セキュリティ

aaa accounting

RADIUS または TACACS+ を使用する場合に、課金やセキュリティ目的で、要求されたサービスの認証、許可、アカウンティング(AAA)アカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting コマンドを使用します。AAA アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accouting { auth-proxy | system | network | exec | connections | commands level} { default | list-name} { start-stop | stop-only | none } [ broadcast ] group group-name

no aaa accouting { auth-proxy | system | network | exec | connections | commands level} { default | list-name} { start-stop | stop-only | none } [ broadcast ] group group-name

構文の説明

auth-proxy すべての認証済みプロキシ ユーザ イベントに関する情報を出力します。
system リロードなどのユーザに関連付けられていないシステムレベルのすべてのイベントのアカウンティングを実行します。
network ネットワークに関連するあらゆるサービス要求にアカウンティングを実行します。
exec

EXEC シェル セッションのアカウンティングを実行します。このキーワードは、autocommand コマンド によって生成される情報などのユーザ プロファイル情報を返すことができます。

connection

ネットワーク アクセス サーバから確立されたすべてのアウトバウンド接続に関する情報を提供します。
commands level

指定した特権レベルですべてのコマンドのアカウンティングを実行します。有効な特権レベル エントリは 0 ~ 15 の整数です。
default

この引数のあとにリストされるアカウンティング方式を、アカウンティング サービスのデフォルト リストとして使用します。
list-name

次に記載されているアカウンティング方式のうち、少なくとも 1 つを含むリストの名前を付けるために使用する文字列です:
start-stop

プロセスの開始時に "start" accounting 通知を送信し、プロセスの終了時に "stop" accounting 通知を送信します。"start" アカウンティング レコードはバックグランドで送信されます。要求されたユーザ プロセスは、"start" accounting 通知がアカウンティング サーバで受信されたかどうかに関係なく開始されます。

stop-only

要求されたユーザ プロセスの終了時に、"stop" アカウンティング通知を送信します。
none

この回線またはインターフェイスでアカウンティング サービスをディセーブルにします。
broadcast

(任意)複数の AAA サーバへのアカウンティング レコードの送信をイネーブルにします。各グループの最初のサーバに対し、アカウンティング レコードを同時に送信します。最初のサーバが使用できない場合、そのグループ内で定義されたバックアップ サーバを使用してフェールオーバーが発生します。
group groupname

次に記述されているキーワードの 1 つ以上を使用します: 表 1

コマンド デフォルト

AAA アカウンティングはディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

アカウンティングを有効にし、回線別またはインターフェイス別に特定のアカウンティング方式を定義する名前付き方法リストを作成するには、aaa accounting コマンドを使用します。

表 1. AAA アカウンティングの方式

キーワード

説明
group radius

aaa group server radius コマンドで定義されるすべての RADIUS サーバのリストを認証に使用します。

group tacacs+

aaa group server tacacs+ コマンドで定義されるすべての TACACS+ サーバのリストを認証に使用します。

group group-name

group-name サーバ グループで定義したように、アカウンティングのための RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

表 1 では、group radius 方式および group tacacs+ 方式は、以前に定義した一連の RADIUS サーバまたは TACACS+ サーバを参照します。ホスト サーバを設定するには、radius server コマンドおよび tacacs server コマンドを使用します。aaa group server radius コマンドおよび aaa group server tacacs+ コマンドを使用して名前付きのサーバ グループを作成します。

Cisco IOS ソフトウェアは次の 2 つのアカウンティング方式をサポートします。

  • RADIUS:ネットワーク アクセス サーバは、アカウンティング レコードの形式で RADIUS セキュリティ サーバに対してユーザ アクティビティを報告します。各アカウンティング レコードにはアカウンティングの Attribute-Value(AV)ペアが含まれ、レコードはセキュリティ サーバに格納されます。

  • TACACS+:ネットワーク アクセス サーバは、アカウンティング レコードの形式で TACACS+ セキュリティ サーバに対してユーザ アクティビティを報告します。各アカウンティング レコードにはアカウンティングの Attribute-Value(AV)ペアが含まれ、レコードはセキュリティ サーバに格納されます。

アカウンティングの方式リストは、アカウンティングの実行方法を定義します。名前付きアカウンティング方式リストにより、特定の回線またはインターフェイスで、特定の種類のアカウンティング サービスに使用する特定のセキュリティ プロトコルを指定できます。list-name および method を入力してリストを作成します。list-name にはこのリストの名前として使用する任意の文字列(radius や tacacs+ などの方式名を除く)を指定し、method には指定されたシーケンスで試行する方式を指定します。

特定のアカウンティングの種類の aaa accounting コマンドを、名前付き方式リストを指定しないで発行した場合、名前付き方式リストが明示的に定義されているものを除いて、すべてのインターフェイスまたは回線(このアカウンティングの種類が適用される)にデフォルトの方式リストが自動的に適用されます(定義済みの方式リストは、デフォルトの方式リストに優先します)。デフォルトの方式リストが定義されていない場合、アカウンティングは実行されません。


(注)  

システム アカウンティングでは名前付きアカウンティング リストは使用されず、システム アカウンティングのためのデフォルトのリストだけを定義できます。

最小のアカウンティングの場合、stop-only キーワードを指定して、要求されたユーザ プロセスの終了時に stop レコード アカウンティング通知を送信します。詳細なアカウンティングの場合、start-stop キーワードを指定することで、RADIUS または TACACS+ が要求されたプロセスの開始時に start アカウンティング通知を送信し、プロセスの終了時に stop アカウンティング通知を送信するようにできます。アカウンティングは RADIUS または TACACS+ サーバにだけ保存されます。none キーワードは、指定した回線またはインターフェイスのアカウンティング サービスをディセーブルにします。

AAA アカウンティングがアクティブにされると、ネットワーク アクセス サーバは、ユーザが実装したセキュリティ方式に応じて、接続に関係する RADIUS アカウンティング属性または TACACS+ AV ペアをモニタします。ネットワーク アクセス サーバはこれらの属性をアカウンティング レコードとしてレポートし、アカウンティング レコードはその後セキュリティ サーバのアカウンティング ログに保存されます。サポートされる RADIUS アカウンティング属性の一覧については、『Cisco IOS Security Configuration Guide』の付録「RADIUS Attributes」を参照してください。サポートされる TACACS+ アカウンティングの AV ペアの一覧については、『Cisco IOS Security Configuration Guide』の付録「TACACS+ Attributes-Value Pairs」を参照してください。


(注)  

このコマンドは、TACACS または拡張 TACACS には使用できません。

次の例では、デフォルトのコマンド アカウンティング方式リストを定義しています。この例のアカウンティング サービスは TACACS+ セキュリティ サーバによって提供され、stop-only 制限で特権レベル 15 コマンドに設定されています。


Device(config)# aaa accounting commands 15 default stop-only group TACACS+

次の例では、アカウンティング サービスが TACACS+ セキュリティ サーバで提供され、stop-only 制限があるデフォルトの auth-proxy アカウンティング方式リストの定義を示します。aaa accounting コマンドは認証プロキシ アカウンティングをアクティブにします。 


Device(config)# aaa new model
Device(config)# aaa authentication login default group TACACS+
Device(config)# aaa authorization auth-proxy default group TACACS+
Device(config)# aaa accounting auth-proxy default start-stop group TACACS+

aaa accounting dot1x

認証、認可、およびアカウンティング(AAA)アカウンティングをイネーブルにして、IEEE 802.1x セッションの特定のアカウンティング方式を、回線単位またはインターフェイス単位で定義する方式リストを作成するには aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting dot1x { name| default } start-stop { broadcast group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ]}

no aaa accounting dot1x { name| default }

構文の説明

name

サーバ グループ名。これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。

default

デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に指定します。
start-stop

プロセスの開始時に start accounting 通知を送信し、プロセスの終了時に stop accounting 通知を送信します。start アカウンティング レコードはバックグラウンドで送信されます。アカウンティング サーバが start accounting 通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。

broadcast

複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。
group
アカウンティング サービスに使用するサーバ グループを指定します。有効なサーバ グループ名は次のとおりです。

  • 名前 :サーバ グループの名前。

  • radius :すべての RADIUS ホストのリスト。

  • tacacs+ :すべての TACACS+ ホストのリスト。

broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。オプションの group キーワードより多くの値を入力できます。

radius

(任意)RADIUS アカウンティングをイネーブルにします。
tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

コマンド デフォルト

AAA アカウンティングはディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドは、RADIUS サーバへのアクセスが必要です。

インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、 dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。

次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。


Device(config)# aaa new-model
Device(config)# aaa accounting dot1x default start-stop group radius

aaa accounting identity

IEEE 802.1x、MAC 認証バイパス(MAB)、および Web 認証セッションの認証、認可、およびアカウンティング(AAA)アカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで、aaa accounting identity コマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting identity { name| default } start-stop { broadcast group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ]}

no aaa accounting identity { name| default }

構文の説明

name

サーバ グループ名。これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。

default

デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に使用します。
start-stop

プロセスの開始時に start accounting 通知を送信し、プロセスの終了時に stop accounting 通知を送信します。start アカウンティング レコードはバックグラウンドで送信されます。アカウンティング サーバが start アカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。

broadcast

複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。
group
アカウンティング サービスに使用するサーバ グループを指定します。有効なサーバ グループ名は次のとおりです。

  • 名前 :サーバ グループの名前。

  • radius :すべての RADIUS ホストのリスト。

  • tacacs+ :すべての TACACS+ ホストのリスト。

broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。オプションの group キーワードより多くの値を入力できます。

radius

(任意)RADIUS 認証をイネーブルにします。
tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

コマンド デフォルト

AAA アカウンティングはディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

AAA アカウンティング アイデンティティをイネーブルにするには、ポリシー モードをイネーブルにする必要があります。ポリシー モードをイネーブルにするには、特権 EXEC モードで authentication display new-style コマンドを入力します。

次の例では、IEEE 802.1x アカウンティング アイデンティティを設定する方法を示します。


Device# authentication display new-style

Please note that while you can revert to legacy style
configuration at any time unless you have explicitly
entered new-style configuration, the following caveats
should be carefully read and understood.

(1) If you save the config in this mode, it will be written
    to NVRAM in NEW-style config, and if you subsequently
    reload the router without reverting to legacy config and
    saving that, you will no longer be able to revert.

(2) In this and legacy mode, Webauth is not IPv6-capable. It
    will only become IPv6-capable once you have entered new-
    style config manually, or have reloaded with config saved
    in 'authentication display new' mode.

Device# configure terminal
Device(config)# aaa accounting identity default start-stop group radius

aaa authentication dot1x

IEEE 802.1x 認証に準拠するポートで使用する認証、認可、およびアカウンティング(AAA)方式を指定するには、スイッチ スタックまたはスタンドアロン スイッチ上のグローバル コンフィギュレーション モードで aaa authentication dot1x コマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication dot1x { default } method1

no aaa authentication dot1x { default } method1

構文の説明

default

ユーザがログインするときのデフォルトの方法。この引数に続いてリストされた認証方式が使用されます。
method1

サーバ認証を指定します。認証用にすべての RADIUS サーバの一覧を使用するには、group radius キーワードを入力します。

(注)   

コマンドラインのヘルプ文字列には他のキーワードが表示されますが、サポートされているのは default および group radius キーワードのみです。

コマンド デフォルト

認証は実行されません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために特定の順序で試みる方式を指定します。IEEE 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。

group radius を指定した場合、radius-server host グローバル コンフィギュレーション コマンドを入力して RADIUS サーバを設定する必要があります。

設定された認証方式の一覧を表示するには、show running-config 特権 EXEC コマンドを使用します。

次の例では AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試みます。この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。


Device(config)# aaa new-model
Device(config)# aaa authentication dot1x default group radius

aaa authorization

ネットワークへのユーザ アクセスを制限するパラメータを設定するには、グローバル コンフィギュレーション モードで aaa authorization コマンドを使用します。パラメータを削除するには、このコマンドの no 形式を使用します。

aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | onep | policy-if | prepaid | radius-proxy | reverse-access | subscriber-service | template } { default | list_name} [ method1 [ method2...]]

aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | reverse-access | template } { default | list_name } [ method1 [ method2 ...]]

no aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | reverse-access | template } { default | list_name } [ method1 [ method2 ...]]

構文の説明

auth-proxy

認証プロキシ サービスに許可を実行します。
cache

認証、許可、アカウンティング(AAA)サーバを設定します。
commands

指定した特権レベルですべてのコマンドの許可を実行します。
level

許可が必要な特定のコマンド レベル。有効な値は 0 ~ 15 です。
config-commands

コンフィギュレーション モードで入力されたコマンドを許可するかどうかを決定する許可を実行します。
configuration

AAA サーバから設定をダウンロードします。
console

AAA サーバのコンソール許可をイネーブルにします。
credential-download

Local/RADIUS/LDAP から EAP クレデンシャルをダウンロードします。
exec

AAA サーバのコンソール許可をイネーブルにします。
multicast

AAA サーバからマルチキャスト設定をダウンロードします。
network

シリアル ライン インターネット プロトコル(SLIP)、PPP(ポイントツーポイント プロトコル)、PPP ネットワーク コントロール プログラム(NCP)、AppleTalk Remote Access(ARA)など、すべてのネットワーク関連サービス要求について許可を実行します。
onep

ONEP サービスに許可を実行します。
reverse-access

リバース Telnet などの逆アクセス接続の許可を実行します。
template

AAA サーバのテンプレート許可をイネーブルにします。
default

このキーワードに続く許可方式のリストを許可のデフォルト方式リストとして使用します。
list_name

許可方式リストの名前の指定に使用する文字列です。
method1[ method2...]

(任意)許可に使用する 1 つまたは複数の許可方式を指定します。方式には、次の表に示すキーワードのどれでも指定できます。

コマンド デフォルト

すべてのアクションに対する許可がディセーブルになります(方式キーワード none と同等)。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

aaa authorization コマンドを使用して、許可をイネーブルにし、名前付きの方式リストを作成します。このリストにはユーザが特定の機能にアクセスするときに使用できる許可方式が定義されます。許可方式リストによって、許可の実行方法とこれらの方式の実行順序が定義されます。方式リストは、一定順序で使用する必要がある許可方式(RADIUS、TACACS+ など)を示す名前付きリストです。方式リストを使用すると、許可に使用するセキュリティ プロトコルを 1 つ以上指定できるため、最初の方式が失敗した場合のバックアップ システムを確保できます。Cisco IOS ソフトウェアでは、特定のネットワーク サービスについてユーザを許可するために最初の方式が使用されます。その方式が応答しない場合、方式リストの次の方式が選択されます。このプロセスは、リスト内の許可方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。


(注)  

Cisco IOS ソフトウェアでは、前の方式からの応答がない場合にのみ、リストの次の許可方式が試行されます。このサイクルの任意の時点で許可が失敗した場合(つまり、セキュリティ サーバまたはローカル ユーザ名データベースからユーザ サービスの拒否応答が返される場合)、許可プロセスは停止し、その他の許可方式は試行されません。

特定の許可の種類の aaa authorization コマンドを、名前付き方式リストを指定しないで発行した場合、名前付き方式リストが明示的に定義されているものを除いて、すべてのインターフェイスまたは回線(この許可の種類が適用される)にデフォルトの方式リストが自動的に適用されます(定義済みの方式リストは、デフォルトの方式リストに優先します)。デフォルトの方式リストが定義されていない場合、許可は実行されません。RADIUS サーバからの IP プールのダウンロードを許可するなどの発信許可は、デフォルトの許可方式リストを使用して実行する必要があります。

aaa authorization コマンドを使用して、list-name 引数および method 引数に値を入力してリストを作成します。list-name にはこのリストの名前として使用する任意の文字列(すべての方式名を除く)を指定し、method には特定の順序で試行される許可方式のリストを指定します。


(注)  

次の表に、以前定義済みの RADIUS サーバまたは TACACS+ サーバのセットを参照する group group-name 方式、group ldap 方式、group radius 方式、および group tacacs+ 方式を示します。ホスト サーバを設定するには、radius server コマンドおよび tacacs server コマンドを使用します。サーバの名前付きグループを作成するには、aaa group server radius コマンド、aaa group server ldap コマンドおよび aaa group server tacacs+ コマンドを使用します。

この表では、method キーワードについて説明します。

表 2. AAA 許可方式

キーワード

説明

cache group-name

キャッシュ サーバ グループを許可に使用します。

group group-name

アカウンティングに、server group group-name コマンドで定義される RADIUS または TACACS+ サーバのサブセットを使用します。

group ldap

許可にすべての Lightweight Directory Access Protocol(LDAP)サーバのリストを使用します。

group radius

aaa group server radius コマンドで定義されるすべての RADIUS サーバのリストを認証に使用します。

grouptacacs+

aaa group server tacacs+ コマンドで定義されるすべての TACACS+ サーバのリストを認証に使用します。

if-authenticated

許可された場合、ユーザは要求した機能にアクセスできます。
(注)   

if-authenticated 方式は終端の方式です。したがって、方式としてリストされている場合、その後にリストされたどの方式も評価されません。

local

許可にローカル データベースを使用します。

none

許可が行われないことを示します。
Cisco IOS ソフトウェアは、許可について次の方式をサポートします。

  • Cache Server Groups:ルータはキャッシュ サーバ グループを調べて、特定の権限をユーザに許可します。

  • If-Authenticated:ユーザが認証に成功した場合、ユーザは要求した機能にアクセスできます。

  • Local:ルータまたはアクセス サーバは、username コマンドの定義に従ってローカル データベースに問い合わせ、特定の権限をユーザに許可します。ローカル データベースでは制御できるのは、一部の機能だけです。

  • None:ネットワーク アクセス サーバは、認可情報を要求しません。認可は、この回線またはインターフェイスで実行されません。

  • RADIUS:ネットワーク アクセス サーバは RADIUS セキュリティ サーバ グループからの認可情報を要求します。RADIUS 認可では、属性を関連付けることでユーザに固有の権限を定義します。属性は適切なユーザとともに RADIUS サーバ上のデータベースに保存されます。

  • TACACS+:ネットワーク アクセス サーバは、TACACS+ セキュリティ デーモンと認可情報を交換します。TACACS+ 許可は、属性値(AV)ペアを関連付けることでユーザに特定の権限を定義します。属性ペアは適切なユーザとともに TACACS+ セキュリティ サーバのデータベースに保存されます。

方式リストは、要求されている許可のタイプによって異なります。AAA は 5 種類の許可方式をサポートしています。

  • Commands:ユーザが実行する EXEC モード コマンドに適用されます。コマンドの認可は、特定の特権レベルに関連付けられた、グローバル コンフィギュレーション コマンドなどのすべての EXEC モード コマンドについて、認可を試行します。

  • EXEC:ユーザ EXEC ターミナル セッションに関連付けられた属性に適用されます。

  • Network:ネットワーク接続に適用されます。ネットワーク接続には、PPP、SLIP、または ARA 接続が含まれます。


    (注)  

    aaa authorization config-commands コマンドを設定して、先頭に do コマンドが追加される EXEC コマンドを含む、グローバル コンフィギュレーション コマンドを許可する必要があります。

  • Reverse Access:リバース Telnet セッションに適用されます。

  • Configuration:AAA サーバからダウンロードされた設定に適用されます。

名前付き方式リストを作成すると、指定した許可タイプに対して特定の許可方式リストが定義されます。

定義されると、方式リストを特定の回線またはインターフェイスに適用してから、定義済み方式のいずれかを実行する必要があります。

authorization コマンドにより、許可プロセスの一環として、一連の AV のペアを含む要求パケットが RADIUS または TACACS+ デーモンに送信されます。デーモンは、次のいずれかのアクションを実行できます。

  • 要求をそのまま受け入れます。

  • 要求を変更します。

  • 要求および許可を拒否します。

サポートされる RADIUS 属性のリストについては、RADIUS 属性のモジュールを参照してください。サポートされる TACACS+ の AV ペアのリストについては、TACACS+ 属性値ペアのモジュールを参照してください。

(注)  

次の 5 個のコマンドは、特権レベル 0 と対応しています。disable enable exit help logout 。特権レベルの AAA 認証を 0 より大きい値に設定した場合、これらの 5 個のコマンドは特権レベル コマンド セットに含まれません。

次に、PPP を使用するシリアル回線に RADIUS の許可を使用するように指定する mygroup というネットワーク許可方式リストを定義する例を示します。RADIUS サーバが応答しない場合、ローカル ネットワークの許可が実行されます。


Device(config)#  aaa authorization network mygroup group radius local

aaa authorization network

IEEE 802.1x VLAN 割り当てなどのすべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を使用するようにスイッチを設定するには、グローバル コンフィギュレーション モードで aaa authorization network コマンドを使用します。RADIUS ユーザ認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authorization network default group radius

no aaa authorization network default

構文の説明

default group radius

デフォルトの認証リストとして、サーバ グループ内のすべての RADIUS ホストのリストを使用します。

コマンド デフォルト

認証はディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

スイッチが、デフォルトの認証リスト内にある RADIUS サーバから IEEE 802.1x 認証パラメータをダウンロードできるようにするには、aaa authorization network default group radius グローバル コンフィギュレーション コマンドを使用します。認証パラメータは、VLAN 割り当てなど、RADIUS サーバからパラメータを取得する機能で使用されます。

設定された認証方式リストを表示するには、show running-config 特権 EXEC コマンドを使用します。

この例では、すべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を行うようスイッチを設定する方法を示します。


Device(config)# aaa authorization network default group radius

aaa new-model

認証、認可、およびアカウンティング(AAA)アクセス制御モデルを有効にするには、グローバル コンフィギュレーション モードで aaa new-model コマンドを使用します。AAA アクセス制御モデルを無効にするには、このコマンドの no 形式を使用します。

aaa new-model

no aaa new-model

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

AAA が有効になっていません。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドにより、AAA アクセス制御システムが有効になります。

仮想端末回線(VTY)に関して login local コマンドが設定されている場合、aaa new-model コマンドを削除するときは、スイッチをリロードしてデフォルト設定または login コマンドを取得する必要があります。スイッチをリロードしない場合、スイッチは、VTY ではデフォルトで login local コマンドに設定されます。


(注)  
aaa new-model コマンドを削除することは推奨されません。
次に、この制限の例を示します。
Switch(config)# aaa new-model
Switch(config)# line vty 0 15
Switch(config-line)# login local
Switch(config-line)# exit
Switch(config)# no aaa new-model
Switch(config)# exit 
Switch# show running-config | b line vty

line vty 0 4
 login local  !<=== Login local instead of "login"
line vty 5 15
 login local
!

