この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
認証、許可、アカウンティング(AAA)アカウンティングをイネーブルにして、IEEE 802.1x セッションの特定のアカウンティング方式を、回線単位またはインターフェイス単位で定義する方式リストを作成するには aaa accounting dot1x グローバル コンフィギュレーション コマンドを使用します。 IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}
no aaa accounting dot1x { name | default }
name | サーバ グループ名。 これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。 |
default | デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に指定します。 |
start-stop | プロセスの開始時に start accounting 通知を送信し、プロセスの終了時に stop accounting 通知を送信します。 start アカウンティング レコードはバックグラウンドで送信されます。 アカウンティング サーバが start accounting 通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。 |
broadcast | 複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。 最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。 |
group |
broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。 オプションの group キーワードより多くのキーワードを入力できます。 |
radius | (任意)RADIUS アカウンティングをイネーブルにします。 |
tacacs+ | (任意)TACACS+ アカウンティングをイネーブルにします。 |
AAA アカウンティングはディセーブルです。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
このコマンドは、RADIUS サーバへのアクセスが必要です。
インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、dot1x reauthentication インターフェイス コンフィギュレーション コマンドを入力することを推奨します。
次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。
Switch(config)# aaa new-model Switch(config)# aaa accounting dot1x default start-stop group radius
IEEE 802.1x、MAC 認証バイパス(MAB)および Web 認証セッションの認証、許可、およびアカウンティング(AAA)アカウンティングをイネーブルにするには、aaa accounting identity グローバル コンフィギュレーション コマンドを使用します。 IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。
aaa accounting identity { name | default } start-stop { broadcast group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ] | group { name | radius | tacacs+} [ group { name | radius | tacacs+} ... ]}
no aaa accounting identity { name | default }
name | サーバ グループ名。 これは、broadcast group および group キーワードの後に入力する場合に使用するオプションです。 |
default | デフォルト リストにあるアカウンティング方式を、アカウンティング サービス用に使用します。 |
start-stop | プロセスの開始時に start accounting 通知を送信し、プロセスの終了時に stop accounting 通知を送信します。 start アカウンティング レコードはバックグラウンドで送信されます。 アカウンティング サーバが start アカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザ プロセスが開始されます。 |
broadcast | 複数の AAA サーバに送信されるアカウンティング レコードをイネーブルにして、アカウンティング レコードを各グループの最初のサーバに送信します。 最初のサーバが利用できない場合、スイッチはバックアップ サーバのリストを使用して最初のサーバを識別します。 |
group |
broadcast group および group キーワードの後に入力する場合、group キーワードはオプションです。 オプションの group キーワードより多くのキーワードを入力できます。 |
radius | (任意)RADIUS 認証をイネーブルにします。 |
tacacs+ | (任意)TACACS+ アカウンティングをイネーブルにします。 |
AAA アカウンティングはディセーブルです。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
AAA アカウンティング アイデンティティをイネーブルにするには、ポリシー モードをイネーブルにする必要があります。 ポリシー モードをイネーブルにするには、特権 EXEC モードで authentication display new-style コマンドを入力します。
次の例では、IEEE 802.1x アカウンティング アイデンティティを設定する方法を示します。
Switch# authentication display new-style Please note that while you can revert to legacy style configuration at any time unless you have explicitly entered new-style configuration, the following caveats should be carefully read and understood. (1) If you save the config in this mode, it will be written to NVRAM in NEW-style config, and if you subsequently reload the router without reverting to legacy config and saving that, you will no longer be able to revert. (2) In this and legacy mode, Webauth is not IPv6-capable. It will only become IPv6-capable once you have entered new- style config manually, or have reloaded with config saved in 'authentication display new' mode. Switch# configure terminal Switch(config)# aaa accounting identity default start-stop group radius
IEEE 802.1x 認証に準拠するポートで認証、許可、アカウンティング(AAA)方式を使用するように指定するには、スイッチ スタックまたはスタンドアロン スイッチ上で aaa authentication dot1x グローバル コンフィギュレーション コマンドを使用します。 認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authentication dot1x { default} method1
no aaa authentication dot1x { default} method1
default | ユーザがログインするときのデフォルトの方式。 この引数の後に続く、リストされた認証方式を使用します。 |
||
method1 | サーバ認証を指定します。 認証用にすべての RADIUS サーバのリストを使用するには、group radius キーワードを入力します。
|
認証は実行されません。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために特定の順序で試みる方式を指定します。 実際に 802.1x に準拠している唯一の方式は、クライアント データが RADIUS 認証サーバに対して確認される group radius 方式です。
group radius を指定した場合、radius-server host グローバル コンフィギュレーション コマンドを使用して RADIUS サーバを設定する必要があります。
設定された認証方式のリストを表示するには、show running-config 特権 EXEC コマンドを使用します。
次の例では AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。 この認証は、最初に RADIUS サーバとの交信を試みます。 この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。
Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x default group radius
IEEE 802.1x VLAN 割り当てなどのすべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を使用するようにスイッチを設定するには、aaa authorization network グローバル コンフィギュレーション コマンドを使用します。 RADIUS ユーザ認証をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authorization network default group radius
no aaa authorization network default
default group radius | デフォルトの認証リストとして、サーバ グループ内のすべての RADIUS ホストのリストを使用します。 |
認証はディセーブルです。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
スイッチが、デフォルトの認証リスト内にある RADIUS サーバから IEEE 802.1x 認証パラメータをダウンロードできるようにするには、aaa authorization network default group radius グローバル コンフィギュレーション コマンドを使用します。 認証パラメータは、VLAN 割り当てなど、RADIUS サーバからパラメータを取得する機能で使用されます。
設定された認証方式リストを表示するには、show running-config 特権 EXEC コマンドを使用します。
この例では、すべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を行うようスイッチを設定する方法を示します。
Switch(config)# aaa authorization network default group radius
ポートで認証マネージャ モードを設定するには、authentication host-mode インターフェイス コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。
authentication host-mode { multi-auth | multi-domain | multi-host | single-host}
no authentication host-mode
multi-auth | ポートのマルチ認証モード(multi-auth モード)をイネーブルにします。 |
multi-domain | ポートのマルチドメイン モードをイネーブルにします。 |
multi-host | ポートのマルチホスト モードをイネーブルにします。 |
single-host | ポートのシングルホスト モードをイネーブルにします。 |
シングルホスト モードがイネーブルにされています。
インターフェイス コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
接続されているデータ ホストが 1 つだけの場合は、シングルホスト モードを設定する必要があります。 シングルホスト ポートでの認証のために音声デバイスを接続しないでください。 ポートで音声 VLAN が設定されていないと、音声デバイスの許可が失敗します。
データ ホストが IP フォン経由でポートに接続されている場合は、マルチドメイン モードを設定する必要があります。 音声デバイスを認証する必要がある場合は、マルチドメイン モードを設定する必要があります。
ハブの背後にデバイスを配置し、それぞれを認証してポート アクセスのセキュリティを確保できるようにするには、マルチ認証モードに設定する必要があります。 音声 VLAN が設定されている場合は、このモードで認証できる音声デバイスは 1 つだけです。
マルチホスト モードでも、ハブ越しの複数ホストのためのポート アクセスが提供されますが、マルチホスト モードでは、最初のユーザが認証された後でデバイスに対して無制限のポート アクセスが与えられます。
次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。
Switch(config-if)# authentication host-mode multi-auth
次の例では、ポートのマルチドメイン モードをイネーブルにする方法を示します。
Switch(config-if)# authentication host-mode multi-domain
次の例では、ポートのマルチホスト モードをイネーブルにする方法を示します。
Switch(config-if)# authentication host-mode multi-host
次の例では、ポートのシングルホスト モードをイネーブルにする方法を示します。
Switch(config-if)# authentication host-mode single-host
設定を確認するには、show authentication sessions interface interface details 特権 EXEC コマンドを入力します。
スイッチ上での MAC 移動をイネーブルにするには、authentication mac-move permit グローバル コンフィギュレーション コマンドを使用します。 MAC 移動をディセーブルにするには、このコマンドの no 形式を使用します。
authentication mac-move permit
no authentication mac-move permit
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
