セキュリティ

aaa accounting

RADIUS または TACACS+ を使用する場合に、課金やセキュリティ目的で、要求されたサービスの認証、許可、およびアカウンティング(AAA)アカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで aaa accounting コマンドを使用します。AAA アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting { auth-proxy | system | network | exec | connections | commands level} { default | list-name} { start-stop | stop-only | none} [ broadcast] group group-name

no aaa accounting { auth-proxy | system | network | exec | connections | commands level} { default | list-name} { start-stop | stop-only | none} [ broadcast] group group-name

Syntax Description

auth-proxy すべての認証済みプロキシユーザイベントに関する情報を出力します。
system リロードなどのユーザに関連付けられていないシステムレベルのすべてのイベントのアカウンティングを実行します。
network ネットワークに関連するあらゆるサービス要求にアカウンティングを実行します。
exec

EXEC シェルセッションのアカウンティングを実行します。このキーワードは、autocommand コマンドによって生成される情報などのユーザプロファイル情報を返すことができます。

connection

ネットワーク アクセス サーバから確立されたすべてのアウトバウンド接続に関する情報を提供します。

commands level

指定した特権レベルですべてのコマンドのアカウンティングを実行します。有効な特権レベル エントリは 0 ~ 15 の整数です。

default

この引数のあとにリストされるアカウンティング方式を、アカウンティングサービスのデフォルトリストとして使用します。

list-name

次に記載されているアカウンティング方式のうち、少なくとも 1 つを含むリストの名前を付けるために使用する文字列です:

start-stop

プロセスの開始時に "start" accounting 通知を送信し、プロセスの終了時に "stop" accounting 通知を送信します。"start" アカウンティングレコードはバックグランドで送信されます。要求されたユーザプロセスは、"start" accounting 通知がアカウンティングサーバで受信されたかどうかに関係なく開始されます。

stop-only

要求されたユーザ プロセスの終了時に、"stop" アカウンティング通知を送信します。

none

この回線またはインターフェイスでアカウンティングサービスをディセーブルにします。

broadcast

(任意)複数の AAA サーバへのアカウンティングレコードの送信をイネーブルにします。各グループの最初のサーバに対し、アカウンティング レコードを同時に送信します。最初のサーバが使用できない場合、そのグループ内で定義されたバックアップサーバを使用してフェールオーバーが発生します。

group groupname

「AAA アカウンティングの方式」に記述されているキーワードの 1 つ以上を使用します。

Command Default

AAA アカウンティングはディセーブルです。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

アカウンティングを有効にし、回線別またはインターフェイス別に特定のアカウンティング方式を定義する名前付き方法リストを作成するには、aaa accounting コマンドを使用します。

Table 1. AAA アカウンティング方式

キーワード

説明

group radius

aaa group server radius コマンドで定義されるすべての RADIUS サーバのリストを認証に使用します。

group tacacs+

aaa group server tacacs+ コマンドで定義されるすべての TACACS+ サーバのリストを認証に使用します。

group group-name

group-name サーバグループで定義したように、アカウンティングのための RADIUS サーバまたは TACACS+ サーバのサブセットを使用します。

「AAA アカウンティングの方式」の表では、group radius 方式および group tacacs+ 方式は、以前に定義した一連の RADIUS サーバまたは TACACS+ サーバを参照します。ホストサーバを設定するには、radius server および tacacs server コマンドを使用します。特定のサーバグループを作成するには、 aaa group server radius および aaa group server tacacs+ コマンドを使用します。

Cisco IOS XE ソフトウェアは次の 2 つのアカウンティング方式をサポートします。

  • RADIUS:ネットワーク アクセス サーバは、アカウンティングレコードの形式で RADIUS セキュリティサーバに対してユーザアクティビティを報告します。各アカウンティングレコードにはアカウンティングの Attribute-Value(AV)ペアが含まれ、レコードはセキュリティサーバに格納されます。

  • TACACS+:ネットワーク アクセス サーバは、アカウンティングレコードの形式で TACACS+ セキュリティサーバに対してユーザアクティビティを報告します。各アカウンティングレコードにはアカウンティングの Attribute-Value(AV)ペアが含まれ、レコードはセキュリティサーバに格納されます。

アカウンティングの方式リストは、アカウンティングの実行方法を定義します。名前付きアカウンティング方式リストにより、特定の回線またはインターフェイスで、特定の種類のアカウンティングサービスに使用する特定のセキュリティプロトコルを指定できます。list-name および method を入力してリストを作成します。list-name にはこのリストの名前として使用する任意の文字列(radius や tacacs+ などの方式名を除く)を指定し、method には指定されたシーケンスで試行する方式を指定します。

特定のアカウンティングの種類の aaa accounting コマンドを、名前付き方式リストを指定しないで発行した場合、名前付き方式リストが明示的に定義されているものを除いて、すべてのインターフェイスまたは回線(このアカウンティングの種類が適用される)にデフォルトの方式リストが自動的に適用されます(定義済みの方式リストは、デフォルトの方式リストに優先します)。デフォルトの方式リストが定義されていない場合、アカウンティングは実行されません。


Note


システムアカウンティングでは名前付きアカウンティングリストは使用されず、システムアカウンティングのためのデフォルトのリストだけを定義できます。


最小のアカウンティングの場合、stop-only キーワードを指定して、要求されたユーザプロセスの終了時に stop レコードアカウンティング通知を送信します。詳細なアカウンティングの場合、start-stop キーワードを指定することで、RADIUS または TACACS+ が要求されたプロセスの開始時に start アカウンティング通知を送信し、プロセスの終了時に stop アカウンティング通知を送信するようにできます。アカウンティングは RADIUS または TACACS+ サーバにだけ保存されます。none キーワードは、指定した回線またはインターフェイスのアカウンティングサービスをディセーブルにします。

AAA アカウンティングがアクティブにされると、ネットワークアクセスサーバは、ユーザが実装したセキュリティ方式に応じて、接続に関係する RADIUS アカウンティング属性または TACACS+ AV ペアをモニタします。ネットワークアクセスサーバはこれらの属性をアカウンティングレコードとしてレポートし、アカウンティングレコードはその後セキュリティサーバのアカウンティングログに保存されます。


Note


このコマンドは、TACACS または拡張 TACACS には使用できません。


Examples

次の例では、デフォルトのコマンドアカウンティング方式リストを定義しています。この例のアカウンティングサービスは TACACS+ セキュリティサーバによって提供され、stop-only 制限で特権レベル 15 コマンドに設定されています。

Device> enable
Device# configure terminal
Device(config)# aaa accounting commands 15 default stop-only group TACACS+
Device(config)# exit

次の例では、アカウンティングサービスが TACACS+ セキュリティサーバで提供され、stop-only 制限があるデフォルトの auth-proxy アカウンティング方式リストの定義を示します。aaa accounting コマンドは認証プロキシアカウンティングをアクティブにします。

Device> enable
Device# configure terminal
Device(config)# aaa new model
Device(config)# aaa authentication login default group TACACS+
Device(config)# aaa authorization auth-proxy default group TACACS+
Device(config)# aaa accounting auth-proxy default start-stop group TACACS+
Device(config)# exit

aaa accounting dot1x

認証、認可、およびアカウンティング(AAA)アカウンティングをイネーブルにして、IEEE 802.1X セッションの特定のアカウンティング方式を、回線単位またはインターフェイス単位で定義する方式リストを作成するには aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1X アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}

no aaa accounting dot1x { name | default }

Syntax Description

name

サーバ グループ名。これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。

default

デフォルトリストにあるアカウンティング方式を、アカウンティングサービス用に指定します。

start-stop

プロセスの開始時に start accounting 通知を送信し、プロセスの終了時に stop accounting 通知を送信します。start アカウンティングレコードはバックグラウンドで送信されます。アカウンティング サーバが start accounting 通知を受け取ったかどうかには関係なく、要求されたユーザプロセスが開始されます。

broadcast

複数の AAA サーバに送信されるアカウンティングレコードをイネーブルにして、アカウンティングレコードを各グループの最初のサーバに送信します。最初のサーバが使用できない場合、スイッチはバックアップサーバのリストを使用して最初のサーバを識別します。

group

アカウンティングサービスに使用するサーバグループを指定します。有効なサーバグループ名は次のとおりです。

  • name :サーバグループの名前。

  • radius :すべての RADIUS ホストのリスト。

  • tacacs+ :すべての TACACS+ ホストのリスト。

broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。オプションの group キーワードより多くの値を入力できます。

radius

(任意)RADIUS アカウンティングをイネーブルにします。

tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

Command Default

AAA アカウンティングはディセーブルです。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

このコマンドは、RADIUS サーバへのアクセスが必要です。

インターフェイスに IEEE 802.1X RADIUS アカウンティングを設定する前に、dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。

Examples

次の例では、IEEE 802.1X アカウンティングを設定する方法を示します。


Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa accounting dot1x default start-stop group radius
Device(config)# exit

aaa accounting identity

IEEE 802.1X、MAC 認証バイパス(MAB)、および Web 認証セッションの認証、認可、およびアカウンティング(AAA)アカウンティングをイネーブルにするには、グローバル コンフィギュレーション モードで、aaa accounting identity コマンドを使用します。IEEE 802.1X アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting identity { name | default } start-stop { broadcast group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}

no aaa accounting identity { name | default }

Syntax Description

name

サーバ グループ名。これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。

default

デフォルトリストにあるアカウンティング方式を、アカウンティングサービス用に使用します。

start-stop

プロセスの開始時に start accounting 通知を送信し、プロセスの終了時に stop accounting 通知を送信します。start アカウンティングレコードはバックグラウンドで送信されます。アカウンティングサーバが start アカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザプロセスが開始されます。

broadcast

複数の AAA サーバに送信されるアカウンティングレコードをイネーブルにして、アカウンティングレコードを各グループの最初のサーバに送信します。最初のサーバが利用できない場合、スイッチはバックアップサーバのリストを使用して最初のサーバを識別します。

group

アカウンティングサービスに使用するサーバグループを指定します。有効なサーバグループ名は次のとおりです。

  • name :サーバグループの名前。

  • radius :すべての RADIUS ホストのリスト。

  • tacacs+ :すべての TACACS+ ホストのリスト。

broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。オプションの group キーワードより多くの値を入力できます。

radius

(任意)RADIUS 認証をイネーブルにします。

tacacs+

(任意)TACACS+ アカウンティングをイネーブルにします。

Command Default

AAA アカウンティングはディセーブルです。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

AAA アカウンティング アイデンティティをイネーブルにするには、ポリシー モードをイネーブルにする必要があります。ポリシー モードを有効にするには、特権 EXEC モードで authentication display new-style コマンドを入力します。

Examples

次の例では、IEEE 802.1X アカウンティング アイデンティティを設定する方法を示します。


Device# authentication display new-style

Please note that while you can revert to legacy style
configuration at any time unless you have explicitly
entered new-style configuration, the following caveats
should be carefully read and understood.

(1) If you save the config in this mode, it will be written
    to NVRAM in NEW-style config, and if you subsequently
    reload the router without reverting to legacy config and
    saving that, you will no longer be able to revert.

(2) In this and legacy mode, Webauth is not IPv6-capable. It
    will only become IPv6-capable once you have entered new-
    style config manually, or have reloaded with config saved
    in 'authentication display new' mode.

Device# configure terminal
Device(config)# aaa accounting identity default start-stop group radius
Device(config)# exit

aaa authentication dot1x

IEEE 802.1X 認証に準拠するポートで使用する認証、許可、およびアカウンティング(AAA)方式を指定するには、グローバル コンフィギュレーション モードで aaa authentication dot1x コマンドを使用します。認証を無効にするには、このコマンドの no 形式を使用します。

aaa authentication dot1x { default} method1

no aaa authentication dot1x { default} method1

Syntax Description

default

ユーザがログインするときのデフォルトの方法。この引数に続いてリストされた認証方式が使用されます。

method1

サーバ認証を指定します。認証用にすべての RADIUS サーバの一覧を使用するには、group radius キーワードを入力します。

Note

 

コマンドラインのヘルプストリングには他のキーワードも表示されますが、サポートされるのは default および group radius キーワードのみです。

Command Default

認証は実行されません。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために特定の順序で試みる方式を指定します。IEEE 802.1X に準拠している唯一の方式は、クライアントデータが RADIUS 認証サーバに対して確認される group radius 方式です。

group radius を指定した場合、radius-server host グローバル コンフィギュレーション コマンドを入力して RADIUS サーバを設定する必要があります。

設定された認証方式の一覧を表示するには、show running-config 特権 EXEC コマンドを使用します。

Examples

次の例では AAA をイネーブルにして IEEE 802.1X 準拠の認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試みます。この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。

Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa authentication dot1x default group radius
Device(config)# exit

aaa new-model

認証、認可、およびアカウンティング(AAA)アクセス制御モデルを有効にするには、グローバル コンフィギュレーション モードで aaa new-model コマンドを使用します。AAA アクセス制御モデルを無効にするには、このコマンドの no 形式を使用します。

aaa new-model

no aaa new-model

Syntax Description

このコマンドには引数またはキーワードはありません。

Command Default

AAA が有効になっていません。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

このコマンドにより、AAA アクセス制御システムが有効になります。

仮想端末回線(VTY)に関して login local コマンドが設定されている場合、aaa new-model コマンドを削除するときは、スイッチをリロードしてデフォルト設定または login コマンドを取得する必要があります。スイッチをリロードしない場合、スイッチは、VTY ではデフォルトで login local コマンドに設定されます。


Note


aaa new-model コマンドを削除することは推奨されません。

Examples

次に、AAA を初期化する例を示します。

Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# exit

次に、VTY が設定済みで aaa new-model コマンドが削除された例を示します。
Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# line vty 0 15
Device(config-line)# login local
Device(config-line)# exit
Device(config)# no aaa new-model
Device(config)# exit 
Device# show running-config | b line vty

line vty 0 4
 login local  !<=== Login local instead of "login"
line vty 5 15
 login local
!

authentication host-mode

ポートで認証マネージャモードを設定するには、インターフェイス コンフィギュレーション モードで authentication host-mode コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication host-mode { multi-auth | multi-domain | multi-host | single-host}

no authentication host-mode

Syntax Description

multi-auth

ポートのマルチ認証モード(multi-auth モード)をイネーブルにします。

multi-domain

ポートのマルチドメインモードをイネーブルにします。

multi-host

ポートのマルチホストモードをイネーブルにします。

single-host

ポートのシングルホストモードをイネーブルにします。

Command Default

シングルホストモードがイネーブルにされています。

Command Modes

インターフェイス コンフィギュレーション(config-if)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

接続されているデータ ホストが 1 つだけの場合は、シングルホストモードを設定する必要があります。シングルホストポートでの認証のために音声デバイスを接続しないでください。ポートで音声 VLAN が設定されていないと、音声デバイスの許可が失敗します。

データホストが IP フォン経由でポートに接続されている場合は、マルチドメインモードを設定する必要があります。音声デバイスを認証する必要がある場合は、マルチドメインモードを設定する必要があります。

ハブの背後にデバイスを配置し、それぞれを認証してポートアクセスのセキュリティを確保できるようにするには、マルチ認証モードに設定する必要があります。音声 VLAN が設定されている場合は、このモードで認証できる音声デバイスは 1 つだけです。

マルチホストモードでも、ハブ越しの複数ホストのためのポートアクセスが提供されますが、マルチホストモードでは、最初のユーザが認証された後でデバイスに対して無制限のポートアクセスが与えられます。

Examples

次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 2/0/1
Device(config-if)# authentication host-mode multi-auth
Device(config-if)# end

次の例では、ポートのマルチドメインモードをイネーブルにする方法を示します。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 2/0/1
Device(config-if)# authentication host-mode multi-domain
Device(config-if)# end

次の例では、ポートのマルチホストモードをイネーブルにする方法を示します。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 2/0/1
Device(config-if)# authentication host-mode multi-host
Device(config-if)# end

次の例では、ポートのシングルホストモードをイネーブルにする方法を示します。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 2/0/1
Device(config-if)# authentication host-mode single-host
Device(config-if)# end

設定を確認するには、show authentication sessions interface interface details 特権 EXEC コマンドを入力します。

authentication logging verbose

認証システムメッセージから詳細情報をフィルタリングするには、スイッチスタックまたはスタンドアロンスイッチ上で authentication logging verbose コマンドをグローバル コンフィギュレーション モードで使用します。

authentication logging verbose

no authentication logging verbose

Syntax Description

このコマンドには引数またはキーワードはありません。

Command Default

システムメッセージの詳細ログは有効になっていません。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

このコマンドにより、認証システムメッセージから、予測される成功などの詳細情報がフィルタリングされます。失敗メッセージはフィルタリングされません。

Examples

verbose 認証システムメッセージをフィルタリングするには、次の手順に従います。

Device> enable
Device# configure terminal
Device(config)# authentication logging verbose
Device(config)# exit

設定を確認するには、show running-config 特権 EXEC コマンドを入力します。

authentication mac-move permit

デバイス上での MAC 移動をイネーブルにするには、グローバル コンフィギュレーション モードで authentication mac-move permit コマンドを使用します。MAC 移動をディセーブルにするには、このコマンドの no 形式を使用します。

authentication mac-move permit

no authentication mac-move permit

Syntax Description

このコマンドには引数またはキーワードはありません。

Command Default

MAC 移動は無効になっています。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

このコマンドを使用すると、認証済みホストをデバイス上の認証対応ポート(MAC 認証バイパス(MAB)、802.1X、または Web-auth)間で移動することができます。たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。

MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。

Examples

次の例では、デバイス上で MAC 移動をイネーブルにする方法を示します。

Device> enable
Device# configure terminal
Device(config)# authentication mac-move permit
Device(config)# exit

authentication priority

プライオリティリストに認証方式を追加するには、インターフェイス コンフィギュレーション モードで authentication priority コマンドを使用します。デフォルトに戻るには、no 形式のコマンドを使用します。

authentication priority [ dot1x | mab] { webauth}

no authentication priority [ dot1x | mab] { webauth}

Syntax Description

dot1x

(任意)認証方式の順序に 802.1X を追加します。

mab

(任意)認証方式の順序に MAC 認証バイパス(MAB)を追加します。

webauth

認証方式の順序に Web 認証を追加します。

Command Default

デフォルトのプライオリティは、802.1X 認証、MAC 認証バイパス、Web 認証の順です。

Command Modes

インターフェイス コンフィギュレーション(config-if)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

順序付けでは、デバイスがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。

ポートにフォールバック方式を複数設定するときは、Web 認証(webauth)を最後に設定してください。

異なる認証方式にプライオリティを割り当てることにより、プライオリティの高い方式を、プライオリティの低い進行中の認証方式に割り込ませることができます。


Note


クライアントがすでに認証されている場合に、プライオリティの高い方式の割り込みが発生すると、再認証されることがあります。


認証方式のデフォルトのプライオリティは、実行リストの順序におけるその位置と同じで、802.1X 認証、MAC 認証バイパス(MAB)、Web 認証の順です。このデフォルトの順序を変更するには、キーワード dot1x mab 、および webauth を使用します。

Examples

次の例では、802.1X を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。


Device(config-if)# authentication priority dot1x webauth

次の例では、MAB を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 0/1/2
Device(config-if)# authentication priority mab webauth
Device(config-if)# end

authentication timer reauthenticate

認証マネージャが認証済みポートの再認証を試行する時間間隔を指定するには、インターフェイス コンフィギュレーション モードまたはテンプレート コンフィギュレーション モードで authentication timer reauthenticate コマンドを使用します。再認証間隔をデフォルトにリセットするには、このコマンドの no 形式を使用します。

authentication timer reauthenticate { seconds | server }

no authentication timer reauthenticate

Syntax Description

seconds

再認証試行の間隔(秒)を設定します。範囲は 1 ~ 1073741823 です。デフォルトは 3600 秒です。

server

再認証試行を認証、許可、およびアカウンティング(AAA)サーバーのセッション タイムアウト値(RADIUS 属性 27)で定義することを指定します。

Command Default

自動再認証間隔は 3600 秒に設定されます。

Command Modes

インターフェイス コンフィギュレーション(config-if)

Command History

リリース 変更内容
Cisco IOS XE Everest 16.5.1a

このコマンドが追加されました。

Cisco IOS XE Bengaluru 17.5.1

サポートされるタイムアウト範囲が 65535 秒から 1073741823 秒に増加しました。

Usage Guidelines

許可ポートの自動再認証間隔を設定するには、 authentication timer reauthenticate コマンドを使用します。 authentication timer inactivity コマンドを使用して非アクティブ間隔を設定する場合は、再認証間隔を非アクティブ間隔よりも長くなるように設定します。

Cisco IOS XE Bengaluru 17.5.1 より前のリリースでは、サポートされるタイムアウト範囲は 1 〜 65535 秒です。Cisco IOS XE Bengaluru 17.5.1 からのダウングレード中またはリリース後に、ISSD の破損を回避するために、設定タイムアウトをサポートされている値に設定します。

Examples

次に、ポートの再認証間隔を 1800 秒に設定する例を示します。


Device >enable
Device #configure terminal
Device(config)#interface gigabitethernet2/0/1
Device(config-if)#authentication timer reauthenticate 1800
Device(config-if)#end

authentication violation

新しいデバイスがポートに接続されたとき、または最大数のデバイスがポートに接続されている状態で新しいデバイスがポートに接続されたときに発生する違反モードを設定するには、インターフェイス コンフィギュレーション モードで authentication violation コマンドを使用します。

authentication violation{ protect| replace| restrict| shutdown }

no authentication violation{ protect| replace| restrict| shutdown }

Syntax Description

protect

予期しない着信 MAC アドレスをドロップします。syslog エラーは生成されません。

replace

現在のセッションを削除し、新しいホストによる認証を開始します。

restrict

違反エラーの発生時に Syslog エラーを生成します。

shutdown

エラーによって、予期しない MAC アドレスが発生するポートまたは仮想ポートがディセーブルになります。

Command Default

Authentication violation shutdown モードがイネーブルにされています。

Command Modes

インターフェイス コンフィギュレーション(config-if)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

