www.edge-core.com ES4625 ES4649 24/48 ポートギガビット

by user

on 28 марта 2017

Category: Documents

>> Downloads: 6

views

Report

Comments

Description

Download www.edge-core.com ES4625 ES4649 24/48 ポートギガビット

Transcript

www.edge-core.com ES4625 ES4649 24/48 ポートギガビット

ES4625
ES4649
24/48 ポート
ギガビットイーサネット
スタッカブルレイヤー 3
スイッチ
www.edge-core.com
マネジメントガイド
ギガビットイーサネットスイッチ
レイヤー 3 スイッチ、 RJ-45 ポートｘ 20/44
コンビネーション (RJ-45/SFP) ポートｘ 4、
拡張モジュールスロットｘ 1
およびスタッキングポート x 2 搭載
ES4625
ES4649
F3.1.1.56 E062005-R02
149100022900A
目　次
第1章:
はじめに
1-1
主要機能
1-1
ソフトウェア機能の説明
1-2
システムデフォルト
1-7
第2章:
初期構成
2-1
スイッチへの接続
2-1
構成オプション
2-1
必要な接続
2-2
リモート接続
2-3
スタックオペレーション
スタックマスターの選択
2-3
2-3
バックアップユニットの選択
2-4
スタックの障害からの回復、またはトポロジーの変更
2-4
ラインまたはラップアラウンドトポロジのリンクの障害
2-4
管理アクセス用の耐障害性の IP インターフェース
2-5
耐障害性の構成
2-5
スタックの再番号付け
スタックの制限事項
2-5
2-5
2-6
基本構成
コンソール接続
2-6
パスワードの設定
2-7
IP アドレスの設定
2-7
手動構成
2-7
動的構成
2-8
SNMP 管理アクセスの有効化
2-9
コミュニティストリング（SNMP バージョン 1 および 2c クライアント用） 2-9
トラップレシーバ
SNMP バージョン 3 クライアントによるアクセスの構成
コンフィギュレーション設定の保存
システムファイルの管理
第3章:
スイッチの構成
2-10
2-11
2-11
2-12
3-1
ウェブインターフェースの使用
3-1
ウェブブラウザインターフェースのナビゲーション
3-2
i
目次
ホームページ
3-2
構成オプション
3-3
パネル表示
3-3
メインメニュー
3-4
基本構成
3-12
スイッチのハードウェア / ソフトウェアバージョンの表示
3-13
ブリッジ拡張機能の表示
3-15
ジャンボフレームのサポートの構成
3-16
スイッチの IP アドレスの設定
3-17
手動構成
3-18
DHCP/BOOTP の使用
3-19
ファームウェアの管理
サーバーからのシステムソフトウェアのダウンロード
コンフィギュレーション設定の保存または復元
サーバーからのコンフィギュレーション設定のダウンロード
ii
3-12
システム情報の表示
3-20
3-21
3-23
3-24
コンソールポート設定
3-25
Telnet 設定
3-27
イベントロギングの構成
3-29
システムログの構成
3-29
リモートログの構成
3-30
ログメッセージの表示
3-32
簡易メール転送プロトコルアラートの送信
3-32
スタックの再番号付け
3-34
システムのリセット
3-35
システムクロックの設定
3-35
SNTP の構成
3-35
タイムゾーンの設定
3-36
簡易ネットワーク管理プロトコル
3-37
SNMP エージェントの有効化
3-39
コミュニティアクセスストリングの設定
3-39
トラップマネージャおよびトラップタイプの指定
3-40
SNMPv3 管理アクセスの構成
3-42
ローカルエンジン ID の設定
3-43
リモートエンジン ID の指定
3-43
SNMPv3 ユーザーの構成
3-44
リモート SNMPv3 ユーザーの構成
3-46
SNMPv3 グループの構成
3-48
目次
SNMPv3 ビューの設定
ユーザー認証
3-52
3-53
ユーザーアカウントの構成
3-53
ローカル / リモートログオン認証の構成
3-55
HTTPS の構成
3-58
デフォルトのセキュアサイト証明書の置換
セキュアシェルの構成
3-59
3-60
ホストキーペアの生成
3-61
SSH サーバーの構成
3-63
ポートセキュリティの構成
3-65
802.1X ポート認証の構成
3-67
802.1X グローバル設定の表示
3-68
802.1X グローバル設定の構成
3-69
802.1X のポート設定の構成
3-69
802.1X 統計情報の表示
3-72
管理アクセス用の IP アドレスのフィルタリング
アクセス制御リスト
アクセス制御リストの構成
3-73
3-75
3-75
ACL の名前およびタイプの設定
3-76
標準 IP ACL の構成
3-77
拡張 IP ACL の構成
3-78
MAC ACL の構成
3-80
ACL マスクの構成
3-82
マスクタイプの指定
3-82
IP ACL マスクの構成
3-83
MAC ACL マスクの構成
3-85
アクセス制御リストへのポートのバインド
ポートコンフィギュレーション
3-86
3-88
接続ステータスの表示
3-88
インターフェース接続の構成
3-90
トランクグループの作成
3-92
トランクの静的構成
3-93
選択したポートでの LACP の有効化
3-95
LACP パラメータの構成
3-96
LACP ポートカウンタの表示
ローカル側の LACP 設定とステータスの表示
リモート側の LACP 設定とステータスの表示
ブロードキャストストームしきい値の設定
3-98
3-100
3-102
3-103
iii
目次
ポートミラーリングの構成
3-105
レートリミットの構成
3-106
ポート統計情報の表示
3-107
アドレステーブルの設定
3-111
スタティックアドレスの設定
3-111
アドレステーブルの表示
3-112
エージングタイムの変更
3-114
スパニングツリーアルゴリズムの構成
3-115
グローバル設定の構成
3-118
インターフェース設定の表示
3-122
インターフェース設定の構成
3-125
複数スパニングツリーの構成
3-128
MSTP のインターフェース設定の表示
3-131
MSTP のインターフェース設定の構成
3-132
VLAN の構成
IEEE 802.1Q VLAN
3-134
3-134
VLAN へのポートの割当て
3-134
タグ付き / タグなしフレームの転送
3-136
GVRP の有効化または無効化（グローバル設定）
3-136
VLAN 基本情報の表示
3-137
現在の VLAN の表示
3-138
VLAN の構築
3-139
VLAN へのスタティックメンバーの追加（VLAN インデックス）
3-140
VLAN へのスタティックメンバーの追加（ポートインデックス）
3-142
インターフェースの VLAN 動作の構成
3-143
プライベート VLAN の構成
3-145
プライベート VLAN の有効化
3-145
アップリンクポートおよびダウンリンクポートの構成
3-146
プロトコルベースの VLAN の構成
3-146
プロトコルグループの構成
3-147
VLAN へのプロトコルのマップ
3-148
サービスクラスの構成
レイヤー 2 キューの設定
iv
3-114
グローバル設定の表示
3-149
3-149
インターフェースのデフォルトプライオリティの設定
3-149
イグレスキューへ CoS の値のマップ
3-151
キューモードの選択
3-153
トラフィッククラスのサービス加重の設定
3-153
目次
レイヤー 3/4 プライオリティの設定
3-155
CoS 値へのレイヤー 3/4 プライオリティのマップ
3-155
IP 優先度 /DSCP プライオリティの選択
3-155
IP 優先度のマップ
3-156
DSCP プライオリティのマップ
3-157
IP ポートプライオリティのマップ
3-159
サービス品質
サービス品質パラメータの構成
3-160
3-161
クラスマップの構成
3-161
QoS ポリシーの作成
3-164
イングレスキューへのポリシーマップの割当て
3-167
マルチキャストフィルタリング
3-168
IGMP プロトコル
3-168
レイヤー 2 IGMP （スヌーピングおよびクエリー）
3-169
IGMP スヌーピングおよびクエリーパラメータの構成
3-170
マルチキャストルータに接続されたインターフェースの表示
3-172
マルチキャストルータのスタティックインターフェースの指定
3-173
マルチキャストサービスのポートメンバーの表示
3-174
マルチキャストサービスへのポートの割当て
3-175
レイヤー 3 IGMP （マルチキャストルーティングで使用されるクエリー）
3-176
IGMP インターフェースパラメータの構成
3-176
マルチキャストグループ情報の表示
3-179
ドメインネームサービスの構成
3-181
全般 DNS サービスパラメータの構成
3-181
DNS ホストとアドレスのスタティックエントリの構成
3-183
DNS キャッシュの表示
3-185
ダイナミックホスト構成プロトコル
DHCP リレーサービスの構成
DHCP サーバーの構成
3-186
3-186
3-188
サーバーの有効化と除外アドレスの設定
3-188
アドレスプールの構成
3-190
アドレスバインディングの表示
ルータ冗長性の構成
バーチャルルータ冗長プロトコル
3-194
3-195
3-196
VRRP グループの構成
3-196
VRRP グローバル統計情報の表示
3-201
VRRP グループ統計情報の表示
3-202
IP ルーティング
3-204
v
目次
概要
初期コンフィギュレーション
IP スイッチング
ルーティングパス管理
ルーティングプロトコル
3-204
3-205
3-206
3-206
基本的な IP インターフェースの構成
3-207
IP ルーティングインターフェースの構成
3-208
アドレス解決プロトコル
3-210
プロキシ ARP
3-210
基本的な ARP の構成
3-211
スタティック ARP アドレスの構成
3-212
動的に学習された ARP エントリの表示
3-213
ローカル ARP エントリの表示
3-214
ARP 統計情報の表示
3-215
IP プロトコルの統計情報の表示
3-217
IP 統計情報
3-217
ICMP 統計情報
3-219
UDP 統計情報
3-221
TCP 統計情報
3-222
スタティックルートの構成
3-223
ルーティングテーブルの表示
3-224
ルーティング情報プロトコルの構成
3-225
全般プロトコル設定の構成
3-226
RIP のネットワークインターフェースの指定
3-228
RIP のネットワークインターフェースの構成
3-229
RIP 情報および統計情報の表示
3-232
オープンショーテストパスファーストプロトコルの構成
vi
3-204
3-235
全般プロトコル設定の構成
3-236
OSPF エリアの構成
3-239
エリア範囲の構成（ABR のルートサマライゼーション）
3-242
OSPF インターフェースの構成
3-244
バーチャルリンクの構成
3-248
ネットワークエリアアドレスの構成
3-250
サマリーアドレスの構成（外部 AS ルート）
3-253
外部ルートの再配信
3-254
NSSA 設定の構成
3-255
リンクステートデータベース情報の表示
3-257
境界ルータに関する情報の表示
3-259
目次
隣接ルータに関する情報の表示
マルチキャストルーティング
3-260
3-261
マルチキャストルーティングのグローバル設定の構成
3-261
マルチキャストルーティングテーブルの表示
3-262
DVMRP の構成
3-265
グローバル DVMRP 設定の構成
3-265
DVMRP インターフェース設定の構成
3-268
隣接機器情報の表示
3-270
ルーティングテーブルの表示
3-271
PIM-DM の構成
3-272
グローバル PIM-DM 設定の構成
3-273
PIM-DM インターフェース設定の構成
3-273
インターフェース情報の表示
3-276
隣接機器情報の表示
3-276
第4章:
コマンドラインインターフェース
コマンドラインインターフェースの使用
CLI へのアクセス
4-1
4-1
4-1
コンソール接続
4-1
Telnet 接続
4-1
コマンドの入力
4-3
キーワードおよび引数
4-3
コマンドの省略入力
4-3
コマンドの入力補完
4-3
コマンドのヘルプの使用
4-3
コマンドの表示
4-4
部分キーワード検索
4-5
コマンドの無効化
4-5
コマンド履歴の使用
4-5
コマンドモードについて
4-6
Exec コマンド
4-6
コンフィギュレーションコマンド
4-7
コマンドライン処理
4-9
コマンドグループ
4-10
ラインコマンド
line
4-12
4-12
login
4-13
password
4-14
vii
目次
timeout login response
4-15
exec-timeout
4-15
password-thresh
4-16
silent-time
4-17
databits
4-17
parity
4-18
speed
4-18
stopbits
4-19
disconnect
4-19
show line
4-20
一般コマンド
enable
4-21
4-21
disable
4-22
configure
4-22
show history
4-23
reload
4-23
end
4-24
exit
4-24
quit
4-25
システム管理コマンド
デバイス指定コマンド
prompt
hostname
switch renumber
ユーザーアクセスコマンド
username
4-26
4-26
4-27
4-27
4-28
4-28
enable password
4-29
IP フィルタコマンド
management
4-30
4-30
show management
4-31
ウェブサーバーコマンド
ip http port
viii
4-26
4-32
4-32
ip http server
4-32
ip http secure-server
4-33
ip http secure-port
4-34
Telnet サーバーコマンド
ip telnet server
4-35
4-35
セキュアシェルコマンド
4-35
目次
ip ssh server
4-38
ip ssh timeout
4-38
ip ssh authentication-retries
4-39
ip ssh server-key size
4-40
delete public-key
4-40
ip ssh crypto host-key generate
4-41
ip ssh crypto zeroize
4-41
ip ssh save host-key
4-42
show ip ssh
4-42
show ssh
4-43
show public-key
4-44
イベントロギングコマンド
logging on
4-45
4-45
logging history
4-46
logging host
4-47
logging facility
4-47
logging trap
4-48
clear log
4-48
show logging
4-49
show log
4-50
SMTP アラートコマンド
logging sendmail host
4-51
4-51
logging sendmail level
4-52
logging sendmail source-email
4-52
logging sendmail destination-email
4-53
logging sendmail
4-53
show logging sendmail
4-54
タイムコマンド
sntp client
4-54
4-55
sntp server
4-56
sntp poll
4-56
show sntp
4-57
clock timezone
4-57
calendar set
4-58
show calendar
4-58
システムステータスコマンド
show startup-config
show running-config
4-59
4-59
4-61
ix
目次
show system
4-62
show users
4-63
show version
4-64
フレームサイズコマンド
jumbo frame
4-65
4-65
フラッシュ / ファイルコマンド
copy
4-66
4-66
delete
4-69
dir
4-69
whichboot
4-70
boot system
4-71
認証コマンド
認証シーケンス
authentication login
authentication enable
RADIUS クライアント
radius-server host
x
4-72
4-72
4-72
4-73
4-74
4-74
radius-server port
4-75
radius-server key
4-75
radius-server retransmit
4-76
radius-server timeout
4-76
show radius-server
4-77
TACACS+ クライアント
tacacs-server host
4-77
4-78
tacacs-server port
4-78
tacacs-server key
4-78
show tacacs-server
4-79
ポートセキュリティコマンド
port security
4-79
4-80
802.1X ポート認証
dot1x system-auth-control
4-81
4-82
dot1x default
4-82
dot1x max-req
4-82
dot1x port-control
4-83
dot1x operation-mode
4-83
dot1x re-authenticate
4-84
dot1x re-authentication
4-84
dot1x timeout quiet-period
4-85
目次
dot1x timeout re-authperiod
4-85
dot1x timeout tx-period
4-85
show dot1x
4-86
アクセス制御リストコマンド
IP ACL
access-list ip
4-89
4-91
4-91
permit、 deny （標準 ACL）
4-92
permit、 deny （拡張 ACL）
show ip access-list
4-93
4-95
access-list ip mask-precedence
4-95
mask (IP ACL)
4-96
show access-list ip mask-precedence
4-99
ip access-group
4-100
show ip access-group
4-100
MAC ACL
4-101
access-list mac
4-101
permit、 deny (MAC ACL)
show mac access-list
4-102
4-103
access-list mac mask-precedence
4-104
mask (MAC ACL)
4-105
show access-list mac mask-precedence
4-107
mac access-group
4-107
show mac access-group
4-108
ACL 情報
show access-list
show access-group
SNMP コマンド
snmp-server
4-108
4-108
4-109
4-110
4-110
show snmp
4-111
snmp-server community
4-112
snmp-server contact
4-112
snmp-server location
4-113
snmp-server host
4-113
snmp-server enable traps
4-116
snmp-server engine-id
4-117
show snmp engine-id
4-118
snmp-server view
4-118
show snmp view
4-119
xi
目次
snmp-server group
4-121
snmp-server user
4-122
show snmp user
DHCP コマンド
4-124
4-125
DHCP クライアント
ip dhcp client-identifier
4-125
4-125
ip dhcp restart client
4-126
DHCP リレー
ip dhcp restart relay
4-127
4-127
ip dhcp relay server
4-128
DHCP サーバー
service dhcp
xii
4-120
show snmp group
4-129
4-130
ip dhcp excluded-address
4-130
ip dhcp pool
4-131
network
4-131
default-router
4-132
domain-name
4-133
dns-server
4-133
next-server
4-134
bootfile
4-134
netbios-name-server
4-135
netbios-node-type
4-135
lease
4-136
host
4-136
client-identifier
4-137
hardware-address
4-138
clear ip dhcp binding
4-139
show ip dhcp binding
4-139
DNS コマンド
ip host
4-141
4-141
clear host
4-142
ip domain-name
4-142
ip domain-list
4-143
ip name-server
4-144
ip domain-lookup
4-145
show hosts
4-146
show dns
4-146
目次
show dns cache
4-147
clear dns cache
4-147
インターフェースコマンド
interface
4-148
4-148
description
4-149
speed-duplex
4-149
negotiation
4-150
capabilities
4-151
flowcontrol
4-152
media-type
4-153
shutdown
4-153
switchport broadcast packet-rate
4-154
clear counters
4-154
show interfaces status
4-155
show interfaces counters
4-156
show interfaces switchport
4-157
ミラーポートコマンド
port monitor
4-159
4-159
show port monitor
4-160
レートリミットコマンド
rate-limit
4-161
4-161
リンクアグレゲーションコマンド
channel-group
4-162
4-163
lacp
4-164
lacp system-priority
4-165
lacp admin-key （イーサネットインターフェース）
4-166
lacp admin-key （ポートチャネル）
lacp port-priority
4-166
4-167
show lacp
4-168
アドレステーブルコマンド
mac-address-table static
4-172
4-172
clear mac-address-table dynamic
4-173
show mac-address-table
4-174
mac-address-table aging-time
4-175
show mac-address-table aging-time
4-175
スパニングツリーコマンド
spanning-tree
spanning-tree mode
4-176
4-177
4-177
xiii
目次
spanning-tree forward-time
4-179
spanning-tree hello-time
4-179
spanning-tree max-age
4-180
spanning-tree priority
4-180
spanning-tree pathcost method
4-181
spanning-tree transmission-limit
4-181
spanning-tree mst-configuration
4-182
mst vlan
4-182
mst priority
4-183
name
4-184
revision
4-184
max-hops
4-185
spanning-tree spanning-disabled
4-186
spanning-tree cost
4-186
spanning-tree port-priority
4-187
spanning-tree edge-port
4-188
spanning-tree portfast
4-188
spanning-tree link-type
4-189
spanning-tree mst cost
4-190
spanning-tree mst port-priority
4-191
spanning-tree protocol-migration
4-191
show spanning-tree
