache applied to link : NONE Statistics: authc success: 0 authc reject: 0 authc failure: 0 authc no response: 0 authc logoff: 0 sap success: 0 sap fail: 0 authz success: 0 authz fail: 0 port auth fail: 0 Ingress: control frame bypassed: 0 sap frame bypassed: 0 esp packets: 0 unknown sa: 0 invalid sa: 0 inverse binding failed: 0 auth failed: 0 replay error: 0 Egress: control frame bypassed: 0 esp packets: 0 sgt filtered: 0 sap frame bypassed: 0 unknown sa dropped: 0 unknown sa bypassed: 0
次に、brief キーワードを使用した出力例を示します。
Device# show cts interface brief Global Dot1x feature is Disabled Interface GigabitEthernet0/1/0: CTS is enabled, mode: MANUAL IFC state: OPEN Interface Active for 00:00:40.386 Authentication Status: NOT APPLICABLE Peer identity: "unknown" Peer's advertised capabilities: "" Authorization Status: NOT APPLICABLE SAP Status: NOT APPLICABLE Propagate SGT: Enabled Cache Info: Cache applied to link : NONE
コマンド |
説明 |
---|---|
cts manual |
CTS のインターフェイスを有効にします。 |
propagate sgt (cts manual) |
Cisco TrustSec Security(CTS)インターフェイスのレイヤ 2 でのセキュリティ グループ タグ(SGT)の伝達を有効にします。 |
sap mode-list (cts manual) |
PMK および SAP 認証モードと暗号化モードを手動で指定し、2 つのインターフェイス間で MACsec リンクの暗号化をネゴシエートします。 |
ロールベース(セキュリティ グループ)アクセス コントロール権限リストを表示するには、特権 EXEC モードで show cts role-based permissions コマンドを使用します。
show cts role-based permissions [ default [ details | ipv4 [ details ] ] | from [ sgt [ ipv4 | ~ [ sgt | unknown ] [ details | ipv4 [ details ] ] ] | unknown ] | ipv4 | to [ sgt | unknown ] [ ipv4 ] ]
default |
(任意)デフォルトの権限リストに関する情報を表示します。 |
details |
(任意)アタッチされたアクセス コントロール リスト(ACL)の詳細を表示します。 |
ipv4 |
(任意)IPv4 プロトコルに関する情報を表示します。 |
from |
(任意)送信元グループに関する情報を表示します。 |
sgt |
(任意)セキュリティ グループ タグ。有効値は 2 ~ 65519 です。 |
to |
(任意)宛先グループに関する情報を表示します。 |
unknown |
(任意)不明な送信元グループと宛先グループに関する情報を表示します。 |
特権 EXEC(#)
リリース | 変更内容 |
---|---|
Cisco IOS XE Denali 16.3.1 |
このコマンドが導入されました。 |
このコマンドは、SGACL 権限マトリックスのコンテンツを表示します。送信元セキュリティ グループ タグ(SGT)は from キーワードを使用して、宛先 SGT は to キーワードを使用して指定できます。両方のキーワードを指定すると、単一セルの RBACL が表示されます。列全体は、to キーワードを使用した場合にのみ表示されます。行全体は、from キーワードを使用した場合にのみ表示されます。権限マトリックス全体は、from キーワードと to キーワードの両方を省略した場合に表示されます。
コマンド出力は、プライマリ キーの宛先 SGT およびセカンダリ キーの送信元 SGT でソートされます。各セルの SGACL は、設定で定義されているのと同じ順序で、または Cisco Identity Services Engine(ISE)から取得した順序で表示されます。
details キーワードは、from キーワードと to キーワードの両方を指定することで、単一のセルが選択された場合に表示されます。details キーワードが指定されている場合、単一セルの SGACL のアクセス制御エントリが表示されます。
次に、show role-based permissions コマンドの出力例を示します。
Switch# show cts role-based permissions IPv4 Role-based permissions default (monitored): default_sgacl-02 Permit IP-00 IPv4 Role-based permissions from group 305:sgt to group 306:dgt (monitored): test_reg_tcp_permit-02 RBACL Monitor All for Dynamic Policies : TRUE RBACL Monitor All for Configured Policies : FALSE IPv4 Role-based permissions from group 6:SGT_6 to group 6:SGT_6 (configured): mon_1 IPv4 Role-based permissions from group 10 to group 11 (configured): mon_2 RBACL Monitor All for Dynamic Policies : FALSE RBACL Monitor All for Configured Policies : FALSE
コマンド |
説明 |
---|---|
cts role-based permissions |
送信元グループから宛先グループに対する権限を有効にします。 |
cts role-based monitor |
ロールベースのアクセス リストのモニタリングを有効にします。 |
show cisp {[ clients | interface interface-id] | registrations | summary}
(任意)指定されたインターフェイスの CISP 情報を表示します。有効なインターフェイスには、物理ポートとポート チャネルが含まれます。 |
|
registrations |
CISP の登録情報を表示します。 |
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
Cisco IOS XE Denali 16.3.1 |
このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。 |
次の例では、show cisp interface コマンドの出力を示します。
Device# show cisp interface fast 0 CISP not enabled on specified interface
次の例では、show cisp registration コマンドの出力を示します。
Device# show cisp registrations Interface(s) with CISP registered user(s): ------------------------------------------ Fa1/0/13 Auth Mgr (Authenticator) Gi2/0/1 Auth Mgr (Authenticator) Gi2/0/2 Auth Mgr (Authenticator) Gi2/0/3 Auth Mgr (Authenticator) Gi2/0/5 Auth Mgr (Authenticator) Gi2/0/9 Auth Mgr (Authenticator) Gi2/0/11 Auth Mgr (Authenticator) Gi2/0/13 Auth Mgr (Authenticator) Gi3/0/3 Gi3/0/5 Gi3/0/23
スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示するには、ユーザ EXEC モードで show dot1x コマンドを使用します。
show dot1x [ all [ count| details| statistics| summary] ] [ interface type number[ details| statistics] ] [ statistics]
all |
(任意)すべてのインターフェイスの IEEE 802.1x 情報を表示します。 |
count |
(任意)許可されたクライアントと無許可のクライアントの総数を表示します。 |
details |
(任意)IEEE 802.1x インターフェイスの詳細を表示します。 |
statistics |
(任意)すべてのインターフェイスの IEEE 802.1x 統計情報を表示します。 |
summary |
(任意)すべてのインターフェイスの IEEE 802.1x サマリー情報を表示します。 |
interfacetype number |
(任意)指定したポートの IEEE 802.1X ステータスを表示します。 |
ユーザ EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、show dot1x all コマンドの出力を示します。
Device# show dot1x all
Sysauthcontrol Enabled
Dot1x Protocol Version 3
次の例では、show dot1x all count コマンドの出力を示します。
Device# show dot1x all count
Number of Dot1x sessions
-------------------------------
Authorized Clients = 0
UnAuthorized Clients = 0
Total No of Client = 0
次の例では、show dot1x all statistics コマンドの出力を示します。
Device# show dot1x statistics
Dot1x Global Statistics for
--------------------------------------------