次に、AAA を初期化する例を示します。


Switch(config)# aaa new-model
Switch(config)#

関連コマンド

Command

Description

aaa accounting

課金またはセキュリティ目的のために、要求されたサービスの AAA アカウンティングをイネーブルにします。

aaa authentication arap

TACACS+ を使用する ARAP の AAA 認証方式を有効にします。

aaa authentication enable default

ユーザが特権コマンド レベルにアクセスできるかどうかを決定する AAA 認証を有効にします。

aaa authentication login

ログイン時の AAA 認証を設定します。

aaa authentication ppp

PPP を実行しているシリアル インターフェイス上で使用する 1 つまたは複数の AAA 認証方式を指定します。

aaa authorization

ネットワークへのユーザ アクセスを制限するパラメータを設定します。

aaa policy interface-config allow-subinterface

認証、認可、およびアカウンティング(AAA)Link Control Protocol(LCP)インターフェイス設定ポリシー パラメータを有効にするには、グローバル コンフィギュレーション モードで aaa policy interface-config allow-subinterface コマンドを発行します。LCP インターフェイス設定ポリシー パラメータを無効にするには、このコマンドの no 形式を使用します。

aaa policy interface-config allow-subinterface

no aaa policy interface-config allow-subinterface

構文の説明

interface-config

LCP インターフェイス設定ポリシー パラメータを指定します。
allow-subinterface

デフォルトではフル仮想アクセス インターフェイスを作成しないことを指定します。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.6.0E

このコマンドが導入されました。

使用上のガイドライン

セッションに関連付けられている仮想アクセス インターフェイスでインターフェイス コンフィギュレーション モードのコマンドを適用するには、interface-config キーワードを使用します。

次に、AAA LCP インターフェイス設定ポリシー パラメータを有効にする例を示します。

Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa policy interface-config allow-subinterface

関連コマンド

Command

Description

aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

access-session mac-move deny

デバイス 上での MAC 移動をディセーブルにするには、access-session mac-move deny グローバル コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

access-session mac-move deny

no access-session mac-move deny

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

MAC 移動はイネーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドの no 形式を使用すると、認証済みホストをデバイス上の認証対応ポート(MAC 認証バイパス [MAB]、802.1x、または Web-auth)間で移動することができます。たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。

MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。

次の例では、デバイス上で MAC 移動をイネーブルにする方法を示します。 


Device(config)# no access-session mac-move deny

関連コマンド

コマンド

説明

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

access-session template monitor

access session template を設定してポートをモニタするには、access-session template monitor コマンドをグローバル コンフィギュレーション モードで使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

access-session template monitor

no access-session template monitor

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

このコマンドは設定されません。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

Cisco IOS XE Denali 16.1.1

このコマンドが導入されました。

使用上のガイドライン

access-session template monitor コマンドは、認証設定が存在せず、MAC アドレスが既知であるすべてのポートでのセッションを作成するためにセッションの監視を有効にします。これらのセッションには、トラフィック用のオープン アクセス ポート、ポート上のホストの数を制御するマルチ認証ホスト モード、およびセッションが認証と認可を自動で受けるよう設定するポート制御があります。device classifier または autoconf コマンドが有効になっている場合、access-session template monitor コマンドはデフォルトで有効です。セッションの監視はポートごとに無効にできます。

このコマンドは、Identity-Based Networking Services(IBNS)を備えたデバイスで利用可能です。IBNS new-style モードで access-session template monitor コマンドと同等のコマンドは access-session monitor です。IBNS レガシー モードから new style モードに切り替えるには、authentication convert-to new-style コマンドを使用します。

次に、access session template を設定してポートを監視する方法の例を示します。

Device(config)# access-session template monitor

関連コマンド

Command

Description

device classifier

システムで学習したすべての MAC アドレスのモニタ セッションを作成します。

authentication convert-to new-style

すべての関連する認証コマンドを CPL 制御ポリシー相当に変換します。

アクション

VLAN アクセス マップ エントリのアクションを設定するには、アクセスマップ コンフィギュレーション モードで action コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

action { drop | forward }

no action

構文の説明

drop

指定された条件に一致する場合に、パケットをドロップします。

forward

指定された条件に一致する場合に、パケットを転送します。

コマンド デフォルト

デフォルトのアクションは、パケットの転送です。

コマンド モード

アクセス マップ コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

vlan access-map グローバル コンフィギュレーション コマンドを使用して、アクセス マップ コンフィギュレーション モードを開始します。

アクションが drop の場合は、一致条件でのアクセス コントロール リスト(ACL)名の設定など、アクセス マップを定義した後に、そのマップを VLAN に適用する必要があります。定義しない場合、すべてのパケットがドロップされることがあります。

アクセス マップ コンフィギュレーション モードでは、match access-map コンフィギュレーション コマンドを使用して、VLAN マップの一致条件を定義します。action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。

drop パラメータおよび forward パラメータは、このコマンドの no 形式では使用されません。

設定を確認するには、show vlan access-map 特権 EXEC コマンドを入力します。

次の例では、VLAN アクセス マップ vmap4 を指定し VLAN 5 と VLAN 6 に適用する方法を示します。このアクセス マップは、パケットがアクセス リスト al2 に定義された条件に一致する場合に、VLAN がその IP パケットを転送するように指定します。

Device(config)# vlan access-map vmap4
Device(config-access-map)# match ip address al2
Device(config-access-map)# action forward
Device(config-access-map)# exit
Device(config)# vlan filter vmap4 vlan-list 5-6

authentication host-mode

ポートで認証マネージャ モードを設定するには、インターフェイス コンフィギュレーション モードで authentication host-mode コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication host-mode { multi-auth | multi-domain | multi-host | single-host }

no authentication host-mode

構文の説明

multi-auth

ポートのマルチ認証モード(multi-auth モード)をイネーブルにします。
multi-domain

ポートのマルチドメイン モードをイネーブルにします。
multi-host

ポートのマルチホスト モードをイネーブルにします。
single-host

ポートのシングルホスト モードをイネーブルにします。

コマンド デフォルト

シングルホスト モードがイネーブルにされています。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

接続されているデータ ホストが 1 つだけの場合は、シングルホスト モードを設定する必要があります。シングルホスト ポートでの認証のために音声デバイスを接続しないでください。ポートで音声 VLAN が設定されていないと、音声デバイスの許可が失敗します。

データ ホストが IP フォン経由でポートに接続されている場合は、マルチドメイン モードを設定する必要があります。音声デバイスを認証する必要がある場合は、マルチドメイン モードを設定する必要があります。

ハブの背後にデバイスを配置し、それぞれを認証してポート アクセスのセキュリティを確保できるようにするには、マルチ認証モードに設定する必要があります。音声 VLAN が設定されている場合は、このモードで認証できる音声デバイスは 1 つだけです。

マルチホスト モードでも、ハブ越しの複数ホストのためのポート アクセスが提供されますが、マルチホスト モードでは、最初のユーザが認証された後でデバイスに対して無制限のポート アクセスが与えられます。

次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。


Device(config-if)# authentication host-mode multi-auth

次の例では、ポートのマルチドメイン モードをイネーブルにする方法を示します。


Device(config-if)# authentication host-mode multi-domain

次の例では、ポートのマルチホスト モードをイネーブルにする方法を示します。


Device(config-if)# authentication host-mode multi-host

次の例では、ポートのシングルホスト モードをイネーブルにする方法を示します。


Device(config-if)# authentication host-mode single-host

設定を確認するには、show authentication sessions interface interface details 特権 EXEC コマンドを入力します。

authentication mac-move permit

デバイス上での MAC 移動をイネーブルにするには、グローバル コンフィギュレーション モードで authentication mac-move permit コマンドを使用します。MAC 移動をディセーブルにするには、このコマンドの no 形式を使用します。

authentication mac-move permit

no authentication mac-move permit

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

MAC 移動は無効になっています。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

これはレガシー コマンドです。新しいコマンドは access-session mac-move deny です。

このコマンドを使用すると、デバイス上の 認証対応ポート(MAC 認証バイパス [MAB]、802.1x、または Web-auth)間で認証ホストを移動できます。たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。

MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。

次の例では、デバイス上で MAC 移動をイネーブルにする方法を示します。 


Device(config)# authentication mac-move permit

関連コマンド

コマンド

説明

access-session mac-move deny

デバイスで MAC 移動をディセーブルにします。

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートの再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

認証優先

プライオリティ リストに認証方式を追加するには、インターフェイス コンフィギュレーション モードで authentication priority コマンドを使用します。デフォルトに戻るには、no 形式のコマンドを使用します。

authentication priority [ dot1x | mab ] { webauth }

no authentication priority [ dot1x | mab ] { webauth }

構文の説明

dot1x

(任意)認証方式の順序に 802.1x を追加します。

mab

(任意)認証方式の順序に MAC 認証バイパス(MAB)を追加します。

webauth

認証方式の順序に Web 認証を追加します。

コマンド デフォルト

デフォルトのプライオリティは、802.1x 認証、MAC 認証バイパス、Web 認証の順です。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。

ポートにフォールバック方式を複数設定するときは、Web 認証(webauth)を最後に設定してください。

異なる認証方式にプライオリティを割り当てることにより、プライオリティの高い方式を、プライオリティの低い進行中の認証方式に割り込ませることができます。


(注)  

クライアントがすでに認証されている場合に、プライオリティの高い方式の割り込みが発生すると、再認証されることがあります。

認証方式のデフォルトのプライオリティは、実行リストの順序におけるその位置と同じで、802.1x 認証、MAC 認証バイパス(MAB)、Web 認証の順です。このデフォルトの順序を変更するには、キーワード dot1x mab 、および webauth を使用します。

次の例では、802.1x を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。


Device(config-if)# authentication priority dotx webauth

次の例では、MAB を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。


Device(config-if)# authentication priority mab webauth

関連コマンド

コマンド

説明

authentication control-direction

ポート モードを単一方向または双方向に設定します。

authentication event fail

認証マネージャが認証エラーを認識されないユーザ クレデンシャルの結果として処理する方法を指定します。

authentication event no-response action

認証マネージャが認証エラーを応答のないホストの結果として処理する方法を指定します。

authentication event server alive action reinitialize

以前に到達不能であった認証、許可、アカウンティング サーバが使用可能になったときに認証マネージャ セッションを再初期化します。

authentication event server dead action authorize

認証、許可、アカウンティング サーバが到達不能になったときに認証マネージャ セッションを許可します。

authentication fallback

Web 認証のフォール バック方式をイネーブルにします。

authentication host-mode

ホストの制御ポートへのアクセスを許可します。

authentication open

ポートでオープン アクセスをイネーブルにします。

authentication order

認証マネージャがポート上のクライアントの認証を試みる順序を指定します。

authentication periodic

ポートの自動再認証をイネーブルにします。

authentication port-control

制御ポートの許可ステートを設定します。

authentication timer inactivity

機能しない認証マネージャ セッションを強制終了するまでの時間を設定します。

authentication timer reauthenticate

認証マネージャが許可ポートの再認証を試みる間隔を指定します。

authentication timer restart

認証マネージャが無許可ポートの認証を試みる間隔を指定します。

authentication violation

ポート上でセキュリティ違反が生じた場合に取るアクションを指定します。

mab

ポートの MAC 認証バイパスをイネーブルにします。

show authentication registrations

認証マネージャに登録されている認証方式に関する情報を表示します。

show authentication sessions

現在の認証マネージャ セッションに関する情報を表示します。

show authentication sessions interface

特定のインターフェイスの認証マネージャに関する情報を表示します。

authentication violation

新しいデバイスがポートに接続されたとき、または最大数のデバイスがポートに接続されている状態で新しいデバイスがポートに接続されたときに発生する違反モードを設定するには、インターフェイス コンフィギュレーション モードで authentication violation コマンドを使用します。

authentication violation { protect | replace | restrict | shutdown }

no authentication violation { protect | replace | restrict | shutdown }

構文の説明

protect

予期しない着信 MAC アドレスをドロップします。syslog エラーは生成されません。
replace

現在のセッションを削除し、新しいホストによる認証を開始します。
restrict

違反エラーの発生時に Syslog エラーを生成します。
shutdown

エラーによって、予期しない MAC アドレスが発生するポートまたは仮想ポートがディセーブルになります。

コマンド デフォルト

Authentication violation shutdown モードがイネーブルにされています。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

ポート上でセキュリティ違反が発生したときに実行するアクションを指定するには、authentication violation コマンドを使用します。

次の例では、新しいデバイスがポートに接続する場合に、errdisable になり、シャットダウンするように IEEE 802.1x 対応ポートを設定する方法を示します。


Device(config-if)# authentication violation shutdown

次の例では、新しいデバイスがポートに接続する場合に、システム エラー メッセージを生成して、ポートを制限モードに変更するように 802.1x 対応ポートを設定する方法を示します。


Device(config-if)# authentication violation restrict

次の例では、新しいデバイスがポートに接続するときに、そのデバイスを無視するように 802.1x 対応ポートを設定する方法を示します。


Device(config-if)# authentication violation protect

次の例では、新しいデバイスがポートに接続するときに、現在のセッションを削除し、新しいデバイスによる認証を開始するように 802.1x 対応ポートを設定する方法を示します。


Device(config-if)# authentication violation replace

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

cisp enable

スイッチ上で Client Information Signalling Protocol(CISP)を有効にして、サプリカント スイッチのオーセンティケータとして機能し、オーセンティケータ スイッチのサプリカントとして機能するようにするには、cisp enable グローバル コンフィギュレーション コマンドを使用します。

cisp enable

no cisp enable

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

Cisco IOS XE Denali 16.3.1

このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。

使用上のガイドライン

オーセンティケータとサプリカント スイッチの間のリンクはトランクです。両方のスイッチで VTP をイネーブルにする場合は、VTP ドメイン名が同一であり、VTP モードがサーバである必要があります。

VTP モードを設定する場合に MD5 チェックサムの不一致エラーにならないようにするために、次の点を確認してください。

  • VLAN が異なる 2 台のスイッチに設定されていないこと。同じドメインに VTP サーバが 2 台存在することがこの状態の原因になることがあります。

  • 両方のスイッチで、設定のリビジョン番号が異なっていること。

次の例では、CISP をイネーブルにする方法を示します。


Device(config)# cisp enable

関連コマンド

コマンド

説明

dot1x credentials プロファイル

プロファイルをサプリカント スイッチに設定します。

dot1x supplicant force-multicast

802.1X サプリカントがマルチキャスト パケットを送信するように強制します。

dot1x supplicant controlled transient

802.1X サプリカントによる制御アクセスを設定します。

show cisp

指定されたインターフェイスの CISP 情報を表示します。

clear errdisable interface vlan

error-disabled 状態になっていた VLAN を再びイネーブルにするには、特権 EXEC モードで clear errdisable interface コマンドを使用します。

clear errdisable interface interface-id vlan [ vlan-list]

構文の説明

interface-id

インターフェイスを指定します。

vlan list

(任意)再びイネーブルにする VLAN のリストを指定します。VLAN リストを指定しない場合は、すべての VLAN が再びイネーブルになります。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

shutdown および no shutdown のインターフェイス コンフィギュレーション コマンドを使用してポートを再びイネーブルにするか、clear errdisable インターフェイス コマンドを使用して VLAN の error-disabled をクリアできます。

次の例では、ギガビット イーサネット ポート 4/0/2 で errdisable になっているすべての VLAN を再びイネーブルにする方法を示します。


Device# clear errdisable interface gigabitethernet4/0/2 vlan

関連コマンド

コマンド

説明

errdisable detect cause

特定の原因、またはすべての原因に対して errdisable 検出をイネーブルにします。

errdisable recovery

回復メカニズム変数を設定します。

show errdisable detect

errdisable 検出ステータスを表示します。

show errdisable recovery

errdisable 回復タイマーの情報を表示します。

show interfaces status err-disabled

errdisable ステートになっているインターフェイスのリストのインターフェイス ステータスを表示します。

clear mac address-table

特定のダイナミック アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、スタック メンバ上のすべてのダイナミック アドレス、または特定の VLAN 上のすべてのダイナミック アドレスを MAC アドレス テーブルから削除するには、clear mac address-table コマンドを特権 EXEC モードで使用します。このコマンドはまた MAC アドレス通知グローバル カウンタもクリアします。

clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id] | move update | notification }

構文の説明

dynamic

すべてのダイナミック MAC アドレスを削除します。

address mac-addr

(任意)指定されたダイナミック MAC アドレスを削除します。

interface interface-id

(任意)指定された物理ポートまたはポート チャネル上のすべてのダイナミック MAC アドレスを削除します。

vlan vlan-id

(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ~ 4094 です。

move update

MAC アドレス テーブルの move-update カウンタをクリアします。

notification

履歴テーブルの通知をクリアし、カウンタをリセットします。

コマンド デフォルト

デフォルトの動作や値はありません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

show mac address-table 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを確認できます。

次の例では、ダイナミック アドレス テーブルから特定の MAC アドレスを削除する方法を示します。


Device# clear mac address-table dynamic address 0008.0070.0007

関連コマンド

コマンド

説明

mac address-table notification

MAC アドレス通知機能をイネーブルにします。

mac address-table move update {receive | transmit }

スイッチ上の MAC アドレス テーブル移行更新を設定します。

show mac address-table

MAC アドレス テーブルのスタティック エントリおよびダイナミック エントリを表示します。

show mac address-table move update

スイッチに MAC アドレス テーブル移行更新情報を表示します。

show mac address-table notification

interface キーワードが追加されると、すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。

snmp trap mac-notification change

特定のインターフェイスの SNMP MAC アドレス通知トラップをイネーブルにします。

cts manual

Cisco TrustSec セキュリティ(CTS)のインターフェイスを手動で有効にするには、インターフェイス コンフィギュレーション モードで cts manual コマンドを使用します。

cts manual

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

ディセーブル

コマンド モード


インターフェイス コンフィギュレーション(config-if)

コマンド履歴

リリース

変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが変更され、いくつかのオプションが追加されました。

Cisco IOS XE Denali 16.2.1

このコマンドが導入されました。

使用上のガイドライン

リンクにポリシーおよびセキュリティ アソシエーション プロトコル(SAP)を設定する TrustSec 手動インターフェイス コンフィギュレーションを開始するには、cts manual コマンドを使用します。

cts manual コマンドが設定された場合、802.1X 認証はリンクで実行されません。ポリシーを定義し、リンクに適用するには、 policy サブコマンドを使用します。デフォルトでは、ポリシーは適用されません。MACsec リンク間暗号化を設定するには、SAP ネゴシエーション パラメータを定義する必要があります。デフォルトでは、SAP は有効になっていません。同じ SAP ペアワイズ マスター キー(PMK)をリンクの両端で設定する必要があります(つまり、共有秘密)。

次に、Cisco TrustSec 手動モードを開始する例を示します。


Switch# configure terminal
Switch(config)# interface gigabitethernet 0
Switch(config-if)# cts manual
Switch(config-if-cts-manual))#

次に、インターフェイスから CTS 手動設定を削除する例を示します。


Switch# configure terminal
Switch(config)# interface gigabitethernet 0
Switch(config-if)# no cts manual

関連コマンド

コマンド

説明

propagate sgt (cts manual)

Cisco TrustSec Security(CTS)インターフェイスのレイヤ 2 でのセキュリティ グループ タグ(SGT)の伝達を有効にします。

sap mode-list (cts manual)

PMK および SAP 認証モードと暗号化モードを手動で指定し、2 つのインターフェイス間で MACsec リンクの暗号化をネゴシエートします。

show cts interface

Cisco TrustSec インターフェイス設定の統計情報を表示します。

cts role-based enforcement

Cisco TrustSec ロールベース(セキュリティ グループ)アクセス コントロール適用を有効にするには、グローバル コンフィギュレーション モードで cts role-based enforcement コマンドを使用します。設定を無効にするには、このコマンドの no 形式を使用します。

cts role-based enforcement [ logging-interval 間隔 | vlan-list { all | vlan-ID [ , ] [ - ] } ]

no cts role-based enforcement [ logging-interval 間隔 | vlan-list { all | vlan-ID [ , ] [ - ] } ]

構文の説明

logging-interval 間隔

(任意)セキュリティ グループ アクセス コントロール リスト(SGACL)のロギング間隔を設定します。interval 引数の有効な値は 5 ~ 86400 秒です。デフォルトは 300 秒です。

vlan-list

(任意)ロールベース ACLが適用される VLAN を設定します。
all

(任意)すべての VLAN を指定します。
vlan-ID

(任意)VLAN ID。有効な値は 1 ~ 4094 です。
,

(任意)別の VLAN をカンマで区切って指定します。
-

(任意)VLAN の範囲をハイフンで区切って指定します。

コマンド デフォルト

ロールベース アクセス コントロールは適用されません。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース 変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが導入されました。

使用上のガイドライン


(注)  
RBACL と SGACL は互換的に使用されます。

システムで Cisco TrustSec 対応インターフェイスの SGACL 適用をグローバルに有効または無効にするには、cts role-based enforcement コマンドを使用します。

特定のフローのログが出力されるデフォルトの間隔は 300 秒です。デフォルトの間隔を変更するには、logging-interval キーワードを使用します。ロギングは、Cisco ACE アプリケーション コントロール エンジンに logging キーワードがある場合にのみトリガーされます。

VLAN での SGACL 適用は、デフォルトでは有効になっていません。スイッチ仮想インターフェイス(SVI)でレイヤ 2 スイッチド パケットおよびレイヤ 3 スイッチド パケットの SGACL 適用を有効または無効にするには、cts role-based enforcement vlan-list コマンドを使用します。

vlan-ID 引数には単一の VLAN ID、VLAN ID のリスト、または VLAN ID の範囲を指定できます。

SGACL が適用される VLAN で SVI がアクティブである場合、SGACL はその VLAN 内のレイヤ 2 とレイヤ 3 の両方のスイッチド パケットに適用されます。レイヤ 3 スイッチングは SVI を使用しない VLAN 内では使用できないため、SVI を使用しない場合、SGACL はレイヤ 2 スイッチド パケットにのみ適用されます。

次に、SGACL ロギング間隔を設定する例を示します。


Switch(config)# cts role-based enforcement logging-interval 90
Switch(config)# logging rate-limit

May 27 10:19:21.509: %RBM-6-SGACLHIT: 
ingress_interface='GigabitEthernet1/0/2' sgacl_name='sgacl2' action='Deny' 
protocol='icmp' src-ip='16.16.1.3' src-port='8' dest-ip='17.17.1.2' dest-port='0' 
sgt='101' dgt='202' logging_interval_hits='5'

関連コマンド

コマンド

説明

logging rate-limit

1 秒間にログに記録されるメッセージの割合を制限します。

show cts role-based permissions

SGACL の権限リストを表示します。

cts role-based l2-vrf

レイヤ 2 VLAN の Virtual Routing and Forwarding(VRF)インスタンスを選択するには、グローバル コンフィギュレーション モードで cts role-based l2-vrf コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

cts role-based l2-vrf vrf-namevlan-list { all | vlan-ID } [ , ] [ - ]

no cts role-based l2-vrf vrf-namevlan-list { all | vlan-ID } [ , ] [ - ]

構文の説明

vrf-name

VRF インスタンスの名前。
vlan-list

VRF インスタンスに割り当てられる VLAN のリストを指定します。
all

すべての VLAN を指定します。
vlan-ID

VLAN ID。有効な値は 1 ~ 4094 です。
,

(任意)別の VLAN をカンマで区切って指定します。
-

(任意)VLAN の範囲をハイフンで区切って指定します。

コマンド デフォルト

VRF インスタンスは選択されていません。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース 変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが導入されました。

使用上のガイドライン

vlan-list 引数には単一の VLAN ID、カンマで区切られた VLAN ID のリスト、またはハイフンで区切られた VLAN ID の範囲を指定できます。

all キーワードは、ネットワーク デバイスによってサポートされている VLAN の全範囲と同等です。all キーワードは、不揮発性生成(NVGEN)プロセスで保持されません。

cts role-based l2-vrf コマンドが同じ VRF に複数回実行される場合、入力される連続した各コマンドは、指定された VRF に VLAN ID を追加します。

cts role-based l2-vrf コマンドで設定された VRF 割り当ては、VLAN がレイヤ 2 VLAN として維持されている間はアクティブです。VRF の割り当てがアクティブな間に、学習した IP-SGT バインディングも VRF と IP プロトコル バージョンに関連付けられた転送情報ベース(FIB)テーブルに追加されます。VLAN のスイッチ仮想インターフェイス(SVI)がアクティブになると、VRF から VLAN への割り当てが非アクティブになり、VLAN で学習されたすべてのバインディングが SVI の VRF に関連付けられた FIB テーブルに移動されます。