4-192
show spanning-tree mst configuration
4-194
VLAN コマンド
VLAN グループ編集
vlan database
vlan
VLAN インターフェース構成
interface vlan
xiv
4-195
4-195
4-195
4-196
4-197
4-197
switchport mode
4-198
switchport acceptable-frame-types
4-198
switchport ingress-filtering
4-199
switchport native vlan
4-200
switchport allowed vlan
4-200
switchport forbidden vlan
4-201
VLAN 情報表示
show vlan
4-202
4-202
プライベート VLAN の構成
4-203
目次
pvlan
4-203
show pvlan
4-204
プロトコルベース VLAN の構成
4-204
protocol-vlan protocol-group （グループ構成）
4-205
protocol-vlan protocol-group （インターフェース構成）
show protocol-vlan protocol-group
4-206
4-207
show interfaces protocol-vlan protocol-group
4-207
GVRP およびブリッジ拡張コマンド
bridge-ext gvrp
4-208
4-208
show bridge-ext
4-209
switchport gvrp
4-209
show gvrp configuration
4-210
garp timer
4-210
show garp timer
4-211
プライオリティコマンド
4-212
プライオリティコマンド（レイヤー 2）
queue mode
4-212
4-213
switchport priority default
4-213
queue bandwidth
4-214
queue cos-map
4-215
show queue mode
4-216
show queue bandwidth
4-217
show queue cos-map
4-217
プライオリティコマンド（レイヤー 3 および 4）
4-218
map ip port （グローバルコンフィギュレーション）
4-218
map ip port （インターフェースコンフィギュレーション）
4-219
map ip precedence （グローバルコンフィギュレーション）
4-219
map ip precedence （インターフェースコンフィギュレーション）
4-220
map ip dscp （グローバルコンフィギュレーション）
4-221
map ip dscp ( インターフェースコンフィギュレーション )
show map ip port
4-221
4-222
show map ip precedence
4-223
show map ip dscp
4-224
QoS （サービス品質）コマンド
class-map
4-225
4-226
match
4-227
policy-map
4-228
class
4-229
xv
目次
set
4-230
police
4-230
service-policy
4-231
show class-map
4-232
show policy-map
4-232
show policy-map interface
4-233
マルチキャストフィルタリングコマンド
IGMP スヌーピングコマンド
ip igmp snooping
4-234
4-234
ip igmp snooping vlan static
4-235
ip igmp snooping version
4-235
show ip igmp snooping
4-236
show mac-address-table multicast
4-237
IGMP クエリーコマンド（レイヤー 2）
ip igmp snooping querier
4-237
4-238
ip igmp snooping query-count
4-238
ip igmp snooping query-interval
4-239
ip igmp snooping query-max-response-time
4-239
ip igmp snooping router-port-expire-time
4-240
スタティックマルチキャストルーティングコマンド
ip igmp snooping vlan mrouter
show ip igmp snooping mrouter
IGMP コマンド（レイヤー 3）
ip igmp
4-241
4-241
4-242
4-242
4-243
ip igmp robustval
4-243
ip igmp query-interval
4-244
ip igmp max-resp-interval
4-245
ip igmp last-memb-query-interval
4-245
ip igmp version
4-246
show ip igmp interface
4-247
clear ip igmp group
4-247
show ip igmp groups
4-248
IP インターフェースコマンド
4-249
基本 IP 構成
ip address
xvi
4-234
4-249
4-249
ip default-gateway
4-251
show ip interface
4-251
show ip redirects
4-252
目次
ping
アドレス解決プロトコル（ARP）
arp
4-252
4-253
4-254
arp-timeout
4-254
clear arp-cache
4-255
show arp
4-255
ip proxy-arp
4-256
IP ルーティングコマンド
グローバルルーティングコンフィギュレーション
ip routing
4-257
4-257
4-257
ip route
4-258
clear ip route
4-259
show ip route
4-259
show ip host-route
4-260
show ip traffic
4-261
ルーティング情報プロトコル（RIP）
router rip
4-262
4-262
timers basic
4-263
network
4-264
neighbor
4-264
version
4-265
ip rip receive version
4-266
ip rip send version
4-267
ip split-horizon
4-268
ip rip authentication key
4-268
ip rip authentication mode
4-269
show rip globals
4-270
show ip rip
4-270
Open Shortest Path First (OSPF)
4-272
router ospf
4-273
router-id
4-274
compatible rfc1583
4-274
default-information originate
4-275
timers spf
4-276
area range
4-277
area default-cost
4-277
summary-address
4-278
redistribute
4-279
xvii
目次
network area
4-280
area stub
4-281
area nssa
4-282
area virtual-link
4-283
ip ospf authentication
4-285
ip ospf authentication-key
4-286
ip ospf message-digest-key
4-287
ip ospf cost
4-288
ip ospf dead-interval
4-288
ip ospf hello-interval
4-289
ip ospf priority
4-289
ip ospf retransmit-interval
4-290
ip ospf transmit-delay
4-291
show ip ospf
4-291
show ip ospf border-routers
4-292
show ip ospf database
4-293
show ip ospf interface
4-300
show ip ospf neighbor
4-301
show ip ospf summary-address
4-302
show ip ospf virtual-links
4-302
マルチキャストルーティングコマンド
スタティックマルチキャストルーティングコマンド
ip igmp snooping vlan mrouter
show ip igmp snooping mrouter
一般マルチキャストルーティングコマンド
ip multicast-routing
show ip mroute
DVMRP マルチキャストルーティングコマンド
router dvmrp
xviii
4-303
4-303
4-303
4-304
4-305
4-305
4-305
4-307
4-307
probe-interval
4-308
nbr-timeout
4-309
report-interval
4-309
flash-update-interval
4-310
prune-lifetime
4-310
default-gateway
4-311
ip dvmrp
4-311
ip dvmrp metric
4-312
clear ip dvmrp route
4-313
目次
show router dvmrp
4-313
show ip dvmrp route
4-314
show ip dvmrp neighbor
4-315
show ip dvmrp interface
4-315
PIM-DM マルチキャストルーティングコマンド
router pim
ip pim dense-mode
4-316
4-316
4-317
ip pim hello-interval
4-317
ip pim hello-holdtime
4-318
ip pim trigger-hello-interval
4-319
ip pim join-prune-holdtime
4-319
ip pim graft-retry-interval
4-320
ip pim max-graft-retries
4-320
show router pim
4-321
show ip pim interface
4-321
show ip pim neighbor
4-322
ルータ冗長性コマンド
仮想ルータ冗長性プロトコル（VRRP）コマンド
vrrp ip
4-323
4-323
4-324
vrrp authentication
4-325
vrrp priority
4-325
vrrp timers advertise
4-326
vrrp preempt
4-327
show vrrp
4-328
show vrrp interface
4-329
show vrrp router counters
4-330
show vrrp interface counters
4-330
clear vrrp router counters
4-331
clear vrrp interface counters
4-331
付録Ａ :
ソフトウェア仕様
Ａ -1
ソフトウェア機能
Ａ -1
管理機能
Ａ -2
規格
Ａ -3
MIB （管理情報ベース）
Ａ -4
xix
目次
付録Ｂ :
Ｂ -1
管理インターフェースへのアクセスに関する問題
Ｂ -1
システムログの使用
Ｂ -2
索　引
xx
トラブルシューティング
表
表 1-1. 主要機能
1-1
表 1-2. システムデフォルト
1-7
表 3-1. ウェブページの構成ボタン
3-3
表 3-2. スイッチのメインメニュー
表 3-3. ロギングレベル
3-4
3-29
表 3-4. SNMPv3 のセキュリティモデルとレベル
3-38
表 3-5. サポートされている通知メッセージ
3-49
表 3-6. HTTPS のシステムサポート
3-58
表 3-7. 802.1X 統計情報
3-72
表 3-8. LACP ポートカウンタ
3-98
表 3-9. LACP 内部コンフィギュレーション情報
3-100
表 3-10. LACP 隣接機器コンフィギュレーション情報
3-102
表 3-11. ポート統計情報
3-107
表 3-12. イグレスキューへ CoS の値のマップ
3-151
表 3-13. CoS プライオリティレベル
3-151
表 3-14. IP 優先度のマップ
3-156
表 3-15. DSCP プライオリティのマップ
3-157
表 3-16. アドレス解決プロトコル
3-210
表 3-17. ARP 統計情報
3-215
表 3-18. IP 統計情報
3-217
表 3-19. ICMP 統計情報
3-219
表 3-20. UDP 統計情報
3-221
表 3-21. TCP 統計情報
3-222
表 3-22. RIP 情報および統計情報
3-232
表 4-1. 一般コマンドモード
4-6
表 4-2. コンフィギュレーションコマンドモード
4-8
表 4-3. キーストロークコマンド
4-9
表 4-4. コマンドグループインデックス
4-10
表 4-5. ラインコマンド
4-12
表 4-6. 一般コマンド
4-21
表 4-7. システム管理コマンド
4-26
表 4-8. デバイス指定コマンド
4-26
表 4-9. ユーザーアクセスコマンド
4-28
表 4-10. デフォルトのログイン設定
4-28
表 4-11. IP フィルタコマンド
4-30
表 4-12. ウェブサーバーコマンド
4-32
xxi
表
表 4-13. HTTPS のシステムサポート
4-33
表 4-14. Telnet サーバーコマンド
4-35
表 4-15. セキュアシェルコマンド
4-36
表 4-16. show ssh - フィールドの説明
4-43
表 4-17. イベントロギングコマンド
4-45
表 4-18. ロギングレベル
4-46
表 4-19. show logging flash/ram - フィールドの説明
4-49
表 4-20. show logging trap - フィールドの説明
4-50
表 4-21. SMTP アラートコマンド
4-51
表 4-22. タイムコマンド
4-54
表 4-23. システムステータスコマンド
4-59
表 4-24. フレームサイズコマンド
4-65
表 4-25. フラッシュ / ファイルコマンド
4-66
表 4-26. ファイルディレクトリ情報
4-70
表 4-27. 認証コマンド
4-72
表 4-28. 認証シーケンスコマンド
4-72
表 4-29. RADIUS クライアントコマンド
4-74
表 4-30. TACACS+ クライアントコマンド
4-77
表 4-31. ポートセキュリティコマンド
4-79
表 4-32. 802.1X ポート認証コマンド
4-81
表 4-33. アクセス制御リストコマンド
4-90
表 4-34. IP ACL コマンド
4-91
表 4-35. MAC ACL コマンド
4-101
表 4-36. ACL 情報コマンド
4-108
表 4-37. SNMP コマンド
4-110
表 4-38. show snmp engine-id - フィールドの説明
4-118
表 4-39. show snmp view - フィールドの説明
4-119
表 4-40. show snmp group - フィールドの説明
4-122
表 4-41. show snmp user - フィールドの説明
4-124
表 4-42. DHCP コマンド
4-125
表 4-43. DHCP クライアントコマンド
4-125
表 4-44. DHCP リレーコマンド
4-127
表 4-45. DHCP サーバーコマンド
4-129
表 4-46. DNS コマンド
4-141
表 4-47. show dns cache - フィールドの説明
4-147
表 4-48. インターフェースコマンド
4-148
表 4-49. show interfaces switchport - フィールドの説明
4-158
表 4-50. ミラーポートコマンド
4-159
xxii
表
表 4-51. レートリミットコマンド
4-161
表 4-52. リンクアグレゲーションコマンド
4-162
表 4-53. show lacp counters - フィールドの説明
4-168
表 4-54. show lacp internal - フィールドの説明
4-169
表 4-55. show lacp neighbors - フィールドの説明
4-170
表 4-56. show lacp sysid - フィールドの説明
4-171
表 4-57. アドレステーブルコマンド
4-172
表 4-58. スパニングツリーコマンド
4-176
表 4-59. VLAN コマンド
4-195
表 4-60. VLAN グループ編集コマンド
4-195
表 4-61. VLAN インターフェースコンフィギュレーションコマンド
4-197
表 4-62. VLAN 情報表示コマンド
4-202
表 4-63. プライベート VLAN コマンド
4-203
表 4-64. プロトコルベース VLAN コマンド
4-204
表 4-65. GVRP およびブリッジ拡張コマンド
4-208
表 4-66. プライオリティコマンド
4-212
表 4-67. プライオリティコマンド（レイヤー 2）
4-212
表 4-68. デフォルトの CoS プライオリティレベル
4-215
表 4-69. プライオリティコマンド（レイヤー 3 および 4）
4-218
表 4-70. IP 優先度の CoS 値へのマッピング
4-220
表 4-71. IP DSCP の CoS 値へのマッピング
4-222
表 4-72. QoS （サービス品質）コマンド
4-225
表 4-73. マルチキャストフィルタリングコマンド
4-234
表 4-74. IGMP スヌーピングコマンド
4-234
表 4-75. IGMP クエリーコマンド（レイヤー 2）
4-237
表 4-76. スタティックマルチキャストルーティングコマンド
4-241
表 4-77. IGMP コマンド（レイヤー 3）
4-242
表 4-78. show ip igmp groups - フィールドの説明
4-248
表 4-79. IP インターフェースコマンド
4-249
表 4-80. 基本 IP コンフィギュレーションコマンド
4-249
表 4-81. アドレス解決プロトコル（ARP）コマンド
4-253
表 4-82. IP ルーティングコマンド
4-257
表 4-83. グローバルルーティングコンフィギュレーションコマンド
4-257
表 4-84. show ip route - フィールドの説明
4-260
表 4-85. show ip host-route - フィールドの説明
4-260
表 4-86. ルーティング情報プロトコルコマンド
4-262
表 4-87. show rip globals - フィールドの説明
4-270
表 4-88. show ip rip - フィールドの説明
4-271
xxiii
表
表 4-89. Open Shortest Path First (OSPF) コマンド
4-272
表 4-91. show ip ospf border-routers - フィールドの説明
4-292
表 4-90. show ip ospf - フィールドの説明
4-292
表 4-92. show ip ospf database - フィールドの説明
4-294
表 4-94. show ip ospf database-summary - フィールドの説明
4-295
表 4-93. show ip ospf asbr-summary - フィールドの説明
4-295
表 4-95. show ip ospf external - フィールドの説明
4-296
表 4-96. show ip ospf network - フィールドの説明
4-297
表 4-97. show ip ospf router - フィールドの説明
4-298
表 4-98. show ip ospf summary - フィールドの説明
4-299
表 4-99. show ip ospf interface - フィールドの説明
4-300
表 4-100.show ip ospf neighbor - フィールドの説明
4-301
表 4-101.show ip ospf virtual-links - フィールドの説明
4-302
表 4-102.マルチキャストルーティングコマンド
4-303
表 4-103.スタティックマルチキャストルーティングコマンド
4-303
表 4-104.一般マルチキャストルーティングコマンド
4-305
表 4-105.show ip mroute - フィールドの説明
4-306
表 4-106.DVMRP マルチキャストルーティングコマンド
4-307
表 4-107.show ip dvmrp route - フィールドの説明
4-314
表 4-108.show ip dvmrp neighbor - フィールドの説明
4-315
表 4-109.PIM-DM マルチキャストルーティングコマンド
4-316
表 4-110.show ip pim neighbor - フィールドの説明
4-322
表 4-111.ルータ冗長性コマンド
4-323
表 4-112.VRRP コマンド
4-323
表 4-113.show vrrp - フィールドの説明
4-328
表 4-114.show vrrp brief - フィールドの説明
4-329
表Ｂ -1. トラブルシューティング一覧表
xxiv
Ｂ -1
図
図 3-1. ホームページ
3-2
図 3-2. フロントパネルのインジケータ
3-3
図 3-3. システム情報
3-12
図 3-4. スイッチ情報
3-14
図 3-5. ブリッジ拡張コンフィギュレーションの表示
3-15
図 3-6. ジャンボフレームのサポートの構成
3-16
図 3-7. IP インターフェースの構成 - 手動
3-18
図 3-8. デフォルトゲートウェイ
3-18
図 3-9. IP インターフェースの構成 - DHCP
3-19
図 3-10. ファームウェアのコピー
3-21
図 3-11. スタートアップコードの設定
3-21
図 3-12. ファイルの削除
3-22
図 3-13. スタートアップ用のコンフィギュレーション設定のダウンロード
3-24
図 3-14. スタートアップコンフィギュレーション設定の設定
3-24
図 3-15. コンソールポートの構成
3-26
図 3-16. Telnet インターフェースの構成
3-28
図 3-17. システムログ
3-30
図 3-18. リモートログ
3-31
図 3-19. ログの表示
3-32
図 3-20. SMTP アラートの有効化と構成
3-33
図 3-21. スタックの再番号付け
3-34
図 3-22. システムのリセット
3-35
図 3-23. SNTP の構成
3-36
図 3-24. クロックのタイムゾーン
3-37
図 3-25. SNMP エージェントの有効化
3-39
図 3-26. SNMP コミュニティストリングの構成
3-40
図 3-27. SNMP トラップマネージャの構成
3-42
図 3-28. SNMPv3 エンジン ID の設定
3-43
図 3-29. エンジン ID の設定
3-44
図 3-30. SNMPv3 ユーザーの構成
3-45
図 3-31. リモート SNMPv3 ユーザーの構成
3-47
図 3-32. SNMPv3 グループの構成
3-51
図 3-33. SNMPv3 ビューの構成
3-52
図 3-34. ユーザーアカウント
3-54
図 3-35. 認証サーバー設定
3-57
図 3-36. HTTPS 設定
3-59
xxv
図
図 3-37. SSH ホストキー設定
3-62
図 3-38. SSH サーバー設定
3-64
図 3-39. ポートセキュリティ
3-66
図 3-40. 802.1X グローバル情報
3-68
図 3-41. 802.1X グローバル構成
3-69
図 3-42. 802.1X ポートの構成
3-70
図 3-43. 802.1X ポート統計情報
3-72
図 3-44. IP フィルタ
3-74
図 3-45. ACL タイプの選択
3-76
図 3-46. ACL の構成 - 標準 IP
3-77
図 3-47. ACL の構成 - 拡張 IP
3-79
図 3-48. ACL の構成 - MAC
3-81
図 3-49. ACL マスクタイプの選択
3-82
図 3-50. ACL マスクの構成 - IP
3-84
図 3-51. ACL マスクの構成 - MAC
3-85
図 3-52. ポートへの ACL のバインド
3-87
図 3-53. ポート - ポート情報
3-88
図 3-54. ポート - ポートの構成
3-91
図 3-55. スタティックトランクの構成
3-94
図 3-56. LACP トランクの構成
3-95
図 3-57. LACP - アグレゲーションポート
3-97
図 3-58. LACP - ポートカウンタ情報
3-99