このコマンドを使用すると、スイッチ上の 802.1x 対応のポート間で認証ホストを移動できます。 たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。
MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。
MAC 移動は、ポート セキュリティ対応の 802.1x ポートではサポートされません。 MAC 移動がスイッチ上でグローバルに設定され、ポート セキュリティ対応ホストが 802.1x 対応ポートに移動した場合、違反エラーが発生します。
次の例では、スイッチ上で MAC 移動をイネーブルにする方法を示します。
Switch(config)# authentication mac-move permit
プライオリティ リストに認証方式を追加するには、インターフェイス コンフィギュレーション モードで authentication priority コマンドを使用します。 デフォルトに戻るには、no 形式のコマンドを使用します。
authentication priority [ dot1x | mab] { webauth}
no authentication priority [ dot1x | mab] { webauth}
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。
ポートにフォールバック方式を複数設定するときは、Web 認証(webauth)を最後に設定してください。
異なる認証方式にプライオリティを割り当てることにより、プライオリティの高い方式を、プライオリティの低い進行中の認証方式に割り込ませることができます。
(注) |
クライアントがすでに認証されている場合に、プライオリティの高い方式の割り込みが発生すると、再認証されることがあります。 |
認証方式のデフォルトのプライオリティは、実行リストの順序におけるその位置と同じで、802.1x 認証、MAC 認証バイパス(MAB)、Web 認証の順です。 このデフォルトの順序を変更するには、キーワード dot1x、 mab、および webauth を使用します。
次の例では、802.1x を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。
Switch(config-if)# authentication priority dotx webauth
次の例では、MAB を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示します。
Switch(config-if)# authentication priority mab webauth
以前に到達不能であった認証、許可、アカウンティング サーバが使用可能になったときに認証マネージャ セッションを再初期化します。 |
|
新しいデバイスがポートに接続するとき、または最大数のデバイスがポートに接続されている状態で新しいデバイスがポートに接続するときに発生する違反モードを設定するには、authentication violation インターフェイス コンフィギュレーション コマンドを使用します。
authentication violation{ protect| replace| restrict| shutdown }
no authentication violation{ protect| replace| restrict| shutdown }
protect | 予期しない着信 MAC アドレスをドロップします。 syslog エラーは生成されません。 |
replace | 現在のセッションを削除し、新しいホストによる認証を開始します。 |
restrict | 違反エラーの発生時に Syslog エラーを生成します。 |
shutdown | エラーによって、予期しない MAC アドレスが発生するポートまたは仮想ポートがディセーブルになります。 |
authentication violation shutdown モードがイネーブルにされています。
インターフェイス コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
ポート上でセキュリティ違反が発生したときに実行するアクションを指定するには、authentication violation コマンドを使用します。
次の例では、新しいデバイスがポートに接続する場合に、errdisable になり、シャットダウンするように IEEE 802.1x 対応ポートを設定する方法を示します。
Switch(config-if)# authentication violation shutdown
次の例では、新しいデバイスがポートに接続する場合に、システム エラー メッセージを生成して、ポートを制限モードに変更するように 802.1x 対応ポートを設定する方法を示します。
Switch(config-if)# authentication violation restrict
次の例では、新しいデバイスがポートに接続するときに、そのデバイスを無視するように 802.1x 対応ポートを設定する方法を示します。
Switch(config-if)# authentication violation protect
次の例では、新しいデバイスがポートに接続するときに、現在のセッションを削除し、新しいデバイスによる認証を開始するように 802.1x 対応ポートを設定する方法を示します。
Switch(config-if)# authentication violation replace
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
スイッチ上で Client Information Signalling Protocol(CISP)をイネーブルにして、サプリカント スイッチのオーセンティケータとして機能するようにするには、cisp enable グローバル コンフィギュレーション コマンドを使用します。
cisp enable
no cisp enable
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
オーセンティケータとサプリカント スイッチの間のリンクはトランクです。 両方のスイッチで VTP をイネーブルにする場合は、VTP ドメイン名が同一であり、VTP モードがサーバである必要があります。
VTP モードを設定する場合に MD5 チェックサムの不一致エラーにならないようにするために、次の点を確認してください。
Switch(config)# cisp enable
dot1x supplicant force-multicast |
802.1X サプリカントがマルチキャスト パケットを送信するように強制します。 |
dot1x supplicant controlled transient |
802.1X サプリカントによる制御アクセスを設定します。 |
errdisable の VLAN を再びイネーブルにするには、スイッチ上で clear errdisable interface 特権 EXEC コマンドを使用します。
clear errdisable interface interface-id vlan [ vlan-list]
(任意)再びイネーブルにする VLAN のリストを指定します。 VLAN リストを指定しない場合は、すべての VLAN が再びイネーブルになります。 |
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
shutdown および no shutdown のインターフェイス コンフィギュレーション コマンドを使用してポートを再びイネーブルにするか、 clear errdisable インターフェイス コマンドを使用して VLAN の errdisable をクリアできます。
次の例では、ギガビット イーサネット ポート 4/0/2 で errdisable になっているすべての VLAN を再びイネーブルにする方法を示します。
Switch# clear errdisable interface gigabitethernet4/0/2 vlan
特定のダイナミック アドレス、特定のインターフェイス上のすべてのダイナミック アドレス、スタック メンバ上のすべてのダイナミック アドレス、または特定の VLAN 上のすべてのダイナミック アドレスを MAC アドレス テーブルから削除するには、 clear mac-address-table コマンドを特権 EXEC モードで使用します。 このコマンドはまた MAC アドレス通知グローバル カウンタもクリアします。
clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id] | move update | notification}
(任意)指定された VLAN のすべてのダイナミック MAC アドレスを削除します。 指定できる範囲は 1 ~ 4094 です。 |
|
move update |
MAC アドレス テーブルの move-update カウンタをクリアします。 |
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
show mac address-table 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを確認できます。
次の例では、ダイナミック アドレス テーブルから特定の MAC アドレスを削除する方法を示します。
Switch# clear mac address-table dynamic address 0008.0070.0007
interface キーワードが追加されると、すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。 |
|
条件が一致した場合に非 IP トラフィックが転送されるのを防止するには、スイッチ スタックまたはスタンドアロン スイッチ上で deny MAC アクセスリスト コンフィギュレーション コマンドを使用します。 名前付き MAC アクセス リストから拒否条件を削除するには、このコマンドの no 形式を使用します。
deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
no deny { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
MAC アクセス リスト コンフィギュレーション モードを開始するには、 mac access-list extended グローバル コンフィギュレーション コマンドを使用します。
host キーワードを使用した場合、アドレス マスクは入力できません。 host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。
アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加された場合、リストの最後には暗黙の deny-any-any 条件が存在します。 つまり、一致がない場合にはパケットは拒否されます。 ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。
IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。 Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を表に一覧表示します。
次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセス リストを定義する方法を示します。 このリストに一致するトラフィックは拒否されます。
Switch(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
次の例では、名前付き MAC 拡張アクセス リストから拒否条件を削除する方法を示します。
Switch(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。
Switch(config-ext-macl)# deny any any 0x4321 0
MAC アクセスリスト コンフィギュレーションから許可します。 条件が一致した場合に非 IP トラフィックが転送されるのを許可します。 |
|
ポートに接続されているデバイスのロールを指定するには、IPv6 スヌーピング コンフィギュレーション モードで device-role コマンドを使用します。
device-role { node | switch}
node | 接続されたデバイスのロールをノードに設定します。 |
switch | 接続されたデバイスのロールをスイッチに設定します。 |
デバイスのロールはノードです。
IPv6 スヌーピング コンフィギュレーション(config-ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
device-role コマンドは、ポートに接続されているデバイスのロールを指定します。 デフォルトでは、デバイスのロールはノードです。
switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートで学習したバインディング エントリは、trunk_port プリファレンス レベルでマークされます。 ポートが trusted ポートに設定されている場合、バインディング エントリは trunk_trusted_port プリファレンス レベルでマークされます。
次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、デバイスをノードとして設定する例を示します。
Switch(config)# ipv6 snooping policy policy1 Switch(config-ipv6-snooping)# device-role node
ポートに接続されているデバイスのロールを指定するには、ネイバー探索(ND)インスペクション ポリシー コンフィギュレーション モードで device-role コマンドを使用します。
device-role { host | monitor | router | switch}
host | 接続されたデバイスのロールをホストに設定します。 |
monitor | 接続されたデバイスのロールをモニタに設定します。 |
router | 接続されたデバイスのロールをルータに設定します。 |
switch | 接続されたデバイスのロールをスイッチに設定します。 |
デバイスのロールはホストです。
ND 検査ポリシー コンフィギュレーション(config-nd-inspection)
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
device-role コマンドは、ポートに接続されているデバイスのロールを指定します。 デフォルトでは、デバイスのロールはホストであるため、すべての着信ルータ アドバタイズメントとリダイレクト メッセージはブロックされます。 デバイス ロールが router キーワードを使用してイネーブルになっている場合、このポートですべてのメッセージ(ルータ送信要求 [RS]、ルータ アドバタイズメント(RA)、またはリダイレクト)が許可されます。
router または monitor キーワードが使用されている場合、マルチキャストの RS メッセージは制限付きブロードキャストがイネーブルかどうかに関係なく、ポートでブリッジされます。 ただし、monitor キーワードは着信 RA またはリダイレクト メッセージを許可しません。 monitor キーワードを使用すると、これらのメッセージを必要とするデバイスがそれらを受け取ります。
