この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
認証、許可、アカウンティング(AAA)アカウンティングをイネーブルにして、IEEE 802.1x セッションの特定のアカウンティング方式を、回線単位またはインターフェイス単位で定義する方式リストを作成するには、aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。 IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}
no aaa accounting dot1x { name | default }
name | サーバ グループ名。 これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。 |
default | デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に指定します。 |
start-stop | プロセスの開始時に start アカウンティング通知を送信し、プロセスの終了時に stop アカウンティング通知を送信します。 start アカウンティング レコードはバックグラウンドで送信されます。 アカウンティング サーバが start アカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。 |
broadcast | 複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。 最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。 |
group |
broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。 オプションの group キーワードより多くのキーワードを入力できます。 |
radius | (任意)RADIUS アカウンティングをイネーブルにします。 |
tacacs+ | (任意)TACACS+ アカウンティングをイネーブルにします。 |
AAA アカウンティングはディセーブルです。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドは、RADIUS サーバへのアクセスが必要です。
インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。
次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。
Controller(config)# aaa new-model Controller(config)# aaa accounting dot1x default start-stop group radius
IEEE 802.1x、MAC 認証バイパス(MAB)、および Web 認証セッションの認証、許可、アカウンティング(AAA)アカウンティングをイネーブルにするには、aaa accounting identity グローバル コンフィギュレーション コマンドを使用します。 IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting identity { name | default } start-stop { broadcast group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}
no aaa accounting identity { name | default }
name | サーバ グループ名。 これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。 |
default | デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に使用します。 |
start-stop | プロセスの開始時に start アカウンティング通知を送信し、プロセスの終了時に stop アカウンティング通知を送信します。 start アカウンティング レコードはバックグラウンドで送信されます。 アカウンティング サーバが start アカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。 |
broadcast | 複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。 最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。 |
group |
broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。 オプションの group キーワードより多くのキーワードを入力できます。 |
radius | (任意)RADIUS 認証をイネーブルにします。 |
tacacs+ | (任意)TACACS+ アカウンティングをイネーブルにします。 |
AAA アカウンティングはディセーブルです。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
AAA アカウンティング識別をイネーブルにするには、ポリシー モードをイネーブルにする必要があります。 ポリシー モードをイネーブルにするには、特権 EXEC モードで authentication display new-style コマンドを入力します。
次の例では、IEEE 802.1x アカウンティング識別を設定する方法を示します。
Controller# authentication display new-style Please note that while you can revert to legacy style configuration at any time unless you have explicitly entered new-style configuration, the following caveats should be carefully read and understood. (1) If you save the config in this mode, it will be written to NVRAM in NEW-style config, and if you subsequently reload the router without reverting to legacy config and saving that, you will no longer be able to revert. (2) In this and legacy mode, Webauth is not IPv6-capable. It will only become IPv6-capable once you have entered new- style config manually, or have reloaded with config saved in 'authentication display new' mode. Controller# configure terminal Controller(config)# aaa accounting identity default start-stop group radius
認証、許可、アカウンティング(AAA)方式を指定して IEEE 802.1x 認証に準拠するポートで使用するには、スイッチ スタックまたはスタンドアロン スイッチで aaa authentication dot1x グローバル コンフィギュレーション コマンドを使用します。 認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication dot1x { default} method1
no aaa authentication dot1x { default} method1
default | ユーザがログインするときのデフォルトの方式。 この引数に続くリストされた認証方式を使用します。 |
||
method1 | サーバ認証を指定します。 認証用にすべての RADIUS サーバのリストを使用するには、group radius キーワードを入力します。
|
認証は実行されません。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために一定の順序で試みる方式を指定します。 IEEE 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。
group radius を指定した場合、radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。
設定された認証方式のリストを表示するには、show running-config 特権 EXEC コマンドを使用します。
次の例では AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。 この認証は、最初に RADIUS サーバとの交信を試みます。 この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。
Controller(config)# aaa new-model Controller(config)# aaa authentication dot1x default group radius
ネットワークへのユーザ アクセスを制限するパラメータを設定するには、グローバル コンフィギュレーション モードで aaa authorization コマンドを使用します。 パラメータを削除するには、このコマンドの no 形式を使用します。
aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | onep | policy-if | prepaid | radius-proxy | reverse-access | subscriber-service | template} { default | list_name } [ method1 [ method2 ...]]
aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | reverse-access | template} { default | list_name } [ method1 [ method2 ...]]
no aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console | credential-download | exec | multicast | network | reverse-access | template} { default | list_name } [ method1 [ method2 ...]]
auth-proxy | 認証プロキシ サービスの認証を実行します。 |
cache | 認証、許可、およびアカウンティング(AAA)サーバを設定します。 |
commands | 指定した特権レベルですべてのコマンドの許可を実行します。 |
level | 承認が必要な特定のコマンド レベル。 有効な値は 0 ~ 15 です。 |
config-commands | 許可を実行して、コンフィギュレーション モードで入力したコマンドが許可されるかどうかを判別します。 |
configuration | AAA サーバから設定をダウンロードします。 |
console | AAA サーバのコンソール許可をイネーブルにします。 |
credential-download | Local/RADIUS/LDAP から EAP クレデンシャルをダウンロードします。 |
exec | AAA サーバのコンソール許可をイネーブルにします。 |
multicast | AAA サーバからマルチキャスト設定をダウンロードします。 |
network | シリアル ライン インターネット プロトコル(SLIP)、PPP(ポイントツーポイント プロトコル)、PPP ネットワーク コントロール プログラム(NCP)、AppleTalk Remote Access(ARA)など、すべてのネットワーク関連サービス要求について許可を実行します。 |
onep | ONEP サービスの許可を実行します。 |
policy-if | 直径ポリシー インターフェイス アプリケーションの許可を実行します。 |
prepaid | 直径プリペイド サービスの許可を実行します。 |
radius-proxy | プロキシ サービスの許可を実行します。 |
reverse-access | リバース Telnet などのリバース アクセス接続の許可を実行します。 |
subscriber-service | バーチャル プライベート ダイヤルアップ ネットワーク(VPDN)などの iEdge 加入者サービスの許可を実行します。 |
template | AAA サーバのテンプレート許可をイネーブルにします。 |
default | このキーワードに続く許可方式のリストを許可のデフォルト方式リストとして使用します。 |
list_name | 許可方式リストの名前の指定に使用する文字列。 |
method1 [method2...] | (任意)許可に使用する許可方式(複数可)。 方式は、次の表に示すキーワードのいずれかです。 |
すべてのアクションに対する許可がディセーブルになります(none method キーワードと同等)。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
aaa authorization コマンドを使用して許可をイネーブルにし、ユーザが特定の機能にアクセスした際に使用できる許可方式を定義する名前付きの方式リストを作成します。 許可方式リストによって、許可の実行方法とこれらの方式の実行順序が定義されます。 方式リストは、シーケンスで使用する必要がある許可方式(RADIUS、TACACS+ など)を記述する名前付きリストです。 方式リストを使用すると、許可に使用するセキュリティ プロトコルを 1 つ以上指定できるため、最初の方式が失敗した場合のバックアップ システムを確保できます。 Cisco IOS ソフトウェアでは、特定のネットワーク サービスについてユーザを許可するために最初の方式が使用されます。その方式が応答しない場合、方式リストの次の方式が選択されます。 このプロセスは、リスト内の許可方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。
(注) |
Cisco IOS ソフトウェアでは、前の方式からの応答がない場合にのみ、リストの次の許可方式が試行されます。 このサイクルの任意の時点で許可が失敗した場合(つまり、セキュリティ サーバまたはローカル ユーザ名データベースからユーザ サービスの拒否応答が返される場合)、許可プロセスは停止し、その他の許可方式は試行されません。 |
特定の許可の種類の aaa authorization コマンドを、名前付き方式リストを指定しないで発行した場合、名前付き方式リストが明示的に定義されているものを除いて、すべてのインターフェイスまたは回線(この許可の種類が適用される)にデフォルトの方式リストが自動的に適用されます (定義された方式リストによって、デフォルトの方式リストが上書きされます)。デフォルトの方式リストが定義されていない場合は許可が実行されません。 デフォルトの許可方式リストを使用して、RADIUS サーバからの IP プールのダウンロードの許可などの発信認証を実行する必要があります。
aaa authorization コマンドを使用して、list-name 引数および method 引数の値を入力することによってリストを作成します。ここで list-name は、このリスト(すべての方式名を除く)に名前を付けるために使用される文字列であり、method は指定したシーケンスで試行される許可方法のリストを識別します。
(注) |
次の表に、以前定義済みの RADIUS サーバまたは TACACS+ サーバのセットを参照する groupgroup-name 方式、group ldap 方式、group radius 方式、および group tacacs+ 方式を示します。 ホスト サーバを設定するには、radius-server host コマンドおよび tacacs-server host コマンドを使用します。 サーバの名前付きグループを作成するには、aaa group server radius コマンド、aaa group server ldap コマンド、および aaa group server tacacs+ コマンドを使用します。 |
キーワード |
説明 |
||
---|---|---|---|
cache group-name |
キャッシュ サーバ グループを許可に使用します。 |
||
group group-name |
server group group-name コマンドで定義される RADIUS または TACACS+ サーバのサブセットをアカウンティングに使用します。 |
||
group ldap |
認証にすべての Lightweight Directory Access Protocol(LDAP)サーバのリストを使用します。 |
||
group radius |
aaa group server radius コマンドで定義されるすべての RADIUS サーバのリストを認証に使用します。 |
||
grouptacacs+ |
aaa group server tacacs+ コマンドで定義されるすべての TACACS+ サーバのリストを認証に使用します。 |
||
if-authenticated |
|
||
local |
ローカル データベースを許可に使用します。 |
||
none |
許可が実行されないことを示します。 |
方式リストは、要求されている許可のタイプによって異なります。 AAA は 5 種類の許可タイプをサポートしています。
(注) |
aaa authorization config-commands コマンドを設定して、do コマンドによって先頭に追加された EXEC コマンドを含む、グローバル コンフィギュレーション コマンドを許可する必要があります。 |
名前付き方式リストを作成すると、指定した許可タイプに対して特定の許可方式リストが定義されます。
定義されると、方式リストを特定の回線またはインターフェイスに適用してから、定義済み方式のいずれかを実行する必要があります。
authorization コマンドにより、許可プロセスの一環として、一連の AV のペアを含む要求パケットが RADIUS または TACACS デーモンに送信されます。 デーモンは、次のいずれかのアクションを実行できます。
(注) |
次の 5 つのコマンドが特権レベル 0 に関連付けられています。disable、enable、exit、help、および logout。 特権レベルの AAA 許可を 0 よりも大きい値に設定した場合は、これらの 5 つコマンドが特権レベルのコマンド セットに含まれなくなります。 |