RxStart = 0 RxLogoff = 0 RxResp = 0 RxRespID = 0
RxReq = 0 RxInvalid = 0 RxLenErr = 0
RxTotal = 0
TxStart = 0 TxLogoff = 0 TxResp = 0
TxReq = 0 ReTxReq = 0 ReTxReqFail = 0
TxReqID = 0 ReTxReqID = 0 ReTxReqIDFail = 0
TxTotal = 0
拡張認証プロトコル(EAP)のセキュア トンネリングを介したフレキシブル認証(FAST)ピアの格納済み Protected Access Credential(PAC)を表示するには、特権 EXEC モードで show eap pac peer コマンドを使用します。
show eap pac peer
このコマンドには引数またはキーワードはありません。
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例は、show eap pac peers 特権 EXEC コマンドの出力を示します。
Device> show eap pac peers No PACs stored
DHCP スヌーピング統計情報を概要形式または詳細形式で表示するには、ユーザ EXEC モードで show ip dhcp snooping statistics コマンドを使用します。
show ip dhcp snooping statistics [ detail ]
detail |
(任意)詳細な統計情報を表示します。 |
ユーザ EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
スイッチ スタックでは、すべての統計情報がスタック マスターで生成されます。新しいアクティブ スイッチが選定された場合、統計カウンタはリセットされます。
次の例では、show ip dhcp snooping statistics コマンドの出力を示します。
Device> show ip dhcp snooping statistics
Packets Forwarded = 0
Packets Dropped = 0
Packets Dropped From untrusted ports = 0
次の例では、show ip dhcp snooping statistics detail コマンドの出力を示します。
Device> show ip dhcp snooping statistics detail
Packets Processed by DHCP Snooping = 0
Packets Dropped Because
IDB not known = 0
Queue full = 0
Interface is in errdisabled = 0
Rate limit exceeded = 0
Received on untrusted ports = 0
Nonzero giaddr = 0
Source mac not equal to chaddr = 0
Binding mismatch = 0
Insertion of opt82 fail = 0
Interface Down = 0
Unknown output interface = 0
Reply output port equal to input port = 0
Packet denied by platform = 0
DHCP スヌーピング統計情報 |
説明 |
---|---|
Packets Processed by DHCP Snooping |
転送されたパケットおよびドロップされたパケットも含めて、DHCP スヌーピングによって処理されたパケットの合計数。 |
Packets Dropped Because IDB not known |
パケットの入力インターフェイスを判断できないエラーの数。 |
Queue full |
パケットの処理に使用される内部キューが満杯であるエラーの数。非常に高いレートで DHCP パケットを受信し、入力ポートでレート制限がイネーブルになっていない場合、このエラーが発生することがあります。 |
Interface is in errdisabled |
errdisable としてマークされたポートでパケットを受信した回数。これが発生する可能性があるのは、ポートが errdisable ステートである場合にパケットが処理キューに入り、そのパケットが後で処理される場合です。 |
Rate limit exceeded |
ポートで設定されているレート制限を超えて、インターフェイスが errdisable ステートになった回数。 |
Received on untrusted ports |
信頼できないポートで DHCP サーバ パケット(OFFER、ACK、NAK、LEASEQUERY のいずれか)を受信してドロップした回数。 |
Nonzero giaddr |
信頼できないポートで受信した DHCP パケットのリレー エージェント アドレス フィールド(giaddr)がゼロ以外だった回数。または no ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを設定しておらず、信頼できないポートで受信したパケットにオプション 82 データが含まれていた回数。 |
Source mac not equal to chaddr |
DHCP パケットのクライアント MAC アドレス フィールド(chaddr)がパケットの送信元 MAC アドレスと一致せず、ip dhcp snooping verify mac-address グローバル コンフィギュレーション コマンドが設定されている回数。 |
Binding mismatch |
MAC アドレスと VLAN のペアのバインディングになっているポートとは異なるポートで、RELEASE パケットまたは DECLINE パケットを受信した回数。これは、誰かが本来のクライアントをスプーフィングしようとしている可能性があることを示しますが、クライアントがスイッチの別のポートに移動して RELEASE または DECLINE を実行したことを表すこともあります。MAC アドレスは、イーサネット ヘッダーの送信元 MAC アドレスではなく、DHCP パケットの chaddr フィールドから採用されます。 |
Insertion of opt82 fail |
パケットへのオプション 82 挿入がエラーになった回数。オプション 82 データを含むパケットがインターネットの単一物理パケットのサイズを超えた場合、挿入はエラーになることがあります。 |
Interface Down |
パケットが DHCP リレー エージェントへの応答であるが、リレー エージェントの SVI インターフェイスがダウンしている回数。DHCP サーバへのクライアント要求の送信と応答の受信の間で SVI がダウンした場合に発生するエラーですが、めったに発生しません。 |
Unknown output interface |
オプション 82 データまたは MAC アドレス テーブルのルックアップのいずれかで、DHCP 応答パケットの出力インターフェイスを判断できなかった回数。パケットはドロップされます。オプション 82 が使用されておらず、クライアント MAC アドレスが期限切れになった場合に発生することがあります。ポートセキュリティ オプションで IPSG がイネーブルであり、オプション 82 がイネーブルでない場合、クライアントの MAC アドレスは学習されず、応答パケットはドロップされます。 |
Reply output port equal to input port |
DHCP 応答パケットの出力ポートが入力ポートと同じであり、ループの可能性の原因となった回数。ネットワークの設定の誤り、またはポートの信頼設定の誤用の可能性を示します。 |
Packet denied by platform |
プラットフォーム固有のレジストリによってパケットが拒否された回数。 |
RADIUS サーバ グループのプロパティを表示するには、show radius server-group コマンドを使用します。
show radius server-group { name| all}
name |
サーバ グループの名前。サーバ グループの名前の指定に使用する文字列は、the aaa group server radius コマンドを使用して定義する必要があります。 |
all |
すべてのサーバ グループのプロパティを表示します。 |
ユーザ EXEC
特権 EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
aaa group server radius コマンドで定義したサーバ グループを表示するには、show radius server-group コマンドを使用します。
次の例では、show radius server-group all コマンドの出力を示します。
Device# show radius server-group all
Server group radius
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
フィールド |
説明 |
---|---|
Server group |
サーバ グループの名前。 |
Sharecount |
このサーバ グループを共有している方式リストの数。たとえば、1 つの方式リストが特定のサーバ グループを使用する場合、sharecount は 1 です。2 つの方式リストが同じサーバ グループを使用する場合、sharecount は 2 です。 |
sg_unconfigured |
サーバ グループが設定解除されました。 |
Type |
タイプは、standard または nonstandard のいずれかです。タイプはグループ内のサーバが非標準の属性を受け入れるかどうかを示します。グループ内のすべてのサーバに非標準のオプションが設定されている場合、タイプは「nonstandard」と表示されます。 |
Memlocks |
メモリ内にあるサーバ グループ構造の内部参照の数。この数は、このサーバ グループへの参照を保持している内部データ構造パケットまたはトランザクションがいくつあるかを表します。Memlocks はメモリ管理のために内部的に使用されます。 |
スイッチまたは指定のインターフェイス上で、ブロードキャスト、マルチキャストまたはユニキャスト ストーム制御の設定を表示する、またはストーム制御の履歴を表示するには、ユーザ EXEC モードで show storm-control コマンドを使用します。
show storm-control [ interface-id ] [ broadcast | multicast | unicast ]
interface-id |
(任意)物理ポートのインターフェイス ID(タイプ、スタック構成可能なスイッチのスタック メンバ、モジュール、ポート番号を含む)。 |
broadcast |
(任意)ブロードキャスト ストームのしきい値設定を表示します。 |
multicast |
(任意)マルチキャスト ストームのしきい値設定を表示します。 |
unicast |
(任意)ユニキャスト ストームのしきい値設定を表示します。 |