switch キーワードは、リモート デバイスがスイッチであり、ローカル スイッチがマルチスイッチ モードで動作していることを示します。ポートで学習したバインディング エントリは、trunk_port プリファレンス レベルでマークされます。 ポートが trusted ポートに設定されている場合、バインディング エントリは trunk_trusted_port プリファレンス レベルでマークされます。次に、Neighbor Discovery Protocol(NDP)ポリシー名を policy1 と定義し、デバイスを ND インスペクション ポリシー コンフィギュレーション モードにして、デバイスをホストとして設定する例を示します。
Switch(config)# ipv6 nd inspection policy policy1 Switch(config-nd-inspection)# device-role host
IEEE 802.1X クリティカル認証パラメータを設定するには、グローバル コンフィギュレーション モードで dot1x critical コマンドを使用します。
dot1x critical eapol
eapol | スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するように指定します。 |
eapol はディセーブルです
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次に、スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するよう指定する例を示します。
Switch(config)# dot1x critical eapol
Port Access Entity(PAE)タイプを設定するには、インターフェイス コンフィギュレーション モードで dot1x pae コマンドを使用します。 設定された PAE タイプをディセーブルにするには、このコマンドの no 形式を使用します。
dot1x pae { supplicant | authenticator}
no dot1x pae { supplicant | authenticator}
supplicant | インターフェイスはサプリカントとしてだけ機能し、オーセンティケータ向けのメッセージに応答しません。 |
authenticator | インターフェイスはオーセンティケータとしてだけ動作し、サプリカント向けのメッセージに応答しません。 |
PAE タイプは設定されていません。
インターフェイス コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
IEEE 802.1x 認証をポート上でディセーブルにする場合は、no dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。
dot1x port-control インターフェイス コンフィギュレーション コマンドを入力するなどしてポート上で IEEE 802.1x 認証を設定した場合、スイッチは自動的にポートを IEEE 802.1x オーセンティケータとして設定します。 オーセンティケータの PAE 動作は、no dot1x pae インターフェイス コンフィギュレーション コマンドを入力した後でディセーブルになります。
次に、インターフェイスがサプリカントとして動作するように設定されている例を示します。
Switch(config)# interface g1/0/3 Switch(config-if)# dot1x pae supplicant
マルチキャストまたはユニキャストの Extensible Authentication Protocol over LAN(EAPOL)パケットを受信した場合、常にサプリカント スイッチにマルチキャスト EAPOL だけを送信させるようにするには、dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x supplicant force-multicast
no dot1x supplicant force-multicast
このコマンドには引数またはキーワードはありません。
サプリカント スイッチは、ユニキャスト EAPOL パケットを受信すると、ユニキャスト EAPOL パケットを送信します。 同様に、マルチキャスト EAPOL パケットを受信すると、EAPOL パケットを送信します。
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
Network Edge Access Topology(NEAT)がすべてのホスト モードで機能するようにするには、サプリカント スイッチ上でこのコマンドをイネーブルにします。
次の例では、サプリカント スイッチがオーセンティケータ スイッチにマルチキャスト EAPOL パケットを送信するように設定する方法を示します。
Switch(config)# dot1x supplicant force-multicast
スイッチの Client Information Signalling Protocol(CISP)をイネーブルにすることで、スイッチがサプリカント スイッチに対するオーセンティケータとして動作するようにします。 |
|
すべてのスイッチ ポート上の IEEE 802.1x のアクティビティをモニタリングして、IEEE 802.1x をサポートするポートに接続しているデバイスの情報を表示するには、dot1x test eapol-capable 特権 EXEC コマンドを使用します。
dot1x test eapol-capable [ interface interface-id]
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
スイッチ上のすべてのポートまたは特定のポートに接続するデバイスの IEEE 802.1x 機能をテストするには、このコマンドを使用します。
次の例では、スイッチ上で IEEE 802.1x の準備チェックをイネーブルにして、ポートに対してクエリーを実行する方法を示します。 また、ポートに接続しているデバイスを確認するためのクエリーの実行対象ポートから受信した応答が IEEE 802.1x 対応であることを示します。
Switch# dot1x test eapol-capable interface gigabitethernet1/0/13 DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable
EEE 802.1x 準備状態を照会しているポートからの EAPOL 応答の待機に使用されるタイムアウトを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上で dot1x test timeout グローバル コンフィギュレーション コマンドを使用します。
dot1x test timeout timeout
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次の例では、EAPOL 応答を 27 秒間待機するようにスイッチを設定する方法を示します。
Switch# dot1x test timeout 27
すべての、または指定された IEEE 802.1x 対応ポートに接続するデバイスで IEEE 802.1x の準備が整っているかを確認します。 |
再試行タイムアウトの値を設定するには、グローバル コンフィギュレーション モードまたはインターフェイス コンフィギュレーション モードで dot1x timeout コマンドを使用します。 再試行タイムアウトのデフォルト値に戻すには、このコマンドの no 形式を使用します。
dot1x timeout { auth-period seconds | held-period seconds | quiet-period seconds | ratelimit-period seconds | server-timeout seconds | start-period seconds | supp-timeout seconds | tx-period seconds}
auth-period seconds | サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。 指定できる範囲は 1 ~ 65535 です。 デフォルトは 30 です。 |
held-period seconds | サプリカントで保留ステートが維持される秒数(つまり、サプリカントが試行に失敗した場合に再度クレデンシャルを送信するまでに待機する時間)を設定します。 指定できる範囲は 1 ~ 65535 です。 デフォルト値は 60 です。 |
quiet-period seconds | 認証情報の交換に失敗したあと、クライアントの再認証を試みるまでにオーセンティケータ(サーバ)が待機状態(HELD 状態)を続ける秒数を設定します。 指定できる範囲は 1 ~ 65535 です。 デフォルト値は 60 です。 |
ratelimit-period seconds | 動作の不正なクライアント PC(たとえば、スイッチ処理電力の無駄につながる、EAP-START パケットを送信する PC)から送信される EAP-START パケットを抑制します。 |
server-timeout seconds | 連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。 サーバが指定時間内に 802.1X パケットへの応答を送信しない場合、パケットは再度送信されます。 |
start-period seconds | 連続して送信される 2 つの EAPOL-Start フレーム間の間隔(秒単位)を設定します。 指定できる範囲は 1 ~ 65535 です。 デフォルトは 30 です。 |
supp-timeout seconds | EAP 要求 ID 以外のすべての EAP メッセージについて、オーセンティケータからホストへの再送信時間を設定します。 指定できる範囲は 1 ~ 65535 です。 デフォルトは 30 です。 |
tx-period seconds | クライアントに EAP 要求 ID パケットを再送信する間隔を(応答が受信されないものと仮定して)秒数で設定します。 |
定期的な再認証と定期的なレート制限が行われます。
インターフェイス コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。
dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにしただけの場合、dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドは、スイッチの動作に影響します。
待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。 デフォルトよりも小さい数を入力することによって、ユーザへの応答時間を短縮できます。
ratelimit-period が 0(デフォルト)に設定された場合、スイッチは認証に成功したクライアントからの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。
次に、さまざまな 802.1X 再送信およびタイムアウト時間が設定されている例を示します。
Switch(config)# configure terminal Switch(config)# interface g1/0/3 Switch(config-if)# dot1x port-control auto Switch(config-if)# dot1x timeout auth-period 2000 Switch(config-if)# dot1x timeout held-period 2400 Switch(config-if)# dot1x timeout quiet-period 600 Switch(config-if)# dot1x timeout start-period 90 Switch(config-if)# dot1x timeout supp-timeout 300 Switch(config-if)# dot1x timeout tx-period 60 Switch(config-if)# dot1x timeout server-timeout 60
アクセス コントロール リスト(ACL)が設定されていないポートにオープン ディレクティブを設定するには、グローバル コンフィギュレーション モードで epm access-control open コマンドを使用します。 オープン ディレクティブをディセーブルにするには、このコマンドの no 形式を使用します。
epm access-control open
no epm access-control open
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
スタティック ACL が設定されたアクセス ポートに、認可ポリシーのないホストを許可するオープン ディレクティブを設定するには、このコマンドを使用します。 このコマンドを設定しない場合、ポートは設定された ACL のポリシーをトラフィックに適用します。 ポートにスタティック ACL が設定されていない場合、デフォルトおよびオープンの両方のディレクティブがポートへのアクセスを許可します。
次の例では、オープン ディレクティブを設定する方法を示します。
Switch(config)# epm access-control open
Web 認証をイネーブルにするには、ip admission コンフィギュレーション コマンドを使用します。 このコマンドは、fallback-profile モードでも使用できます。 Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。
ip admission rule
no ip admission rule
rule | IP アドミッション ルールの名前。 |
Web 認証はディセーブルです。
インターフェイス コンフィギュレーション
フォールバック プロファイル モード
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
ip admission コマンドにより、スイッチ ポートに Web 認証ルールが適用されます。
次の例では、スイッチ ポートに Web 認証ルールを適用する方法を示します。
Switch# configure terminal Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# ip admission rule1
次の例では、IEEE 802.1x 対応のスイッチ ポートで使用するフォールバック プロファイルに Web 認証ルールを適用する方法を示します。
Switch# configure terminal Switch(config)# fallback profile profile1 Switch(config-fallback-profile)# ip admission rule1
Web 認証をイネーブルにするには、グローバル コンフィギュレーション モードで ip admission name コマンドを使用します。 Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。
ip admission name name { consent | proxy http} [ absolute timer minutes | inactivity-time minutes | list { acl | acl-name} | service-policy type tag service-policy-name]