SVI インターフェイスを設定するには interface vlan コマンドを使用し、VRF インスタンスをインターフェイスに関連付けるには vrf forwarding コマンドを使用します。

VRF から VLAN への割り当ては、割り当てが非アクティブになっても保持されます。SVI が削除された、または SVI の IP アドレスの変更された場合に再アクティブ化されます。再アクティブ化された場合、IP-SGT バインディングは、SVI の FIB に関連付けられた FIB テーブルから、cts role-based l2-vrf コマンドによって割り当てられた VRF に関連付けられた FIB テーブルに戻されます。

次に、VRF インスタンスに割り当てられる VLAN のリストを選択する例を示します。


Switch(config)# cts role-based l2-vrf vrf1 vlan-list 20
次に、SVI インターフェイスを設定し、VRF インスタンスを関連付ける例を示します。

Switch(config)# interface vlan 101
Switch(config-if)# vrf forwarding vrf1

関連コマンド

コマンド

説明

interface vlan

VLAN インターフェイスを設定します。

vrf forwarding

VRF インスタンスまたは仮想ネットワークをインターフェイスまたはサブインターフェイスに関連付けます。

show cts role-based permissions

SGACL の権限リストを表示します。

cts role-based monitor

ロールベース(セキュリティ グループ)アクセス リスト モニタリングを有効にするには、グローバル コンフィギュレーション モードで cts role-based monitor コマンドを使用します。ロールベース アクセス リスト モニタリングを削除するには、このコマンドの no 形式を使用します。

cts role-based monitor { all | permissions | { default | from { sgt | unknown } } to { sgt | unknown } [ ipv4 ] }

no cts role-based monitor { all | permissions | { default | from { sgt | unknown } } to { sgt | unknown } [ ipv4 ] }

構文の説明

all

すべての宛先タグへのすべての送信元タグの権限をモニタします。
permissions

1 つの送信元タグから 1 つの宛先タグへの権限をモニタします。
default

デフォルトの権限リストをモニタします。
from

フィルタリングされるトラフィックの送信元グループ タグを指定します。
sgt

セキュリティ グループ タグ(SGT)有効値は 2 ~ 65519 です。
unknown

未知の送信元または宛先グループ タグ(DST)を指定します。
ipv4

(任意)IPv4 プロトコルを指定します。

コマンド デフォルト

ロールベース アクセス コントロール モニタリングは有効になっていません。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース 変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが導入されました。

使用上のガイドライン

グローバル モニタ モードを有効にするには、cts role-based monitor all コマンドを使用します。cts role-based monitor all コマンドが設定されている場合、show cts role-based permissions コマンドの出力には、設定されているすべてのポリシーのモニタ モードが true と表示されます。

次に、送信元タグから宛先タグへの SGACL モニタを設定する例を示します。


Switch(config)# cts role-based monitor permissions from 10 to 11

関連コマンド

コマンド

説明

show cts role-based permissions

SGACL の権限リストを表示します。

cts role-based permissions

1 つの送信元グループから 1 つの宛先グループへの権限を有効にするには、グローバル コンフィギュレーション モードで cts role-based permissions コマンドを使用します。権限を削除するには、このコマンドの no 形式を使用します。

cts role-based permissions { default ipv4 | from { sgt | unknown } to { sgt | unknown } { ipv4 } { rbacl-name [ rbacl-name.... ] } }

no cts role-based permissions { default [ ipv4 ] | from { sgt | unknown } to { sgt | unknown } [ ipv4 ] }

構文の説明

default

デフォルトの権限リストを指定します。セキュリティ グループ アクセス コントロール リスト(SGACL)権限が静的または動的に設定されていないすべてのセル(SGT ペア)は、デフォルトのカテゴリに属します。
ipv4

IPv4 プロトコルを指定します。
from

フィルタリングされるトラフィックの送信元グループ タグを指定します。
sgt

セキュリティ グループ タグ(SGT)有効値は 2 ~ 65519 です。
unknown

未知の送信元または宛先グループ タグを指定します。
rbacl-name

ロールベース アクセス コントロール リスト(RBACL)または SGACL の名前。この設定では最大 16 の SGACL を指定できます。

コマンド デフォルト

1 つの送信元グループから 1 つの宛先グループへの権限は有効になっていません。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース 変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが導入されました。

使用上のガイドライン

特定の送信元グループ タグ(SGT)、宛先グループ タグ(DGT)ペアの SGACL のリストを定義したり、置き換えたり、削除したりするには、cts role-based permissions コマンドを使用します。このポリシーは、同じ DGT または SGT に対するダイナミックなポリシーがないかぎり有効です。

cts role-based permissions default コマンドでは、同じ DGT に対するダイナミックなポリシーがないかぎり、デフォルト ポリシーの SGACL のリストを定義したり、置き換えたり、削除したりすることができます。

次に、宛先グループの権限を有効にする例を示します。


Switch(config)# cts role-based permissions from 6 to 6 mon_2

関連コマンド

コマンド

説明

show cts role-based permissions

SGACL の権限リストを表示します。

deny(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックが転送されるのを防止するには、スイッチ スタックまたはスタンドアロン スイッチ上で deny MAC アクセスリスト コンフィギュレーション コマンドを使用します。名前付き MAC アクセス リストから拒否条件を削除するには、このコマンドの no 形式を使用します。

deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ] [ cos cos]

no deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ] [ cos cos]

構文の説明

any

すべての送信元または宛先 MAC アドレスを拒否します。

host src-MAC-addr | src-MAC-addr mask

ホスト MAC アドレスと任意のサブネット マスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr | dst-MAC-addr mask

宛先 MAC アドレスと任意のサブネット マスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)パケットの EtherType 番号と、Ethernet II または SNAP カプセル化を指定して、パケットのプロトコルを識別します。

type には、0 ~ 65535 の 16 進数を指定できます。

mask は、一致をテストする前に EtherType に適用される don’t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする EtherType AppleTalk Address Resolution Protocol を指定します。

amber

(任意)EtherType DEC-Amber を指定します。

appletalk

(任意)EtherType AppleTalk/EtherTalk を指定します。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニングツリーを指定します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを指定します。

diagnostic

(任意)EtherType DEC-Diagnostic を指定します。

dsm

(任意)EtherType DEC-DSM を指定します。

etype-6000

(任意)EtherType 0x6000 を指定します。

etype-8042

(任意)EtherType 0x8042 を指定します。

lat

(任意)EtherType DEC-LAT を指定します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を指定します。

lsap lsap-number mask

(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を使用して、パケットのプロトコルを指定します。

mask は、一致をテストする前に LSAP 番号に適用される don’t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を指定します。

mop-dump

(任意)EtherType DEC-MOP Dump を指定します。

msdos

(任意)EtherType DEC-MSDOS を指定します。

mumps

(任意)EtherType DEC-MUMPS を指定します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NetBIOS)を指定します。

vines-echo

(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)Echo を指定します。

vines-ip

(任意)EtherType VINES IP を指定します。

xns-idp

(任意)10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems(XNS)プロトコル スイート(0 ~ 65535)を指定します。

cos cos

(任意)プライオリティを設定するため、0 ~ 7 までのサービス クラス(CoS)値を指定します。CoS に基づくフィルタリングは、ハードウェアでだけ実行可能です。cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。

コマンド デフォルト

このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルト アクションは拒否です。

コマンド モード

MAC アクセス リスト コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

MAC アクセス リスト コンフィギュレーション モードを開始するには、mac access-list extended グローバル コンフィギュレーション コマンドを使用します。

host キーワードを使用した場合、アドレス マスクは入力できません。host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。

アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加された場合、リストの最後には暗黙の deny-any-any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、type mask または lsap lsap mask キーワードを使用します。Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を表に一覧表示します。

表 3. IPX フィルタ基準

IPX カプセル化タイプ

フィルタ基準

Cisco IOS 名

Novel 名

arpa

Ethernet II

EtherType 0x8137

snap

Ethernet-snap

EtherType 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。


Device(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.

次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。


Device(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.

次の例では、EtherType 0x4321 のすべてのパケットを拒否します。


Device(config-ext-macl)# deny any any 0x4321 0

設定を確認するには、show access-lists 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

mac access-list extended

非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。

permit

MAC アクセスリスト コンフィギュレーションから許可します。

条件が一致した場合に非 IP トラフィックが転送されるのを許可します。

show access-lists

スイッチに設定されたアクセス コントロール リストを表示します。

device-role(IPv6 スヌーピング)

ポートに接続されているデバイスのロールを指定するには、IPv6 スヌーピング コンフィギュレーション モードで device-role コマンドを使用します。

device-role { node | switch }

構文の説明

node

接続されたデバイスのロールをノードに設定します。
switch

接続されたデバイスのロールをスイッチに設定します。

コマンド デフォルト

デバイスのロールはノードです。

コマンド モード

IPv6 スヌーピング コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

device-role コマンドは、ポートに接続されているデバイスのロールを指定します。デフォルトでは、デバイスのロールはノードです。

switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートで学習したバインディング エントリは、trunk_port プリファレンス レベルでマークされます。ポートが trusted ポートに設定されている場合、バインディング エントリは trunk_trusted_port プリファレンス レベルでマークされます。

次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、デバイスをノードとして設定する例を示します。


Device(config)# ipv6 snooping policy policy1
Device(config-ipv6-snooping)# device-role node

device-role(IPv6 ND 検査)

ポートに接続されているデバイスのロールを指定するには、ネイバー探索(ND)インスペクション ポリシー コンフィギュレーション モードで device-role コマンドを使用します。

device-role { host | monitor | router | switch }

構文の説明

host

接続されたデバイスのロールをホストに設定します。
monitor

接続されたデバイスのロールをモニタに設定します。
router

接続されたデバイスのロールをルータに設定します。
switch

接続されたデバイスのロールをスイッチに設定します。

コマンド デフォルト

デバイスのロールはホストです。

コマンド モード

ND インスペクション ポリシー コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

device-role コマンドは、ポートに接続されているデバイスのロールを指定します。デフォルトでは、デバイスのロールはホストであるため、すべての着信ルータ アドバタイズメントとリダイレクト メッセージはブロックされます。デバイス ロールが router キーワードを使用してイネーブルになっている場合、このポートですべてのメッセージ(ルータ送信要求(RS)、ルータ アドバタイズメント(RA)、またはリダイレクト)が許可されます。

router または monitor キーワードが使用されている場合、マルチキャストの RS メッセージは限定ブロードキャストがイネーブルかどうかに関係なく、ポート上でブリッジされます。ただし、monitor キーワードは着信 RA またはリダイレクト メッセージを許可しません。monitor キーワードを使用すると、これらのメッセージを必要とするデバイスがそれらを受け取ります。

switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートで学習したバインド エントリは、trunk_port プリファレンス レベルでマークされます。ポートが trusted ポートに設定されている場合、バインディング エントリは trunk_trusted_port プリファレンス レベルでマークされます。

次に、Neighbor Discovery Protocol(NDP)ポリシー名を policy1 と定義し、デバイスを ND インスペクション ポリシー コンフィギュレーション モードにして、デバイスをホストとして設定する例を示します。


Device(config)#  ipv6 nd inspection policy policy1
Device(config-nd-inspection)# device-role host

device-tracking policy

スイッチ統合型セキュリティ機能(SISF)ベースの IP デバイス トラッキング ポリシーを設定するには、グローバル コンフィギュレーション モードで device-tracking コマンドを使用します。デバイス トラッキング ポリシーを削除するには、このコマンドの no 形式を使用します。

device -tracking policy policy-name

no device-tracking policy policy-name

構文の説明

policy-name

デバイス トラッキング ポリシーのユーザ定義名。ポリシー名には象徴的な文字列(Engineering など)または整数(0 など)を使用できます。

コマンド デフォルト

デバイス トラッキング ポリシーは設定されていません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE Denali 16.1.1

このコマンドが導入されました。

使用上のガイドライン

デバイス トラッキング ポリシーを作成するには、SISF ベースの device-tracking policy コマンドを使用します。device-tracking policy コマンドがイネーブルの場合、コンフィギュレーション モードが デバイストラッキング コンフィギュレーション モードに変更されます。このモードでは、管理者が次のファーストホップ セキュリティ コマンドを設定できます。

  • (任意)device-role{node] | switch}:ポートに接続されたデバイスの役割を指定します。デフォルトは node です。

  • (任意)limit address-count value:ターゲットごとに許可されるアドレス数を制限します。

  • (任意)no:コマンドを無効にするか、またはそのデフォルトに設定します。

  • (任意)destination-glean{recovery| log-only}[dhcp]}:データ トラフィックの送信元アドレス グリーニングによるバインディング テーブルの回復をイネーブルにします。

  • (任意)data-glean{recovery| log-only}[dhcp | ndp]}:送信元アドレスまたはデータ アドレスのグリーニングを使用したバインディング テーブルの回復をイネーブルにします。

  • (任意)security-level{glean|guard|inspect}:この機能によって適用されるセキュリティのレベルを指定します。デフォルトは guard です。

    • glean:メッセージからアドレスを収集し、何も確認せずにバインディング テーブルに入力します。
    • guard:アドレスを収集し、メッセージを検査します。さらに、RA および DHCP サーバ メッセージを拒否します。これがデフォルトのオプションです。
    • inspect:アドレスを収集し、メッセージの一貫性と準拠を検証して、アドレスの所有権を適用します。

  • (任意)tracking {disable | enable}:トラッキング オプションを指定します。

  • (任意)trusted-port:信頼できるポートを設定します。これにより、該当するターゲットに対するガードがディセーブルになります。信頼できるポートを経由して学習されたバインディングは、他のどのポートを経由して学習されたバインディングよりも優先されます。テーブル内にエントリを作成しているときに衝突が発生した場合、信頼できるポートが優先されます。

次に、デバイストラッキング ポリシーを設定する例を示します。


Device(config)# device-tracking policy policy1
Device(config-device-tracking)# trusted-port

dot1x critical(グローバル コンフィギュレーション)

IEEE 802.1X クリティカル認証パラメータを設定するには、グローバル コンフィギュレーション モードで dot1x critical コマンドを使用します。

dot1x critical eapol

構文の説明

eapol

スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するように指定します。

コマンド デフォルト

eapol はディセーブルです

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次に、スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するよう指定する例を示します。


Device(config)# dot1x critical eapol

dot1x max-start

もう一方の端で 802.1X が認識されないと判断されるまでにサプリカントがクライアントに送信する(応答が受信されないと想定)Extensible Authentication Protocol over LAN(EAPOL)開始フレームの最大数を設定するには、インターフェイス コンフィギュレーション モードで dot1x max-start コマンドを使用します。最大回数の設定を削除するには、このコマンドの no 形式を使用します。

dot1x max-start number

no dot1x max-start

構文の説明

number

ルータが EAPOL 開始フレームを送信する最大回数を指定します。1 ~ 10 の値を指定できます。デフォルトは 3 です。

コマンド デフォルト

デフォルトの最大数の設定は 3 です。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドを入力する前に、スイッチポートで switchport mode access インターフェイス コンフィギュレーション コマンドを入力する必要があります。

次に、EAPOL 開始要求の最大数が 5 に設定されている例を示します。


Device(config)# interface g1/0/3
Device(config-if)# dot1x max-start 5

dot1x pae

Port Access Entity(PAE)タイプを設定するには、インターフェイス コンフィギュレーション モードで dot1x pae コマンドを使用します。設定された PAE タイプをディセーブルにするには、このコマンドの no 形式を使用します。

dot1x pae { supplicant | authenticator }

no dot1x pae { supplicant | authenticator }

構文の説明

supplicant

インターフェイスはサプリカントとしてだけ機能し、オーセンティケータ向けのメッセージに応答しません。
authenticator

インターフェイスはオーセンティケータとしてだけ動作し、サプリカント向けのメッセージに応答しません。

コマンド デフォルト

PAE タイプは設定されていません。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

Cisco IOS XE Denali 16.3.1

このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。

使用上のガイドライン

IEEE 802.1x 認証をポート上でディセーブルにする場合は、no dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。

dot1x port-control インターフェイス コンフィギュレーション コマンドを入力するなどしてポート上で IEEE 802.1x 認証を設定した場合、スイッチは自動的にポートを IEEE 802.1x オーセンティケータとして設定します。オーセンティケータの PAE 動作は、no dot1x pae インターフェイス コンフィギュレーション コマンドを入力した後でディセーブルになります。

次に、インターフェイスがサプリカントとして動作するように設定されている例を示します。


Device(config)# interface g1/0/3
Device(config-if)# dot1x pae supplicant

dot1x supplicant controlled transient

認証中に 802.1x サプリカント ポートへのアクセスを制御するには、グローバル コンフィギュレーション モードで dot1x supplicant controlled transient コマンドを使用します。認証中にサプリカントのポートを開くには、このコマンドの no 形式を使用します。

dot1x supplicant controlled transient

no dot1x supplicant controlled transient

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

認証中に 802.1x サプリカントのポートへのアクセスが許可されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

Cisco IOS XE Denali 16.3.1

このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。

使用上のガイドライン

デフォルトでは、BPCU ガードがイネーブルにされたオーセンティケータ スイッチにサプリカントのスイッチを接続する場合、オーセンティケータのポートはサプリカント スイッチが認証する前にスパニングツリー プロトコル(STP)のブリッジ プロトコル データ ユニット(BPDU)を受信した場合、errdisable 状態になる可能性があります。Cisco IOS Release 15.0(1) SE 以降では、認証中にサプリカントのポートから送信されるトラフィックを制御できます。dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証が完了する前にオーセンティケータ ポートがシャットダウンすることがないように、認証中に一時的にサプリカントのポートがブロックされます。認証に失敗すると、サプリカントのポートが開きます。no dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証期間中にサプリカント ポートが開きます。これはデフォルトの動作です。

BPDU ガードが spanning-tree bpduguard enable インターフェイス コンフィギュレーション コマンドによりオーセンティケータ スイッチ ポートでイネーブルになっている場合、サプリカント スイッチで dot1x supplicant controlled transient コマンドを使用することを強く推奨します。

次に、認証の間にスイッチの 802.1x サプリカントのポートへのアクセスを制御する例を示します。


Device(config)# dot1x supplicant controlled transient

dot1x supplicant force-multicast

サプリカント スイッチでマルチキャストまたはユニキャストの Extensible Authentication Protocol over LAN(EAPOL)パケットを受信した場合に、常にマルチキャスト EAPOL パケットのみを送信するように強制するには、グローバル コンフィギュレーション モードで dot1x supplicant force-multicast コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x supplicant force-multicast

no dot1x supplicant force-multicast

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

サプリカント スイッチは、ユニキャスト EAPOL パケットを受信すると、ユニキャスト EAPOL パケットを送信します。同様に、マルチキャスト EAPOL パケットを受信すると、EAPOL パケットを送信します。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

Cisco IOS XE Denali 16.3.1

このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。

使用上のガイドライン

Network Edge Access Topology(NEAT)がすべてのホスト モードで機能するようにするには、サプリカント スイッチ上でこのコマンドをイネーブルにします。

次の例では、サプリカント スイッチがオーセンティケータ スイッチにマルチキャスト EAPOL パケットを送信するように設定する方法を示します。


Device(config)# dot1x supplicant force-multicast

関連コマンド

コマンド

説明

cisp enable

スイッチの Client Information Signalling Protocol(CISP)をイネーブルにすることで、スイッチがサプリカント スイッチに対するオーセンティケータとして動作するようにします。

dot1x credentials

ポートに 802.1x サプリカント資格情報を設定します。

dot1x pae supplicant

インターフェイスがサプリカントとしてだけ機能するように設定します。

dot1x test eapol-capable

すべてのスイッチ ポート上の IEEE 802.1x のアクティビティをモニタリングして、IEEE 802.1x をサポートするポートに接続しているデバイスの情報を表示するには、スイッチ スタックまたはスタンドアロン スイッチの特権 EXEC モードで dot1x test eapol-capable コマンドを使用します。

dot1x test eapol-capable [ interface interface-id]

構文の説明

interface interface-id

(任意)クエリー対象のポートです。

コマンド デフォルト

デフォルト設定はありません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

スイッチ上のすべてのポートまたは特定のポートに接続するデバイスの IEEE 802.1x 機能をテストするには、このコマンドを使用します。

このコマンドには、no 形式はありません。

次の例では、スイッチ上で IEEE 802.1x の準備チェックをイネーブルにして、ポートに対してクエリーを実行する方法を示します。また、ポートに接続しているデバイスを確認するためのクエリーの実行対象ポートから受信した応答が IEEE 802.1x 対応であることを示します。 


Device# dot1x test eapol-capable interface gigabitethernet1/0/13 

DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable

関連コマンド

コマンド

説明

dot1x test timeout timeout

IEEE 802.1x 準備クエリーに対する EAPOL 応答を待機するために使用されるタイムアウトを設定します。

dot1x test timeout

IEEE 802.1x 準備状態を照会しているポートからの EAPOL 応答の待機に使用されるタイムアウトを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で、グローバル コンフィギュレーション モードで dot1x test timeout コマンドを使用します。

dot1x test timeout timeout

構文の説明

timeout

EAPOL 応答を待機する時間(秒)。指定できる範囲は 1 ~ 65535 秒です。

コマンド デフォルト

デフォルト設定は 10 秒です。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

EAPOL 応答を待機するために使用されるタイムアウトを設定するには、このコマンドを使用します。

このコマンドには、no 形式はありません。

次の例では、EAPOL 応答を 27 秒間待機するようにスイッチを設定する方法を示します。


Device# dot1x test timeout 27

タイムアウト設定のステータスを確認するには、show run 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

dot1x test eapol-capable [interface interface-id]

すべての、または指定された IEEE 802.1x 対応ポートに接続するデバイスで IEEE 802.1x の準備が整っているかを確認します。

dot1x timeout

再試行タイムアウトの値を設定するには、グローバル コンフィギュレーション モードまたはインターフェイス コンフィギュレーション モードで dot1x timeout コマンドを使用します。再試行タイムアウトをデフォルト値に戻すには、このコマンドの no 形式を使用します。

dot1x timeout { auth-period seconds | held-period seconds | quiet-period seconds| ratelimit-period seconds| server-timeout seconds | start-period seconds | supp-timeout seconds | tx-period seconds}

構文の説明

auth-period seconds

サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。

有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。
held-period seconds

サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。

有効な範囲は 1 ~ 65535 です。デフォルトは 60 です。
quiet-period seconds

認証情報の交換に失敗したあと、クライアントの再認証を試みるまでにオーセンティケータ(サーバ)が待機状態(HELD 状態)を続ける秒数を設定します。

有効な範囲は 1 ~ 65535 です。デフォルトは 60 です。
ratelimit-period seconds

動作の不正なクライアント PC(たとえば、スイッチ処理電力の無駄につながる、EAP-START パケットを送信する PC)から送信される EAP-START パケットを抑制します。

  • オーセンティケータはレート制限時間中、認証に成功したクライアントからの EAPOL-Start パケットを無視します。
  • 有効な範囲は 1 ~ 65535 です。デフォルトでは、レート制限はディセーブルになっています。
server-timeout seconds

連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。

  • 有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。

サーバが指定時間内に 802.1X パケットへの応答を送信しない場合、パケットは再度送信されます。
start-period seconds

連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。

有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。

Cisco IOS リリース 15.2(5)E では、サプリカント モードでのみこのコマンドを使用できます。その他のモードでこのコマンドを適用すると、設定からそのコマンドが失われます。
supp-timeout seconds