ポート上でセキュリティ違反が発生したときに実行するアクションを指定するには、authentication violation コマンドを使用します。

Examples

次の例では、新しいデバイスがポートに接続する場合に、errdisable になり、シャットダウンするように IEEE 802.1X 対応ポートを設定する方法を示します。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 2/0/1
Device(config-if)# authentication violation shutdown
Device(config-if)# end

次の例では、新しいデバイスがポートに接続する場合に、システムエラーメッセージを生成して、ポートを制限モードに変更するように 802.1X 対応ポートを設定する方法を示します。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 2/0/1
Device(config-if)# authentication violation restrict
Device(config-if)# end

次の例では、新しいデバイスがポートに接続するときに、そのデバイスを無視するように 802.1X 対応ポートを設定する方法を示します。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 2/0/1
Device(config-if)# authentication violation protect
Device(config-if)# end

次の例では、新しいデバイスがポートに接続するときに、現在のセッションを削除し、新しいデバイスによる認証を開始するように 802.1X 対応ポートを設定する方法を示します。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 2/0/1
Device(config-if)# authentication violation replace
Device(config-if)# end

設定を確認するには、show running-config interface interface-name コマンドを入力します。

cisp enable

デバイス上で Client Information Signalling Protocol(CISP)をイネーブルにして、サプリカントデバイスのオーセンティケータとして機能し、オーセンティケータデバイスのサプリカントとして機能するようにするには、cisp enable グローバル コンフィギュレーション コマンドを使用します。

cisp enable

no cisp enable

Syntax Description

このコマンドには引数またはキーワードはありません。

Command Default

デフォルトの動作や値はありません。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

オーセンティケータとサプリカントデバイスの間のリンクはトランクです。両方のデバイスで VTP をイネーブルにする場合は、VTP ドメイン名が同一であり、VTP モードがサーバである必要があります。

VTP モードを設定する場合に MD5 チェックサムの不一致エラーにならないようにするために、次の点を確認してください。

  • VLAN が異なる 2 台のデバイスに設定されていないこと。同じドメインに VTP サーバが 2 台存在することがこの状態の原因になることがあります。

  • 両方のデバイスで、設定のリビジョン番号が異なっていること。

Examples

次の例では、CISP をイネーブルにする方法を示します。

Device> enable
Device# configure terminal
Device(config)# cisp enable 
Device(config)# exit

clear device-tracking database

デバイストラッキング データベース(バインディングテーブル)エントリを削除し、カウンタ、イベント、およびメッセージをクリアするには、特権 EXEC モードで clear device-tracking コマンドを入力します。

clear device-tracking { counters [ interface inteface_type_no | vlan vlan_id ] | database [ address { hostname | all } [ interface inteface_type_no | policy policy_name | vlan vlan_id ] | interface inteface_type_no [ vlan vlan_id ] | mac mac_address [ interface inteface_type_no | policy policy_name | vlan vlan_id ] | policy policy_name | prefix { prefix | all } [ interface inteface_type_no | policy policy_name | vlan vlan_id ] | vlanid vlan_id ] | events | messages }

Syntax Description

counters

指定されたインターフェイスまたは VLAN のデバイストラッキング カウンタをクリアします。

カウンタは、特権 EXEC コマンドの show device-tracking counters all で表示されます。

interface inteface_type_no

インターフェイスのタイプと番号を入力します。デバイスで使用可能なインターフェイスのタイプを表示するには、疑問符(?)のオンラインヘルプ機能を使用します。

指定したインターフェイスに対してクリアアクションが実行されます。

vlan vlan_id

VLAN ID を入力します。指定した VLAN ID に対してクリアアクションが実行されます。

有効な値の範囲は 1 ~ 4095 です。

database

バインディングテーブルのダイナミックエントリをクリアします。

Note

 
device-tracking binding vlan vlan_id コマンドを使用して設定されたスタティックエントリは削除されません。

テーブル内のすべてのダイナミックエントリを削除することも、必要に応じて特定のインターフェイス、VLAN、ポリシーの 1 つ以上の IP アドレス、MAC アドレス、IPv6 プレフィックス、エントリを指定することもできます。

hostname

クリアアクションを実行するホスト名または IP アドレスを入力します。

all

すべての IP アドレスまたは IPv6 プレフィックスに対してクリアアクションを実行します。

policy policy_name

指定されたポリシーに対してクリアアクションを実行します。ポリシー名を入力します。

mac mac_address

指定された MAC アドレスに対してクリアアクションを実行します。MAC アドレスを入力します。

prefix prefix

指定された IPv6 プレフィックスに対してクリアアクションを実行します。任意のプレフィックスを入力するか、all を入力してすべてのプレフィックスを対象にします。

events

デバイストラッキング イベントの履歴をクリアします。

イベントは、特権 EXEC コマンドの show device-tracking events で表示されます。

messages

デバイストラッキング メッセージの履歴をクリアします。

イベントは、特権 EXEC コマンドの show device-tracking messages で表示されます。

Command Default

データベースエントリは、バインディングエントリのライフサイクルを通過します。

カウンタ:各カウンタは、32 ビットの負ではない整数であり、制限に達するとラップアラウンドします。

イベントおよびメッセージ:255 の制限に達すると、古いものから順に、イベントおよびメッセージが上書きされます。

Command Modes

特権 EXEC(#)

Command History

リリース 変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Examples

次に、バインディングテーブルからすべてのエントリをクリアする例を示します。
Device# show device-tracking database Binding Table has 25 entries, 25 dynamic (limit 200000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   


    Network Layer Address                    Link Layer Address     Interface  vlan       prlvl      age        state      Time left       
ARP 192.0.9.49                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  699 s           
ARP 192.0.9.48                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  691 s           
ARP 192.0.9.47                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  687 s           
ARP 192.0.9.46                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  714 s           
ARP 192.0.9.45                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  692 s           
ARP 192.0.9.44                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  702 s           
ARP 192.0.9.43                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  680 s           
ARP 192.0.9.42                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  708 s           
ARP 192.0.9.41                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  683 s           
ARP 192.0.9.40                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  708 s           
ARP 192.0.9.39                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  710 s           
ARP 192.0.9.38                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  697 s           
ARP 192.0.9.37                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  707 s           
ARP 192.0.9.36                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  695 s           
ARP 192.0.9.35                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  708 s           
ARP 192.0.9.34                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  706 s           
ARP 192.0.9.33                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  683 s           
ARP 192.0.9.32                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  697 s           
ARP 192.0.9.31                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  683 s           
ARP 192.0.9.30                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  678 s           
ARP 192.0.9.29                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  696 s           
ARP 192.0.9.28                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  704 s           
ARP 192.0.9.27                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  713 s           
ARP 192.0.9.26                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  695 s           
ARP 192.0.9.25                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  686 s           

Device# clear device-tracking database

*Dec 13 15:10:22.837: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.49 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.838: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.48 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.838: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.47 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.838: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.46 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.839: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.45 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.839: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.44 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.839: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.43 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.839: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.42 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.840: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.41 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.840: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.40 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.840: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.39 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.841: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.38 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.841: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.37 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.841: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.36 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.842: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.35 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.842: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.34 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.842: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.33 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.842: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.32 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.843: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.31 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.843: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.30 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.843: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.29 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.844: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.28 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.844: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.27 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.844: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.26 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.844: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.25 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF

Device# show device-tracking database 
<no output; binding table cleared>

clear errdisable interface vlan

error-disabled 状態になっていた VLAN を再びイネーブルにするには、特権 EXEC モードで clear errdisable interface コマンドを使用します。

clear errdisable interface interface-id vlan [ vlan-list]

Syntax Description

interface-id

インターフェイスを指定します。

vlan list

(任意)再びイネーブルにする VLAN のリストを指定します。VLAN リストを指定しない場合は、すべての VLAN が再びイネーブルになります。

Command Default

デフォルトの動作や値はありません。

Command Modes

特権 EXEC(#)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

shutdown および no shutdown のインターフェイス コンフィギュレーション コマンドを使用してポートを再びイネーブルにするか、clear errdisable インターフェイスコマンドを使用して VLAN の error-disabled をクリアできます。

Examples

次の例では、ギガビット イーサネット ポート 4/0/2 で errdisable になっているすべての VLAN を再びイネーブルにする方法を示します。


Device# clear errdisable interface gigabitethernet4/0/2 vlan

clear fqdn

完全修飾ドメイン名(FQDN)ローカルキャッシュエントリをクリアするには、特権 EXEC モードで clear fqdn コマンドを使用します。

clear fqdn { database { all | fqdn name [ ip address ] } | packet statistics }

Syntax Description

database {all | fqdn name [ip address]}

FQDN ローカルキャッシュエントリをクリアします。

  • all :すべての FQDN ローカルキャッシュエントリをクリアします。

  • fqdn name [ip address] :指定した FQDN ローカルキャッシュエントリ、または FQDN 名に一致する特定の IP バインディングをクリアします。

packet statistics

すべての FQDN パケット統計情報カウンタを 0 にリセットします。

Command Default

デフォルトの動作や値はありません。

Command Modes

特権 EXEC(#)

Command History

リリース

変更内容

Cisco IOS XE Bengaluru 17.5.1

このコマンドが導入されました。

Examples

次に、すべての FQDN ローカルキャッシュエントリをクリアする例を示します。

Device> enable
Device# clear fqdn database all

次に、FQDN 名に一致する特定の IP バインディングをクリアする例を示します。

Device> enable
Device# clear fqdn database fqdn 123.cisco.com ip 10.102.103.10

clear mac address-table

特定のダイナミックアドレス、特定のインターフェイス上のすべてのダイナミックアドレス、スタックメンバ上のすべてのダイナミックアドレス、または特定の VLAN 上のすべてのダイナミックアドレスを MAC アドレステーブルから削除するには、clear mac address-table コマンドを特権 EXEC モードで使用します。このコマンドはまた MAC アドレス通知グローバル カウンタもクリアします。

clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id] | move update | notification}

Syntax Description

dynamic

すべてのダイナミック MAC アドレスを削除します。

address mac-addr

(任意)指定されたダイナミック MAC アドレスを削除します。

interface interface-id

(任意)指定された物理ポートまたはポートチャネル上のすべてのダイナミック MAC アドレスを削除します。

vlan vlan-id

(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ~ 4094 です。

move update

MAC アドレステーブルの move-update カウンタをクリアします。

notification

履歴テーブルの通知をクリアし、カウンタをリセットします。

Command Default

デフォルトの動作や値はありません。

Command Modes

特権 EXEC(#)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

情報が削除されたことを確認するには、show mac address-table コマンドを入力します。

Examples

次の例では、ダイナミック アドレス テーブルから特定の MAC アドレスを削除する方法を示します。

Device> enable
Device# clear mac address-table dynamic address 0008.0070.0007

confidentiality-offset

MACsec Key Agreement(MKA)プロトコルを有効にして MACsec 動作の機密性オフセットを設定するには、MKA ポリシー コンフィギュレーション モードで confidentiality-offset コマンドを使用します。機密性オフセットを無効にするには、このコマンドの no 形式を使用します。

confidentiality-offset

no confidentiality-offset

Syntax Description

このコマンドには引数またはキーワードはありません。

Command Default

機密性オフセットが無効になっています。

Command Modes

MKA ポリシー コンフィギュレーション(config-mka-policy)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Examples

次に、機密性オフセットを有効にする例を示します。
Device> enable
Device# configure terminal
Device(config)# mka policy 2
Device(config-mka-policy)# confidentiality-offset

debug aaa dead-criteria transaction

認証、許可、およびアカウンティング(AAA)の dead-criteria ランザクション値を表示するには、debugaaadead-criteriatransaction コマンドを特権 EXEC モードで使用します。dead-criteria のデバッグを無効にするには、このコマンドの no 形式を使用します。

debug aaa dead-criteria transaction

no debug aaa dead-criteria transaction

Syntax Description

このコマンドには引数またはキーワードはありません。

Command Default

コマンドが設定されていない場合、デバッグはオンになりません。

Command Modes

特権 EXEC(#)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

dead-criteriaトランザクションの値は、AAAトランザクションごとに異なる場合があります。表示される可能性のある値の一部は、推定される未処理のトランザクション、再送信の試行、および dead 検出間隔です。これらの値については、次の表で説明します。

Examples

次に、特定のサーバグループの dead-criteria トランザクションの情報の例を示します。

Device> enable
Device# debug aaa dead-criteria transaction

AAA Transaction debugs debugging is on
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Computed Retransmit Tries: 10, Current Tries: 3, Current Max Tries: 10
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Computed Dead Detect Interval: 10s, Elapsed Time: 317s, Current Max Interval: 10s
*Nov 14 23:44:17.403: AAA/SG/TRANSAC: Estimated Outstanding Transaction: 6, Current Max Transaction: 6

次の表で、この出力に表示される重要なフィールドを説明します。

Table 2. debug aaa dead-criteria transaction フィールドの説明

フィールド

説明

AAA/SG/TRANSAC

AAA サーバグループ トランザクション。

Computed Retransmit Tries

サーバが dead としてマークされるまでの、現在計算されている再送信回数。

Current Tries

最後の有効な応答以降の連続失敗回数。

Current Max Tries

最後に成功したトランザクション以降の最大試行回数。

Computed Dead Detect Interval

サーバが dead としてマークされる前に経過する可能性がある非アクティブ期間(最後の正常なトランザクションからの秒数)。非アクティブ期間は、live と見なされるサーバにランザクションが送信されたときに開始されます。dead 検出間隔は、デバイスがサーバを dead としてマークする前に、サーバからの応答をデバイスが待機する期間です。

経過時間(Elapsed Time)

最後の有効な応答以降に経過した時間。

Current Max Interval

最後に成功したトランザクション以降の非アクティブ期間の最大値。

Estimated Outstanding Transaction

サーバに関連付けられているトランザクションの推定数。

Current Max Transaction

最後に成功したトランザクション以降の最大トランザクション。

delay-protection

MACsec Key Agreement Protocol Data Unit(MKPDU)の送信に遅延保護を使用するように MKA を設定するには、MKA ポリシー コンフィギュレーション モードで delay-protection コマンドを使用します。遅延保護を無効にするには、このコマンドの no 形式を使用します。

delay-protection

no delay-protection

Syntax Description

このコマンドには引数またはキーワードはありません。

Command Default

MKPDU の送信に対する遅延保護は無効になっています。

Command Modes

MKA ポリシー コンフィギュレーション(config-mka-policy)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Examples

次に、MKPDU の送信で遅延保護を使用するように MKA を設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# mka policy 2
Device(config-mka-policy)# delay-protection

deny(MAC アクセス リスト コンフィギュレーション)

条件が一致した場合に非 IP トラフィックが転送されないようにするには、MAC アクセスリスト拡張コンフィギュレーション モードで deny コマンドを使用します。名前付き MAC アクセス リストから拒否条件を削除するには、このコマンドの no 形式を使用します。

deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]

no deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]

Syntax Description

any

すべての送信元または宛先 MAC アドレスを拒否します。

host src-MAC-addr | src-MAC-addr mask

ホスト MAC アドレスと任意のサブネット マスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。

host dst-MAC-addr | dst-MAC-addr mask

宛先 MAC アドレスと任意のサブネット マスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。

type mask

(任意)パケットの EtherType 番号と、Ethernet II または SNAP カプセル化を指定して、パケットのプロトコルを識別します。

type には、0 ~ 65535 の 16 進数を指定できます。

mask は、一致をテストする前に EtherType に適用される don’t care ビットのマスクです。

aarp

(任意)データリンク アドレスをネットワーク アドレスにマッピングする EtherType AppleTalk Address Resolution Protocol を指定します。

amber

(任意)EtherType DEC-Amber を指定します。

appletalk

(任意)EtherType AppleTalk/EtherTalk を指定します。

dec-spanning

(任意)EtherType Digital Equipment Corporation(DEC)スパニングツリーを指定します。

decnet-iv

(任意)EtherType DECnet Phase IV プロトコルを指定します。

diagnostic

(任意)EtherType DEC-Diagnostic を指定します。

dsm

(任意)EtherType DEC-DSM を指定します。

etype-6000

(任意)EtherType 0x6000 を指定します。

etype-8042

(任意)EtherType 0x8042 を指定します。

lat

(任意)EtherType DEC-LAT を指定します。

lavc-sca

(任意)EtherType DEC-LAVC-SCA を指定します。

lsap lsap-number mask

(任意)パケットの LSAP 番号(0 ~ 65535)と 802.2 カプセル化を使用して、パケットのプロトコルを指定します。

mask は、一致をテストする前に LSAP 番号に適用される don’t care ビットのマスクです。

mop-console

(任意)EtherType DEC-MOP Remote Console を指定します。

mop-dump

(任意)EtherType DEC-MOP Dump を指定します。

msdos

(任意)EtherType DEC-MSDOS を指定します。

mumps

(任意)EtherType DEC-MUMPS を指定します。

netbios

(任意)EtherType DEC-Network Basic Input/Output System(NetBIOS)を指定します。

vines-echo

(任意)Banyan Systems による EtherType Virtual Integrated Network Service(VINES)Echo を指定します。

vines-ip

(任意)EtherType VINES IP を指定します。

xns-idp

(任意)10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems(XNS)プロトコル スイート(0 ~ 65535)を指定します。

cos cos

(任意)プライオリティを設定するため、0 ~ 7 までのサービス クラス(CoS)値を指定します。CoS に基づくフィルタリングは、ハードウェアでだけ実行可能です。cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。

Command Default

このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルト アクションは拒否です。

Command Modes

MAC アクセスリスト拡張コンフィギュレーション(config-ext-macl)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

MAC アクセスリスト拡張コンフィギュレーション モードを開始するには、mac access-list extended グローバル コンフィギュレーション コマンドを使用します。

host キーワードを使用した場合、アドレスマスクは入力できません。host キーワードを使用しない場合は、アドレスマスクを入力する必要があります。

アクセス コントロール エントリ(ACE)がアクセスコントロールリストに追加された場合、リストの最後には暗黙の deny-any-any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、type mask または lsap lsap mask キーワードを使用します。Novell 用語と Cisco IOS XE 用語での IPX カプセル化タイプに対応するフィルタ条件を表に一覧表示します。

Table 3. IPX フィルタ基準

IPX カプセル化タイプ

フィルタ基準

Cisco IOS XE 名

Novel 名

arpa

Ethernet II

EtherType 0x8137

snap

Ethernet-snap

EtherType 0x8137

sap

Ethernet 802.2

LSAP 0xE0E0

novell-ether

Ethernet 802.3

LSAP 0xFFFF

Examples

次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。

Device> enable
Device# configure terminal
Device(config)# mac access-list extended mac_layer
Device(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
Device(config-ext-macl)# end

次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。

Device> enable
Device# configure terminal
Device(config)# mac access-list extended mac_layer
Device(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
Device(config-ext-macl)# end

次に、EtherType 0x4321 のすべてのパケットを拒否する例を示します。

Device> enable
Device# configure terminal
Device(config)# mac access-list extended mac_layer
Device(config-ext-macl)# deny any any 0x4321 0
Device(config-ext-macl)# end

設定を確認するには、show access-lists 特権 EXEC コマンドを入力します。

device-role(IPv6 スヌーピング)

ポートに接続されているデバイスのロールを指定するには、IPv6 スヌーピング コンフィギュレーション モードで device-role コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

device-role { node | switch}

no device-role { node | switch}

Syntax Description

node

接続されたデバイスのロールをノードに設定します。

switch

接続されたデバイスのロールをデバイスに設定します。

Command Default

デバイスのロールはノードです。

Command Modes

IPv6 スヌーピング コンフィギュレーション(config-ipv6-snooping)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

device-role コマンドは、ポートに接続されているデバイスのロールを指定します。デフォルトでは、デバイスのロールはノードです。

switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートで学習したバインディング エントリは、trunk_port プリファレンス レベルでマークされます。ポートが trusted ポートに設定されている場合、バインディング エントリは trunk_trusted_port プリファレンス レベルでマークされます。

Examples

次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、デバイスをノードとして設定する例を示します。

Device> enable
Device# configure terminal
Device(config)# ipv6 snooping policy policy1
Device(config-ipv6-snooping)# device-role node
Device(config-ipv6-snooping)# end

device-role(IPv6 ND インスペクション)

ポートに接続されているデバイスのロールを指定するには、ネイバー探索(ND)インスペクション ポリシー コンフィギュレーション モードで device-role コマンドを使用します。

device-role { host | switch}

Syntax Description

host

接続されたデバイスのロールをホストに設定します。

switch

接続されたデバイスのロールをスイッチに設定します。

Command Default

デバイスのロールはホストです。

Command Modes

ND インスペクション ポリシー コンフィギュレーション(config-nd-inspection)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

device-role コマンドは、ポートに接続されているデバイスのロールを指定します。デフォルトでは、デバイスのロールはホストであるため、すべての着信ルータ アドバタイズメントとリダイレクト メッセージはブロックされます。

switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートで学習したバインディング エントリは、trunk_port プリファレンス レベルでマークされます。ポートが trusted ポートに設定されている場合、バインディング エントリは trunk_trusted_port プリファレンス レベルでマークされます。