no ip admission name name { consent | proxy http} [ absolute timer minutes | inactivity-time minutes | list { acl | acl-name} | service-policy type tag service-policy-name]
name | ネットワーク アドミッション制御ルールの名前。 |
consent | admission-name 引数を使用して、認証プロキシ コンテンツの Web ページを指定された IP アドミッション ルールに関連付けます。 |
proxy http | Web 認証のカスタム ページを設定します。 |
absolute-timer minutes | (任意)外部サーバがタイム アウトするまでの経過時間(分)。 |
inactivity-time minutes | (任意)外部ファイル サーバが到達不能であると見なされるまでの経過時間(分)。 |
list | (任意)指定されたルールをアクセス コントロール リスト(ACL)に関連付けます。 |
acl | 標準、拡張リストを指定のアドミッション制御ルールに適用します。 値の範囲は 1~199、または拡張範囲で 1300 から 2699 です。 |
acl-name | 名前付きのアクセス リストを指定のアドミッション制御ルールに適用します。 |
service-policy type tag | (任意)コントロール プレーン サービス ポリシーを設定できます。 |
service-policy-name | policy-map type control tagpolicyname コマンド、キーワード、および引数を使用して設定されたコントロール プレーン タグのサービス ポリシー。 このポリシー マップは、タグを受信したときのホストでの処理を適用するために使用されます。 |
Web 認証はディセーブルです。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
ip admission name コマンドにより、Web 認証がスイッチ上でグローバルにイネーブルになります。
スイッチ上で Web 認証をグローバルにイネーブルにしてから、ip access-group in および ip admission web-rule インターフェイス コンフィギュレーション コマンドを使用して、特定のインターフェイス上で Web 認証をイネーブルにします。
次に、スイッチ ポートで Web 認証のみを設定する例を示します。
Switch# configure terminal Switch(config) ip admission name http-rule proxy http Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# ip access-group 101 in Switch(config-if)# ip admission rule Switch(config-if)# end
次の例では、スイッチ ポートでのフォールバック メカニズムとして、Web 認証とともに IEEE 802.1x 認証を設定する方法を示します。
Switch# configure terminal Switch(config)# ip admission name rule2 proxy http Switch(config)# fallback profile profile1 Switch(config)# ip access group 101 in Switch(config)# ip admission name rule2 Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# dot1x port-control auto Switch(config-if)# dot1x fallback profile1 Switch(config-if)# end
コマンド |
説明 |
---|---|
dot1x fallback |
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
fallback profile |
Web 認証のフォールバック プロファイルを作成します。 |
ip admission |
ポートで Web 認証をイネーブルにします。 |
show authentication sessions interface interface detail |
Web 認証セッションのステータスに関する情報を表示します。 |
show ip admission |
NAC のキャッシュされたエントリまたは NAC 設定についての情報を表示します。 |
レイヤ 2 ポートで IP ポート セキュリティ バインディングのトラッキングをイネーブルにするには、インターフェイス コンフィギュレーション モードで ip device tracking maximum コマンドを使用します。 信頼できないレイヤ 2 インターフェイスで IP ポート セキュリティをディセーブルにするには、このコマンドの no 形式を使用します。
ip device tracking maximum number
no ip device tracking maximum number
number |
ポートの IP デバイス トラッキング テーブルに作成するバインディングの数。 範囲は 1~10 です。 |
なし
インターフェイス コンフィギュレーション モード
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次の例では、レイヤ 2 アクセス ポートで IP-MAC フィルタを使用して IP ポート セキュリティをイネーブルにする方法を示します。
Switch# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)# ip device tracking Switch(config)# interface gigabitethernet1/0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 1 Switch(config-if)# ip device tracking maximum 5 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 5 Switch(config-if)# end
Address Resolution Protocol(ARP)プローブの IP デバイス トラッキング テーブルを設定するには、グローバル コンフィギュレーション モードで ip device tracking probe コマンドを使用します。 ARP インスペクションをディセーブルにするには、このコマンドの no 形式を使用します。
ip device tracking probe { count number | delay seconds | interval seconds | use-svi address }
no ip device tracking probe { count number | delay seconds | interval seconds | use-svi address }
count number |
スイッチが ARP プローブを送信する回数を設定します。 範囲は 1 ~ 255 です。 |
delay seconds |
スイッチが ARP プローブを送信するまで待機する秒数を設定します。 範囲は 1 ~ 120 です。 |
intervalseconds |
スイッチが応答を待ち、ARP プローブを再送信するまでの秒数を設定します。 指定できる範囲は 30 ~ 1814400 秒です。 |
use-svi |
スイッチ 仮想インターフェイス(SVI)IP アドレスを ARP プローブのソースとして使用します。 |
カウント番号は 3 です。
遅延はありません。
30 秒間隔です。
ARP プローブのデフォルト ソース IP アドレスはレイヤ 3 インターフェイスで、スイッチポートでは 0.0.0.0 です。
グローバル コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
スイッチ ポートのデフォルト ソース IP アドレス 0.0.0.0 が使用され、ARP プローブがドロップする場合に、IP デバイス トラッキング テーブルが SVI IP アドレスを ARP プローブに使用するように設定するには、use-svi キーワードを使用します。
次の例では、SVI を ARP プローブのソースとして設定する方法を示します。
Switch(config)# ip device tracking probe use-svi
ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)のスヌーピング データベースを設定するには、グローバル コンフィギュレーション モードで ip dhcp snooping database コマンドを使用します。 DHCP スヌーピング サーバをディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping database { flash:url | flash1:url | ftp:url | http:url | https:url | rcp:url | scp:url | tftp:url | timeout seconds | write-delay seconds}
no ip dhcp snooping database [ timeout | write-delay ]
flash1:url | flash を使用して、エントリを格納するためのデータベースの URL を指定します。 |
flash:url | flash を使用して、エントリを格納するためのデータベースの URL を指定します。 |
ftp:url | FTP を使用して、エントリを格納するためのデータベースの URL を指定します。 |
http:url | HTTP を使用して、エントリを格納するためのデータベースの URL を指定します。 |
https:url | セキュア HTTP(HTTPS)を使用して、エントリを格納するためのデータベースの URL を指定します。 |
rcp:url | リモート コピー(RCP)を使用して、エントリを格納するためのデータベースの URL を指定します。 |
scp:url | セキュア コピー(SCP)を使用して、エントリを格納するためのデータベースの URL を指定します。 |
tftp:url | TFTP を使用して、エントリを格納するためのデータベースの URL を指定します。 |
timeout seconds | 中断タイムアウト インターバルを指定します。有効値は 0 ~ 86,400 秒です。 |
write-delay seconds | ローカル DHCP スヌーピング データベースにデータが追加されてから、DHCP スヌーピング エントリを外部サーバに書き込みするまでの時間を指定します。有効値は 15 ~ 86,400 秒です。 |
DHCP スヌーピング データベースは設定されていません。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
このコマンドを入力する前に、インターフェイス上で DHCP スヌーピングをイネーブルにする必要があります。 DHCP スヌーピングをイネーブルにするには、ip dhcp snooping コマンドを使用します。
次に、TFTP を使用してデータベースの URL を指定する例を示します。
Switch(config)# ip dhcp snooping database tftp://10.90.90.90/snooping-rp2
次に、DHCP スヌーピング エントリを外部サーバに書き込むまでの時間を指定する例を示します。
Switch(config)# ip dhcp snooping database write-delay 15
オプション 82 リモート ID サブ オプションを設定するには、スイッチで ip dhcp snooping information option format remote-id グローバル コンフィギュレーション コマンドを使用します。 デフォルトのリモート ID サブオプションを設定するには、このコマンドの no 形式を使用します。
ip dhcp snooping information option format remote-id { hostname | string string}
no ip dhcp snooping information option format remote-id { hostname | string string}
hostname | スイッチのホスト名をリモート ID として指定します。 |
string string | 1 ~ 63 の ASCII 文字(スペースなし)を使用して、リモート ID を指定します。 |
スイッチの MAC アドレスは、リモート ID です。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
DHCP スヌーピング設定を有効にするには、ip dhcp snooping グローバル コンフィギュレーション コマンドを使用して DHCP スヌーピングをグローバルにイネーブルにする必要があります。
オプション 82 機能がイネーブルの場合、デフォルトのリモート ID サブオプションはスイッチの MAC アドレスです。 このコマンドを使用すると、スイッチのホスト名または 63 個の ASCII 文字列(スペースなし)のいずれかをリモート ID として設定できます。
(注) |
ホスト名が 63 文字を超える場合、リモート ID 設定では 63 文字以降は省略されます。 |
次の例では、オプション 82 リモート ID サブオプションを設定する方法を示します。
Switch(config)# ip dhcp snooping information option format remote-id hostname
DHCP クライアント メッセージのリレー エージェント アドレス(giaddr)が信頼できないポート上のクライアントのハードウェア アドレスに一致することを確認して、DHCP スヌーピング機能をディセーブルにするには、グローバル コンフィギュレーション モードで ip dhcp snooping verify no-relay-agent-address コマンドを使用します。 検証をイネーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping verify no-relay-agent-address
no ip dhcp snooping verify no-relay-agent-address
このコマンドには引数またはキーワードはありません。
DHCP スヌーピング機能では、信頼できないポート上の DHCP クライアント メッセージのリレー エージェント IP アドレス(giaddr)フィールドが 0 であることを確認します。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
デフォルトでは、DHCP スヌーピング機能では、信頼できないポート上の DHCP クライアント メッセージのリレー エージェントの IP アドレス(giaddr)フィールドが 0 であることを確認します。giaddr フィールドが 0 でない場合、メッセージはドロップされます。 検証をディセーブルにするには、ip dhcp snooping verify no-relay-agent-address コマンドを使用します。 検証を再度イネーブルにするには、no ip dhcp snooping verify no-relay-agent-address コマンドを使用します。