次に、PPP を使用してシリアル回線で RADIUS 許可が使用されるように指定する mygroup というネットワーク許可方式リストを定義する例を示します。 RADIUS サーバが応答に失敗すると、ローカル ネットワークの許可が実行されます。
Controller(config)# aaa authorization network mygroup group radius local
コントローラ で MAC 移動をディセーブルにするには、access-session mac-move deny グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。
access-session mac-move deny
no access-session mac-move deny
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドの no 形式は、 コントローラ上の認証が有効になっているポート(MAC 認証バイパス [MAB]、802.1x、または Web 認証)の間で、認証されたホストの移動をイネーブルにします。 たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。
MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。
次の例では、 コントローラ上で MAC 移動をイネーブルにする方法を示します。
Controller(config)# no access-session mac-move deny
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
|
新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
|
ポートで認証マネージャ モードを設定するには、authentication host-mode インターフェイス コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication host-mode { multi-auth | multi-domain | multi-host | single-host}
no authentication host-mode
multi-auth | ポートで複数の認証モード(multi-auth モード)をイネーブルにします。 |
multi-domain | ポートでマルチドメイン モードをイネーブルにします。 |
multi-host | ポートでマルチホスト モードをイネーブルにします。 |
single-host | ポートでシングルホスト モードをイネーブルにします。 |
シングルホスト モードがイネーブルにされています。
インターフェイス コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
接続されているデータ ホストが 1 つだけの場合は、シングルホスト モードを設定する必要があります。 シングルホスト ポートでの認証のために音声デバイスを接続しないでください。 ポートで音声 VLAN が設定されていないと、音声デバイスの許可が失敗します。
データ ホストが IP Phone 経由でポートに接続されている場合は、マルチドメイン モードを設定する必要があります。 音声デバイスを認証する必要がある場合は、マルチドメイン モードを設定する必要があります。
ハブの背後にデバイスを配置し、それぞれを認証してポート アクセスのセキュリティを確保できるようにするには、マルチ認証モードに設定する必要があります。 音声 VLAN が設定されている場合は、このモードで認証できる音声デバイスは 1 つだけです。
マルチホスト モードでも、ハブ越しの複数ホストのためのポート アクセスが提供されますが、マルチホスト モードでは、最初のユーザが認証された後でデバイスに対して無制限のポート アクセスが与えられます。
次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。
Controller(config-if)# authentication host-mode multi-auth
次の例では、ポートのマルチドメイン モードをイネーブルにする方法を示します。
Controller(config-if)# authentication host-mode multi-domain
次の例では、ポートのマルチホスト モードをイネーブルにする方法を示します。
Controller(config-if)# authentication host-mode multi-host
次の例では、ポートのシングルホスト モードをイネーブルにする方法を示します。
Controller(config-if)# authentication host-mode single-host
show authentication sessions interface interface details 特権 EXEC コマンドを入力することにより、設定を確認できます。
コントローラ上で MAC 移動をイネーブルにするには、authentication mac-move permit グローバル コンフィギュレーション コマンドを使用します。 MAC 移動をディセーブルにするには、このコマンドの no 形式を使用します。
authentication mac-move permit
no authentication mac-move permit
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
これはレガシー コマンドです。 新しいコマンドは、access-session mac-move deny です。
このコマンドは、 コントローラ上の認証が有効になっているポート(MAC 認証バイパス [MAB]、802.1x、または Web 認証)の間で、認証されたホストの移動をイネーブルにします。 たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。
MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。
MAC 移動は、ポート セキュリティ対応の 802.1x ポートではサポートされません。 MAC 移動がスイッチ上でグローバルに設定され、ポート セキュリティ対応ホストが 802.1x 対応ポートに移動した場合、違反エラーが発生します。
次の例では、 コントローラ上で MAC 移動をイネーブルにする方法を示します。
Controller(config)# authentication mac-move permit
ポート プライオリティ リストに認証方式を追加するには、インターフェイス コンフィギュレーション モードで authentication priority コマンドを使用します。 デフォルトに戻るには、no 形式のコマンドを使用します。
authentication priority [ dot1x | mab] { webauth}
no authentication priority [ dot1x | mab] { webauth}
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。
ポートにフォールバック方式を複数設定するときは、Web 認証(webauth)を最後に設定してください。
異なる認証方式にプライオリティを割り当てることにより、プライオリティの高い方式を、プライオリティの低い進行中の認証方式に割り込ませることができます。
(注) |
クライアントがすでに認証されている場合に、プライオリティの高い方式の割り込みが発生すると、再認証されることがあります。 |
認証方式のデフォルトのプライオリティは、実行リストの順序におけるその位置と同じで、802.1x 認証、MAC 認証バイパス(MAB)、Web 認証の順です。 このデフォルトの順序を変更するには、キーワード dot1x、 mab、および webauth を使用します。
次の例では、802.1x を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。
Controller(config-if)# authentication priority dotx webauth
次の例では、MAB を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。
Controller(config-if)# authentication priority mab webauth
以前は到達不能の認証、許可、およびアカウンティング サーバが使用可能になった場合に、許可された認証マネージャ セッションを再初期化します。 |
|
新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバイスがポートに接続した場合に発生する違反モードを設定するには、authentication violation インターフェイス コンフィギュレーション コマンドを使用します。
authentication violation{ protect| replace| restrict| shutdown }
no authentication violation{ protect| replace| restrict| shutdown }
protect | 予期しない入力 MAC アドレスをドロップします。 syslog エラーは生成されません。 |
replace | 現在のセッションを削除し、新しいホストによる認証を開始します。 |
restrict | 違反エラーの発生時に Syslog エラーを生成します。 |
shutdown | エラーによって、予期しない MAC アドレスが発生するポートまたは仮想ポートがディセーブルになります。 |
authentication violation シャットダウン モードはイネーブルです。
インターフェイス コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
authentication violation コマンドを使用して、ポートにセキュリティ違反が発生する場合に実行するアクションを指定します。
次の例では、新しいデバイスがポートに接続する場合に、errdisable になり、シャットダウンするように IEEE 802.1x 対応ポートを設定する方法を示します。
Controller(config-if)# authentication violation shutdown
次の例では、新しいデバイスがポートに接続する場合に、システム エラー メッセージを生成して、ポートを制限モードに変更するように 802.1x 対応ポートを設定する方法を示します。
Controller(config-if)# authentication violation restrict
次の例では、新しいデバイスがポートに接続するときに、そのデバイスを無視するように 802.1x 対応ポートを設定する方法を示します。
Controller(config-if)# authentication violation protect
次の例では、新しいデバイスがポートに接続するときに、現在のセッションを削除し、新しいデバイスによる認証を開始するように 802.1x 対応ポートを設定する方法を示します。
Controller(config-if)# authentication violation replace
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
スイッチで Client Information Signalling Protocol(CISP)をイネーブルにすることで、スイッチがサプリカント スイッチに対するオーセンティケータとして動作するようにするには、cisp enable グローバル コンフィギュレーション コマンドを使用します。
cisp enable
no cisp enable
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
オーセンティケータとサプリカント スイッチの間のリンクはトランクです。 両方のスイッチで VTP をイネーブルにする場合は、VTP ドメイン名が同一であり、VTP モードがサーバである必要があります。
Controller(config)# cisp enable
dot1x supplicant force-multicast |
802.1x サプリカントがマルチキャスト パケットを送信するように強制します。 |
dot1x supplicant controlled transient |
802.1x サプリカントによって制御されたアクセスを設定します。 |
errdisable であった VLAN を再びイネーブルにするには、スイッチで clear errdisable interface 特権 EXEC コマンドを使用します。
clear errdisable interface interface-id vlan [ vlan-list]
(任意)再びイネーブルにする VLAN のリストを指定します。 VLAN リストを指定しない場合は、すべての VLAN が再びイネーブルになります。 |
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
shutdown および no shutdown のインターフェイス コンフィギュレーション コマンドを使用してポートを再びイネーブルにするか、 clear errdisable interface コマンドを使用して VLAN の errdisable をクリアできます。
次の例では、ギガビット イーサネット ポート 4/0/2 で errdisable になっているすべての VLAN を再びイネーブルにする方法を示します。
Controller# clear errdisable interface gigabitethernet4/0/2 vlan
MAC アドレス テーブルから特定のダイナミック アドレス、特定インターフェイスのすべてのダイナミック アドレス、スタック メンバのすべてのダイナミック アドレス、または特定の VLAN のすべてのダイナミック アドレスを削除するには、特権 EXEC モードで clear mac address-table コマンドを使用します。 このコマンドはまた MAC アドレス通知グローバル カウンタもクリアします。
clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id] | move update | notification}
(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。 指定できる範囲は 1 ~ 4094 です。 |
|
move update |
MAC アドレス テーブルの移行更新カウンタをクリアします。 |
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
show mac address-table 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを確認できます。
次の例では、ダイナミック アドレス テーブルから特定の MAC アドレスを削除する方法を示します。
Controller# clear mac address-table dynamic address 0008.0070.0007
interface キーワードが追加されると、すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。 |
|
条件が一致した場合に非 IP トラフィックの転送を防止するには、スイッチ スタックまたはスタンドアロン スイッチ上で deny MAC アクセス リスト コンフィギュレーション コマンドを使用します。 名前付き MAC アクセス リストから拒否条件を削除するには、このコマンドの no 形式を使用します。
deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
no deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
MAC アクセス リスト コンフィギュレーション モードを開始するには、 mac access-list extended グローバル コンフィギュレーション コマンドを使用します。
host キーワードを使用した場合、アドレス マスクは入力できません。 host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。
アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加された場合、リストの最後には暗黙の deny-any-any 条件が存在します。 つまり、一致がない場合にはパケットは拒否されます。 ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。
IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。 Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を、次の表に一覧表示します。
次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。 このリストに一致するトラフィックは拒否されます。
Controller(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。
Controller(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。
Controller(config-ext-macl)# deny any any 0x4321 0
MAC アクセスリスト コンフィギュレーションから許可します。 条件が一致した場合に非 IP トラフィックが転送されるのを許可します。 |
|
ポートに接続されているデバイスのロールを指定するには、IPv6 スヌーピング コンフィギュレーション モードで device-role コマンドを使用します。
device-role { node | switch}
node | ノードに接続されているデバイスのロールを設定します。 |
switch | スイッチに接続されているデバイスのロールを設定します。 |
デバイス ロールはノードです。
IPv6 スヌーピング設定(config-ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
device-role コマンドは、ポートに接続されているデバイスのロールを指定します。 デフォルトではデバイス ロールはノードです。
switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートから学習したバインディング エントリは、trunk_port のプリファレンス レベルでマーク付けされます。 ポートが trust-port に設定されている場合、バインディング エントリは trunk_trusted_port のプリファレンス レベルでマークされます。