Examples

次に、Neighbor Discovery Protocol(NDP)ポリシー名を policy1 と定義し、デバイスを ND インスペクション ポリシー コンフィギュレーション モードにして、デバイスをホストとして設定する例を示します。

Device> enable
Device# configure terminal
Device(config)#  ipv6 nd inspection policy policy1
Device(config-nd-inspection)# device-role host
Device(config-nd-inspection)# end

device-role(IPv6 ND インスペクション)

ポートに接続されているデバイスのロールを指定するには、ネイバー探索(ND)インスペクション ポリシー コンフィギュレーション モードで device-role コマンドを使用します。

device-role { host | switch}

Syntax Description

host

接続されたデバイスのロールをホストに設定します。

switch

接続されたデバイスのロールをスイッチに設定します。

Command Default

デバイスのロールはホストです。

Command Modes

ND インスペクション ポリシー コンフィギュレーション(config-nd-inspection)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

device-role コマンドは、ポートに接続されているデバイスのロールを指定します。デフォルトでは、デバイスのロールはホストであるため、すべての着信ルータ アドバタイズメントとリダイレクト メッセージはブロックされます。

switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートで学習したバインディング エントリは、trunk_port プリファレンス レベルでマークされます。ポートが trusted ポートに設定されている場合、バインディング エントリは trunk_trusted_port プリファレンス レベルでマークされます。

Examples

次に、Neighbor Discovery Protocol(NDP)ポリシー名を policy1 と定義し、デバイスを ND インスペクション ポリシー コンフィギュレーション モードにして、デバイスをホストとして設定する例を示します。

Device> enable
Device# configure terminal
Device(config)#  ipv6 nd inspection policy policy1
Device(config-nd-inspection)# device-role host
Device(config-nd-inspection)# end

device-tracking(インターフェイス コンフィギュレーション)

SISF ベースのデバイストラッキングをイネーブルにしてデフォルトポリシーをインターフェイスまたは VLAN にアタッチするか、その機能をイネーブルにしてカスタムポリシーをアタッチするには、インターフェイス コンフィギュレーション モードで device-tracking コマンドを入力します。ポリシーをインターフェイスまたは VLAN からデタッチしてデフォルトに戻すには、このコマンドの no 形式を使用します。

device-tracking [ attach-policy policy-name ] [ vlan { vlan-id | add vlan-id | all | except vlan-id | none | remove vlan-id } ]

no device-tracking [ attach-policy policy-name ] [ vlan { vlan-id | add vlan-id | all | except vlan-id | none | remove vlan-id } ]

Syntax Description

attach-policy policy-name

指定したカスタムポリシーをインターフェイスおよびすべての VLAN にアタッチします。

vlan { vlan-id | add vlan-id | all | except vlan-id | none | remove vlan-id }

ポリシーの VLAN リストを設定し、指定された VLAN にカスタムポリシーをアタッチします。次の項目を指定できます。

  • vlan-id :1 つ以上の VLAN ID を入力します。カスタムポリシーは、すべての VLAN ID にアタッチされます。

  • addvlan-id :指定された VLAN を既存の VLAN ID リストに追加します。カスタムポリシーは、すべての VLAN ID にアタッチされます。

  • all :カスタムポリシーをすべての VLAN ID にアタッチします。

    これがデフォルトのオプションです。

  • exceptvlan-id :ここで指定したものを除くすべての VLAN ID にカスタムポリシーをアタッチします。

  • none :どの VLAN にもカスタムポリシーをアタッチしません。

    removevlan-id :指定された VLAN を既存の VLAN ID リストから削除します。カスタムポリシーは、リスト内の VLAN ID にのみアタッチされます。

Command Default

SISF ベースのデバイストラッキングはディセーブルになっており、ポリシーはインターフェイスにアタッチされません。

Command Modes

インターフェイス コンフィギュレーション(Device((config-if)# ))

Command History

リリース 変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

インターフェイス コンフィギュレーション モードで、他のキーワードを指定せずに device-tracking コマンドを入力すると、システムはデフォルトポリシーをインターフェイスまたは VLAN にアタッチします。デフォルトポリシーは、デフォルト設定の組み込みポリシーで、 デフォルトポリシーの属性は変更できません。

インターフェイス コンフィギュレーション モードで device-tracking attach-policypolicy-name コマンドを設定すると、カスタムポリシー名を指定できます。グローバル コンフィギュレーション モードでカスタムポリシーをすでに作成している必要があります。ポリシーは、指定されたインターフェースにアタッチされます。その後、アタッチする VLAN を指定することもできます。

ターゲットにアタッチされるカスタムポリシーを変更する場合は、device-tracking attach-policypolicy-name コマンドを再設定します。

特定のターゲットで機能をディセーブルにするには、インターフェイス コンフィギュレーション モードで no device-tracking コマンドを使用します。

Examples

Examples

次に、SISF ベースのデバイストラッキングをイネーブルにして、デフォルトポリシーをインターフェイスにアタッチする例を示します。デフォルトポリシーにはデフォルト ポリシー パラメータがあり、変更することはできません。
Device# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)# interface tengigabitethernet1/0/1
Device(config-if)# device-tracking
Device(config-if)# end                       

Device# show device-tracking policies detail
Target               Type  Policy               Feature        Target range
Te1/0/1              PORT  default              Device-tracking vlan all
Te1/0/2              PORT  default              Device-tracking vlan all

Device-tracking policy default configuration: 
  security-level guard
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP6
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
Policy default is applied on the following targets: 
Target               Type  Policy               Feature        Target range
Te1/0/1              PORT  default              Device-tracking vlan all
Te1/0/2              PORT  default              Device-tracking vlan all

Examples

次に、SISF ベースのデバイストラッキングをイネーブルにして、sisf-01 というカスタムポリシーを上記の例と同じインターフェイス(Te1/0/1)にアタッチする例を示します。これにより、Te1/0/1 の既存のデフォルトポリシーがカスタムポリシー sisf-01 に置き換えられます。
Device# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)# interface tengigabitethernet1/0/1
Device(config-if)# device-tracking attach-policy sisf-01 
Device(config-if)# end

Device# show device-tracking policies detail
Target               Type  Policy               Feature        Target range
Te1/0/1              PORT  sisf-01              Device-tracking vlan all
Te1/0/2              PORT  default              Device-tracking vlan all

Device-tracking policy default configuration: 
  security-level guard
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP6
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
Policy default is applied on the following targets: 
Target               Type  Policy               Feature        Target range
Te1/0/2              PORT  default              Device-tracking vlan all
 Device-tracking policy sisf-01 configuration: 
  security-level guard
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP6
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
  limit address-count 3000
Policy sisf-01 is applied on the following targets: 
Target               Type  Policy               Feature        Target range
Te1/0/1              PORT  sisf-01              Device-tracking vlan all

Examples

次に、ターゲットで SISF ベースのデバイストラッキングをディセーブルにする例を示します。この機能はターゲット Te1/0/1 でディセーブルになります。これは、前の例でカスタムポリシーが適用されたものと同じインターフェイスです。デフォルトポリシーは、機能がイネーブルになっている他のインターフェイス(Te1/0/2)で引き続き使用できます。
Device# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)# interface tengigabitethernet1/0/1
Device(config-if)# no device-tracking attach-policy sisf-01
Device(config-if)# end

Device# show device-tracking policies detail
Target               Type  Policy               Feature        Target range
Te1/0/2              PORT  default              Device-tracking vlan all

Device-tracking policy default configuration: 
  security-level guard
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP6
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
Policy default is applied on the following targets: 
Target               Type  Policy               Feature        Target range
Te1/0/2              PORT  default              Device-tracking vlan all
 

device-tracking(VLAN コンフィギュレーション)

スイッチ統合型セキュリティ機能(SISF)ベースのデバイストラッキングをイネーブルにしてデフォルトポリシーを VLAN にアタッチするか、その機能をイネーブルにしてカスタムポリシーを VLAN にアタッチし、ポリシーの優先順位を指定するには、VLAN コンフィギュレーション モードで device-tracking コマンドを入力します。ポリシーを VLAN からデタッチしてデフォルトに戻すには、このコマンドの no 形式を使用します。

device-tracking [ attach-policy policy-name ] [ priority priority-value ]

Syntax Description

attach-policy policy-name

指定されたカスタムポリシーを VLAN にアタッチします。

priority priority-value

Note

 

このコマンドは、CLI のヘルプに表示されますが、設定しても効果はありません。ポリシーの優先順位はシステムによって決定されます。これは変更できません。

Command Default

SISF ベースのデバイストラッキングはディセーブルになっています。

Command Modes

VLAN コンフィギュレーション モード(Device((config-vlan-config)# ))

Command History

リリース 変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが追加されました。

Usage Guidelines

VLAN コンフィギュレーション モードで、他のキーワードを指定せずに device-tracking コマンドを入力すると、システムはデフォルトポリシーを VLAN にアタッチします。デフォルトポリシーは、デフォルト設定の組み込みポリシーであるため、 デフォルトポリシーのパラメータは変更できません。

VLAN コンフィギュレーション モードで device-tracking attach-policypolicy-name コマンドを設定すると、指定されたカスタムポリシーが VLAN にアタッチされます。カスタムポリシーを使用すると、カスタムポリシーの特定のパラメータを設定できます。

この機能をイネーブルにして、ポリシー(カスタムまたはデフォルト)を 1 つ以上の VLAN または VLAN 範囲にアタッチできます。

Examples

Examples

次に、SISF ベースのデバイストラッキングをイネーブルにして、デフォルトポリシーを VLAN 500 にアタッチする例を示します。
Device# show device-tracking policies
Target               Type  Policy               Feature        Target range
Te1/0/1              PORT  sisf-03              Device-tracking vlan all
Te1/0/1              PORT  default              Address Resolution Relay vlan all
Te1/0/2              PORT  default              Device-tracking vlan all
vlan 333             VLAN  sisf-01              Device-tracking vlan all


Device# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)#vlan configuration 500
Device(config-vlan-config)# device-tracking                     
Device(config-vlan-config)# end


Device#show device-tracking policies 
Target               Type  Policy               Feature        Target range
Te1/0/1              PORT  sisf-03              Device-tracking vlan all
Te1/0/1              PORT  default              Address Resolution Relay vlan all
Te1/0/2              PORT  default              Device-tracking vlan all
vlan 333             VLAN  sisf-01              Device-tracking vlan allvlan 500             VLAN  default              Device-tracking vlan all

Examples

次に、sisf-03 というカスタムポリシーを上記の例と同じ VLAN(VLAN 500)にアタッチする例を示します。これにより、VLAN 上の既存のデフォルトポリシーがカスタムポリシー sisf-03 に置き換えられます。
Device# show device-tracking policies 
Target               Type  Policy               Feature        Target range
Te1/0/1              PORT  sisf-03              Device-tracking vlan all
Te1/0/1              PORT  default              Address Resolution Relay vlan all
Te1/0/2              PORT  default              Device-tracking vlan all
vlan 333             VLAN  sisf-01              Device-tracking vlan all
vlan 500             VLAN  default              Device-tracking vlan all

Device# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)# vlan configuration 500
Device(config-vlan-config)# device-tracking attach-policy sisf-03 
Device(config-vlan-config)# end

Device# show device-tracking policies
Target               Type  Policy               Feature        Target range
Te1/0/1              PORT  sisf-03              Device-tracking vlan all
Te1/0/1              PORT  default              Address Resolution Relay vlan all
Te1/0/2              PORT  default              Device-tracking vlan all
vlan 333             VLAN  sisf-01              Device-tracking vlan allvlan 500             VLAN  sisf-03              Device-tracking vlan all

Examples

次に、カスタムポリシーを VLAN 範囲(VLAN 10 ~ 15)にアタッチする例を示します。
Device(config)# vlan configuration 10-15 
Device(config-vlan-config)#device-tracking attach-policy sisf-01 
Device(config-vlan-config)#end

Device# show device-tracking policies
Target               Type  Policy               Feature        Target range
Te1/0/2              PORT  default              Device-tracking vlan all
vlan 10              VLAN  sisf-01              Device-tracking vlan all
vlan 11              VLAN  sisf-01              Device-tracking vlan all
vlan 12              VLAN  sisf-01              Device-tracking vlan all
vlan 13              VLAN  sisf-01              Device-tracking vlan all
vlan 14              VLAN  sisf-01              Device-tracking vlan all
vlan 15              VLAN  sisf-01              Device-tracking vlan all

device-tracking binding

バインディングテーブルでバインディングエントリを維持する方法を指定するには、グローバル コンフィギュレーション モードで device-tracking binding コマンドを入力します。このコマンドを使用すると、各状態のライフタイム、バインディングテーブルで許可されるエントリの最大数、およびバインディング エントリ イベントをログに記録するかどうかを設定できます。このコマンドを使用して、スタティック バインディング エントリを設定することもできます。デフォルト値に戻すには、コマンドの no 形式を使用します。

device-tracking binding { down-lifetime | logging | max-entries | reachable-lifetime | stale-lifetime | vlan }

わかりやすくするために、上記の各オプションについて、その後に続く残りのコマンド文字列を個別に示します。

  • device-tracking binding down-lifetime { seconds | infinite }

    no device-tracking binding down-lifetime

  • device-tracking binding logging

    no device-tracking binding logging

  • device-tracking binding max-entries no_of_entries [ mac-limit no_of_entries | port-limit no_of_entries [ mac-limit no_of_entries ] | vlan-limit no_of_entries [ mac-limit no_of_entries | port-limit no_of_entries [ mac-limit no_of_entries ] ] ]

    no device-tracking binding max-entries

  • device-tracking binding reachable-lifetime { seconds | infinite } [ down-lifetime { seconds | infinite } | stale-lifetime { seconds | infinite } [ down-lifetime { seconds | infinite } ] ]

    no device-tracking binding reachable-lifetime

  • device-tracking binding stale-lifetime { seconds | infinite } [ down-lifetime { seconds | infinite } ]

    no device-tracking binding stale-lifetime

  • device-tracking binding vlan vlan_id { ipv4_add | ipv6_add | ipv6_prefix } [ interface inteface_type_no ] [ 48-bit-hardware-address ] [ reachable-lifetime { seconds | default | infinite } | tracking { default | disable | enable [ retry-interval { seconds | default } ] } [ reachable-lifetime { seconds | default | infinite } ] ]

Syntax Description

down-lifetime { seconds | infinite }

DOWN 状態のバインディングエントリのカウントダウンタイマーを設定するか、タイマーをディセーブルにするオプションを提供します。

ホストの接続インターフェイスが管理目的によってダウンしている場合、バインディングエントリは DOWN 状態になります。タイマーが設定されている場合、タイマーが切れる前にインターフェイスが再び稼働状態になる場合とエントリの DOWN 状態が維持される場合があります。タイマーが切れる前にインターフェイスが稼働状態になると、タイマーは停止し、エントリの状態が変化します。タイマーが切れた後もエントリの DOWN 状態が維持されると、そのエントリはバインディングテーブルから削除されます。タイマーがディセーブルまたはオフになっている場合、エントリはバインディングテーブルから削除されず、無期限に、またはインターフェイスが再び稼働状態になるまで、DOWN 状態が維持される可能性があります。

次のいずれかのオプションを設定します。

  • seconds :ダウンライフタイムタイマーの値を設定します。1 ~ 86400 秒の値を入力します。デフォルト値は 86400 秒(24 時間)です。

  • infinite :DOWN 状態のタイマーをディセーブルにします。これは、エントリが DOWN 状態になったときにタイマーが開始されないことを意味します。

logging

バインディング エントリ イベントのログの生成をイネーブルにします。

device-tracking binding max-entries no_of_entries [ mac-limit no_of_entries | port-limit no_of_entries | vlan-limit no_of_entries ]

バインディングテーブルのエントリの最大数を設定します。1 ~ 200000 の値を入力します。デフォルト値は 200000 です。

Note

 

この制限は、ダイナミックエントリにのみ適用され、スタティック バインディング エントリには適用されません。

必要に応じて、次の制限を設定することもできます。

  • mac-limit no_of_entries :許可される MAC アドレスあたりの最大エントリ数を設定します。1 ~ 100000 の値を入力します。デフォルトでは、制限は設定されていません。

  • port-limit no_of_entries :許可されるインターフェイスあたりの最大エントリ数を設定します。1 ~ 100000 の値を入力します。デフォルトでは、制限は設定されていません。

  • vlan-limit no_of_entries :許可される VLAN あたりの最大エントリ数を設定します。1 ~ 100000 の値を入力します。デフォルトでは、制限は設定されていません。

このコマンドの no 形式を使用すると、max-entries 値が 200000 にリセットされ、mac-limit port-limit vlan-limit が「no limit」に設定されます。

reachable-lifetime { seconds | infinite }

REACHABLE 状態のバインディングエントリのカウントダウンタイマーを設定するか、タイマーをディセーブルにするオプションを提供します。

タイマーが設定されている場合、タイマーが切れる前にホストから着信パケットを受信する場合とホストからの着信パケットがない場合があります。ホストから着信パケットを受信するたびに、タイマーがリセットされます。着信パケットが受信されずにタイマーが切れると、エントリの状態は、ホストの到達可能性に基づいて変化します。タイマーがディセーブルまたはオフになっている場合、エントリは無期限に REACHABLE 状態が維持される可能性があります。

次のいずれかのオプションを設定します。

  • seconds :到達可能ライフタイムタイマーの値を設定します。1 ~ 86400 秒の値を入力します。デフォルトは 300 秒(5 分)です。

  • infinite :REACHABLE 状態のタイマーをディセーブルにします。これは、エントリが REACHABLE 状態になったときにタイマーが開始されないことを意味します。

stale-lifetime { seconds | infinite }

STALE 状態のバインディングエントリのカウントダウンタイマーを設定するか、タイマーをディセーブルにするオプションを提供します。

タイマーが設定されている場合、タイマーが切れる前にホストから着信パケットを受信する場合とホストからの着信パケットがない場合があります。着信パケットを受信すると、タイマーが停止し、エントリは新しい状態に移行します。着信パケットが受信されずにタイマーが切れると、エントリはバインディングテーブルから削除されます。タイマーがディセーブルまたはオフになっている場合、エントリは無期限に STALE 状態が維持される可能性があります。

ポーリングがイネーブルになっている場合、ステイルタイマーが切れると、ホストをプローブする最後の試みが行われます。

Note

 
ポーリングがイネーブルになっている場合、到達可能ライフタイムタイマーが切れるとポーリングが実行され(3 回)、その後、ステイルタイマーが切れると最後の試行も行われます。到達可能ライフタイムが切れた後のエントリのポーリングに必要な時間は、ステイルライフタイムから差し引かれます。

次のいずれかのオプションを設定します。

  • seconds :ステイルライフタイム タイマーの値を設定します。1 ~ 86400 秒の値を入力します。デフォルト値は 86400 秒(24 時間)です。

  • infinite :STALE 状態のタイマーをディセーブルにします。これは、エントリが STALE 状態になったときにタイマーが開始されないことを意味します。

device-tracking binding vlan vlan_id { ipv4_add | ipv6_add | ipv6_prefix } [ interface inteface_type_no ] [ 48-bit-hardware-address ] [ reachable-lifetime { seconds | default | infinite } | tracking { default | disable | enable [ retry-interval { seconds | default } ] } [ reachable-lifetime { seconds | default | infinite } ] ]

バインディングテーブルのスタティック バインディング エントリを作成します。バインディングテーブルでスタティック バインディング エントリを維持する方法を指定することもできます。

Note

 

上記の max-entries no_of_entries オプションに設定する制限は、スタティックバインディング全体には適用されません。作成できるスタティックエントリの数に制限はありません。

  • IP アドレスまたはプレフィックスを入力します。

    • ipv4_add :IPv4 アドレスを入力します。

    • ipv6_add :IPv6 アドレスを入力します。

    • ipv6_prefix :IPv6 プレフィックスを入力します。

  • interface inteface_type_no :インターフェイスのタイプと番号を入力します。デバイスで使用可能なインターフェイスのタイプを表示するには、疑問符(?)のオンラインヘルプ機能を使用します。

  • (任意)48-bit-hardware-address :MAC アドレスを入力します。バインディングエントリの MAC アドレスを設定しない場合、任意の MAC アドレスが許可されます。

  • (任意)reachable-lifetime {seconds | default | infinite } :REACHABLE 状態のスタティック バインディング エントリの到達可能ライフタイムを設定します。スタティック バインディング エントリに到達可能ライフタイムを設定する場合は、エントリの MAC アドレスを指定する必要があります。

    値を設定しない場合は、device-tracking binding reachable-lifetime に設定されている値が適用されます。

    seconds :到達可能ライフタイムタイマーの値を設定します。1 ~ 86400 秒の値を入力します。デフォルトは 300 秒(5 分)です。

    default :バインディングテーブルのダイナミックエントリに設定されている値を使用します。

    infinite :REACHABLE 状態のタイマーをディセーブルにします。これは、スタティック バインディング エントリが REACHABLE 状態になったときにタイマーが開始されないことを意味します。

  • (任意)tracking {default | disable | enable} :スタティック バインディング エントリのポーリング関連設定を指定します。

    default :ポーリングはディセーブルになっています。

    disable :スタティック バインディング エントリのポーリングをディセーブルにします。

    enable :スタティック バインディング エントリのポーリングをイネーブルにします。

    トラッキングを有効にすると、retry-interval を設定するオプションもあります。バックオフアルゴリズムには、乗算係数または「基本値」があります。バックオフアルゴリズムにより、到達可能ライフタイムが切れた後に3 回試行されるポーリングの間の待機時間が決定されます。