EAP 要求 ID 以外のすべての EAP メッセージについて、オーセンティケータからホストへの再送信時間を設定します。

有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。
tx-period seconds

クライアントに EAP 要求 ID パケットを再送信する間隔を(応答が受信されないものと仮定して)秒数で設定します。

  • 有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。

  • 802.1X パケットがサプリカントに送信され、そのサプリカントが再試行期間後に応答しなかった場合、そのパケットは再度送信されます。

コマンド デフォルト

定期的な再認証と定期的なレート制限が行われます。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにしただけの場合、dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、スイッチの動作に影響します。

待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。デフォルトよりも小さい数を入力することによって、ユーザへの応答時間を短縮できます。

ratelimit-period が 0(デフォルト)に設定された場合、スイッチは認証に成功したクライアントからの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。

次に、さまざまな 802.1X 再送信およびタイムアウト時間が設定されている例を示します。


Device(config)# configure terminal
Device(config)# interface g1/0/3
Device(config-if)# dot1x port-control auto
Device(config-if)# dot1x timeout auth-period 2000
Device(config-if)# dot1x timeout held-period 2400
Device(config-if)# dot1x timeout quiet-period 600
Device(config-if)# dot1x timeout start-period 90
Device(config-if)# dot1x timeout supp-timeout 300
Device(config-if)# dot1x timeout tx-period 60
Device(config-if)# dot1x timeout server-timeout 60

epm access-control open

アクセス コントロール リスト(ACL)が設定されていないポートにオープン ディレクティブを設定するには、グローバル コンフィギュレーション モードで epm access-control open コマンドを使用します。オープン ディレクティブをディセーブルにするには、このコマンドの no 形式を使用します。

epm access-control open

no epm access-control open

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

デフォルトのディレクティブが適用されます。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

スタティック ACL が設定されたアクセス ポートに、認可ポリシーのないホストを許可するオープン ディレクティブを設定するには、このコマンドを使用します。このコマンドを設定しない場合、ポートは設定された ACL のポリシーをトラフィックに適用します。ポートにスタティック ACL が設定されていない場合、デフォルトおよびオープンの両方のディレクティブがポートへのアクセスを許可します。

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

次の例では、オープン ディレクティブを設定する方法を示します。


Device(config)# epm access-control open

関連コマンド

コマンド

説明

show running-config

現在実行されているコンフィギュレーション ファイルの内容を表示します

ip access-list role-based

ロールベース(セキュリティ グループ)アクセス コントロール リスト(RBACL)を作成して、ロールベース ACL コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで ip access-list role-based コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

ip access-list role-based access-list-name

no ip access-list role-based access-list-name

構文の説明

access-list-name

セキュリティ グループ アクセス コントロール リスト(SGACL)の名前。

コマンド デフォルト

ロールベースの ACL は設定されていません。

コマンド モード

グローバル コンフィギュレーション(config)

コマンド履歴

リリース 変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが導入されました。

使用上のガイドライン

SGACL ロギングの場合は、permit ip log コマンドを設定する必要があります。また、このコマンドは、ダイナミック SGACL のロギングを有効にするために、Cisco Identity Services Engine(ISE)でも設定する必要があります。

次に、IPv4トラフィックに適用できる SGACL を定義し、ロールベース アクセス リスト コンフィギュレーション モードを開始する例を示します。


Switch(config)# ip access-list role-based rbacl1
Switch(config-rb-acl)# permit ip log

関連コマンド

コマンド

説明

permit ip log

設定されたエントリに一致するロギングを許可します。

show ip access-list

現在のすべての IP アクセス リストの内容を表示します。

ip admission

Web 認証をイネーブルにするには、インターフェイス コンフィギュレーション モードで ip admission コマンドを使用します。このコマンドは、フォールバック プロファイル コンフィギュレーション モードでも使用できます。Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。

ip admission rule

no ip admission rule

構文の説明

rule

IP アドミッション ルールの名前。

コマンド デフォルト

Web 認証はディセーブルです。

コマンド モード

インターフェイス コンフィギュレーション

フォールバック プロファイル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

ip admission コマンドにより、スイッチ ポートに Web 認証ルールが適用されます。

次の例では、スイッチ ポートに Web 認証ルールを適用する方法を示します。


Device# configure terminal
Device(config)# interface gigabitethernet1/0/1
Device(config-if)# ip admission rule1

次の例では、IEEE 802.1x 対応のスイッチ ポートで使用するフォールバック プロファイルに Web 認証ルールを適用する方法を示します。


Device# configure terminal
Device(config)# fallback profile profile1
Device(config-fallback-profile)# ip admission rule1

ip admission name

Web 認証をイネーブルにするには、グローバル コンフィギュレーション モードで ip admission name コマンドを使用します。Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。

ip admission name name { consent | proxy http } [ absolute timer minutes | inactivity-time minutes | list { acl | acl-name} | service-policy type tag service-policy-name]

no ip admission name name { consent | proxy http } [ absolute timer minutes | inactivity-time minutes | list { acl | acl-name} | service-policy type tag service-policy-name]

構文の説明

name

ネットワーク アドミッション制御ルールの名前。
consent

認証プロキシ同意 Web ページを admission-name 引数で指定された IP アドミッション ルールに対応させます。

proxy http

Web 認証のカスタム ページを設定します。
absolute-timer

(任意)外部サーバがタイム アウトするまでの経過時間(分)。
inactivity-time

(任意)外部ファイル サーバが到達不能であると見なされるまでの経過時間(分)。
list (任意)指定されたルールをアクセス コントロール リスト(ACL)に関連付けます。
acl

標準、拡張リストを指定のアドミッション制御ルールに適用します。値の範囲は 1~199、または拡張範囲で 1300 から 2699 です。
acl-name

名前付きのアクセス リストを指定のアドミッション制御ルールに適用します。
service-policy type tag

(任意)コントロール プレーン サービス ポリシーを設定できます。
service-policy-name

policy-map type control tag policyname コマンド、キーワード、および引数を使用して設定されたコントロール プレーン タグのサービス ポリシー。このポリシー マップは、タグを受信したときのホストでの処理を適用するために使用されます。

コマンド デフォルト

Web 認証はディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

ip admission name コマンドにより、スイッチ上で Web 認証がグローバルにイネーブルになります。

スイッチ上で Web 認証をイネーブルにしてから、ip access-group in および ip admission web-rule インターフェイス コンフィギュレーション コマンドを使用して、特定のインターフェイス上で Web 認証をイネーブルにします。

次に、スイッチ ポートで Web 認証のみを設定する例を示します。


Device# configure terminal
Device(config) ip admission name http-rule proxy http
Device(config)# interface gigabitethernet1/0/1
Device(config-if)# ip access-group 101 in
Device(config-if)# ip admission rule
Device(config-if)# end

次の例では、スイッチ ポートでのフォールバック メカニズムとして、Web 認証とともに IEEE 802.1x 認証を設定する方法を示します。


Device# configure terminal
Device(config)# ip admission name rule2 proxy http
Device(config)# fallback profile profile1
Device(config)# ip access group 101 in
Device(config)# ip admission name rule2
Device(config)# interface gigabitethernet1/0/1
Device(config-if)# dot1x port-control auto
Device(config-if)# dot1x fallback profile1
Device(config-if)# end

関連コマンド

コマンド

説明

dot1x fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

fallback profile

Web 認証のフォールバック プロファイルを作成します。

ip admission

ポートで Web 認証をイネーブルにします。

show authentication sessions interface interface detail

Web 認証セッションのステータスに関する情報を表示します。

show ip admission

NAC のキャッシュされたエントリまたは NAC 設定についての情報を表示します。

ip device tracking maximum

レイヤ 2 アクセス ポートで IP デバイス トラッキング パラメータを設定するには、インターフェイス コンフィギュレーション モードで ip device tracking maximum コマンドを使用します。最大値を削除するには、このコマンドの no 形式を使用します。

ip device tracking maximum number

no ip device tracking maximum

構文の説明

number

ポートの IP デバイス トラッキング テーブルに作成するバインディングの数。範囲は 0(ディセーブル)~ 65535 です。

コマンド デフォルト

なし

コマンド モード

インターフェイス コンフィギュレーション モード

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

最大値を削除するには、no ip device tracking maximum コマンドを使用します。

IP デバイス トラッキングをディセーブルにするには、ip device tracking maximum 0 コマンドを使用します。


(注)  

このコマンドは、設定されている場合は常に IPDT を有効にします。

次の例では、レイヤ 2 アクセス ポートで IP デバイス トラッキング パラメータを設定する方法を示します。

Device# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)# ip device tracking
Device(config)# interface gigabitethernet1/0/3
Device(config-if)# switchport mode access 
Device(config-if)# switchport access vlan 1
Device(config-if)# ip device tracking maximum 5
Device(config-if)# switchport port-security 
Device(config-if)# switchport port-security maximum 5
Device(config-if)# end

ip device tracking probe

Address Resolution Protocol(ARP)プローブの IP デバイス トラッキング テーブルを設定するには、グローバル コンフィギュレーション モードで ip device tracking probe コマンドを使用します。ARP インスペクションをディセーブルにするには、このコマンドの no 形式を使用します。

ip device tracking probe { count number | delay seconds | interval seconds | use-svi address }

no ip device tracking probe { count number | delay seconds | interval seconds | use-svi address }

構文の説明

count number

デバイスが ARP プローブを送信する回数を設定します。範囲は 1 ~ 255 です。

delay seconds

デバイスが ARP プローブを送信するまで待機する秒数を設定します。指定できる範囲は 1 ~ 120 です。

interval seconds

デバイスが応答を待ち、ARP プローブを再送信するまでの秒数を設定します。指定できる範囲は 30 ~ 1814400 秒です。

use-svi

スイッチ仮想インターフェイス(SVI)IP アドレスを ARP プローブのソースとして使用します。

コマンド デフォルト

カウント番号は 3 です。

遅延はありません。

30 秒間隔です。

ARP プローブのデフォルト ソース IP アドレスはレイヤ 3 インターフェイスで、スイッチポートでは 0.0.0.0 です。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

スイッチ ポートのデフォルト ソース IP アドレス 0.0.0.0 が使用され、ARP プローブがドロップする場合に、IP デバイス トラッキング テーブルが SVI IP アドレスを ARP プローブに使用するように設定するには、use-svi キーワードを使用します。

次の例では、SVI を ARP プローブのソースとして設定する方法を示します。

Device(config)# ip device tracking probe use-svi

ip dhcp snooping database

Dynamic Host Configuration Protocol(DHCP)のスヌーピング データベースを設定するには、グローバル コンフィギュレーション モードで ip dhcp snooping database コマンドを使用します。DHCP スヌーピング サーバをディセーブルにするには、このコマンドの no 形式を使用します。

ip dhcp snooping database { crashinfo: url | flash: url | ftp: url | http: url | https: url | rcp: url | scp: url | tftp: url | timeout seconds | usbflash0: url | write-delay seconds}

no ip dhcp snooping database [ timeout | write-delay ]

構文の説明

crashinfo: url

crashinfo を使用して、エントリを格納するためのデータベースの URL を指定します。
flash: url

flash を使用して、エントリを格納するためのデータベースの URL を指定します。
ftp: url

FTP を使用して、エントリを格納するためのデータベースの URL を指定します。
http: url

HTTP を使用して、エントリを格納するためのデータベースの URL を指定します。
https: url

セキュア HTTP(HTTPS)を使用して、エントリを格納するためのデータベースの URL を指定します。
rcp: url

リモート コピー(RCP)を使用して、エントリを格納するためのデータベースの URL を指定します。
scp: url

セキュア コピー(SCP)を使用して、エントリを格納するためのデータベースの URL を指定します。
tftp: url

TFTP を使用して、エントリを格納するためのデータベースの URL を指定します。
timeout seconds

中断タイムアウト インターバルを指定します。有効値は 0 ~ 86,400 秒です。
usbflash0: url

USB flash を使用して、エントリを格納するためのデータベースの URL を指定します。
write-delay seconds

ローカル DHCP スヌーピング データベースにデータが追加されてから、DHCP スヌーピング エントリを外部サーバに書き込みするまでの時間を指定します。有効値は 15 ~ 86,400 秒です。

コマンド デフォルト

DHCP スヌーピング データベースは設定されていません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドを入力する前に、インターフェイス上で DHCP スヌーピングをイネーブルにする必要があります。DHCP スヌーピングをイネーブルにするには、ip dhcp snooping コマンドを使用します。

次に、TFTP を使用してデータベースの URL を指定する例を示します。


Device(config)#  ip dhcp snooping database tftp://10.90.90.90/snooping-rp2

次に、DHCP スヌーピング エントリを外部サーバに書き込むまでの時間を指定する例を示します。


Device(config)#  ip dhcp snooping database write-delay 15

ip dhcp snooping information option format remote-id

オプション 82 リモート ID サブオプションを設定するには、スイッチのグローバル コンフィギュレーション モードで ip dhcp snooping information option format remote-id コマンドを使用します。デフォルトのリモート ID サブオプションを設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping information option format remote-id { hostname | string string}

no ip dhcp snooping information option format remote-id { hostname | string string}

構文の説明

hostname

スイッチのホスト名をリモート ID として指定します。
string string

1 ~ 63 の ASCII 文字(スペースなし)を使用して、リモート ID を指定します。

コマンド デフォルト

スイッチの MAC アドレスは、リモート ID です。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

DHCP スヌーピング設定を有効にするには、ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して、DHCP スヌーピングをグローバルにイネーブルにする必要があります。

オプション 82 機能がイネーブルの場合、デフォルトのリモート ID サブオプションはスイッチの MAC アドレスです。このコマンドを使用すると、スイッチのホスト名または 63 個の ASCII 文字列(スペースなし)のいずれかをリモート ID として設定できます。


(注)  

ホスト名が 63 文字を超える場合、リモート ID 設定では 63 文字以降は省略されます。

次の例では、オプション 82 リモート ID サブオプションを設定する方法を示します。


Device(config)# ip dhcp snooping information option format remote-id hostname

ip dhcp snooping verify no-relay-agent-address

DHCP クライアント メッセージのリレー エージェント アドレス(giaddr)が信頼できないポート上のクライアント ハードウェア アドレスに一致することを確認して、DHCP スヌーピング機能をディセーブルにするには、グローバル コンフィギュレーション モードで ip dhcp snooping verify no-relay-agent-address コマンドを使用します。検証をイネーブルにするには、このコマンドの no 形式を使用します。

ip dhcp snooping verify no-relay-agent-address

no ip dhcp snooping verify no-relay-agent-address

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

DHCP スヌーピング機能では、信頼できないポート上の DHCP クライアント メッセージのリレー エージェント IP アドレス(giaddr)フィールドが 0 であることを確認します。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

デフォルトでは、DHCP スヌーピング機能では、信頼できないポート上の DHCP クライアント メッセージのリレー エージェントの IP アドレス(giaddr)フィールドが 0 であることを確認します。giaddr フィールドが 0 でない場合、メッセージはドロップされます。検証をディセーブルにするには、ip dhcp snooping verify no-relay-agent-address コマンドを使用します。検証を再度イネーブルにするには、no ip dhcp snooping verify no-relay-agent-address コマンドを使用します。

次に、DHCP クライアント メッセージの giaddr 検証をイネーブルにする例を示します。


Device(config)# no ip dhcp snooping verify no-relay-agent-address

ip http access-class

HTTP サーバへのアクセスを制限するために使用するアクセス リストを指定するには、グローバル コンフィギュレーション モードで ip http access-class コマンドを使用します。以前に設定したアクセス リストの関連付けを削除するには、このコマンドの no 形式を使用します。

(注)  

既存の ip http access-class access-list-number コマンドは、現在サポートされていますが、廃止される予定です。代わりに、ip http access-class ipv4 { access-list-number | access-list-name } and ip http access-class ipv6 access-list-name を使用してください。

ip http access-class { access-list-number | ipv4 { access-list-number | access-list-name } | ipv6 access-list-name }

no ip http access-class { access-list-number | ipv4 { access-list-number | access-list-name } | ipv6 access-list-name }

構文の説明

ipv4

セキュア HTTP サーバへのアクセスを制限するように IPv4 アクセス リストを指定します。

ipv6

セキュア HTTP サーバへのアクセスを制限するように IPv6 アクセス リストを指定します。

access-list-number

グローバル コンフィギュレーション コマンド access-list を使用して設定される、0 ~ 99 の標準 IP アクセス リスト番号。

access-list-name

ip access-list コマンドで設定された標準 IPv4 アクセス リストの名前。

コマンド デフォルト

アクセス リストは、HTTP サーバには適用されません。

コマンド モード


グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが変更されました。ipv4 および ipv6 キーワードが追加されました。

Cisco IOS XE Release 3.3SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドが設定されていると、指定されたアクセス リストは HTTP サーバに割り当てられます。HTTP サーバは、接続を受け入れる前にアクセス リストを確認します。確認に失敗すると、HTTP サーバは接続要求を承認しません。

次に、アクセス リストを 20 に定義して、HTTP サーバに割り当てる例を示します。


Device(config)# ip access-list standard 20
 
Device(config-std-nacl)# permit 209.165.202.130 0.0.0.255
 
Device(config-std-nacl)# permit 209.165.201.1 0.0.255.255
 
Device(config-std-nacl)# permit 209.165.200.225 0.255.255.255

Device(config-std-nacl)# exit
 
Device(config)# ip http access-class 20

次に、IPv4 の指定済みアクセス リストを定義して、HTTP サーバに割り当てる例を示します。

Device(config)# ip access-list standard Internet_filter
 
Device(config-std-nacl)# permit 1.2.3.4
 
Device(config-std-nacl)# exit
 
Device(config)# ip http access-class ipv4 Internet_filter

関連コマンド

コマンド

説明

ip access-list

ID をアクセス リストに割り当て、アクセス リストのコンフィギュレーション モードを開始します。

ip http server

HTTP 1.1 サーバ(Cisco Web ブラウザ ユーザ インターフェイスを含む)をイネーブルにします。

ip source binding

スタティック IP ソース バインディング エントリを追加するには、ip source binding コマンドを使用します。スタティック IP ソース バインディング エントリを削除するには、このコマンドの no 形式を使用します。

ip source binding mac-address vlan vlan-id ip-address interface interface-id

no ip source binding mac-address vlan vlan-id ip-address interface interface-id

構文の説明

mac-address

バインディング対象 MAC アドレスです。
vlan vlan-id

レイヤ 2 VLAN ID を指定します。有効な値は 1~4094 です。
ip-address

バインディング対象 IP アドレスです。
interface interface-id

物理インターフェイスの ID。

コマンド デフォルト

IP 送信元バインディングは設定されていません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドは、スタティック IP ソース バインディング エントリだけを追加するために使用できます。

no 形式は、対応する IP ソース バインディング エントリを削除します。削除が正常に実行されるためには、すべての必須パラメータが正確に一致しなければなりません。各スタティック IP バインディング エントリは MAC アドレスと VLAN 番号がキーであることに注意してください。コマンドに既存の MAC アドレスと VLAN 番号が含まれる場合、別のバインディング エントリが作成される代わりに既存のバインディング エントリが新しいパラメータで更新されます。

次の例では、スタティック IP ソース バインディング エントリを追加する方法を示します。


Device# configure terminal
Deviceconfig) ip source binding 0100.0230.0002 vlan 11 10.0.0.4 interface gigabitethernet1/0/1

ip verify source

インターフェイス上の IP ソース ガードをイネーブルにするには、インターフェイス コンフィギュレーション モードで ip verify source コマンドを使用します。IP ソース ガードをディセーブルにするには、このコマンドの no 形式を使用します。

ip verify source [ mac-check ] [ tracking ]

no ip verify source

構文の説明

mac-check

(任意)MAC アドレス検証による IP ソース ガードをイネーブルにします。

tracking

(任意)ポートで静的 IP アドレス を学習するために IP ポート セキュリティをイネーブルにします。

コマンド デフォルト

IP 送信元ガードはディセーブルです。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

送信元 IP アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、ip verify source インターフェイス コンフィギュレーション コマンドを使用します。

送信元 IP アドレス フィルタリングおよび MAC アドレス検証による IP ソース ガードをイネーブルにするには、ip verify source mac-check インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、送信元 IP アドレス フィルタリングによる IP ソース ガードをインターフェイス上でイネーブルにする方法を示します。


Device(config)# interface gigabitethernet1/0/1
Device(config-if)# ip verify source

次の例では、MAC アドレスの検証による IP ソース ガードをイネーブルにする方法を示します。


Device(config)# interface gigabitethernet1/0/1
Device(config-if)# ip verify source mac-check

設定を確認するには、show ip verify source 特権 EXEC コマンドを入力します。

ipv6 access-list

IPv6 アクセス リストを定義してデバイスを IPv6 アクセス リスト コンフィギュレーション モードに設定するには、グローバル コンフィギュレーション モードで ipv6 access-list コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。

ipv6 access-list access-list-name | match-local-traffic | log-update threshold threshold-in-msgs | role-based list-name

no ipv6 access-list access-list-name | client permit-control-packets| log-update threshold | role-based list-name

構文の説明

ipv6 access-list-name

名前付き IPv6 ACL(最長 64 文字)を作成し、IPv6 ACL コンフィギュレーション モードを開始します。

access-list-name :IPv6 アクセス リストの名前。名前は、スペース、疑問符を含むことができず、また、数字で始めることはできません。

match-local-traffic

ローカルで生成されたトラフィックに対する照合を有効にします。

log-update threshold threshold-in-msgs

最初のパケットの一致後に、syslog メッセージを生成する方法を決定します。

threshold-in-msgs :生成されるパケット数。

role-based list-name

ロールベースの IPv6 ACL を作成します。

コマンド デフォルト

IPv6 アクセス リストは定義されていません。

コマンド モード


グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。

使用上のガイドライン

IPv6 ACL は、グローバル コンフィギュレーション モードで ipv6 access-list コマンドを使用することで定義され、その許可と拒否の条件は IPv6 アクセス リスト コンフィギュレーション モードで deny および permit コマンドを使用することで設定されます。ipv6 access-list コマンドを設定すると、デバイスは IPv6 アクセス リスト コンフィギュレーション モードになり、デバイス プロンプトは Device(config-ipv6-acl)# に変わります。IPv6 アクセス リスト コンフィギュレーション モードから、定義済みの IPv6 ACL に許可および拒否の条件を設定できます。


(注)  

IPv6 ACL は一意な名前によって定義されます(IPv6 は番号付けされた ACL をサポートしません)。IPv4 ACL と IPv6 ACL は同じ名前を共有できません。

IPv6 は、グローバル コンフィギュレーション モードから IPv6 アクセス リスト コンフィギュレーション モードに変換される permit any any ステートメントおよび deny any any ステートメントでプロトコル タイプとして自動的に設定されます。

すべての IPv6 ACL には、最終一致条件として、暗黙の permit icmp any any nd-na permit icmp any any nd-ns および deny ipv6 any any の各ステートメントがあります(前の 2 つの一致条件は、ICMPv6 ネイバー探索を許可します)。1 つの IPv6 ACL には、暗黙の deny ipv6 any any ステートメントを有効にするために少なくとも 1 つのエントリが含まれている必要があります。IPv6 ネイバー探索プロセスでは、IPv6 ネットワーク層サービスを利用するため、デフォルトで、インターフェイス上での IPv6 ネイバー探索パケットの送受信が IPv6 ACL によって暗黙的に許可されます。IPv4 の場合、IPv6 ネイバー探索プロセスに相当するアドレス解決プロトコル(ARP)では、個別のデータ リンク層プロトコルを利用するため、デフォルトで、インターフェイス上での ARP パケットの送受信が IPv4 ACL によって暗黙的に許可されます。