次に、DHCP クライアント メッセージの giaddr 検証をイネーブルにする例を示します。
Switch(config)# no ip dhcp snooping verify no-relay-agent-address
スタティック IP ソース バインディング エントリを追加するには、ip source binding コマンドを使用します。 スタティック IP ソース バインディング エントリを削除するには、このコマンドの no 形式を使用します。
ip source binding mac-address vlan vlan-id ip-address interface interface-id
no ip source binding mac-address vlan vlan-id ip-address interface interface-id
mac-address | バインディング対象 MAC アドレスです。 |
vlan vlan-id | レイヤ 2 VLAN ID を指定します。有効な値は 1~4094 です。 |
ip-address | バインディング対象 IP アドレスです。 |
interface interface-id | 物理インターフェイスの ID です。 |
IP 送信元バインディングは設定されていません。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
このコマンドは、スタティック IP ソース バインディング エントリだけを追加するために使用できます。
no 形式は、対応する IP ソース バインディング エントリを削除します。 削除が正常に実行されるためには、すべての必須パラメータが正確に一致しなければなりません。 各スタティック IP バインディング エントリは MAC アドレスと VLAN 番号がキーであることに注意してください。 コマンドに既存の MAC アドレスと VLAN 番号が含まれる場合、別のバインディング エントリが作成される代わりに既存のバインディング エントリが新しいパラメータで更新されます。
次の例では、スタティック IP ソース バインディング エントリを追加する方法を示します。
Switch# configure terminal Switchconfig) ip source binding 0100.0230.0002 vlan 11 10.0.0.4 interface gigabitethernet1/0/1
インターフェイス上の IP ソース ガードをイネーブルにするには、インターフェイス コンフィギュレーション モードで ip verify source コマンドを使用します。 IP ソース ガードをディセーブルにするには、このコマンドの no 形式を使用します。
ip verify source [ port-security]
no ip verify source
port-security |
(任意)IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにします。 port-security キーワードを入力しない場合、IP アドレス フィルタリングによる IP ソース ガードがイネーブルになります。 |
IP 送信元ガードはディセーブルです。
インターフェイス コンフィギュレーション
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
送信元 IP アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、ip verify source インターフェイス コンフィギュレーション コマンドを使用します。
送信元 IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにするには、ip verify source port-security インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、送信元 IP アドレス フィルタリングによる IP ソース ガードをインターフェイス上でイネーブルにする方法を示します。
Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# ip verify source
次の例では、送信元 IP および MAC アドレス フィルタリングによる IP ソース ガードをイネーブルにする方法を示します。
Switch(config)# interface gigabitethernet1/0/1 Switch(config-if)# ip verify source port-security
設定を確認するには、show ip verify source 特権 EXEC コマンドを入力します。
IPv6 スヌーピング ポリシーを設定し、IPv6 スヌーピング コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで ipv6 snooping policy コマンドを使用します。 IPv6 スヌーピング ポリシーを削除するには、このコマンドの no 形式を使用します。
ipv6 snooping policy snooping-policy
no ipv6 snooping policy snooping-policy
snooping-policy | スヌーピング ポリシーのユーザ定義名。 ポリシー名には象徴的な文字列(Engineering など)または整数(0 など)を使用できます。 |
IPv6 スヌーピング ポリシーは設定されていません。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次に、IPv6 スヌーピング ポリシーを設定する例を示します。
Switch(config)# ipv6 snooping policy policy1 Switch(config-ipv6-snooping)#
ポートで使用できる IPv6 アドレスの数を制限するには、ネイバー探索プロトコル(NDP)インスペクション ポリシー コンフィギュレーション モードまたは IPv6 スヌーピング コンフィギュレーション モードで limit address-count コマンドを使用します。 デフォルトに戻るには、no 形式のコマンドを使用します。
limit address-count maximum
no limit address-count
maximum | ポートで許可されているアドレスの数。 範囲は 1 ~ 10000 です。 |
デフォルト設定は無制限です。
ND 検査ポリシー コンフィギュレーション(config-nd-inspection)
IPv6 スヌーピング コンフィギュレーション(ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次に、NDP ポリシー名を policy1 と定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートで使用できる IPv6 アドレスの数を 25 に制限する例を示します。
Switch(config)# ipv6 nd inspection policy policy1 Switch(config-nd-inspection)# limit address-count 25
次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートで使用できる IPv6 アドレスの数を 25 に制限する例を示します。
Switch(config)# ipv6 snooping policy policy1 Switch(config-ipv6-snooping)# limit address-count 25
スイッチ上で VLAN ID ベースの MAC 認証をイネーブルにするには、mab request format attribute 32 vlan access-vlan グローバル コンフィギュレーション コマンドを使用します。 デフォルト設定に戻すには、このコマンドの no 形式を使用します。
mab request format attribute 32 vlan access-vlan
no mab request format attribute 32 vlan access-vlan
このコマンドには引数またはキーワードはありません。
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
RADIUS サーバがホスト MAC アドレスと VLAN に基づいて新しいユーザを認証できるようにするには、このコマンドを使用します。
Microsoft IAS RADIUS サーバを使用したネットワークでこの機能を使用します。 Cisco ACS はこのコマンドを無視します。
次の例では、スイッチで VLAN-ID ベースの MAC 認証をイネーブルにする方法を示します。
Switch(config)# mab request format attribute 32 vlan access-vlan
IEEE 802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。 |
|
新しいデバイスがポートに接続するか、ポートにすでに最大数のデバイスが接続しているときに、新しいデバイスがポートに接続した場合に発生する違反モードを設定します。 |
|
1 つまたは複数のアクセス リストとパケットと照合するように VLAN マップを設定するには、スイッチ スタックまたはスタンドアロン スイッチ上でアクセスマップ コンフィギュレーション モードで match コマンドを使用します。 照合パラメータを削除するには、このコマンドの no 形式を使用します。
match { ip address { name | number } [ name | number ] [ name | number ] ... | mac address { name } [ name ] [ name ] ... }
no match { ip address { name | number } [ name | number ] [ name | number ] ... | mac address { name } [ name ] [ name ] ... }
ip address | パケットを IP アドレス アクセス リストと照合するようにアクセス マップを設定します。 |
mac address | パケットを MAC アドレス アクセス リストと照合するようにアクセス マップを設定します。 |
name | パケットを照合するアクセス リストの名前です。 |
number | パケットを照合するアクセス リストの番号です。 このオプションは、MAC アクセス リストに対しては無効です。 |
デフォルトのアクションでは、一致パラメータは VLAN マップに適用されません。
アクセス マップ コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
vlan access-map グローバル コンフィギュレーション コマンドを使用して、アクセス マップ コンフィギュレーション モードを開始します。
1 つのアクセス リストの名前または番号を入力する必要があります。その他は任意です。 パケットは、1 つまたは複数のアクセス リストに対して照合できます。 いずれかのリストに一致すると、エントリの一致としてカウントされます。
アクセス マップ コンフィギュレーション モードでは、match コマンドを使用して、VLAN に適用される VLAN マップの一致条件を定義できます。 action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。
パケットは、同じプロトコル タイプのアクセス リストに対してだけ照合されます。IP パケットは、IP アクセス リストに対して照合され、その他のパケットはすべて MAC アクセス リストに対して照合されます。
同じマップ エントリに、IP アドレスと MAC アドレスの両方を指定できます。
次の例では、VLAN アクセス マップ vmap4 を定義して VLAN 5 と VLAN 6 に適用する方法を示します。このアクセス マップでは、パケットがアクセス リスト al2 に定義された条件に一致すると、インターフェイスは IP パケットをドロップします。
Switch(config)# vlan access-map vmap4 Switch(config-access-map)# match ip address al2 Switch(config-access-map)# action drop Switch(config-access-map)# exit Switch(config)# vlan filter vmap4 vlan-list 5-6
設定を確認するには、show vlan access-map 特権 EXEC コマンドを入力します。
認証システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no authentication logging verbose グローバル コンフィギュレーション コマンドを使用します。
no authentication logging verbose
このコマンドには引数またはキーワードはありません。
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
このコマンドにより、認証システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 失敗メッセージはフィルタリングされません。
verbose 認証システム メッセージをフィルタリングするには、次の手順に従います。
Switch(config)# no authentication logging verbose
802.1x システム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no dot1x logging verbose グローバル コンフィギュレーション コマンドを使用します。
no dot1x logging verbose
このコマンドには引数またはキーワードはありません。
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
このコマンドにより、802.1x システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 失敗メッセージはフィルタリングされません。
verbose 802.1x システム メッセージをフィルタリングするには、次の手順に従います。
Switch(config)# no dot1x logging verbose
MAC 認証バイパス(MAB)のシステム メッセージから詳細情報をフィルタリングするには、スイッチ スタックまたはスタンドアロン スイッチ上で no mab logging verbose グローバル コンフィギュレーション コマンドを使用します。
no mab logging verbose
このコマンドには引数またはキーワードはありません。
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
このコマンドにより、MAC 認証バイパス(MAB)システム メッセージから、予測される成功などの詳細情報がフィルタリングされます。 失敗メッセージはフィルタリングされません。