次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、デバイスをノードとして設定する方法を示します。
Controller(config)# ipv6 snooping policy policy1 Controller(config-ipv6-snooping)# device-role node
ネイバー探索(ND)インスペクション ポリシー コンフィギュレーション モードで device-role を使用し、ポートに接続されているデバイスのロールを指定します。
device-role { host | monitor | router | switch}
host | ホストに接続されているデバイスのロールを設定します。 |
monitor | モニタに接続されているデバイスのロールを設定します。 |
router | ルータに接続されているデバイスのロールを設定します。 |
switch | スイッチに接続されているデバイスのロールを設定します。 |
デバイス ロールはホストです。
ND インスペクション ポリシー設定(config-nd-inspection)
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
device-role コマンドは、ポートに接続されているデバイスのロールを指定します。 デフォルトでは、デバイス ロールはホストであるため、すべてのインバウンド ルータ アドバタイズメントおよびリダイレクト メッセージがブロックされます。 router キーワードを使用してデバイス ロールがイネーブルになっている場合、すべてのメッセージ(ルータ送信要求(RS)、ルータ アドバタイズメント(RA)、またはリダイレクト)がこのポートで許可されます。
router または monitor キーワードが使用されている場合、制限されたブロードキャストがイネーブルかどうかに関係なく、マルチキャスト RS メッセージがポートでブリッジされます。 ただし、monitor キーワードでは、インバウンド RA またはリダイレクト メッセージが許可されません。 monitor キーワードを使用すると、これらのメッセージを必要とするデバイスがメッセージを受信します。
switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートから学習したバインディング エントリは、trunk_port のプリファレンス レベルでマーク付けされます。 ポートが trust-port に設定されている場合、バインディング エントリは trunk_trusted_port のプリファレンス レベルでマークされます。次の例では、ネイバー探索プロトコル(NDP)ポリシー名を policy1 として定義し、デバイスを ND インスペクション ポリシー コンフィギュレーション モードにし、デバイスをホストとして設定します。
Controller(config)# ipv6 nd inspection policy policy1 Controller(config-nd-inspection)# device-role host
IEEE 802.1X クリティカル認証パラメータを設定するには、グローバル コンフィギュレーション モードで dot1x critical コマンドを使用します。
dot1x critical eapol
eapol | スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するように指定します。 |
eapol はディセーブルです。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するように指定する方法を示します。
Controller(config)# dot1x critical eapol
一方の端が 802.1X を認識していないと判断する前に、サプリカントがクライアントに送信(応答が受信されないことを想定)する Extensible Authentication Protocol over LAN(EAPOL)開始フレームの最大数を設定するには、インターフェイス コンフィギュレーション モードで dot1x max-start コマンドを使用します。 最大回数の設定を削除するには、このコマンドの no 形式を使用します。
dot1x max-start number
no dot1x max-start
number | ルータが EAPOL 開始フレームを送信する最高回数。 値は 1 ~ 10 です。 デフォルトは 3 です。 |
デフォルトの最大数の設定は 3 です。
インターフェイス コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドを入力する前に、スイッチ ポートで switchport mode access インターフェイス コンフィギュレーション コマンドを入力する必要があります。
次の例では、EAPOL 開始要求の最大数が 5 に設定されていることを示しています。
Controller(config)# interface g1/0/3 Controller(config-if)# dot1x max-start 5
Port Access Entity(PAE)タイプを設定するには、インターフェイス コンフィギュレーション モードで dot1x pae コマンドを使用します。 設定された PAE タイプをディセーブルにするには、このコマンドの no 形式を使用します。
dot1x pae { supplicant | authenticator}
no dot1x pae { supplicant | authenticator}
supplicant | インターフェイスはサプリカントとしてだけ機能し、オーセンティケータ向けのメッセージに応答しません。 |
authenticator | インターフェイスはオーセンティケータとしてだけ機能し、サプリカント向けのメッセージに応答しません。 |
PAE タイプは設定されません。
インターフェイス コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
IEEE 802.1x 認証をポート上でディセーブルにする場合は、no dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。
dot1x port-control インターフェイス コンフィギュレーション コマンドを入力するなどしてポート上で IEEE 802.1x 認証を設定した場合、スイッチは自動的にポートを IEEE 802.1x オーセンティケータとして設定します。 オーセンティケータの PAE 動作は、no dot1x pae インターフェイス コンフィギュレーション コマンドを入力した後でディセーブルになります。
次の例は、インターフェイスがサプリカントとして機能するように設定されていることを示しています。
Controller(config)# interface g1/0/3 Controller(config-if)# dot1x pae supplicant
認証中の 802.1x サプリカントのポートへのアクセスを制御するには、グローバル コンフィギュレーション モードで dot1x supplicant controlled transient コマンドを使用します。 認証中にサプリカントのポートを開くには、このコマンドの no 形式を使用します。
dot1x supplicant controlled transient
このコマンドには引数またはキーワードはありません。
認証中に 802.1x サプリカントのポートへのアクセスが許可されます。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
デフォルトでは、BPCU ガードがイネーブルにされたオーセンティケータ スイッチにサプリカントのスイッチを接続する場合、オーセンティケータのポートはサプリカント スイッチが認証する前にスパニングツリー プロトコル(STP)のブリッジ プロトコル データ ユニット(BPDU)を受信すると、errdisable 状態になる可能性があります。 Cisco IOS Release 15.0(1) SE 以降では、認証中にサプリカントのポートから送信されるトラフィックを制御できます。 dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証が完了する前にオーセンティケータ ポートがシャットダウンしないように、認証中にサプリカント ポートを一時的にブロックできます。 認証に失敗すると、サプリカントのポートが開きます。 no dot1x supplicant controlled transient グローバルコンフィギュレーション コマンドを入力すると、認証中にサプリカントのポートが開きます。 これはデフォルトの動作です。
BPDU ガードが spanning-tree bpduguard enable インターフェイス コンフィギュレーション コマンドによりオーセンティケータのスイッチ ポートでイネーブルになっている場合、サプリカント スイッチで dot1x supplicant controlled transient コマンドを使用することを強く推奨します。
次に、認証の間にスイッチの 802.1x サプリカントのポートへのアクセスを制御する例を示します。
Controller(config)# dot1x supplicant controlled transient
マルチキャストまたはユニキャスト EAPOL パケットを受信するたびに、サプリカント スイッチがマルチキャスト Extensible Authentication Protocol over LAN(EAPOL)パケットだけを送信するように強制するには、dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x supplicant force-multicast
no dot1x supplicant force-multicast
このコマンドには引数またはキーワードはありません。
サプリカント スイッチは、ユニキャスト EAPOL パケットを受信すると、ユニキャスト EAPOL パケットを送信します。 同様に、マルチキャスト EAPOL パケットを受信すると、EAPOL パケットを送信します。
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
Network Edge Access Topology(NEAT)がすべてのホスト モードで機能するようにするには、サプリカント スイッチ上でこのコマンドをイネーブルにします。
次の例では、サプリカント スイッチがオーセンティケータ スイッチにマルチキャスト EAPOL パケットを送信するように設定する方法を示します。
Controller(config)# dot1x supplicant force-multicast
スイッチの Client Information Signalling Protocol(CISP)をイネーブルにすることで、スイッチがサプリカント スイッチに対するオーセンティケータとして動作するようにします。 |
|
すべてのスイッチ ポートで IEEE 802.1x アクティビティを監視し、IEEE 802.1x をサポートするポートに接続されたデバイスに関する情報を表示するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x test eapol-capable 特権 EXEC コマンドを使用します。
dot1x test eapol-capable [ interface interface-id]
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
スイッチ上のすべてのポートまたは特定のポートに接続するデバイスの IEEE 802.1x 機能をテストするには、このコマンドを使用します。
次の例では、スイッチ上で IEEE 802.1x の準備チェックをイネーブルにして、ポートに対してクエリーを実行する方法を示します。 また、ポートに接続しているデバイスを確認するためのクエリーの実行対象ポートから受信した応答が IEEE 802.1x 対応であることを示します。
Controller# dot1x test eapol-capable interface gigabitethernet1/0/13 DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable
IEEE 802.1x 準備に対してクエリーされているポートからの EAPOL 応答を待機するために使用されるタイムアウトを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x test timeout グローバル コンフィギュレーション コマンドを使用します。
dot1x test timeout timeout
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、EAPOL 応答を 27 秒間待機するようにスイッチを設定する方法を示します。
Controller# dot1x test timeout 27
すべての、または指定された IEEE 802.1x 対応ポートに接続するデバイスで IEEE 802.1x の準備が整っているかを確認します。 |
再試行タイムアウトの値を設定するには、グローバル コンフィギュレーション モードまたはインターフェイス コンフィギュレーション モードで dot1x timeout コマンドを使用します。 再試行タイムアウトをデフォルト値に戻すには、このコマンドの no 形式を使用します。
dot1x timeout { auth-period seconds | held-period seconds | quiet-period seconds | ratelimit-period seconds | server-timeout seconds | start-period seconds | supp-timeout seconds | tx-period seconds}
auth-period seconds | サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。 有効な範囲は 1 ~ 65535 です。 デフォルトは 30 です。 |
held-period seconds | サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。 有効な範囲は 1 ~ 65535 です。 デフォルト値は 60 です。 |
quiet-period seconds | クライアントを再認証する前に、認証情報の交換に失敗した後、オーセンティケータ(サーバ)が待機状態(保留ステート)を続ける秒数を設定します。 有効な範囲は 1 ~ 65535 です。 デフォルト値は 60 です。 |
ratelimit-period seconds | 不正な動作を行うクライアント PC(たとえば、スイッチの処理能力を無駄にする EAP-START パケットを送信する PC)から送信される EAP-START パケットを抑制します。 |
server-timeout seconds | 連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。 サーバが指定された期間内に 802.1X パケットへの応答を送信しない場合、パケットは再度送信されます。 |
start-period seconds | 連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。 有効な範囲は 1 ~ 65535 です。 デフォルトは 30 です。 |
supp-timeout seconds | EAP 要求 ID 以外のすべての EAP メッセージに対して、オーセンティケータからサプリカントへの再送信時間を設定します。 有効な範囲は 1 ~ 65535 です。 デフォルトは 30 です。 |
tx-period seconds | クライアントへの EAP 要求 ID パケットの再送信の間隔(応答が受信されないことを想定)の秒数を設定します。 |
定期的な再認証および定期的なレート制限が実行されます。
インターフェイス コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。
dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにしただけの場合、dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、スイッチの動作に影響します。
待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。 デフォルトよりも小さい数を入力することによって、ユーザへの応答時間を短縮できます。
ratelimit-period が 0(デフォルト)に設定された場合、スイッチは認証に成功したクライアントからの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。
次の例は、さまざまな 802.1X 再送信およびタイムアウト時間が設定されていることを示しています。
Controller(config)# configure terminal Controller(config)# interface g1/0/3 Controller(config-if)# dot1x port-control auto Controller(config-if)# dot1x timeout auth-period 2000 Controller(config-if)# dot1x timeout held-period 2400 Controller(config-if)# dot1x timeout quiet-period 600 Controller(config-if)# dot1x timeout start-period 90 Controller(config-if)# dot1x timeout supp-timeout 300 Controller(config-if)# dot1x timeout tx-period 60 Controller(config-if)# dot1x timeout server-timeout 60
アクセス コントロール リスト(ACL)が設定されていないポートにオープン ディレクティブを設定するには、グローバル コンフィギュレーション モードで epm access-control open コマンドを使用します。 オープン ディレクティブをディセーブルにするには、このコマンドの no 形式を使用します。
epm access-control open
no epm access-control open