IPv6 ACL を IPv6 インターフェイスに適用するには、access-list-name 引数を指定してipv6 traffic-filter インターフェイス コンフィギュレーション コマンドを使用します。IPv6 ACL をデバイスとの着信および発信 IPv6 仮想端末接続に適用するには、access-list-name 引数を指定して、ipv6 access-class ライン コンフィギュレーション コマンドを使用します。

ipv6 traffic-filter コマンドでインターフェイスに適用される IPv6 ACL は、デバイスによって発信されたトラフィックではなく、転送されたトラフィックをフィルタ処理します。

次に、list1 という名前の IPv6 ACL を設定し、デバイスを IPv6 アクセス リスト コンフィギュレーション モードにする例を示します。


Device(config)# ipv6 access-list list1
Device(config-ipv6-acl)#

次に、list2 という名前の IPv6 ACL を設定し、その ACL をイーサネット インターフェイス 0 上の発信トラフィックに適用する例を示します。特に、最初の ACL エントリは、ネットワーク FEC0:0:0:2::/64(送信元 IPv6 アドレスの最初の 64 ビットとしてサイトローカル プレフィックス FEC0:0:0:2 を持つパケット)がイーサネット インターフェイス 0 から出て行くことを拒否します。2 番目の ACL エントリは、その他のすべてのトラフィックがイーサネット インターフェイス 0 から出て行くことを許可します。2 番めのエントリは、各 IPv6 ACL の末尾に暗黙的な deny all 条件があるため、必要となります。 


Device(config)# ipv6 access-list list2 deny FEC0:0:0:2::/64 any
Device(config)# ipv6 access-list list2 permit any any
Device(config)# interface ethernet 0
Device(config-if)# ipv6 traffic-filter list2 out

ipv6 snooping policy


(注)  

すべての既存の IPv6 スヌーピング コマンド(Cisco IOS XE Denali 16.1.1 より前)には、対応する SISF ベースのデバイス トラッキング コマンドが用意され、IPv4 と IPv6 の両方のアドレス ファミリに設定を適用できるようになりました。詳細については、「デバイス トラッキング ポリシー」を参照してください。

IPv6 スヌーピング ポリシーを設定し、IPv6 スヌーピング コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで ipv6 snooping policy コマンドを使用します。IPv6 スヌーピング ポリシーを削除するには、このコマンドの no 形式を使用します。

ipv6 snooping policy snooping-policy

no ipv6 snooping policy snooping-policy

構文の説明

snooping-policy

スヌーピング ポリシーのユーザ定義名。ポリシー名には象徴的な文字列(Engineering など)または整数(0 など)を使用できます。

コマンド デフォルト

IPv6 スヌーピング ポリシーは設定されていません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

IPv6 スヌーピング ポリシーを作成するには、ipv6 snooping policy コマンドを使用します。ipv6 snooping policy コマンドがイネーブルの場合、コンフィギュレーション モードが IPv6 スヌーピング コンフィギュレーション モードに変更されます。このモードでは、管理者が次の IPv6 ファーストホップ セキュリティ コマンドを設定できます。

  • device-role コマンドは、ポートに接続されているデバイスのロールを指定します。

  • limit address-count maximum コマンドは、ポートで使用できる IPv6 アドレスの数を制限します。

  • protocol コマンドは、アドレスを Dynamic Host Configuration Protocol(DHCP)または Neighbor Discovery Protocol(NDP)で収集する必要があることを指定します。

  • security-level コマンドは、適用されるセキュリティのレベルを指定します。

  • tracking コマンドは、ポートのデフォルトのトラッキング ポリシーに優先します。

  • trusted-port コマンドは、ポートを信頼できるポートとして設定します。つまり、メッセージを受信したときに検証が限定的に実行されるか、まったく実行されません。

次に、IPv6 スヌーピング ポリシーを設定する例を示します。


Device(config)# ipv6 snooping policy policy1
Device(config-ipv6-snooping)#

key chain macsec

事前共有キー(PSK)を取得するためにデバイス インターフェイスの MACsec キー チェーンの名前を設定するには、グローバル コンフィギュレーション モードで key chain macsec コマンドを使用します。CDP をディセーブルにするには、このコマンドの no 形式を使用します。

key chain namemacsec { description | key | exit }

構文の説明

name

キーを取得するために使用するキー チェーンの名前。
description

MACsec キー チェーンの説明を入力します。
key

MACsec キーを設定します。
exit

MACsec キーチェーン コンフィギュレーション モードを終了します。
no

コマンドを無効にするか、またはデフォルト値を設定します。

コマンド デフォルト

key chain macsec は無効になっています。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが導入されました。

次に、128 ビットの事前共有キー(PSK)を取得するために MACsec キー チェーンを設定する例を示します。


Switch#configure terminal
Switch(config)#key chain kc1 macsec
Switch(config-keychain-macsec)#key 1000
Switch(config-keychain-macsec)#cryptographic-algorithm aes-128-cmac
Switch(config-keychain-macsec-key)# key-string fb63e0269e2768c49bab8ee9a5c2258f
Switch(config-keychain-macsec-key)#end
Switch#

次に、256 ビットの事前共有キー(PSK)を取得するために MACsec キー チェーンを設定する例を示します。


Switch#configure terminal
Switch(config)#key chain kc1 macsec
Switch(config-keychain-macsec)#key 2000
Switch(config-keychain-macsec)#cryptographic-algorithm aes-256-cmac
Switch(config-keychain-macsec-key)# key-string c865632acb269022447c417504a1bf5db1c296449b52627ba01f2ba2574c2878
Switch(config-keychain-macsec-key)#end
Switch#

limit address-count

ポートで使用できる IPv6 アドレスの数を制限するには、Neighbor Discovery Protocol(NDP)インスペクション ポリシー コンフィギュレーション モードまたは IPv6 スヌーピング コンフィギュレーション モードで limit address-count コマンドを使用します。デフォルトに戻るには、no 形式のコマンドを使用します。

limit address-count maximum

no limit address-count

構文の説明

maximum

ポートで許可されているアドレスの数。範囲は 1 ~ 10000 です。

コマンド デフォルト

デフォルト設定は無制限です。

コマンド モード

ND インスペクション ポリシー コンフィギュレーション

IPv6 スヌーピング コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

limit address-count コマンドは、ポリシーが適用されているポートで使用できる IPv6 アドレスの数を制限します。ポート上の IPv6 アドレスの数を制限すると、バインディング テーブル サイズの制限に役立ちます。範囲は 1 ~ 10000 です。

次に、NDP ポリシー名を policy1 と定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートで使用できる IPv6 アドレスの数を 25 に制限する例を示します。


Device(config)# ipv6 nd inspection policy policy1
Device(config-nd-inspection)# limit address-count 25

次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートで使用できる IPv6 アドレスの数を 25 に制限する例を示します。


Device(config)# ipv6 snooping policy policy1
Device(config-ipv6-snooping)# limit address-count 25

mab request format attribute 32

スイッチ上で VLAN ID ベースの MAC 認証をイネーブルにするには、グローバル コンフィギュレーション モードで mab request format attribute 32 vlan access-vlan コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mab request format attribute 32 vlan access-vlan

no mab request format attribute 32 vlan access-vlan

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

VLAN-ID ベースの MAC 認証はディセーブルです。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

RADIUS サーバがホスト MAC アドレスと VLAN に基づいて新しいユーザを認証できるようにするには、このコマンドを使用します。

Microsoft IAS RADIUS サーバを使用したネットワークでこの機能を使用します。Cisco ACS はこのコマンドを無視します。

次の例では、スイッチで VLAN-ID ベースの MAC 認証をイネーブルにする方法を示します。


Device(config)# mab request format attribute 32 vlan access-vlan

関連コマンド

コマンド

説明

authentication event

特定の認証イベントのアクションを設定します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode

ポートで認証マネージャ モードを設定します。

authentication open

ポートでオープン アクセスをイネーブルまたはディセーブルにします。

authentication order

ポートで使用する認証方式の順序を設定します。

authentication periodic

ポートで再認証をイネーブルまたはディセーブルにします。

authentication port-control

ポートの認証ステートの手動制御をイネーブルにします。

authentication priority

ポート プライオリティ リストに認証方式を追加します。

authentication timer

802.1x 対応ポートのタイムアウト パラメータと再認証パラメータを設定します。

authentication violation

新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。

mab

ポートの MAC-based 認証をイネーブルにします。

mab eap

Extensible Authentication Protocol(EAP)を使用するようポートを設定します。

show authentication

スイッチの認証マネージャ イベントに関する情報を表示します。

macsec network-link

アップリンク インターフェイスの MKA MACsec 設定を有効にするには、インターフェイスで macsec network-link コマンドを使用します。CDP をディセーブルにするには、このコマンドの no 形式を使用します。

macsec network-link

構文の説明

macsec network-link

EAP-TLS 認証プロトコルを使用してデバイス インターフェイスの MKA MACsec 設定を有効にします。

コマンド デフォルト

macsec network-link は無効になっています。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが導入されました。

次に、EAP-TLS 認証プロトコルを使用して、インターフェイスに MACsec MKA を設定する例を示します。


Switch#configure terminal
Switch(config)# int G1/0/20
Switch(config-if)# macsec network-link
Switch(config-if)# end
Switch#

match(アクセス マップ コンフィギュレーション)

1 つまたは複数のアクセス リストをパケットと照合するように VLAN マップを設定するには、スイッチ スタックまたはスタンドアロン スイッチのアクセスマップ コンフィギュレーション モードで match コマンドを使用します。照合パラメータを削除するには、このコマンドの no 形式を使用します。

match { ip address { name | number } [ name | number ] [ name | number ] ... | ipv6 address { name | number } [ name | number ] [ name | number ] ... | mac address { name } [ name ] [ name ] ... }

no match { ip address { name | number } [ name | number ] [ name | number ] ... | ipv6 address { name | number } [ name | number ] [ name | number ] ... | mac address { name } [ name ] [ name ] ... }

構文の説明

ip address

パケットを IP アドレス アクセス リストと照合するようにアクセス マップを設定します。
ipv6 address

パケットを IPv6 アドレス アクセス リストと照合するようにアクセス マップを設定します。
mac address

パケットを MAC アドレス アクセス リストと照合するようにアクセス マップを設定します。
name

パケットを照合するアクセス リストの名前です。
number

パケットを照合するアクセス リストの番号です。このオプションは、MAC アクセス リストに対しては無効です。

コマンド デフォルト

デフォルトのアクションでは、一致パラメータは VLAN マップに適用されません。

コマンド モード

アクセス マップ コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

vlan access-map グローバル コンフィギュレーション コマンドを使用して、アクセス マップ コンフィギュレーション モードを開始します。

1 つのアクセス リストの名前または番号を入力する必要があります。その他は任意です。パケットは、1 つまたは複数のアクセス リストに対して照合できます。いずれかのリストに一致すると、エントリの一致としてカウントされます。

アクセス マップ コンフィギュレーション モードでは、match コマンドを使用して、VLAN に適用される VLAN マップの一致条件を定義できます。action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。

パケットは、同じプロトコル タイプのアクセス リストに対してだけ照合されます。IP パケットは、IP アクセス リストに対して照合され、IPv6 パケットは IPv6 アクセス リストに対して照合され、その他のパケットはすべて MAC アクセス リストに対して照合されます。

同じマップ エントリに、IP アドレス、IPv6 アドレスおよび MAC アドレスを指定できます。

次の例では、VLAN アクセス マップ vmap4 を定義して VLAN 5 と VLAN 6 に適用する方法を示します。このアクセス マップでは、パケットがアクセス リスト al2 に定義された条件に一致すると、インターフェイスは IP パケットをドロップします。

Device(config)# vlan access-map vmap4
Device(config-access-map)# match ip address al2
Device(config-access-map)# action drop
Device(config-access-map)# exit
Device(config)# vlan filter vmap4 vlan-list 5-6

設定を確認するには、show vlan access-map 特権 EXEC コマンドを入力します。

mka pre-shared-key

事前共有キー(PSK)を使用してデバイス インターフェイスの MKA MACsec を設定するには、グローバル コンフィギュレーション モードで mka pre-shared-key key-chain key-chain name コマンドを使用します。CDP をディセーブルにするには、このコマンドの no 形式を使用します。

mka pre-shared-key key-chain key-chain-name

構文の説明

mka pre-shared-key key-chain

PSK を使用してデバイス インターフェイスの MACsec MKA 設定を有効にします。

コマンド デフォルト

mka pre-shared-key はディセーブルです。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが導入されました。

次に、PSK を使用して、インターフェイスの MKA MACsec を設定する例を示します。


Switch#
Switch(config)# int G1/0/20
Switch(config-if)# mka pre-shared-key key-chain kc1
Switch(config-if)# end
Switch#

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no authentication logging verbose コマンドをグローバル コンフィギュレーション モードで使用します。

no authentication logging verbose

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

一部の詳細情報はシステム メッセージに表示されません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドにより、認証システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。失敗メッセージはフィルタリングされません。

verbose 認証システム メッセージをフィルタリングするには、次の手順に従います。


Device(config)# no authentication logging verbose

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチのグローバル コンフィギュレーション モードで no dot1x logging verbose コマンドを使用します。

no dot1x logging verbose

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

一部の詳細情報はシステム メッセージに表示されません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドにより、802.1x システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。失敗メッセージはフィルタリングされません。

verbose 802.1x システム メッセージをフィルタリングするには、次の手順に従います。


Device(config)# no dot1x logging verbose

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)のシステム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で、グローバル コンフィギュレーション モードで no mab logging verbose コマンドを使用します。

no mab logging verbose

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

一部の詳細情報はシステム メッセージに表示されません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

このコマンドにより、MAC 認証バイパス(MAB)システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。失敗メッセージはフィルタリングされません。

verbose MAB システム メッセージをフィルタリングするには、次の手順に従います。


Device(config)# no mab logging verbose

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

no authentication logging verbose

認証システム メッセージから詳細情報をフィルタリングします。

no dot1x logging verbose

802.1x システム メッセージから詳細情報をフィルタリングします。

no mab logging verbose

MAC 認証バイパス(MAB)システム メッセージから詳細情報をフィルタリングします。

permit(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックの転送を許可するには、スイッチ スタックまたはスタンドアロン スイッチ上で permit MAC アクセスリスト コンフィギュレーション コマンドを使用します。拡張 MAC アクセス リストから許可条件を削除するには、このコマンドの no 形式を使用します。

{ permit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ] [ cos cos]

no permit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ] [ cos cos]

構文の説明

any

すべての送信元または宛先 MAC アドレスを拒否します。

host src-MAC-addr | src-MAC-addr mask

ホスト MAC アドレスと任意のサブネット マスクを指定します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr | dst-MAC-addr mask

宛先 MAC アドレスと任意のサブネット マスクを指定します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)パケットの EtherType 番号と、Ethernet II または SNAP カプセル化を指定して、パケットのプロトコルを識別します。

  • type には、0 ~ 65535 の 16 進数を指定できます。

  • mask は、一致をテストする前に EtherType に適用される don’t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする EtherType AppleTalk Address Resolution Protocol を指定します。

amber

(任意)EtherType DEC-Amber を指定します。

appletalk

(任意)EtherType AppleTalk/EtherTalk を指定します。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニングツリーを指定します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを指定します。

diagnostic

(任意)EtherType DEC-Diagnostic を指定します。

dsm

(任意)EtherType DEC-DSM を指定します。

etype-6000

(任意)EtherType 0x6000 を指定します。

etype-8042

(任意)EtherType 0x8042 を指定します。

lat

(任意)EtherType DEC-LAT を指定します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を指定します。

lsap lsap-number mask

(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を使用して、パケットのプロトコルを指定します。

mask は、一致をテストする前に LSAP 番号に適用される don’t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を指定します。

mop-dump

(任意)EtherType DEC-MOP Dump を指定します。

msdos

(任意)EtherType DEC-MSDOS を指定します。

mumps

(任意)EtherType DEC-MUMPS を指定します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NetBIOS)を指定します。

vines-echo

(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)Echo を指定します。

vines-ip

(任意)EtherType VINES IP を指定します。

xns-idp

(任意)EtherType Xerox Network Systems(XNS)プロトコル スイートを指定します。

cos cos

(任意)プライオリティを設定するため、0 ~ 7 までの任意の Class of Service(CoS)値を指定します。CoS に基づくフィルタリングは、ハードウェアでだけ実行可能です。cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。

コマンド デフォルト

このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルト アクションは拒否です。

コマンド モード

MAC アクセス リスト コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

appletalk は、コマンドラインのヘルプ ストリングには表示されますが、一致条件としてはサポートされていません。

MAC アクセス リスト コンフィギュレーション モードを開始するには、mac access-list extended グローバル コンフィギュレーション コマンドを使用します。

host キーワードを使用した場合、アドレス マスクは入力できません。 any キーワードまたは host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。

アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加されると、リストの最後には暗黙の deny-any-any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、type mask または lsap lsap mask キーワードを使用します。Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を、次の表に一覧表示します。

表 4. IPX フィルタ基準

IPX カプセル化タイプ

フィルタ基準

Cisco IOS 名

Novell 名

arpa

Ethernet II

EtherType 0x8137

snap

Ethernet-snap

EtherType 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

次の例では、あらゆる送信元から MAC アドレス 00c0.00a0.03fa への NetBIOS トラフィックを許可する名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは許可されます。


Device(config-ext-macl)# permit any host 00c0.00a0.03fa netbios

次の例では、名前付き MAC 拡張アクセス リストから許可条件を削除する方法を示します。


Device(config-ext-macl)# no permit any 00c0.00a0.03fa 0000.0000.0000 netbios

次の例では、EtherType 0x4321 のすべてのパケットを許可します。


Device(config-ext-macl)# permit any any 0x4321 0

設定を確認するには、show access-lists 特権 EXEC コマンドを入力します。

関連コマンド

コマンド

説明

deny

MAC アクセスリスト コンフィギュレーションを拒否します。条件が一致した場合に非 IP トラフィックが転送されるのを拒否します。

mac access-list extended

非 IP トラフィック用に MAC アドレス ベースのアクセス リストを作成します。

show access-lists

スイッチに設定されたアクセス コントロール リストを表示します。

propagate sgt (cts manual)

Cisco TrustSec Security(CTS)インターフェイスでレイヤ 2 のセキュリティ グループ タグ(SGT)伝達を有効にするには、インターフェイス コンフィギュレーション モードで propagate sgt コマンドを使用します。SGT 伝達を無効にするには、このコマンドの no 形式を使用します。

propagate sgt

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

SGT 処理の伝達が有効になっています。

コマンド モード

CTS 手動インターフェイス コンフィギュレーション モード(config-if-cts-manual)

コマンド履歴

リリース

変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが導入されました。

使用上のガイドライン

SGT 処理の伝達によって、CTS 対応のインターフェイスは L2 SGT タグに基づいて CTS メタ データ(CMD)を受信および送信できます。ピア デバイスが SGT を受信できず、その結果、SGT タグを L2 ヘッダーに配置できない状況で、インターフェイスの SGT 伝達を無効にするには no propagate sgt コマンドを使用します。

次に、手動で設定された TrustSec 対応のインターフェイスで SGT 伝達を無効にする例を示します。


Switch# configure terminal
Switch(config)# interface gigabitethernet 0
Switch(config-if)# cts manual
Switch(config-if-cts-manual)# no propagate sgt

次に、ギガビット イーサネット インターフェイス 0 で SGT 伝達が無効になっている例を示します。


Switch#show cts interface brief
Global Dot1x feature is Disabled
Interface GigabitEthernet0:
    CTS is enabled, mode:    MANUAL
    IFC state:               OPEN
    Authentication Status:   NOT APPLICABLE
        Peer identity:       "unknown"
        Peer's advertised capabilities: ""
    Authorization Status:    NOT APPLICABLE
    SAP Status:              NOT APPLICABLE
    Propagate SGT:           Disabled
    Cache Info:
        Cache applied to link : NONE

関連コマンド

コマンド

説明

cts manual

CTS のインターフェイスを有効にします。

show cts interface

インターフェイスごとの Cisco TrustSec ステートおよび統計情報を表示します。

protocol(IPv6 スヌーピング)

アドレスを Dynamic Host Configuration Protocol(DHCP)または Neighbor Discovery Protocol(NDP)で収集する必要があることを指定するか、プロトコルを IPv6 プレフィックス リストに対応させるには、protocol コマンドを使用します。DHCP または NDP によるアドレス収集をディセーブルにするには、このコマンドの no 形式を使用します。

protocol { dhcp | ndp }

no protocol { dhcp | ndp }

構文の説明

dhcp

アドレスをダイナミック ホスト コンフィギュレーション プロトコル(DHCP)パケットで収集する必要があることを指定します。
ndp

アドレスをネイバー探索プロトコル(NDP)パケットで収集する必要があることを指定します。

コマンド デフォルト

スヌーピングとリカバリは DHCP および NDP の両方を使用して試行します。

コマンド モード

IPv6 スヌーピング コンフィギュレーション モード

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

アドレスが DHCP または NDP に対応するプレフィックス リストと一致しない場合は、制御パケットがドロップされ、バインディング テーブル エントリのリカバリはそのプロトコルに対しては試行されません。

  • no protocol { dhcp | ndp } コマンドを使用すると、プロトコルはスヌーピングまたはグリーニングに使用されません。

  • no protocol dhcp コマンドを使用すると、DHCP は依然としてバインディング テーブルのリカバリに使用できます。

  • データ収集は DHCP および NDP でリカバリできますが、宛先ガードは DHCP によってのみリカバリできます。

次に、IPv6 スヌーピングポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、アドレスの収集に DHCP を使用するようにポートを設定する例を示します。


Device(config)# ipv6 snooping policy policy1
Device(config-ipv6-snooping)# protocol dhcp

radius server


(注)  

Cisco IOS 15.2(5)E リリース以降では、Cisco IOS リリース 15.2(5)E より前のリリースで使用されていた radius server コマンドが radius-server host コマンドに置き換えられました。古いコマンドは廃止されました。

RADIUS アカウンティングと RADIUS 認証を含む RADIUS サーバのパラメータを設定するには、スイッチ スタックまたはスタンドアロン スイッチで radius server コンフィギュレーション サブモード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

radius server name

address {ipv4 | ipv6} ip{address | hostname} auth-port udp-port acct-port udp-port

key string

automate tester name | retransmit value | timeout seconds

no radius server name

構文の説明

address {ipv4 | ipv6} ip{address | hostname}

RADIUS サーバの IP アドレスを指定します。

auth-port udp-port

(任意)RADIUS 認証サーバの UDP ポートを指定します。指定できる範囲は 0 ~ 65536 です。

acct-port udp-port

(任意)RADIUS アカウンティング サーバの UDP ポートを指定します。指定できる範囲は 0 ~ 65536 です。

key string

(任意)スイッチおよび RADIUS デーモン間のすべての RADIUS コミュニケーションの認証キーおよび暗号キーを指定します。

(注)   
キーは、RADIUS サーバで使用する暗号化キーに一致するテキスト ストリングでなければなりません。必ずこのコマンドの最終項目として key を設定してください。先頭のスペースは無視されますが、キーの中間および末尾のスペースは使用されます。key にスペースが含まれる場合は、引用符が key の一部でない限り、key を引用符で囲まないでください。

automate tester name

(任意)RADIUS サーバ ステータスの自動サーバ テストをイネーブルにし、使用されるユーザ名を指定します。

retransmit value

(任意)サーバが応答しない、または応答が遅い場合に、RADIUS 要求をリセットする回数を指定します。指定できる範囲は 1 ~ 100 です。この設定は、radius-server retransmit グローバル コンフィギュレーション コマンドによる設定を上書きします。

timeout seconds

(任意)スイッチが要求を再送信する前に RADIUS サーバからの応答を待機する時間間隔を指定します。指定できる範囲は 1 ~ 1000 です。この設定は、radius-server timeout グローバル コンフィギュレーション コマンドによる設定を上書きします。

no radius server name

デフォルト設定に戻します。

コマンド デフォルト

  • RADIUS アカウンティング サーバの UDP ポートは 1646 です。

  • RADIUS 認証サーバの UDP ポートは 1645 です。

  • 自動サーバ テストはディセーブルです。

  • タイムアウトは 60 分(1 時間)です。

  • 自動テストがイネーブルの場合、UDP ポートのアカウンティングおよび認証時にテストが実行されます。

  • 認証キーおよび暗号キー(string)は設定されていません。

コマンド モード

RADIUS サーバ サブモード コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

radius-server host コマンドを置き換える目的でこのコマンドが導入されました。

使用上のガイドライン

  • RADIUS アカウンティング サーバおよび RADIUS 認証サーバの UDP ポートをデフォルト以外の値に設定することを推奨します。

  • key string サブモード コンフィギュレーション コマンドを使用すると、認証および暗号化キーを設定できます。必ずこのコマンドの最終項目として key を設定してください。