図 3-59. LACP - ポート内部情報
3-101
図 3-60. LACP - ポート隣接機器情報
3-102
図 3-61. ポートブロードキャスト制御
3-104
図 3-62. ミラーポートの構成
3-105
図 3-63. レートリミットの構成
3-106
図 3-64. ポート統計情報
3-110
図 3-65. スタティックアドレス
3-112
図 3-66. ダイナミックアドレス
3-113
図 3-67. アドレスエージング
3-114
図 3-68. STA 情報
3-117
図 3-69. STA のグローバルな構成
3-121
図 3-70. STA ポート情報
3-124
図 3-71. STA ポートの構成
3-127
図 3-72. MSTP VLAN の構成
3-129
図 3-73. MSTP ポート情報
3-131
図 3-74. MSTP ポートの構成
3-133
xxvi
図
図 3-75. GVRP のグローバルな有効化
3-137
図 3-76. VLAN 基本情報
3-137
図 3-77. VLAN の現在のテーブル
3-138
図 3-78. VLAN スタティックリスト - VLAN の構築
3-140
図 3-79. VLAN スタティックテーブル - スタティックメンバーの追加
3-141
図 3-80. ポート別 VLAN スタティックメンバーシップ
3-142
図 3-81. VLAN ポートの構成
3-144
図 3-82. プライベート VLAN のステータス
3-145
図 3-83. プライベート VLAN のリンクステータス
3-146
図 3-84. プロトコル VLAN の構成
3-147
図 3-85. プロトコル VLAN ポートの構成
3-148
図 3-86. デフォルトポートプライオリティ
3-150
図 3-87. トラフィッククラス
3-152
図 3-88. キューモード
3-153
図 3-89. キュースケジューリング
3-154
図 3-90. IP 優先度 /DSCP プライオリティのステータス
3-155
図 3-91. IP 優先度プライオリティ
3-156
図 3-92. IP DSCP プライオリティ
3-158
図 3-93. IP ポートプライオリティのステータス
3-159
図 3-94. IP ポートプライオリティ
3-159
図 3-95. クラスマップの構成
3-163
図 3-96. ポリシーマップの構成
3-166
図 3-97. サービスポリシーの設定
3-167
図 3-98. IGMP の構成
3-171
図 3-99. マルチキャストルータポート情報
3-172
図 3-100.スタティックマルチキャストルータポートの構成
3-173
図 3-101.IP マルチキャスト登録テーブル
3-174
図 3-102.IGMP メンバーポートテーブル
3-175
図 3-103.IGMP インターフェースの設定
3-178
図 3-104.IGMP グループメンバーシップ
3-180
図 3-105.DNS の全般構成
3-182
図 3-106.DNS スタティックホストテーブル
3-184
図 3-107.DNS キャッシュ
3-185
図 3-108.DHCP リレーの構成
3-187
図 3-109.DHCP サーバーの全般構成
3-189
図 3-110.DHCP サーバープールの構成
3-191
図 3-111.DHCP サーバープール - ネットワークの構成
3-192
図 3-112.DHCP サーバープール - ホストの構成
3-193
xxvii
図
図 3-113.DHCP サーバー - IP バインディング
3-194
図 3-114.VRRP グループの構成
3-199
図 3-115.VRRP グループの詳細な構成
3-200
図 3-116.VRRP グローバル統計情報
3-201
図 3-117.VRRP グループ統計情報
3-203
図 3-118.IP グローバル設定
3-207
図 3-119.IP ルーティングインターフェース
3-209
図 3-120.ARP 全般
3-211
図 3-121.ARP スタティックアドレス
3-212
図 3-122.ARP ダイナミックアドレス
3-213
図 3-123.ARP のその他のアドレス
3-214
図 3-124.ARP 統計情報
3-215
図 3-125.IP 統計情報
3-218
図 3-126.ICMP 統計情報
3-220
図 3-127.UDP 統計情報
3-221
図 3-128.TCP 統計情報
3-222
図 3-129.IP スタティックルート
3-223
図 3-130.IP ルーティングテーブル
3-224
図 3-131.RIP の全般設定
3-227
図 3-132.RIP ネットワークアドレス
3-228
図 3-133.RIP インターフェース設定
3-231
図 3-134.RIP 統計情報
3-233
図 3-135.OSPF の全般構成
3-238
図 3-136.OSPF エリアの構成
3-241
図 3-137.OSPF 範囲の構成
3-243
図 3-138.OSPF インターフェースの構成
3-246
図 3-139.OSPF インターフェースの構成 - 詳細
3-247
図 3-140.OSPF バーチャルリンクの構成
3-249
図 3-141.OSPF ネットワークエリアアドレスの構成
3-251
図 3-142.OSPF サマリーアドレスの構成
3-253
図 3-143.OSPF 再配信の構成
3-255
図 3-144.OSPF NSSA の設定
3-256
図 3-145.OSPF リンクステートデータベース情報
3-258
図 3-146.OSPF 境界ルータ情報
3-259
図 3-147.OSPF 隣接機器情報
3-260
図 3-148.マルチキャストルーティングの全般設定
3-261
図 3-149.マルチキャストルーティングテーブル
3-263
図 3-150.DVMRP の全般設定
3-268
xxviii
図
図 3-151.DVMRP インターフェース設定
3-269
図 3-152.DVMRP 隣接機器情報
3-270
図 3-153.DVMRP ルーティングテーブル
3-272
図 3-154.PIM-DM の全般設定
3-273
図 3-155.PIM-DM インターフェース設定
3-275
図 3-156.PIM-DM インターフェース情報
3-276
図 3-157.PIM-DM 隣接機器情報
3-277
xxix
図
xxx
第 1 章 : はじめに
このスイッチは、レイヤー 2 スイッチングおよびレイヤー 3 ルーティングのための機能を幅
広く備えています。これには、このマニュアルに記載されている機能を構成するための管理
エージェントが含まれます。このスイッチに搭載されている大部分の機能にはデフォルトの
コンフィギュレーションを使用できます。ただし、実際のネットワーク環境でスイッチの性
能を最大限に引き出すには、多くのオプションを構成する必要があります。
主要機能
表 1-1. 主要機能
機能
説明
コンフィギュレーションの
バックアップと復元
TFTP サーバーへのバックアップ
認証
コンソール、Telnet、ウェブ – ユーザー名 / パスワード、RADIUS、
TACACS+
ウェブ – SSL/HTTPS、 Telnet – SSH
SNMP v1/2c - コミュニティストリング
SNMP バージョン 3 – MD5 または SHA パスワード
ポート – IEEE 802.1X、 MAC アドレスフィルタリング
ACL （アクセス制御リスト）
最大 32 の IP ACL または MAC ACL をサポート
DHCP クライアント、リレー、
およびサーバー
サポート
DNS
クライアント、プロキシサービス
ポートの構成
スピード、二重モード
レートリミッティング
ポートごとの入力および出力レートリミッティング
ポートミラーリング
単一の分析ポートにミラーリングされている 1 つ以上のポート
ポートトランキング
スタティックトランキングまたはダイナミックトランキング
（LACP）を使用して最大 32 本のトランクをサポート
ブロードキャストストーム制御サポート
Address Table
フォワーディングテーブルに最大 16 K の MAC アドレス、1024
個のスタティック MAC アドレス
ARP キャッシュに最大 8K のエントリ、ルーティングテーブル
に 64K の IP エントリ、 256 個のスタティック IP ルート
IEEE 802.1D ブリッジ
ダイナミックデータスイッチングおよびアドレス学習をサ
ポート
ストアアンドフォワード
（Store-and-Forward）スイッチング
サポートすることにより、不良フレームを排除しつつワイヤス
ピードのスイッチングを実現
スパニングツリーアルゴリズム標準 STP、高速スパニングツリープロトコル（RSTP）、およ
び複数スパニングツリー（MSTP）をサポート
1-1
1
はじめに
表 1-1. 主要機能（続き）
機能
説明
バーチャル LAN
最大 255 個の IEEE 802.1Q タグ VLAN、ポートベース VLAN、
プロトコルベース VLAN、またはプライベート VLAN
トラフィックプライオリティ
設定
デフォルトのポートプライオリティ、トラフィッククラスマッ
ピング、キュースケジューリング、 IP 優先度または差別化サー
ビスコードポイント（DSCP）、および TCP/UDP ポート
サービス品質
差別化サービス（DiffServ）をサポート
ルータ冗長性
バーチャルルータ冗長プロトコル（VRRP）によりルータバッ
クアップを提供
IP ルーティング
ルーティング情報プロトコル（RIP）、オープンショーテスト
パスファースト（OSPF）、スタティックルート
ARP
スタティックアドレスおよびダイナミックアドレスの構成、
プロキシ ARP
マルチキャストフィルタリング
IGMP スヌーピングおよびクエリー（レイヤー 2）、 IGMP （レイ
ヤー 3）をサポート
マルチキャストルーティング
DVMRP および PIM-DM をサポート
ソフトウェア機能の説明
このスイッチは高度な性能強化機能を幅広く備えています。ブロードキャストストーム抑制
機能では、ブロードキャストトラフィックストームによるネットワークの性能低下を防止で
きます。また、タグなし（ポートベース） VLAN、タグ付き VLAN、およびプロトコルベース
VLAN に加え、 GVRP による VLAN 自動登録がサポートされるため、トラフィックセキュリ
ティが確保され、ネットワーク帯域を有効利用できます。 CoS （サービスクラス）プライオ
リティキューイングでは、リアルタイムマルチメディアデータをネットワークで転送する際
の遅延を最小限に抑えることができます。また、マルチキャストフィルタリングおよびルー
ティングにより、リアルタイムネットワークアプリケーションがサポートされます。次に、
いくつかの管理機能について簡潔に説明します。
コンフィギュレーションのバックアップおよび復元 – 現在のコンフィギュレーション設定を
TFTP サーバーに保存し、後でこのファイルをダウンロードしてスイッチのコンフィギュレー
ション設定を復元することができます。
認証 – このスイッチでは、コンソールポート、 Telnet、またはウェブブラウザによる管理ア
クセスを認証できます。ユーザー名とパスワードはローカルに構成することも、リモートの
認証サーバー（RADIUS や TACACS+ など）で照合することもできます。 IEEE 802.1X プロ
トコルによるポートベースの認証もサポートされます。このプロトコルでは、 EAPOL
（Extensible Authentication Protocol over LAN）によって 802.1X クライアントにユーザー資格
情報が要求されます。その後、スイッチと認証サーバー間で EAP が使用され、認証サーバー
（RADIUS サーバー）でクライアントのネットワークアクセス権が照合されます。
その他の認証オプションとして、ウェブによるセキュア管理アクセスのための HTTPS、Telnet
相当の接続によるセキュア管理アクセスのための SSH、 SNMP バージョン 3、
SNMP/ ウェブ /Telnet による管理アクセスのための IP アドレスフィルタリング、ポートア
クセスのための MAC アドレスフィルタリングなどがあります。
1-2
ソフトウェア機能の説明
1
ACL （アクセス制御リスト） – ACL により、 IP フレームのパケットフィルタリング（アドレ
ス、プロトコル、 TCP/UDP ポート番号、または TCP 制御コードに基づく）、または任意のフ
レームのパケットフィルタリング（MAC アドレスまたはイーサネットタイプに基づく）が
提供されます。 ACL を使用すると、不要なネットワークトラフィックをブロックすることで
性能を改善できるだけでなく、特定のネットワークリソースやプロトコルへのアクセスを制
限することでセキュリティ制御を実装できます。
DHCP サーバーおよび DHCP リレー – DHCP サーバーにより、ホストデバイスに IP アドレ
スが割り当てられます。 DHCP ではブロードキャストメカニズムが使用されるため、 DHCP
サーバーと DHCP クライアントは物理的に同一のサブネットに属している必要があります。
すべてのサブネットに DHCP サーバーを配備することは実際的ではないため、 DHCP リレー
もサポートされます。これにより、別のネットワーク上の DHCP サーバーからローカルクラ
イアントを動的に構成できるようになります。
ポートの構成 – 特定ポートで使用されるスピード、二重モードを手動で構成したり、自動ネ
ゴシエーションによって接続デバイスの接続設定を検知することができます。スイッチ接続
のスループットを倍加するために、ポートはできる限り全二重モードで使用してください。
レートリミッティング – この機能により、インターフェースで送受信されるトラフィックの
最大レートが制御されます。ネットワークに出入りするトラフィックを制限するには、ネッ
トワークエッジに位置する各インターフェースにレートリミッティングを構成します。レー
トリミット内のトラフィックは送信されますが、許容可能なトラフィック量を超えるパケッ
トは破棄されます。
ポートミラーリング – このスイッチでは、処理に影響を及ぼさない方法で、任意のポートか
ら送信されるトラフィックをモニターポートにミラーリングできます。このポートにプロト
コルアナライザまたは RMON プローブを接続し、トラフィック分析を実行したり、接続の整
合性を検証することができます。
ポートトランキング – 複数のポートを 1 本のアグレゲート接続に統合することができます。
トランクは手動で設定することも、 IEEE 802.3-2002 （以前の IEEE 802.3ad）リンクアグレ
ゲーション制御プロトコル（LACP）を使用して動的に構成することもできます。ポートを追
加することで、どの接続でも全体のスループットが飛躍的に向上します。また、トランク内
の特定ポートで障害が発生した場合も負荷が引き継がれるため、冗長性を確保できます。こ
のスイッチでは、最大 32 本のトランクがサポートされます。
ブロードキャストストーム制御 – ブロードキャストストーム抑制機能により、ブロードキャ
ストトラフィックによるネットワークの性能低下を防止できます。ポートでこの機能を有効
にすると、ポートを通過するブロードキャストトラフィックのレベルが制限されます。ブロー
ドキャストトラフィックがあらかじめ定義されたしきい値を超えると、しきい値を下回るレ
ベルになるまでトラフィックが抑制されます。
スタティックアドレス – このスイッチ上の各インターフェースにスタティックアドレスを
割り当てることができます。スタティックアドレスは割り当てたインターフェースにバイン
ドされ、移動されることはありません。別のインターフェースで同じスタティックアドレス
が検知された場合、このアドレスは無視され、アドレステーブルに書き込まれません。スタ
ティックアドレスを使用して既知のホストへのアクセスを特定ポートに制限することで、
ネットワークセキュリティを確保できます。
IEEE 802.1D ブリッジ – このスイッチでは IEEE 802.1D トランスペアレントブリッジング
がサポートされます。学習したアドレスはアドレステーブルに保存され、この情報に基づい
てトラフィックのフィルタリングまたは転送が行われるため、データ交換がスムーズになり
ます。アドレステーブルには最大 16 K のアドレスを保存できます。
1-3
1
はじめに
ストアアンドフォワード（Store-and-Forward）スイッチング – このスイッチでは、別ポー
トへの転送前に各フレームがメモリーにコピーされます。これにより、すべてのフレームが
標準のイーサネットサイズになり、その精度は CRC （巡回冗長検査）によって確実に検証済
みの状態になります。また、不良フレームがネットワークに入って、帯域幅を浪費するのを
防ぎます。
輻輳ポートでのフレームの破棄を防ぐため、このスイッチにはフレームバッファリング用に
ES4625 に 2 MB、 ES4649 に 4 MB が用意されています。このバッファには輻輳ネットワー
クへの送信待ちパケットをキューイングできます。
スパニングツリーアルゴリズム – このスイッチでは、次のスパニングツリーアルゴリズム
がサポートされます。
スパニングツリープロトコル（STP、 IEEE 802.1D） – このプロトコルでは、一対の LAN セ
グメント間に冗長接続を 2 本以上確立することが可能なため、ループ検出とリカバリが提供
されます。セグメント間に複数の物理パスが存在する場合は、 1 つのパスが選択され、その他
すべてのパスは無効にされるため、ネットワーク上の任意の 2 台のステーション間にはルー
トが 1 つのみ存在します。これにより、ネットワークループの発生が防止されます。ただし、
選択されたパスに何らかの理由で障害が発生した際には、代替パスがアクティブになり、接
続は維持されます。
高速スパニングツリープロトコル（RSTP、 IEEE 802.1w） – このプロトコルにより、従来の
IEEE 802.1D STP 規格で 30 秒以上かかっていたネットワークトポロジ変更時のコンバー
ジェンス時間は約 3 ～ 5 秒に短縮されます。このプロトコルは STP に対する完全な代替プロ
トコルとして設計されていますが、接続デバイスから STP プロトコルメッセージが検知され
た場合はポートが自動的に STP 準拠モードに再構成されるため、従来の規格で動作している
スイッチとの相互運用も可能です。
複数スパニングツリープロトコル（MSTP、 IEEE 802.1s） – このプロトコルは RSTP が直接
拡張されたものです。 MSTP では、 VLAN ごとに独立したスパニングツリーを構築できます。
これにより、ネットワーク管理が容易になるほか、各領域のサイズが制限されるため、コン
バージェンス時間が RSTP よりさらに短縮されます。また、 VLAN メンバーがグループから
隔離されるような状況（場合によって IEEE 802.1D STP で発生）を防ぐことができます。
バーチャル LAN – このスイッチでは最大 255 個の VLAN がサポートされます。バーチャル
LAN は、ネットワークにおける物理的位置や接続ポイントに関係なく、同じコリジョンドメ
インを共有するネットワークノードの集合体です。このスイッチでは IEEE 802.1Q 規格に準
拠したタグ付き VLAN がサポートされます。 GVRP によって VLAN グループのメンバーを動
的に学習することも、特定の VLAN （複数可）に手動でポートを割り当てることもできます。
VLAN を構築することで、スイッチによって、ユーザーが割り当てられている VLAN グルー
プ内にトラフィックを制限することができます。ネットワークを VLAN に分割することによ
り、次のようなメリットが得られます。
• フラットネットワークの性能を著しく低下させるブロードキャストストームを防ぐこと
ができます。
• ノードの変更や移動の際に、ポートの VLAN メンバーシップをリモートで構成できるため、
ネットワーク接続を手動で変更するよりもネットワーク管理が容易になります。
• スイッチのルーティングサービスによって接続が明示的に定義されている場合を除き、すべ
てのトラフィックが送信元 VLAN に制限されるため、データセキュリティが確保されます。
• プライベート VLAN を使用して、トラフィックがデータポートとアップリンクポート間で
のみ送信されるよう制限することにより、同じ VLAN 内の隣接ポートを隔離できます。ま
た、構成する必要のある VLAN の総数を抑えることできます。
1-4
ソフトウェア機能の説明
1
• プロトコル VLAN を使用することにより、プロトコルタイプに基づいてトラフィックを指
定のインターフェースに制限できます。
トラフィックプライオリティ設定 – このスイッチでは、ストリクトプライオリティまたは
WRR （加重ラウンドロビン）キューイングによる 8 つのプライオリティキューを使用して、
必要なサービスレベルに基づいて各パケットにプライオリティが設定されます。また、エン
ドステーションアプリケーションからの入力に基づいて着信トラフィックのプライオリティ
を設定する際は、 IEEE 802.1p および 802.1Q タグが使用されます。これらの機能を使用する
と、遅延に敏感なデータやベストエフォートデータに対し、個別にプライオリティを設定する
ことができます。
このスイッチでは、アプリケーション要求に対応するために、レイヤー 3/4 トラフィックの
プライオリティを設定する一般的な方法もいくつかサポートされます。 IP フレームのタイプ
オブサービス（ToS）オクテットのプライオリティビットまたは TCP/UDP ポート番号に基
づいて、トラフィックのプライオリティを設定できます。これらのサービスが有効にされて
いる場合、スイッチによってこれらのプライオリティがサービスクラス値にマップされ、対
応する出力キューにトラフィックが送信されます。
IP ルーティング – このスイッチではレイヤー 3 IP ルーティングが提供されます。高いスルー
プットレートを維持するために、同一セグメント内で受渡しされるトラフィックは転送され、
異なるサブネットワーク間で受渡しされるトラフィックのみがルーティングされます。この
スイッチで提供されるワイヤスピードルーティングにより、ネットワークセグメントまたは
VLAN を容易にリンクできます。このとき、ボトルネックの解決や、一般に従来型ルータで必
要となる面倒な構成は必要ありません。
ユニキャストトラフィックのルーティングは、ルーティング情報プロトコル（RIP）および
オープンショーテストパスファースト（OSPF）プロトコルによってサポートされます。
RIP – このプロトコルでは、距離ベクトル型のアプローチによってルーティングが行われま
す。ルートは、概算送信コストとして使用される距離ベクトル、すなわちホップカウントが
最小になるように決定されます。
OSPF – このアプローチではリンクステートルーティングプロトコルによって最短パスツ
リーが構築され、このツリーに基づいてルーティングテーブルが作成されます。 OSPF では、
参加ルーターがネットワークの変化に対して事前かつ同時に対処し、 RIP よりも短時間で最
善ルートに収束するため、ネットワークの安定性が高まります。
ルータ冗長性 – バーチャルルータ冗長プロトコル（VRRP）では、バーチャル IP アドレスを
使用することによってプライマリルータおよび複数のバックアップルータがサポートされ
ます。バックアップルータは、マスタールータが障害になった場合に処理を引き継いだり、
トラフィック負荷を分散させるよう構成できます。このプロトコルの主な目的は、固定ゲー
トウェイが構成されているホストデバイスにおいて、プライマリゲートウェイが停止した場
合にネットワークコネクティビティを維持することです。
アドレス解決プロトコル – このスイッチでは、 ARP およびプロキシ ARP によって IP アドレ
スと MAC （ハードウェア）アドレス間の変換が行われます。スイッチがサポートする従来型
の ARP では、特定の IP アドレスに対応する MAC アドレスが見つけられます。これにより、
スイッチは IP アドレスによってルーティングを決定し、それに対応する MAC アドレスに
よってパケットをホップ間で転送することができます。 ARP キャッシュには、スタティック
エントリまたはダイナミックエントリを構成できます。
1-5
1
はじめに
プロキシ ARP では、ルーティングをサポートしていないホストが、別のネットワークまたは
サブネット上のデバイスの MAC アドレスを特定できます。ホストがリモートネットワーク
の ARP 要求を送信すると、スイッチでは、スイッチに最善ルートが保持されているかどうか
が確認されます。最善ルートが保持されている場合、それ自体の MAC アドレスがホストに送
信されます。その後、ホストはリモート宛先宛のトラフィックをスイッチ経由で送信し、ス
イッチはそのスイッチに保持されているルーティングテーブルによってほかのネットワーク
上の宛先に到達します。
サービス品質 – 差別化サービス（DiffServ）では、ホップごとに特定トラフィックタイプの
要件に応じてネットワークリソースのプライオリティを設定する、ポリシーベースの管理メ
カニズムが提供されます。各パケットはネットワークへの着信時にアクセスリスト、 IP 優先
度または DSCP 値、あるいは VLAN リストに基づいて分類されます。アクセスリストでは、