ユーザ EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
インターフェイス ID を入力すると、指定されたインターフェイスのストーム制御しきい値が表示されます。
インターフェイス ID を入力しない場合、スイッチ上のすべてのポートに対して 1 つのトラフィック タイプの設定が表示されます。
トラフィック タイプを入力しない場合は、ブロードキャスト ストーム制御の設定が表示されます。
次の例では、キーワードを指定せずに入力した show storm-control コマンドの出力の一部を示します。トラフィック タイプのキーワードが入力されてないため、ブロードキャスト ストーム制御の設定が表示されます。
Device> show storm-control
Interface Filter State Upper Lower Current
--------- ------------- ---------- --------- ---------
Gi1/0/1 Forwarding 20 pps 10 pps 5 pps
Gi1/0/2 Forwarding 50.00% 40.00% 0.00%
<output truncated>
次の例では、指定されたインターフェイスの show storm-control コマンドの出力を示します。トラフィック タイプのキーワードが入力されてないため、ブロードキャスト ストーム制御の設定が表示されます。
Device> show storm-control gigabitethernet 1/0/1
Interface Filter State Upper Lower Current
--------- ------------- ---------- --------- ---------
Gi1/0/1 Forwarding 20 pps 10 pps 5 pps
次の表に、show storm-control の出力に表示されるフィールドの説明を示します。
フィールド | 説明 |
---|---|
Interface |
インターフェイスの ID を表示します。 |
Filter State |
フィルタのステータスを表示します。 |
Upper |
上限抑制レベルを利用可能な全帯域幅のパーセンテージとして、毎秒のパケット数または毎秒のビット数で表示します。 |
Lower |
下限抑制レベルを利用可能な全帯域幅のパーセンテージとして、毎秒のパケット数または毎秒のビット数で表示します。 |
Current |
ブロードキャスト トラフィックまたは指定されたトラフィック タイプ(ブロードキャスト、マルチキャスト、ユニキャスト)の帯域幅の使用状況を、利用可能な全帯域幅のパーセンテージで表示します。このフィールドは、ストーム制御がイネーブルの場合だけ有効です。 |
特定の VLAN アクセス マップまたはすべての VLAN アクセス マップに関する情報を表示するには、特権 EXEC モードで show vlan access-map コマンドを使用します。
show vlan access-map [ map-name ]
map-name |
(任意)特定の VLAN アクセス マップ名。 |
なし
特権 EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、show vlan access-map コマンドの出力を示します。
Device# show vlan access-map
Vlan access-map "vmap4" 10
Match clauses:
ip address: al2
Action:
forward
Vlan access-map "vmap4" 20
Match clauses:
ip address: al2
Action:
forward
すべての VLAN フィルタ、または特定の VLAN または VLAN アクセス マップに関する情報を表示するには、特権 EXEC モードで show vlan filter コマンドを使用します。
show vlan filter { access-map name | vlan vlan-id }
access-map name |
(任意)指定された VLAN アクセス マップのフィルタリング情報を表示します。 |
vlan vlan-id |
(任意)指定された VLAN のフィルタリング情報を表示します。指定できる範囲は 1 ~ 4094 です。 |
なし
特権 EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、show vlan filter コマンドの出力を示します。
Device# show vlan filter
VLAN Map map_1 is filtering VLANs:
20-22
VLAN グループにマッピングされている VLAN を表示するには、特権 EXEC モードで show vlan group コマンドを使用します。
show vlan group [ group-name vlan-group-name [user_count] ]
group-name vlan-group-name |
(任意)指定した VLAN グループにマッピングされている VLAN を表示します。 |
user_count |
(任意)特定の VLAN グループにマッピングされている各 VLAN のユーザ数を表示します。 |
なし
特権 EXEC
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
show vlan group コマンドは既存の VLAN グループを表示し、各 VLAN グループのメンバである VLAN および VLAN の範囲を示します。group-name キーワードを入力すると、指定した VLAN グループのメンバのみが表示されます。
次の例では、特定の VLAN グループのメンバを表示する方法を示します。
Device# show vlan group group-name group2
vlan group group1 :40-45
次に、グループ内の各 VLAN のユーザ数を表示する例を示します。
Device# show vlan group group-name group2 user_count
VLAN : Count
-------------------
40 : 5
41 : 8
42 : 12
43 : 2
44 : 9
45 : 0
ブロードキャスト、マルチキャスト、またはユニキャスト ストーム制御をイネーブルにして、インターフェイスのしきい値レベルを設定するには、インターフェイス コンフィギュレーション モードで storm-control コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
storm-control { action { shutdown | trap } | { broadcast | multicast | unicast } level { level [ level-low ] | bps bps [ bps-low ] | pps pps [ pps-low ] } }
no storm-control { action { shutdown | trap } | { broadcast | multicast | unicast } level }
action |
ポートでストームが発生した場合に実行されるアクションを指定します。デフォルト アクションは、トラフィックをフィルタリングし、簡易ネットワーク管理プロトコル(SNMP)トラップを送信しません。 |
shutdown |
ストームの間、ポートをディセーブルにします。 |
trap |
ストームが発生した場合に SNMP トラップを送信します。 |
broadcast |
インターフェイス上でブロードキャスト ストーム制御をイネーブルにします。 |
multicast |
インターフェイス上でマルチキャスト ストーム制御をイネーブルにします。 |
unicast |
インターフェイス上でユニキャスト ストーム制御をイネーブルにします。 |
level |
上限および下限抑制レベルをポートの全帯域幅の割合で指定します。 |
level |
上限抑制レベル(小数点以下第 2 位まで)。指定できる範囲は 0.00 ~ 100.00 です。指定した level の値に達した場合、ストーム パケットのフラッディングをブロックします。 |
level-low |
(任意)下限抑制レベル(小数点以下第 2 位まで)。指定できる範囲は 0.00 ~ 100.00 です。この値は上限抑制値より小さいか、または等しくなければなりません。下限抑制レベルを設定しない場合、上限抑制レベルの値に設定されます。 |
level bps |
上限および下限抑制レベルを、ポートで受信するトラフィックの速度(ビット/秒)で指定します。 |
bps |
上限抑制レベル(小数点以下第 1 位まで)。指定できる範囲は 0.0 ~ 10000000000.0 です。指定した bps の値に達した場合、ストーム パケットのフラッディングをブロックします。 大きい数値のしきい値には、k、m、g などのメトリック サフィクスを使用できます。 |
bps-low |
(任意)下限抑制レベル(小数点以下第 1 位まで)。指定できる範囲は 0.0 ~ 10000000000.0 です。この値は上限抑制値に等しいか、または小さくなければなりません。 大きい数値のしきい値には、k、m、g などのメトリック サフィクスを使用できます。 |
level pps |
上限および下限抑制レベルを、ポートで受信するトラフィックの速度(パケット/秒)で指定します。 |
pps |
上限抑制レベル(小数点以下第 1 位まで)。指定できる範囲は 0.0 ~ 10000000000.0 です。指定した pps の値に達した場合、ストーム パケットのフラッディングをブロックします。 大きい数値のしきい値には、k、m、g などのメトリック サフィクスを使用できます。 |
pps-low |
(任意)下限抑制レベル(小数点以下第 1 位まで)。指定できる範囲は 0.0 ~ 10000000000.0 です。この値は上限抑制値に等しいか、または小さくなければなりません。 大きい数値のしきい値には、k、m、g などのメトリック サフィクスを使用できます。 |
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
ストーム制御抑制レベルは、ポートの全帯域幅の割合、またはトラフィックを受信する速度(1 秒あたりのパケット数、または 1 秒あたりのビット数)で入力できます。
全帯域幅の割合で指定した場合、100% の抑制値は、指定したトラフィック タイプに制限が設定されていないことを意味します。level 0 0 の値は、ポート上のすべてのブロードキャスト、マルチキャスト、またはユニキャスト トラフィックをブロックします。ストーム制御は、上限抑制レベルが 100% 未満の場合にだけイネーブルになります。他のストーム制御設定が指定されていない場合、デフォルト アクションは、ストームの原因となっているトラフィックをフィルタリングし、SNMP トラップを送信しません。
trap および shutdown オプションは、互いに独立しています。