    1 ~ 3600 秒の値を入力します。デフォルト値は 1 です。

Command Default

値を設定しない場合、ポリシーレベルの値が設定されていないかぎり、ダウン、到達可能、およびステイルライフタイムのデフォルト値と、バインディングテーブルで許可されるバインディングエントリの最大数が適用されます。詳細については、「使用上のガイドライン」を参照してください。

Command Modes

グローバル コンフィギュレーション(Device(config)#)

Command History

リリース 変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

device-tracking binding コマンドを使用すると、バインディングテーブルにおいてグローバルレベルでエントリを維持する方法を指定できます。これにより、設定は、SISF ベースのデバイストラッキングがイネーブルになっているすべてのインターフェイスおよび VLAN に適用されます。ただし、システムが、ネットワークに入るパケットからのバインディング情報の抽出を開始し、ここで指定した設定が適用されるバインディングエントリを作成するには、インターフェイスまたは VLAN にアタッチされたポリシーが存在する必要があります。

インターフェイスまたは VLAN にポリシーがない場合、バインディングテーブルに存在できるエントリは、作成したスタティック バインディング エントリだけです。

バインディングエントリ設定の変更

device-tracking binding コマンドを使用して値または設定を再指定すると、その変更は、その後に作成されたバインディングエントリにのみ適用されます。変更された設定は、既存のエントリには適用されません。古い設定は、古いエントリに適用されます。

現在の設定を表示するには、特権 EXEC モードで show device-tracking database コマンドを入力します。

グローバル設定とポリシーレベル設定

このコマンドで指定する設定の一部については、対応するものがポリシーレベルにもあります(ポリシーレベルのパラメータは、デバイストラッキング コンフィギュレーション モードで設定され、そのポリシーにのみ適用されます)。次の表に、グローバルに設定された値が優先される場合と、ポリシーレベルの値が優先される場合を示します。

グローバル コンフィギュレーション コマンドの device-tracking binding のオプション

デバイストラッキング コンフィギュレーション モードでのポリシーレベルの対応オプション

device-tracking binding reachable-lifetime { seconds | infinite }

tracking enable [reachable-lifetime [seconds | infinite] ]

Device(config)# device-tracking binding
reachable-lifetime 2000
Device(config)# device-tracking policy sisf-01
Device(config-device-tracking)# 
Device(config-device-tracking)# tracking enable 
reachable-lifetime 250

ポリシーレベルの値とグローバルに設定された値が存在する場合は、ポリシーレベルの値が適用されます。

グローバルに設定された値のみが存在する場合、グローバルに設定された値が適用されます。

ポリシーレベルの値のみが存在する場合、ポリシーレベルの値が適用されます。

例:グローバルレベルとポリシーレベルで到達可能、ステイル、およびダウンライフタイムを設定するを参照してください。

グローバル コンフィギュレーション コマンドの device-tracking binding のオプション

デバイストラッキング コンフィギュレーション モードでのポリシーレベルの対応オプション

device-tracking binding stale-lifetime { seconds | infinite }

tracking disable [stale-lifetime [seconds | infinite] ]

Device(config)# device-tracking binding
stale-lifetime 2000
Device(config)# device-tracking policy sisf-01
Device(config-device-tracking)# 
Device(config-device-tracking)# tracking enable 
stale-lifetime 500

ポリシーレベルの値とグローバルに設定された値が存在する場合は、ポリシーレベルの値が適用されます。

グローバルに設定された値のみが存在する場合、グローバルに設定された値が適用されます。

ポリシーレベルの値のみが存在する場合、ポリシーレベルの値が適用されます。

例:グローバルレベルとポリシーレベルで到達可能、ステイル、およびダウンライフタイムを設定するを参照してください。

グローバル コンフィギュレーション コマンドの device-tracking binding のオプション

デバイストラッキング コンフィギュレーション モードでのポリシーレベルの対応オプション

device-tracking binding max-entries no_of_entries [ mac-limit no_of_entries | port-limit no_of_entries | vlan-limit no_of_entries ]

limit address-count ip-per-port

Device(config)# device-tracking binding 
max-entries 30 vlan-limit 25 port-limit 20 mac-limit 19
Device(config)# device-tracking policy sisf-01
Device(config-device-tracking)# 
Device(config-device-tracking)# limit address-count 30 

ポリシーレベルの値とグローバルに設定された値が存在する場合は、1 つの制限(グローバル値またはポリシーレベルの値のいずれか)に達するとバインディングエントリの作成が停止します。

グローバルに設定された値のみが存在する場合、1 つの制限に達すると、バインディングエントリの作成が停止します。

ポリシーレベルの値のみが存在する場合、ポリシーレベルの制限に達すると、バインディングエントリの作成が停止します。

例:グローバルレベルのアドレス制限とポリシーレベルのアドレス制限

グローバル コンフィギュレーション コマンドの device-tracking binding のオプション

デバイストラッキング コンフィギュレーション モードでのポリシーレベルの対応オプション

device-tracking binding max-entries no_of_entries [ mac-limit no_of_entries ]

MAC あたりの IPv4 および MAC あたりの IPv6

ポリシーでは上記の制限のどちらも設定できませんが、プログラムで作成されたポリシーでは、制限のいずれかまたは両方を設定することも、どちらも設定しないことも可能です。

Device(config)# device-tracking binding max-entries 300
mac-limit 3
Device# show device-tracking policy LISP-DT-GLEAN-VLAN

Policy LISP-DT-GLEAN-VLAN configuration:
  security-level glean (*)
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
  limit address-count for IPv4 per mac 4 (*)
  limit address-count for IPv6 per mac 12 (*)
  tracking enable
<output truncated>

ポリシーレベルの値とグローバルに設定された値が存在する場合は、1 つの制限(グローバル値またはポリシーレベルの値のいずれか)に達するとバインディングエントリの作成が停止します。

グローバルに設定された値のみが存在する場合、1 つの制限に達すると、バインディングエントリの作成が停止します。

ポリシーレベルの値のみが存在する場合、ポリシーレベルの制限に達すると、バインディングエントリの作成が停止します。

ダウン、到達可能、およびステイルライフタイムの設定

down-lifetime reachable-lifetime 、または stale-lifetime キーワードにデフォルト以外の値を設定する場合、設定しないライフタイムはデフォルト値に戻されます。例:到達可能、ステイル、およびダウンライフタイムにデフォルト以外の値を設定するは、この動作が明確に示されている例です。

現在設定されているライフタイム値を表示するには、特権 EXEC モードで show running-config | include device-tracking コマンドを入力します。

MAC、ポート、および VLAN の制限の設定

mac-limit port-limit 、または vlan-limit キーワードにデフォルト以外の値を設定する場合、設定しない制限はデフォルト値に戻されます。

同じコマンドラインで 3 つの制限をすべて設定するには、最初に VLAN の制限、次にポートの制限、最後に MAC の制限を設定します。
Device(config)# device-tracking binding max-entries 15 vlan-limit 2 port-limit 20 mac-limit 5

このシステムの動作は、1 つ以上(すべてではない)の制限をデフォルト値にリセットする場合にも使用できます。3 つのキーワードはすべて、デフォルトが「制限なし」ですが、数値「0」を入力して制限をデフォルト値に設定することはできません。どの制限でも、0 は有効な値の範囲に含まれていません。1 つ以上の制限をデフォルト値にリセットするには、対応するキーワードを省略します。例:VLAN、ポート、および MAC の制限をデフォルト値に設定するは、この動作が明確に示されている例です。

バインディング エントリ イベントのロギングの設定

グローバル コンフィギュレーション コマンドの device-tracking binding logging を設定してバインディング エントリ イベントのログを生成する際、要件に応じて、いくつかの一般的なロギング設定も必要になる場合があります。

  • (必須)グローバル コンフィギュレーション モードで logging buffered informational コマンドを使用します。

    このコマンドを使用して、デバイスレベルでメッセージロギングをイネーブルにし、シビラティ(重大度)レベルを指定します。このコマンドの設定により、ログをコピーしてローカルの内部バッファに保存できます。シビラティレベルを指定すると、そのレベルのメッセージと、それより数値的に低いレベルのメッセージがログに記録されます。

    バインディング エントリ イベントに関して生成されるログのシビラティレベルは 6(つまり、情報)です。次に例を示します。

    %SISF-6-ENTRY_CREATED: Entry created IP=192.0.2.24 VLAN=200 MAC=001b.4411.4ab6 I/F=Te1/0/4 Preflevel=00FF

  • (任意)グローバル コンフィギュレーション モードで logging console コマンドを使用します。

    このコマンドを使用して、ログをコンソール(使用可能なすべての TTY 回線)に送信します。


    Caution


    シビラティレベルが低いと、コンソールに表示されるメッセージの数が大幅に増加する可能性があります。さらに、コンソールは表示が遅いデバイスです。メッセージストームでは、コンソールキューがいっぱいになると、一部のロギングメッセージがサイレント削除される場合があります。適切にシビラティレベルを設定してください。


    このコマンドを設定しない場合は、特権 EXEC モードで show logging コマンドを入力することにより、必要に応じてログを表示できます。

logging console コマンドがイネーブルになっていない場合、ログはデバイスコンソールに表示されませんが、device-tracking binding logging および logging buffered informational が設定されている場合は、ログが生成され、ローカルバッファで使用できます。

ログが生成されるバインディング エントリ イベントの種類については、対応するリリースのシステムメッセージガイドを参照してください。SISF-6」を検索してください。

device-tracking binding logging コマンドはバインディング エントリ イベントをログに記録しますが、スヌーピング セキュリティ ロギングをイネーブルにする device-tracking logging コマンドもあります。2 つのコマンドは異なる種類のイベントをログに記録し、生成されるログは異なるシビラティレベルを持ちます。

スタティック バインディング エントリの作成

レイヤ 2 ドメインにサイレントでも到達可能なホストがある場合、それらのサイレントホストのバインディング情報を保持するには、スタティック バインディング エントリを作成します。

作成できるスタティックエントリの数に制限はありませんが、これらのエントリはバインディングテーブルのサイズにも影響します。作成する前に、必要なスタティックエントリ数を考慮してください。

スタティック バインディング エントリで指定されたインターフェイスまたは VLAN にポリシーがアタッチされていない場合でも、スタティック バインディング エントリを作成できます。

スタティック バインディング エントリを設定するときに、その後に設定(たとえば、到達可能ライフタイム)を指定すると、その設定はそのスタティック バインディング エントリにのみ適用され、他のスタティックまたはダイナミックエントリには適用されません。例:スタティック バインディング エントリを作成する は、スタティック バインディング エントリを作成する例を示します。

Examples

例:到達可能、ステイル、およびダウンライフタイムにデフォルト以外の値を設定する

次の例には、到達可能、ステイル、およびダウンライフタイムの値を個別に設定した場合のシステムの動作が明確に示されています(影響は累積されません)。また、設定がすべてのライフタイムにわたって保持されるように値を設定する方法も示されています。

この例の最初のステップでは、到達可能ライフタイムのみが設定されます。stale-lifetime キーワードと down-lifetime キーワードが省略されているため、ダウンライフタイムとステイルライフタイムはデフォルトに設定されます。
Device(config)# device-tracking binding reachable-lifetime 700
Device(config)# exit
Device# show running-config | include device-tracking
device-tracking policy sisf-01
 device-tracking attach-policy sisf-01
 device-tracking attach-policy sisf-01 vlan 200device-tracking binding reachable-lifetime 700
device-tracking binding logging
この例の次のステップでは、ステイルライフタイムが 1500 秒、ダウンライフタイムが 1000 秒に設定されます。これにより、前のステップで設定された到達可能ライフタイムはデフォルトになります。
Device(config)# device-tracking binding stale-lifetime 1500 down-lifetime 1000
Device(config)# exit
Device# show running-config | include device-tracking    
device-tracking policy sisf-01
 device-tracking attach-policy sisf-01
 device-tracking attach-policy sisf-01 vlan 200device-tracking binding stale-lifetime 1500 down-lifetime 1000
device-tracking binding logging
この例の次のステップでは、到達可能、ダウン、およびステイルライフタイムがそれぞれ 700、1000、および 200 に設定されます。これにより、ステイルライフタイムの値が 1500 秒から 1000 秒に変更されます。また、ダウンライフタイムが 1000 から 200 に変更されます。到達可能ライフタイムは 700 秒に設定されます。
Device(config)# device-tracking binding reachable-lifetime 700 stale-lifetime 1000 down-lifetime 200
Device(config)# exit
Device# show running-config | include device-tracking
device-tracking policy sisf-01
 device-tracking attach-policy sisf-01
 device-tracking attach-policy sisf-01 vlan 200device-tracking binding reachable-lifetime 700 stale-lifetime 1000 down-lifetime 200
device-tracking binding logging

いずれかのライフタイムを変更する必要があり、他のライフタイムの値を保持する必要がある場合は、毎回、同じコマンドラインを使用して、3 つのキーワードすべてを必要な値で再設定する必要があります。

例:グローバルレベルとポリシーレベルで到達可能、ステイル、およびダウンライフタイムを設定する

次に、グローバルレベルでバインディングエントリの到達可能、ステイル、およびダウンライフタイムを設定する例を示します。この例では、その後に、ポリシーレベルの設定を指定することにより、グローバル設定を上書きし、特定のインターフェイスまたは VLAN で学習されたエントリに異なるライフタイムを設定する方法も示しています。

この例の最初の部分において、show device-tracking policy policy-name コマンドの出力は、ポリシーレベルの値が設定されておらず、デフォルトのバインディングテーブル設定が既存のエントリに適用されることを示しています。グローバル コンフィギュレーション モードで device-tracking binding コマンドを使用して到達可能、ステイル、およびダウンライフタイムを設定すると、新しい値が有効になり、テーブルに追加された 4 つの新しいエントリにのみ適用されます。


Note


show device-tracking database コマンドの出力のバインディングエントリに関する Time left 列に注意してください。各エントリの到達可能ライフタイムが、わずかに異なっています。これは、バインディングテーブルに多数のエントリが追加されるときにシステムパフォーマンスが低下しないようにシステムが課すジッター(設定値の +/-5%)です。バインディングエントリは時間をずらしてライフサイクルを通過するため、輻輳の発生が回避されます。


ポリシーレベルの到達可能ライフタイムが設定されていないことを示している、現在の設定です。バインディング テーブル エントリは、現在の到達可能ライフタイムが 500 秒(Time left + age)であることを示しています。
Device# show device-tracking policy sisf-01 
Device-tracking policy sisf-01 configuration: 
  security-level guard
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP6
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
Policy sisf-01 is applied on the following targets: 
Target               Type  Policy               Feature        Target range
Te1/0/4              PORT  sisf-01              Device-tracking vlan 200

Device# show device-tracking database 
Binding Table has 4 entries, 4 dynamic (limit 200000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   

Network Layer Address                        Link Layer Address     Interface  vlan       prlvl      age        state      Time left       <<<< 
ARP 192.0.9.9                                000a.959d.6816         Te1/0/4    200        0064       40s        REACHABLE  466 s           
ARP 192.0.9.8                                000a.959d.6816         Te1/0/4    200        0064       40s        REACHABLE  472 s           
ARP 192.0.9.7                                000a.959d.6816         Te1/0/4    200        0064       40s        REACHABLE  470 s           
ARP 192.0.9.6                                000a.959d.6816         Te1/0/4    200        0064       40s        REACHABLE  469 s      
グローバルレベルでの到達可能、ステイル、およびダウンライフタイムの設定です。新しい値は、この後に作成されたバインディングエントリにのみ適用されます。
Device(config)# device-tracking binding reachable-lifetime 700 stale-lifetime 1000 down-lifetime 200

Device # show device-tracking database         
Binding Table has 8 entries, 8 dynamic (limit 200000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   

Network Layer Address                        Link Layer Address     Interface  vlan       prlvl      age        state      Time left       
ARP 192.0.9.13                               000a.959d.6816         Te1/0/4    200        00C8       4s         REACHABLE  699 s           <<<< new global value applied
ARP 192.0.9.12                               000a.959d.6816         Te1/0/4    200        00C8       4s         REACHABLE  719 s           <<<< new global value applied
ARP 192.0.9.11                               000a.959d.6816         Te1/0/4    200        00C8       4s         REACHABLE  728 s           <<<< new global value applied
ARP 192.0.9.10                               000a.959d.6816         Te1/0/4    200        00C8       4s         REACHABLE  712 s           <<<< new global value applied
ARP 192.0.9.9                                000a.959d.6816         Te1/0/4    200        0064       9mn        STALE      try 0 1209 s          
ARP 192.0.9.8                                000a.959d.6816         Te1/0/4    200        0064       9mn        VERIFY     5 s try 3       
ARP 192.0.9.7                                000a.959d.6816         Te1/0/4    200        0064       9mn        VERIFY     2816 ms try 3   
ARP 192.0.9.6                                000a.959d.6816         Te1/0/4    200        0064       9mn        VERIFY     1792 ms try 3   

この例の 2 つ目の部分では、ポリシーレベルの値が設定されており、到達可能ライフタイムが 50 秒に設定されています。この新しい到達可能ライフタイムは、この後に作成されたエントリにのみ適用されます。

ポリシーレベルでは到達可能ライフタイムのみが設定され、ステイルライフタイムとダウンライフタイムは設定されません。これは、2 つの新しいエントリの到達可能ライフタイムが切れ、STALE 状態または DOWN 状態に移行した場合に適用されるのが依然としてグローバル値であることを意味します。

Device(config)# device-tracking policy sisf-01
Device(config-device-tracking)# tracking enable reachable-lifetime 50
Device# show device-tracking policy sisf-01 
Device-tracking policy sisf-01 configuration: 
  security-level guard
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP6
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
  tracking enable reachable-lifetime 50    <<<< new value applies only to binding entries created after this and on interfaces and VLANs where this policy is attached.
Policy sisf-01 is applied on the following targets: 
Target               Type  Policy               Feature        Target range
Te1/0/4              PORT  sisf-01              Device-tracking vlan 200

Device# show device-tracking database         
Binding Table has 10 entries, 10 dynamic (limit 200000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   


Network Layer Address                        Link Layer Address     Interface  vlan       prlvl      age        state      Time left       
ARP 192.0.9.21                               000a.959d.6816         Te1/0/4    200        0064       5s         REACHABLE  45 s            <<<< new policy-level value applied
ARP 192.0.9.20                               000a.959d.6816         Te1/0/4    200        0064       5s         REACHABLE  46 s            <<<< new policy-level value applied
ARP 192.0.9.13                               000a.959d.6816         Te1/0/4    200        00C8       14mn       STALE     try 0 865 s           
ARP 192.0.9.12                               000a.959d.6816         Te1/0/4    200        00C8       14mn       STALE     try 0 183 s           
ARP 192.0.9.11                               000a.959d.6816         Te1/0/4    200        00C8       14mn       STALE     try 0 178 s           
ARP 192.0.9.10                               000a.959d.6816         Te1/0/4    200        00C8       14mn       STALE     try 0 165 s           
ARP 192.0.9.9                                000a.959d.6816         Te1/0/4    200        0064       23mn       STALE     try 0 327 s           
ARP 192.0.9.8                                000a.959d.6816         Te1/0/4    200        0064       23mn       STALE     try 0 286 s           
ARP 192.0.9.7                                000a.959d.6816         Te1/0/4    200        0064       23mn       STALE     try 0 303 s           
ARP 192.0.9.6                                000a.959d.6816         Te1/0/4    200        0064       23mn       STALE     try 0 306 s          

Device# show device-tracking database <<<< checking binding table again after new policy-level reachable-lifetime expires
Binding Table has 7 entries, 7 dynamic (limit 200000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   

Network Layer Address                        Link Layer Address     Interface  vlan       prlvl      age        state      Time left       
ARP 192.0.9.21                               000a.959d.6816         Te1/0/4    200        0064       3mn        STALE     try 0 887 s  <<<< global value applies for stale-lifetime;  policy-level value was not configured
ARP 192.0.9.20                               000a.959d.6816         Te1/0/4    200        0064       3mn        STALE     try 0 884 s  <<<< global value applies for stale-lifetime;  policy-level value was not configured
ARP 192.0.9.13                               000a.959d.6816         Te1/0/4    200        00C8       17mn       STALE     try 0 664 s           
ARP 192.0.9.9                                000a.959d.6816         Te1/0/4    200        0064       27mn       STALE     try 0 136 s           
ARP 192.0.9.8                                000a.959d.6816         Te1/0/4    200        0064       27mn       STALE     try 0 96 s            
ARP 192.0.9.7                                000a.959d.6816         Te1/0/4    200        0064       27mn       STALE     try 0 108 s           
ARP 192.0.9.6                                000a.959d.6816         Te1/0/4    200        0064       27mn       STALE     try 0 111 s  

例:スタティック バインディング エントリを作成する

次に、スタティック バインディング エントリを作成する例を示します。エントリの先頭にある「S」は、スタティック バインディング エントリであることを示します。
Device(config)# device-tracking binding vlan 100 192.0.2.1 interface tengigabitethernet1/0/1 00:00:5e:00:53:af reachable-lifetime infinite
Device(config)# exit
Device# show device-tracking database
Binding Table has 2 entries, 0 dynamic (limit 200000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   


    Network Layer Address                    Link Layer Address     Interface  vlan       prlvl      age        state      Time left                    
S   192.0.2.1                                0000.5e00.53af         Te1/0/1    100        0100       14s        REACHABLE  N/A             

例:グローバルレベルのアドレス制限とポリシーレベルのアドレス制限

次に、グローバルレベルとポリシーレベルでアドレス制限を設定するときに、どちらのアドレス制限に達したのかを評価する例を示します。

グローバルレベルの設定は、次のコマンド文字列で設定された値を参照します。device-tracking bindingmax-entries no_of_entries [ mac-limit no_of_entries| port-limit no_of_entries| vlan-limit no_of_entries]

ポリシーレベルのパラメータは、デバイストラッキング コンフィギュレーション モードの limit address-count オプションを参照します。

この例の最初の部分では、次のように設定されています。

  • グローバルレベルの設定:max-entries(最大エントリ数)= 30、vlan-limit(VLAN 制限)= 25、port-limit(ポート制限)= 20、mac-limit(MAC 制限)= 19

  • ポリシーレベルの設定:limit address-count(アドレス数制限)= 45

特権 EXEC コマンドの show device-tracking database details の出力は、最初にポート制限(max/port)に到達したことを示しています。ポートまたはインターフェイスでは、最大 20 のエントリが許可されます。これ以降、バインディングエントリは作成されません。MAC 制限に設定されている絶対値(19)の方が低いですが、特権 EXEC コマンドの show device-tracking database mac の出力は、テーブルのバインディングエントリのリストに一意の MAC アドレスが 3 つしかないことを示しています。したがって、この制限には達していません。

Device# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)# device-tracking binding max-entries 30 vlan-limit 25 port-limit 20 mac-limit 19
Device(config)# device-tracking policy sisf-01
Device(config-device-tracking)# limit address-count 45
Device(config-device-tracking)# end
Device# show device-tracking policy sisf-01    
Device-tracking policy sisf-01 configuration: 
  security-level guard
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP6
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
  limit address-count 45
Policy sisf-01 is applied on the following targets: 
Target               Type  Policy               Feature        Target range
Te1/0/4              PORT  sisf-01              Device-tracking vlan 200

Device# show device-tracking database details
 Binding table configuration:
 ----------------------------
 max/box  : 30
 max/vlan : 25
 max/port : 20
 max/mac  : 19

 Binding table current counters:
 ------------------------------
 dynamic  : 20
 local    : 0
 total    : 20    <<<< no further entries created after this.