各パケットに含まれるレイヤー 2、レイヤー 3、またはレイヤー 4 情報に基づいてトラフィッ
クを選択できます。ネットワークポリシーに基づき、トラフィックの種類に応じてマークを
付けることにより、異なる種類の転送を行うことができます。
マルチキャストフィルタリング – 特定のマルチキャストトラフィックをそれ自体の VLAN
に割り当てることができます。これにより、このトラフィックが通常のネットワークトラ
フィックに干渉することがなくなります。また、指定の VLAN に対して必要なプライオリティ
レベルを設定することで、リアルタイム配信を実現できます。このスイッチでは、 IGMP ス
ヌーピングおよびクエリー（レイヤー 2）と IGMP （レイヤー 3）によってマルチキャスト
グループ登録が管理されます。
マルチキャストルーティング – マルチキャストパケットのルーティングは、距離ベクトルマ
ルチキャストルーティングプロトコル（DVMRP）およびプロトコル独立型マルチキャスティ
ング稠密モード（PIM-DM）によってサポートされます。これらのプロトコルは、マルチキャ
ストトラフィックをフィルタリングおよびルーティングする際に IGMP と連携して動作しま
す。現時点では、独自のルーティングテーブルを保持する DVMRP が広く実装されています
が、多くのネットワーク管理者が PIM の稠密モードおよび希薄モードへと徐々に移行しつつ
あります。 PIM は、インターフェースで有効にされているユニキャストルーティングプロト
コルのルーティングテーブルを使用する、非常に単純なプロトコルです。稠密モードは、マ
ルチキャストクライアントが存在する可能性の高いエリア用に設計されており、頻繁なフ
ラッディングによるオーバーヘッドが許容されます。一方、希薄モードは、マルチキャスト
クライアントが存在する可能性の低い、ワイドエリアネットワークなどのネットワークエリ
ア用に設計されています。現時点では、このスイッチでは DVMRP および PIM-DM がサポー
トされています。これらのプロトコルは、マルチキャストトラフィックをフィルタリングお
よびルーティングする際に IGMP と連携して動作します。
1-6
システムデフォルト
1
システムデフォルト
このスイッチのシステムデフォルトは、コンフィギュレーションファイル
「Factory_Default_Config.cfg」に保存されています。スイッチのデフォルトにリセットするに
は、このファイルをスタートアップコンフィギュレーションファイルとして設定してくださ
い（3-24 ページを参照）。
次の表に、基本のシステムデフォルトをいくつか示します。
表 1-2. システムデフォルト
機能
パラメータ
デフォルト
コンソールポート接続
ボーレート
auto
データビット
8
ストップビット
1
パリティ
なし
ローカルコンソール
タイムアウト
0 （無効）
Privileged Exec レベル
ユーザー名「admin」パスワード「admin」
Normal Exec レベル
ユーザー名「guest」パスワード「guest」
Normal Exec レベルからの
Privileged Exec レベルの
有効化
パスワード「super」
RADIUS 認証
無効
TACACS 認証
無効
802.1X ポート認証
無効
HTTPS
有効
SSH
無効
認証
ウェブ管理
SNMP
ポートセキュリティ
無効
IP フィルタリング
無効
HTTP サーバー
有効
HTTP ポート番号
80
HTTP セキュアサーバー
有効
HTTP セキュアポート番号
443
SNMP エージェント
有効
コミュニティストリング
「public」（読取り専用）
「private」（読み書き可能）
トラップ
SNMP V3
認証トラップ : 有効
リンクアップ / ダウンイベント : 有効
ビュー : defaultview
グループ : public （読取り専用）、
private （読み書き可能）
1-7
1
はじめに
表 1-2. システムデフォルト（続き）
機能
パラメータ
デフォルト
ポートの構成
Admin ステータス
有効
自動ネゴシエーション
有効
フロー制御*
無効
入力および出力リミット
無効
レートリミッティング
ポートトランキング
スタティックトランク
なし
LACP （すべてのポート）
無効
ブロードキャスト
ストーム保護
ステータス
有効（すべてのポート）
ブロードキャスト制限レート
500 パケット / 秒
スパニングツリー
アルゴリズム
ステータス
有効、 RSTP
（デフォルト : IEEE 802.1w に準拠する
すべての値）
高速転送（エッジポート）
無効
エージングタイム
300 秒
アドレステーブル
バーチャル LAN
トラフィック
プライオリティ設定
デフォルト VLAN
1
PVID
1
許容フレームタイプ
すべて
イングレスフィルタリング
無効
スイッチポートモード
（イグレスモード）
ハイブリッド :
タグ付き / タグなしフレーム
GVRP （グローバル）
無効
GVRP
（ポートインターフェース）
無効
イングレスポート
プライオリティ
0
WRR （加重ラウンドロビン）キュー : 0 1 2 3 4 5 6 7
加重 : 1 2 4 6 8 10 12 14
1-8
IP 優先度プライオリティ
無効
IP DSCP プライオリティ
無効
IP ポートプライオリティ
無効
システムデフォルト
1
表 1-2. システムデフォルト（続き）
機能
パラメータ
デフォルト
IP 設定
管理 VLAN
IP アドレスが構成された任意の VLAN
IP アドレス
0.0.0.0
サブネットマスク
255.0.0.0
デフォルトゲートウェイ
0.0.0.0
DHCP
クライアント : 有効
リレー : 無効
サーバー : 無効
DNS
サーバー : 無効
BOOTP
無効
ARP
有効
キャッシュタイムアウト : 20 分
プロキシ : 無効
ユニキャスト
ルーティング
RIP
無効
OSPF
無効
ルータ冗長性
VRRP
無効
マルチキャスト
フィルタリング
IGMP スヌーピング
（レイヤー 2）
スヌーピング : 有効
クエリア : 無効
IGMP （レイヤー 3）
無効
DVMRP
無効
PIM-DM
無効
ステータス
有効
ログに記録するメッセージ
レベル 0 ～ 7 （すべて）
フラッシュに記録する
メッセージ
レベル 0 ～ 3
SMTP 電子メール
アラート
イベントハンドラ
有効
（ただし定義されたサーバーはなし）
SNTP
クロック同期
無効
マルチキャスト
ルーティング
システムログ
* スイッチ ASIC に対して、フロー制御と HOL Blocking との間で相互運用上の問題があります。そのため、
フロー制御はこのスイッチではサポートされていません。
1-9
1
1-10
はじめに
第 2 章 : 初期構成
スイッチへの接続
構成オプション
このスイッチは組込みのネットワーク管理エージェントを備えています。このエージェント
では、 SNMP、 RMON、ウェブベースのインターフェースといった様々な管理オプションが
提供されます。 PC をスイッチに直接接続し、 CLI （コマンドラインインターフェース）を使
用して構成や監視を行うこともできます。
注 : デフォルトでは、このスイッチの IP アドレスは DHCP によって取得されます。このアドレス
を変更するには、 2-7 ページの「IP アドレスの設定」を参照してください。
スイッチの HTTP ウェブエージェントでは、標準のウェブブラウザ（Netscape Navigator
バージョン 6.2 以上や Microsoft IE バージョン 5.0 以上など）を使用して、スイッチパラメー
タの構成、ポート接続の監視、および統計情報の表示を行えます。スイッチのウェブ管理イ
ンターフェースには、ネットワークに接続された任意のコンピュータからアクセスできます。
CLI プログラムには、スイッチ上の RS-232 シリアルコンソールポートに直接接続するか、
ネットワーク経由で Telnet リモート接続によってアクセスできます。
スイッチの管理エージェントでは、 SNMP （簡易ネットワーク管理プロトコル）もサポートさ
れます。この SNMP エージェントにより、ネットワーク管理ソフトウェア（HP OpenView な
ど）を使用してネットワーク上の任意のシステムからスイッチを管理できます。
スイッチのウェブインターフェース、CLI 構成プログラム、および SNMP エージェントでは、
次の管理機能を実行できます。
• ユーザー名とパスワードの設定
• VLAN の IP インターフェースの設定
• SNMP パラメータの構成
• ポートの有効化 / 無効化
• ポートのスピード / 二重モードの設定
• 入力レートまたは出力レートリミッティングによるポート帯域の構成
• IEEE 802.1X セキュリティまたはスタティックアドレスフィルタリングによるポートア
クセスの制御
• ACL （アクセス制御リスト）を使用したパケットフィルタリング
• 最大 255 個の IEEE 802.1Q VLAN の構成
• GVRP による自動 VLAN 登録の有効化
• ユニキャストまたはマルチキャストトラフィックの IP ルーティングの構成
• ルータ冗長性の構成
• IGMP マルチキャストフィルタリングの構成
• TFTP によるシステムファームウェアのアップロードとダウンロード
• TFTP によるスイッチコンフィギュレーションファイルのアップロードとダウンロード
• スパニングツリーパラメータの構成
2-1
2
初期構成
• CoS （サービスクラス）プライオリティキューイングの構成
• 1 つのスイッチに最大６個、 1 つのスタックに最大 32 個のスタティックまたは LACP トラ
ンクを構成
• ポートミラーリングの有効化
• 各ポートでのブロードキャストストーム制御の設定
• システム情報と統計情報の表示
• 同じ IP アドレスですべてのスタックユニットを構成
必要な接続
このスイッチには RS-232 シリアルポートが搭載されています。このポートに PC または端
末を接続し、スイッチの監視や構成を行うことができます。スイッチにはヌルモデムコンソー
ルケーブルが同梱されています。
注 : スタック構成時に、マスターユニットのコンソールポートに接続します。
VT100 互換端末、すなわち端末エミュレーションプログラムが実行される PC をスイッチに
接続します。このとき、製品に同梱されているコンソールケーブルを使用することも、『イン
ストールガイド』に記載されている配線に準拠したヌルモデムケーブルを使用することもで
きます。
端末をコンソールポートに接続するには、次の手順を実行します。
1.
端末、すなわち端末エミュレーションソフトウェアが実行される PC のシリアルポート
にコンソールケーブルを接続し、 DB-9 コネクタの固定ねじを締めます。
2.
ケーブルのもう一方の端をスイッチの RS-232 シリアルポートに接続します。
3.
端末エミュレーションソフトウェアを次のように設定します。
• 適切なシリアルポートを選択します（COM ポート 1 または COM ポート 2）。
• ボーレートを 9600、 19200、 38400、 57600、または 115200 に設定します
（注 : すべてのシステム初期化メッセージを表示するには、 9600 ボーに設定）。
• データ形式を 8 データビット、 1 ストップビット、パリティなしに設定します。
• フロー制御なしに設定します。
• エミュレーションモードを VT100 に設定します。
• HyperTerminal を使用する場合は、 Windows キーではなく端末キーを選択します。
注 : 1. HyperTerminal を Microsoft® Windows® 2000 で使用する場合は、Windows 2000 サービス
パック 2 以上がインストールされていることを確認してください。 Windows 2000 サービ
スパック 2 では、 HyperTerminal の VT100 エミュレーションで矢印キーが機能しない問
題が解決されています。 Windows 2000 サービスパックの詳細については、
www.microsoft.com を参照してください。
2.
コンソール構成オプションの詳細については、 4-12 ページの「ラインコマンド」を参照し
てください。
3. 端末を適切にセットアップすると、コンソールのログイン画面が表示されます。
CLI の使用方法の詳細については、 4-1 ページの「コマンドラインインターフェースの使用」
を参照してください。CLI コマンド一覧および CLI の使用に関する詳細については、4-10 ペー
ジの「コマンドグループ」を参照してください。
2-2
スタックオペレーション
2
リモート接続
スイッチのオンボードエージェントにネットワーク接続でアクセスする前に、コンソール接
続、 DHCP または BOOTP プロトコルを使用して、スイッチに有効な IP アドレス、サブネッ
トマスク、およびデフォルトゲートウェイを構成する必要があります。
デフォルトでは、このスイッチの IP アドレスは DHCP によって取得されます。このアドレス
を手動で構成するか、 DHCP または BOOTP によるダイナミックアドレス割当てを有効にす
るには、 2-7 ページの「IP アドレスの設定」を参照してください。
注 : 1.
このスイッチでは 4 つの Telnet/SSH 同時セッションがサポートされます。
2. 各 VLAN グループには、それぞれ独自の IP インターフェースアドレスを割り当てること
ができます（2-7 ページ）。スイッチの管理は、これらのどのアドレスからも行えます。つ
まり、マスターユニットでは、管理アクセスに使用される VLAN インターフェースのアク
ティブポートメンバーを含む必要がありません。
スイッチの IP パラメータを構成すると、接続されたネットワークのどこからでもオンボード
の構成プログラムにアクセスできるようになります。オンボードの構成プログラムにアクセ
スするには、ネットワークに接続された任意のコンピュータから Telnet を使用します。スイッ
チの管理は、任意のコンピュータでウェブブラウザ（Internet Explorer バージョン 5.0 以上ま
たは Netscape Navigator バージョン 6.2 以上）を使用して、またはネットワークコンピュー
タで SNMP ネットワーク管理ソフトウェアを使用して行うこともできます。
注 : オンボードプログラムでは基本的な構成機能にのみアクセスできます。すべての SNMP 管理
機能にアクセスするには、SNMP ベースのネットワーク管理ソフトウェアを使用する必要があ
ります。
スタックオペレーション
『インストールガイド』に記載されているように、 24 ポートまたは 48 ポートギガビットス
イッチを最大 8 個までスタックすることができます。スタック内のユニットの 1 つは、コン
フィギュレーションタスクとファームウェアアップグレード用のマスターとして動作しま
す。その他のすべてのユニットはスレーブモードで動作しますが、マスターユニットに障害
が発生するとスタックの管理を自動的に引き継ぎます。
スタックのユニットを構成するには、まず、スイッチのフロントパネルでユニット番号を確認
し、ウェブ、またはコンソール管理インターフェースから適当なユニット番号を選択します。
スタックマスターの選択
ユニットの番号付けに関して次の点に注意してください。
• スタックに最初に電源が入れられると、マスターユニットはリングトポロジのユニット 1
として設定されます。ライントポロジでは、スタックは単純に上から順に番号付けされ、
スタックの最初のユニットがユニット 1 に設定されます。このユニット番号はスイッチの
フロントパネルの Stack Unit ID LED に表示されます。ウェブインターフェースのフロン
トパネルグラフィック、または CLI で選択することもできます。
• スイッチのフロントパネルのマスター/ スレーブプッシュボタンでスタックのマスターが
複数選択されると、MAC アドレスが最も小さいユニットが、マスターとして設定されます。
• マスターユニットに障害が発生し、他のユニットがスタックの制御を引き継ぐ場合でも、
ユニット番号に変更はありません。
2-3
2
初期構成
• スタックのユニットに障害が発生したり、スタックから取り外されると、ユニット番号は
変更されます。スタックのユニットが交換されると、障害が発生したユニットの元の設定
が、交換されるユニットに復元されます。
• ユニットがスタックから取り外されて、後でそのスタックに再び取り付けられる場合、ス
タッキング時に作成された元のユニット番号が保持されます。
• ユニットがスタックから取り外され、スタンドアロンユニットとして電源がオンにされる
場合は、スタッキング時に作成された元のユニット番号が保持されます。
バックアップユニットの選択
マスターユニットの起動が終了すると、 MAC アドレスが最も小さいスレーブユニットがプ
ライマリバックアップユニットとしてスタックから選択されます。スタックマスターは、す
ぐにすべてのコンフィギュレーション情報をバックアップユニットにダウンロードし、ス
タックのユニットに対して変更した構成情報をバックアップユニットに更新します。マス
ターユニットに障害が発生したり電源がオフになると、バックアップユニットは、コンフィ
ギュレーション設定を現状のまま、スタックの管理を引き継ぎます。
MAC アドレスが最も小さいスレーブユニットがバックアップユニットとして選択されま
す。スタック内で次のユニットへの論理的なフェイルオーバーを確実にするには、スタック
のマスターユニットの直下に MAC アドレスが最も小さいスレーブユニットを配置します。
スタックの障害からの回復、またはトポロジーの変更
スタックのリンクまたはユニットに障害が発生すると、トラップメッセージが送信され、障
害イベントが記録されます。システム障害発生後や、トポロジの変更後にスタックがリブー
トされます。スタックがリブートするのに数分かかります。マスターユニットに障害が発生
すると、バックアップユニットは新しいマスターユニットとして処理を引継ぎ、スタックを
リブートさせ、スタックがリブート後、他のバックアップユニットを選択します。ユニット
の電源をオフにしたり、スタックに新しいユニットを挿入するとスタックはリブートします。
ユニットがスタックから取り除かれたり（電源オフまたは障害による）、新しいユニットがス
タックに追加される場合は、元のユニット番号がリブート後に変更されることはありません。
使用されていない最も小さいユニット ID が、追加された新しいユニットに割り振られます。
ラインまたはラップアラウンドトポロジのリンクの障害
スタックのすべてのユニットがスタッキングケーブルで接続される必要があります。ユニッ
トを上から下へ単純なカスケード構成で接続することができます。このライントポロジを使
用すると、スタックのリンクやユニットに障害が発生した場合、スタックは 2 つに分割され
ます。スタックの上下に隣合ったユニットからトラフィックを受信できないユニットでは、
Stack Link LED が点滅し、スタックリンクが切断されたことを表示します。
スタックに障害が発生すると、マスターユニットは、マスターボタンが押されたユニット、
または最も小さい MAC アドレスのユニット（マスターボタンが押されていない場合）のど
ちらかのスタックセグメントから選択されます。スタックがリブートされ、再稼動します。
ただし、 IP アドレスは、両方の新しいスタックセグメントで表示される共通の VLAN （アク
ティブポート接続）で同じアドレスになります。 IP アドレスの競合を解決するには、障害と
なっているリンクやユニットを手動で早急に変更する必要があります。ラップアラウンドス
タックトポロジを使用する場合、スタックの障害点は 1 つではありません。スタックを分断
する障害点は複数存在する場合があります。
注 : スタックが切断されると、 IP アドレスは、両方のスタックセグメントで表示される共通の
VLAN （アクティブポート接続）で同じアドレスになります。
2-4
スタックオペレーション
2
管理アクセス用の耐障害性の IP インターフェース
スタックは、管理と構成を行う 1 つの統合システムとして機能します。そのため、スタック
で構成されたどの IP インターフェースでもスタックを管理できます。マスターユニットで
は、管理アクセスを行うための VLAN インターフェースのアクティブポートメンバーを含め
る必要はありません。ただし、通常、管理アクセスのために接続するスタックに障害が発生
した場合、また、この VLAN インターフェース内の他のユニットのアクティブポートメン
バーが存在しない場合、この IP アドレスは使用できません。フェイルオーバーイベントへ
の管理アクセスのための定数 IP アドレスを保持するには、スタック管理で使用するプライマ
リ VLAN 内に複数のユニットのポートメンバーを含める必要があります。
耐障害性の構成
スタックのユニットに障害が発生した場合、ユニット番号は変更されません。スタックのユ
ニットを置き換えると、障害が発生したユニットの元の構成は置き換えられたユニットに復
元されます。このことは、マスターとスレーブの両方のユニットに適用されます。
スタックの再番号付け
スタートアップコンフィギュレーションファイルはコンフィギュレーション設定をユニッ
ト番号に基づいて各スイッチにマッピングします。複数のトポロジに変更や障害が発生した
後、ユニットは順番に番号付けされていない場合、ウェブインターフェースや CLI で
「Renumbering」コマンドを使用してユニット番号を再設定できます。ただし、マスタース
タックの電源をオフにする前に、新しいコンフィギュレーション設定をスタートアップコン
フィギュレーションファイルに保存してください。
スタックの制限事項
最大スタックサイズ – スイッチ ASIC チップ数が 32 未満であれば最大 8 個のユニットをス
タックできます。ES4625 と ES4649 は各 12 ポートに 1 つの ASIC チップを使用し、オプショ
ンのモジュールに 1 つの ASIC を使用します。オプションのモジュールがインストールされ
ていない場合、 ES4625 または ES4649 を組み合わせて最大 8 個までスタックできます。た
だし、オプションのモジュールがインストールされていない場合、 ES4625 では、 3 個のアク
ティブのスイッチ ASIC、また ES4649 では、 5 個のアクティブのスイッチ ASIC がスタック
可能です。たとえば、 1 つのオプションモジュールが各スイッチにインストールされている
ES4649 スイッチでスタックを構築する場合、スタック可能なユニットの最大数は 6 個です。
これは、このサイズのスタックでは、アクティブのスイッチ ASIC は 30 個であるためです。
各スイッチにおけるランタイムコードの一致 – スタック上にある各ユニットのメインボード
のランタイムファームウェアバージョンはマスターユニットのランタイムファームウェア
と同一にする必要があります。番号自動割り当てが終了すると、マスターユニットはマスター
イメージのバージョンが一致しているかチェックします。スレーブユニットにブートアップ
用に構成されたファームウェアのバージョン ( 例 : ランタイムコード ) がマスターユニット
のバージョンと異なる場合、マスターユニットからスタックの別のユニットにランタイムイ
メージをダウンロードするように要求するメッセージが表示されます。ランタイムイメージ
がダウンロードしたら、そのイメージをブートイメージとして設定します（3-20 ページの
「ファームウェアの管理」または、 4-70 ページの「whichboot」を参照）。その後、グローバル
リセットコマンドを実行してスタック全体をリブートします（3-35 ページの「システムのリ
セット」または 4-23 ページの「reload」を参照）。
2-5
2
初期構成
10 ギガビットモジュールのランタイムコードの一致 – オプションモジュールファーム
ウェアは、メインボードイメージとバインドされています。そのため、オプションモジュー
ル上のスイッチとファームウェアは、新しいファームウェアをスイッチにロードすると更新
されます。スタックがブートされると、マスターユニットは新規に挿入されたモジュールを
分離します。挿入されたモジュールのファームウェアバージョンが現在のランタイムファー
ムウェアのバージョンと異なる場合、ファームウェアを更新するようメッセージが表示され
ます。このメッセージが表示されたら、前のセクションで説明したように現在のファームウェ
アをスイッチに再ロードし、スイッチをリブートします。
基本構成
コンソール接続
CLI プログラムでは、通常アクセスレベル（Normal Exec）と特権アクセスレベル（Privileged
Exec）という 2 つのコマンドレベルが提供されます。 Normal Exec レベルで利用できるコマ
ンドは、 Privileged Exec レベルで利用できるコマンドの一部に制限されており、情報の表示
と基本的ユーティリティの使用のみが可能です。スイッチのすべてのパラメータを構成する
には、 Privileged Exec レベルで CLI にアクセスする必要があります。
注 : スタックのマスターユニットでコンソールインターフェースにのみアクセスできます。
両レベルの CLI へのアクセスはユーザー名とパスワードで制御されます。スイッチには各レ
ベルのデフォルトのユーザー名とパスワードが定義されています。デフォルトのユーザー名
とパスワードを使用して Privileged Exec レベルで CLI にログインするには、次の手順に従い
ます。
1.