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
スタティック ACL が設定されたアクセス ポートに、許可ポリシーのないホストを許可するオープン ディレクティブを設定するには、このコマンドを使用します。 このコマンドを設定しない場合、ポートは設定された ACL のポリシーをトラフィックに適用します。 ポートにスタティック ACL が設定されていない場合、デフォルトおよびオープンの両方のディレクティブがポートへのアクセスを許可します。
次の例では、オープン ディレクティブを設定する方法を示します。
Controller(config)# epm access-control open
Web 認証をイネーブルにするには、ip admission コンフィギュレーション コマンドを使用します。 このコマンドは、fallback-profile モードでも使用できます。 Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。
ip admission rule
no ip admission rule
rule | IP アドミッション ルールの名前。 |
Web 認証はディセーブルです。
インターフェイス コンフィギュレーション
fallback-profile モード
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
ip admission コマンドにより、スイッチ ポートに Web 認証ルールが適用されます。
次の例では、スイッチ ポートに Web 認証ルールを適用する方法を示します。
Controller# configure terminal Controller(config)# interface gigabitethernet1/0/1 Controller(config-if)# ip admission rule1
次の例では、IEEE 802.1x 対応のスイッチ ポートで使用するフォールバック プロファイルに Web 認証ルールを適用する方法を示します。
Controller# configure terminal Controller(config)# fallback profile profile1 Controller(config-fallback-profile)# ip admission rule1
Web 認証をイネーブルにするには、グローバル コンフィギュレーション モードで ipadmissionname コマンドを使用します。 Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。
ip admission name name { consent | proxy http} [ absolute timer minutes | inactivity-time minutes | list { acl | acl-name} | service-policy type tag service-policy-name]
no ip admission name name { consent | proxy http} [ absolute timer minutes | inactivity-time minutes | list { acl | acl-name} | service-policy type tag service-policy-name]
name | ネットワーク アドミッション コントロール ルールの名前。 |
consent | admission-name 引数を使用して指定された IP アドミッション ルールと認証プロキシの承諾 Web ページを関連付けます。 |
proxy http | Web 認証カスタム ページを設定します。 |
absolute-timer minutes | (任意)外部サーバがタイム アウトするまでの経過時間(分単位)。 |
inactivity-time minutes | (任意)外部サーバが到達不能と見なされるまでの経過時間(分単位)。 |
list | (任意)名前付きルールとアクセス コントロール リスト(ACL)を関連付けます。 |
acl | 名前付きアドミッション コントロール ルールに標準の拡張リストを適用します。 値の範囲は 1 ~ 199 です。範囲が拡張されている場合は 1300 ~ 2699 です。 |
acl-name | 名前付きアクセス リストを名前付きアドミッション コントロール ルールに適用します。 |
service-policy type tag | (任意)コントロール プレーン サービス ポリシーを設定します。 |
service-policy-name | policy-map type control tagpolicyname コマンド、キーワード、および引数を使用して設定されたプレーン タグ サービス ポリシーを制御します。 タグを受信すると、このポリシー マップを使用してホストにアクションが適用されます。 |
Web 認証はディセーブルです。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
ip admission name コマンドにより、Web 認証がスイッチ上でグローバルにイネーブルになります。
スイッチで Web 認証をグローバルにイネーブルにしてから、ip access-group in および ip admission web-rule インターフェイス コンフィギュレーション コマンドを使用して、特定のインターフェイスで Web 認証をイネーブルにします。
次に、スイッチ ポートで Web 認証のみを設定する例を示します。
Controller# configure terminal Controller(config) ip admission name http-rule proxy http Controller(config)# interface gigabitethernet1/0/1 Controller(config-if)# ip access-group 101 in Controller(config-if)# ip admission rule Controller(config-if)# end
次の例では、スイッチ ポートでのフォールバック メカニズムとして、Web 認証とともに IEEE 802.1x 認証を設定する方法を示します。
Controller# configure terminal Controller(config)# ip admission name rule2 proxy http Controller(config)# fallback profile profile1 Controller(config)# ip access group 101 in Controller(config)# ip admission name rule2 Controller(config)# interface gigabitethernet1/0/1 Controller(config-if)# dot1x port-control auto Controller(config-if)# dot1x fallback profile1 Controller(config-if)# end
コマンド |
説明 |
---|---|
dot1x fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
fallback profile |
Web 認証のフォールバック プロファイルを作成します。 |
ip admission |
ポートで Web 認証をイネーブルにします。 |
show authentication sessions interface interface detail |
Web 認証セッション ステータスに関する情報を表示します。 |
show ip admission |
NAC のキャッシュされたエントリまたは NAC 設定についての情報を表示します。 |
レイヤ 2 ポートで IP ポート セキュリティ バインディングのトラッキングをイネーブルにするには、インターフェイス コンフィギュレーション モードで ip device tracking maximum コマンドを使用します。 信頼できないレイヤ 2 インターフェイスで IP ポート セキュリティをディセーブルにするには、このコマンドの no 形式を使用します。
ip device tracking maximum number
no ip device tracking maximum number
number |
ポートの IP デバイス トラッキング テーブルに作成するバインディングの数。 範囲は 0 ~ 2048 です。 |
なし
インターフェイス コンフィギュレーション モード
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、レイヤ 2 アクセス ポートで IP-MAC フィルタを使用して IP ポート セキュリティをイネーブルにする方法を示します。
Controller# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)# ip device tracking Controller(config)# interface gigabitethernet1/0/3 Controller(config-if)# switchport mode access Controller(config-if)# switchport access vlan 1 Controller(config-if)# ip device tracking maximum 5 Controller(config-if)# switchport port-security Controller(config-if)# switchport port-security maximum 5 Controller(config-if)# ip verify source tracking port-security Controller(config-if)# end
アドレス解決プロトコル(ARP)プローブの IP デバイス トラッキング テーブルを設定するには、グローバル コンフィギュレーション モードで ip device tracking probe コマンドを使用します。 ARP プローブをディセーブルにするには、このコマンドの no 形式を使用します。
ip device tracking probe { count number | interval seconds | use-svi address }
no ip device tracking probe { count number | interval seconds | use-svi address }
count number |
コントローラが ARP プローブを送信する回数を設定します。 範囲は 1 ~ 255 です。 |
intervalseconds |
コントローラが、ARP プローブを再送信するまでに、応答を待機する秒数を設定します。 指定できる範囲は 30 ~ 1814400 秒です。 |
use-svi |
コントローラ仮想インターフェイス(SVI)IP アドレスを ARP プローブのソースとして使用します。 |
カウント番号は 3 です。
30 秒間隔です。
ARP プローブのデフォルト ソース IP アドレスはレイヤ 3 インターフェイスで、スイッチポートでは 0.0.0.0 です。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
スイッチ ポートのデフォルト ソース IP アドレス 0.0.0.0 が使用され、ARP プローブがドロップする場合に、IP デバイス トラッキング テーブルが SVI IP アドレスを ARP プローブに使用するように設定するには、use-svi キーワードを使用します。
次の例では、SVI を ARP プローブのソースとして設定する方法を示します。
Controller(config)# ip device tracking probe use-svi
Dynamic Host Configuration Protocol(DHCP)スヌーピング データベースを設定するには、グローバル コンフィギュレーション モードで ip dhcp snooping database コマンドを使用します。 DHCP スヌーピング データベースをディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping database { crashinfo:url | flash:url | ftp:url | http:url | https:url | rcp:url | scp:url | tftp:url | timeout seconds | usbflash0:url | write-delay seconds}
crashinfo:url | crashinfo を使用して、エントリを格納するためのデータベースの URL を指定します。 |
flash:url | フラッシュを使用して、エントリを格納するためのデータベースの URL を指定します。 |
ftp:url | FTP を使用して、エントリを格納するためのデータベースの URL を指定します。 |
http:url | HTTP を使用して、エントリを格納するためのデータベースの URL を指定します。 |
https:url | セキュア HTTP(https)を使用して、エントリを格納するためのデータベースの URL を指定します。 |
rcp:url | リモート コピー(rcp)を使用して、エントリを格納するためのデータベースの URL を指定します。 |
scp:url | Secure Copy(SCP)を使用して、エントリを格納するためのデータベースの URL を指定します。 |
tftp:url | TFTP を使用して、エントリを格納するためのデータベースの URL を指定します。 |
timeout seconds | 中断タイムアウト インターバルを指定します。有効値は 0 ~ 86,400 秒です。 |
usbflash0:url | USB フラッシュを使用して、エントリを格納するためのデータベースの URL を指定します。 |
write-delay: seconds | ローカル DHCP スヌーピング データベースにデータが追加されてから、DHCP スヌーピング エントリを外部サーバに書き込みするまでの時間を指定します。有効値は 15 ~ 86,400 秒です。 |
DHCP スヌーピング データベースは設定されません。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドを入力する前に、インターフェイス上で DHCP スヌーピングをイネーブルにする必要があります。 DHCP スヌーピングをイネーブルにするには、ip dhcp snooping コマンドを使用します。
次に、TFTP を使用してデータベースの URL を指定する例を示します。
Controller(config)# ip dhcp snooping database tftp://10.90.90.90/snooping-rp2
次に、DHCP スヌーピング エントリを外部サーバに書き込むまでの時間を指定する例を示します。
Controller(config)# ip dhcp snooping database write-delay 15
オプション 82 リモート ID サブオプションを設定するには、スイッチ上で ip dhcp snooping information option format remote-id グローバル コンフィギュレーション コマンドを使用します。 デフォルトのリモート ID サブオプションを設定するには、このコマンドの no 形式を使用します。
ip dhcp snooping information option format remote-id { hostname | string string}
no ip dhcp snooping information option format remote-id { hostname | string string}
hostname | スイッチのホスト名をリモート ID として指定します。 |
string string | 1 ~ 63 の ASCII 文字(スペースなし)を使用して、リモート ID を指定します。 |
スイッチの MAC アドレスは、リモート ID です。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
DHCP スヌーピング設定を有効にするには、ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して DHCP スヌーピングをグローバルにイネーブルにする必要があります。
オプション 82 機能がイネーブルの場合、デフォルトのリモート ID サブオプションはスイッチの MAC アドレスです。 このコマンドを使用すると、スイッチのホスト名または 63 個の ASCII 文字列(スペースなし)のいずれかをリモート ID として設定できます。
(注) |
ホスト名が 63 文字を超える場合、リモート ID 設定では 63 文字以降は省略されます。 |
次の例では、オプション 82 リモート ID サブオプションを設定する方法を示します。
Controller(config)# ip dhcp snooping information option format remote-id hostname
DHCP クライアント メッセージのリレー エージェント アドレス(giaddr)が信頼できないポート上のクライアント ハードウェア アドレスに一致することを確認する DHCP スヌーピング機能をディセーブルにするには、グローバル コンフィギュレーション モードで ip dhcp snooping verify no-relay-agent-address コマンドを使用します。 検証をイネーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping verify no-relay-agent-address
no ip dhcp snooping verify no-relay-agent-address
このコマンドには引数またはキーワードはありません。
DHCP スヌーピング機能は、信頼できないポートの DHCP クライアント メッセージのリレー エージェント IP アドレス(giaddr)フィールドが 0 であることを確認します。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
デフォルトでは、DHCP スヌーピング機能は、信頼できないポートの DHCP クライアント メッセージのリレー エージェント IP アドレス(giaddr)フィールドが 0 であることを確認します。giaddr フィールドが 0 ではない場合は、メッセージがドロップされます。 確認をディセーブルにするには、ip dhcp snooping verify no-relay-agent-address コマンドを使用します。 確認を再度イネーブルにするには、no ip dhcp snooping verify no-relay-agent-address を使用します。