  • RADIUS サーバ ステータスの自動サーバ テストをイネーブルにし、使用されるユーザ名を指定するには、automate-tester name キーワードを使用します。

次の例では、認証サーバの UDP ポートを 1645、アカウンティング サーバの UDP ポートを 1646 に設定し、文字列を設定する例を示します。

Device(config)# radius server ISE
Device(config-radius-server)# address ipv4 10.1.1 auth-port 1645 acct-port 1646
Device(config-radius-server)# key cisco123

sap mode-list (cts manual)

2 個のインターフェイスの間のリンク暗号化をネゴシエートするために使用される Security Association Protocol(SAP)の認証と暗号化モード(最高から最低に優先順位付けされた)を選択するには、CTS dot1x インターフェイス コンフィギュレーション モードで sap mode-list コマンドを使用します。モードリストを削除してデフォルトに戻すには、このコマンドの no 形式を使用します。

2 個のインターフェイス間で MACsec のリンク暗号化をネゴシエートするために、ペアワイズ マスター キー(PMK)と Security Association Protocol(SAP)の認証および暗号化モードを手動で指定するには、sap mode-list コマンドを使用します。設定を無効にするには、このコマンドの no 形式を使用します。

sap pmk mode-list { gcm-encrypt | gmac | no-encap | null } [ gcm-encrypt | gmac | no-encap | null ]

no sap pmk mode-list { gcm-encrypt | gmac | no-encap | null } [ gcm-encrypt | gmac | no-encap | null ]

構文の説明

pmk hex_value

16 進数データ PMK を指定します(先行する 0x なし。偶数の16 進数文字を入力する。そうでない場合は、最後の文字に 0 のプレフィックスが付加される)。

mode-list

アドバタイズされたモードのリストを指定します(最高から最低に優先順位付け)。

gcm-encrypt

GMAC 認証、GCM 暗号化を指定します。

gmac

GMAC 認証だけを指定し、暗号化を指定しません。

no-encap

カプセル化を指定しません。

null

カプセル化あり、認証なし、暗号化なしを指定します。

コマンド デフォルト

デフォルトのカプセル化は、sap pmk mode-list gcm-encrypt null です。ピア インターフェイスが 802.1AE MACsec または 802.REV レイヤ 2 リンク暗号化をサポートしない場合、デフォルトの暗号化は null です。

コマンド モード

CTS 手動インターフェイス コンフィギュレーション(config-if-cts-manual)

コマンド履歴

リリース

変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが導入されました。

使用上のガイドライン

認証と暗号化方式を指定するには、sap pmk mode-list コマンドを使用します。

セキュリティ アソシエーション プロトコル(SAP)は 802.11i IEEE プロトコルのドラフト バージョンに基づいた暗号キーの取得および交換プロトコルです。SAP は MACsec をサポートするインターフェイス間の 802.1AE リンク間暗号化(MACsec)を確立および管理するために使用します。

SAP およびペアワイズ マスター キー(PMK)は、sap pmk mode-list コマンドを使用して、2 個のインターフェイス間に手動で設定することもできます。802.1X 認証を使用する場合、両方(サプリカントおよびオーセンティケータ)が Cisco Secure Access Control Server からピアのポートの PMK および MAC アドレスを受信します。

デバイスが CTS 対応ソフトウェアを実行していて、ハードウェアが CTS 非対応である場合は、sap mode-list no-encap コマンドを使用してカプセル化を拒否します。

次に、ギガビット イーサネット インターフェイスで SAP を設定する例を示します。


Switch# configure terminal
Switch(config)# interface gigabitethernet 2/1
Switch(config-if)# cts manual
Switch(config-if-cts-manual)# sap pmk FFFEE mode-list gcm-encrypt

関連コマンド

コマンド

説明

cts manual

CTS のインターフェイスを有効にします。

propagate sgt (cts manual)

Cisco TrustSec Security(CTS)インターフェイスのレイヤ 2 でのセキュリティ グループ タグ(SGT)の伝達を有効にします。

show cts interface

Cisco TrustSec インターフェイス設定の統計情報を表示します。

security level(IPv6 スヌーピング)

適用されるセキュリティのレベルを指定するには、IPv6 スヌーピング ポリシー コンフィギュレーション モードで security-level コマンドを使用します。

security level { glean | guard | inspect }

構文の説明

glean

アドレスをメッセージから抽出し、検証を行わずにそれらをバインディング テーブルにインストールします。
guard

収集と検査の両方を実行します。さらに、信頼できるポートで受信されていない場合、または別のポリシーによって許可されていない場合、RA メッセージおよび DHCP サーバ メッセージは拒否されます。
inspect

メッセージの一貫性と準拠度を検証します。特に、アドレス所有権が強制されます。無効なメッセージはドロップされます。

コマンド デフォルト

デフォルトのセキュリティ レベルは guard です。

コマンド モード

IPv6 スヌーピング コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、セキュリティ レベルを inspect として設定する例を示します。


Device(config)# ipv6 snooping policy policy1
Device(config-ipv6-snooping)# security-level inspect

security passthru

IPSec のパススルーを変更するには、security passthru コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

security passthru ip-address

no security passthru

構文の説明

ip-address

(任意)VPN トンネルの終端となる IPSec ゲートウェイ(ルータ)の IP アドレスです。

コマンド デフォルト

なし。

コマンド モード

wlan

コマンド履歴

リリース 変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

なし。

次に、IPSec のパススルーを変更する例を示します。

Device#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)#security passthrough 10.1.1.1

show aaa clients

AAA クライアントの統計情報を表示するには、show aaa clients コマンドを使用します。

show aaa clients [ detailed ]

構文の説明

detailed

(任意)詳細な AAA クライアントの統計情報を示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例では、show aaa clients コマンドの出力を示します。 


Device# show aaa clients

Dropped request packets: 0

show aaa command handler

AAA コマンド ハンドラの統計情報を表示するには、show aaa command handler コマンドを使用します。

show aaa command handler

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例では、show aaa command handler コマンドの出力を示します。 


Device# show aaa command handler

AAA Command Handler Statistics:
    account-logon: 0, account-logoff: 0
    account-query: 0, pod: 0
    service-logon: 0, service-logoff: 0
    user-profile-push: 0, session-state-log: 0
    reauthenticate: 0, bounce-host-port: 0
    disable-host-port: 0, update-rbacl: 0
    update-sgt: 0, update-cts-policies: 0
    invalid commands: 0
    async message not sent: 0

show aaa local

AAA ローカル方式オプションを表示するには、show aaa local コマンドを使用します。

show aaa local { netuser { name | all } | statistics | user lockout }

構文の説明

netuser

AAA ローカル ネットワークまたはゲスト ユーザ データベースを指定します。
name

ネットワーク ユーザ名。
all

ネットワークおよびゲスト ユーザ情報を指定します。
statistics

ローカル認証の統計情報を表示します。
user lockout

AAA ローカルのロックアウトされたユーザを指定します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例では、show aaa local statistics コマンドの出力を示します。 


Device# show aaa local statistics

Local EAP statistics

EAP Method         Success       Fail
-------------------------------------
Unknown                  0          0
EAP-MD5                  0          0
EAP-GTC                  0          0
LEAP                     0          0
PEAP                     0          0
EAP-TLS                  0          0
EAP-MSCHAPV2             0          0
EAP-FAST                 0          0

Requests received from AAA:                  0
Responses returned from EAP:                 0
Requests dropped (no EAP AVP):               0
Requests dropped (other reasons):            0
Authentication timeouts from EAP:            0

Credential request statistics
Requests sent to backend:                    0
Requests failed (unable to send):            0
Authorization results received

  Success:                                   0
  Fail:                                      0

show aaa servers

AAA サーバの MIB によって認識されるすべての AAA サーバを表示するには、show aaa servers コマンドを使用します。

show aaa servers [ private | public | [ detailed ] ]

構文の説明

detailed

(任意)AAA サーバの MIB によって認識されるプライベート AAA サーバを表示します。
public

(任意)AAA サーバの MIB によって認識されるパブリック AAA サーバを表示します。
detailed

(任意)詳細な AAA サーバの統計情報を表示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例では、show aaa servers コマンドの出力を示します。 


Device# show aaa servers
RADIUS: id 1, priority 1, host 172.20.128.2, auth-port 1645, acct-port 1646
State: current UP, duration 9s, previous duration 0s
Dead: total time 0s, count 0
Quarantined: No
Authen: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Author: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Account: request 0, timeouts 0, failover 0, retransmission 0
Request: start 0, interim 0, stop 0
Response: start 0, interim 0, stop 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Elapsed time since counters last cleared: 0m
Estimated Outstanding Access Transactions: 0
Estimated Outstanding Accounting Transactions: 0
Estimated Throttled Access Transactions: 0
Estimated Throttled Accounting Transactions: 0
Maximum Throttled Transactions: access 0, accounting 0

show aaa sessions

AAA セッション MIB によって認識される AAA セッションを表示するには、show aaa sessions コマンドを使用します。

show aaa sessions

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例では、show aaa sessions コマンドの出力を示します。 


Device# show aaa sessions
Total sessions since last reload: 7
Session Id: 4007
   Unique Id: 4025
   User Name: *not available*
   IP Address: 0.0.0.0
   Idle Time: 0
   CT Call Handle: 0

show authentication history

デバイスで稼働中の認証セッションを表示するには、 show authentication history コマンドを使用します。

show authentication history [ min-uptime seconds]

構文の説明

min-uptime seconds

(任意)最小アップタイム内のセッションを表示します。有効範囲は 1 ~ 4294967295 秒です。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

デバイスで稼働中の認証セッションを表示するには、show authentication history コマンドを使用します。

次の例では、show authentication history コマンドの出力を示します。 


Device# show authentication history
Interface  MAC Address     Method  Domain  Status  Uptime
Gi3/0/2    0021.d864.07c0  dot1x   DATA    Auth    38s

Session count = 1

show authentication sessions

現在の認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。

show authentication sessions [ database ] [ handle handle-id[ details ] ] [ interface type number[ details ] [ mac mac-address[ interface type number] [ method method-name[ interface type number[ details ] [ session-id session-id [ details ] ]

構文の説明

database

(任意)セッション データベースに格納されているデータだけを示します。
handle handle-id

(任意)認証マネージャ情報を表示する特定のハンドルを指定します。
details

(任意)詳細情報を表示します。
interface type number

(任意)認証マネージャ情報を表示する特定のインターフェイスのタイプと番号を指定します。
mac mac-address

(任意)情報を表示する特定の MAC アドレスを指定します。
method method-name

(任意)認証マネージャ情報を表示する特定の認証方法を指定します。方式を指定する場合(dot1x mab 、または webauth )、インターフェイスも指定できます。

session-id session-id

(任意)認証マネージャ情報を表示する特定のセッションを指定します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

現在のすべての認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。特定の認証マネージャ セッションに関する情報を表示するには、1 つ以上のキーワードを使用します。

このテーブルは、報告された認証セッションで想定される動作状態を示します。

表 5. 認証方式の状態

状態

説明

Not run

このセッションの方式は実行されていません。

Running

このセッションの方式が実行中です。

Failed over

この方式は失敗しました。次の方式が結果を出すことが予期されています。

Success

この方式は、セッションの成功した認証結果を提供しました。

Authc Failed

この方式は、セッションの失敗した認証結果を提供しました。

次の表に、使用できる認証方式を示します。

表 6. 認証方式の状態

状態

説明

dot1x

802.1X

mab

MAC 認証バイパス

webauth

Web 認証

次に、スイッチ上のすべての認証セッションを表示する例を示します。


Device# show authentication sessions 
Interface    MAC Address     Method   Domain   Status         Session ID
Gi1/0/48     0015.63b0.f676  dot1x    DATA     Authz Success  0A3462B1000000102983C05C
Gi1/0/5      000f.23c4.a401  mab      DATA     Authz Success  0A3462B10000000D24F80B58
Gi1/0/5      0014.bf5d.d26d  dot1x    DATA     Authz Success  0A3462B10000000E29811B94

次に、インターフェイス上のすべての認証セッションを表示する例を示します。


Device# show authentication sessions interface gigabitethernet2/0/47
            Interface:  GigabitEthernet2/0/47
          MAC Address:  Unknown
           IP Address:  Unknown
               Status:  Authz Success
               Domain:  DATA
       Oper host mode:  multi-host
     Oper control dir:  both
        Authorized By:  Guest Vlan
          Vlan Policy:  20
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0A3462C8000000000002763C
      Acct Session ID:  0x00000002
               Handle:  0x25000000
Runnable methods list:
       Method   State
       mab      Failed over
       dot1x    Failed over
----------------------------------------
            Interface:  GigabitEthernet2/0/47
          MAC Address:  0005.5e7c.da05
           IP Address:  Unknown
            User-Name:  00055e7cda05
               Status:  Authz Success
               Domain:  VOICE
       Oper host mode:  multi-domain
     Oper control dir:  both
        Authorized By:  Authentication Server
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  0A3462C8000000010002A238
      Acct Session ID:  0x00000003
               Handle:  0x91000001
Runnable methods list:
       Method   State
       mab      Authc Success
       dot1x    Not run

show cts interface

インターフェイスの Cisco TrustSec(CTS)設定の統計を表示するには、特権 EXEC モードで show cts interface コマンドを使用します。

show cts interface [ type slot/port | brief | summary ]

構文の説明

type slot/port

(任意)インターフェイス タイプおよびスロット番号またはポート番号を指定します。このインターフェイスの詳細な出力が返されます。

brief

(任意)すべての CTS インターフェイスの短縮ステータスを表示します。

summary

(任意)インターフェイスごとに、すべての CTS インターフェイスのサマリーを、4 個または 5 個のキー ステータス フィールドを持つ表形式で表示します。

コマンド デフォルト

なし

コマンド モード


EXEC(>)
特権 EXEC(#)

コマンド履歴

リリース

変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが変更され、いくつかのオプションが追加されました。

Cisco IOS XE Denali 16.2.1

このコマンドが導入されました。

使用上のガイドライン

すべての CTS インターフェイスの冗長ステータスを表示するには、キーワードを使用せずに show cts interface コマンドを使用します。

次に、キーワードを使用せずに出力を表示する例を示します(すべての CTS インターフェイスの冗長ステータス)。


Switch# show cts interface 

Global Dot1x feature is Disabled
 Interface GigabitEthernet0/1/0:
     CTS is enabled, mode:    MANUAL
     IFC state:               OPEN
     Interface Active for 00:00:18.232
     Authentication Status:   NOT APPLICABLE
         Peer identity:       "unknown"
         Peer's advertised capabilities: ""
     Authorization Status:    NOT APPLICABLE
     SAP Status:              NOT APPLICABLE
         Configured pairwise ciphers:
             gcm-encrypt
             null
 
         Replay protection:      enabled
         Replay protection mode: STRICT
 
         Selected cipher:
 
     Propagate SGT:           Enabled
     Cache Info:
         Cache applied to link : NONE
 
     Statistics:
         authc success:              0
         authc reject:               0
         authc failure:              0
         authc no response:          0
         authc logoff:               0
         sap success:                0
         sap fail:                   0
         authz success:              0
         authz fail:                 0
         port auth fail:             0
         Ingress:
             control frame bypassed: 0
             sap frame bypassed:     0
             esp packets:            0
             unknown sa:             0
             invalid sa:             0
             inverse binding failed: 0
             auth failed:            0
             replay error:           0
         Egress:
             control frame bypassed: 0
             esp packets:            0
             sgt filtered:           0
             sap frame bypassed:     0
             unknown sa dropped:     0
             unknown sa bypassed:    0

次に、brief キーワードを使用した出力例を示します。 


Device# show cts interface brief
 
Global Dot1x feature is Disabled
 Interface GigabitEthernet0/1/0:
     CTS is enabled, mode:    MANUAL
     IFC state:               OPEN
     Interface Active for 00:00:40.386
     Authentication Status:   NOT APPLICABLE
         Peer identity:       "unknown"
         Peer's advertised capabilities: ""
     Authorization Status:    NOT APPLICABLE
     SAP Status:              NOT APPLICABLE
     Propagate SGT:           Enabled
     Cache Info:
         Cache applied to link : NONE

関連コマンド

コマンド

説明

cts manual

CTS のインターフェイスを有効にします。

propagate sgt (cts manual)

Cisco TrustSec Security(CTS)インターフェイスのレイヤ 2 でのセキュリティ グループ タグ(SGT)の伝達を有効にします。

sap mode-list (cts manual)

PMK および SAP 認証モードと暗号化モードを手動で指定し、2 つのインターフェイス間で MACsec リンクの暗号化をネゴシエートします。

show cts role-based permissions

ロールベース(セキュリティ グループ)アクセス コントロール権限リストを表示するには、特権 EXEC モードで show cts role-based permissions コマンドを使用します。

show cts role-based permissions [ default [ details | ipv4 [ details ] ] | from [ sgt [ ipv4 | to [ sgt | unknown ] [ details | ipv4 [ details ] ] ] | unknown ] | ipv4 | to [ sgt | unknown ] [ ipv4 ] ]

構文の説明

default

(任意)デフォルトの権限リストに関する情報を表示します。
details

(任意)アタッチされたアクセス コントロール リスト(ACL)の詳細を表示します。
ipv4

(任意)IPv4 プロトコルに関する情報を表示します。
from

(任意)送信元グループに関する情報を表示します。
sgt

(任意)セキュリティ グループ タグ。有効値は 2 ~ 65519 です。
to

(任意)宛先グループに関する情報を表示します。
unknown

(任意)不明な送信元グループと宛先グループに関する情報を表示します。

コマンド モード

特権 EXEC(#)

コマンド履歴

リリース 変更内容

Cisco IOS XE Denali 16.3.1

このコマンドが導入されました。

使用上のガイドライン

このコマンドは、SGACL 権限マトリックスのコンテンツを表示します。送信元セキュリティ グループ タグ(SGT)は from キーワードを使用して、宛先 SGT は to キーワードを使用して指定できます。両方のキーワードを指定すると、単一セルの RBACL が表示されます。列全体は、to キーワードを使用した場合にのみ表示されます。行全体は、from キーワードを使用した場合にのみ表示されます。権限マトリックス全体は、from キーワードと to キーワードの両方を省略した場合に表示されます。

コマンド出力は、プライマリ キーの宛先 SGT およびセカンダリ キーの送信元 SGT でソートされます。各セルの SGACL は、設定で定義されているのと同じ順序で、または Cisco Identity Services Engine(ISE)から取得した順序で表示されます。

details キーワードは、from キーワードと to キーワードの両方を指定することで、単一のセルが選択された場合に表示されます。details キーワードが指定されている場合、単一セルの SGACL のアクセス制御エントリが表示されます。

次に、show role-based permissions コマンドの出力例を示します。 


Switch# show cts role-based permissions 

IPv4 Role-based permissions default (monitored):
default_sgacl-02
Permit IP-00
IPv4 Role-based permissions from group 305:sgt to group 306:dgt (monitored):
test_reg_tcp_permit-02
RBACL Monitor All for Dynamic Policies : TRUE
RBACL Monitor All for Configured Policies : FALSE
IPv4 Role-based permissions from group 6:SGT_6 to group 6:SGT_6 (configured):
		mon_1
IPv4 Role-based permissions from group 10 to group 11 (configured):
		mon_2
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE

関連コマンド

コマンド

説明

cts role-based permissions

送信元グループから宛先グループに対する権限を有効にします。

cts role-based monitor

ロールベースのアクセス リストのモニタリングを有効にします。

show cisp

指定されたインターフェイスの CISP 情報を表示するには、show cisp 特権 EXEC コマンドを使用します。

show cisp {[ clients | interface interface-id] | registrations | summary }

構文の説明

clients

(任意)CISP クライアントの詳細を表示します。

interface interface-id

(任意)指定されたインターフェイスの CISP 情報を表示します。有効なインターフェイスには、物理ポートとポート チャネルが含まれます。

registrations

CISP の登録情報を表示します。

summary

(任意)CISP のサマリー情報を表示します。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

Cisco IOS XE Denali 16.3.1

このコマンドが再度導入されました。このコマンドは Cisco IOS XE Denali 16.1.x および Cisco IOS XE Denali 16.2.x ではサポートされていませんでした。

次の例では、show cisp interface コマンドの出力を示します。 


Device# show cisp interface fast 0
CISP not enabled on specified interface

次の例では、show cisp registration コマンドの出力を示します。 


Device# show cisp registrations
Interface(s) with CISP registered user(s):
------------------------------------------
Fa1/0/13
Auth Mgr (Authenticator)
Gi2/0/1
Auth Mgr (Authenticator)
Gi2/0/2
Auth Mgr (Authenticator)
Gi2/0/3
Auth Mgr (Authenticator)
Gi2/0/5
Auth Mgr (Authenticator)
Gi2/0/9
Auth Mgr (Authenticator)
Gi2/0/11
Auth Mgr (Authenticator)
Gi2/0/13
Auth Mgr (Authenticator)
Gi3/0/3
Gi3/0/5
Gi3/0/23

関連コマンド

コマンド

説明

cisp enable

Client Information Signalling Protocol(CISP)をイネーブルにします。

dot1x credentials プロファイル

サプリカント スイッチでプロファイルを設定します。

show dot1x

スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示するには、ユーザ EXEC モードで show dot1x コマンドを使用します。

show dot1x [ all [ count | details | statistics | summary ] ] [ interface type number[ details | statistics ] ] [ statistics ]

構文の説明

all

(任意)すべてのインターフェイスの IEEE 802.1x 情報を表示します。
count

(任意)許可されたクライアントと無許可のクライアントの総数を表示します。
details

(任意)IEEE 802.1x インターフェイスの詳細を表示します。
statistics

(任意)すべてのインターフェイスの IEEE 802.1x 統計情報を表示します。
summary

(任意)すべてのインターフェイスの IEEE 802.1x サマリー情報を表示します。
interface type number

(任意)指定したポートの IEEE 802.1X ステータスを表示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例では、show dot1x all コマンドの出力を示します。 


Device# show dot1x all
Sysauthcontrol              Enabled
Dot1x Protocol Version            3

次の例では、show dot1x all count コマンドの出力を示します。 


Device# show dot1x all count
Number of Dot1x sessions
-------------------------------
Authorized Clients        = 0
UnAuthorized Clients      = 0
Total No of Client        = 0