コンソール接続を開始するには、 [Enter] キーを押します。「User Access Verification」手
順が開始します。
2.
Username プロンプトで「admin」と入力します。
3.
Password プロンプトでも同様に「admin」と入力します（コンソール画面にパスワード
文字は表示されない）。
4.
セッションが開始され、 Privileged Exec レベルでアクセスしていることを示す
「Console#」プロンプトが表示されます。
2-6
基本構成
2
パスワードの設定
注 : 初めて CLI プログラムにログインする場合、「username」コマンドを使用して、両方のデフォ
ルトユーザー名に対する新しいパスワードを定義してください。このパスワードは記録し、安
全な場所に保管してください。
パスワードには最大 8 文字の英数文字を使用でき、大文字と小文字は区別されます。スイッ
チへの不正アクセスを防ぐために、次の手順でパスワードを設定します。
1.
デフォルトのユーザー名とパスワードである「admin」を使用してコンソールインター
フェースを開き、 Privileged Exec レベルにアクセスします。
2.
「configure」と入力し、 [Enter] キーを押します。
3.
Normal Exec レベルのパスワードを定義する場合、「username guest password 0 パス
ワード」と入力します。このとき、パスワード部分は新しいパスワードで置き換えます。
[Enter] キーを押します。
4.
Privileged Exec レベルのパスワードを定義する場合、「username admin password 0 パ
スワード」と入力します。このとき、パスワード部分は新しいパスワードで置き換えま
す。 [Enter] キーを押します。
Username:admin
Password:
CLI session with 44GE+4Combo Layer2/3/4 Stackable Switch is opened.
To end the CLI session, enter [Exit].
Console#configure
Console(config)#username guest password 0 [password]
Console(config)#username admin password 0 [password]
Console(config)#
IP アドレスの設定
ネットワーク経由で管理アクセスを行うには、スタックの IP アドレス情報を定義する必要が
あります。これは、次のいずれかの方法で行います。
手動 — IP アドレスおよびサブネットマスクを含む情報を入力する必要があります。管理ス
テーションがスイッチと同じ IP サブネットに属していない場合、デフォルトのゲートウェイ
ルータも指定する必要があります。
動的 — スイッチからネットワーク上の BOOTP または DHCP アドレス割当てサーバーに IP
構成要求が送信されます。
手動構成
スイッチに手動で IP アドレスを割り当てることができます。さらに、このデバイスと別の
ネットワークセグメント上の管理ステーション間にデフォルトゲートウェイを指定するこ
とが必要な場合もあります（このスイッチでルーティングが有効にされていない場合）。有効
な IP アドレスは、ピリオドで区切られた 0 ～ 255 の 4 つの 10 進数で構成されます。この形
式に従っていないアドレスは、 CLI プログラムで受理されません。
注 : デフォルトでは、このスイッチの IP アドレスは DHCP によって取得されます。
2-7
2
初期構成
スイッチに IP アドレスを割り当てる前に、ネットワーク管理者から次の情報を入手する必要
があります。
• スイッチの IP アドレス
• ネットワークのデフォルトゲートウェイ
• このネットワークのネットワークマスク
スイッチに IP アドレスを割り当てるには、次の手順を実行します。
1.
Privileged Exec レベルのグローバルコンフィギュレーションモードプロンプトで
「interface vlan 1」と入力し、インターフェースコンフィギュレーションモードにアク
セスします。 [Enter] キーを押します。
2.
「ip address IP アドレスネットマスク」と入力します。このとき、「IP アドレス」部分は
スイッチの IP アドレスで、「ネットマスク」部分はネットワークのネットワークマスク
で置き換えます。 [Enter] キーを押します。
3.
「exit」と入力して、グローバルコンフィギュレーションモードプロンプトに戻ります。
[Enter] キーを押します。
4.
スイッチが属するネットワークのデフォルトゲートウェイの IP アドレスを設定するには、
「ip default-gateway ゲートウェイ」と入力します。このとき、「ゲートウェイ」部分はデ
フォルトゲートウェイの IP アドレスで置き換えます。 [Enter] キーを押します。
Console(config)#interface vlan 1
Console(config-if)#ip address 192.168.1.5 255.255.255.0
Console(config-if)#exit
Console(config)#ip default-gateway 192.168.1.254
Console(config)#
動的構成
「bootp」または「dhcp」オプションを選択すると IP は有効にされますが、 BOOTP または
DHCP 応答が受信されるまで機能しません。そのため、「ip dhcp restart client」コマンドを使
用して、サービス要求のブロードキャストを開始する必要があります。 IP コンフィギュレー
ション情報を取得するために、要求が定期的に送信されます（BOOTP および DHCP の値に
は IP アドレス、サブネットマスク、デフォルトゲートウェイを含めることが可能）。
「bootp」または「dhcp」オプションをスタートアップコンフィギュレーションファイルに保
存すると（手順 6）、スイッチでは電源投入と同時にサービス要求のブロードキャストが開始
されます。
ネットワーク上の BOOTP または DHCP アドレス割当てサーバーと通信することでスイッチ
を自動的に構成するには、次の手順を実行します。
1.
グローバルコンフィギュレーションモードプロンプトで「interface vlan 1」と入力し、
インターフェースコンフィギュレーションモードにアクセスします。 [Enter] キーを押
します。
2.
インターフェースコンフィギュレーションモードプロンプトで、次のコマンドのいず
れかを使用します。
• DHCP によって IP 設定を取得するには、「ip address dhcp」と入力して [Enter] キーを
押します。
• BOOTP によって IP 設定を取得するには、「ip address bootp」と入力して [Enter] キー
を押します。
2-8
基本構成
2
3.
「end」と入力して、 Privileged Exec モードに戻ります。 [Enter] キーを押します。
4.
「ip dhcp restart client」と入力すると、サービス要求のブロードキャストが開始されます。
[Enter] キーを押します。
5.
数分間待ち、「show ip interface」コマンドを入力して、 IP コンフィギュレーション設定
を確認します。 [Enter] キーを押します。
6.
「copy running-config startup-config」と入力して、コンフィギュレーションの変更を保存
します。スタートアップファイルの名前を入力し、 [Enter] キーを押します。
Console(config)#interface vlan 1
Console(config-if)#ip address dhcp
Console(config-if)#end
Console#ip dhcp restart client
Console#show ip interface
IP address and netmask:192.168.1.54 255.255.255.0 on VLAN 1,
and address mode:User specified.
Console#copy running-config startup-config
Startup configuration file name []:startup
\Write to FLASH Programming.
\Write to FLASH finish.
Success.
SNMP 管理アクセスの有効化
HP OpenView などの簡易ネットワーク管理プロトコル（SNMP）アプリケーションからの管
理コマンドを受理するようスイッチを構成することができます。 (1) SNMP 要求に応答する、
または (2) SNMP トラップを生成するようスイッチを構成できます。
SNMP 管理ステーションがスイッチに（情報を返すよう、またはパラメータを設定するよう）
要求を送信すると、スイッチでは要求されたデータが供給されるか、指定されたパラメータ
が設定されます。また、（SNMP マネージャに要求されなくても） SNMP マネージャにトラッ
プメッセージを通じて情報を送信するようスイッチを構成することもできます。このメッ
セージにより、特定イベントが発生したことがマネージャに通知されます。
スイッチには、 SNMP バージョン 1、 2c、および 3 クライアントをサポートする SNMP エー
ジェントが装備されています。バージョン 1 または 2c クライアントによる管理アクセスを許
可するには、コミュニティストリングを指定する必要があります。このスイッチには、デフォ
ルトの「public」コミュニティストリングによって MIB ツリー全体への読取りアクセスを許
可するデフォルトの MIB ビュー（SNMPv3 構造）と、「private」コミュニティストリングに
よって MIB ツリー全体への読み書き可能アクセスを許可するデフォルトビューが用意され
ています。このほか、実際のセキュリティ要件に応じてバージョン 1 または 2c コミュニティ
ストリングに新規ビューを割り当てることもできます（3-52 ページを参照）。
コミュニティストリング（SNMP バージョン 1 および 2c クライアント用）
コミュニティストリングは、 SNMP バージョン 1 および 2c ステーションへの管理アクセス
を制御したり、スイッチから送信されるトラップメッセージの受信を SNMP ステーションに
許可するために使用されます。すなわち、指定されたユーザーにコミュニティストリングを
割り当て、アクセスレベルを設定する必要があります。
2-9
2
初期構成
デフォルトのストリングは次のとおりです。
• public －読取り専用アクセス。許可された管理ステーションは MIB オブジェクトの取得
のみを行えます。
• private －読み書き可能アクセス。許可された管理ステーションは、 MIB オブジェクトの
取得および変更を両方行うことができます。
SNMP バージョン 1 または 2c クライアントによるスイッチへの不正アクセスを防ぐために、
デフォルトのコミュニティストリングを変更することをお勧めします。
コミュニティストリングを構成するには、次の手順を実行します。
1.
Privileged Exec レベルのグローバルコンフィギュレーションモードプロンプトで、
「snmp-server community ストリングモード」と入力します。このとき、「ストリング」
部分はコミュニティアクセスストリングで、また「モード」部分は rw （読み書き可能）
または ro （読取り専用）で置き換えます。 [Enter] キーを押します。（デフォルトのモー
ドは読取り専用）。
2.
既存のストリングを削除するには、「no snmp-server community ストリング」と入力し
ます。このとき、「ストリング」部分は削除するコミュニティアクセスストリングで置
き換えます。 [Enter] キーを押します。
Console(config)#snmp-server community admin rw
Console(config)#snmp-server community private
Console(config)#
注 : SNMP バージョン 1 および 2c クライアントへのアクセスをサポートしない場合、デフォルトの
コミュニティストリングを両方とも削除することをお勧めします。コミュニティストリング
がない場合、SNMP v1 および v2c クライアントによる SNMP 管理アクセスは無効にされます。
トラップレシーバ
スイッチからトラップを受信する SNMP ステーションを指定することもできます。トラップ
レシーバを構成するには、「snmp-server host」コマンドを使用します。 Privileged Exec レベ
ルのグローバルコンフィギュレーションモードプロンプトで、次のように入力します。
“snmp-server host ホストアドレスコミュニティストリング
[version {1 | 2c | 3 {auth | noauth | priv}}]”
ここで、「ホストアドレス」部分にはトラップレシーバの IP アドレスを、また「コミュニ
ティストリング」部分にはバージョン 1/2c ホストのアクセス権またはバージョン 3 ホストの
ユーザー名を指定します。「version」では SNMP クライアントバージョンを指定します。
「auth | noauth | priv」では、 v3 クライアントに認証を使用、認証を使用しない、または認証
とプライバシを使用するよう指定します。次に、 [Enter] キーを押します。これらのパラメー
タの詳細については、 4-113 ページの「snmp-server host」を参照してください。次の例では、
各タイプの SNMP クライアントに対してトラップホストを作成しています。
Console(config)#snmp-server host 10.1.19.23 batman
Console(config)#snmp-server host 10.1.19.98 robin version 2c
Console(config)#snmp-server host 10.1.19.34 barbie version 3 auth
Console(config)#
2-10
基本構成
2
SNMP バージョン 3 クライアントによるアクセスの構成
SNMPv3 クライアントによる管理アクセスを構成するには、まずクライアントが読取りまた
は書込み可能な MIB の部分を定義するビューを作成し、このビューをグループに割り当て、
次にユーザーをグループに割り当てる必要があります。次の例では、 MIB-2 ツリーブランチ
全体が含まれる「mib-2」というビューと、 IEEE 802.1d ブリッジ MIB が含まれる別のビュー
を作成しています。次に、それぞれの読取りビューおよび読み書き可能ビューを「r&d」とい
うグループに割り当て、 MD5 または SHA によるグループ認証を指定しています。最後に、こ
のグループに v3 ユーザーを割り当て、認証方式として MD5、認証パスワードとして
「greenpeace」、暗号化パスワードとして「einstien」を指定しています。
Console(config)#snmp-server
Console(config)#snmp-server
Console(config)#snmp-server
Console(config)#snmp-server
priv des56 einstien
Console(config)#
view mib-2 1.3.6.1.2.1 included
view 802.1d 1.3.6.1.2.1.17 included
group r&d v3 auth mib-2 802.1d
user steve group r&d v3 auth md5 greenpeace
スイッチに SNMP v3 クライアントによるアクセスを構成する方法の詳細については、 3-37
ページの「簡易ネットワーク管理プロトコル」または 4-110 ページ以降に記載されている
SNMP の該当 CLI コマンドを参照してください。
コンフィギュレーション設定の保存
コンフィギュレーションコマンドでは実行中のコンフィギュレーションファイルの変更の
みが行われ、スイッチのリブート時に保存されません。すべてのコンフィギュレーションの
変更内容を不揮発性記憶装置に保存するには、「copy」コマンドを使用して、実行中のコン
フィギュレーションファイルをスタートアップコンフィギュレーションファイルにコピー
する必要があります。
現在のコンフィギュレーション設定を保存するには、次のコマンドを入力します。
1.
Privileged Exec モードプロンプトで、「copy running-config startup-config」と入力し、
[Enter] キーを押します。
2.
スタートアップファイルの名前を入力します。 [Enter] キーを押します。
Console#copy running-config startup-config
Startup configuration file name []:startup
\Write to FLASH Programming.
\Write to FLASH finish.
Success.
Console#
2-11
2
初期構成
システムファイルの管理
このスイッチのフラッシュメモリーでは 3 種類のシステムファイルがサポートされます。こ
れらのシステムファイルは、 CLI プログラム、ウェブインターフェース、または SNMP に
よって管理できます。スイッチのファイルシステムでは、ファイルのアップロードとダウン
ロード、コピー、削除、スタートアップファイルとしての設定が可能です。
次の 3 種類のファイルがあります。
• コンフィギュレーション — このファイルタイプにはシステムコンフィギュレーション情
報が保存され、コンフィギュレーション設定の保存時に作成されます。保存されたコンフィ
ギュレーションファイルは、システムのスタートアップファイルとして選択したり、バッ
クアップ用に TFTP によってサーバーにアップロードすることができます。
「Factory_Default_Config.cfg」というファイルには、システムのデフォルト設定がすべて格
納されており、システムから削除することはできません。工場出荷時のデフォルト設定で
システムをブートすると、マスターユニットによってさらに「startup1.cfg」という名前の
ファイルが作成されます。このファイルには、スタックの各ユニットのユニット識別子、
MAC アドレス、インストールされているモジュールタイプなど、スタックの初期化に関
するシステム設定が保持されます。このファイルには工場出荷時のデフォルトのコンフィ
ギュレーションファイルに保持されているコンフィギュレーション設定がコピーされ、ス
タックのブート時に使用されます。詳細については、3-23 ページの「コンフィギュレーショ
ン設定の保存または復元」を参照してください。
• オペレーションコード — 起動後に実行されるシステムソフトウェアで、ランタイムコー
ドとも呼ばれます。このコードによってスイッチオペレーションが実行され、 CLI および
ウェブ管理インターフェースが提供されます。詳細については、 3-20 ページの「ファーム
ウェアの管理」を参照してください。
• 診断コード — システムの起動中に実行されるソフトウェアで、 POST （パワーオンセルフ
テスト）とも呼ばれます。
フラッシュメモリーの容量に制限があるため、このスイッチでサポートされるオペレーショ
ンコードファイルは 2 つのみです。ただし、診断コードファイルとコンフィギュレーション
ファイルについては、フラッシュメモリーの空き容量に応じて可能な限り多く保存できます。
システムのフラッシュメモリーでは、各種類のファイルを 1 つずつスタートアップファイル
として設定する必要があります。システムのブート時に、スタートアップファイルとして設
定された診断コードファイルとオペレーションコードファイルが実行され、次にスタート
アップコンフィギュレーションファイルがロードされます。
コンフィギュレーションファイルをダウンロードする際は、ファイル設定の内容または用途
を表すファイル名を使用してください。実行中のコンフィギュレーションに直接ダウンロー
ドすると、システムがリブートし、実行中のコンフィギュレーションからパーマネントファ
イルに設定をコピーすることが必要になります。
2-12
第 3 章 : スイッチの構成
ウェブインターフェースの使用
このスイッチには HTTP ウェブエージェントが組み込まれています。ウェブブラウザを使用
して、スイッチを構成したり、統計情報を表示してネットワークアクティビティを監視する
ことができます。ウェブエージェントにアクセスするには、ネットワーク上の任意のコン
ピュータから標準のウェブブラウザ（Internet Explorer 5.0 以上または Netscape Navigator
6.2 以上）を使用します。
注 : コマンドラインインターフェース（CLI）を使用して、コンソールポートへのシリアル接続
や Telnet によってスイッチを管理することも可能です。 CLI の使用の詳細については、第 4 章
「コマンドラインインターフェース」を参照してください。
ウェブブラウザからスイッチにアクセスする前に、必ず次のタスクを実行してください。
1.