 Binding table counters by state:
 ----------------------------------
 REACHABLE  : 20
   total    : 20
<output truncated>

Device# show device-tracking database        
Binding Table has 20 entries, 20 dynamic (limit 30)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   

Network Layer Address                        Link Layer Address     Interface  vlan       prlvl      age        state      Time left       
ARP 192.0.9.39                               000c.959d.6816         Te1/0/4    200        0064       14s        REACHABLE  37 s            
ARP 192.0.9.38                               000b.959d.6816         Te1/0/4    200        0064       14s        REACHABLE  37 s            
ARP 192.0.9.37                               000b.959d.6816         Te1/0/4    200        0064       14s        REACHABLE  36 s            
ARP 192.0.9.36                               000b.959d.6816         Te1/0/4    200        0064       14s        REACHABLE  39 s            
ARP 192.0.9.35                               000b.959d.6816         Te1/0/4    200        0064       14s        REACHABLE  38 s            
ARP 192.0.9.34                               000b.959d.6816         Te1/0/4    200        0064       14s        REACHABLE  37 s            
ARP 192.0.9.33                               000b.959d.6816         Te1/0/4    200        0064       15s        REACHABLE  36 s            
ARP 192.0.9.32                               000b.959d.6816         Te1/0/4    200        0064       15s        REACHABLE  37 s            
ARP 192.0.9.31                               000b.959d.6816         Te1/0/4    200        0064       15s        REACHABLE  36 s            
ARP 192.0.9.30                               000b.959d.6816         Te1/0/4    200        0064       15s        REACHABLE  36 s            
ARP 192.0.9.29                               000b.959d.6816         Te1/0/4    200        0064       15s        REACHABLE  35 s            
ARP 192.0.9.28                               000a.959d.6816         Te1/0/4    200        0064       15s        REACHABLE  36 s            
ARP 192.0.9.27                               000a.959d.6816         Te1/0/4    200        0064       16s        REACHABLE  35 s            
ARP 192.0.9.26                               000a.959d.6816         Te1/0/4    200        0064       16s        REACHABLE  36 s            
ARP 192.0.9.25                               000a.959d.6816         Te1/0/4    200        0064       16s        REACHABLE  34 s            
ARP 192.0.9.24                               000a.959d.6816         Te1/0/4    200        0064       16s        REACHABLE  35 s            
ARP 192.0.9.23                               000a.959d.6816         Te1/0/4    200        0064       16s        REACHABLE  34 s            
ARP 192.0.9.22                               000a.959d.6816         Te1/0/4    200        0064       16s        REACHABLE  36 s            
ARP 192.0.9.21                               000a.959d.6816         Te1/0/4    200        0064       17s        REACHABLE  33 s            
ARP 192.0.9.20                               000a.959d.6816         Te1/0/4    200        0064       17s        REACHABLE  33 s            

Device# show device-tracking database mac
 MAC                    Interface  vlan       prlvl      state            Time left        Policy           Input_index
 000c.959d.6816         Te1/0/4    200        NO TRUST   MAC-REACHABLE    27 s             sisf-01          12      
 000b.959d.6816         Te1/0/4    200        NO TRUST   MAC-REACHABLE    27 s             sisf-01          12      
 000a.959d.6816         Te1/0/4    200        NO TRUST   MAC-REACHABLE    27 s             sisf-01          12 
 

この例の 2 つ目の部分では、次のように設定されています。

  • グローバルレベルの設定:max-entries(最大エントリ数)= 30、vlan-limit(VLAN 制限)= 25、port-limit(ポート制限)= 20、mac-limit(MAC 制限)= 19

  • ポリシーレベルの設定:limit address-count(アドレス数制限)= 14

最初に到達するのは、ポリシーレベルのアドレス数制限(limit address-count )です。ポリシー「sisf-01」が適用されるポートまたはインターフェイスでは、最大 14 の IP アドレス(IPv4 および 1Pv6)が許可されます。これ以降、バインディングエントリは作成されません。MAC 制限に設定されている絶対値(19)の方が低いですが、テーブルのバインディングエントリのリストには一意の MAC アドレスが 3 つしかありません。したがって、この制限には達していません。

Device# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)# device-tracking policy sisf-01
Device(config-device-tracking)# limit address-count 14
Device(config-device-tracking)# end
Device# show device-tracking policy sisf-01    
Device-tracking policy sisf-01 configuration: 
  security-level guard
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP6
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
  limit address-count 14
Policy sisf-01 is applied on the following targets: 
Target               Type  Policy               Feature        Target range
Te1/0/4              PORT  sisf-01              Device-tracking vlan 200
 
すべての既存エントリのステイルライフタイムが切れ、エントリがバインディングテーブルから削除された後、再設定された値に従って新しいエントリが追加されています。
Device# show device-tracking database  <<<<checking time left for stale-lifetime to expire for existing entries. 
Binding Table has 20 entries, 20 dynamic (limit 30)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   

Network Layer Address                        Link Layer Address     Interface  vlan       prlvl      age        state     Time left       
ARP 192.0.9.39                               000c.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 316 s           
ARP 192.0.9.38                               000b.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 279 s           
ARP 192.0.9.37                               000b.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 308 s           
ARP 192.0.9.36                               000b.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 274 s           
ARP 192.0.9.35                               000b.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 279 s           
ARP 192.0.9.34                               000b.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 261 s           
ARP 192.0.9.33                               000b.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 258 s           
ARP 192.0.9.32                               000b.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 263 s           
ARP 192.0.9.31                               000b.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 266 s           
ARP 192.0.9.30                               000b.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 273 s           
ARP 192.0.9.29                               000b.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 277 s           
ARP 192.0.9.28                               000a.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 282 s           
ARP 192.0.9.27                               000a.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 272 s           
ARP 192.0.9.26                               000a.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 268 s           
ARP 192.0.9.25                               000a.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 244 s           
ARP 192.0.9.24                               000a.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 248 s           
ARP 192.0.9.23                               000a.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 284 s           
ARP 192.0.9.22                               000a.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 241 s           
ARP 192.0.9.21                               000a.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 256 s           
ARP 192.0.9.20                               000a.959d.6816         Te1/0/4    200        0064       13mn       STALE     try 0 243 s    

Device# show device-tracking database  <<<no output indicates no entries in the database
 
Device# show device-tracking database details

 Binding table configuration:
 ----------------------------
 max/box  : 30
 max/vlan : 25
 max/port : 20
 max/mac  : 19

 Binding table current counters:
 ------------------------------
 dynamic  : 14
 local    : 0
 total    : 14

 Binding table counters by state:
 ----------------------------------
 REACHABLE  : 14
   total    : 14
<output truncated>

Device# show device-tracking database          
Binding Table has 14 entries, 14 dynamic (limit 30)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   

Network Layer Address                        Link Layer Address     Interface  vlan       prlvl      age        state      Time left       
ARP 192.0.9.68                               0001.5e00.53af         Te1/0/4    200        0064       4s         REACHABLE  48 s            
ARP 192.0.9.67                               0001.5e00.53af         Te1/0/4    200        0064       4s         REACHABLE  48 s            
ARP 192.0.9.66                               0001.5e00.53af         Te1/0/4    200        0064       4s         REACHABLE  47 s            
ARP 192.0.9.65                               0001.5e00.53af         Te1/0/4    200        0064       4s         REACHABLE  48 s            
ARP 192.0.9.64                               0001.5e00.53af         Te1/0/4    200        0064       4s         REACHABLE  46 s            
ARP 192.0.9.63                               0000.5e00.53af         Te1/0/4    200        0064       7s         REACHABLE  44 s            
ARP 192.0.9.62                               0000.5e00.53af         Te1/0/4    200        0064       7s         REACHABLE  45 s            
ARP 192.0.9.61                               0000.5e00.53af         Te1/0/4    200        0064       7s         REACHABLE  43 s            
ARP 192.0.9.60                               0000.5e00.53af         Te1/0/4    200        0064       7s         REACHABLE  44 s            
ARP 192.0.9.59                               0000.5e00.53af         Te1/0/4    200        0064       7s         REACHABLE  44 s            
ARP 192.0.9.58                               0000.5e00.53af         Te1/0/4    200        0064       8s         REACHABLE  44 s            
ARP 192.0.9.57                               0000.5e00.53af         Te1/0/4    200        0064       8s         REACHABLE  44 s            
ARP 192.0.9.56                               0000.5e00.53af         Te1/0/4    200        0064       10s        REACHABLE  41 s            
ARP 192.0.9.55                               0000.5e00.53af         Te1/0/4    200        0064       10s        REACHABLE  40 s   

Device# show device-tracking database mac      
 MAC                    Interface  vlan       prlvl      state            Time left        Policy           Input_index
 0001.5e00.53af         Te1/0/4    200        NO TRUST   MAC-REACHABLE    30 s             sisf-01          12      
 0000.5e00.53af         Te1/0/4    200        NO TRUST   MAC-REACHABLE    30 s             sisf-01          12      

例:VLAN、ポート、および MAC の制限をデフォルト値に設定する

次に、1 つ以上の制限をデフォルト値にリセットする例を示します。
Device(config)# device-tracking binding max-entries 30 vlan-limit 25 port-limit 20 mac-limit 19 <<<< all three limits configured.
Device(config)#exit
Device# show device-tracking database details

 Binding table configuration:
 ----------------------------
 max/box  : 30
 max/vlan : 25
 max/port : 20
 max/mac  : 19
<output truncated>

Device# configure terminal
Device(config)# device-tracking binding max-entries 30 vlan-limit 25 <<<< only VLAN limit configured;  port-limit and mac-limit keywords leftout. 
Device(config)# exit
Device# show device-tracking database details

 Binding table configuration:
 ----------------------------
 max/box  : 30
 max/vlan : 25
 max/port : no limit    <<<reset to default
 max/mac  : no limit    <<<reset to default

例:MAC アドレスに関連するグローバルレベルの制限とポリシーレベルの制限

次の例は、グローバルレベルの MAC 制限とポリシーレベルの MAC 制限の優先順位がどのように決定されるのかを示しています。グローバル値は、許可される MAC アドレスあたりの最大エントリ数を指定します。プログラムポリシーでのみ設定可能なポリシーレベルの「MAC アドレスあたりの IPv4 制限」および「MAC アドレスあたりの IPv6 制限」により、許可される MAC アドレスあたりの IPv4 アドレス数および IPv6 アドレス数が指定されます。

この例の最初の部分では、グローバル値(MAC アドレスあたり 10 のエントリが許可される)が、ポリシーレベルの設定(MAC アドレスあたり 3 つの IPv4 アドレスが許可される)よりも高くなっています。特権 EXEC コマンドの show device-tracking database details の出力にある「Binding table current counters」(バインディングテーブルの現在のカウンタ)に、それが示されています。つまり、最初に到達するのはポリシーレベルの制限です。


Note


どのポリシーでも、手動では「MAC アドレスあたりの IPv4 制限」や「MAC アドレスあたりの IPv6 制限」を設定できないため、ポリシーレベルの設定についての設定項目は表示されません。この例では、グローバル コンフィギュレーション モードで ip dhcp snooping vlan vlan コマンドを設定することにより、DT-PROGRAMMATIC ポリシーがターゲットに適用されています。プログラムで作成されるポリシーには、このパラメータに関する制限があるため、MAC アドレスあたりの IPv4 制限が存在します。


Device# configure terminal
Device(config)# ip dhcp snooping vlan 200
Device(config)# end
Device# show device-tracking policy DT-PROGRAMMATIC
Policy DT-PROGRAMMATIC configuration:
  security-level glean (*)
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
  limit address-count for IPv4 per mac 3 (*)
  tracking enable
Policy DT-PROGRAMMATIC is applied on the following targets:
Target      Type    Policy               Feature            Target range
Te1/0/4     PORT    DT-PROGRAMMATIC      Device-tracking    vlan 200

  note:
  Binding entry Down timer: 24 hours (*)
  Binding entry Stale timer:   24 hours (*)

Device(config)# device-tracking binding max-entries 50 mac-limit 10
Device# show device-tracking database details
Binding table configuration:
 ----------------------------
 max/box  : 50
 max/vlan : no limit
 max/port : no limit
 max/mac  : 10

 Binding table current counters:
 ------------------------------
 dynamic  : 3
 local    : 0
 total    : 3

 Binding table counters by state:
 ----------------------------------
 REACHABLE  : 2
   total    : 3

Device# show device-tracking database      
Binding Table has 3 entries, 3 dynamic (limit 50)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   


Network Layer Address                    Link Layer Address     Interface  vlan       prlvl      age       state      Time left       
ARP 192.0.9.8                            000a.959d.6816         Te1/0/4    200        0064       4s        REACHABLE  25 s            
ARP 192.0.9.7                            000a.959d.6816         Te1/0/4    200        0064       4s        REACHABLE  27 s            
ARP 192.0.9.6                            000a.959d.6816         Te1/0/4    200        0064       55s       VERIFY     5s try 2       
<<<<<<policy-level limit reached;  only up to 3 IPv4 addresses per MAC address are allowed. 

Device# show device-tracking database mac
 MAC                    Interface  vlan       prlvl      state            Time left        Policy           Input_index
 000a.959d.6816         Te1/0/4    200        NO TRUST   MAC-STALE        93585 s          DT-PROGRAMMATIC          12      
 

この例の 2 つ目の部分では、グローバル値(MAC アドレスあたり 2 つのエントリが許可される)が、ポリシーレベルの設定(MAC アドレスあたり 3 つの IPv4 アドレスが許可される)よりも低くなっています。特権 EXEC コマンドの show device-tracking database details の出力にある「Binding table current counters」(バインディングテーブルの現在のカウンタ)に、それが示されています。つまり、最初に到達するのはポリシーレベルの制限です。


Device# show device-tracking policy DT-PROGRAMMATIC

Policy DT-PROGRAMMATIC configuration:
  security-level glean (*)
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
  limit address-count for IPv4 per mac 3 (*)
  tracking enable
Policy DT-PROGRAMMATIC is applied on the following targets:
Target      Type    Policy               Feature            Target range
Te1/0/4     PORT    DT-PROGRAMMATIC      Device-tracking    vlan 200

  note:
  Binding entry Down timer: 24 hours (*)
  Binding entry Stale timer:   24 hours (*)

Device(config)# device-tracking binding max-entries 50 mac-limit 2
Device# show device-tracking database details
Binding table configuration:
 ----------------------------
 max/box  : 50
 max/vlan : no limit
 max/port : no limit
 max/mac  : 2

 Binding table current counters:
 ------------------------------
 dynamic  : 2
 local    : 0
 total    : 2

 Binding table counters by state:
 ----------------------------------
 REACHABLE  : 2
   total    : 2

Device# show device-tracking database   
Binding Table has 3 entries, 3 dynamic (limit 50)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   


Network Layer Address                    Link Layer Address     Interface  vlan       prlvl      age       state      Time left       
ARP 192.0.9.3                            000a.959d.6816         Te1/0/4    200        0064       5s        REACHABLE   27 s            
ARP 192.0.9.4                            000a.959d.6816         Te1/0/4    200        0064       6s        REACHABLE   20 s            

<<<<<<global limit reached;  only up to 2 binding entries per MAC address is allowed. 

Device# show device-tracking database mac
 MAC                    Interface  vlan       prlvl      state            Time left        Policy           Input_index
 000a.959d.6816         Te1/0/4    200        NO TRUST   MAC-STALE        93585 s          DT-PROGRAMMATIC       12      
 

device-tracking logging

パケットドロップ、未解決パケット、MAC または IP 盗難の疑いなどのスヌーピング セキュリティ イベントをログに記録するには、グローバル コンフィギュレーション モードで device-tracking logging コマンドを設定します。ロギングをディセーブルにするには、このコマンドの no 形式を入力します。

device-tracking logging [ packet drop | resolution-veto | theft ]

no device-tracking logging [ packet drop | resolution-veto | theft ]

Syntax Description

packet drop

パケットドロップイベントをログに記録します。

resolution-veto

未解決パケットイベントをログに記録します。

theft

IP および MAC 盗難イベントをログに記録します。

Command Default

イベントはログに記録されません。

Command Modes

グローバル コンフィギュレーション(Device(config)#)

Command History

リリース 変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

スヌーピング セキュリティ イベントに関して生成されるログのシビラティ(重大度)レベルは 4(つまり、警告)です。次に例を示します。

%SISF-4-PAK_DROP: Message dropped A=FE80::20D:FF:FE0E:F G=- V=10 I=Tu0 P=NDP::RA Reason=Packet not authorized on port

特権 EXEC モードで show logging | include SISF-4 コマンドを入力すると、スヌーピング セキュリティ ログを表示できます。

ログが生成されるスヌーピングイベントの詳細については、対応するリリースのシステムメッセージガイドを参照してください。「SISF-4」を検索してください。

パケットドロップイベント

packet drop キーワードを設定すると、パケットがドロップされるたびにログが生成されます。ログには、パケットドロップの理由も記載されます。この理由には次のものが含まれます(これらだけではありません)。

  • Packet not authorized on port(ポートで認可されていないパケット):これは、設定に基づいて、この種類のパケットがポートで予期されないため、セキュリティ機能によりパケットがドロップされたことを意味します。このようなセキュリティ機能とパケットがドロップされる状況の例としては、「ルータ アドバタイズメント ガード機能は、ルータ側ポートとして設定されていないポートで IPv6 ルータ アドバタイズメント パケットを受信した場合、そのパケットのドロップを決定することがある」や「DHCP ガード機能は、サーバー側ポートとして設定されていないポートで DHCP サーバーからのパケット(DHCP OFFER または DHCP REPLY)を受信した場合、そのパケットをドロップすることがある」などがあります(もちろん、これらだけではありません)。

  • Packet accepted but not forwarded(受信されるが転送されないパケット):これは、パケットは転送されないが、バインディング情報を収集するためにそのパケットが依然として有効であると見なされることを意味します。これは、通常、検証フェーズ中(バインディングが過渡的な状態にあるとき)にホストからのパケットが SISF によって認識されたときに見られます。

  • Malformed Packet dropped in Guard mode(ガードモードでドロップされる不正な形式のパケット):これは、着信パケットの形式が不正であり、正しく解析できないことを意味します。

  • Packet is throttled(パケットがスロットルされる):これは、時間間隔内にパケットのスロットリング制限を超えたためにパケットがドロップされたことを意味します。システムは、5 秒間に最大 50 パケットを許可します。

  • Silent drop(サイレントドロップ):これは、デバイストラッキング インスタンスが、複数のスイッチにまたがる異なるインスタンス間で通信するために生成されたパケットか、デバイストラッキングによってトリガーされたアクションへの応答として生成されたパケットに対して発生します。たとえば、ホストの到達可能性のステータスを判断するためにデバイストラッキングによって開始されたプローブでの応答です。

  • Martian packet(Martian パケット):これは、着信パケットが Martian 送信元 IP アドレス(マルチキャスト、ループバック、または未指定のアドレスなど)を持っているためにドロップされたことを意味します。

  • Martian mac(Martian MAC):これは、着信パケットが Martian MAC またはリンク層の送信元アドレスを持っているためにドロップされたことを意味します。

  • Address limit per box reached(ボックスあたりのアドレス制限に達した):これは、グローバル コンフィギュレーション コマンドの device-tracking binding max-entries no_of_entries で設定された制限に達したために着信パケットがドロップされたことを意味します。現在の制限を表示するには、特権 EXEC コマンドの show device-tracking database details を入力します。