パケット ストームが検出されたときにシャットダウンを行う(ストームの間、ポートが error-disabled になる)ようにアクションを設定する場合、インターフェイスをこのステートから解除するには no shutdown インターフェイス コンフィギュレーション コマンドを使用する必要があります。shutdown アクションを指定しない場合、アクションを trap(ストーム検出時にスイッチがトラップを生成する)に指定してください。
ストームが発生し、実行されるアクションがトラフィックのフィルタリングである場合、下限抑制レベルが指定されていないと、トラフィック レートが上限抑制レベルより低くなるまでスイッチはすべてのトラフィックをブロックします。下限抑制レベルが指定されている場合、トラフィック レートがこのレベルより低くなるまでスイッチはトラフィックをブロックします。
(注) | ストーム制御は、物理インターフェイスでサポートされています。また、EtherChannel でもストーム制御を設定できます。ストーム制御を EtherChannel で設定する場合、ストーム制御設定は EtherChannel 物理インターフェイスに伝播します。 |
ブロードキャスト ストームが発生し、実行されるアクションがトラフィックのフィルタである場合、スイッチはブロードキャスト トラフィックだけをブロックします。
次の例では、75.5% の上限抑制レベルでブロードキャスト ストーム制御をイネーブルにする方法を示します。
Device(config-if)# storm-control broadcast level 75.5
次の例では、87% の上限抑制レベルと 65% の下限抑制レベルのポートでユニキャスト ストーム制御をイネーブルにする方法を示します。
Device(config-if)# storm-control unicast level 87 65
次の例では、2000 パケット/秒の上限抑制レベルと 1000 パケット/秒の下限抑制レベルのポートでマルチキャスト ストーム制御をイネーブルにする方法を示します。
Device(config-if)# storm-control multicast level pps 2k 1k
次の例では、ポートで shutdown アクションをイネーブルにする方法を示します。
Device(config-if)# storm-control action shutdown
セキュア アドレス エントリのエージング タイムおよびタイプを設定する、または特定のポートのセキュア アドレスのエージング動作を変更するには、インターフェイス コンフィギュレーション モードで switchport port-security aging コマンドを使用します。ポート セキュリティ エージングをディセーブルにする、またはパラメータをデフォルトの状態に設定するには、このコマンドの no 形式を使用します。
switchport port-security aging { static | time time | type { absolute | inactivity } }
no switchport port-security aging { static | time | type }
static |
このポートに静的に設定されたセキュア アドレスのエージングをイネーブルにします。 |
timetime |
このポートのエージング タイムを指定します。指定できる範囲は 0 ~ 1440 分です。time が 0 の場合、このポートのエージングはディセーブルです。 |
type |
エージング タイプを設定します。 |
absolute |
absolute エージング タイプを設定します。このポートのすべてのセキュア アドレスは、指定された時間(分)が経過した後に期限切れとなり、セキュア アドレス リストから削除されます。 |
inactivity |
inactivity エージング タイプを設定します。指定された時間内にセキュア送信元アドレスからのデータ トラフィックがない場合だけ、このポートのセキュア アドレスが期限切れになります。 |
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
特定のポートのセキュア アドレス エージングをイネーブルにするには、ポート エージング タイムを 0 以外の値に設定します。
特定のセキュア アドレスに時間を限定してアクセスできるようにするには、エージング タイプを absolute に設定します。エージング タイムの期限が切れると、セキュア アドレスが削除されます。
継続的にアクセスできるセキュア アドレス数を制限するには、エージング タイプを inactivity に設定します。このようにすると、非アクティブになったセキュア アドレスが削除され、他のアドレスがセキュアになることができます。
セキュア アドレスへのアクセス制限を解除するには、セキュア アドレスとして設定し、no switchport port-security aging static インターフェイス コンフィギュレーション コマンドを使用して、静的に設定されたセキュア アドレスのエージングをディセーブルにします。
次の例では、ポートのすべてのセキュア アドレスに対して、エージング タイプを absolute、エージング タイムを 2 時間に設定します。
Device(config)# interface gigabitethernet1/0/1 Device(config-if)# switchport port-security aging time 120
次の例では、ポートに設定されたセキュア アドレスに対して、エージング タイプを inactivity、エージング タイムを 2 分に設定します。
Device(config)# interface gigabitethernet1/0/2 Device(config-if)# switchport port-security aging time 2 Device(config-if)# switchport port-security aging type inactivity Device(config-if)# switchport port-security aging static
次の例では、設定されたセキュア アドレスのエージングをディセーブルにする方法を示します。
Device(config)# interface gigabitethernet1/0/2 Device(config-if)# no switchport port-security aging static
セキュア MAC アドレスまたはスティッキ MAC アドレス ラーニングを設定するには、switchport port-security mac-address インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
switchport port-security mac-address { mac-address [ vlan { vlan-id { access | voice } } ] | sticky [ mac-address | vlan { vlan-id { access | voice } } ] }
no switchport port-security mac-address { mac-address [ vlan { vlan-id { access | voice } } ] | sticky [ mac-address | vlan { vlan-id { access | voice } } ] }
mac-address |
48 ビット MAC アドレスの入力によって指定するインターフェイスのセキュア MAC アドレス。設定された最大数まで、セキュア MAC アドレスを追加できます。 |
||
vlanvlan-id |
(任意)トランク ポート上でだけ、VLAN ID および MAC アドレスを指定します。VLAN ID を指定しない場合は、ネイティブ VLAN が使用されます。 |
||
vlan access |
(任意)アクセス ポートでだけ、VLAN をアクセス VLAN として指定します。 |
||
vlan voice |
(任意)アクセス ポートでだけ、VLAN を音声 VLAN として指定します。
|
||
sticky |
スティッキ ラーニングのインターフェイスをイネーブルにします。スティッキ ラーニングをイネーブルにすると、インターフェイスは動的に学習したすべてのセキュア MAC アドレスを実行コンフィギュレーションに追加して、これらのアドレスをスティッキ セキュア MAC アドレスに変換します。 |
||
mac-address |
(任意)スティッキ セキュア MAC アドレスを指定する MAC アドレス。 |
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
セキュア ポートはアクセス ポートまたはトランク ポートにすることができますが、ダイナミック アクセス ポートには設定できません。
セキュア ポートをギガビットまたは 10 ギガビット EtherChannel ポート グループに含めることはできません。
音声 VLAN が設定されたインターフェイス上でポート セキュリティをイネーブルにする場合は、ポートの最大セキュア アドレス許容数を 2 に設定します。ポートを Cisco IP Phone に接続する場合は、IP Phone に MAC アドレスが 1 つ必要です。Cisco IP Phone のアドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上では学習されません。1 台の PC を Cisco IP Phone に接続する場合、MAC アドレスの追加は必要ありません。2 台以上の PC を Cisco IP Phone に接続する場合、各 PC に 1 つ、さらに Cisco IP Phone に 1 つ割り当てるよう十分なセキュア アドレスを設定する必要があります。
スティッキ セキュア MAC アドレスには、次の特性があります。
switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用して、インターフェイス上でスティッキ ラーニングをイネーブルにした場合、インターフェイスはすべてのダイナミック セキュア MAC アドレス(スティッキ ラーニングがイネーブルになる前に動的に学習されたアドレスを含む)を、スティッキ セキュア MAC アドレスに変換し、すべてのスティッキ セキュア MAC アドレスを実行コンフィギュレーションに追加します。
no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用して、スティッキ ラーニングをディセーブルする場合、または実行コンフィギュレーションを削除する場合は、スティッキ セキュア MAC アドレスは実行コンフィギュレーションの一部に残りますが、アドレス テーブルからは削除されます。削除されたアドレスはダイナミックに再設定することができ、ダイナミック アドレスとしてアドレス テーブルに追加されます。
switchport port-security mac-address stickymac-address インターフェイス コンフィギュレーション コマンドを使用して、スティッキ セキュア MAC アドレスを設定する場合、これらのアドレスはアドレス テーブルおよび実行コンフィギュレーションに追加されます。ポート セキュリティがディセーブルの場合、スティッキ セキュア MAC アドレスは実行コンフィギュレーションに残ります。