次の例では、show dot1x all statistics コマンドの出力を示します。 


Device# show dot1x statistics
Dot1x Global Statistics for
--------------------------------------------
RxStart = 0     RxLogoff = 0    RxResp = 0      RxRespID = 0
RxReq = 0       RxInvalid = 0   RxLenErr = 0
RxTotal = 0

TxStart = 0     TxLogoff = 0    TxResp = 0
TxReq = 0       ReTxReq = 0     ReTxReqFail = 0
TxReqID = 0     ReTxReqID = 0   ReTxReqIDFail = 0
TxTotal = 0

show eap pac peer

拡張認証プロトコル(EAP)のセキュア トンネリングを介したフレキシブル認証(FAST)ピアの格納済み Protected Access Credential(PAC)を表示するには、特権 EXEC モードで show eap pac peer コマンドを使用します。

show eap pac peer

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例は、show eap pac peers 特権 EXEC コマンドの出力を示します。 


Device> show eap pac peers
No PACs stored

関連コマンド

コマンド

説明

clear eap sessions

スイッチまたは指定されたポートの EAP のセッション情報をクリアします。

show ip dhcp snooping statistics

DHCP スヌーピング統計情報を概要形式または詳細形式で表示するには、ユーザ EXEC モードで show ip dhcp snooping statistics コマンドを使用します。

show ip dhcp snooping statistics [ detail ]

構文の説明

detail

(任意)詳細な統計情報を表示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

スイッチ スタックでは、すべての統計情報がスタック マスターで生成されます。新しいアクティブ スイッチが選定された場合、統計カウンタはリセットされます。

次の例では、show ip dhcp snooping statistics コマンドの出力を示します。 


Device> show ip dhcp snooping statistics

 Packets Forwarded                                     = 0
 Packets Dropped                                       = 0
 Packets Dropped From untrusted ports                  = 0

次の例では、show ip dhcp snooping statistics detail コマンドの出力を示します。 


Device> show ip dhcp snooping statistics detail

 Packets Processed by DHCP Snooping                    = 0
 Packets Dropped Because
   IDB not known                                       = 0
   Queue full                                          = 0
   Interface is in errdisabled                         = 0
   Rate limit exceeded                                 = 0
   Received on untrusted ports                         = 0
   Nonzero giaddr                                      = 0
   Source mac not equal to chaddr                      = 0
   Binding mismatch                                    = 0
   Insertion of opt82 fail                             = 0
   Interface Down                                      = 0
   Unknown output interface                            = 0
   Reply output port equal to input port               = 0
   Packet denied by platform                           = 0

次の表に、DHCP スヌーピング統計情報およびその説明を示します。

表 7. DHCP スヌーピング統計情報

DHCP スヌーピング統計情報

説明

Packets Processed by DHCP Snooping

転送されたパケットおよびドロップされたパケットも含めて、DHCP スヌーピングによって処理されたパケットの合計数。

Packets Dropped Because IDB not known

パケットの入力インターフェイスを判断できないエラーの数。

Queue full

パケットの処理に使用される内部キューが満杯であるエラーの数。非常に高いレートで DHCP パケットを受信し、入力ポートでレート制限がイネーブルになっていない場合、このエラーが発生することがあります。

Interface is in errdisabled

errdisable としてマークされたポートでパケットを受信した回数。これが発生する可能性があるのは、ポートが errdisable ステートである場合にパケットが処理キューに入り、そのパケットが後で処理される場合です。

Rate limit exceeded

ポートで設定されているレート制限を超えて、インターフェイスが errdisable ステートになった回数。

Received on untrusted ports

信頼できないポートで DHCP サーバ パケット(OFFER、ACK、NAK、LEASEQUERY のいずれか)を受信してドロップした回数。

Nonzero giaddr

信頼できないポートで受信した DHCP パケットのリレー エージェント アドレス フィールド(giaddr)がゼロ以外だった回数。または no ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを設定しておらず、信頼できないポートで受信したパケットにオプション 82 データが含まれていた回数。

Source mac not equal to chaddr

DHCP パケットのクライアント MAC アドレス フィールド(chaddr)がパケットの送信元 MAC アドレスと一致せず、ip dhcp snooping verify mac-address グローバル コンフィギュレーション コマンドが設定されている回数。

Binding mismatch

MAC アドレスと VLAN のペアのバインディングになっているポートとは異なるポートで、RELEASE パケットまたは DECLINE パケットを受信した回数。これは、誰かが本来のクライアントをスプーフィングしようとしている可能性があることを示しますが、クライアントがスイッチの別のポートに移動して RELEASE または DECLINE を実行したことを表すこともあります。MAC アドレスは、イーサネット ヘッダーの送信元 MAC アドレスではなく、DHCP パケットの chaddr フィールドから採用されます。

Insertion of opt82 fail

パケットへのオプション 82 挿入がエラーになった回数。オプション 82 データを含むパケットがインターネットの単一物理パケットのサイズを超えた場合、挿入はエラーになることがあります。

Interface Down

パケットが DHCP リレー エージェントへの応答であるが、リレー エージェントの SVI インターフェイスがダウンしている回数。DHCP サーバへのクライアント要求の送信と応答の受信の間で SVI がダウンした場合に発生するエラーですが、めったに発生しません。

Unknown output interface

オプション 82 データまたは MAC アドレス テーブルのルックアップのいずれかで、DHCP 応答パケットの出力インターフェイスを判断できなかった回数。パケットはドロップされます。オプション 82 が使用されておらず、クライアント MAC アドレスが期限切れになった場合に発生することがあります。ポートセキュリティ オプションで IPSG がイネーブルであり、オプション 82 がイネーブルでない場合、クライアントの MAC アドレスは学習されず、応答パケットはドロップされます。

Reply output port equal to input port

DHCP 応答パケットの出力ポートが入力ポートと同じであり、ループの可能性の原因となった回数。ネットワークの設定の誤り、またはポートの信頼設定の誤用の可能性を示します。

Packet denied by platform

プラットフォーム固有のレジストリによってパケットが拒否された回数。

show radius server-group

RADIUS サーバ グループのプロパティを表示するには、show radius server-group コマンドを使用します。

show radius server-group { name| all }

構文の説明

name

サーバ グループの名前。サーバ グループの名前の指定に使用する文字列は、the aaa group server radius コマンドを使用して定義する必要があります。

all

すべてのサーバ グループのプロパティを表示します。

コマンド モード

ユーザ EXEC

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

aaa group server radius コマンドで定義したサーバ グループを表示するには、show radius server-group コマンドを使用します。

次の例では、show radius server-group all コマンドの出力を示します。 


Device# show radius server-group all
Server group radius
    Sharecount = 1  sg_unconfigured = FALSE
    Type = standard  Memlocks = 1

次の表で、この出力に表示される重要なフィールドを説明します。

表 8. show radius server-groups コマンドのフィールドの説明

フィールド

説明

サーバ グループ

サーバ グループの名前。

Sharecount

このサーバ グループを共有している方式リストの数。たとえば、1 つの方式リストが特定のサーバ グループを使用する場合、sharecount は 1 です。2 つの方式リストが同じサーバ グループを使用する場合、sharecount は 2 です。

sg_unconfigured

サーバ グループが設定解除されました。

タイプ

タイプは、standard または nonstandard のいずれかです。タイプはグループ内のサーバが非標準の属性を受け入れるかどうかを示します。グループ内のすべてのサーバに非標準のオプションが設定されている場合、タイプは「nonstandard」と表示されます。

Memlocks

メモリ内にあるサーバ グループ構造の内部参照の数。この数は、このサーバ グループへの参照を保持している内部データ構造パケットまたはトランザクションがいくつあるかを表します。Memlocks はメモリ管理のために内部的に使用されます。

show storm-control

スイッチまたは指定のインターフェイス上で、ブロードキャスト、マルチキャストまたはユニキャスト ストーム制御の設定を表示する、またはストーム制御の履歴を表示するには、ユーザ EXEC モードで show storm-control コマンドを使用します。

show storm-control [ interface-id ] [ broadcast | multicast | unicast ]

構文の説明

interface-id

(任意)物理ポートのインターフェイス ID(タイプ、スタック構成可能なスイッチのスタック メンバ、モジュール、ポート番号を含む)。
broadcast

(任意)ブロードキャスト ストームのしきい値設定を表示します。
multicast

(任意)マルチキャスト ストームのしきい値設定を表示します。
unicast

(任意)ユニキャスト ストームのしきい値設定を表示します。

コマンド モード

ユーザ EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

インターフェイス ID を入力すると、指定されたインターフェイスのストーム制御しきい値が表示されます。

インターフェイス ID を入力しない場合、スイッチ上のすべてのポートに対して 1 つのトラフィック タイプの設定が表示されます。

トラフィック タイプを入力しない場合は、ブロードキャスト ストーム制御の設定が表示されます。

次の例では、キーワードを指定せずに入力した show storm-control コマンドの出力の一部を示します。トラフィック タイプのキーワードが入力されてないため、ブロードキャスト ストーム制御の設定が表示されます。 

Device> show storm-control
Interface Filter State  Upper      Lower     Current
--------- ------------- ---------- --------- ---------
Gi1/0/1   Forwarding    20 pps     10 pps    5 pps
Gi1/0/2   Forwarding    50.00%     40.00%    0.00%
<output truncated>

次の例では、指定されたインターフェイスの show storm-control コマンドの出力を示します。トラフィック タイプのキーワードが入力されてないため、ブロードキャスト ストーム制御の設定が表示されます。 

Device> show storm-control gigabitethernet 1/0/1
Interface Filter State  Upper      Lower     Current
--------- ------------- ---------- --------- ---------
Gi1/0/1 		Forwarding 			20 pps 			 10 pps    5 pps

次の表に、show storm-control の出力に表示されるフィールドの説明を示します。

表 9. show storm-control のフィールドの説明
フィールド 説明

インターフェイス

インターフェイスの ID を表示します。

Filter State

フィルタのステータスを表示します。

  • blocking:ストーム制御はイネーブルであり、ストームが発生しています。

  • forwarding:ストーム制御はイネーブルであり、ストームは発生していません。

  • Inactive:ストーム制御はディセーブルです。

Upper

上限抑制レベルを利用可能な全帯域幅のパーセンテージとして、毎秒のパケット数または毎秒のビット数で表示します。

Lower

下限抑制レベルを利用可能な全帯域幅のパーセンテージとして、毎秒のパケット数または毎秒のビット数で表示します。

Current

ブロードキャスト トラフィックまたは指定されたトラフィック タイプ(ブロードキャスト、マルチキャスト、ユニキャスト)の帯域幅の使用状況を、利用可能な全帯域幅のパーセンテージで表示します。このフィールドは、ストーム制御がイネーブルの場合だけ有効です。

show vlan access-map

特定の VLAN アクセス マップまたはすべての VLAN アクセス マップに関する情報を表示するには、特権 EXEC モードで show vlan access-map コマンドを使用します。

show vlan access-map [ map-name ]

構文の説明

map-name

(任意)特定の VLAN アクセス マップ名。

コマンド デフォルト

なし

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例では、show vlan access-map コマンドの出力を示します。 

Device# show vlan access-map
Vlan access-map "vmap4"  10
  Match clauses:
    ip  address: al2
  Action:
    forward
Vlan access-map "vmap4"  20
  Match clauses:
    ip  address: al2
  Action:
    forward

show vlan filter

すべての VLAN フィルタ、または特定の VLAN または VLAN アクセス マップに関する情報を表示するには、特権 EXEC モードで show vlan filter コマンドを使用します。

show vlan filter { access-map name | vlan vlan-id }

構文の説明

access-map name

(任意)指定された VLAN アクセス マップのフィルタリング情報を表示します。
vlan vlan-id

(任意)指定された VLAN のフィルタリング情報を表示します。指定できる範囲は 1 ~ 4094 です。

コマンド デフォルト

なし

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

次の例では、show vlan filter コマンドの出力を示します。 

Device# show vlan filter
VLAN Map map_1 is filtering VLANs:
  20-22

show vlan group

VLAN グループにマッピングされている VLAN を表示するには、特権 EXEC モードで show vlan group コマンドを使用します。

show vlan group [ group-name vlan-group-name [user_count] ]

構文の説明

group-name vlan-group-name

(任意)指定した VLAN グループにマッピングされている VLAN を表示します。
user_count

(任意)特定の VLAN グループにマッピングされている各 VLAN のユーザ数を表示します。

コマンド デフォルト

なし

コマンド モード

特権 EXEC

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

show vlan group コマンドは既存の VLAN グループを表示し、各 VLAN グループのメンバである VLAN および VLAN の範囲を示します。group-name キーワードを入力すると、指定した VLAN グループのメンバのみが表示されます。

次の例では、特定の VLAN グループのメンバを表示する方法を示します。

Device# show vlan group group-name group2 
vlan group group1 :40-45

次に、グループ内の各 VLAN のユーザ数を表示する例を示します。

Device# show vlan group group-name group2 user_count
  VLAN     : Count
-------------------
  40        : 5
  41        : 8
  42        : 12
  43        : 2
  44        : 9
  45        : 0

storm-control

ブロードキャスト、マルチキャスト、またはユニキャスト ストーム制御をイネーブルにして、インターフェイスのしきい値レベルを設定するには、インターフェイス コンフィギュレーション モードで storm-control コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

storm-control { action { shutdown | trap } | { broadcast | multicast | unicast } level { level [ level-low ] | bps bps [ bps-low ] | pps pps [ pps-low ] } }

no storm-control { action { shutdown | trap } | { broadcast | multicast | unicast } level }

構文の説明

action

ポートでストームが発生した場合に実行されるアクションを指定します。デフォルト アクションは、トラフィックをフィルタリングし、簡易ネットワーク管理プロトコル(SNMP)トラップを送信しません。

shutdown

ストームの間、ポートをディセーブルにします。

trap

ストームが発生した場合に SNMP トラップを送信します。

broadcast

インターフェイス上でブロードキャスト ストーム制御をイネーブルにします。

multicast

インターフェイス上でマルチキャスト ストーム制御をイネーブルにします。

unicast

インターフェイス上でユニキャスト ストーム制御をイネーブルにします。

level

上限および下限抑制レベルをポートの全帯域幅の割合で指定します。

level

上限抑制レベル(小数点以下第 2 位まで)。指定できる範囲は 0.00 ~ 100.00 です。指定した level の値に達した場合、ストーム パケットのフラッディングをブロックします。

level-low

(任意)下限抑制レベル(小数点以下第 2 位まで)。指定できる範囲は 0.00 ~ 100.00 です。この値は上限抑制値より小さいか、または等しくなければなりません。下限抑制レベルを設定しない場合、上限抑制レベルの値に設定されます。

level bps

上限および下限抑制レベルを、ポートで受信するトラフィックの速度(ビット/秒)で指定します。

bps

上限抑制レベル(小数点以下第 1 位まで)。指定できる範囲は 0.0 ~ 10000000000.0 です。指定した bps の値に達した場合、ストーム パケットのフラッディングをブロックします。

大きい数値のしきい値には、k、m、g などのメトリック サフィクスを使用できます。

bps-low

(任意)下限抑制レベル(小数点以下第 1 位まで)。指定できる範囲は 0.0 ~ 10000000000.0 です。この値は上限抑制値に等しいか、または小さくなければなりません。

大きい数値のしきい値には、k、m、g などのメトリック サフィクスを使用できます。

level pps

上限および下限抑制レベルを、ポートで受信するトラフィックの速度(パケット/秒)で指定します。

pps

上限抑制レベル(小数点以下第 1 位まで)。指定できる範囲は 0.0 ~ 10000000000.0 です。指定した pps の値に達した場合、ストーム パケットのフラッディングをブロックします。

大きい数値のしきい値には、k、m、g などのメトリック サフィクスを使用できます。

pps-low

(任意)下限抑制レベル(小数点以下第 1 位まで)。指定できる範囲は 0.0 ~ 10000000000.0 です。この値は上限抑制値に等しいか、または小さくなければなりません。

大きい数値のしきい値には、k、m、g などのメトリック サフィクスを使用できます。

コマンド デフォルト

ブロードキャスト、マルチキャスト、およびユニキャスト ストーム制御はディセーブルです。

デフォルト アクションは、トラフィックをフィルタリングし、SNMP トラップを送信しません。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

ストーム制御抑制レベルは、ポートの全帯域幅の割合、またはトラフィックを受信する速度(1 秒あたりのパケット数、または 1 秒あたりのビット数)で入力できます。

全帯域幅の割合で指定した場合、100% の抑制値は、指定したトラフィック タイプに制限が設定されていないことを意味します。level 0 0 の値は、ポート上のすべてのブロードキャスト、マルチキャスト、またはユニキャスト トラフィックをブロックします。ストーム制御は、上限抑制レベルが 100% 未満の場合にだけイネーブルになります。他のストーム制御設定が指定されていない場合、デフォルト アクションは、ストームの原因となっているトラフィックをフィルタリングし、SNMP トラップを送信しません。


(注)  

マルチキャスト トラフィックのストーム制御しきい値に達した場合、ブリッジ プロトコル データ ユニット(BPDU)および Cisco Discovery Protocol(CDP)フレームなどの制御トラフィック以外のマルチキャスト トラフィックはすべてブロックされます。ただし、スイッチは、Open Shortest Path First(OSPF)および通常のマルチキャスト データ トラフィック間のように、ルーティング アップデート間を区別しないため、両方のタイプのトラフィックがブロックされます。

trap および shutdown オプションは、互いに独立しています。

パケット ストームが検出されたときにシャットダウンを行う(ストームの間、ポートが error-disabled になる)ようにアクションを設定する場合、インターフェイスをこのステートから解除するには no shutdown インターフェイス コンフィギュレーション コマンドを使用する必要があります。shutdown アクションを指定しない場合、アクションを trap (ストーム検出時にスイッチがトラップを生成する)に指定してください。

ストームが発生し、実行されるアクションがトラフィックのフィルタリングである場合、下限抑制レベルが指定されていないと、トラフィック レートが上限抑制レベルより低くなるまでスイッチはすべてのトラフィックをブロックします。下限抑制レベルが指定されている場合、トラフィック レートがこのレベルより低くなるまでスイッチはトラフィックをブロックします。


(注)  

ストーム制御は、物理インターフェイスでサポートされています。また、EtherChannel でもストーム制御を設定できます。ストーム制御を EtherChannel で設定する場合、ストーム制御設定は EtherChannel 物理インターフェイスに伝播します。

ブロードキャスト ストームが発生し、実行されるアクションがトラフィックのフィルタである場合、スイッチはブロードキャスト トラフィックだけをブロックします。

詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、75.5% の上限抑制レベルでブロードキャスト ストーム制御をイネーブルにする方法を示します。

Device(config-if)# storm-control broadcast level 75.5

次の例では、87% の上限抑制レベルと 65% の下限抑制レベルのポートでユニキャスト ストーム制御をイネーブルにする方法を示します。

Device(config-if)# storm-control unicast level 87 65

次の例では、2000 パケット/秒の上限抑制レベルと 1000 パケット/秒の下限抑制レベルのポートでマルチキャスト ストーム制御をイネーブルにする方法を示します。

Device(config-if)# storm-control multicast level pps 2k 1k

次の例では、ポートで shutdown アクションをイネーブルにする方法を示します。 

Device(config-if)# storm-control action shutdown

設定を確認するには、show storm-control 特権 EXEC コマンドを入力します。

switchport port-security aging

セキュア アドレス エントリのエージング タイムおよびタイプを設定する、または特定のポートのセキュア アドレスのエージング動作を変更するには、インターフェイス コンフィギュレーション モードで switchport port-security aging コマンドを使用します。ポート セキュリティ エージングをディセーブルにする、またはパラメータをデフォルトの状態に設定するには、このコマンドの no 形式を使用します。

switchport port-security aging { static | time time | type { absolute | inactivity } }

no switchport port-security aging { static | time | type }

構文の説明

static

このポートに静的に設定されたセキュア アドレスのエージングをイネーブルにします。

time time

このポートのエージング タイムを指定します。指定できる範囲は 0 ~ 1440 分です。time が 0 の場合、このポートのエージングはディセーブルです。

type

エージング タイプを設定します。

absolute

absolute エージング タイプを設定します。このポートのすべてのセキュア アドレスは、指定された時間(分)が経過した後に期限切れとなり、セキュア アドレス リストから削除されます。

inactivity

inactivity エージング タイプを設定します。指定された時間内にセキュア送信元アドレスからのデータ トラフィックがない場合だけ、このポートのセキュア アドレスが期限切れになります。

コマンド デフォルト

ポート セキュリティ エージング機能はディセーブルです。デフォルトの時間は 0 分です。

デフォルトのエージング タイプは absolute です。

デフォルトのスタティック エージング動作はディセーブルです。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

特定のポートのセキュア アドレス エージングをイネーブルにするには、ポート エージング タイムを 0 以外の値に設定します。

特定のセキュア アドレスに時間を限定してアクセスできるようにするには、エージング タイプを absolute に設定します。エージング タイムの期限が切れると、セキュア アドレスが削除されます。

継続的にアクセスできるセキュア アドレス数を制限するには、エージング タイプを inactivity に設定します。このようにすると、非アクティブになったセキュア アドレスが削除され、他のアドレスがセキュアになることができます。

セキュア アドレスへのアクセス制限を解除するには、セキュア アドレスとして設定し、no switchport port-security aging static インターフェイス コンフィギュレーション コマンドを使用して、静的に設定されたセキュア アドレスのエージングをディセーブルにします。

次の例では、ポートのすべてのセキュア アドレスに対して、エージング タイプを absolute、エージング タイムを 2 時間に設定します。

Device(config)# interface gigabitethernet1/0/1
Device(config-if)# switchport port-security aging time 120

次の例では、ポートに設定されたセキュア アドレスに対して、エージング タイプを inactivity、エージング タイムを 2 分に設定します。

Device(config)# interface gigabitethernet1/0/2
Device(config-if)# switchport port-security aging time 2 
Device(config-if)# switchport port-security aging type inactivity 
Device(config-if)# switchport port-security aging static

次の例では、設定されたセキュア アドレスのエージングをディセーブルにする方法を示します。

Device(config)# interface gigabitethernet1/0/2
Device(config-if)# no switchport port-security aging static

switchport port-security mac-address

セキュア MAC アドレスまたはスティッキ MAC アドレス ラーニングを設定するには、switchport port-security mac-address インターフェイス コンフィギュレーション コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

switchport port-security mac-address { mac-address [ vlan { vlan-id { access | voice } } ] | sticky [ mac-address | vlan { vlan-id { access | voice } } ] }

no switchport port-security mac-address { mac-address [ vlan { vlan-id { access | voice } } ] | sticky [ mac-address | vlan { vlan-id { access | voice } } ] }