  • Address limit per vlan reached(VLAN あたりのアドレス制限に達した):これは、グローバル コンフィギュレーション コマンドの device-tracking binding max-entries no_of_entries vlan-limit no_of_entries で設定された制限に達したために着信パケットがドロップされたことを意味します。現在の制限を表示するには、特権 EXEC コマンドの show device-tracking database details を入力します。

  • Address limit per port reached(ポートあたりのアドレス制限に達した):これは、グローバル コンフィギュレーション コマンドの device-tracking binding max-entries no_of_entries port-limit no_of_entries で設定された制限に達したために着信パケットがドロップされたことを意味します。現在の制限を表示するには、特権 EXEC コマンドの show device-tracking database details を入力します。

  • Address limit per policy reached(ポリシーごとのアドレス制限に達した):これは、デバイス トラッキング コンフィギュレーション モードで limit address-count ip-per-port キーワードを使用して設定された制限に達したために着信パケットがドロップされたことを意味します。これはポリシーレベルで設定されます。現在の制限を表示するには、特権 EXEC コマンドの show device-tracking policypolicy-name を入力します。

  • Address limit per mac reached(MAC あたりのアドレス制限に達した):これは、グローバル コンフィギュレーション コマンドの device-tracking binding max-entries no_of_entries mac-limit no_of_entries で設定された制限に達したために着信パケットがドロップされたことを意味します。現在の制限を表示するには、特権 EXEC コマンドの show device-tracking database details を入力します。

  • Address Family limit per mac reached(MAC あたりのアドレスファミリ制限に達した):これは、プログラムポリシーで指定された MAC あたりの IPv4 制限または MAC あたりの IPv6 制限に達したために着信パケットがドロップされたことを意味します。このポリシーパラメータは設定できません。プログラムで作成されたポリシーには、MAC あたりの IPv4 制限と MAC あたりの IPv6 制限のいずれかまたはその両方が含まれる場合およびその両方が含まれない場合があります。制限が存在する場合、制限を表示するには、特権 EXEC コマンドの show device-tracking policypolicy-name を入力します。

解決拒否イベント

resolution-veto キーワードを設定すると、未解決パケットごとにログが生成されます。このロギングオプションは、IPv6 宛先ガード機能もイネーブルになっている場合にのみ使用することが意図されています。

IPv6 宛先ガード機能は、リンク上でアクティブであると認識されているアドレスについてのみ、デバイスがアドレス解決を行うようにします。リンク上でアクティブなすべての宛先がバインディングテーブルに入力されます。バインディングテーブルに宛先が見つからない場合、アドレス解決は行われません。resolution-veto ロギングを設定することにより、このような未解決パケットを追跡できます。

resolution-veto キーワードが設定されていても、IPv6 宛先ガード機能が設定されていなければ、ログは生成されません。

盗難イベント

theft キーワードを設定すると、SISF が IP アドレスの盗難や MAC アドレスの盗難を検出したときにログが生成されます。

ログでは、検証されたバインディング情報(IP、MAC アドレス、インターフェイス、VLAN)の前に「Known」という用語が付加されます。不審な IP アドレスおよび MAC アドレスの前には「New」または「Cand」という用語が付加されます。不審な IP アドレスまたは MAC アドレスとともインターフェイスおよび VLAN 情報も提供されます。これは、不審なトラフィックがどこに現れたのかを特定するために役立ちます。

たとえば、次の MAC 盗難ログを参照してください。
%SISF-4-MAC_THEFT: MAC Theft Cand IP=2001::12B VLAN=70 MAC=9cfc.e85e.139d Cand I/F=Gi1/0/4 Known IP=71.0.0.96 Known I/F=Ac0

このログに含まれる「Cand IP=2001::12B」、「VLAN=70」、および「Cand I/F=Gi1/0/4」は、不審なホストの IP アドレスとそれが現れたインターフェイスを示しています。

このログに含まれる「MAC=9cfc.e85e.139d」は、不審なホストが使用している既知の MAC アドレスを示しています。

このログに含まれる「Known IP=71.0.0.96」および「Known I/F=Ac0」は、既存の検証済みエントリの IP アドレスおよびインターフェイスを示しています。

Examples

Examples

次に、パケットドロップイベントに関して生成されるログの例を示します。

%SISF-4-PAK_DROP: Message dropped A=FE80::20D:FF:FE0E:F G=- V=10 I=Tu0 P=NDP::RA Reason=Packet not authorized on port 

%SISF-4-PAK_DROP: Message dropped A=20.0.0.1 M=dead.beef.0001 V=20 I=Gi1/0/23 P=ARP Reason=Packet accepted but not forwarded 

Examples

次に、IP 盗難イベントおよび MAC 盗難イベントに関して生成されるログの例を示します。
%SISF-4-MAC_AND_IP_THEFT: MAC_AND_IP Theft A=FE80::EE1D:8BFF:FE9B:102 V=102 I=Vl102 M=ec1d.8b9b.0102 New=Tu0

%SISF-4-MAC_THEFT: MAC Theft IP=192.2.1.2 VLAN=102 MAC=cafe.cafe.cafe I/F=Gi1/0/3 New I/F over fabric 

%SISF-4-IP_THEFT: IP Theft IP=FE80::9873:1D5E:E6E9:1F7E VLAN=20 MAC=2079.18d5.13ad IF=Ac0 New I/F over fabric 

%SISF-4-IP_THEFT: IP Theft IP=10.0.187.5 VLAN=10 Cand-MAC=0069.0000.0001 Cand-I/F=Gi1/0/23 Known MAC over-fabric Known I/F over-fabric

%SISF-4-MAC_THEFT: MAC Theft Cand IP=2001::12B VLAN=70 MAC=9cfc.e85e.139d Cand I/F=Gi1/0/4 Known IP=71.0.0.96 Known I/F=Ac0

device-tracking policy

カスタム デバイストラッキング ポリシーを作成し、デバイストラッキング コンフィギュレーション モードを開始してポリシーのさまざまなパラメータを設定するには、グローバル コンフィギュレーション モードで device-tracking policy コマンドを入力します。デバイス トラッキング ポリシーを削除するには、このコマンドの no 形式を使用します。

device-tracking policy policy-name

no device-tracking policy policy-name

Syntax Description

policy-name

指定された名前でデバイストラッキング ポリシーを作成します(まだ存在しない場合)。プログラムで作成されたポリシーの名前を指定することもできます。

ポリシー名を設定すると、デバイスはデバイストラッキング コンフィギュレーション モードを開始し、ポリシーパラメータを設定できるようになります。設定可能なポリシーパラメータのリストを表示するには、システムプロンプトで疑問符(?)を入力します。

Command Default

SISF ベースのデバイストラッキングはディセーブルになっています。

Command Modes

グローバル コンフィギュレーション(Device(config)#)

Command History

リリース 変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Cisco IOS XE Fuji 16.9.1

任意のプログラムで作成されるポリシーのパラメータを変更するオプションは廃止されました。

Usage Guidelines

グローバル コンフィギュレーション モードで device-tracking policypolicy-name コマンドを入力すると、システムは指定された名前でカスタムポリシーを作成し(まだ存在しない場合)、デバイストラッキング コンフィギュレーション モードを開始します。このモードでは、ポリシーパラメータを設定できます。

ポリシーを作成してそのパラメータを設定したら、それをインターフェイスまたは VLAN にアタッチする必要があります。その後にのみ、ネットワークに入るパケットからバインディング情報(IP および MAC アドレス)を抽出するアクティビティとバインディングエントリの作成が実際に開始されます。ポリシーのアタッチの詳細については、device-tracking(インターフェイス コンフィギュレーション)device-tracking(VLAN コンフィギュレーション)を参照してください。

デバイスで使用可能なすべてのポリシーとアタッチの対象に関する詳細情報を表示するには、特権 EXEC モードで show device-tracking policies detail コマンドを入力します。

ポリシーパラメータの設定

ポリシーのパラメータを設定できるのは、カスタムポリシーの場合のみです。プログラムポリシーのパラメータは変更できません。また、デフォルトポリシーのパラメータも変更できません。

ポリシーのパラメータのリストを表示するには、デバイストラッキング コンフィギュレーション モードのシステムプロンプトで疑問符(?)を入力します。
Device(config)# device-tracking policy sisf-01
Device(config-device-tracking)# ?                  
device-tracking policy configuration mode:
  data-glean            binding recovery by data traffic source address
                        gleaning
  default               Set a command to its defaults
  destination-glean     binding recovery by data traffic destination address
                        gleaning
  device-role           Sets the role of the device attached to the port
  distribution-switch   Distribution switch to sync with
  exit                  Exit from device-tracking policy configuration mode
  limit                 Specifies a limit
  medium-type-wireless  Force medium type to wireless
  no                    Negate a command or set its defaults
  prefix-glean          Glean prefixes in RA and DHCP-PD traffic
  protocol              Sets the protocol to glean (default all)
  security-level        setup security level
  tracking              Override default tracking behavior
  trusted-port          setup trusted port
  vpc                   setup vpc port

キーワード

説明

data-glean

ネットワーク内の送信元からスヌーピングされたデータパケットのアドレス学習をイネーブルにして、データトラフィックの送信元アドレスをバインディングテーブルに取り込みます。次のいずれかのオプションを入力します。

  • log-only :データパケット通知時に syslog メッセージを生成します。

  • recovery :プロトコルを使用してバインディングテーブルの回復をイネーブルにします。NDP または DHCP を入力します。

default

ポリシーパラメータをデフォルト値に設定します。次のポリシー属性をデフォルト値に設定できます。

  • data-glean :送信元アドレスは学習または収集されません。

  • destination-glean :宛先アドレスは学習または収集されません。

  • device-role :ノード。

  • distribution-switch :サポートされていません。

  • limit :アドレス数の制限は設定されません。

  • medium-type-wireless :<tbd>

  • prefix-glean :プレフィックスは学習されません。

  • protocol :すべてのプロトコル(ARP、DHCP4、DHCP6、NDP、および UDP)のアドレスが収集されます。

  • security-level :ガード。

  • tracking :ポーリングはディセーブルになります。

  • trusted-port :ディセーブルになります。つまり、設定されたターゲットでガード機能がイネーブルになります。

  • vpc :サポートされていません。

destination-glean

データトラフィックの宛先アドレスを収集して、バインディングテーブルの作成をイネーブルにします。次のいずれかのオプションを入力します。

  • log-only :データパケット通知時に syslog メッセージを生成します。

  • recovery :プロトコルを使用してバインディングテーブルの回復をイネーブルにします。NDP または DHCP を入力します。

device-role

ポートに面するデバイスのタイプを示します。これは次のいずれかです。

  • node :ポートのバインディングエントリの作成を許可します。

  • switch :ポートのバインディングエントリの作成を停止します。このオプションは、大規模なデバイストラッキング テーブルの可能性が非常に高いマルチスイッチセットアップに適しています。このとき、デバイスに面するポート(アップリンクトランクポート)では、バインディングエントリの作成を停止するように設定できます。トランクポートの反対側のスイッチではデバイストラッキングがイネーブルにされ、バインディングエントリの有効性がチェックされるため、このようなポートに到着するトラフィックは信頼できます。

    このオプションは、通常、trusted-port キーワードとともに使用されます。アップリンクトランクポートで device-role オプションと trusted-port オプションの両方を設定すると、効率的で拡張可能な「セキュアゾーン」を構築できます。バインディング テーブル エントリの作成を効率的に分散させる(したがって、より小さなバインディングテーブルを保つ)ように、両方のパラメータを設定する必要があります。

distribution-switch

このキーワードは、CLI のヘルプに表示されますが、サポートされていません。どの設定も有効になりません。

exit

デバイストラッキング コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードに戻ります。

limit address-count

ポートごとに許可される IPv4 アドレスおよび IPv6 アドレスの最大数を設定します。この制限の目的は、バインディングエントリが既知のホストおよび予期されるホストのみに制限されるようにすることです。

ip-per-port :ポートで許可する IP アドレスの最大数を入力します。この制限は、IPv4 アドレスと IPv6 アドレスの全体に適用されます。制限に達すると、バインディングテーブルに IP アドレスを追加できなくなり、新しいホストからのトラフィックはドロップされます。

1 ~ 32000 の値を入力します。

medium-type-wireless

このキーワードは、CLI のヘルプに表示されますが、サポートされていません。どの設定も有効になりません。

no

コマンドを無効にします。つまり、ポリシーパラメータをデフォルト値に戻します。

デフォルト値については、default キーワードを参照してください。

  • data-glean

  • destination-glean

  • device-role

  • distribution-switch :サポートされていません。

  • limit address-count

  • medium-type-wireless

  • prefix-glean

  • protocol

  • security-level

  • tracking

  • trusted-port

  • vpc :サポートされていません。

prefix-glean only

IPv6 ルータアドバタイズメントまたは DHCP-PD のどちらかからのプレフィックスの学習をイネーブルにします。次のオプションがあります。

(任意)only :プレフィックスのみを収集し、ホストアドレスは収集しません。

protocol

指定されたプロトコルのアドレスを収集します。デフォルトでは、すべてが収集されます。次のいずれかのオプションを入力します。

  • arp [prefix-list name] :ARP パケットのアドレスを収集します。必要に応じて、照合するプレフィックスリストの名前を入力します。

  • dhcp4 [prefix-list name] :DHCPv4 パケットのアドレスを収集します。必要に応じて、照合するプレフィックスリストの名前を入力します。

  • dhcp6 [prefix-list name] :DHCPv6 パケットのアドレスを収集します。必要に応じて、照合するプレフィックスリストの名前を入力します。

  • ndp [prefix-list name] :NDP パケットのアドレスを収集します。必要に応じて、照合するプレフィックスリストの名前を入力します。

  • udp [prefix-list name] :このオプションは、CLI のヘルプに表示されますが、サポートされていません。どの設定も有効になりません。

security-level

適用されるセキュリティのレベルを指定します。パケットがネットワークに入ると、SISF が IP アドレスと MAC アドレス(パケットの送信元)を抽出します。後続のアクションは、ポリシーで設定されているセキュリティレベルによって決まります。

次のいずれかのオプションを入力します。

  • glean :IP アドレスと MAC アドレスを抽出し、検証なしでバインディングテーブルに入力します。ホストについてのみ学習し、バインディングエントリの認証に関して SISF に依存しない場合は、このオプションを使用します。

  • guard :IP アドレスと MAC アドレスを抽出し、この情報をバインディングテーブルと照合します。検証の結果により、バインディングエントリが追加または更新されるか、またはパケットがドロップされてクライアントが拒否されるかが決まります。

    これは、セキュリティレベル パラメータのデフォルト値です。

  • inspect :このキーワードは CLI で使用できますが、使用しないことを推奨します。上記の glean および guard オプションは、ほぼすべての使用例とネットワーク要件に対応します。

tracking

到達可能ライフタイムが切れた後にエントリがポーリングされるかどうかを決定します。ポーリングは、ホストの状態、まだ接続されているかどうか、および通信しているかどうかを確認するための、ホストの定期的な条件付きチェックです。ポーリングの詳細については、この後の「使用上のガイドライン」を参照してください。

デフォルトでは、ポーリングはイネーブルになっていません。

次のいずれかのオプションを入力します。

  • disable :ポーリングアクションをオフにします。

    [stale-lifetime {seconds | infinite} ] :必要に応じて、ステイルライフタイムを設定することもできます。その場合は、ステイルライフタイム タイマーに関して次のいずれかを設定します。

    • seconds :ステイルライフタイム タイマーの値を設定します。1 ~ 86400 秒の値を入力します。デフォルト値は 86400 秒(24 時間)です。

    • infinite :STALE 状態のタイマーをディセーブルにします。これは、エントリが STALE 状態になったときにタイマーが開始されず、エントリが無期限に STALE 状態のままになることを意味します。

  • enable :ポーリングアクションをオンにします。

    [reachable-lifetime [seconds | infinite] ] :必要に応じて、到達可能ライフタイムを設定することもできます。その場合は、到達可能ライフタイムタイマーに関して次のいずれかを設定します。

    • seconds :到達可能ライフタイムタイマーの値を設定します。1 ~ 86400 秒の値を入力します。デフォルトは 300 秒(5 分)です。

    • infinite :REACHABLE 状態のタイマーをディセーブルにします。これは、エントリが REACHABLE 状態になったときにタイマーが開始されず、エントリが無期限に REACHABLE 状態のままになることを意味します。

trusted-port

このオプションにより、設定されたターゲットでガード機能がディセーブルになります。trusted-port を経由して学習されたバインディングは、他のどのポートを経由して学習されたバインディングよりも優先されます。また、テーブル内にエントリを作成しているときに衝突が発生した場合も、信頼できるポートが優先されます。

このオプションは、通常、device-role キーワードとともに使用されます。アップリンクトランクポートで device-role オプションと trusted-port オプションの両方を設定すると、バインディング テーブル エントリの作成を効率的に分散させる(したがって、より小さなバインディングテーブルを保つ)ことができます。

vpc

このオプションは、CLI のヘルプに表示されますが、サポートされていません。どの設定も有効になりません。

グローバル設定とポイシーレベル設定

デバイストラッキング コンフィギュレーション モードでポリシーパラメータを設定します。ポリシーに関して設定した内容は、そのポリシーにのみ適用されます。一部のポリシーパラメータについては、グローバル コンフィギュレーション モードにも対応するパラメータがあります。グローバルレベルの対応するパラメータの詳細と、優先される値(グローバルに設定された値かポリシーレベルの値か)については、device-tracking bindingを参照してください。

ホストのポーリング

tracking ポリシーパラメータを設定する場合、到達可能ライフタイムが切れると、スイッチがポーリング要求を送信します。スイッチは、システムが決定した固定の間隔で、最大 3 回ホストをポーリングします。また、グローバル コンフィギュレーション モードで device-tracking tracking retry-interval seconds コマンドを使用して間隔を指定することもできます。ポーリング要求は、Address Resolution Protocol(ARP)プローブまたはネイバー送信要求メッセージの形式です。この間、エントリの状態は VERIFY に変わります。

ポーリング応答が受信されると(ホストの到達可能性が確認されると)、エントリの状態は REACHABLE に戻ります。スイッチが 3 回試行してもポーリング応答を受信しない場合、エントリは STALE 状態に変わります。


Note


tracking ポリシーパラメータを使用すると、ポーリングがグローバル コンフィギュレーション レベルでイネーブルにされているかディセーブルにされているか(グローバル コンフィギュレーション モードの device-tracking tracking コマンド)に関係なく、ポリシーレベルでポーリングをイネーブルまたはディセーブルにできます。例:ポリシーレベルでポーリングをディセーブルにするおよびdevice-tracking trackingを参照してください。


アドレス数の制限の変更

limit address-count ポリシーパラメータを使用して制限を設定してから変更した場合、新しい制限は変更後に学習されたエントリにのみ適用されます。さらに、新しい制限が以前の制限より高いか低いかに関係なく、既存のエントリは影響を受けず、バインディングエントリのライフサイクルを通過できます。

バインディングテーブルがいっぱいになっている(以前の制限に従って)場合、既存のエントリがライフサイクルを完了するまで、新しいエントリは追加されません。SISF は、非アクティブエントリのみを識別して削除することにより、新しいエントリのためのスペースを作成しようとします。ただし、エントリがアクティブである場合、それらのエントリは削除されず、バインディングエントリのライフサイクルを通過できます。

低くした新しい制限をすぐに有効にするには、次のいずれかのオプションを使用できます。

  • 特権 EXEC モードで clear device-tracking database コマンドを入力し、インターフェイスまたは VLAN を指定します。これにより、指定されたターゲットのデータベースのみから既存のすべてのエントリが削除されます。その後、新しいエントリが学習され、現在のアドレス数制限の設定に従って追加されます。例:アドレス数の制限を変更するを参照してください。

  • 必要なターゲットでポリシーを削除して再アタッチします。ポリシーを削除するには、インターフェイスまたは VLAN コンフィギュレーション モードで no device-tracking policypolicy-name コマンドを入力します。インターフェイスまたは VLAN からポリシーを削除すると、ターゲットにアタッチされているバインディングが削除されます。それを再アタッチするには、インターフェイスまたは VLAN コンフィギュレーション モードで device-tracking policypolicy-name コマンドを入力します。ポリシーを再アタッチすると、新しい制限に従ってすべてのバインディングエントリが学習されます。

Examples

Examples

次に、ポーリングがグローバルレベルでイネーブルになっている場合でも、ポリシーレベルでポーリングをディセーブルにする例を示します。ここでは、ポリシー sisf-01 が適用されるすべてのインターフェイスおよび VLAN についてポーリングがディセーブルになっています。
Device# configure terminal                          
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)# device-tracking tracking
Device(config)# exit
Device# show running-config | include device-tracking device-tracking tracking
device-tracking policy sisf-01
 device-tracking attach-policy sisf-01
 device-tracking attach-policy sisf-01 vlan 200
device-tracking binding reachable-lifetime 700 stale-lifetime 1000 down-lifetime 200
device-tracking binding logging

Device# configure terminal                          
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)# device-tracking policy sisf-01
Device(config-device-tracking)# tracking disable
Device(config-device-tracking)# end
Device# show device-tracking policy sisf-01
Device-tracking policy sisf-01 configuration: 
  security-level guard
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP6
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
  limit address-count 5
  tracking disable
Policy sisf-01 is applied on the following targets: 
Target               Type  Policy               Feature        Target range
Te1/0/4              PORT  sisf-01              Device-tracking vlan 200
vlan 200             VLAN  sisf-01              Device-tracking vlan all