次の例では、DHCP クライアント メッセージで giaddr の確認をイネーブルにする方法を示します。
Controller(config)# no ip dhcp snooping verify no-relay-agent-address
スタティック IP ソース バインディング エントリを追加するには、ip source binding コマンドを使用します。 スタティック IP ソース バインディング エントリを削除するには、このコマンドの no 形式を使用します。
ip source binding mac-address vlan vlan-id ip-address interface interface-id
no ip source binding mac-address vlan vlan-id ip-address interface interface-id
mac-address | バインディング対象 MAC アドレス。 |
vlan vlan-id | レイヤ 2 VLAN ID を指定します。有効な値は 1 ~ 4094 です。 |
ip-address | バインディング対象 IP アドレス。 |
interface interface-id | 物理インターフェイスの ID。 |
IP 送信元バインディングは設定されていません。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドを使用して、スタティック IP ソース バインディング エントリだけを追加できます。
no 形式は、対応する IP ソース バインディング エントリを削除します。 正常に削除するには、すべての必須パラメータに完全に一致する必要があります。 各スタティック IP バインディング エントリは、MAC アドレスおよび VLAN 番号で指定されることに注意してください。 コマンドに既存の MAC アドレスと VLAN 番号が含まれる場合は、別のバインディング エントリを作成する代わりに、新しいパラメータで既存のバインディング エントリが更新されます。
次の例では、スタティック IP 送信元バインディング エントリを追加する方法を示します。
Controller# configure terminal Controllerconfig) ip source binding 0100.0230.0002 vlan 11 10.0.0.4 interface gigabitethernet1/0/1
インターフェイスで IP ソース ガードをイネーブルにするには、インターフェイス コンフィギュレーション モードで ip verify source コマンドを使用します。 IP ソース ガードをディセーブルにするには、このコマンドの no 形式を使用します。
ip verify source { vlan dhcp-snooping | tracking } [port-security]
no ip verify source { vlan dhcp-snooping | tracking } [port-security]
vlan dhcp-snooping |
信頼できないレイヤ 2 DHCP スヌーピング インターフェイスで IP ソース ガードをイネーブルにします。 |
tracking |
ポートでスタティック IP アドレス ラーニングを学習するために IP ポート セキュリティをイネーブルにします。 |
port-security |
(任意)IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにします。 port-security キーワードを入力しない場合、IP アドレス フィルタリングによる IP ソース ガードがイネーブルになります。 |
IP 送信元ガードはディセーブルです。
インターフェイス コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
送信元 IP アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、ip verify source インターフェイス コンフィギュレーション コマンドを使用します。
送信元 IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、ip verify source port-security インターフェイス コンフィギュレーション コマンドを使用します。
送信元 IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、インターフェイスのポート セキュリティをイネーブルにする必要があります。
次の例では、インターフェイスの送信元 IP アドレス フィルタリングによる IP ソース ガードをイネーブルにする方法を示します。
Controller# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)# ip dhcp snooping Controller(config)# ip dhcp snooping vlan 10 20 Controller(config)# interface gigabitethernet1/0/1 Controller(config-if)# switchport trunk encapsulation dot1q Controller(config-if)# switchport mode trunk Controller(config-if)# switchport trunk native vlan 10 Controller(config-if)# switchport trunk allowed vlan 11-20 Controller(config-if)# no ip dhcp snooping trust Controller(config-if)# ip verify source vlan dhcp-snooping Controller(config)# end Controller# show ip verify source interface fastethernet0/1 Interface Filter-type Filter-mode IP-address Mac-address Vlan --------- ----------- ----------- --------------- ----------------- ---------- Gi1/0/1 ip-mac active 10.0.0.1 10 Gi1/0/1 ip-mac active deny-all 11-20 Controller#
次の例では、レイヤ 2 アクセス ポートで IP-MAC フィルタを使用して IP ポート セキュリティをイネーブルにする方法を示します。
Controller# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)# ip device tracking Controller(config)# interface gigabitethernet1/0/3 Controller(config-if)# switchport mode access Controller(config-if)# switchport access vlan 1 Controller(config-if)# ip device tracking maximum 5 Controller(config-if)# switchport port-security Controller(config-if)# switchport port-security maximum 5 Controller(config-if)# ip verify source tracking port-security Controller(config-if)# end
設定を確認するには、show ip verify source 特権 EXEC コマンドを入力します。
IPv6 スヌーピング ポリシーを設定して IPv6 スヌーピング コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで ipv6 snooping policy コマンドを使用します。 IPv6 スヌーピング ポリシーを削除するには、このコマンドの no 形式を使用します。
ipv6 snooping policy snooping-policy
no ipv6 snooping policy snooping-policy
snooping-policy | スヌーピング ポリシーのユーザ定義名。 ポリシー名には、象徴的な文字列(Engineering など)または整数(0 など)を使用できます。 |
IPv6 スヌーピング ポリシーは設定されていません。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、IPv6 スヌーピング ポリシーを設定する方法を示します。
Controller(config)# ipv6 snooping policy policy1 Controller(config-ipv6-snooping)#
ポートで使用可能な IPv6 アドレスの数を制限するには、ネイバー探索プロトコル(NDP)インスペクション ポリシー コンフィギュレーション モードまたは IPv6 スヌーピング コンフィギュレーション モードで limit address-count コマンドを使用します。 デフォルトに戻るには、no 形式のコマンドを使用します。
limit address-count maximum
no limit address-count
maximum | ポートで許可されたアドレスの数。 範囲は 1 ~ 10000 です。 |
デフォルト設定は無制限です。
ND インスペクション ポリシー設定(config-nd-inspection)
IPv6 スヌーピング設定(ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、NDP ポリシー名を policy1 として定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートで許可される IPv6 アドレスの数を 25 に制限する方法を示します。
Controller(config)# ipv6 nd inspection policy policy1 Controller(config-nd-inspection)# limit address-count 25
次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートで許可される IPv6 アドレスの数を 25 に制限する方法を示します。
Controller(config)# ipv6 snooping policy policy1 Controller(config-ipv6-snooping)# limit address-count 25
スイッチで VLAN ID ベースの MAC 認証をイネーブルにするには、mab request format attribute 32 vlan access-vlan グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。
mab request format attribute 32 vlan access-vlan
no mab request format attribute 32 vlan access-vlan
このコマンドには引数またはキーワードはありません。
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
RADIUS サーバがホスト MAC アドレスと VLAN に基づいて新しいユーザを認証できるようにするには、このコマンドを使用します。
Microsoft IAS RADIUS サーバを使用したネットワークでこの機能を使用します。 Cisco ACS はこのコマンドを無視します。
次の例では、スイッチで VLAN-ID ベースの MAC 認証をイネーブルにする方法を示します。
Controller(config)# mab request format attribute 32 vlan access-vlan
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
|
新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
|
認証システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no authentication logging verbose グローバル コンフィギュレーション コマンドを使用します。
no authentication logging verbose
このコマンドには引数またはキーワードはありません。
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドにより、認証システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 エラー メッセージはフィルタリングされません。
verbose 認証システム メッセージをフィルタリングするには、次の手順に従います。
Controller(config)# no authentication logging verbose
802.1x システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no dot1x logging verbose グローバル コンフィギュレーション コマンドを使用します。
no dot1x logging verbose
このコマンドには引数またはキーワードはありません。
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドにより、802.1x システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 エラー メッセージはフィルタリングされません。
verbose 802.1x システム メッセージをフィルタリングするには、次の手順に従います。
Controller(config)# no dot1x logging verbose
MAC 認証バイパス(MAB)システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no mab logging verbose グローバル コンフィギュレーション コマンドを使用します。
no mab logging verbose
このコマンドには引数またはキーワードはありません。
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
このコマンドにより、MAC 認証バイパス(MAB)システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 エラー メッセージはフィルタリングされません。
verbose MAB システム メッセージをフィルタリングするには、次の手順に従います。
Controller(config)# no mab logging verbose
条件が一致した場合に非 IP トラフィックが転送されるのを許可するには、スイッチ スタックまたはスタンドアロン スイッチ上で permit MAC アクセスリスト コンフィギュレーション コマンドを使用します。 許可条件を拡張 MAC アドレス リストから削除するには、このコマンドの no 形式を使用します。
{ permit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
nopermit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
appletalk は、コマンドラインのヘルプ ストリングには表示されますが、一致条件としてはサポートされていません。
MAC アクセス リスト コンフィギュレーション モードを開始するには、 mac access-list extended グローバル コンフィギュレーション コマンドを使用します。
host キーワードを使用した場合、アドレス マスクは入力できません。 any キーワードまたは host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。
アクセス コントロール エントリ(ACE)が ACL に追加された場合、リストの最後には暗黙の deny-any-any 条件が存在します。 つまり、一致がない場合にはパケットは拒否されます。 ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。
IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。 次の表に、Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を一覧表示します。
次の例では、あらゆる送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを許可する名前付き MAC 拡張アクセス リストを定義する方法を示します。 このリストに一致するトラフィックは許可されます。
Controller(config-ext-macl)# permit any host 00c0.00a0.03fa netbios
次の例では、名前付き MAC 拡張アクセス リストから許可条件を削除する方法を示します。
Controller(config-ext-macl)# no permit any 00c0.00a0.03fa 0000.0000.0000 netbios
次の例では、Ethertype 0x4321 のすべてのパケットを許可します。
Controller(config-ext-macl)# permit any any 0x4321 0
MAC アクセス リスト コンフィギュレーションから拒否します。 条件が一致した場合に非 IP トラフィックが転送されるのを拒否します。 |
|
Dynamic Host Configuration Protocol(DHCP)またはネイバー探索プロトコル(NDP)でアドレスを収集する必要があることを指定する、またはプロトコルを IPv6 プレフィックス リストに関連付けるには、protocol コマンドを使用します。 DHCP または NDP で収集したアドレスをディセーブルにするには、このコマンドの no 形式を使用します。
protocol { dhcp | ndp }
protocol { dhcp | ndp }
dhcp | Dynamic Host Configuration Protocol(DHCP)パケットでアドレスを収集する必要があることを指定します。 |
ndp | ネイバー探索プロトコル(NDP)パケットでアドレスを収集する必要があることを指定します。 |
スヌーピングと回復は、DHCP と NDP の両方を使用して試行されます。