スティッキ セキュア MAC アドレスがコンフィギュレーション ファイルに保存されていると、スイッチの再起動時、またはインターフェイスのシャットダウン時に、インターフェイスはこれらのアドレスを再学習しなくてすみます。スティッキ セキュア アドレスを保存しない場合、アドレスは失われます。スティッキ ラーニングがディセーブルの場合、スティッキ セキュア MAC アドレスはダイナミック セキュア アドレスに変換され、実行コンフィギュレーションから削除されます。
スティッキ ラーニングをディセーブルにして、switchport port-security mac-address stickymac-address インターフェイス コンフィギュレーション コマンドを入力した場合、エラー メッセージが表示され、スティッキ セキュア MAC アドレスは実行コンフィギュレーションに追加されません。
次の例では、ポートでセキュア MAC アドレスと VLAN ID を設定する方法を示します。
Device(config)# interface gigabitethernet 2/0/2 Device(config-if)# switchport mode trunk Device(config-if)# switchport port-security Device(config-if)# switchport port-security mac-address 1000.2000.3000 vlan 3
次の例では、スティッキ ラーニングをイネーブルにして、ポート上で 2 つのスティッキ セキュア MAC アドレスを入力する方法を示します。
Device(config)# interface gigabitethernet 2/0/2 Device(config-if)# switchport port-security mac-address sticky Device(config-if)# switchport port-security mac-address sticky 0000.0000.4141 Device(config-if)# switchport port-security mac-address sticky 0000.0000.000f
セキュア MAC アドレスの最大数を設定するには、インターフェイス コンフィギュレーション モードで switchport port-security maximum コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
switchport port-security maximum value [ vlan [ vlan-list | [ access | voice ] ] ]
no switchport port-security maximum value [ vlan [ vlan-list | [ access | voice ] ] ]
value |
インターフェイスのセキュア MAC アドレスの最大数を設定します。 デフォルトの設定は 1 秒です。 |
||
vlan |
(任意)トランク ポートの場合、VLAN ごとまたは一定範囲の VLAN のセキュア MAC アドレスの最大数を設定します。vlan キーワードが入力されていない場合、デフォルト値が使用されます。 |
||
vlan-list |
(任意)カンマで区切られた VLAN の範囲またはハイフンで区切られた一連の VLAN。VLAN を指定しない場合、VLAN ごとの最大値が使用されます。 |
||
access |
(任意)アクセス ポートでだけ、VLAN をアクセス VLAN として指定します。 |
||
voice |
(任意)アクセス ポートでだけ、VLAN を音声 VLAN として指定します。
|
ポート セキュリティをイネーブルにしてキーワードを入力しない場合、デフォルトのセキュア MAC アドレスの最大数は 1 です。
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
スイッチまたはスイッチ スタックに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この数字はアクティブな Switch Database Management(SDM)テンプレートによって決められます。sdm prefer コマンドを参照してください。この数字は、インターフェイスで設定された他のレイヤ 2 機能やその他のセキュア MAC アドレスなど、利用可能な MAC アドレスの合計数を示します。
セキュア ポートをギガビットまたは 10 ギガビット EtherChannel ポート グループに含めることはできません。
音声 VLAN が設定されたインターフェイス上でポート セキュリティをイネーブルにする場合は、ポートの最大セキュア アドレス許容数を 2 に設定します。ポートを Cisco IP Phone に接続する場合は、IP Phone に MAC アドレスが 1 つ必要です。Cisco IP Phone のアドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上では学習されません。1 台の PC を Cisco IP Phone に接続する場合、MAC アドレスの追加は必要ありません。2 台以上の PC を Cisco IP Phone に接続する場合、各 PC に 1 つ、さらに Cisco IP Phone に 1 つ割り当てるよう十分なセキュア アドレスを設定する必要があります。
インターフェイスのセキュア アドレスの最大値を入力する場合、新しい値が前回の値より大きいと、新しい値によって前回の設定値が上書きされます。新しい値が前回の値より小さく、インターフェイスで設定されているセキュア アドレス数が新しい値より大きい場合、コマンドは拒否されます。
アドレスの最大数を 1 に設定し、接続されたデバイスの MAC アドレスを設定すると、確実にデバイスがポートの帯域幅を完全に使用できます。
次の例では、ポートでポート セキュリティをイネーブルにし、セキュア アドレスの最大数を 5 に設定する方法を示します。違反モードはデフォルトで、セキュア MAC アドレスは設定されていません。
Device(config)# interface gigabitethernet 2/0/2 Device(config-if)# switchport mode access Device(config-if)# switchport port-security Device(config-if)# switchport port-security maximum 5
セキュア MAC アドレスの違反モード、またはポート セキュリティに違反した場合に実行するアクションを設定するには、インターフェイス コンフィギュレーション モードで switchport port-security violation コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
switchport port-security violation { protect | restrict | shutdown | shutdown vlan }
no switchport port-security violation { protect | restrict | shutdown | shutdown vlan }
protect |
セキュリティ違反保護モードを設定します。 |
restrict |
セキュリティ違反制限モードを設定します。 |
shutdown |
セキュリティ違反シャットダウン モードを設定します。 |
shutdown vlan |
VLAN ごとのシャットダウンにセキュリティ違反モードを設定します。 |
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
セキュリティ違反保護モードでは、ポートのセキュア MAC アドレス数がポートで許可されている最大数に到達した場合、不明な送信元アドレスのパケットはドロップされます。ドロップすることでセキュア MAC アドレス数を上限よりも少なくするか、許容できるアドレスの最大数を増やさない限り、この状態が続きます。セキュリティ違反が起こっても、ユーザには通知されません。
(注) | トランク ポート上に保護モードを設定することは推奨できません。保護モードでは、ポートが最大数に達していなくても VLAN が保護モードの最大数に達すると、ラーニングがディセーブルになります。 |
セキュリティ違反制限モードでは、セキュア MAC アドレス数がポートで許可されている最大数に到達した場合、不明な送信元アドレスのパケットはドロップされます。セキュア MAC アドレス数を上限よりも少なくするか、許容できるアドレスの最大数を増やさない限り、この状態が続きます。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。
セキュリティ違反シャットダウン モードでは、違反が発生し、ポートの LED がオフになると、インターフェイスが errdisable になります。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。セキュア ポートが error-disabled ステートの場合は、errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートから回復させるか、shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力して手動で再びイネーブルにすることができます。
セキュリティ違反モードが VLAN ごとのシャットダウンに設定されると、違反が発生した VLAN のみが errdisable になります。
セキュア ポートをギガビットまたは 10 ギガビット EtherChannel ポート グループに含めることはできません。
セキュア MAC アドレスの最大値がアドレス テーブルに存在し、アドレス テーブルに存在しない MAC アドレスを持つステーションがインターフェイスにアクセスしようとした場合、または別のセキュア ポートのセキュア MAC アドレスとして設定された MAC アドレスを持つステーションがインターフェイスにアクセスしようとした場合に、セキュリティ違反が起こります。
セキュア ポートが error-disabled ステートの場合は、errdisable recovery causepsecure-violation グローバル コンフィギュレーション コマンドを入力して、このステートから回復させることができます。shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力するか、clear errdisable interface 特権 EXEC コマンドを使用して、ポートを手動で再びイネーブルにすることができます。
次の例では、MAC セキュリティ違反が発生した場合に VLAN のみをシャットダウンするようポートを設定する方法を示します。