アウトバンドシリアル接続、 BOOTP または DHCP プロトコルを使用して、スイッチに
有効な IP アドレス、サブネットマスク、およびデフォルトゲートウェイを構成します
（2-7 ページの「IP アドレスの設定」を参照）。
2.
アウトバンドシリアル接続を使用して、ユーザー名とパスワードを設定します。ウェブ
エージェントへのアクセスは、オンボードの構成プログラムと同じユーザー名とパス
ワードで管理されます（2-7 ページの「パスワードの設定」を参照）。
3.
ユーザー名とパスワードの入力後、システム構成プログラムにアクセスできるようにな
ります。
注 : 1. パスワードの入力回数は 3 回までです。3 回目に入力したパスワードが間違っていた場合、
現在の接続が切断されます。
2. ウェブインターフェースにゲストとしてログインした場合（Normal Exec レベル）、コン
フィギュレーション設定の表示およびゲストのパスワード変更を行えます。「admin」とし
てログインした場合（Privileged Exec レベル）、すべてのページの設定を変更できます。
3. 管理ステーションとこのスイッチ間のパスが、スパニングツリーアルゴリズムを使用す
るデバイスを経由していない場合、管理ステーションに接続されたスイッチポートを高速
転送に設定することにより（「Admin Edge Port」を有効化）、ウェブインターフェースを
通じて発行された管理コマンドに対するスイッチの応答時間を改善することができます。
3-125 ページの「インターフェース設定の構成」を参照してください。
3-1
3
スイッチの構成
ウェブブラウザインターフェースのナビゲーション
ウェブブラウザインターフェースにアクセスするには、まずユーザー名とパスワードを入力
する必要があります。管理者は、すべての構成パラメータおよび統計情報への読み書き可能
アクセスが可能です。管理者のデフォルトのユーザー名とパスワードは「admin」です。
ホームページ
ウェブブラウザでスイッチのウェブエージェントに接続すると、次に示すようなホームペー
ジが表示されます。ホームページには、画面左側にメインメニューが、右側にシステム情報
が表示されます。メインメニューのリンクは、ほかのメニューに移動したり、構成パラメー
タや統計情報を表示する際に使用します。
図 3-1. ホームページ
注 : この章に掲載する例は ES4649 に基づいています。ES4625 と ES4649 には固定ポート数以外
に大きな違いはありません。
3-2
ウェブブラウザインターフェースのナビゲーション
3
構成オプション
構成可能なパラメータにはダイアログボックスまたはドロップダウンリストがあります。特
定ページでコンフィギュレーションを変更したら、必ず「Apply」ボタンをクリックして新し
いコンフィギュレーションを確定してください。次の表に、ウェブページの構成ボタンをま
とめます。
表 3-1. ウェブページの構成ボタン
ボタン
アクション
Apply
指定された値をシステムに設定します。
Revert
指定された値を取り消し、「Apply」をクリックする前の現在値を復元します。
Help
ウェブヘルプに直接リンクしています。
注 : 1. 画面を正しく更新するには、Internet Explorer 5.x が次のように構成されていることを確認
してください。「ツール」メニューの「インターネットオプション」を選択し、「全般」タ
ブの「インターネット一時ファイル」セクションの「設定」ボタンをクリックします。「保
存している新しいバージョンの確認」項目で「ページを表示するごとに確認する」をオン
にしてください。
2. Internet Explorer 5.0 を使用する場合、コンフィギュレーションの変更後、ブラウザの「更
新」ボタンをクリックして画面を更新することが必要な場合があります。
パネル表示
ウェブエージェントにはスイッチのポートイメージが表示されます。「Mode」を「Active」
（稼動 / 非稼動）、「Duplex」（半 / 全二重）、「Flow Control」などに設定することにより、ポー
トの異なる情報を表示することができます 1。ポートイメージをクリックすると、「Port
Configuration」ページが開きます。このページについては、 3-90 ページを参照してください。
図 3-2. フロントパネルのインジケータ
1.
スイッチの ASIC にはフロー制御とキュー先頭のパケット（ヘッドオブライン : HOL）によるブ
ロックの相互運用性に問題があるため、このスイッチではフロー制御はサポートされていませ
ん。
3-3
3
スイッチの構成
メインメニュー
オンボードのウェブエージェントを使用すると、システムパラメータの定義、スイッチとそ
の全ポートの管理および制御、またはネットワーク状態のモニタリングを行えます。次の表
に、このプログラムで選択可能なメニュー項目について簡単に説明します。
表 3-2. スイッチのメインメニュー
メニュー
説明
System
ページ
3-12
System Information
連絡先など基本的なシステムの説明を表示します。
Switch Information
ポート数、ハードウェア / ファームウェアのバージョン番号、お 3-13
よび電源のステータスを表示します。
Bridge Extension
ブリッジ拡張パラメータを表示します。
Jumbo Frames
ジャンボフレームのサポートを有効にします。
File Management
3-12
3-15
3-16
3-20
Copy Operation
ファイルの転送およびコピーを行えます。
3-20
Delete
フラッシュメモリーからファイルを削除できます。
3-20
Set Startup
スタートアップファイルを設定します。
3-20
Line
3-25
Console
コンソールポート接続パラメータを設定します。
3-25
Telnet
Telnet 接続パラメータを設定します。
3-27
Log
3-29
Logs
エラーメッセージをロギングプロセスに送信します。
3-29
System Logs
エラーメッセージの保存と表示を行います。
3-32
Remote Logs
リモートのロギングプロセスにメッセージをロギングするよ 3-30
う構成します。
SMTP
SMTP クライアントメッセージを参加サーバーに送信します。 3-32
Renumbering
スタック内のユニットに再番号付けします。
3-34
Reset
スイッチを再起動します。
3-35
SNTP
3-35
Configuration
指定のサーバーリストなどの SNTP クライアント設定を構成 3-35
します。
Clock Time Zone
システムクロックのローカルタイムゾーンを設定します。
SNMP
3-36
3-37
Configuration
コミュニティストリングおよび関連トラップ機能を構成しま 3-39
す。
Agent Status
SNMP を有効または無効にします。
3-4
3-39
ウェブブラウザインターフェースのナビゲーション
3
表 3-2. スイッチのメインメニュー（続き）
メニュー
説明
SNMPv3
Engine ID
ページ
3-42
SNMP v3 エンジン ID を設定します。
3-43
Remote Engine ID
リモートデバイスの SNMP v3 エンジン ID を設定します。
3-43
Users
SNMP v3 ユーザーを構成します。
3-44
Remote Users
リモートデバイスに SNMP v3 ユーザーを構成します。
3-46
Groups
SNMP v3 グループを構成します。
3-48
Views
SNMP v3 ビューを構成します。
3-52
Security
3-39
User Accounts
ユーザー名、パスワード、およびアクセスレベルを構成します。 3-53
Authentication
Settings
認証シーケンス、 RADIUS、および TACACS を構成します。
3-55
HTTPS Settings
セキュア HTTP 設定を構成します。
3-58
SSH
3-60
Settings
セキュアシェルサーバー設定を構成します。
3-63
Host-Key Settings
ホストキーペア（公開およびプライベート）を生成します。
3-61
Port Security
ステータス、セキュリティ違反への対応、最大許容 MAC アド 3-65
レス数など、ポートごとのセキュリティを構成します。
802.1X
ポート認証
3-67
Information
グローバルコンフィギュレーション設定を表示します。
3-68
Configuration
グローバルな構成パラメータを構成します。
3-69
Port Configuration
個々のポートの認証モードを設定します。
3-69
Statistics
選択されたポートのプロトコル統計情報を表示します。
3-72
ACL
3-75
Configuration
IP または MAC アドレスに基づくパケットフィルタリングを構 3-75
成します。
Mask Configuration
ACL ルールのチェック順序を制御します。
3-82
Port Binding
指定された ACL にポートをバインドします。
3-86
管理アクセスを可能にする IP アドレスを構成します。
3-73
IP Filter
Port
Port Information
3-88
ポート接続ステータスを表示します。
3-88
Trunk Information
トランク接続ステータスを表示します。
3-88
Port Configuration
ポート接続設定を構成します。
3-90
Trunk Configuration
トランク接続設定を構成します。
3-90
Trunk Membership
スタティックトランクにグループ化するポートを指定します。 3-93
3-5
3
スイッチの構成
表 3-2. スイッチのメインメニュー（続き）
メニュー
説明
LACP
ページ
3-92
Configuration
ポートを動的にトランクに参加させることができます。
3-95
Aggregation Port
リンクアグレゲーショングループメンバーのパラメータを構 3-96
成します。
Port Counters
Information
LACP プロトコルメッセージの統計情報を表示します。
3-98
Port Internal
Information
ローカル側の設定とオペレーション状態を表示します。
3-100
Port Neighbors
Information
リモート側の設定とオペレーション状態を表示します。
3-102
Port Broadcast
Control
各ポートのブロードキャストストームしきい値を設定します。 3-103
Trunk Broadcast
Control
各トランクのブロードキャストストームしきい値を設定します。 3-103
Mirror Port
Configuration
モニタリングのソースおよびターゲットポートを設定します。 3-105
Rate Limit
Input
Port Configuration
3-106
各ポートの入力レートリミットを設定します。
3-106
Input
各トランクの入力レートリミットを設定します。
Trunk Configuration
3-106
Output
Port Configuration
3-106
各ポートの出力レートリミットを設定します。
Output
各トランクの出力レートリミットを設定します。
Trunk Configuration
Port Statistics
イーサネットおよび RMON ポートの統計情報を表示します。
Address Table
3-106
3-107
3-111
Static Addresses
インターフェース、アドレス、または VLAN のエントリを表示 3-111
します。
Dynamic Addresses
アドレステーブルのスタティックエントリを表示または編集 3-112
します。
Address Aging
動的に学習したエントリのタイムアウトを設定します。
Spanning Tree
3-114
3-114
STA
3-6
Information
ブリッジに使用される STA 値を表示します。
3-115
Configuration
STP、 RSTP、および MSTP のグローバルブリッジ設定を構成 3-118
します。
Port Information
STA の個々のポート設定を表示します。
3-122
Trunk Information
STA の個々のトランク設定を表示します。
3-122
ウェブブラウザインターフェースのナビゲーション
3
表 3-2. スイッチのメインメニュー（続き）
メニュー
Port Configuration
説明
ページ
STA の個々のポート設定を構成します。
3-125
Trunk Configuration STA の個々のトランク設定を構成します。
3-125
MSTP
VLAN Configuration スパニングツリーインスタンスのプライオリティと VLAN を 3-128
構成します。
Port Information
指定された MST インスタンスのポート設定を表示します。
3-131
Trunk Information
指定された MST インスタンスのトランク設定を表示します。
3-131
Port Configuration
指定された MST インスタンスのポート設定を構成します。
3-132
Trunk Configuration 指定された MST インスタンスのトランク設定を構成します。
VLAN
3-132
3-134
802.1Q VLAN
GVRP Status
GVRP VLAN 登録プロトコルを有効にします。
Basic Information
このスイッチでサポートされている VLAN タイプに関する情報 3-137
を表示します。
Current Table
各 VLAN の現在のポートメンバーと、そのポートがタグ付きか 3-138
タグなしかを表示します。
Static List
VLAN グループを作成または削除する際に使用します。
3-139
Static Table
既存の VLAN の設定を変更します。
3-140
Static Membership
by Port
タグ付き、タグなし、禁止など、インターフェースのメンバー 3-142
シップタイプを構成します。
Port Configuration
デフォルトの PVID および VLAN 属性を指定します。
Trunk Configuration デフォルトのトランク VID および VLAN 属性を指定します。
3-136
3-143
3-143
Private VLAN
Status
プライベート VLAN を有効または無効にします。
3-145
Link Status
プライベート VLAN を構成します。
3-146
Protocol VLAN
Configuration
サポートされているプロトコルを指定してプロトコルグルー 3-147
プを作成します。
Port Configuration
プロトコルグループを VLAN にマップします。
Priority
3-148
3-149
Default Port Priority
各ポートのデフォルトプライオリティを設定します。
3-149
Default Trunk Priority
各トランクのデフォルトプライオリティを設定します。
3-149
Traffic Classes
IEEE 802.1p プライオリティタグを出力キューにマップします。 3-151
Traffic Classes Status
トラフィッククラスプライオリティを有効 / 無効にします（未該当な
実装）。
し
3-7
3
スイッチの構成
表 3-2. スイッチのメインメニュー（続き）
メニュー
説明
ページ
Queue Mode
キューモードをストリクトプライオリティまたは加重ラウン 3-153
ドロビンに設定します。
Queue Scheduling
加重ラウンドロビンキューイングを設定します。
IP Precedence/
DSCP Priority Status
グローバルに IP 優先度または DSCP プライオリティを選択す 3-155
るか、その両方を無効にします。
3-153
IP Precedence Priority 優先度タグをサービスクラス値にマップし、 IP タイプオブ 3-156
サービスプライオリティを設定します。
IP DSCP Priority
DSCP タグをサービスクラス値にマップし、IP 差別化サービス 3-157
コードポイントプライオリティを設定します。
IP Port Priority Status
IP ポートプライオリティをグローバルに有効または無効にし 3-159
ます。
IP Port Priority
ソケット番号および関連付けるサービスクラス値を定義し、 3-159
TCP/UDP ポートプライオリティを設定します。
QoS
DiffServ
Class Map
3-160
QoS の分類基準およびサービスポリシーを構成します。
3-160
特定のトラフィックタイプに対するクラスマップを作成します。 3-161
Policy Map
複数のインターフェースに対するポリシーマップを作成します。 3-164
Service Policy
定義済みのポリシーマップをイングレスポートに適用します。 3-167
IGMP Snooping
3-168
IGMP Configuration
マルチキャストフィルタリングを有効にし、マルチキャストク 3-170
エリーのパラメータを構成します。
Multicast Router
Port Information
VLAN ID ごとに、隣接マルチキャストルータに接続されたポー 3-172
トを表示します。
Static Multicast Router 隣接マルチキャストルータに接続されたポートの割当てを行 3-173
Port Configuration
います。
IP Multicast
Registration Table
マルチキャスト IP アドレスや VLAN ID など、このスイッチで 3-174
アクティブなマルチキャストグループをすべて表示します。
IGMP Member
Port anchor
選択された VLAN に関連付けられているマルチキャストアド 3-175
レスを表示します。
DNS
3-181
General Configuration DNS を有効にし、ドメイン名とドメインリストを構成し、ダイ 3-181
ナミックルックアップに使用するネームサーバーの IP アドレ
スを指定します。
Static Host Table
ドメイン名とアドレスのマッピングのためのスタティックエ 3-183
ントリを構成します。
Cache
指定ネームサーバーによって検知されたキャッシュエントリ 3-185
を表示します。
3-8
ウェブブラウザインターフェースのナビゲーション
3
表 3-2. スイッチのメインメニュー（続き）
メニュー
説明
DHCP
ページ
3-186
Relay Configuration
DHCP リレーサーバーを指定し、リレーサービスを有効または 3-186
無効にします。
Server
DHCP サーバーパラメータを構成します。
3-186
General
DHCP サーバーを有効にし、除外アドレス範囲を構成します。
3-188
Pool Configuration
ネットワークグループまたは特定ホスト用のアドレスプール 3-190
を構成します。
IP Binding
現在 DHCP クライアントにバインドされているアドレスを表 3-194
示します。
IP
3-204
General
3-207
Global Settings
ルーティングを有効または無効にし、デフォルトゲートウェイ 3-207
を指定します。
Routing Interface
指定された VLAN の IP インターフェースを構成します。
ARP
3-208
3-210
General
プロトコルタイムアウトを設定し、指定された VLAN のプロキ 3-211
シ ARP を有効または無効にします。
Static Addresses
物理アドレスを IP アドレスに静的にマップします。
3-212
Dynamic Addresses IP ルーティングテーブルに登録されている動的に学習された 3-213
エントリを表示します。
Other Addresses
スイッチが使用する内部アドレスを表示します。
3-214
Statistics
送受信された ARP 要求に関する統計情報を表示します。
3-215
IGMP
3-176
Interface Settings
特定の VLAN インターフェースのレイヤー 3 IGMP を構成します。 3-176
Group Membership
IGMP によって学習された現在のマルチキャストグループを表 3-179
示します。
Statistics
3-217
IP
トラフィック量、アドレスエラー、ルーティング、フラグメン 3-217
テーション、再アセンブリなど、 IP トラフィックに関する統計
情報を表示します。
ICMP
トラフィック量やプロトコルエラーのほか、エコー、タイムス 3-219
タンプ、およびアドレスマスクの数など、 ICMP トラフィック
に関する統計情報を表示します。
UDP
トラフィック量やエラーなど、 UDP に関する統計情報を表示し 3-221
ます。
TCP
トラフィック量や TCP 接続アクティビティなど、 TCP に関す 3-222
る統計情報を表示します。
Routing
Static Routes
3-205
スタティックルーティングエントリを構成および表示します。 3-223
3-9
3
スイッチの構成
表 3-2. スイッチのメインメニュー（続き）
メニュー
Routing Table
説明
ページ
ローカル、スタティック、およびダイナミックルートを含むす 3-224
べてのルーティングエントリを表示します。
Multicast Routing
3-261
General Settings
マルチキャストルーティングをグローバルに有効にします。
Multicast Routing
Table
このスイッチが学習した各マルチキャストルートを表示します。 3-262
VRRP
3-261
3-196
Group Configuration バーチャルインターフェースアドレス、アドバタイズメント間 3-196
隔、プリエンプション、プライオリティ、認証など、 VRRP グ
ループを構成します。
Global Statistics
VRRP プロトコルパケットエラーのグローバル統計情報を表 3-201
示します。
Group Statistics
指定の VRRP グループおよびインターフェースに関する VRRP 3-202
プロトコルイベントとエラーの統計情報を表示します。
Routing Protocol
RIP
General Settings
3-206
3-225
RIP を有効または無効にし、グローバル RIP バージョンとタイ 3-226
マー値を設定します。
Network Addresses RIP を使用するネットワークインターフェースを構成します。 3-228
Interface Settings
送信および受信バージョン、メッセージループバックの防止、 3-229
認証など、各インターフェースの RIP パラメータを構成します。
Statistics
更新時間、ルート変更、およびクエリー回数に関する全般情報 3-232
のほか、既知のインターフェースと隣接機器に関する統計情報
のリストを表示します。
OSPF
3-10
3-235
General
Configuration
OSPF を有効または無効にし、ルータ ID およびその他の様々な 3-236
グローバル設定を構成します。
Area Configuration
各エリアにルートをインポートするためのルールを指定します。 3-239
Area Range
Configuration
エリア境界でアドバタイズするルートサマリーを構成します。 3-242
Interface
Configuration
エリア ID および指定ルータを表示し、各インターフェースの 3-244
OSPF プロトコル設定と認証を構成します。
Virtual Link
Configuration
トランジットエリアを経由するバックボーンへのバーチャル 3-248
リンクを構成します。
Network Area
Address
Configuration
OSPF エリアとそれに関連付けるインターフェースを定義します。 3-250
Summary Address
Configuration
ほかの自律システムにアドバタイズするために、ほかのプロト 3-253
コルから学習したルートを集約します。
ウェブブラウザインターフェースのナビゲーション
3
表 3-2. スイッチのメインメニュー（続き）
メニュー
説明
ページ
Redistribute
Configuration
ルーティングドメイン間でルートを再配信します。
3-254
NSSA Settings
ルートを準スタブエリアにインポート、または準スタブエリア 3-255
からエクスポートするための設定を構成します。
Link State Database このルータのデータベースに保存されている様々な OSPF リン 3-257
Information
クステートアドバタイズメント（LSA）に関する情報を表示し
ます。
Border Router
Information
エリア境界ルータおよび自律システム境界ルータのルーティン 3-259
グテーブルエントリを表示します。
Neighbor
Information
OSPF エリア内の各インターフェースの隣接ルータに関する情 3-260
報を表示します。
DVMRP
3-265
General Settings
プルーンメッセージとグラフトメッセージ、およびルーティン 3-265
グ情報の交換に関するグローバル設定を構成します。
Interface Settings
インターフェースごとに DVMRP を有効 / 無効にし、ルートメ 3-268
トリックを設定します。
Neighbor
Information
隣接 DVMRP ルータを表示します。
3-270
Routing Table
DVMRP ルーティング情報を表示します。
3-271
PIM-DM
General Settings
スイッチで PIM-DM をグローバルに有効または無効にします。 3-273
Interface Settings
インターフェースごとに PIM-DM を有効または無効にし、hello、 3-273
プルーン、およびグラフトメッセージのプロトコル設定を構成
します。
Interface
Information
各インターフェースのサマリー情報を表示します。
3-276
Neighbor
Information
隣接 PIM-DM ルータを表示します。
3-276
3-11
3
スイッチの構成
基本構成
システム情報の表示
デバイス名、位置、および連絡先情報を表示して、システムを簡単に特定することができます。
フィールド属性
• 「System Name」 – スイッチシステムに付けられた名前
• 「Object ID」 – スイッチのネットワーク管理サブシステム用の MIB II オブジェクト ID
• 「Location」 – システム位置を指定します。
• 「Contact」 – システムを担当する管理者
• 「System Up Time」 – 管理エージェントの稼動時間
CLI では、さらに次のパラメータが表示されます。
• 「MAC Address」 – このスイッチの物理レイヤーアドレス
• 「Web server」 – HTTP による管理アクセスが有効にされているかどうかが示されます。
• 「Web server port」 – ウェブインターフェースで使用される TCP ポート番号が示されます。
• 「Web secure server」 – HTTPS による管理アクセスが有効にされていかどうかが示されます。
• 「Web secure server port」 – HTTPS インターフェースで使用される TCP ポートが示され
ます。
• 「Telnet server」 – Telnet による管理アクセスが有効にされているかどうかが示されます。
• 「Telnet server port」 – Telnet インターフェースで使用される TCP ポートが示されます。
• 「Authentication login」 – ユーザーログインの認証順序が示されます。
• 「Jumbo Frame」 – ジャンボフレームが有効にされているかどうかが示されます。
• 「POST result」 – パワーオンセルフテストの結果が示されます。
ウェブ – 「System」、「System Information」の順にクリックします。システム名、位置、お
よびシステム管理者の連絡先情報を指定し、「Apply」をクリックします（このページには、
Telnet でコマンドラインインターフェースにアクセスするための「Telnet」ボタンも表示さ
れる）。
図 3-3. システム情報
3-12
基本構成
3
CLI – ホスト名、位置、および連絡先情報を指定します。
Console(config)#hostname R&D 5
4-27
Console(config)#snmp-server location WC 9
4-113
Console(config)#snmp-server contact Ted
4-112
Console(config)#exit
Console#show system
4-62
System description: 44GE+4Combo Layer2/3/4 Stackable Switch
System OID string: 1.3.6.1.4.1.259.6.10.64
System information
System Up time:
0 days, 1 hours, 28 minutes, and 0.51 seconds
System Name:
R&D 5
System Location:
WC 9
System Contact:
Ted
MAC Address (Unit1):
00-20-1A-DF-9C-A0
MAC Address (Unit2):
00-20-1A-DF-9E-C0
Web Server:
Enabled
Web Server Port:
80
Web Secure Server:
Enabled
Web Secure Server Port: 443
Telnet Server:
Enable
Telnet Server Port:
23
Jumbo Frame:
Disabled
POST Result:
DUMMY Test 1 .................