verbose MAB システム メッセージをフィルタリングするには、次の手順に従います。
Switch(config)# no mab logging verbose
条件が一致した場合に非 IP トラフィックが転送されるのを許可するには、スイッチ スタックまたはスタンドアロン スイッチ上で permit MAC アクセスリスト コンフィギュレーション コマンドを使用します。 拡張 MAC アクセス リストから許可条件を削除するには、このコマンドの no 形式を使用します。
{ permit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
nopermit { any | host src-MAC-addr | src-MAC-addr mask} { any | host dst-MAC-addr | dst-MAC-addr mask} [ type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp] [ cos cos]
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
appletalk は、コマンドラインのヘルプ ストリングには表示されますが、一致条件としてはサポートされていません。
MAC アクセス リスト コンフィギュレーション モードを開始するには、 mac access-list extended グローバル コンフィギュレーション コマンドを使用します。
host キーワードを使用した場合、アドレス マスクは入力できません。 any キーワードまたは host キーワードを使用しない場合は、アドレス マスクを入力する必要があります。
アクセス コントロール エントリ(ACE)がアクセス コントロール リストに追加されると、リストの最後には暗黙の deny-any-any 条件が存在します。 つまり、一致がない場合にはパケットは拒否されます。 ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。
IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。 Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を、次の表に一覧表示します。
次の例では、あらゆる送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを許可する名前付き MAC 拡張アクセス リストを定義する方法を示します。 このリストに一致するトラフィックは許可されます。
Switch(config-ext-macl)# permit any host 00c0.00a0.03fa netbios
次の例では、名前付き MAC 拡張アクセス リストから許可条件を削除する方法を示します。
Switch(config-ext-macl)# no permit any 00c0.00a0.03fa 0000.0000.0000 netbios
次の例では、Ethertype 0x4321 のすべてのパケットを許可します。
Switch(config-ext-macl)# permit any any 0x4321 0
MAC アクセスリスト コンフィギュレーションを拒否します。 条件が一致した場合に非 IP トラフィックが転送されるのを拒否します。 |
|
アドレスをダイナミック ホスト コンフィギュレーション プロトコル(DHCP)またはネイバー探索プロトコル(NDP)で収集する必要があることを指定するか、プロトコルを IPv6 プレフィックス リストに関連付けるには、protocol コマンドを使用します。 DHCP または NDP によるアドレス収集をディセーブルにするには、このコマンドの no 形式を使用します。
protocol { dhcp | ndp }
protocol { dhcp | ndp }
dhcp | アドレスをダイナミック ホスト コンフィギュレーション プロトコル(DHCP)パケットで収集する必要があることを指定します。 |
ndp | アドレスをネイバー探索プロトコル(NDP)パケットで収集する必要があることを指定します。 |
スヌーピングとリカバリは DHCP および NDP の両方を使用して試行します。
IPv6 スヌーピング コンフィギュレーション モード(config-ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
アドレスが DHCP または NDP に関連付けられたプレフィックス リストと一致しない場合は、制御パケットがドロップされ、バインディング テーブル エントリのリカバリはそのプロトコルに対しては試行されません。
次に、IPv6 スヌーピングポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、アドレスの収集に DHCP を使用するようにポートを設定する例を示します。
Switch(config)# ipv6 snooping policy policy1 Switch(config-ipv6-snooping)# protocol dhcp
適用されるセキュリティのレベルを指定するには、IPv6 スヌーピング ポリシー コンフィギュレーション モードで security-level コマンドを使用します。
security level { glean | guard | inspect}
glean | アドレスをメッセージから抽出し、検証を行わずにそれらをバインディング テーブルにインストールします。 |
guard | 収集と検査の両方を実行します。 さらに、信頼できるポートで受信されていない場合、または別のポリシーによって許可されていない場合、RA メッセージおよび DHCP サーバ メッセージは拒否されます。 |
inspect | メッセージの一貫性と準拠度を検証します。特に、アドレス所有権が強制されます。 無効なメッセージはドロップされます。 |
デフォルトのセキュリティ レベルは guard です。
IPv6 スヌーピング コンフィギュレーション(config-ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、デバイスを IPv6 スヌーピング コンフィギュレーション モードにし、セキュリティ レベルを inspect として設定する例を示します。
Switch(config)# ipv6 snooping policy policy1 Switch(config-ipv6-snooping)# security-level inspect
改竄されたセッションのアカウンティング セッション ID を表示するには、show aaa acct-stop-cache コマンドを使用します。
このコマンドには引数またはキーワードはありません。
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
改竄されたセッションのアカウンティング終了レコードはスタンバイ スイッチにのみキャッシュされます。
次の例では、show aaa acct-stop-cache コマンドの出力を示します。
Switch# show aaa acct-stop-cache
AAA クライアントの統計情報を表示するには、show aaa clients コマンドを使用します。
show aaa clients [ detailed]
detailed | (任意)詳細な AAA クライアントの統計情報を示します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次の例では、show aaa clients コマンドの出力を示します。
Switch# show aaa clients
Dropped request packets: 0
コマンド ハンドラの統計情報を表示するには、show aaa command handler コマンドを使用します。
show aaa command handler
このコマンドには引数またはキーワードはありません。
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次の例では、show aaa command handler コマンドの出力を示します。
Switch# show aaa command handler
AAA Command Handler Statistics:
account-logon: 0, account-logoff: 0
account-query: 0, pod: 0
service-logon: 0, service-logoff: 0
user-profile-push: 0, session-state-log: 0
reauthenticate: 0, bounce-host-port: 0
disable-host-port: 0, update-rbacl: 0
update-sgt: 0, update-cts-policies: 0
invalid commands: 0
async message not sent: 0
AAA ローカル方式オプションを表示するには、show aaa local コマンドを使用します。
show aaa localuser lockout
user lockout | AAA ローカルのロックアウトされたユーザを指定します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次の例では、show aaa local user lockout コマンドの出力を示します。
Switch# show aaa local user lockout
Local-user Lock time
AAA サーバの MIB によって認識されるすべての AAA サーバを表示するには、show aaa servers コマンドを使用します。
show aaa servers [ private| public| [ detailed] ]
detailed | (任意)AAA サーバの MIB によって認識されるプライベート AAA サーバを表示します。 |
public | (任意)AAA サーバの MIB によって認識されるパブリック AAA サーバを表示します。 |
detailed | (任意)詳細な AAA サーバの統計情報を表示します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次の例では、show aaa servers コマンドの出力を示します。
Switch# show aaa servers
RADIUS: id 1, priority 1, host 172.20.128.2, auth-port 1645, acct-port 1646
State: current UP, duration 9s, previous duration 0s
Dead: total time 0s, count 0
Quarantined: No
Authen: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Author: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Account: request 0, timeouts 0, failover 0, retransmission 0
Request: start 0, interim 0, stop 0
Response: start 0, interim 0, stop 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Elapsed time since counters last cleared: 0m
Estimated Outstanding Access Transactions: 0
Estimated Outstanding Accounting Transactions: 0
Estimated Throttled Access Transactions: 0
Estimated Throttled Accounting Transactions: 0
Maximum Throttled Transactions: access 0, accounting 0
AAA セッション MIB によって認識される AAA セッションを表示するには、show aaa sessions コマンドを使用します。
show aaa sessions
このコマンドには引数またはキーワードはありません。
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次の例では、show aaa sessions コマンドの出力を示します。
Switch# show aaa sessions
Total sessions since last reload: 7
Session Id: 4007
Unique Id: 4025
User Name: *not available*
IP Address: 0.0.0.0
Idle Time: 0
CT Call Handle: 0
現在の認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。
show authentication sessions[ handle handle-id ] [ interface type number ] [ mac mac-address [ interface type number] [ method method-name [ interface type number [ session-id session-id]
handle handle-id | (任意)認証マネージャ情報を表示する特定のハンドルを指定します。 |
interface type number | (任意)認証マネージャ情報を表示する特定のインターフェイスのタイプと番号を指定します。 |
mac mac-address | (任意)情報を表示する特定の MAC アドレスを指定します。 |
method method-name | (任意)認証マネージャ情報を表示する特定の認証方法を指定します。 方式を指定する場合(dot1x、mab、または webauth)、インターフェイスも指定できます。 |
session-id session-id | (任意)認証マネージャ情報を表示する特定のセッションを指定します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
現在のすべての認証マネージャ セッションに関する情報を表示するには、show authentication sessions コマンドを使用します。 特定の認証マネージャ セッションに関する情報を表示するには、1 つ以上のキーワードを使用します。
状態 |
説明 |
---|---|
Not run |
このセッションの方式は実行されていません。 |
Running |
このセッションの方式が実行中です。 |
Failed over |
この方式は失敗しました。次の方式が結果を出すことが予期されています。 |
Success |
この方式は、セッションの成功した認証結果を提供しました。 |
Authc Failed |
この方式は、セッションの失敗した認証結果を提供しました。 |
状態 |
説明 |
---|---|
dot1x |
802.1X |
mab |
MAC 認証バイパス |
webauth |
Web 認証 |
次に、スイッチ上のすべての認証セッションを表示する例を示します。
Switch# show authentication sessions