Device(config)# interface gigabitethernet2/0/2 Device(config)# switchport port-security violation shutdown vlan
ポートでデフォルトのトラッキング ポリシーを上書きするには、IPv6 スヌーピング ポリシー コンフィギュレーション モードで tracking コマンドを使用します。
tracking{ enable[ reachable-lifetime { value| infinite}] | disable[ stale-lifetime { value| infinite}
enable |
トラッキングをイネーブルにします。 |
reachable-lifetime |
(任意)到達可能という証明がない状態で、到達可能なエントリが直接的または間接的に到達可能であると判断される最大時間を指定します。 |
value |
秒単位のライフタイム値。指定できる範囲は 1 ~ 86400 で、デフォルトは 300 です。 |
infinite |
エントリを無限に到達可能状態またはステイル状態に維持します。 |
disable |
トラッキングをディセーブルにします。 |
stale-lifetime |
(任意)時間エントリをステイル状態に維持します。これによりグローバルの stale-lifetime 設定が上書きされます。 |
時間のエントリは到達可能な状態に維持されます。
IPv6 スヌーピング コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
tracking コマンドは、このポリシーが適用されるポート上で ipv6 neighbor tracking コマンドによって設定されたデフォルトのトラッキング ポリシーに優先します。この機能は、たとえば、エントリを追跡しないが、バインディング テーブルにエントリを残して盗難を防止する場合などに、信頼できるポート上で有用です。
reachable-lifetime キーワードは、到達可能という証明がない状態で、あるエントリがトラッキングにより直接的に、または IPv6 スヌーピングにより間接的に到達可能であると判断される最大時間を示します。reachable-lifetime 値に到達すると、エントリはステイル状態に移行します。tracking コマンドで reachable-lifetime キーワードを使用すると、ipv6 neighbor binding reachable-lifetime コマンドで設定されたグローバルな到達可能ライフタイムが上書きされます。
stale-lifetime キーワードは、エントリが削除されるか、直接または間接的に到達可能であると証明される前にテーブルに保持される最大時間です。tracking コマンドで reachable-lifetime キーワードを使用すると、ipv6 neighbor binding stale-lifetime コマンドで設定されたグローバルなステイル ライフタイムが上書きされます。
次に、IPv6 スヌーピングポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、エントリを信頼できるポート上で無限にバインディング テーブルに保存するように設定する例を示します。
Device(config)# ipv6 snooping policy policy1 Device(config-ipv6-snooping)# tracking disable stale-lifetime infinite
あるポートを信頼できるポートとして設定するには、IPv6 スヌーピング ポリシー モードまたは ND 検査ポリシー コンフィギュレーション モードで trusted-port コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
trusted-port
no trusted-port
どのポートも信頼されていません。
ND インスペクション ポリシーの設定
IPv6 スヌーピング コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
trusted-port コマンドをイネーブルにすると、メッセージがこのポリシーを持つポートで受信された場合、限定的に実行されるか、まったく実行されません。ただし、アドレス スプーフィングから保護するために、メッセージは伝送するバインディング情報の使用によってバインディング テーブルを維持できるように分析されます。これらのポートで検出されたバインディングは、信頼できるものとして設定されていないポートから受信したバインディングよりも信頼性が高いものと見なされます。
次に、NDP ポリシー名を policy1 と定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートを信頼するように設定する例を示します。
Device(config)# ipv6 nd inspection policy1 Device(config-nd-inspection)# trusted-port
次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートを信頼するように設定する例を示します。
Device(config)# ipv6 snooping policy policy1 Device(config-ipv6-snooping)# trusted-port
Over-the-Air フレーム パディングをイネーブルにするには、wirelessdot11-padding コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
wireless dot11-padding
no wireless dot11-padding
ディセーブル
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次に、Over-the-Air フレーム パディングをイネーブルにする例を示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#wireless dot11-padding
IEEE 802.1x のグローバル コンフィギュレーションを設定するには、wirelesssecuritydot1x コマンドを使用します。
wireless security dot1x [ eapol-key { retries retries | timeout milliseconds } | group-key interval sec | identity-request { retries retries | timeout seconds } | radius [call-station-id] { ap-macaddress | ap-macaddress-ssid | ipaddress | macaddress } | request { retries retries | timeout seconds } | wep key { index 0 | index 3 } ]
eapol-key | eapol-key 関連パラメータを設定します。 |
retriesretries |
(任意)コントローラが無線クライアントに EAPOL(WPA)キー メッセージを再送信する最大回数(0~4)を指定します。 デフォルト値は 2 です。 |
timeoutmilliseconds |
(任意)EAP または WPA/WPA-2 PSK を使用してコントローラが無線クライアントに EAPOL(WPA)キー メッセージを再送信するまでに待機する時間(200 ~ 5000 ミリ秒)を指定します。 デフォルト値は 1000 ミリ秒です。 |
group-keyintervalsec |
EAP ブロードキャスト キーを更新する間隔を秒で設定します(120~86400 秒)。 |
identity-request |
EAP ID 要求の関連パラメータを設定します。 |
retriesretries |
(任意)コントローラが EAP ID を要求する最大試行回数(0~4)を指定します。 デフォルト値は 2 です。 |
timeoutseconds |
(任意)コントローラが無線クライアントに EAP ID 要求メッセージを再送信するまでに待機する時間(1 ~ 120 秒)を指定します。 デフォルト値は 30 秒です。 |
radius |
RADIUS メッセージを設定します。 |
call-station-id |
(任意)RADIUS メッセージで送信されるコール ステーション ID を設定します。 |
ap-macaddress |
呼出端末 ID タイプを AP の MAC アドレスに設定します。 |
ap-macaddress-ssid |
呼出端末 ID タイプを ’AP の MAC アドレス':'SSID' に設定します。 |
ipaddress |
呼出端末 ID タイプをシステムの IP アドレスに設定します。 |
macaddress |
呼出端末 ID タイプをシステムの MAC アドレスに設定します。 |
request |
EAP 要求の関連パラメータを設定します。 |
retriesretries |
(任意)ID 要求または EAPOL(WPA)キー メッセージ以外の EAP メッセージについて、コントローラが無線クライアントにメッセージを再送信する最大回数(0 ~ 20)を指定します。 デフォルト値は 2 です。 |
timeoutseconds |
(任意)ID 要求または EAPOL(WPA)キー メッセージ以外の EAP メッセージについて、コントローラが無線クライアントにメッセージを再送信するまでに待機する時間(1 ~ 120 秒)を指定します。 デフォルト値は 30 秒です。 |
wepkey |
802.1x WEP 関連パラメータを設定します。 |
index0 |
WEP キーのインデックス値を 0 として指定します。 |
index3 |
WEP キーのインデックス値を 3 として指定します。 |
eapol-key-timeout のデフォルト値:1 秒。
eapol-key-retries のデフォルト値:2 回。
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
この例では、wirelesssecuritydot1x の下のすべてのコマンドを示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#wireless security dot1x ? eapol-key Configure eapol-key related parameters group-key Configures EAP-broadcast key renew interval time in seconds identity-request Configure EAP ID request related parameters radius Configure radius messages request Configure EAP request related parameters wep Configure 802.1x WEP related paramters <cr>
ローカルで有効な証明書を設定するには、wirelesssecuritylsc コマンドを使用します。