Examples

次に、limit address-count ポリシーパラメータ設定の変更をすぐに有効にする例を示します。この例では、変更した設定をすぐに有効にするために、clear コマンドを使用して、バインディングテーブルからすべてのエントリを削除します。
Device# show device-tracking policy sisf-01
Device-tracking policy sisf-01 configuration: 
  security-level guard
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP6
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
  limit address-count 25
Policy sisf-01 is applied on the following targets: 
Target               Type  Policy               Feature        Target range
Te1/0/4              PORT  sisf-01              Device-tracking vlan 200
vlan 200             VLAN  sisf-01              Device-tracking vlan all

Device# show running-config | include device-tracking
device-tracking policy sisf-01
 device-tracking attach-policy sisf-01
 device-tracking attach-policy sisf-01 vlan 200
device-tracking binding reachable-lifetime 700 stale-lifetime 1000 down-lifetime 200
device-tracking binding logging


*Dec 13 15:08:50.723: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.25 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.723: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.26 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.724: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.27 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.724: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.28 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.724: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.29 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.724: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.30 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.725: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.31 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.725: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.32 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.725: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.33 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.725: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.34 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.726: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.35 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.726: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.36 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.726: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.37 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.726: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.38 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.727: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.39 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.727: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.40 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.727: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.41 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.727: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.42 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.728: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.43 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.728: %SISF-6-ENTRY_MAX_ORANGE: Reaching 80% of max adr allowed per policy (25) V=200 I=Te1/0/4 M=001d.4411.3ab7
*Dec 13 15:08:50.728: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.44 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.728: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.45 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.728: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.46 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.729: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.47 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.729: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.48 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:08:50.729: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.49 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF

Device# show device-tracking database Binding Table has 25 entries, 25 dynamic (limit 200000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   


    Network Layer Address                    Link Layer Address     Interface  vlan       prlvl      age        state      Time left       
ARP 192.0.9.49                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  699 s           
ARP 192.0.9.48                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  691 s           
ARP 192.0.9.47                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  687 s           
ARP 192.0.9.46                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  714 s           
ARP 192.0.9.45                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  692 s           
ARP 192.0.9.44                               001d.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  702 s           
ARP 192.0.9.43                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  680 s           
ARP 192.0.9.42                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  708 s           
ARP 192.0.9.41                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  683 s           
ARP 192.0.9.40                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  708 s           
ARP 192.0.9.39                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  710 s           
ARP 192.0.9.38                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  697 s           
ARP 192.0.9.37                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  707 s           
ARP 192.0.9.36                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  695 s           
ARP 192.0.9.35                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  708 s           
ARP 192.0.9.34                               001c.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  706 s           
ARP 192.0.9.33                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  683 s           
ARP 192.0.9.32                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  697 s           
ARP 192.0.9.31                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  683 s           
ARP 192.0.9.30                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  678 s           
ARP 192.0.9.29                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  696 s           
ARP 192.0.9.28                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  704 s           
ARP 192.0.9.27                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  713 s           
ARP 192.0.9.26                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  695 s           
ARP 192.0.9.25                               001b.4411.3ab7         Te1/0/4    200        00FF       22s        REACHABLE  686 s           
アドレス数の制限が減らされて、25 から 5 に変更されます。ただし、既存のエントリは、バインディングエントリのライフサイクルを完了していないため、バインディングテーブルから削除されません。新しいアドレス数の制限(5)をすぐに有効にするには、clear device-tracking database コマンドを使用して既存のエントリをすべて削除します。その後、新しいエントリが学習され、現在のアドレス数制限の設定に従って追加されます。

Device# configure terminal    
Device(config)# device-tracking policy sisf-01
Device(config-device-tracking)# limit address-count 5
Device(config-device-tracking)# end
Device# show device-tracking policy sisf-01
Device-tracking policy sisf-01 configuration: 
  security-level guard
  device-role node
  gleaning from Neighbor Discovery
  gleaning from DHCP6
  gleaning from ARP
  gleaning from DHCP4
  NOT gleaning from protocol unkn
  limit address-count 5
Policy sisf-01 is applied on the following targets: 
Target               Type  Policy               Feature        Target range
Te1/0/4              PORT  sisf-01              Device-tracking vlan 200
vlan 200             VLAN  sisf-01              Device-tracking vlan all

Device# show device-tracking database                   
Binding Table has 25 entries, 25 dynamic (limit 200000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   


    Network Layer Address                    Link Layer Address     Interface  vlan       prlvl      age        state      Time left       
ARP 192.0.9.49                               001d.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  654 s           
ARP 192.0.9.48                               001d.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  646 s           
ARP 192.0.9.47                               001d.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  642 s           
ARP 192.0.9.46                               001d.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  669 s           
ARP 192.0.9.45                               001d.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  647 s           
ARP 192.0.9.44                               001d.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  657 s           
ARP 192.0.9.43                               001c.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  635 s           
ARP 192.0.9.42                               001c.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  663 s           
ARP 192.0.9.41                               001c.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  638 s           
ARP 192.0.9.40                               001c.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  663 s           
ARP 192.0.9.39                               001c.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  665 s           
ARP 192.0.9.38                               001c.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  652 s           
ARP 192.0.9.37                               001c.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  662 s           
ARP 192.0.9.36                               001c.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  650 s           
ARP 192.0.9.35                               001c.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  663 s           
ARP 192.0.9.34                               001c.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  661 s           
ARP 192.0.9.33                               001b.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  637 s           
ARP 192.0.9.32                               001b.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  652 s           
ARP 192.0.9.31                               001b.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  638 s           
ARP 192.0.9.30                               001b.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  633 s           
ARP 192.0.9.29                               001b.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  651 s           
ARP 192.0.9.28                               001b.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  658 s           
ARP 192.0.9.27                               001b.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  668 s           
ARP 192.0.9.26                               001b.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  650 s           
ARP 192.0.9.25                               001b.4411.3ab7         Te1/0/4    200        00FF       67s        REACHABLE  641 s           

Device# clear device-tracking database

*Dec 13 15:10:22.837: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.49 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.838: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.48 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.838: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.47 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.838: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.46 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.839: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.45 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.839: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.44 VLAN=200 MAC=001d.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.839: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.43 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.839: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.42 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.840: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.41 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.840: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.40 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.840: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.39 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.841: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.38 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.841: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.37 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.841: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.36 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.842: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.35 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.842: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.34 VLAN=200 MAC=001c.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.842: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.33 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.842: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.32 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.843: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.31 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.843: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.30 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.843: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.29 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.844: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.28 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.844: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.27 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.844: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.26 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:10:22.844: %SISF-6-ENTRY_DELETED: Entry deleted IP=192.0.9.25 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF

Device# show device-tracking database 
<no output; binding table cleared>

*Dec 13 15:11:38.346: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.25 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:11:38.346: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.26 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:11:38.347: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.27 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:11:38.347: %SISF-6-ENTRY_MAX_ORANGE: Reaching 80% of max adr allowed per policy (5) V=200 I=Te1/0/4 M=001b.4411.3ab7
*Dec 13 15:11:38.347: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.28 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF
*Dec 13 15:11:38.347: %SISF-6-ENTRY_CREATED: Entry created IP=192.0.9.29 VLAN=200 MAC=001b.4411.3ab7 I/F=Te1/0/4 Preflevel=00FF

Device# show device-tracking database
Binding Table has 5 entries, 5 dynamic (limit 200000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match     0002:Orig trunk            0004:Orig access           
0008:Orig trusted trunk    0010:Orig trusted access   0020:DHCP assigned         
0040:Cga authenticated     0080:Cert authenticated    0100:Statically assigned   


    Network Layer Address                    Link Layer Address     Interface  vlan       prlvl      age        state      Time left       
ARP 192.0.9.29                               001b.4411.3ab7         Te1/0/4    200        00FF       15s        REACHABLE  716 s           
ARP 192.0.9.28                               001b.4411.3ab7         Te1/0/4    200        00FF       15s        REACHABLE  702 s           
ARP 192.0.9.27                               001b.4411.3ab7         Te1/0/4    200        00FF       15s        REACHABLE  705 s           
ARP 192.0.9.26                               001b.4411.3ab7         Te1/0/4    200        00FF       15s        REACHABLE  716 s           
ARP 192.0.9.25                               001b.4411.3ab7         Te1/0/4    200        00FF       15s        REACHABLE  718 s       

device-tracking tracking

IPv4 および IPv6 のポーリングをイネーブルにして、ポーリングパラメータを設定するには、グローバル コンフィギュレーション モードで device-tracking tracking コマンドを設定します。ポーリングをディセーブルにするには、このコマンドの no 形式を入力します。


Note


このコマンドは、SISF ベースのデバイストラッキング機能をイネーブルにしません。これにより、デバイストラッキング機能がイネーブルになっているデバイスでのポーリングパラメータの設定が可能になります。


device-tracking tracking [ auto-source [ fallback ipv4_and_fallback_source_mask ip_prefix_mask [ override ] | retry-interval seconds ]

no device-tracking tracking [ auto-source | retry-interval ]

Syntax Description

auto-source

Address Resolution Protocol(ARP)プローブの送信元アドレスが、次の優先順位で使用されるようにします。

  • 第 1 の優先事項は、SVI が設定されている場合に、送信元アドレスを VLAN SVI に設定することです。

  • 第 2 の優先事項は、同じサブネットからデバイストラッキング テーブル内の IP-MAC バインディングエントリを見つけ、それを送信元アドレスとして使用することです。

  • 第 3 かつ最後の優先事項は、送信元アドレスとして 0.0.0.0 を使用することです。

fallback ipv4_and_fallback_source_maskip_prefix_mask

ARP プローブの送信元アドレスが、次の優先順位で使用されるようにします。

  • 第 1 の優先事項は、SVI が設定されている場合に、送信元アドレスを VLAN SVI に設定することです。

  • 第 2 の優先事項は、同じサブネットからデバイストラッキング テーブル内の IP-MAC バインディングエントリを見つけ、それを送信元アドレスとして使用することです。

  • 第 3 かつ最後の優先事項は、クライアントの IPv4 アドレスおよび提供されたマスクから送信元アドレスを計算することです。

    送信元 MAC アドレスは、クライアント側のスイッチポートの MAC アドレスから取得されます。

fallback キーワードを設定する場合は、IP アドレスとマスクも指定する必要があります。

override

ARP プローブの送信元アドレスが、次の優先順位で使用されるようにします。

  • 第 1 の優先事項は、VLAN SVI が設定されている場合に、送信元アドレスを VLAN SVI に設定することです。

  • 第 2 かつ最後の優先事項は、送信元アドレスとして 0.0.0.0 を使用することです。

Note

 

このキーワードにより、SISF がバインディングテーブルから送信元アドレスを選択しないように設定されます。SVI が設定されていない場合、このオプションを使用することは推奨されません。

retry-interval seconds

バックオフアルゴリズムの乗算係数または「基本値」を設定します。バックオフアルゴリズムにより、到達可能ライフタイムが切れた後に3 回試行されるポーリングの間の待機時間が決定されます。

1 ~ 3600 秒の値を入力します。デフォルト値は 1 です。

ポーリング時には、3 回のポーリング試行または再試行の間の待機時間は増加します。バックオフアルゴリズムにより、この待機時間が決定されます。再試行間隔に設定した値は、バックオフアルゴリズムの待機時間で乗算されます。

たとえば、バックオフアルゴリズムにより 3 回の試行の間でそれぞれ 2、4、および 6 秒の待機時間が決定され、再試行間隔を 2 秒に設定した場合、観測される実際の間隔は、最初のポーリング試行までの待機時間が 2 X 2 秒、2 回目のポーリング試行までの待機時間が 2 X 4 秒、3 回目のポーリング試行までの待機時間が 2 X 6 秒になります。

ポーリングがイネーブルになっているのに再試行間隔が設定されていない場合、スイッチは、システムによって決定される間隔で最大 3 回ホストをポーリングします。

この設定は、ARP プローブとネイバー送信要求メッセージに適用されます。

Command Default

ポーリングは、デフォルトではディセーブルになっています。

Command Modes

グローバル コンフィギュレーション(Device(config)#)

Command History

リリース 変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

ポーリングは、ホストの状態、まだ接続されているかどうか、および通信しているかどうかを確認するための、ホストの定期的な条件付きチェックです。ポーリングにより、トラッキング対象デバイスの継続的な存在を評価できます。

ポーリングは、到達可能ライフタイムタイマーが切れた後に 3 回試行され、ステイルライフタイムが切れるときに最後の 1 回試行されます。

  • IPv4 ネットワークでは、ポーリングは ARP プローブの形式です。この場合、スイッチは、接続されたホストにユニキャスト ARP プローブを送信して、ホストの到達可能性ステータスを判別します。ARP プローブを送信する場合、システムは、RFC 5227 仕様に従ってパケットを構築します。

  • IPv6 ネットワークでは、ポーリングはネイバー送信要求メッセージの形式です。この場合、スイッチは、接続されたホストのユニキャストアドレスを宛先アドレスとして使用して、接続されたホストの到達可能性を検証します。

IPv4 および IPv6 のポーリングをイネーブルにするには、グローバル コンフィギュレーション モードで device-tracking tracking コマンドを設定します。

また、到達可能ライフタイムタイマーが切れた後のポーリング間隔を設定するには、retry-interval seconds も設定します。


Note


auto-source キーワード、 fallback ipv4_and_fallback_source_maskip_prefix_mask キーワード、および override キーワードは、ARP プローブにのみ適用され、ネイバー送信要求メッセージには適用されません。

retry-interval seconds キーワードに設定する値は、IPv4 と IPv6 の両方に適用されます。


現在のポーリング設定を表示するには、show running-config | include device-tracking を入力します。次に例を示します。
Device# show running-config | include device-tracking
device-tracking tracking retry-interval 2
device-tracking policy sisf-01
 device-tracking attach-policy sisf-01 vlan 200
device-tracking binding reachable-lifetime 50 stale-lifetime 150 down-lifetime 30
device-tracking binding logging

エントリのさまざまなライフタイムの期間を表示するには、特権 EXEC モードで show device-tracking database コマンドを入力します。ポーリング中に、システムは、エントリの状態を VERIFY に変更します。期間を観測するには、出力の Time left 列を調べます。

show device-tracking database コマンドを使用してエントリの到達可能ライフタイムとステイルライフタイムをトラッキングし、ポーリングをイネーブルにすると、ステイルライフタイムが設定よりも短いことに気付く場合があります。これは、ポーリングに必要な時間がステイルライフタイムから差し引かれるためです。

ポーリングのグローバル設定とポリシーレベル設定

グローバル コンフィギュレーション モードで device-tracking tracking コマンドを設定した後も、個々のインターフェイスおよび VLAN で、ポーリングを柔軟にオンまたはオフにできます。このためには、ポリシーでポーリングを有効または無効にする必要があります。グローバル設定とポリシーレベル設定がどのように相互作用するのかに注意してください。

グローバル設定

ポリシーレベル設定

結果

ポーリングをグローバルレベルでイネーブルにします。

Device(config)# device-tracking tracking

インターフェイスまたは VLAN でポーリングをイネーブルにします。

Device(config-device-tracking)# tracking enable

インターフェイスまたは VLAN でポーリングが有効になります。

インターフェイスまたは VLAN でポーリングをディセーブルにします。

Device(config-device-tracking)# tracking disable

インターフェイスまたは VLAN でポーリングは有効になりません。

インターフェイスまたは VLAN でデフォルトのポーリングを設定します。

Device(config-device-tracking)# default tracking

ポーリングがグローバル コンフィギュレーション レベルでイネーブルになっているため、ポーリングはインターフェイスまたは VLAN で有効になります。

インターフェイスまたは VLAN でこのコマンドの no 形式を設定します。

Device(config-device-tracking)# no tracking

コマンドの no 形式を使用すると、コマンドがデフォルト値に設定されます。ただし、ポーリングがグローバル コンフィギュレーション レベルでイネーブルになっているため、ポーリングはインターフェイスまたは VLAN で有効になります。

ポーリングをグローバルレベルでディセーブルにします。

Device(config)# no device-tracking tracking

インターフェイスまたは VLAN でポーリングをイネーブルにします。

Device(config-device-tracking)# tracking enable

インターフェイスまたは VLAN でポーリングが有効になります。

インターフェイスまたは VLAN でポーリングをディセーブルにします。

Device(config-device-tracking)# tracking disable

インターフェイスまたは VLAN でポーリングは有効になりません。

インターフェイスまたは VLAN でデフォルトのポーリングを設定します。

Device(config-device-tracking)# default tracking

インターフェイスまたは VLAN でポーリングは有効になりません。

インターフェイスまたは VLAN でこのコマンドの no 形式を設定します。

Device(config-device-tracking)# no tracking

インターフェイスまたは VLAN でポーリングは有効になりません。

device-tracking upgrade-cli

レガシー IP デバイストラッキング(IPDT)および IPv6 スヌーピングコマンドを SISF コマンドに変換するには、グローバル コンフィギュレーション モードで device-tracking upgrade-cli コマンドを設定します。レガシーコマンドに戻すには、このコマンドの no 形式を入力します。

device-tracking upgrade-cli [ force | revert ]

no device-tracking upgrade-cli [ force | revert ]

Syntax Description

force

確認手順をスキップし、レガシー IPDT および IPv6 スヌーピングコマンドを SISF コマンドに変換します。

revert

レガシー IPDT および IPv6 スヌーピングコマンドに戻します。

Command Default

レガシー IPDT および IPv6 スヌーピングコマンドは、そのまま残ります。

Command Modes

グローバル コンフィギュレーション(Device(config)#)

Command History

リリース 変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

デバイスにあるレガシー設定に基づいて、device-tracking upgrade-cli コマンドは CLI を異なる方法でアップグレードします。既存の設定を移行する前に、次の設定シナリオ、および対応する移行結果を検討します。


Note


古い IPDT と IPv6 スヌーピング CLI を SISF ベースのデバイストラッキング CLI と併用することはできません。


IPDT 設定のみが存在する

デバイスに IPDT 設定のみがある場合は、device-tracking upgrade-cli コマンドを実行すると、設定が変換され、新しく作成されてインターフェイスで適用される SISF ポリシーが使用されます。これにより、この SISF ポリシーを更新できます。

引き続きレガシーコマンドを使用する場合、レガシーモードでの操作に制限されます。このモードでは、レガシー IPDT と IPv6 スヌーピングコマンドのみがデバイスで使用可能になります。

IPv6 スヌーピング設定のみが存在する

既存の IPv6 スヌーピング設定があるデバイスで、古い IPv6 スヌーピングコマンドを以降の設定に使用できます。次のオプションを使用できます。

  • (推奨)device-tracking upgrade-cli コマンドを使用して、レガシー設定をすべて、新しい SISF ベースのデバイス トラッキング コマンドに変換します。変換後は、新しいデバイス トラッキング コマンドのみがデバイスで動作します。

  • レガシー IPv6 スヌーピングコマンドを今後の設定に使用し、device-tracking upgrade-cli コマンドは実行しません。このオプションでは、デバイスで使用可能なのはレガシー IPv6 スヌーピングコマンドのみであり、新しい SISF ベースのデバイストラッキング CLI コマンドは使用できません。

IPDT と IPv6 スヌーピングの両方の設定が存在する

レガシー IPDT 設定と IPv6 スヌーピング設定の両方が存在するデバイスでは、レガシーコマンドを SISF ベースのデバイストラッキング CLI コマンドに変換できます。ただし、インターフェイスに適用することができるスヌーピングポリシーは 1 つだけであり、IPv6 スヌーピング ポリシー パラメータは IPDT 設定よりも優先される、ということに注意してください。


Note


新しい SISF ベースのコマンドに移行しておらず、レガシー IPv6 スヌーピングや IPDT コマンドを使用し続けている場合、IPv4 デバイストラッキング設定情報が IPv6 スヌーピングコマンドに表示される可能性があります。SISF ベースのデバイストラッキング機能では、IPv4 と IPv6 の両方の設定を扱うためです。これを回避するには、レガシー設定を SISF ベースのデバイス トラッキング コマンドに変換することを推奨します。

IPDT または IPv6 スヌーピング設定が存在しない

デバイスにレガシー IP デバイストラッキング設定も IPv6 スヌーピング設定もない場合は、今後の設定に使用できるのは新しい SISF ベースのデバイス トラッキング コマンドのみです。レガシー IPDT コマンドと IPv6 スヌーピングコマンドは使用できません。

Examples

次に、IPv6 スヌーピングコマンドを SISF ベースのデバイストラッキング コマンドに変換する例を示します。
Device# show ipv6 snooping features
Feature name   priority state
Device-tracking   128   READY
Source guard       32   READY

Device# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Device(config)# device-tracking upgrade-cli       
 IPv6 Snooping and IPv4 device tracking CLI will be
 converted to the new top level device-tracking CLI
Are you sure ? [yes]: yes
Number of Snooping Policies Upgraded: 2
Device(config)# exit 
変換後、新しい SISF ベースのデバイストラッキング コマンドのみがデバイスで動作します。

Device# show ipv6 snooping features
                         ^
% Invalid input detected at '^' marker.