構文の説明

mac-address

48 ビット MAC アドレスの入力によって指定するインターフェイスのセキュア MAC アドレス。設定された最大数まで、セキュア MAC アドレスを追加できます。

vlan vlan-id

(任意)トランク ポート上でだけ、VLAN ID および MAC アドレスを指定します。VLAN ID を指定しない場合は、ネイティブ VLAN が使用されます。

vlan access

(任意)アクセス ポートでだけ、VLAN をアクセス VLAN として指定します。

vlan voice

(任意)アクセス ポートでだけ、VLAN を音声 VLAN として指定します。

(注)   

voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合に限り利用可能です。

sticky

スティッキ ラーニングのインターフェイスをイネーブルにします。スティッキ ラーニングをイネーブルにすると、インターフェイスは動的に学習したすべてのセキュア MAC アドレスを実行コンフィギュレーションに追加して、これらのアドレスをスティッキ セキュア MAC アドレスに変換します。

mac-address

(任意)スティッキ セキュア MAC アドレスを指定する MAC アドレス。

コマンド デフォルト

セキュア MAC アドレスは設定されていません。

スティッキ ラーニングはディセーブルです。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

セキュア ポートに関する制限事項は、次のとおりです。

  • セキュア ポートはアクセス ポートまたはトランク ポートにすることはできますが、ダイナミック アクセス ポートには設定できません。

  • セキュア ポートはルーテッド ポートにはできません。

  • セキュア ポートは保護ポートにはできません。

  • セキュア ポートをスイッチド ポート アナライザ(SPAN)の宛先ポートにすることはできません。

  • セキュア ポートをギガビットまたは 10 ギガビット EtherChannel ポート グループに含めることはできません。

  • 音声 VLAN では、スタティック セキュアまたはスティッキ セキュア MAC アドレスを設定できません。

  • 音声 VLAN が設定されたインターフェイス上でポート セキュリティをイネーブルにする場合は、ポートの最大セキュア アドレス許容数を 2 に設定します。ポートを Cisco IP Phone に接続する場合は、IP Phone に MAC アドレスが 1 つ必要です。Cisco IP Phone のアドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上では学習されません。1 台の PC を Cisco IP Phone に接続する場合、MAC アドレスの追加は必要ありません。2 台以上の PC を Cisco IP Phone に接続する場合、各 PC に 1 つ、さらに Cisco IP Phone に 1 つ割り当てるよう十分なセキュア アドレスを設定する必要があります。

  • 音声 VLAN はアクセス ポート上でだけサポートされます。トランク ポート上ではサポートされません。

スティッキ セキュア MAC アドレスには、次の特性があります。

  • switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用して、インターフェイス上でスティッキ ラーニングをイネーブルにした場合、インターフェイスはすべてのダイナミック セキュア MAC アドレス(スティッキ ラーニングがイネーブルになる前に動的に学習されたアドレスを含む)を、スティッキ セキュア MAC アドレスに変換し、すべてのスティッキ セキュア MAC アドレスを実行コンフィギュレーションに追加します。

  • no switchport port-security mac-address sticky インターフェイス コンフィギュレーション コマンドを使用して、スティッキ ラーニングをディセーブルする場合、または実行コンフィギュレーションを削除する場合は、スティッキ セキュア MAC アドレスは実行コンフィギュレーションの一部に残りますが、アドレス テーブルからは削除されます。削除されたアドレスはダイナミックに再設定することができ、ダイナミック アドレスとしてアドレス テーブルに追加されます。

  • switchport port-security mac-address sticky mac-address インターフェイス コンフィギュレーション コマンドを使用して、スティッキ セキュア MAC アドレスを設定する場合、これらのアドレスはアドレス テーブルおよび実行コンフィギュレーションに追加されます。ポート セキュリティがディセーブルの場合、スティッキ セキュア MAC アドレスは実行コンフィギュレーションに残ります。

  • スティッキ セキュア MAC アドレスがコンフィギュレーション ファイルに保存されていると、スイッチの再起動時、またはインターフェイスのシャットダウン時に、インターフェイスはこれらのアドレスを再学習しなくてすみます。スティッキ セキュア アドレスを保存しない場合、アドレスは失われます。スティッキ ラーニングがディセーブルの場合、スティッキ セキュア MAC アドレスはダイナミック セキュア アドレスに変換され、実行コンフィギュレーションから削除されます。

  • スティッキ ラーニングをディセーブルにして、switchport port-security mac-address sticky mac-address インターフェイス コンフィギュレーション コマンドを入力した場合、エラー メッセージが表示され、スティッキ セキュア MAC アドレスは実行コンフィギュレーションに追加されません。

設定を確認するには、show port-security 特権 EXEC コマンドを入力します。

次の例では、ポートでセキュア MAC アドレスと VLAN ID を設定する方法を示します。

Device(config)# interface gigabitethernet 2/0/2
Device(config-if)# switchport mode trunk
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security mac-address 1000.2000.3000 vlan 3

次の例では、スティッキ ラーニングをイネーブルにして、ポート上で 2 つのスティッキ セキュア MAC アドレスを入力する方法を示します。

Device(config)# interface gigabitethernet 2/0/2
Device(config-if)# switchport port-security mac-address sticky 
Device(config-if)# switchport port-security mac-address sticky 0000.0000.4141
Device(config-if)# switchport port-security mac-address sticky 0000.0000.000f

switchport port-security maximum

セキュア MAC アドレスの最大数を設定するには、インターフェイス コンフィギュレーション モードで switchport port-security maximum コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

switchport port-security maximum value [ vlan [ vlan-list | [ access | voice ] ] ]

no switchport port-security maximum value [ vlan [ vlan-list | [ access | voice ] ] ]

構文の説明

value

インターフェイスのセキュア MAC アドレスの最大数を設定します。

デフォルトの設定は 1 秒です。

vlan

(任意)トランク ポートの場合、VLAN ごとまたは一定範囲の VLAN のセキュア MAC アドレスの最大数を設定します。vlan キーワードが入力されていない場合、デフォルト値が使用されます。

vlan-list

(任意)カンマで区切られた VLAN の範囲またはハイフンで区切られた一連の VLAN。VLAN を指定しない場合、VLAN ごとの最大値が使用されます。

access

(任意)アクセス ポートでだけ、VLAN をアクセス VLAN として指定します。

voice

(任意)アクセス ポートでだけ、VLAN を音声 VLAN として指定します。

(注)   

voice キーワードは、音声 VLAN がポートに設定されていて、さらにそのポートがアクセス VLAN でない場合のみ有効です。

コマンド デフォルト

ポート セキュリティをイネーブルにしてキーワードを入力しない場合、デフォルトのセキュア MAC アドレスの最大数は 1 です。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

スイッチまたはスイッチ スタックに設定できるセキュア MAC アドレスの最大数は、システムで許可されている MAC アドレスの最大数によって決まります。この数字はアクティブな Switch Database Management(SDM)テンプレートによって決められます。sdm prefer コマンドを参照してください。この数字は、インターフェイスで設定された他のレイヤ 2 機能やその他のセキュア MAC アドレスなど、利用可能な MAC アドレスの合計数を示します。

セキュア ポートに関する制限事項は、次のとおりです。

  • セキュア ポートはアクセス ポートまたはトランク ポートにすることができます。

  • セキュア ポートはルーテッド ポートにはできません。

  • セキュア ポートは保護ポートにはできません。

  • セキュア ポートをスイッチド ポート アナライザ(SPAN)の宛先ポートにすることはできません。

  • セキュア ポートをギガビットまたは 10 ギガビット EtherChannel ポート グループに含めることはできません。

  • 音声 VLAN が設定されたインターフェイス上でポート セキュリティをイネーブルにする場合は、ポートの最大セキュア アドレス許容数を 2 に設定します。ポートを Cisco IP Phone に接続する場合は、IP Phone に MAC アドレスが 1 つ必要です。Cisco IP Phone のアドレスは音声 VLAN 上で学習されますが、アクセス VLAN 上では学習されません。1 台の PC を Cisco IP Phone に接続する場合、MAC アドレスの追加は必要ありません。2 台以上の PC を Cisco IP Phone に接続する場合、各 PC に 1 つ、さらに Cisco IP Phone に 1 つ割り当てるよう十分なセキュア アドレスを設定する必要があります。

    音声 VLAN はアクセス ポート上でだけサポートされます。トランク ポート上ではサポートされません。

  • インターフェイスのセキュア アドレスの最大値を入力する場合、新しい値が前回の値より大きいと、新しい値によって前回の設定値が上書きされます。新しい値が前回の値より小さく、インターフェイスで設定されているセキュア アドレス数が新しい値より大きい場合、コマンドは拒否されます。

    アドレスの最大数を 1 に設定し、接続されたデバイスの MAC アドレスを設定すると、確実にデバイスがポートの帯域幅を完全に使用できます。

インターフェイスのセキュア アドレスの最大値を入力すると、次の事象が発生します。

  • 新しい値が前回の値より大きい場合、新しい値によって前回の設定値が上書きされます。

  • 新しい値が前回の値より小さく、インターフェイスで設定されているセキュア アドレス数が新しい値より大きい場合、コマンドは拒否されます。

設定を確認するには、show port-security 特権 EXEC コマンドを入力します。

次の例では、ポートでポート セキュリティをイネーブルにし、セキュア アドレスの最大数を 5 に設定する方法を示します。違反モードはデフォルトで、セキュア MAC アドレスは設定されていません。

Device(config)# interface gigabitethernet 2/0/2
Device(config-if)# switchport mode access
Device(config-if)# switchport port-security
Device(config-if)# switchport port-security maximum 5

switchport port-security violation

セキュア MAC アドレスの違反モード、またはポート セキュリティに違反した場合に実行するアクションを設定するには、インターフェイス コンフィギュレーション モードで switchport port-security violation コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

switchport port-security violation { protect | restrict | shutdown | shutdown vlan }

no switchport port-security violation { protect | restrict | shutdown | shutdown vlan }

構文の説明

protect

セキュリティ違反保護モードを設定します。

restrict

セキュリティ違反制限モードを設定します。

shutdown

セキュリティ違反シャットダウン モードを設定します。

shutdown vlan

VLAN ごとのシャットダウンにセキュリティ違反モードを設定します。

コマンド デフォルト

デフォルトの違反モードは、shutdown です。

コマンド モード

インターフェイス コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

セキュリティ違反保護モードでは、ポートのセキュア MAC アドレス数がポートで許可されている最大数に到達した場合、不明な送信元アドレスのパケットはドロップされます。ドロップすることでセキュア MAC アドレス数を上限よりも少なくするか、許容できるアドレスの最大数を増やさない限り、この状態が続きます。セキュリティ違反が起こっても、ユーザには通知されません。


(注)  

トランク ポート上に保護モードを設定することは推奨できません。保護モードでは、ポートが最大数に達していなくても VLAN が保護モードの最大数に達すると、ラーニングがディセーブルになります。

セキュリティ違反制限モードでは、セキュア MAC アドレス数がポートで許可されている最大数に到達した場合、不明な送信元アドレスのパケットはドロップされます。セキュア MAC アドレス数を上限よりも少なくするか、許容できるアドレスの最大数を増やさない限り、この状態が続きます。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。

セキュリティ違反シャットダウン モードでは、違反が発生し、ポートの LED がオフになると、インターフェイスが errdisable になります。SNMP トラップが送信されます。Syslog メッセージがロギングされ、違反カウンタが増加します。セキュア ポートが error-disabled ステートの場合は、errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力してこのステートから回復させるか、shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力して手動で再びイネーブルにすることができます。

セキュリティ違反モードが VLAN ごとのシャットダウンに設定されると、違反が発生した VLAN のみが errdisable になります。

セキュア ポートに関する制限事項は、次のとおりです。

  • セキュア ポートはアクセス ポートまたはトランク ポートにすることができます。

  • セキュア ポートはルーテッド ポートにはできません。

  • セキュア ポートは保護ポートにはできません。

  • セキュア ポートをスイッチド ポート アナライザ(SPAN)の宛先ポートにすることはできません。

  • セキュア ポートをギガビットまたは 10 ギガビット EtherChannel ポート グループに含めることはできません。

    セキュア MAC アドレスの最大値がアドレス テーブルに存在し、アドレス テーブルに存在しない MAC アドレスを持つステーションがインターフェイスにアクセスしようとした場合、または別のセキュア ポートのセキュア MAC アドレスとして設定された MAC アドレスを持つステーションがインターフェイスにアクセスしようとした場合に、セキュリティ違反が起こります。

    セキュア ポートが errdisable ステートの場合は、errdisable recovery cause psecure-violation グローバル コンフィギュレーション コマンドを入力して、このステートから回復させることができます。shutdown および no shutdown インターフェイス コンフィギュレーション コマンドを入力するか、clear errdisable interface 特権 EXEC コマンドを使用して、ポートを手動で再びイネーブルにすることができます。

設定を確認するには、show port-security 特権 EXEC コマンドを入力します。

次の例では、MAC セキュリティ違反が発生した場合に VLAN のみをシャットダウンするようポートを設定する方法を示します。

Device(config)# interface gigabitethernet2/0/2
Device(config)# switchport port-security violation shutdown vlan

tacacs server

IPv6 または IPv4 用に TACACS+ サーバを設定し、TACACS+ サーバ コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで tacacs server コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。

tacacs server name

no tacacs server

構文の説明

name

プライベート TACACS+ サーバ ホストの名前。

コマンド デフォルト

TACACS+ サーバは構成されていません。

コマンド モード


グローバル コンフィギュレーション(config)

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

tacacs server コマンドは、name 引数を使用して TACACS サーバを設定し、TACACS+ サーバ コンフィギュレーション モードを開始します。設定が完了し、TACACS+ サーバ コンフィギュレーション モードを終了すると、設定が適用されます。

次の例は、名前 server1 を使用して TACACS サーバを設定し、さらに設定を行うために TACACS+ サーバ コンフィギュレーション モードを開始する方法を示しています。


Device(config)# tacacs server server1
Device(config-server-tacacs)#

関連コマンド

Command

Description

address ipv6 (TACACS+)

TACACS+ サーバの IPv6 アドレスを設定します。

key (TACACS+)

TACACS+ サーバでサーバ単位の暗号キーを設定します。

port (TACACS+)

TACACS+ 接続に使用する TCP ポートを指定します。

send-nat-address (TACACS+)

クライアントの NAT 後のアドレスを TACACS+ サーバに送信します。

single-connection (TACACS+)

単一の TCP 接続を使用してすべての TACACS パケットを同じサーバに送信できるようにします。

timeout (TACACS+)

指定された TACACS サーバからの応答を待機する時間を設定します。

tracking(IPv6 スヌーピング)

ポートでデフォルトのトラッキング ポリシーを上書きするには、IPv6 スヌーピング ポリシー コンフィギュレーション モードで tracking コマンドを使用します。

tracking { enable [ reachable-lifetime { value| infinite }] | disable [ stale-lifetime { value| infinite }

構文の説明

enable

トラッキングをイネーブルにします。
reachable-lifetime

(任意)到達可能という証明がない状態で、到達可能なエントリが直接的または間接的に到達可能であると判断される最大時間を指定します。

  • reachable-lifetime キーワードを使用できるのは、enable キーワードが指定されている場合のみです。

  • reachable-lifetime キーワードを使用すると、 ipv6 neighbor binding reachable-lifetime コマンドで設定されたグローバルな到達可能ライフタイムが上書きされます。

value

秒単位のライフタイム値。指定できる範囲は 1 ~ 86400 で、デフォルトは 300 です。
infinite

エントリを無限に到達可能状態またはステイル状態に維持します。
disable

トラッキングをディセーブルにします。
stale-lifetime

(任意)時間エントリをステイル状態に維持します。これによりグローバルの stale-lifetime 設定が上書きされます。

  • ステイル ライフタイムは 86,400 秒です。

  • stale-lifetime キーワードを使用できるのは、disable キーワードが指定されている場合のみです。

  • stale-lifetime キーワードを使用すると、ipv6 neighbor binding stale-lifetime コマンドで設定されたグローバルなステイル ライフタイムが上書きされます。

コマンド デフォルト

時間のエントリは到達可能な状態に維持されます。

コマンド モード

IPv6 スヌーピング コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

tracking コマンドは、このポリシーが適用されるポート上で ipv6 neighbor tracking コマンドによって設定されたデフォルトのトラッキング ポリシーに優先します。この機能は、たとえば、エントリを追跡しないが、バインディング テーブルにエントリを残して盗難を防止する場合などに、信頼できるポート上で有用です。

reachable-lifetime キーワードは、到達可能という証明がない状態で、あるエントリがトラッキングにより直接的に、または IPv6 スヌーピングにより間接的に到達可能であると判断される最大時間を示します。reachable-lifetime 値に到達すると、エントリはステイル状態に移行します。tracking コマンドで reachable-lifetime キーワードを使用すると、ipv6 neighbor binding reachable-lifetime コマンドで設定されたグローバルな到達可能ライフタイムが上書きされます。

stale-lifetime キーワードは、エントリが削除されるか、直接または間接的に到達可能であると証明される前にテーブルに保持される最大時間です。tracking コマンドで reachable-lifetime キーワードを使用すると、ipv6 neighbor binding stale-lifetime コマンドで設定されたグローバルなステイル ライフタイムが上書きされます。

次に、IPv6 スヌーピングポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、エントリを信頼できるポート上で無限にバインディング テーブルに保存するように設定する例を示します。


Device(config)# ipv6 snooping policy policy1
Device(config-ipv6-snooping)# tracking disable stale-lifetime infinite

trusted-port

あるポートを信頼できるポートとして設定するには、IPv6 スヌーピング ポリシー モードまたは ND 検査ポリシー コンフィギュレーション モードで trusted-port コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

trusted-port

no trusted-port

構文の説明

このコマンドには引数またはキーワードはありません。

コマンド デフォルト

どのポートも信頼されていません。

コマンド モード

ND インスペクション ポリシーの設定

IPv6 スヌーピング コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

trusted-port コマンドをイネーブルにすると、メッセージがこのポリシーを持つポートで受信された場合、限定的に実行されるか、まったく実行されません。ただし、アドレス スプーフィングから保護するために、メッセージは伝送するバインディング情報の使用によってバインディング テーブルを維持できるように分析されます。これらのポートで検出されたバインディングは、信頼できるものとして設定されていないポートから受信したバインディングよりも信頼性が高いものと見なされます。

次に、NDP ポリシー名を policy1 と定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートを信頼するように設定する例を示します。


Device(config)# ipv6  nd inspection  policy1
Device(config-nd-inspection)# trusted-port

次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートを信頼するように設定する例を示します。


Device(config)# ipv6 snooping policy policy1
Device(config-ipv6-snooping)# trusted-port

vlan access-map

VLAN パケット フィルタリング用の VLAN マップ エントリを作成または修正し、VLAN アクセス マップ コンフィギュレーション モードに変更するには、スイッチ スタックまたはスタンドアロン スイッチのグローバル コンフィギュレーション モードで vlan access-map コマンドを使用します。VLAN マップ エントリを削除するには、このコマンドの no 形式を使用します。

vlan access-map name [ number ]

no vlan access-map name [ number ]


(注)  

このコマンドは、LAN ベース フィーチャ セットを実行しているスイッチではサポートされません。

構文の説明

name

VLAN マップ名
number

(任意)作成または変更するマップ エントリのシーケンス番号(0 ~ 65535)。VLAN マップを作成する際にシーケンス番号を指定しない場合、番号は自動的に割り当てられ、10 から開始して 10 ずつ増加します。この番号は、VLAN アクセス マップ エントリに挿入するか、または VLAN アクセス マップ エントリから削除する順番です。

コマンド デフォルト

VLAN に適用する VLAN マップ エントリまたは VLAN マップはありません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

グローバル コンフィギュレーション モードでは、このコマンドは VLAN マップを作成または修正します。このエントリは、モードを VLAN アクセス マップ コンフィギュレーションに変更します。match アクセス マップ コンフィギュレーション コマンドを使用して、照合する IP または非 IP トラフィックのアクセス リストを指定できます。また、action コマンドを使用して、この照合によりパケットを転送またはドロップするかどうかを設定します。

VLAN アクセス マップ コンフィギュレーション モードでは、次のコマンドが利用できます。

  • action :実行するアクションを設定します(転送またはドロップ)。

  • default :コマンドをデフォルト値に設定します。

  • exit :VLAN アクセス マップ コンフィギュレーション モードを終了します。

  • match :照合する値を設定します(IP アドレスまたは MAC アドレス)。

  • no コマンドを無効にするか、デフォルト値を設定します。

エントリ番号(シーケンス番号)を指定しない場合、マップの最後に追加されます。

VLAN ごとに VLAN マップは 1 つだけ設定できます。VLAN マップは、VLAN でパケットを受信すると適用されます。

シーケンス番号を指定して no vlan access-map name [number] コマンドを使用すると、エントリを個別に削除できます。

VLAN マップを 1 つまたは複数の VLAN に適用するには、vlan filter インターフェイス コンフィギュレーション コマンドを使用します。

VLAN マップ エントリの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、vac1 という名の VLAN マップを作成し、一致条件とアクションをその VLAN マップに適用する方法を示します。他のエントリがマップに存在しない場合、これはエントリ 10 になります。

Device(config)# vlan access-map vac1
Device(config-access-map)# match ip address acl1
Device(config-access-map)# action forward

次の例では、VLAN マップ vac1 を削除する方法を示します。

Device(config)# no vlan access-map vac1

vlan filter

1 つ以上の VLAN に VLAN マップを適用するには、スイッチ スタックまたはスタンドアロン スイッチ上で、グローバル コンフィギュレーション モードで vlan filter コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。

vlan filter mapname vlan-list { リスト | all }

no vlan filter mapname vlan-list { リスト | all }


(注)  

このコマンドは、LAN ベース フィーチャ セットを実行しているスイッチではサポートされません。

構文の説明

mapname

VLAN マップ エントリ名
vlan-list

マップを適用する VLAN を指定します。
リスト

tt、uu-vv、xx、および yy-zz 形式での 1 つまたは複数の VLAN リスト。カンマとダッシュの前後のスペースは任意です。指定できる範囲は 1 ~ 4094 です。
all

マップをすべての VLAN に追加します。

コマンド デフォルト

VLAN フィルタはありません。

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

パケットを誤って過剰にドロップし、設定プロセスの途中で接続が無効になることがないように、VLAN アクセス マップを完全に定義してから VLAN に適用することを推奨します。

VLAN マップ エントリの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。

次の例では、VLAN マップ エントリ map1 を VLAN 20 および 30 に適用します。

Device(config)# vlan filter map1 vlan-list 20, 30

次の例では、VLAN マップ エントリ map1 を VLAN 20 から削除する方法を示します。

Device(config)# no vlan filter map1 vlan-list 20

設定を確認するには、show vlan filter 特権 EXEC コマンドを入力します。

vlan group

VLAN グループを作成または変更するには、グローバル コンフィギュレーション モードで vlan group コマンドを使用します。VLAN グループから VLAN リストを削除するには、このコマンドの no 形式を使用します。

vlan group group-name vlan-list vlan-list

no vlan group group-name vlan-list vlan-list

構文の説明

group-name

VLAN グループの名前。名前は最大 32 文字で、文字から始める必要があります。
vlan-list vlan-list

VLAN グループに追加される 1 つ以上の VLAN を指定します。vlan-list 引数には単一の VLAN ID、VLAN ID のリスト、または VLAN ID の範囲を指定できます。複数のエントリはハイフン(-)またはカンマ(,)で区切ります。

コマンド デフォルト

なし

コマンド モード

グローバル コンフィギュレーション

コマンド履歴

リリース

変更内容

Cisco IOS XE 3.2SE

このコマンドが導入されました。

使用上のガイドライン

指定された VLAN グループが存在しない場合、vlan group コマンドはグループを作成し、指定された VLAN リストをそのグループにマッピングします。指定された VLAN グループが存在する場合は、指定された VLAN リストがそのグループにマッピングされます。

vlan group コマンドの no 形式を使用すると、指定された VLAN リストが VLAN グループから削除されます。VLAN グループから最後の VLAN を削除すると、その VLAN グループは削除されます。

最大 100 の VLAN グループを設定でき、1 つの VLAN グループに最大 4094 の VLAN をマッピングできます。

次に、VLAN 7 ~ 9 と 11 を VLAN グループにマッピングする例を示します。

Device(config)# vlan group group1 vlan-list 7-9,11

次の例では、VLAN グループから VLAN 7 を削除する方法を示します。

Device(config)# no vlan group group1 vlan-list 7