IPv6 スヌーピング コンフィギュレーション モード(config-ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
アドレスが DHCP または NDP に関連付けられたプレフィックス リストに一致しない場合は、制御パケットがドロップされ、バインディング テーブル エントリの回復がそのプロトコルに対して試行されません。
次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、アドレスを収集するために DHCP を使用するようにポートを設定する方法を示します。
Controller(config)# ipv6 snooping policy policy1 Controller(config-ipv6-snooping)# protocol dhcp
実施されるセキュリティのレベルを指定するには、IPv6 スヌーピング ポリシー コンフィギュレーション モードで security-level コマンドを使用します。
security level { glean | guard | inspect}
glean | メッセージからアドレスを抽出し、検証を実行せずにバインディング テーブルにインストールします。 |
guard | 収集と検査の両方を実行します。 さらに、信頼されたポートで受信されなかった場合、または別のポリシーで許可されない場合、RA および DHCP サーバのメッセージは拒否されます。 |
inspect | 一貫性とコンプライアンスに関するメッセージを検証します。特に、アドレス所有権が対象となります。 無効なメッセージはドロップされます。 |
デフォルトのセキュリティ レベルはガードです。
IPv6 スヌーピング設定(config-ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、セキュリティ レベルを検査として設定する方法を示します。
Controller(config)# ipv6 snooping policy policy1 Controller(config-ipv6-snooping)# security-level inspect
IPSec パススルーを変更するには、security passthru コマンドを使用します。 ディセーブルにするには、このコマンドの no 形式を使用します。
security passthru ip-address
no security passthru
ip-address | VPN トンネルを終端している IPSec ゲートウェイ(ルータ)の IP アドレス。 |
なし。
wlan
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次の例では、IPSec パススルーを変更する方法を示します。
Controller#configre terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#security passthrough 10.1.1.1
ポイズニングされたセッションのアカウンティング セッション ID を示すには、show aaa acct-stop-cache コマンドを使用します。
このコマンドには引数またはキーワードはありません。
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
ポイズニングされたセッションのアカウンティング停止レコードは、スタンバイ スイッチでのみキャッシュされます。
次の例は、show aaa acct-stop-cache コマンドの出力を示しています。
Controller# show aaa acct-stop-cache
AAA クライアント統計情報を示すには、show aaa clients コマンドを使用します。
show aaa clients [ detailed]
detailed | (任意)詳細な AAA クライアント統計情報を示します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例は、show aaa clients コマンドの出力を示しています。
Controller# show aaa clients
Dropped request packets: 0
AAA コマンド ハンドラ統計情報を示すには、show aaa command handler コマンドを使用します。
show aaa command handler
このコマンドには引数またはキーワードはありません。
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例は、show aaa command handler コマンドの出力を示しています。
Controller# show aaa command handler
AAA Command Handler Statistics:
account-logon: 0, account-logoff: 0
account-query: 0, pod: 0
service-logon: 0, service-logoff: 0
user-profile-push: 0, session-state-log: 0
reauthenticate: 0, bounce-host-port: 0
disable-host-port: 0, update-rbacl: 0
update-sgt: 0, update-cts-policies: 0
invalid commands: 0
async message not sent: 0
AAA ローカル方式オプションを示すには、show aaa local コマンドを使用します。
show aaa local { netuser { name | all } | statistics | user lockout}
netuser | AAA ローカル ネットワークまたはゲスト ユーザ データベースを指定します。 |
name | ネットワーク ユーザ名。 |
all | ネットワークおよびゲスト ユーザ情報を指定します。 |
statistics | ローカル認証の統計情報を表示します。 |
user lockout | AAA ローカル ロックアウト ユーザを指定します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例は、show aaa local statistics コマンドの出力を示しています。
Controller# show aaa local statistics
Local EAP statistics
EAP Method Success Fail
-------------------------------------
Unknown 0 0
EAP-MD5 0 0
EAP-GTC 0 0
LEAP 0 0
PEAP 0 0
EAP-TLS 0 0
EAP-MSCHAPV2 0 0
EAP-FAST 0 0
Requests received from AAA: 0
Responses returned from EAP: 0
Requests dropped (no EAP AVP): 0
Requests dropped (other reasons): 0
Authentication timeouts from EAP: 0
Credential request statistics
Requests sent to backend: 0
Requests failed (unable to send): 0
Authorization results received
Success: 0
Fail: 0
AAA サーバ MIB によって認識されるすべての AAA サーバを示すには、show aaa servers コマンドを使用します。
show aaa servers [ private| public| [ detailed] ]
detailed | (任意)AAA サーバ MIB によって認識されるプライベート AAA サーバを表示します。 |
public | (任意)AAA サーバ MIB によって認識されるパブリック AAA サーバを表示します。 |
detailed | (任意)詳細 AAA サーバ統計情報を表示します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例は、show aaa servers コマンドの出力を示しています。
Controller# show aaa servers
RADIUS: id 1, priority 1, host 172.20.128.2, auth-port 1645, acct-port 1646
State: current UP, duration 9s, previous duration 0s
Dead: total time 0s, count 0
Quarantined: No
Authen: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Author: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Account: request 0, timeouts 0, failover 0, retransmission 0
Request: start 0, interim 0, stop 0
Response: start 0, interim 0, stop 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Elapsed time since counters last cleared: 0m
Estimated Outstanding Access Transactions: 0
Estimated Outstanding Accounting Transactions: 0
Estimated Throttled Access Transactions: 0
Estimated Throttled Accounting Transactions: 0
Maximum Throttled Transactions: access 0, accounting 0
AAA セッション MIB によって認識される AAA セッションを示すには、show aaa sessions コマンドを使用します。
show aaa sessions
このコマンドには引数またはキーワードはありません。
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例は、show aaa sessions コマンドの出力を示しています。
Controller# show aaa sessions
Total sessions since last reload: 7
Session Id: 4007
Unique Id: 4025
User Name: *not available*
IP Address: 0.0.0.0
Idle Time: 0
CT Call Handle: 0
デバイスの認証されたセッション アライブを表示するには、show authentication history コマンドを使用します。
show authentication history [ min-uptime seconds]
min-uptime seconds | (任意)最小アップタイム内でのセッションを表示します。 有効範囲は 1 ~ 4294967295 秒です。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
デバイスの認証されたセッション アライブを表示するには、show authentication history コマンドを使用します。
次の例は、show authentication history コマンドの出力を示しています。
Controller# show authentication history
Interface MAC Address Method Domain Status Uptime
Gi3/0/2 0021.d864.07c0 dot1x DATA Auth 38s
Session count = 1
現在の認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。
show authentication sessions [ database] [ handle handle-id [ details] ] [ interface type number [ details] [ mac mac-address [ interface type number] [ method method-name [ interface type number [ details] [ session-id session-id [ details] ]
database | (任意)セッション データベースに格納されているデータだけを表示します。 |
handle handle-id | (任意)認証マネージャ情報を表示する特定のハンドルを指定します。 |
details | (任意)詳細情報を表示します。 |
interface type number | (任意)認証マネージャ情報を表示する特定のインターフェイス タイプおよび番号を指定します。 |
mac mac-address | (任意)情報を表示する特定の MAC アドレスを指定します。 |
method method-name | (任意)認証マネージャ情報を表示する特定の認証方式を指定します。 方式(dot1x、mab、または webauth)を指定する場合は、インターフェイスも指定できます。 |
session-id session-id | (任意)認証マネージャ情報を表示する特定のセッションを指定します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
現在のすべての認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。 特定の認証マネージャ セッションに関する情報を表示するには、1 つ以上のキーワードを使用します。
ステート |
説明 |
---|---|
Not run |
このセッションの方式は実行されていません。 |
Running |
このセッションの方式が実行中です。 |
Failed over |
この方式は失敗しました。次の方式が結果を出すことが予期されています。 |
Success |
この方式は、セッションの成功した認証結果を提供しました。 |
Authc Failed |
この方式は、セッションの失敗した認証結果を提供しました。 |
ステート |
説明 |
---|---|
dot1x |
802.1X |
mab |
MAC 認証バイパス |
webauth |
Web 認証 |
次の例では、スイッチ上のすべての認証セッションを表示する方法を示します。
Controller# show authentication sessions
Interface MAC Address Method Domain Status Session ID
Gi1/0/48 0015.63b0.f676 dot1x DATA Authz Success 0A3462B1000000102983C05C
Gi1/0/5 000f.23c4.a401 mab DATA Authz Success 0A3462B10000000D24F80B58
Gi1/0/5 0014.bf5d.d26d dot1x DATA Authz Success 0A3462B10000000E29811B94
次の例では、インターフェイスでのすべての認証セッションを表示する方法を示します。
Controller# show authentication sessions interface gigabitethernet2/0/47
Interface: GigabitEthernet2/0/47
MAC Address: Unknown
IP Address: Unknown
Status: Authz Success
Domain: DATA
Oper host mode: multi-host
Oper control dir: both
Authorized By: Guest Vlan
Vlan Policy: 20
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A3462C8000000000002763C
Acct Session ID: 0x00000002
Handle: 0x25000000
Runnable methods list:
Method State
mab Failed over
dot1x Failed over
----------------------------------------
Interface: GigabitEthernet2/0/47
MAC Address: 0005.5e7c.da05
IP Address: Unknown
User-Name: 00055e7cda05
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A3462C8000000010002A238
Acct Session ID: 0x00000003
Handle: 0x91000001
Runnable methods list:
Method State
mab Authc Success
dot1x Not run
show cisp {[ clients | interface interface-id] | registrations | summary}
(任意)指定されたインターフェイスの CISP 情報を表示します。 有効なインターフェイスには、物理ポートとポート チャネルが含まれます。 |
|
registrations |
CISP 登録を表示します。 |
リリース |
変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例は、show cisp interface コマンドの出力を示しています。
Controller# show cisp interface fast 0 CISP not enabled on specified interface
次の例は、show cisp registration コマンドの出力を示しています。
Controller# show cisp registrations Interface(s) with CISP registered user(s): ------------------------------------------ Fa1/0/13 Auth Mgr (Authenticator) Gi2/0/1 Auth Mgr (Authenticator) Gi2/0/2 Auth Mgr (Authenticator) Gi2/0/3 Auth Mgr (Authenticator) Gi2/0/5 Auth Mgr (Authenticator) Gi2/0/9 Auth Mgr (Authenticator) Gi2/0/11 Auth Mgr (Authenticator) Gi2/0/13 Auth Mgr (Authenticator) Gi3/0/3 Gi3/0/5 Gi3/0/23
スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示するには、show dot1x ユーザ EXEC コマンドを使用します。
show dot1x [ all [ count | details | statistics | summary] ] [ interface type number [ details | statistics] ] [ statistics]
all | (任意)すべてのインターフェイスの IEEE 802.1x 情報を表示します。 |
count | (任意)許可されたクライアントと許可されていないクライアントの総数を表示します。 |
details | (任意)IEEE 802.1x インターフェイスの詳細を表示します。 |
statistics | (任意)すべてのインターフェイスの IEEE 802.1x 統計情報を表示します。 |
summary | (任意)すべてのインターフェイスの IEEE 802.1x サマリーを表示します。 |
interface type number | (任意)指定されたポートの IEEE 802.1x ステータスを表示します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例は、show dot1x all コマンドの出力を示しています。
Controller# show dot1x all
Sysauthcontrol Enabled
Dot1x Protocol Version 3
次の例は、show dot1x all count コマンドの出力を示しています。
Controller# show dot1x all count
Number of Dot1x sessions
-------------------------------
Authorized Clients = 0
UnAuthorized Clients = 0
Total No of Client = 0
次の例は、show dot1x all statistics コマンドの出力を示しています。
Controller# show dot1x statistics
Dot1x Global Statistics for
--------------------------------------------
RxStart = 0 RxLogoff = 0 RxResp = 0 RxRespID = 0
RxReq = 0 RxInvalid = 0 RxLenErr = 0
RxTotal = 0
TxStart = 0 TxLogoff = 0 TxResp = 0
TxReq = 0 ReTxReq = 0 ReTxReqFail = 0
TxReqID = 0 ReTxReqID = 0 ReTxReqIDFail = 0
TxTotal = 0
拡張認証プロトコル(EAP)Flexible Authentication via Secure Tunneling(FAST)の保存された Protected Access Credential(PAC)を表示するには、 show eap pac peer 特権 EXEC コマンドを使用します。
show eap pac peer
このコマンドには引数またはキーワードはありません。
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例は、 show eap pac peers 特権 EXEC コマンドの出力を示しています。
Controller> show eap pac peers No PACs stored
DHCP スヌーピング統計情報をサマリー形式または詳細形式で表示するには、show ip dhcp snooping statistics ユーザ EXEC コマンドを使用します。
show ip dhcp snooping statistics [ detail ]
detail | (任意)詳細な統計情報を表示します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
スイッチ スタックでは、すべての統計情報がスタック マスターで生成されます。 新しいアクティブ スイッチが選出された場合、統計カウンタはリセットされます。
次の例では、show ip dhcp snooping statistics コマンドの出力を示します。
Controller> show ip dhcp snooping statistics
Packets Forwarded = 0
Packets Dropped = 0
Packets Dropped From untrusted ports = 0
次の例では、show ip dhcp snooping statistics detail コマンドの出力を示します。
Controller> show ip dhcp snooping statistics detail
Packets Processed by DHCP Snooping = 0
Packets Dropped Because
IDB not known = 0
Queue full = 0
Interface is in errdisabled = 0
Rate limit exceeded = 0
Received on untrusted ports = 0
Nonzero giaddr = 0
Source mac not equal to chaddr = 0
Binding mismatch = 0
Insertion of opt82 fail = 0
Interface Down = 0
Unknown output interface = 0
Reply output port equal to input port = 0
Packet denied by platform = 0
DHCP スヌーピング統計情報 |
説明 |
---|---|
Packets Processed by DHCP Snooping |
転送されたパケットおよびドロップされたパケットも含めて、DHCP スヌーピングによって処理されたパケットの合計数。 |
Packets Dropped Because IDB not known |
パケットの入力インターフェイスを判断できないエラーの数。 |
Queue full |
パケットの処理に使用される内部キューが満杯であるエラーの数。 非常に高いレートで DHCP パケットを受信し、入力ポートでレート制限がイネーブルになっていない場合、このエラーが発生することがあります。 |
Interface is in errdisabled |
errdisable としてマークされたポートでパケットを受信した回数。 これが発生する可能性があるのは、ポートが errdisable ステートである場合にパケットが処理キューに入り、そのパケットが後で処理される場合です。 |
Rate limit exceeded |
ポートで設定されているレート制限を超えて、インターフェイスが errdisable ステートになった回数。 |
Received on untrusted ports |
信頼できないポートで DHCP サーバ パケット(OFFER、ACK、NAK、LEASEQUERY のいずれか)を受信してドロップした回数。 |
Nonzero giaddr |
信頼できないポートで受信した DHCP パケットのリレー エージェント アドレス フィールド(giaddr)がゼロ以外だった回数。または no ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを設定しておらず、信頼できないポートで受信したパケットにオプション 82 データが含まれていた回数。 |
Source mac not equal to chaddr |
DHCP パケットのクライアント MAC アドレス フィールド(chaddr)がパケットの送信元 MAC アドレスと一致せず、ip dhcp snooping verify mac-address グローバル コンフィギュレーション コマンドが設定されている回数。 |
Binding mismatch |
MAC アドレスと VLAN のペアのバインディングになっているポートとは異なるポートで、RELEASE パケットまたは DECLINE パケットを受信した回数。 これは、誰かが本来のクライアントをスプーフィングしようとしている可能性があることを示しますが、クライアントがスイッチの別のポートに移動して RELEASE または DECLINE を実行したことを表すこともあります。 MAC アドレスは、イーサネット ヘッダーの送信元 MAC アドレスではなく、DHCP パケットの chaddr フィールドから採用されます。 |
Insertion of opt82 fail |
パケットへのオプション 82 挿入がエラーになった回数。 オプション 82 データを含むパケットがインターネットの単一物理パケットのサイズを超えた場合、挿入はエラーになることがあります。 |
Interface Down |
パケットが DHCP リレー エージェントへの応答であるが、リレー エージェントの SVI インターフェイスがダウンしている回数。 DHCP サーバへのクライアント要求の送信と応答の受信の間で SVI がダウンした場合に発生するエラーですが、めったに発生しません。 |
Unknown output interface |
オプション 82 データまたは MAC アドレス テーブルのルックアップのいずれかで、DHCP 応答パケットの出力インターフェイスを判断できなかった回数。 パケットはドロップされます。 オプション 82 が使用されておらず、クライアント MAC アドレスが期限切れになった場合に発生することがあります。 ポートセキュリティ オプションで IPSG がイネーブルであり、オプション 82 がイネーブルでない場合、クライアントの MAC アドレスは学習されず、応答パケットはドロップされます。 |
Reply output port equal to input port |
DHCP 応答パケットの出力ポートが入力ポートと同じであり、ループの可能性の原因となった回数。 ネットワークの設定の誤り、またはポートの信頼設定の誤用の可能性を示します。 |
Packet denied by platform |
プラットフォーム固有のレジストリによってパケットが拒否された回数。 |
RADIUS サーバ グループのプロパティを表示するには、show radius server-group コマンドを使用します。
show radius server-group { name | all}
name | サーバ グループの名前。 サーバ グループの名前の指定に使用する文字列は、aaa group server radius コマンドを使用して定義する必要があります。 |
all | すべてのサーバ グループのプロパティを表示します。 |
ユーザ EXEC
特権 EXEC
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
aaa group server radius コマンドを使用して定義したサーバ グループを表示するには、show radius server-group コマンドを使用します。
次の例は、show radius server-group all コマンドの出力を示しています。
Controller# show radius server-group all
Server group radius
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
フィールド |
説明 |
---|---|
Server group |
サーバ グループの名前。 |
Sharecount |
このサーバ グループを共有している方式リストの数。 たとえば、1 つの方式リストが特定のサーバ グループを使用する場合、sharecount は 1 になります。 2 つの方式リストが同じサーバ グループを使用する場合、sharecount は 2 になります。 |
sg_unconfigured |
サーバ グループが未設定です。 |
Type |
タイプは、標準または非標準のいずれかです。 タイプは、グループ内のサーバが非標準属性を受け入れるかどうかを示します。 グループ内のすべてのサーバが非標準オプションで設定されている場合、タイプは「非標準」として表示されます。 |
Memlocks |
メモリ内にあるサーバ グループ構造の内部参照の数。 この数は、このサーバ グループへの参照を保持している内部データ構造パケットまたはトランザクションの数を表します。 Memlocks は、ストレージ管理のために内部的に使用されます。 |
設定されたセキュア アドレスのポート セキュリティ エージングをイネーブルにするには、インターフェイス コンフィギュレーション モードで switchport port-security aging static コマンドを使用します。 エージングをディセーブルにするには、このコマンドの no 形式を使用します。
switchport port-security aging static
no switchport port-security aging static
このコマンドには引数またはキーワードはありません。
ディセーブル
インターフェイス コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
次の例は、設定されたセキュア アドレスのポート セキュリティ エージングをイネーブルにする方法を示しています。
Controller(config-if)# switchport port-security aging static
ポートでデフォルトのトラッキング ポリシーを上書きするには、IPv6 スヌーピング ポリシー コンフィギュレーション モードで tracking コマンドを使用します。
tracking { enable [ reachable-lifetime { value | infinite}] | disable [ stale-lifetime { value | infinite}
enable | トラッキングをイネーブルにします。 |
reachable-lifetime | (任意)到達可能なエントリが到達可能という証明なしで直接的または間接的に到達可能であると判断される最大時間を指定します。 |
value | ライフタイム値(秒単位)。 指定できる範囲は 1 ~ 86400 で、デフォルトは 300 です。 |
infinite | エントリを永久に到達可能または stale 状態で維持します。 |
disable | トラッキングをディセーブルにします。 |
stale-lifetime | (任意)時間エントリを stale 状態で維持します。これにより、グローバル stale-lifetime 設定が上書きされます。 |
時間エントリは、到達可能な状態で維持されます。
IPv6 スヌーピング設定(config-ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
tracking コマンドにより、このポリシーが適用されるポートの ipv6 neighbor tracking コマンドで設定されたデフォルトのトラッキング ポリシーが上書きされます。 この機能は、たとえば、エントリを追跡しないが、エントリが盗まれないようにするためにエントリをバインディング テーブルで保持する場合に、信頼できるポートで役立ちます。
reachable-lifetime キーワードは、エントリが到達可能という証明なしで、追跡によって直接的または IPv6 スヌーピングによって間接的に到達可能であると見なされる最大時間です。 reachable-lifetime 値に到達すると、エントリは stale に移行します。 トラッキング コマンドで reachable-lifetime キーワードを使用すると、ipv6 neighbor binding reachable-lifetime コマンドによって設定されたグローバル到達可能ライフタイムが上書きされます。
stale-lifetime キーワードは、エントリが直接的または間接的に削除されるまでテーブルで維持される最大時間、または到達可能であることが証明される最大時間です。 tracking コマンドで reachable-lifetime キーワードを使用すると、ipv6 neighbor binding stale-lifetime コマンドによって設定されたグローバル stale ライフタイムが上書きされます。
次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、エントリがバインディング テーブルで永久に維持されるように信頼できるポートで設定する方法を示します。
Controller(config)# ipv6 snooping policy policy1 Controller(config-ipv6-snooping)# tracking disable stale-lifetime infinite
信頼できるポートにするポートを設定するには、IPv6 スヌーピング ポリシー モードまたは ND インスペクション ポリシー コンフィギュレーション モードで trusted-port コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
trusted-port
no trusted-port
信頼できるポートはありません。
ND インスペクション ポリシー設定(config-nd-inspection)
IPv6 スヌーピング設定(config-ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
trusted-port コマンドをイネーブルにすると、このポリシーを持つポートでメッセージを受信した場合に、制限された検証が実行されるか、検証が実行されません。 ただし、アドレス スプーフィングから保護するため、搬送するバインディング情報を使用してバインディング テーブルを維持できるようにメッセージが分析されます。 これらのポートで検出されたバインディングは、信頼できるように設定されていないポートから受信したバインディングよりも信頼できると見なされます。
次の例では、NDP ポリシー名を policy1 として定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートを信頼できるように設定する方法を示します。
Controller(config)# ipv6 nd inspection policy1 Controller(config-nd-inspection)# trusted-port
次の例では、IPv6 スヌーピング ポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートを信頼できるように設定する方法を示します。