Device# show device-tracking features
Feature name   priority state
Device-tracking   128   READY
Source guard       32   READY

Device# show device-tracking policies
Target               Type  Policy               Feature        Target range
Te1/0/4              PORT  sisf-01              Device-tracking vlan 200
vlan 200             VLAN  sisf-01              Device-tracking vlan all

dot1x critical(グローバル コンフィギュレーション)

IEEE 802.1X クリティカル認証パラメータを設定するには、グローバル コンフィギュレーション モードで dot1x critical コマンドを使用します。

dot1x critical eapol

Syntax Description

eapol

デバイスがクリティカルポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するように指定します。

Command Default

eapol はディセーブルです

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Examples

次に、デバイスがクリティカルポートを正常に認証すると、デバイスが EAPOL 成功メッセージを送信するように指定する例を示します。

Device> enable
Device# configure terminal
Device(config)# dot1x critical eapol
Device(config)# exit

dot1x logging verbose

802.1X システムメッセージから詳細情報をフィルタリングするには、デバイススタックまたはスタンドアロンデバイス上で dot1x logging verbose コマンドをグローバル コンフィギュレーション モードで使用します。

dot1x logging verbose

no dot1x logging verbose

Syntax Description

このコマンドには引数またはキーワードはありません。

Command Default

システムメッセージの詳細ログは有効になっていません。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

このコマンドにより、802.1X システムメッセージから、予測される成功などの詳細情報がフィルタリングされます。失敗メッセージはフィルタリングされません。

Examples

次に、verbose 802.1X システムメッセージをフィルタリングする例を示します。

Device> enable
Device# configure terminal
Device(config)# dot1x logging verbose
Device(config)# exit

dot1x pae

Port Access Entity(PAE)タイプを設定するには、インターフェイス コンフィギュレーション モードで dot1x pae コマンドを使用します。設定された PAE タイプをディセーブルにするには、コマンドの no 形式を入力します。

dot1x pae { supplicant | authenticator}

no dot1x pae { supplicant | authenticator}

Syntax Description

supplicant

インターフェイスはサプリカントとしてだけ機能し、オーセンティケータ向けのメッセージに応答しません。

authenticator

インターフェイスはオーセンティケータとしてだけ動作し、サプリカント向けのメッセージに応答しません。

Command Default

PAE タイプは設定されていません。

Command Modes

インターフェイス コンフィギュレーション(config-if)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

IEEE 802.1X 認証をポート上でディセーブルにする場合は、no dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。

dot1x port-control インターフェイス コンフィギュレーション コマンドを入力するなどしてポート上で IEEE 802.1X 認証を設定した場合、デバイスは自動的にポートを IEEE 802.1X オーセンティケータとして設定します。オーセンティケータの PAE 動作は、no dot1x pae インターフェイス コンフィギュレーション コマンドを入力した後でディセーブルになります。

Examples

次に、インターフェイスがサプリカントとして動作するように設定されている例を示します。

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 1/0/3
Device(config-if)# dot1x pae supplicant
Device(config-if)# end

dot1x supplicant controlled transient

認証中に 802.1X サプリカントポートへのアクセスを制御するには、グローバル コンフィギュレーション モードで dot1x supplicant controlled transient コマンドを使用します。認証中にサプリカントのポートを開くには、このコマンドの no 形式を使用します。

dot1x supplicant controlled transient

no dot1x supplicant controlled transient

Syntax Description

このコマンドには引数またはキーワードはありません。

Command Default

認証中に 802.1X サプリカントのポートへのアクセスが許可されます。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

デフォルトでは、BPCU ガードがイネーブルにされたオーセンティケータスイッチにサプリカントのデバイスを接続する場合、オーセンティケータのポートはサプリカントスイッチが認証する前にスパニングツリープロトコル(STP)のブリッジ プロトコル データ ユニット(BPDU)を受信した場合、errdisable 状態になる可能性があります。認証中にサプリカントのポートから送信されるトラフィックを制御できます。dot1x supplicant controlled transient コマンドを入力すると、認証が完了する前にオーセンティケータポートがシャットダウンすることがないように、認証中に一時的にサプリカントのポートがブロックされます。認証に失敗すると、サプリカントのポートが開きます。no dot1x supplicant controlled transient コマンドを入力すると、認証期間中にサプリカントポートが開きます。これはデフォルトの動作です。

BPDU ガードが spanning-tree bpduguard enable インターフェイス コンフィギュレーション コマンドによりオーセンティケータ スイッチ ポートでイネーブルになっている場合、サプリカントデバイスで dot1x supplicant controlled transient コマンドを使用することを推奨します。

Examples

次に、認証の間にデバイスの 802.1X サプリカントのポートへのアクセスを制御する例を示します。

Device> enable
Device# configure terminal
Device(config)# dot1x supplicant controlled transient
Device(config)# exit

dot1x supplicant force-multicast

サプリカントスイッチでマルチキャストまたはユニキャストの Extensible Authentication Protocol over LAN(EAPOL)パケットを受信した場合に、常にマルチキャスト EAPOL パケットのみを送信するように強制するには、グローバル コンフィギュレーション モードで dot1x supplicant force-multicast コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x supplicant force-multicast

no dot1x supplicant force-multicast

Syntax Description

このコマンドには、引数またはキーワードはありません。

Command Default

サプリカントデバイスは、ユニキャスト EAPOL パケットを受信すると、ユニキャスト EAPOL パケットを送信します。同様に、マルチキャスト EAPOL パケットを受信すると、EAPOL パケットを送信します。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

Network Edge Access Topology(NEAT)がすべてのホストモードで機能するようにするには、サプリカントデバイス上でこのコマンドをイネーブルにします。

Examples

次の例では、サプリカントデバイスがオーセンティケータデバイスにマルチキャスト EAPOL パケットを送信するように設定する方法を示します。

Device> enable
Device# configure terminal
Device(config)# dot1x supplicant force-multicast
Device(config)# end

dot1x test eapol-capable

すべてのスイッチポート上の IEEE 802.1X のアクティビティをモニタリングして、IEEE 802.1X をサポートするポートに接続しているデバイスの情報を表示するには、特権 EXEC モードで dot1x test eapol-capable コマンドを使用します。

dot1x test eapol-capable [ interface interface-id]

Syntax Description

interface interface-id

(任意)クエリー対象のポートです。

Command Default

デフォルト設定はありません。

Command Modes

特権 EXEC(#)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

スイッチ上のすべてのポートまたは特定のポートに接続するデバイスの IEEE 802.1X 機能をテストするには、このコマンドを使用します。

このコマンドには、no 形式はありません。

Examples

次の例では、スイッチ上で IEEE 802.1X の準備チェックをイネーブルにして、ポートに対してクエリーを実行する方法を示します。また、ポートに接続しているデバイスを確認するためのクエリーの実行対象ポートから受信した応答が IEEE 802.1X 対応であることを示します。

Device> enable
Device# dot1x test eapol-capable interface gigabitethernet1/0/13 

DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable

dot1x test timeout

IEEE 802.1X 準備状態を照会しているポートからの EAPOL 応答の待機に使用されるタイムアウトを設定するには、グローバル コンフィギュレーション モードで dot1x test timeout コマンドを使用します。

dot1x test timeout timeout

Syntax Description

timeout

EAPOL 応答を待機する時間(秒)。指定できる範囲は 1 ~ 65535 秒です。

Command Default

デフォルト設定は 10 秒です。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

EAPOL 応答を待機するために使用されるタイムアウトを設定するには、このコマンドを使用します。

このコマンドには、no 形式はありません。

Examples

次の例では、EAPOL 応答を 27 秒間待機するようにスイッチを設定する方法を示します。

Device> enable
Device# dot1x test timeout 27

タイムアウト設定のステータスを確認するには、show running-config コマンドを入力します。

dot1x timeout

再試行タイムアウトの値を設定するには、グローバル コンフィギュレーション モードまたはインターフェイス コンフィギュレーション モードで dot1x timeout コマンドを使用します。再試行タイムアウトをデフォルト値に戻すには、このコマンドの no 形式を使用します。

dot1x timeout { auth-period seconds | held-period seconds | quiet-period seconds | ratelimit-period seconds | server-timeout seconds | start-period seconds | supp-timeout seconds | tx-period seconds}

Syntax Description

auth-period seconds

サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。

有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。

held-period seconds

サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。

有効な範囲は 1 ~ 65535 です。デフォルトは 60 です。

quiet-period seconds

認証情報の交換に失敗したあと、クライアントの再認証を試みるまでにオーセンティケータ(サーバ)が待機状態(HELD 状態)を続ける秒数を設定します。

有効な範囲は 1 ~ 65535 です。デフォルトは 60 です。

ratelimit-period seconds

動作の不正なクライアント PC(たとえば、デバイス処理電力の無駄につながる、EAP-START パケットを送信する PC)から送信される EAP-START パケットを抑制します。

  • オーセンティケータはレート制限時間中、認証に成功したクライアントからの EAPOL-Start パケットを無視します。

  • 有効な範囲は 1 ~ 65535 です。デフォルトでは、レート制限はディセーブルになっています。

server-timeout seconds

連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。

  • 有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。

サーバが指定時間内に 802.1X パケットへの応答を送信しない場合、パケットは再度送信されます。

start-period seconds

連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。

有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。

supp-timeout seconds

EAP 要求 ID 以外のすべての EAP メッセージについて、オーセンティケータからホストへの再送信時間を設定します。

有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。

tx-period seconds

クライアントに EAP 要求 ID パケットを再送信する間隔を(応答が受信されないものと仮定して)秒数で設定します。

  • 有効な範囲は 1 ~ 65535 です。デフォルトは 30 です。

  • 802.1X パケットがサプリカントに送信され、そのサプリカントが再試行期間後に応答しなかった場合、そのパケットは再度送信されます。

Command Default

定期的な再認証と定期的なレート制限が行われます。

Command Modes

グローバル コンフィギュレーション(config)

インターフェイス コンフィギュレーション(config-if)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにしただけの場合、dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、デバイスの動作に影響します。

待機時間の間、デバイスはどのような認証要求も受け付けず、開始もしません。デフォルトよりも小さい数を入力することによって、ユーザへの応答時間を短縮できます。

ratelimit-period が 0(デフォルト)に設定された場合、デバイスは認証に成功したクライアントからの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。

Examples

次に、さまざまな 802.1X 再送信およびタイムアウト時間が設定されている例を示します。

Device> enable
Device(config)# configure terminal
Device(config)# interface gigabitethernet 1/0/3
Device(config-if)# dot1x port-control auto
Device(config-if)# dot1x timeout auth-period 2000
Device(config-if)# dot1x timeout held-period 2400
Device(config-if)# dot1x timeout quiet-period 600
Device(config-if)# dot1x timeout start-period 90
Device(config-if)# dot1x timeout supp-timeout 300
Device(config-if)# dot1x timeout tx-period 60
Device(config-if)# dot1x timeout server-timeout 60
Device(config-if)# end

dscp

RADIUS パケットの認証およびアカウンティングのために DSCP マーキングを設定するには、dscp コマンドを使用します。RADIUS パケットの認証およびアカウンティングのために DSCP マーキングを無効するには、このコマンドの no 形式を使用します。

dscp { acct dscp_acct_value | auth dscp_auth_value }

no dscp { acct dscp_acct_value | auth dscp_auth_value }

Syntax Description

acct dscp_acct_value

アカウンティングの RADIUS DSCP マーキング値を設定します。有効な範囲は 1 ~ 63 です。デフォルト値は 0 です

auth dscp_auth_value

認証の RADIUS DSCP マーキング値を設定します。有効な範囲は 1 ~ 63 です。デフォルト値は 0 です

Command Default

RADIUS パケットの DSCP マーキングはデフォルトで無効になっています。

Command Modes

RADIUS サーバー コンフィギュレーション(config-radius-server)RADIUS サーバー グループ コンフィギュレーション(config-sg-radius)

Command History

リリース 変更内容
Cisco IOS XE Bengaluru 17.5.1

このコマンドが導入されました。

Examples

次に、RADIUS サーバーの RADIUS パケットの認証およびアカウント用に DSCP マーキングを設定する例を示します。

Device(config)#radius server abc
Device(config-radius-server)#address ipv4 10.1.1.1 auth-port 1645 acct-port 1646
Device(config-radius-server)#dscp auth 10 acct 20
Device(config-radius-server)#key cisco123
Device(config-radius-server)#end

次に、RADIUS サーバーグループの RADIUS パケットの認証およびアカウント用に DSCP マーキングを設定する例を示します。

Device(config)#aaa group server radius xyz
Device(config-sg-radius)#server name abc
Device(config-sg-radius)#ip radius source-interface Vlan18 
Device(config-sg-radius)#dscp auth 30 acct 10
Device(config-sg-radius)#end

dtls

Datagram Transport Layer Security(DTLS)のパラメータを設定するには、RADIUS サーバ コンフィギュレーション モードで dtls コマンドを使用します。デフォルト設定に戻すには、このコマンドの no  形式を使用します。

dtls [ connectiontimeout connection-timeout-value | idletimeout idle-timeout-value | [ ip | ipv6 ] { radius source-interface interface-name | vrf forwarding forwarding-table-name } | match-server-identity { email-address email-address | hostname hostname | ip-address ip-address } | port port-number | retries number-of-connection-retries | trustpoint { client trustpoint name | server trustpoint name } ]

no dtls

Syntax Description

connectiontimeout connection-timeout-value

(任意)DTLS 接続タイムアウト値を設定します。

idletimeout idle-timeout-value

(任意)DTLS アイドルタイムアウト値を設定します。

[ip | ipv6] { radius source-interface interface-name | vrf forwarding forwarding-table-name}

(任意)IP または IPv6 送信元パラメータを設定します。

match-server-identity { email-address email-address | hostname host-name | ip-address ip-address}

RadSec 認定検証パラメータを設定します。

port port-number

(任意)DTLS ポート番号を設定します。

retries number-of-connection-retries

(任意)DTLS 接続再試行の回数を設定します。

trustpoint { client trustpoint name| server trustpoint name}

(任意)クライアントとサーバに DTLS トラストポイントを設定します。

Command Default

  • DTLS 接続タイムアウトのデフォルト値は 5 秒です。

  • DTLS アイドルタイムアウトのデフォルト値は 60 秒です。

  • デフォルトの DTLS ポート番号は 2083 です。

  • DTLS 接続再試行回数のデフォルト値は 5 です。

Command Modes

RADIUS サーバ コンフィギュレーション(config-radius-server)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Cisco IOS XE Gibraltar 16.10.1

match-server-identityキーワードが導入されました。

Cisco IOS XE Amsterdam 17.1.1

ipv6キーワードが導入されました。

Usage Guidelines

認証、許可、およびアカウンティング(AAA)サーバグループでは、すべてで同じサーバタイプを使用し、Transport Layer Security(TLS)のみか DTLS のみにすることを推奨します。

Examples

次に、DTLS 接続タイムアウト値を 10 秒に設定する例を示します。

Device> enable
Device# configure terminal
Device(config)# radius server R1
Device(config-radius-server)# dtls connectiontimeout 10
Device(config-radius-server)# end

enable password

さまざまな権限レベルへのアクセスを制御するローカルパスワードを設定するには、グローバル コンフィギュレーション モードで enable password コマンドを使用します。ローカルパスワードの制御アクセスを削除するには、このコマンドの no 形式を使用します。

enable password [level level] { [0] unencrypted-password | [ encryption-type] encrypted-password}

no enable password [level level]

Syntax Description

level level

(任意)パスワードが適用されるレベルを指定します。0 ~ 15 の数字を使用して最大 16 個の権限レベルを指定できます。レベル 1 が通常のユーザ EXEC モードユーザ権限です。level がコマンドまたはコマンドの no 形式で指定されていない場合、権限レベルはデフォルトの 15 になります。

0

(任意)暗号化されていないクリアテキストパスワードを指定します。パスワードはセキュア ハッシュ アルゴリズム(SHA)256 シークレットに変換されてデバイスに保存されます。

unencrypted-password

イネーブルモードを開始するためのパスワードを指定します。

encryption-type

(任意)パスワードの暗号化に使用するシスコ独自のアルゴリズム。encryption-type を指定する場合、入力する次の引数は暗号化されたパスワード(すでにシスコデバイスによって暗号化されたパスワード)である必要があります。非表示のパスワードが続くことを示すタイプ 7 を指定できます。

encrypted-password

別のデバイス設定からコピーした暗号化パスワード。

Command Default

パスワードは定義されていません。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

enable password コマンドと enable secret コマンドのいずれも設定されていない場合、コンソールの回線パスワードが設定されていれば、コンソールの回線パスワードがすべての VTY(Telnet およびセキュアシェル(SSH))セッションのイネーブルパスワードとして機能します。

特定の権限レベルのパスワードを定義する場合は、level オプションを指定して enable password コマンドを使用します。レベルとパスワードを設定したら、このレベルにアクセスする必要のあるユーザとパスワードを共有します。各レベルでアクセスできるコマンドを指定するには、privilege level コンフィギュレーション コマンドを使用します。

通常、暗号化タイプは、シスコデバイスによってすでに暗号化されているパスワードをコピーしてこのコマンドに貼り付ける場合にのみ入力します。


Caution


暗号化タイプを指定してクリアテキストパスワードを入力した場合は、再び特権 EXEC モードを開始することはできません。以前に暗号化されたパスワードを忘れた場合、回復することはできません。


service password-encryption コマンドが設定されている場合、more nvram:startup-config コマンドを実行すると、enable password コマンドで作成するパスワードが暗号化された形式で表示されます。

service password-encryption コマンドを使用して、パスワードの暗号化を有効または無効にすることができます。

イネーブルパスワードの定義は次のとおりです。

  • 数字、大文字、小文字を組み合わせた 1 ~ 25 文字の英数字を含める必要があります。

  • 先頭にスペースを指定できますが、無視されます。ただし、中間および末尾のスペースは認識されます。

  • パスワードを作成するときに、Crtl+V キーの組み合わせを押してから疑問符(?)を入力すると、パスワードに疑問符を含めることができます。たとえば、abc?123 というパスワードを作成するには、次の手順を実行します。

    1. abc を入力します。

    2. Crtl-v を押します。

    3. ?123 を入力します。


Note


システムから enable password コマンドを入力するように求められた場合、疑問符の前に Ctrl+V を入力する必要はなく、パスワードのプロンプトにそのまま abc?123 と入力できます。


Examples

次に、特権レベル 2 のパスワード pswd2 を有効にする例を示します。


Device> enable
Device# configure terminal
Device(config)# enable password level 2 pswd2

次に、暗号化タイプ 7 を使用して、デバイスのコンフィギュレーション ファイルからコピーした権限レベル 2 の暗号化パスワード $1$i5Rkls3LoyxzS8t9 を設定する例を示します。


Device> enable
Device# configure terminal
Device(config)# enable password level 2 5 $1$i5Rkls3LoyxzS8t9

enable secret

enable password コマンドよりも強化したセキュリティレイヤを指定するには、グローバル コンフィギュレーション モードで enable secret コマンドを使用します。イネーブルシークレット機能をオフにするには、このコマンドの no 形式を使用します。

enable secret [level level] { [0] unencrypted-password | encryption-type encrypted-password}

no enable secret [level level] [encryption-type encrypted-password]

Syntax Description

level level

(任意)パスワードが適用されるレベルを指定します。1 ~ 15 の数字を使用して最大 15 個の権限レベルを指定できます。レベル 1 が通常のユーザ EXEC モード権限です。level がコマンドまたはコマンドの no 形式で指定されていない場合、権限レベルはデフォルトの 15 になります。

0

(任意)暗号化されていないクリアテキストパスワードを指定します。パスワードはセキュア ハッシュ アルゴリズム(SHA)256 シークレットに変換されてデバイスに保存されます。

unencrypted-password

ユーザがイネーブルモードを開始するためのパスワードを指定します。このパスワードは、enable password コマンドで作成したパスワードとは異なるものにする必要があります。

encryption-type

パスワードのハッシュに使用するシスコ独自のアルゴリズム。

  • 5 :メッセージ ダイジェスト アルゴリズム 5 (MD5)で暗号化されたシークレットを指定します。

  • 8 :パスワードベースキー派生関数 2(PBKDF2)の SHA-256 でハッシュされたシークレットを指定します。

  • 9 :スクリプトでハッシュされたシークレットを指定します。

encrypted-password

別のデバイス設定からコピーしたハッシュパスワード。

Command Default

パスワードは定義されていません。

Command Modes

グローバル コンフィギュレーション(config)

Command History

リリース

変更内容

Cisco IOS XE Everest 16.6.1

このコマンドが導入されました。

Usage Guidelines

enable password コマンドと enable secret コマンドのいずれも設定されていない場合、コンソールの回線パスワードが設定されていれば、コンソールの回線パスワードがすべての VTY(Telnet およびセキュアシェル(SSH))セッションのイネーブルパスワードとして機能します。

enable secret コマンドは、enable password パスワードよりも強化したセキュリティレイヤを指定するために使用します。enable secret コマンドでは、不可逆的な暗号化機能を使用してパスワードを保存することでセキュリティを向上させます。この追加のセキュリティ暗号化レイヤは、パスワードがネットワークで送信される環境や TFTP サーバに保存される環境において役立ちます。

通常、暗号化タイプは、デバイスのコンフィギュレーション ファイルからコピーした暗号化パスワードをこのコマンドに貼り付ける場合にのみ入力します。


Caution


暗号化タイプを指定してクリアテキストパスワードを入力した場合は、再び特権 EXEC モードを開始することはできません。以前に暗号化されたパスワードを忘れた場合、回復することはできません。


enable password コマンドと enable secret コマンドに同じパスワードを使用した場合、推奨されない方法であることを警告するエラーメッセージが表示されますが、パスワードは受け入れられます。ただし、同じパスワードを使用すると、enable secret コマンドによって提供される追加のセキュリティが損なわれます。