wireless security lsc { ap-provision [ auth-list mac-addr | revert number ] | other-params key-size | subject-params country state city orgn dept email | trustpoint trustpoint }
ap-provision |
アクセス ポイント プロビジョニング リストの設定を指定します。 |
auth-listmac-addr |
プロビジョニング リストの許可設定を指定します。 |
revertnumber |
デフォルトの証明書に戻る前にアクセス ポイントが LSC を使用してコントローラへの接続を試行する回数。最大試行回数は 255 以下にする必要があります。 |
other-paramskey-size |
デバイスの証明書キーのサイズ設定を指定します。 |
subject-paramscountrystatecityorgndeptemail |
デバイス証明書の設定を指定します。認証局の国、州、市、組織、部門、および電子メール。 |
trustpointtrustpoint |
LSC のトラスト ポイントを指定します。 |
なし
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
1 つの CA サーバだけを設定できます。別の CA サーバを設定するには、config certificate lsc ca-server delete コマンドを使用して設定済みの CA サーバを削除した後、別の CA サーバを設定します。
アクセス ポイント プロビジョニング リストを設定する場合は、AP プロビジョニングを有効にしたときに(手順 8)プロビジョニング リストのアクセス ポイントだけがプロビジョニングされます。アクセス ポイント プロビジョン リストを設定しない場合、コントローラに接続する MIC または SSC 証明書を持つすべてのアクセス ポイントが LSC でプロビジョニングされます。
次の例に、ローカルで有効な証明書の設定方法を示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#wireless security lsc ? ap-provision Provisioning the AP's with LSC's other-params Configure Other Parameters for Device Certs subject-params Configure the Subject Parameters for Device Certs trustpoint Configure LSC Trustpoint <cr>
強力なパスワードの強制オプションを設定するには、wirelesssecuritystrong-password コマンドを使用します。強力なパスワードをディセーブルにするには、このコマンドの no 形式を使用します。
wireless security strong-password
no wireless security strong-password
なし。
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次に、ワイヤレス セキュリティのための強力なパスワードを設定する例を示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#wireless security strong-password
アクセス ポイントのネイバー認証を設定するには、wirelesswpsap-authentication コマンドを使用します。アクセス ポイントのネイバー認証を削除するには、このコマンドの no 形式を使用します。
wireless wps ap-authentication [ threshold value ]
no wireless wps ap-authentication [threshold]
thresholdvalue |
(任意)無線 LAN の WMM 対応クライアントであることを指定します。しきい値(1 ~ 255)。 |
なし。
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次に、WMM 対応クライアントのしきい値を設定する例を示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#wireless wps ap-authentication threshold 65
サービス妨害(DoS)攻撃からの保護をイネーブルにするには、wirelesswpsauto-immune コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
wireless wps auto-immune
no wireless wps auto-immune
ディセーブル
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
潜在的な攻撃者は特別に作成したパケットを使用し、正規のクライアントを攻撃者として処理するように侵入検知システム(IDS)を誘導する場合があります。それによって、コントローラはこの正規のクライアントの接続を解除し、DoS 攻撃が開始されます。自己免疫機能は、有効な場合にこのような攻撃を防ぐように設計されています。ただし、自己免疫機能を有効にすると、Cisco 792x フォンを使用した会話が断続的に中断されることがあります。792x フォンを使用しているときに頻繁に中断されるようであれば、この機能を無効にしてください。
次の例では、サービス妨害(DoS)攻撃からの保護をイネーブルにする方法を示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#wireless wps auto-immune
Wireless Protection System(WPS)の侵入検知システム(IDS)センサーを設定するには、wirelesswpscids-sensor コマンドを使用します。Wireless Protection System(WPS)の侵入検知システム(IDS)センサーを削除するには、このコマンドの no 形式を使用します。
wireless wps cids-sensor index [ ip-address ip-addr username username password password_type password ]
no wireless wps cids-sensor index
index |
IDS センサーの内部インデックスを指定します。 |
ip-addressip-addrusernameusernamepasswordpassword_typepassword |
IDS センサーの IP アドレス、IDS センサーのユーザ名、パスワード タイプ、および IDS センサーのパスワードを指定します。 |
ディセーブル
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし
次に、IDS インデックス、IDS センサーの IP アドレス、IDS ユーザ名およびパスワードを使用して侵入検知システムを設定する例を示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#wireless wps cids-sensor 1 10.0.0.51 Sensor_user0doc1 passowrd01
クライアント除外ポリシーを設定するには、wireless wps client-exclusion コマンドを使用します。クライアント除外ポリシーを削除するには、このコマンドの no 形式を使用します。
wireless wps client-exclusion { all | dot11-assoc | dot11-auth | dot1x-auth | ip-theft | web-auth }
no wireless wps client-exclusion { all | dot11-assoc | dot11-auth | dot1x-auth | ip-theft | web-auth }
dot11-assoc |
コントローラが 802.11 アソシエーションに連続 5 回失敗すると、6 回目の試行を除外することを指定します。 |
dot11-auth |
コントローラが 802.11 認証に連続 5 回失敗すると、6 回目の試行を除外することを指定します。 |
dot1x-auth |
コントローラが 802.11X 認証に連続 5 回失敗すると、6 回目の試行を除外することを指定します。 |
ip-theft |
IP アドレスがすでに別のデバイスに割り当てられている場合は、コントローラがクライアントを除外することを指定します。 詳細については、「使用上のガイドライン」セクションを参照してください。 |
web-auth |
コントローラが Web 認証に連続 3 回失敗すると、4 回目の試行を除外することを指定します。 |
all |
コントローラが上記のすべての理由でクライアントを除外することを指定します。 |
イネーブル
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
古い Cisco IOS XE リリース |
Cisco IOS XE Denali 16.x リリース |
---|---|
優先順位に従って、有線クライアントはワイヤレス クライアントよりも優先され、DHCP IP はスタティック IP よりも優先されます。クライアントのセキュリティ タイプはチェックされません。すべてのクライアント タイプのセキュリティが同じ優先順位で処理されます。 既存のバインドが優先順位の高いソースに由来する場合、新しいバインドは無視され、IP 窃盗の信号が送信されます。既存のバインドが新しいバインドと同じ優先順位のソースに由来する場合、新しいバインドは無視され、IP 窃盗の信号が送信されます。その結果、2 つのホストが同じ IP を使用してトラフィックを送信した場合、バインドは切り替わらないことになります。最初のバインドのみがソフトウェアに格納されます。新しいバインドが優先順位のより高いソースに由来する場合、既存のバインドは置き換えられます。その結果、既存のバインドの IP 窃盗通知と、新しいバインドの通知が送信されます。 |
有線とワイヤレスの間に基本的な相違はありません。重視されるのは、エントリの信頼性(優先度)、エントリの伝達経路となった機能(ARP、DHCP、ND など)、およびポートに付与されているポリシーです。優先度が等しい場合、古いエントリが到達可能であれば、IP テイクオーバーは拒否されます。IP テイクオーバーは、更新が信頼できるポートから発信され、新しいエントリが DHCP サーバから IP アドレスを取得した場合に発生します。そうでない場合には、明示的に許可する必要があります。古いエントリが新しいより信頼できるエントリに置き換えられた場合、IP 窃盗は報告されません。 |
次に、802.11 アソシエーションに連続 5 回失敗した場合にクライアントを無効にする例を示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#wireless wps client-exclusion dot11-assoc