Interface MAC Address Method Domain Status Session ID
Gi1/0/48 0015.63b0.f676 dot1x DATA Authz Success 0A3462B1000000102983C05C
Gi1/0/5 000f.23c4.a401 mab DATA Authz Success 0A3462B10000000D24F80B58
Gi1/0/5 0014.bf5d.d26d dot1x DATA Authz Success 0A3462B10000000E29811B94
次に、インターフェイス上のすべての認証セッションを表示する例を示します。
Switch# show authentication sessions interface gigabitethernet2/0/47
Interface: GigabitEthernet2/0/47
MAC Address: Unknown
IP Address: Unknown
Status: Authz Success
Domain: DATA
Oper host mode: multi-host
Oper control dir: both
Authorized By: Guest Vlan
Vlan Policy: 20
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A3462C8000000000002763C
Acct Session ID: 0x00000002
Handle: 0x25000000
Runnable methods list:
Method State
mab Failed over
dot1x Failed over
----------------------------------------
Interface: GigabitEthernet2/0/47
MAC Address: 0005.5e7c.da05
IP Address: Unknown
User-Name: 00055e7cda05
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A3462C8000000010002A238
Acct Session ID: 0x00000003
Handle: 0x91000001
Runnable methods list:
Method State
mab Authc Success
dot1x Not run
show cisp {[ clients | interface interface-id] | registrations | summary}
(任意)指定されたインターフェイスの CISP 情報を表示します。 有効なインターフェイスには、物理ポートとポート チャネルが含まれます。 |
|
registrations |
CISP の登録情報を表示します。 |
リリース |
変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次の例では、show cisp interface コマンドの出力を示します。
Switch# show cisp interface fast 0 CISP not enabled on specified interface
次の例では、show cisp registration コマンドの出力を示します。
Switch# show cisp registrations Interface(s) with CISP registered user(s): ------------------------------------------ Fa1/0/13 Auth Mgr (Authenticator) Gi2/0/1 Auth Mgr (Authenticator) Gi2/0/2 Auth Mgr (Authenticator) Gi2/0/3 Auth Mgr (Authenticator) Gi2/0/5 Auth Mgr (Authenticator) Gi2/0/9 Auth Mgr (Authenticator) Gi2/0/11 Auth Mgr (Authenticator) Gi2/0/13 Auth Mgr (Authenticator) Gi3/0/3 Gi3/0/5 Gi3/0/23
スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示するには、show dot1x ユーザ EXEC コマンドを使用します。
show dot1x [ all [ count | details | statistics | summary] ] [ interface type number [ details | statistics] ] [ statistics]
all | (任意)すべてのインターフェイスの IEEE 802.1x 情報を表示します。 |
count | (任意)許可されたクライアントと無許可のクライアントの総数を表示します。 |
details | (任意)IEEE 802.1x インターフェイスの詳細を表示します。 |
statistics | (任意)すべてのインターフェイスの IEEE 802.1x 統計情報を表示します。 |
summary | (任意)すべてのインターフェイスの IEEE 802.1x サマリー情報を表示します。 |
interface type number | (任意)指定したポートの IEEE 802.1X ステータスを表示します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次の例では、show dot1x all コマンドの出力を示します。
Switch# show dot1x all
Sysauthcontrol Enabled
Dot1x Protocol Version 3
次の例では、show dot1x all count コマンドの出力を示します。
Switch# show dot1x all count
Number of Dot1x sessions
-------------------------------
Authorized Clients = 0
UnAuthorized Clients = 0
Total No of Client = 0
次の例では、show dot1x all statistics コマンドの出力を示します。
Switch# show dot1x statistics
Dot1x Global Statistics for
--------------------------------------------
RxStart = 0 RxLogoff = 0 RxResp = 0 RxRespID = 0
RxReq = 0 RxInvalid = 0 RxLenErr = 0
RxTotal = 0
TxStart = 0 TxLogoff = 0 TxResp = 0
TxReq = 0 ReTxReq = 0 ReTxReqFail = 0
TxReqID = 0 ReTxReqID = 0 ReTxReqIDFail = 0
TxTotal = 0
拡張認証プロトコル(EAP)のセキュア トンネリングを介したフレキシブル認証(FAST)ピアの格納済み Protected Access Credential(PAC)を表示するには、 show eap pac peer 特権 EXEC コマンドを使用します。
show eap pac peer
このコマンドには引数またはキーワードはありません。
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
次の例では、 show eap pac peers 特権 EXEC コマンドの出力を示します。
Switch> show eap pac peers No PACs stored
DHCP スヌーピング統計情報をサマリー形式または詳細形式で表示するには、show ip dhcp snooping statistics ユーザ EXEC コマンドを使用します。
show ip dhcp snooping statistics [ detail ]
detail | (任意)詳細な統計情報を表示します。 |
ユーザ EXEC
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
スイッチ スタックでは、すべての統計情報がスタック マスターで生成されます。 新しいアクティブ スイッチが選定された場合、統計カウンタはリセットされます。
次の例では、show ip dhcp snooping statistics コマンドの出力を示します。
Switch> show ip dhcp snooping statistics
Packets Forwarded = 0
Packets Dropped = 0
Packets Dropped From untrusted ports = 0
次の例では、show ip dhcp snooping statistics detail コマンドの出力を示します。
Switch> show ip dhcp snooping statistics detail
Packets Processed by DHCP Snooping = 0
Packets Dropped Because
IDB not known = 0
Queue full = 0
Interface is in errdisabled = 0
Rate limit exceeded = 0
Received on untrusted ports = 0
Nonzero giaddr = 0
Source mac not equal to chaddr = 0
Binding mismatch = 0
Insertion of opt82 fail = 0
Interface Down = 0
Unknown output interface = 0
Reply output port equal to input port = 0
Packet denied by platform = 0
DHCP スヌーピング統計情報 |
説明 |
---|---|
Packets Processed by DHCP Snooping |
転送されたパケットおよびドロップされたパケットも含めて、DHCP スヌーピングによって処理されたパケットの合計数。 |
Packets Dropped Because IDB not known |
パケットの入力インターフェイスを判断できないエラーの数。 |
Queue full |
パケットの処理に使用される内部キューが満杯であるエラーの数。 非常に高いレートで DHCP パケットを受信し、入力ポートでレート制限がイネーブルになっていない場合、このエラーが発生することがあります。 |
Interface is in errdisabled |
errdisable としてマークされたポートでパケットを受信した回数。 これが発生する可能性があるのは、ポートが errdisable ステートである場合にパケットが処理キューに入り、そのパケットが後で処理される場合です。 |
Rate limit exceeded |
ポートで設定されているレート制限を超えて、インターフェイスが errdisable ステートになった回数。 |
Received on untrusted ports |
信頼できないポートで DHCP サーバ パケット(OFFER、ACK、NAK、LEASEQUERY のいずれか)を受信してドロップした回数。 |
Nonzero giaddr |
信頼できないポートで受信した DHCP パケットのリレー エージェント アドレス フィールド(giaddr)がゼロ以外だった回数。または no ip dhcp snooping information option allow-untrusted グローバル コンフィギュレーション コマンドを設定しておらず、信頼できないポートで受信したパケットにオプション 82 データが含まれていた回数。 |
Source mac not equal to chaddr |
DHCP パケットのクライアント MAC アドレス フィールド(chaddr)がパケットの送信元 MAC アドレスと一致せず、ip dhcp snooping verify mac-address グローバル コンフィギュレーション コマンドが設定されている回数。 |
Binding mismatch |
MAC アドレスと VLAN のペアのバインディングになっているポートとは異なるポートで、RELEASE パケットまたは DECLINE パケットを受信した回数。 これは、誰かが本来のクライアントをスプーフィングしようとしている可能性があることを示しますが、クライアントがスイッチの別のポートに移動して RELEASE または DECLINE を実行したことを表すこともあります。 MAC アドレスは、イーサネット ヘッダーの送信元 MAC アドレスではなく、DHCP パケットの chaddr フィールドから採用されます。 |
Insertion of opt82 fail |
パケットへのオプション 82 挿入がエラーになった回数。 オプション 82 データを含むパケットがインターネットの単一物理パケットのサイズを超えた場合、挿入はエラーになることがあります。 |
Interface Down |
パケットが DHCP リレー エージェントへの応答であるが、リレー エージェントの SVI インターフェイスがダウンしている回数。 DHCP サーバへのクライアント要求の送信と応答の受信の間で SVI がダウンした場合に発生するエラーですが、めったに発生しません。 |
Unknown output interface |
オプション 82 データまたは MAC アドレス テーブルのルックアップのいずれかで、DHCP 応答パケットの出力インターフェイスを判断できなかった回数。 パケットはドロップされます。 オプション 82 が使用されておらず、クライアント MAC アドレスが期限切れになった場合に発生することがあります。 ポートセキュリティ オプションで IPSG がイネーブルであり、オプション 82 がイネーブルでない場合、クライアントの MAC アドレスは学習されず、応答パケットはドロップされます。 |
Reply output port equal to input port |
DHCP 応答パケットの出力ポートが入力ポートと同じであり、ループの可能性の原因となった回数。 ネットワークの設定の誤り、またはポートの信頼設定の誤用の可能性を示します。 |
Packet denied by platform |
プラットフォーム固有のレジストリによってパケットが拒否された回数。 |
RADIUS サーバ グループのプロパティを表示するには、show radius server-group コマンドを使用します。
show radius server-group { name | all}
name | サーバ グループの名前。 サーバ グループの名前の指定に使用する文字列は、aaa group server radius コマンドを使用して定義する必要があります。 |
all | すべてのサーバ グループのプロパティを表示します。 |
ユーザ EXEC
特権 EXEC
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
aaa group server radius コマンドで定義したサーバ グループを表示するには、show radius server-group コマンドを使用します。
次の例では、show radius server-group all コマンドの出力を示します。
Switch# show radius server-group all
Server group radius