Controller(config)# ipv6 snooping policy policy1 Controller(config-ipv6-snooping)# trusted-port
無線フレーム パディングをイネーブルにするには、wireless dot11-padding コマンドを使用します。 ディセーブルにするには、このコマンドの no 形式を使用します。
wireless dot11-padding
no wireless dot11-padding
ディセーブル
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次の例では、無線フレーム パディングをイネーブルにする方法を示します。
Controller#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#wireless dot11-padding
IEEE 802.1x グローバル コンフィギュレーションを設定するには、wireless security dot1x コマンドを使用します。
wireless security dot1x [ eapol-key { retries retries | timeout milliseconds } | group-key interval sec | identity-request { retries retries | timeout seconds } | radius [call-station-id] { ap-macaddress | ap-macaddress-ssid | ipaddress | macaddress } | request { retries retries | timeout seconds } | wep key { index 0 | index 3 } ]
eapol-key | eapol-key に関連するパラメータを設定します。 |
retries retries | (任意)コントローラが無線クライアントに EAPOL(WPA)キー メッセージを再送信する最大回数(0~4)を指定します。 デフォルト値は 2 です。 |
timeout milliseconds | (任意)EAP または WPA/WPA-2 PSK を使用して無線クライアントに EAPOL(WPA)キー メッセージを再送信するまでにコントローラが待機する時間(200 ~ 5000 ミリ秒)を指定します。 デフォルト値は 1000 ミリ秒です。 |
group-key interval sec | EAP ブロードキャスト キーの更新間隔を秒単位で設定します(120 ~ 86400 秒)。 |
identity-request | EAP ID 要求に関連するパラメータを設定します。 |
retries retries | (任意)コントローラが EAP ID を要求する回数(0 ~ 4)の最大数を指定します。 デフォルト値は 2 です。 |
timeout seconds | (任意)無線クライアントに EAP ID 要求メッセージを再送信するまでにコントローラが待機する時間(1 ~ 120 秒)を指定します。 デフォルト値は 30 秒です。 |
radius | RADIUS メッセージを設定します。 |
call-station-id | (任意)RADIUS メッセージで送信される呼出端末 ID を設定します。 |
ap-macaddress | 呼出端末 ID タイプを AP の MAC アドレスに設定します。 |
ap-macaddress-ssid | 呼出端末 ID タイプを「AP MAC address':'SSID」に設定します。 |
ipaddress | システムの IP アドレスに呼出端末 ID タイプを設定します。 |
macaddress | 呼出端末 ID タイプをシステムの MAC アドレスに設定します。 |
request | EAP 要求に関連するパラメータを設定します。 |
retries retries | (任意)ID 要求以外の EAP メッセージまたは EAPOL(WPA)キー メッセージの場合、コントローラが無線クライアントにメッセージを再送信する最大回数(0 ~ 20)を指定します。 デフォルト値は 2 です。 |
timeout seconds | (任意)ID 要求以外の EAP メッセージまたは EAPOL(WPA)キー メッセージの場合、無線クライアントにメッセージを再送信するまでにコントローラが待機する時間(1 ~ 120 秒)を指定します。 デフォルト値は 30 秒です。 |
wep key | 802.1x WEP に関連するパラメータを設定します。 |
index 0 | WEP キー インデックス値を 0 として指定します |
index 3 | WEP キー インデックス値を 3 として指定します |
eapol-key-timeout のデフォルト値:1 秒。
eapol-key-retries のデフォルト値:2 秒。
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
この例では、wireless security dot1x 下のすべてのコマンドを示します。
Controller#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#wireless security dot1x ? eapol-key Configure eapol-key related parameters group-key Configures EAP-broadcast key renew interval time in seconds identity-request Configure EAP ID request related parameters radius Configure radius messages request Configure EAP request related parameters wep Configure 802.1x WEP related paramters <cr>
ローカルで有効な証明書を設定するには、wireless security lsc コマンドを使用します。
wireless security lsc { ap-provision [ auth-list mac-addr | revert number ] | other-params key-size | subject-params country state city orgn dept email | trustpoint trustpoint }
ap-provision | アクセス ポイント プロビジョン リストの設定を指定します。 |
auth-list mac-addr | プロビジョニング リスト許可の設定を指定します。 |
revert number | デフォルトの証明書に戻る前にアクセス ポイントが LSC を使用してコントローラに接続しようとする回数を指定します。 最大試行回数は 255 以下にする必要があります。 |
other-params key-size | デバイス証明書キー サイズの設定を指定します。 |
subject-params country state city orgn dept email | デバイス証明書の設定を指定します。 認証局の国、州、市、組織、部門、および電子メール。 |
trustpoint trustpoint | LSC トラストポイントを指定します。 |
なし
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
1 つの CA サーバだけを設定できます。 異なる CA サーバを設定するには、config certificate lsc ca-server delete コマンドを使用して設定された CA サーバを削除し、異なる CA サーバを設定します。
アクセス ポイント プロビジョニング リストを設定する場合は、AP プロビジョニングを有効にしたときに(手順 8)プロビジョニング リストのアクセス ポイントだけがプロビジョニングされます。 アクセス ポイントプロビジョニング リストを設定しない場合は、MIC または SSC 証明書を持つ、コントローラに接続するすべてのアクセス ポイントが LSC プロビジョニングされます。
次に、例を示します。
Controller#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#wireless security lsc ? ap-provision Provisioning the AP's with LSC's other-params Configure Other Parameters for Device Certs subject-params Configure the Subject Parameters for Device Certs trustpoint Configure LSC Trustpoint <cr>
強力なパスワードの施行オプションを設定するには、wireless security strong-password コマンドを使用します。 強力なパスワードをディセーブルにするには、このコマンドの no 形式を使用します。
wireless security strong-password
no wireless security strong-password
なし。
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次の例では、ワイヤレス セキュリティに強力なパスワードを設定する方法を示します。
Controller#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#wireless security strong-password
アクセス ポイントのネイバー認証を設定するには、wireless wps ap-authentication コマンドを使用します。 アクセス ポイントのネイバー認証を削除するには、このコマンドの no 形式を使用します。
wireless wps ap-authentication [ threshold value ]
no wireless wps ap-authentication [threshold]
threshold value | WMM 対応クライアントがワイヤレス LAN 上に存在することを指定します。 しきい値(1 ~ 255)。 |
なし。
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次の例では、WMM 対応クライアントのしきい値を設定する方法を示します。
Controller#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#wireless wps ap-authentication threshold 65
サービス拒否(DoS)攻撃からの保護をイネーブルにするには、wireless wps auto-immune コマンドを使用します。 ディセーブルにするには、このコマンドの no 形式を使用します。
wireless wps auto-immune
no wireless wps auto-immune
ディセーブル
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
潜在的な攻撃者は特別に作成したパケットを使用し、正規のクライアントを攻撃者として処理するように侵入検知システム(IDS)を誘導する場合があります。 それによって、コントローラはこの正規のクライアントの接続を解除し、DoS 攻撃が開始されます。 自己免疫機能は、有効な場合にこのような攻撃を防ぐように設計されています。 ただし、自己免疫機能を有効にすると、Cisco 792x フォンを使用した会話が断続的に中断されることがあります。 792x フォンを使用しているときに頻繁に中断されるようであれば、この機能を無効にしてください。
次に、例を示します。
Controller#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#wireless wps auto-immune
Wireless Protection System(WPS)の侵入検知システム(IDS)センサーを設定するには、wireless wps cids-sensor コマンドを使用します。 Wireless Protection System(WPS)の侵入検知システム(IDS)センサーを削除するには、このコマンドの no 形式を使用します。
wireless wps cids-sensor index [ ip-address ip-addr username username password password_type password ]
no wireless wps cids-sensor index
index | IDS センサーの内部インデックスを指定します。 |
ip-address ip-addr username username password password_type password | IDS センサーの IP アドレス、IDS センサーのユーザ名、パスワード タイプ、および IDS センサーのパスワードを指定します。 |
ディセーブル
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし
次の例では、IDS インデックス、IDS センサーの IP アドレス、IDS ユーザ名、および IDS パスワードで侵入検知システムを設定する方法を示します。
Controller#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#wireless wps cids-sensor 1 10.0.0.51 Sensor_user0doc1 passowrd01
クライアント除外ポリシーを設定するには、wireless wps client-exclusion コマンドを使用します。 クライアント除外ポリシーを削除するには、このコマンドの no 形式を使用します。
wireless wps client-exclusion { all | dot11-assoc | dot11-auth | dot1x-auth | ip-theft | web-auth }
no wireless wps client-exclusion { all | dot11-assoc | dot11-auth | dot1x-auth | ip-theft | web-auth }
dot11-assoc | 802.11 アソシエーションに連続 5 回失敗すると、コントローラがクライアントを 6 回目の試行から除外することを指定します。 |
dot11-auth | 802.11 認証に連続 5 回失敗すると、コントローラがクライアントを 6 回目の試行から除外することを指定します。 |
dot1x-auth | 802.11X 認証に連続 5 回失敗すると、コントローラがクライアントを 6 回目の試行から除外することを指定します。 |
ip-theft | IP アドレスがすでに別のデバイスに割り当てられている場合、コントローラがクライアントを除外することを指定します。 |
web-auth | Web 認証に連続 3 回失敗すると、コントローラがクライアントを 4 回目の試行から除外することを指定します。 |
all | コントローラが上記のすべての理由でクライアントを除外することを指定します。 |
イネーブル
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次の例では、5 回連続で失敗した場合に、クライアントに対する 802.11 アソシエーションの試行をディセーブルにする方法を示します。
Controller#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#wireless wps client-exclusion dot11-assoc
管理フレーム保護(MFP)を設定するには、wireless wps mfp infrastructure コマンドを使用します。 管理フレーム保護(MFP)を削除するには、このコマンドの no 形式を使用します。
wireless wps mfp infrastructure
no wireless wps mfp infrastructure
なし。
config
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次の例では、インフラストラクチャ MFP をイネーブルにする方法を示します。
Controller#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#wireless wps mfp infrastructure
さまざまな不正なパラメータを設定するには、wireless wps rogue コマンドを使用します。
wireless wps rogue { adhoc | client } [ alert mac-addr | contain mac-addr no-of-aps ]
adhoc | 独立型基本サービス セット(IBSS またはアドホック)の不正なアクセス ポイントのステータスを設定します。 |
client | 不正なクライアントを設定します。 |
alert mac-addr | アドホックの不正なアクセス ポイントを検出すると SMNP トラップを生成し、システム管理者に即座にアラートを発信し、アドホックの不正なアクセス ポイントの MAC アドレスに対する必要な措置を促します。 |
contain mac-addr no-of-aps | 加害デバイスを阻止し、その信号が正規クライアントを阻害しないようにします。 アドホックの不正なアクセス ポイントをアクティブに阻止するために割り当てられた、シスコのアクセス ポイントの最大数(1 ~ 4)。 |
なし。
任意のコマンド モード
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次の例では、システム管理者に即座にアラートを発信し、アドホックの不正なアクセス ポイントの MAC アドレスに対する必要な措置を促す方法を示します。
Controller#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#wireless wps rouge adhoc alert mac_addr
回避リストのコントローラをモビリティ グループ内の他のコントローラと同期させるには、wireless wps shun-list re-sync コマンドを使用します。
wireless wps shun-list re-sync
なし。
任意のコマンド モード
リリース | 変更内容 |
---|---|
Cisco IOS XE 3.2SE |
このコマンドが導入されました。 |
なし。
次の例では、コントローラが回避リストの他のコントローラと同期するように設定する方法を示します。
Controller#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Controller(config)#wireless wps shun-list re-sync