管理フレーム保護(MFP)を設定するには、wirelesswpsmfpinfrastructure コマンドを使用します。管理フレーム保護(MFP)を削除するには、このコマンドの no 形式を使用します。
wireless wps mfp infrastructure
no wireless wps mfp infrastructure
なし。
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次に、インフラストラクチャ MFP を有効にする例を示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#wireless wps mfp infrastructure
さまざまな不正パラメータを設定するには、wirelesswpsrogue コマンドを使用します。
wireless wps rogue { adhoc | client } [ alert mac-addr | contain mac-addr no-of-aps ]
adhoc |
Independent Basic Service Set(IBSS またはアドホック)の不正なアクセス ポイントのステータスを設定します。 |
client |
不正なクライアントを設定します。 |
alertmac-addr |
アドホックの不正を検出すると SNMP トラップを生成し、システム管理者に即座にアラートを発信して、アドホックの不正アクセス ポイントの MAC アドレスに対し必要な措置を促します。 |
containmac-addrno-of-aps |
加害デバイスを阻止し、その信号が正規クライアントを阻害しないようにします。 アドホックの不正なアクセス ポイントをアクティブに阻止するために割り当てられた、シスコのアクセス ポイントの最大数(1 ~ 4)。 |
なし。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次に、システム管理者に即座にアラートを生成し、アドホックの不正アクセス ポイントの MAC アドレスに対し必要な措置を促す例を示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#wireless wps rouge adhoc alert mac_addr
回避リストのコントローラをモビリティ グループ内の他のコントローラと同期させるには、wirelesswpsshun-listre-sync コマンドを使用します。
wireless wps shun-list re-sync
なし。
任意のコマンド モード
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次に、回避リストのコントローラを他のコントローラと同期するように設定する例を示します。
Device#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Device(config)#wireless wps shun-list re-sync
VLAN パケット フィルタリング用の VLAN マップ エントリを作成または修正し、VLAN アクセス マップ コンフィギュレーション モードに変更するには、スイッチ スタックまたはスタンドアロン スイッチのグローバル コンフィギュレーション モードで vlan access-map コマンドを使用します。VLAN マップ エントリを削除するには、このコマンドの no 形式を使用します。
vlan access-map name [ number ]
no vlan access-map name [ number ]
(注) | このコマンドは、LAN ベース フィーチャ セットを実行しているスイッチではサポートされません。 |
name |
VLAN マップ名 |
number |
(任意)作成または変更するマップ エントリのシーケンス番号(0 ~ 65535)。VLAN マップを作成する際にシーケンス番号を指定しない場合、番号は自動的に割り当てられ、10 から開始して 10 ずつ増加します。この番号は、VLAN アクセス マップ エントリに挿入するか、または VLAN アクセス マップ エントリから削除する順番です。 |
VLAN に適用する VLAN マップ エントリまたは VLAN マップはありません。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
グローバル コンフィギュレーション モードでは、このコマンドは VLAN マップを作成または修正します。このエントリは、モードを VLAN アクセス マップ コンフィギュレーションに変更します。match アクセス マップ コンフィギュレーション コマンドを使用して、照合する IP または非 IP トラフィックのアクセス リストを指定できます。また、action コマンドを使用して、この照合によりパケットを転送またはドロップするかどうかを設定します。
VLAN アクセス マップ コンフィギュレーション モードでは、次のコマンドが利用できます。
action:実行するアクションを設定します(forward または drop)。
default:コマンドをデフォルト値に設定します。
exit:VLAN アクセス マップ コンフィギュレーション モードを終了します。
match:照合する値を設定します(IP アドレスまたは MAC アドレス)。
no:コマンドを無効にするか、デフォルト値に設定します。
エントリ番号(シーケンス番号)を指定しない場合、マップの最後に追加されます。
VLAN ごとに VLAN マップは 1 つだけ設定できます。VLAN マップは、VLAN でパケットを受信すると適用されます。
シーケンス番号を指定して no vlan access-map name [number] コマンドを使用すると、エントリを個別に削除できます。
VLAN マップを 1 つまたは複数の VLAN に適用するには、vlan filter インターフェイス コンフィギュレーション コマンドを使用します。
VLAN マップ エントリの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。
次の例では、vac1 という名の VLAN マップを作成し、一致条件とアクションをその VLAN マップに適用する方法を示します。他のエントリがマップに存在しない場合、これはエントリ 10 になります。
Device(config)# vlan access-map vac1 Device(config-access-map)# match ip address acl1 Device(config-access-map)# action forward
次の例では、VLAN マップ vac1 を削除する方法を示します。
Device(config)# no vlan access-map vac1
1 つ以上の VLAN に VLAN マップを適用するには、スイッチ スタックまたはスタンドアロン スイッチ上で、グローバル コンフィギュレーション モードで vlan filter コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。
vlan filter mapname vlan-list { list | all }
no vlan filter mapname vlan-list { list | all }
(注) | このコマンドは、LAN ベース フィーチャ セットを実行しているスイッチではサポートされません。 |
mapname |
VLAN マップ エントリ名 |
vlan-list |
マップを適用する VLAN を指定します。 |
list |
tt、uu-vv、xx、および yy-zz 形式での 1 つまたは複数の VLAN リスト。カンマとダッシュの前後のスペースは任意です。指定できる範囲は 1 ~ 4094 です。 |
all |
マップをすべての VLAN に追加します。 |
VLAN フィルタはありません。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
パケットを誤って過剰にドロップし、設定プロセスの途中で接続が無効になることがないように、VLAN アクセス マップを完全に定義してから VLAN に適用することを推奨します。
VLAN マップ エントリの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。
次の例では、VLAN マップ エントリ map1 を VLAN 20 および 30 に適用します。
Device(config)# vlan filter map1 vlan-list 20, 30
次の例では、VLAN マップ エントリ map1 を VLAN 20 から削除する方法を示します。
Device(config)# no vlan filter map1 vlan-list 20
設定を確認するには、show vlan filter 特権 EXEC コマンドを入力します。
VLAN グループを作成または変更するには、グローバル コンフィギュレーション モードで vlan group コマンドを使用します。VLAN グループから VLAN リストを削除するには、このコマンドの no 形式を使用します。
vlan group group-name vlan-list vlan-list
no vlan group group-name vlan-list vlan-list
group-name |
VLAN グループの名前。名前は最大 32 文字で、文字から始める必要があります。 |
vlan-list vlan-list |
VLAN グループに追加される 1 つ以上の VLAN を指定します。vlan-list 引数には単一の VLAN ID、VLAN ID のリスト、または VLAN ID の範囲を指定できます。複数のエントリはハイフン(-)またはカンマ(,)で区切ります。 |
なし
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
指定された VLAN グループが存在しない場合、vlan group コマンドはグループを作成し、指定された VLAN リストをそのグループにマッピングします。指定された VLAN グループが存在する場合は、指定された VLAN リストがそのグループにマッピングされます。
vlan group コマンドの no 形式を使用すると、指定された VLAN リストが VLAN グループから削除されます。VLAN グループから最後の VLAN を削除すると、その VLAN グループは削除されます。
最大 100 の VLAN グループを設定でき、1 つの VLAN グループに最大 4094 の VLAN をマッピングできます。
次に、VLAN 7 ~ 9 と 11 を VLAN グループにマッピングする例を示します。
Device(config)# vlan group group1 vlan-list 7-9,11
次の例では、VLAN グループから VLAN 7 を削除する方法を示します。
Device(config)# no vlan group group1 vlan-list 7