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
フィールド |
説明 |
---|---|
Server group |
サーバ グループの名前。 |
Sharecount |
このサーバ グループを共有している方式リストの数。 たとえば、1 つの方式リストが特定のサーバ グループを使用する場合、sharecount は 1 です。 2 つの方式リストが同じサーバ グループを使用する場合、sharecount は 2 です。 |
sg_unconfigured |
サーバ グループが設定解除されました。 |
Type |
タイプは、standard または nonstandard のいずれかです。 タイプはグループ内のサーバが非標準の属性を受け入れるかどうかを示します。 グループ内のすべてのサーバに非標準のオプションが設定されている場合、タイプは「nonstandard」と表示されます。 |
Memlocks |
メモリ内にあるサーバ グループ構造の内部参照の数。 この数は、このサーバ グループへの参照を保持している内部データ構造パケットまたはトランザクションがいくつあるかを表します。 Memlocks はメモリ管理のために内部的に使用されます。 |
VLAN グループにマッピングされている VLAN を表示するには、特権 EXEC モードで show vlan group コマンドを使用します。
show vlan group [ group-name vlan-group-name [user_count] ]
group-name vlan-group-name | (任意)指定した VLAN グループにマッピングされている VLAN を表示します。 |
user_count | (任意)特定の VLAN グループにマッピングされている各 VLAN のユーザ数を表示します。 |
なし
特権 EXEC
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
show vlan group コマンドは既存の VLAN グループを表示し、各 VLAN グループのメンバである VLAN および VLAN の範囲を示します。 group-name キーワードを入力すると、指定した VLAN グループのメンバーのみが表示されます。
次の例では、特定の VLAN グループのメンバを表示する方法を示します。
Switch# show vlan group group-name group2
vlan group group1 :40-45
ポートのデフォルト トラッキング ポリシーを上書きするには、ipv6 スヌーピング ポリシー コンフィギュレーション モードで tracking コマンドを使用します。
tracking { enable [ reachable-lifetime { value | infinite}] | disable [ stale-lifetime { value | infinite}
enable | トラッキングをイネーブルにします。 |
reachable-lifetime | (任意)到達可能という証明がない状態で、到達可能なエントリが直接的または間接的に到達可能であると判断される最大時間を指定します。 |
value | 秒単位のライフタイム値。 指定できる範囲は 1 ~ 86400 で、デフォルトは 300 です。 |
infinite | エントリを無限に到達可能状態またはステイル状態に維持します。 |
disable | トラッキングをディセーブルにします。 |
stale-lifetime | (任意)時間エントリをステイル状態に維持します。これによりグローバルの stale-lifetime 設定が上書きされます。 |
時間のエントリは到達可能な状態に維持されます。
IPv6 スヌーピング コンフィギュレーション(config-ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
tracking コマンドはこのポリシーが適用されるポートの、ipv6 neighbor tracking コマンドで設定されたデフォルトのトラッキング ポリシーを上書きします。 この機能は、たとえば、エントリを追跡しないが、バインディング テーブルにエントリを残して盗難を防止する場合などに、信頼できるポート上で有用です。
reachable-lifetime キーワードは、到達可能という証明がない状態で、あるエントリがトラッキングにより直接的に、または IPv6 スヌーピングにより間接的に到達可能であると判断される最大時間を示します。 reachable-lifetime 値に到達すると、エントリはステイル状態に移動します。 tracking コマンドとともに reachable-lifetime キーワードを使用すると、ipv6 neighbor binding reachable-lifetime コマンドで設定されたグローバルな到達可能ライフタイムがオーバーライドされます。
stale-lifetime キーワードはエントリが削除されるか到達可能であると証明される前にテーブルに直接または間接的に保持される最大時間です。 tracking コマンドとともに reachable-lifetime キーワードを使用すると、ipv6 neighbor binding stale-lifetime コマンドで設定されたグローバルなステイル ライフタイムがオーバーライドされます。
次に、IPv6 スヌーピングポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、エントリを信頼できるポート上で無限にバインディング テーブルに保存するように設定する例を示します。
Switch(config)# ipv6 snooping policy policy1 Switch(config-ipv6-snooping)# tracking disable stale-lifetime infinite
あるポートを信頼できるポートとして設定するには、IPv6 スヌーピング ポリシー モードまたは ND 検査ポリシー コンフィギュレーション モードで trusted-port コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
trusted-port
no trusted-port
どのポートも信頼されていません。
ND 検査ポリシー コンフィギュレーション(config-nd-inspection)
IPv6 スヌーピング コンフィギュレーション(config-ipv6-snooping)
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
trusted-port コマンドをイネーブルにすると、メッセージがこのポリシーを持つポートで受信された場合、限定的に実行されるか、まったく実行されません。 ただし、アドレス スプーフィングから保護するために、メッセージは伝送するバインディング情報の使用によってバインディング テーブルを維持できるように分析されます。 これらのポートで検出されたバインディングは、信頼できるものとして設定されていないポートから受信したバインディングよりも信頼性が高いものと見なされます。
次に、NDP ポリシー名を policy1 と定義し、スイッチを NDP インスペクション ポリシー コンフィギュレーション モードにし、ポートを信頼するように設定する例を示します。
Switch(config)# ipv6 nd inspection policy1 Switch(config-nd-inspection)# trusted-port
次に、IPv6 スヌーピング ポリシー名を policy1 と定義し、スイッチを IPv6 スヌーピング ポリシー コンフィギュレーション モードにし、ポートを信頼するように設定する例を示します。
Switch(config)# ipv6 snooping policy policy1 Switch(config-ipv6-snooping)# trusted-port
VLAN パケット フィルタリング用の VLAN マップ エントリを作成または修正し、VLAN アクセスマップ コンフィギュレーション モードに変更するには、スイッチ スタックまたはスタンドアロン スイッチ上で、グローバル コンフィギュレーション モードで vlan access-map コマンドを使用します。 VLAN マップ エントリを削除するには、このコマンドの no 形式を使用します。
vlan access-map name [ number ]
no vlan access-map name [ number ]
(注) |
このコマンドは、LAN ベース フィーチャ セットを実行しているスイッチではサポートされません。 |
name | VLAN マップ名 |
number | (任意)作成または変更するマップ エントリのシーケンス番号(0 ~ 65535)。 VLAN マップを作成する際にシーケンス番号を指定しない場合、番号は自動的に割り当てられ、10 から開始して 10 ずつ増加します。 この番号は、VLAN アクセス マップ エントリに挿入するか、または VLAN アクセス マップ エントリから削除する順番です。 |
VLAN に適用する VLAN マップ エントリまたは VLAN マップはありません。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
グローバル コンフィギュレーション モードでは、このコマンドは VLAN マップを作成または修正します。 このエントリは、モードを VLAN アクセス マップ コンフィギュレーションに変更します。match アクセス マップ コンフィギュレーション コマンドを使用して、一致する IP または非 IP トラフィック用にアクセス リストを指定します。action コマンドは、この一致によりパケットを転送またはドロップするかどうかを設定します。
VLAN アクセス マップ コンフィギュレーション モードでは、次のコマンドが利用できます。
エントリ番号(シーケンス番号)を指定しない場合、マップの最後に追加されます。
VLAN ごとに VLAN マップは 1 つだけ設定できます。VLAN マップは、VLAN でパケットを受信すると適用されます。
シーケンス番号を指定して no vlan access-map name [number] コマンドを使用すると、エントリを 1 つ削除できます。
vlan filter インターフェイス コンフィギュレーション コマンドは、VLAN マップを 1 つまたは複数の VLAN に適用します。
VLAN マップ エントリの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。
次の例では、vac1 という名の VLAN マップを作成し、一致条件とアクションをその VLAN マップに適用する方法を示します。 他のエントリがマップに存在しない場合、これはエントリ 10 になります。
Switch(config)# vlan access-map vac1 Switch(config-access-map)# match ip address acl1 Switch(config-access-map)# action forward
次の例では、VLAN マップ vac1 を削除する方法を示します。
Switch(config)# no vlan access-map vac1
1 または複数の VLAN に VLAN マップを適用するには、スイッチ スタックまたはスタンドアロン スイッチ上で、グローバル コンフィギュレーション モードで vlan filter コマンドを使用します。 マップを削除するには、このコマンドの no 形式を使用します。
vlan filter mapname vlan-list { list | all }
no vlan filter mapname vlan-list { list | all }
(注) |
このコマンドは、LAN ベース フィーチャ セットを実行しているスイッチではサポートされません。 |
mapname | VLAN マップ エントリ名 |
vlan-list | マップを適用する VLAN を指定します。 |
list | tt、uu-vv、xx、および yy-zz 形式での 1 つまたは複数の VLAN リスト。カンマとダッシュの前後のスペースは任意です。 指定できる範囲は 1 ~ 4094 です。 |
all | マップをすべての VLAN に追加します。 |
VLAN フィルタはありません。
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
パケットを誤って過剰にドロップし、設定プロセスの途中で接続が無効になることがないように、VLAN アクセス マップを完全に定義してから VLAN に適用することを推奨します。
VLAN マップ エントリの詳細については、このリリースに対応するソフトウェア コンフィギュレーション ガイドを参照してください。
次の例では、VLAN マップ エントリ map1 を VLAN 20 および 30 に適用します。
Switch(config)# vlan filter map1 vlan-list 20, 30
次の例では、VLAN マップ エントリ map1 を VLAN 20 から削除する方法を示します。
Switch(config)# no vlan filter map1 vlan-list 20
設定を確認するには、show vlan filter 特権 EXEC コマンドを入力します。
VLAN グループを作成または変更するには、グローバル コンフィギュレーション モードで vlan group コマンドを使用します。 VLAN グループから VLAN リストを削除するには、このコマンドの no 形式を使用します。
vlan group group-name vlan-list vlan-list
no vlan group group-name vlan-list vlan-list
group-name | VLAN グループの名前。 名前は最大 32 文字で、文字から始める必要があります。 |
vlan-list vlan-list | VLAN グループに追加される 1 つ以上の VLAN を指定します。 vlan-list 引数には単一の VLAN ID、VLAN ID リスト、または VLAN ID 範囲を指定できます。 複数のエントリはハイフン(-)またはカンマ(,)で区切ります。 |
なし
グローバル コンフィギュレーション
リリース | 変更内容 |
---|---|
Cisco IOS 15.0(2)EX |
このコマンドが導入されました。 |
指定された VLAN グループが存在しない場合、vlan group コマンドはグループを作成し、指定された VLAN リストをそのグループにマッピングします。 指定された VLAN グループが存在する場合は、指定された VLAN リストがそのグループにマッピングされます。
vlan group コマンドの no 形式を使用すると、指定された VLAN リストが VLAN グループから削除されます。 VLAN グループから最後の VLAN を削除すると、その VLAN グループは削除されます。
最大 100 の VLAN グループを設定でき、1 つの VLAN グループに最大 4094 の VLAN をマッピングできます。
次に、VLAN 7 ~ 9 と 11 を VLAN グループにマッピングする例を示します。
Switch(config)# vlan group group1 vlan-list 7-9,11
次の例では、VLAN グループから VLAN 7 を削除する方法を示します。
Switch(config)# no vlan group group1 vlan-list 7