UART Loopback Test ...........
DRAM Test ....................
Timer Test ...................
PCI Device 1 Test ............
I2C Bus Initialization .......
Switch Int Loopback Test .....
Crossbar Int Loopback Test ...
Fan Speed Test ...............
PASS
PASS
PASS
PASS
PASS
PASS
PASS
PASS
PASS
Done All Pass.
Console#
スイッチのハードウェア / ソフトウェアバージョンの表示
メインボードおよび管理ソフトウェアのハードウェア / ファームウェアバージョン番号や、
システムの電源ステータスを表示するには、「Switch Information」ページを使用します。
フィールド属性
Main Board
• 「Serial Number」 – スイッチのシリアル番号
• 「Number of Ports」 – 組込みポートの数
• 「Hardware Version」 – メインボードのハードウェアバージョン
• 「Internal Power Status」 – 内部電源のステータスが表示されます。
Management Software
• 「EPLD Version」 – EEPROM プログラマブルロジックデバイスのバージョン番号
• 「Loader Version」 – ローダーコードのバージョン番号
• 「Boot-ROM Version」 – パワーオンセルフテスト（POST）およびブートコードのバージョン
• 「Operation Code Version」 – ランタイムコードのバージョン番号
3-13
3
スイッチの構成
• 「Role」 – このスイッチがマスターまたはスレーブとして動作していることが示されます。
CLI では、さらに次のパラメータが表示されます。
• 「Unit ID」 – スタック内のユニット番号
• 「Redundant Power Status」 – 冗長電源のステータスが表示されます。
ウェブ – 「System」、「Switch Information」の順にクリックします。
図 3-4. スイッチ情報
CLI – バージョン情報を表示するには、次のコマンドを使用します。
Console#show version
Unit 1
Serial Number:
Hardware Version:
EPLD Version:
Number of Ports:
Main Power Status:
Redundant Power Status:
A429048179
R01
15.15
49
Up
Not present
Agent (Master)
Unit ID:
Loader Version:
Boot ROM Version:
Operation Code Version:
1
1.0.1.3
1.0.1.7
3.1.1.56
Console#
3-14
4-64
基本構成
3
ブリッジ拡張機能の表示
ブリッジ MIB は、マルチキャストフィルタリング、トラフィッククラス、およびバーチャル
LAN をサポートする管理対象デバイス用の拡張機能を備えています。これらの拡張機能にア
クセスし、キー変数のデフォルト設定を表示することができます。
フィールド属性
• 「Extended Multicast Filtering Services」 – このスイッチでは、GMRP （GARP マルチキャ
スト登録プロトコル）に基づく個々のマルチキャストアドレスのフィルタリングがサポー
トされません。
• 「Traffic Classes」 – このスイッチでは、ユーザープライオリティを複数のトラフィックク
ラスにマップできます（3-149 ページの「サービスクラスの構成」を参照）。
• 「Static Entry Individual Port」 – このスイッチでは、ユニキャストおよびマルチキャスト
アドレスのスタティックフィルタリングが可能です（3-111 ページの「スタティックアド
レスの設定」を参照）。
• 「VLAN Learning」 – このスイッチでは IVL （Independent VLAN Learning）が使用されま
す。各ポートにはそれぞれのフィルタリングデータベースが保持されます。
• 「Configurable PVID Tagging」 – このスイッチでは、各ポートのデフォルトのポート VLAN
ID （フレームタグで使用される PVID）およびイグレスステータス（VLAN タグ付きまた
はタグなし）を上書きすることができます（3-134 ページの「VLAN の構成」を参照）。
• 「Local VLAN Capable」 – このスイッチでは、802.1Q で定義された VLAN の範囲外の複数
ローカルブリッジがサポートされません。
• 「GMRP」 – GARP マルチキャスト登録プロトコル（GMRP）により、ネットワークデバイ
スはエンドステーションを複数のグループに登録できます。このスイッチでは GMRP がサ
ポートされません。インターネットグループマネジメントプロトコル（IGMP）を使用す
ることによって自動マルチキャストフィルタリング機能が提供されます。
ウェブ – 「System」、「Bridge Extension」の順にクリックします。
図 3-5. ブリッジ拡張コンフィギュレーションの表示
3-15
3
スイッチの構成
CLI – 次のコマンドを入力します。
Console#show bridge-ext
Max support VLAN numbers:
Max support VLAN ID:
Extended multicast filtering services:
Static entry individual port:
VLAN learning:
Configurable PVID tagging:
Local VLAN capable:
Traffic classes:
Global GVRP status:
GMRP:
Console#
4-209
256
4093
No
Yes
IVL
Yes
No
Enabled
Disabled
Disabled
ジャンボフレームのサポートの構成
このスイッチは、最大 9216 バイトのジャンボフレームをサポートすることで、大量のシー
ケンシャルデータ転送のスループットを効率化しています。最大 1.5 KB で実行する標準的な
イーサネットフレームと比較した場合、ジャンボフレームの使用により、プロトコルカプセ
ル化フィールドの処理に必要なパケットあたりのオーバーヘッドが大幅に削減されます。
コマンドの使用
ジャンボフレームを使用するには、送信元および宛先の両方のエンドノード（コンピュータ
またはサーバーなど）がこの機能をサポートしている必要があります。また、全二重で接続
している場合、 2 つのエンドノード間にあるネットワーク上のすべてのスイッチが、拡張フ
レームサイズに対応できる必要があります。半二重接続の場合、コリジョンドメイン内のす
べてのデバイスが、ジャンボフレームをサポートしている必要があります。
コマンド属性
「Jumbo Packet Status」 – ジャンボフレームのサポートを構成します（デフォルト : オフ）。
ウェブ – 「System」、「Jumbo Frames」の順にクリックします。ジャンボフレームのサポー
トを有効または無効にし、「Apply」をクリックします。
図 3-6. ジャンボフレームのサポートの構成
CLI – この例では、スイッチでジャンボフレームをグローバルに有効にしています。
Console(config)#jumbo frame
Console(config)#
3-16
4-65
基本構成
3
スイッチの IP アドレスの設定
この項目では、ネットワークを介して管理アクセスを行うための初期 IP インターフェースを
構成する方法について説明します。デフォルトでは、このスタックの IP アドレスは DHCP に
よって取得されます。アドレスを手動で構成するには、スタックのデフォルト設定を、ご使
用のネットワークに適した値に変更する必要があります。さらに、スタックと別のネットワー
クセグメント上の管理ステーション間にデフォルトゲートウェイを設定することが必要な
場合もあります（このスタックでルーティングが有効にされていない場合）。
特定の IP アドレスを手動で構成することも、BOOTP または DHCP サーバーからアドレスを
取得するようデバイスに指示することもできます。有効な IP アドレスは、ピリオドで区切ら
れた 0 ～ 255 の 4 つの 10 進数で構成されます。この形式に従っていないアドレスは CLI プ
ログラムで受理されません。
コマンドの使用
• この項目では、スタックへの初期アクセス用に単一のローカルインターフェースを構成す
る方法について説明します。このスタックに複数の IP インターフェースを構成するには、
VLAN ごとに IP インターフェースを設定する必要があります（3-208 ページ）。
• このスタック上の異なるインターフェース間でルーティングを有効にするには、IP ルーティ
ングを有効にする必要があります（3-207 ページ）。
• このスタックに定義されているインターフェースと外部ネットワークインターフェース間
でルーティングを有効にするには、スタティックルートを構成するか（3-223 ページ）、RIP
（3-225 ページ）または OSPF （3-235 ページ）によるダイナミックルーティングを使用す
る必要があります。
• IP インターフェースを構成する際は、「IP」 / 「General」 / 「Routing Interface」メニュー
（3-208 ページ）、スタティックルート（3-223 ページ）、ダイナミックルーティングの順に
優先されます。
コマンド属性
• 「VLAN」 – 構成済み VLAN の ID （1 ～ 4093）。デフォルトでは、スタックのすべてのポー
トが VLAN 1 のメンバーになります。ただし、管理ステーションについては、 IP アドレス
が割り当てられている VLAN であれば、任意の VLAN に属するポートに接続できます。
• 「IP Address Mode」 – IP 機能が手動構成（スタティック）、ダイナミックホスト構成プロ
トコル（DHCP）、ブートプロトコル（BOOTP）のどれによって有効にされるかを指定し
ます。 DHCP/BOOTP が有効にされている場合、サーバーから応答を受信するまで IP は機
能しません。スイッチから IP アドレスの要求が定期的にブロードキャストされます
（DHCP/BOOTP 値に IP アドレス、サブネットマスク、およびデフォルトゲートウェイを
含めることが可能）。
• 「IP Address」 – 管理ステーションが接続されている VLAN のアドレス（構成されている任
意の IP インターフェースからスタックを管理することが可能）。有効なアドレスは、ピリ
オドで区切られた 0 ～ 255 の 4 つの数値で構成されます（デフォルト : 0.0.0.0）。
• 「Subnet Mask」 – このマスクは、特定サブネットへのルーティングに使用されるホストア
ドレスビットを示します（デフォルト : 255.0.0.0）。
• 「Gateway」 – このスタックとほかのネットワークセグメント上の管理ステーション間に
あるゲートウェイルータの IP アドレス（デフォルト : 0.0.0.0）
3-17
3
スイッチの構成
手動構成
ウェブ – 「IP」、「General」、「Routing Interface」の順にクリックします。管理ステーション
が接続されている VLAN を選択し、「IP Address Mode」を「Static」に設定して、「プライマ
リ」インターフェースを指定します。 IP アドレス、サブネットマスク、およびゲートウェイ
を入力し、「Apply」をクリックします。
図 3-7. IP インターフェースの構成 - 手動
「IP」、「Global Setting」の順にクリックします。このスタックと管理ステーションが異なる
ネットワークセグメントに存在する場合、デフォルトゲートウェイを指定して、「Apply」を
クリックします。
図 3-8. デフォルトゲートウェイ
CLI – 管理インターフェース、 IP アドレス、およびデフォルトゲートウェイを指定します。
Console#config
Console(config)#interface vlan 1
Console(config-if)#ip address 10.1.0.253 255.255.255.0
Console(config-if)#exit
Console(config)#ip default-gateway 10.1.0.254
Console(config)#
3-18
4-148
4-249
4-251
基本構成
3
DHCP/BOOTP の使用
ご使用のネットワークで DHCP/BOOTP サービスが提供される場合、スタックの構成をこれ
らのサービスによって動的に行うよう構成することができます。
ウェブ – 「IP」、「General」、「Routing Interface」の順にクリックします。管理ステーション
を接続する VLAN を指定し、「IP Address Mode」を「DHCP」または「BOOTP」に設定しま
す。「Apply」をクリックして変更内容を保存します。次に、「Restart DHCP」をクリックして
新規アドレスを直ちに要求します。電源をリセットするたびに、スタックからも IP コンフィ
ギュレーション設定要求がブロードキャストされます。
図 3-9. IP インターフェースの構成 - DHCP
注 : 管理接続を失った場合、マスターユニットへのコンソール接続を確立し、「show ip interface」
と入力して、新規スタックアドレスを決定します。
CLI – 管理インターフェースを指定し、IP アドレスモードを DHCP または BOOTP に設定し
て、「ip dhcp restart client」コマンドを入力します。
Console#config
Console(config)#interface vlan 1
Console(config-if)#ip address dhcp
Console(config-if)#end
Console#ip dhcp restart client
Console#show ip interface
4-148
4-249
4-126
4-251
Vlan 1 is up, addressing mode is DHCP
Interface address is 192.168.1.253, mask is 255.255.255.0, Primary
MTU is 1500 bytes
Proxy ARP is disabled
Split horizon is enabled
Console#
3-19
3
スイッチの構成
DCHP の更新 – DHCP では、クライアントにアドレスを無期限に、または特定期間に渡って
リースすることができます。アドレスが期限切れになるかスタックが別のネットワークセグ
メントに移動されると、このスタックへの管理アクセスが失われます。この場合、スタックを
リブートするか、DHCP サービスを再起動するよう CLI でクライアント要求を発行できます。
ウェブ – DHCP によって割り当てられたアドレスが機能しなくなった場合、 IP 設定の更新を
ウェブインターフェースから行うことはできません。ウェブインターフェースから DHCP
サービスを再起動できるのは、現在のアドレスが使用可能な場合のみです。
CLI – DHCP サービスを再起動するには、次のコマンドを使用します。
Console#ip dhcp restart client
Console#
4-126
ファームウェアの管理
ファームウェアを TFTP サーバーにアップロードまたは TFTP サーバーからダウンロードした
り、スタック内のスイッチユニットへ、またはスイッチユニットからファイルをコピーでき
ます。ランタイムコードを TFTP サーバー上のファイルに保存すると、このファイルを後で
スイッチにダウンロードして、オペレーションを復元することができます。以前のバージョン
を上書きせずに、新規ファームウェアを使用するようスイッチを設定することも可能です。ファ
イルの転送方法と、必要な場合はファイルタイプとファイル名を指定する必要があります。
コマンド属性
• ファイル転送方法 – ファームウェアのコピーオペレーションとして次のオプションを選択
できます。
- 「file to file」 – ファイルに新しい名前を付けてスイッチディレクトリにコピーします。
- 「file to tftp」 – スイッチから TFTP サーバーにファイルをコピーします。
- 「tftp to file」 – TFTP サーバーからスイッチにファイルをコピーします。
- 「file to unit」 – スイッチからスタック内の別のユニットにファイルをコピーします。
- 「unit to file」 – スタック内の別のユニットからこのスイッチにファイルをコピーします。
• 「TFTP Server IP Address」 – TFTP サーバーの IP アドレス
• 「File Type」 – ファームウェアをコピーするオペコード（命令）を指定します。
• 「File Name」 – ファイル名にはスラッシュ（ \ または /）を含めることはできません。また、
ファイル名の先頭文字にはピリオド（.）を使用できません。ファイル名の最大長は、 TFTP
サーバーでは 127 文字、スイッチでは 31 文字です（有効な文字 : A ～ Z、 a ～ｚ、 0 ～ 9、
「.」、「-」、「_」）。
• 「Source/Destination Unit」 – スタックユニット（範囲 : 1 ～ 8）
注 : スイッチ上のファイルディレクトリには、システムソフトウェア（ランタイムファームウェ
ア）のコピーを 2 個まで保存できます。現在指定されているこのファイルのスタートアップ
バージョンを削除することはできません。
3-20
基本構成
3
サーバーからのシステムソフトウェアのダウンロード
ランタイムコードをダウンロードする場合、ダウンロード先ファイル名を指定して現在のイ
メージを置換したり、現在のランタイムコードファイルとは異なる名前でファイルをダウン
ロードし、新規ファイルをスタートアップファイルとして設定することができます。
ウェブ – 「System」、「File Management」、「Copy Operation」の順にクリックします。ファ
イル転送方法として「tftp to file」を選択し、 TFTP サーバーの IP アドレスを入力します。ファ
イルタイプを「opcode」に設定し、ダウンロードするソフトウェアのファイル名を入力しま
す。次に、上書きするスイッチ上のファイルを選択するか新規ファイル名を指定して、「Apply」
をクリックします。スタートアップに使用されている現在のファームウェアを置換した場合、
新しいオペレーションコードを使用して起動するには、「System」の「Reset」メニューから
システムをリブートします。
図 3-10. ファームウェアのコピー
新しい保存先ファイルにダウンロードした場合、「File Management」、「Set Start-Up」の順に
メニューを選択し、スタートアップ時に使用するオペレーションコードファイルのラジオボ
タンをオンにして、「Apply」をクリックします。新しいファームウェアを起動するには、
「System」の「Reset」メニューからシステムをリブートします。
図 3-11. スタートアップコードの設定
3-21
3
スイッチの構成
ファイルを削除するには、「System」、「File Management」、「Delete」の順に選択します。表
示されるリストで該当するファイル名のチェックボックスをオンにしてファイルを選択し、
「Apply」をクリックします。現在スタートアップコードとして指定されているファイルを削
除することはできません。
図 3-12. ファイルの削除
CLI – TFTP サーバーから新規ファームウェアをダウンロードするには、 TFTP サーバーの IP
アドレスを入力し、ファイルタイプとして「config」を選択します。次に、ダウンロード元
のファイル名とダウンロード先ファイル名を入力します。ファイルのダウンロードが完了し
たら、新規ファイルによってシステムを起動するよう設定し、スイッチを再起動します。
新規ファームウェアを起動するには、「reload」コマンドを入力するか、システムをリブート
します。
Console#copy tftp file
TFTP server ip address: 10.1.0.19
Choose file type:
1. config: 2. opcode: <1-2>: 2
Source file name: V3.1.1.21.bix
Destination file name: V31121
\Write to FLASH Programming.
-Write to FLASH finish.
Success.
Console#config
Console(config)#boot system opcode:V31121
Console(config)#exit
Console#reload
3-22
4-66
4-71
4-23
基本構成
3
コンフィギュレーション設定の保存または復元
コンフィギュレーション設定を TFTP サーバーにアップロードまたは TFTP サーバーからダ
ウンロードしたり、スタック内のスイッチユニットへ、またはスイッチユニットからファイ
ルをコピーできます。コンフィギュレーションファイルを後でダウンロードして、スイッチ
の設定を復元することができます。
コマンド属性
• ファイル転送方法 – コンフィギュレーションのコピーオペレーションとして次のオプショ
ンを選択できます。
- 「file to file」 – ファイルに新しい名前を付けてスイッチディレクトリにコピーします。
- 「file to running-config」 – スイッチのファイルを実行中のコンフィギュレーションにコ
ピーします。
- 「file to startup-config」 – スイッチのファイルをスタートアップコンフィギュレーション
にコピーします。
- 「file to tftp」 – スイッチから TFTP サーバーにファイルをコピーします。
- 「running-config to file」 – 実行中のコンフィギュレーションをファイルにコピーします。
- 「running-config to startup-config」 – 実行中のコンフィギュレーションをスタートアップ
コンフィギュレーションにコピーします。
- 「running-config to tftp」 – 実行中のコンフィギュレーションを TFTP サーバーにコピーし
ます。
- 「startup-config to file」 – スタートアップコンフィギュレーションをスイッチ上のファイ
ルにコピーします。
- 「startup-config to running-config」 – スタートアップコンフィギュレーションを実行中の
コンフィギュレーションにコピーします。
- 「startup-config to tftp」 – スタートアップコンフィギュレーションを TFTP サーバーにコ
ピーします。
- 「tftp to file」 – TFTP サーバーからスイッチにファイルをコピーします。
- 「tftp to running-config」 – TFTP サーバーから実行中のコンフィギュレーションにファイ
ルをコピーします。
- 「tftp to startup-config」 – TFTP サーバーからスタートアップコンフィギュレーションに
ファイルをコピーします。
- 「file to unit」 – スイッチからスタック内の別のユニットにファイルをコピーします。
- 「unit to file」 – スタック内の別のユニットからこのスイッチにファイルをコピーします。
• 「TFTP Server IP Address」 – TFTP サーバーの IP アドレス
• 「File Type」 – コンフィギュレーション設定をコピーするコンフィギュレーションを指定し
ます。
• 「File Name」 — コンフィギュレーションファイル名にはスラッシュ（\ または /）を含める
ことはできません。また、ファイル名の先頭文字にはピリオド（.）を使用できません。ファ
イル名の最大長は、 TFTP サーバー上では 127 文字、スイッチでは 31 文字です（有効な文
字 : A ～ Z、 a ～ｚ、 0 ～ 9、「.」、「-」、「_」）。
• 「Source/Destination Unit」 – スタックユニット（範囲 : 1 ～ 8）
注 : ユーザー定義のコンフィギュレーションファイルの最大数は、フラッシュメモリーの空き容
量によってのみ制限されます。
3-23
3
スイッチの構成
サーバーからのコンフィギュレーション設定のダウンロード
コンフィギュレーションファイルを新しいファイル名でダウンロードしてスタートアップ
ファイルとして設定したり、現在のスタートアップコンフィギュレーションファイルをダウ
ンロード先ファイルとして指定し、このファイルを直接置換できます。
「Factory_Default_Config.cfg」ファイルを TFTP サーバーにコピーすることはできますが、ス
イッチ上のダウンロード先ファイルとして使用することはできません。
ウェブ – 「System」、「File Management」、「Copy Operation」の順にクリックします。「tftp
to startup-config」または「tftp to file」を選択し、 TFTP サーバーの IP アドレスを入力します。
ダウンロードするファイルの名前を指定し、上書きするスイッチ上のファイルを選択するか
新規ファイル名を指定して、「Apply」をクリックします。
図 3-13. スタートアップ用のコンフィギュレーション設定のダウンロード
「tftp to startup-config」または「tftp to file」を使用して新しい名前のファイルにダウンロード
すると、このファイルが自動的にスタートアップコンフィギュレーションファイルとして設
定されます。新しい設定を使用するには、「System」の「Reset」メニューからシステムをリ
ブートします。「System」、「File Management」、「Set Start-Up」の順に選択して表示される
ページで、任意のコンフィギュレーションファイルをスタートアップコンフィギュレーショ
ンとして選択することもできます。
図 3-14. スタートアップコンフィギュレーション設定の設定
3-24
基本構成
3
CLI – TFTP サーバーの IP アドレスを入力し、サーバー上のダウンロード元ファイルを指定
します。次に、スイッチ上のスタートアップファイル名を設定し、スイッチを再起動します。
Console#copy tftp startup-config
TFTP server ip address: 192.168.1.19
Source configuration file name: config-1
Startup configuration file name [] : startup
\Write to FLASH Programming.
-Write to FLASH finish.
Success.
4-66
Console#reload
別のコンフィギュレーションファイルをスタートアップコンフィギュレーションとして選
択するには、 boot system コマンドを使用し、スイッチを再起動します。
Console#config
Console(config)#boot system config: startup
Console(config)#exit
Console#reload
4-71
4-23
コンソールポート設定
VT100 互換デバイスをスイッチのシリアルコンソールポートに接続して、オンボードの構成
プログラムにアクセスすることができます。コンソールポートを通じた管理アクセスは、パ
スワード、タイムアウト、基本的な通信設定など様々なパラメータで制御されます。これら
のパラメータは、ウェブまたは CLI インターフェースから構成できます。
コマンド属性
• 「Login Timeout」 – ユーザーによる CLI へのログインをシステムが待機する時間を設定し
ます。タイムアウト時間内にログインの試行が検知されない場合、そのセッションの接続
は切断されます（範囲 : 0 ～ 300 秒、デフォルト : 0）。
• 「Exec Timeout」 – ユーザー入力が検知されるまでシステムが待機する時間を設定します。
タイムアウト時間内にユーザー入力が検知されない場合、現在のセッションは終了します
（範囲 : 0 ～ 65535 秒、デフォルト : 0 秒）。
• 「Password Threshold」 – ログオン試行の失敗回数を制限するパスワード割込みしきい値
を設定します。ログオン試行のしきい値に達すると、指定された時間（「Silent Time」パラ
メータで設定）システムインターフェースが応答しなくなり、その後次のログオン試行を
行えるようになります（範囲 : 0 ～ 120 回、デフォルト : 3 回）。
• 「Silent Time」 – ログオン試行の失敗回数に達した後に、管理コンソールにアクセスできな
くなる時間を設定します（範囲 : 0 ～ 65535、デフォルト : 0）。
• 「Data Bits」 – コンソールポートで解釈、生成される文字当たりのデータビット数を設定
します。パリティが生成される場合、文字当たり 7 データビットを指定します。パリティ
が不要の場合、文字当たり 8 データビットを指定します（デフォルト : 8 ビット）。
• 「Parity」 – パリティビットの生成を定義します。一部の端末で提供される通信プロトコル
では、特定のパリティビットの設定が必要になります。「Even」、「Odd」、または「None」
を指定します（デフォルト : 「None」）。
• 「Speed」 – 端末ラインにおける送信（端末へ）および受信（端末から）のボーレートを設
定します。シリアルポートに接続されたデバイスのボーレートと同じスピードを設定しま
す（範囲 : 9600、19200、38400、57600、または 115200 ボー、「Auto」、デフォルト : 「Auto」）。
3-25
3
スイッチの構成
• 「Stop Bits」 – 1 バイト当たりの伝送ストップビット数を設定します
（範囲 : 1 ～ 2、デフォルト : 1 ストップビット）。
• 「Password」1 – ライン接続のパスワードを指定します。パスワード保護されたラインで接
続を確立しようとすると、システムによりパスワードの入力を求められます。正しいパス
ワードを入力すると、プロンプトが表示されます（デフォルト : パスワードなし）。
• 「Login」 1 – ログイン時のパスワードチェックを有効にします。「Password」パラメータ
に構成した単一のグローバルパスワードによる認証、または特定のユーザー名アカウント
に設定されたパスワードによる認証を選択できます（デフォルト : 「Local」）。
ウェブ – 「System」、「Line」、「Console」の順にクリックします。必要に応じてコンソール
ポート接続パラメータを指定し、「Apply」をクリックします。
図 3-15. コンソールポートの構成
1.
CLI のみ
3-26
基本構成
3
CLI – コンソールのラインコンフィギュレーションモードに切り替え、必要に応じて接続パ
ラメータを指定します。現在のコンソールポート設定を表示するには、 Normal Exec レベル
で show line コマンドを使用します。
Console(config)#line console
Console(config-line)#login local
Console(config-line)#password 0 secret
Console(config-line)#timeout login response 0
Console(config-line)#exec-timeout 0
Console(config-line)#password-thresh 5
Console(config-line)#silent-time 60
Console(config-line)#databits 8
Console(config-line)#parity none
Console(config-line)#speed auto
Console(config-line)#stopbits 1
Console(config-line)#end
Console#show line console
Console configuration:
Password threshold: 5 times
Interactive timeout: Disabled
Login timeout:
Disabled
Silent time:
60
Baudrate:
auto
Databits:
8
Parity:
none
Stopbits:
1
Console#
4-12
4-13
4-14
4-15
4-15
4-16
4-17
4-17
4-18
4-18
4-19
4-20
Telnet 設定
Telnet （すなわちバーチャル端末）を使用して、ネットワークを介してオンボードの構成プロ
グラムにアクセスできます。 Telnet による管理アクセスは有効 / 無効にできます。また、 TCP
ポート番号、タイムアウト、パスワードなど様々なパラメータを設定できます。これらのパ
ラメータは、ウェブまたは CLI インターフェースから構成できます。
コマンド属性
• 「Telnet Status」 – スイッチへの Telnet アクセスを有効または無効にします
（デフォルト : オン）。
• 「Telnet Port Number」 – スイッチの Telnet 用 TCP ポート番号を設定します
（デフォルト : 23）。
• 「Login Timeout」 – ユーザーによる CLI へのログインをシステムが待機する時間を設定し
ます。タイムアウト時間内にログインの試行が検知されない場合、そのセッションの接続
は切断されます（範囲 : 0 ～ 300 秒、デフォルト : 300 秒）。
• 「Exec Timeout」 – ユーザー入力が検知されるまでシステムが待機する時間を設定します。
タイムアウト時間内にユーザー入力が検知されない場合、現在のセッションは終了します
（範囲 : 0 ～ 65535 秒、デフォルト : 600 秒）。
• 「Password Threshold」 – ログオン試行の失敗回数を制限するパスワード割込みしきい値
を設定します。ログオン試行のしきい値に達すると、指定された時間（「Silent Time」パラ
メータで設定）システムインターフェースが応答しなくなり、その後次のログオン試行を
行えるようになります（範囲 : 0 ～ 120 回、デフォルト : 3 回）。
3-27
3
スイッチの構成
• 「Password」1 – ライン接続のパスワードを指定します。パスワード保護されたラインで接
続を確立しようとすると、システムによりパスワードの入力を求められます。正しいパス
ワードを入力すると、プロンプトが表示されます（デフォルト : パスワードなし）。
• 「Login」 1 – ログイン時のパスワードチェックを有効にします。「Password」パラメータ
に構成した単一のグローバルパスワードによる認証、または特定のユーザー名アカウント
に設定されたパスワードによる認証を選択できます（デフォルト : 「Local」）。
ウェブ – 「System」、「Line」、「Telnet」の順にクリックします。 Telnet アクセスの接続パラ
メータを指定し、「Apply」をクリックします。
図 3-16. Telnet インターフェースの構成
CLI – バーチャル端末のラインコンフィギュレーションモードに切り替え、必要に応じて接
続パラメータを指定します。現在のバーチャル端末設定を表示するには、 Normal Exec レベ
ルで show line コマンドを使用します。
Console(config)#line vty
Console(config-line)#login local
Console(config-line)#password 0 secret
Console(config-line)#timeout login response 300
Console(config-line)#exec-timeout 600
Console(config-line)#password-thresh 3
Console(config-line)#end
Console#show line vty
VTY configuration:
Password threshold: 3 times
Interactive timeout: 600 sec
Login timeout:
300 sec
Console#
1.
CLI のみ
3-28
4-12
4-13
4-14
4-15
4-15
4-16
4-20
基本構成
3
イベントロギングの構成
スイッチでは、スイッチメモリーに記録するイベントのタイプ、リモートのシステムログ
（syslog）サーバーへのロギング、最近のイベントメッセージリストの表示など、エラーメッ
セージのロギングを制御できます。
システムログの構成
システムでは、イベントロギングを有効または無効にしたり、 RAM またはフラッシュメモ
リーに記録するロギングレベルを指定できます。
フラッシュメモリーに記録される重大なエラーメッセージは永久的にスイッチに保存され
るため、ネットワーク問題のトラブルシューティングに役立ちます。フラッシュメモリーに
は最大 4096 件のログエントリを保存できます。使用可能なログメモリー（256 キロバイト）
に達すると、最も古いエントリから上書きされます。
「System Logs」ページでは、フラッシュまたは RAM メモリーに記録するシステムメッセー
ジを構成したり、制限することができます。デフォルトでは、イベントレベル 0 ～ 3 はフ
ラッシュメモリーに、レベル 0 ～ 7 は RAM に記録されます。
コマンド属性
• 「System Log Status」 – ロギングプロセスへのデバッグまたはエラーメッセージのロギン
グを有効 / 無効にします（デフォルト : 「Enabled」）。
• 「Flash Level」 – スイッチのパーマネントフラッシュメモリーに保存されるログメッセー
ジを、指定するレベルまでの全レベルに制限します。たとえば、レベル 3 を指定した場合、
レベル 0 ～ 3 のすべてのメッセージがフラッシュメモリーに記録されます
（範囲 : 0 ～ 7、デフォルト : 3）。
表 3-3. ロギングレベル
レベル
重大度名
説明
7
Debug
デバッグメッセージ
6
Informational
情報メッセージのみ
5
Notice
コールドスタートなど、標準的だが重要な状態
4
Warning
警告状態（false の戻り、予測外の戻りなど）
3
Error
エラー状態（無効な入力、デフォルトの使用など）
2
Critical
重大な状態（メモリー割当て、メモリー解放エラー - リソースの枯
渇など）
1
Alert
即座にアクションが必要な状態
0
Emergency
システム使用不可
* 現在のファームウェアリリースのエラーメッセージはレベル 2、 5、および 6 のみです。
• 「RAM Level」 – スイッチの一時 RAM メモリーに保存されるログメッセージを、指定する
レベルまでの全レベルに制限します。たとえば、レベル 7 を指定した場合、レベル 0 ～ 7
のすべてのメッセージが RAM に記録されます（範囲 : 0 ～ 7、デフォルト : 7）。
注 : 「Flash Level」は「RAM Level」以下である必要があります。
3-29
3
スイッチの構成
ウェブ – 「System」、「Logs」、「System Logs」の順にクリックします。「System Log Status」
を指定し、 RAM およびフラッシュメモリーに記録するイベントメッセージのレベルを設定し
て、「Apply」をクリックします。
図 3-17. システムログ
CLI – システムロギングを有効にし、RAM およびフラッシュメモリーに記録するメッセージ
のレベル指定します。現在の設定を表示するには、 show logging コマンドを使用します。
Console(config)#logging on
Console(config)#logging history ram 0
Console(config)#
Console#show logging ram
Syslog logging:
Disabled
History logging in RAM: level emergencies
Console#
4-45
4-46
4-49
リモートログの構成
「Remote Logs」ページでは、 syslog サーバーまたはその他の管理ステーションに送信される
メッセージのロギングを構成できます。レベルが指定レベル以上のイベントメッセージのみ
が送信されるよう制限することもできます。
コマンド属性
• 「Remote Log Status」 – リモートロギングプロセスへのデバッグまたはエラーメッセー
ジのロギングを有効 / 無効にします（デフォルト : 「Disabled」）。
• 「Logging Facility」 – syslog メッセージのリモートロギングの機能タイプを設定します。
機能タイプは 8 種類あり、それぞれ 16 ～ 23 の値で指定します。機能タイプは、ログメッ
セージを適切なサービスにディスパッチするために syslog サーバーで使用されます。
この属性では、 syslog メッセージで送信する機能タイプタグを指定します（RFC 3164 を
参照）。このタイプは、スイッチから報告されるメッセージの種類には影響しません。ただ
し、対応するデータベース内のメッセージのソートや保存などのメッセージ処理のため
syslog サーバーで使用されることがあります（範囲 : 16 ～ 23、デフォルト : 23）。
• 「Logging Trap」 – リモートの syslog サーバーに送信するログメッセージを、指定するレ
ベルまでの全レベルに制限します。たとえば、レベル 3 を指定した場合、レベル 0 ～ 3 の
すべてのメッセージがリモートサーバーに送信されます（範囲 : 0 ～ 7、デフォルト : 7）。
• 「Host IP List」 – syslog メッセージを受信するリモートサーバーの IP アドレスのリストを
表示します。ホスト IP アドレスの最大許容数は 5 個です。
• 「Host IP Address」 – 「Host IP List」に追加する新規サーバー IP アドレスを指定します。
3-30
基本構成
3
ウェブ – 「System」、「Logs」、「Remote Logs」の順にクリックします。「Host IP List」に IP
アドレスを追加するには、「Host IP Address」ボックスに新規 IP アドレスを入力して「Add」
をクリックします。 IP アドレスを削除するには、「Host IP List」で該当するエントリをクリッ
クして「Remove」をクリックします。
図 3-18. リモートログ
CLI – syslog サーバーのホスト IP アドレスを入力し、機能タイプを選択して、ロギングト
ラップを設定します。
Console(config)#logging host 10.1.0.9
Console(config)#logging facility 23
Console(config)#logging trap 4
Console(config)#logging trap
Console(config)#exit
Console#show logging trap
Syslog logging:
Enabled
REMOTELOG status:
Disabled
REMOTELOG facility type:
local use 7
REMOTELOG level type:
Warning conditions
REMOTELOG server ip address: 10.1.0.9
REMOTELOG server ip address: 0.0.0.0
REMOTELOG server ip address: 0.0.0.0
REMOTELOG server ip address: 0.0.0.0
REMOTELOG server ip address: 0.0.0.0
Console#
4-47
4-47
4-48
4-49
3-31
3
スイッチの構成
ログメッセージの表示
「Logs」ページでは、ログに記録されたシステムメッセージおよびイベントメッセージをス
クロールできます。スイッチには、一時ランダムアクセスメモリー（RAM、電源リセット時
にフラッシュされるメモリー）に最大 2048 件のログエントリーを、パーマネントフラッシュ
メモリーに最大 4096 件のエントリを保存できます。
ウェブ – 「System」、「Log」、「Logs」の順にクリックします。
図 3-19. ログの表示
CLI – この例では、 RAM に保存されているイベントメッセージを表示しています。
Console#show log ram
[1] 00:01:30 2001-01-01
"VLAN 1 link-up notification."
level: 6, module: 5, function: 1, and event no.: 1
[0] 00:01:30 2001-01-01
"Unit 1, Port 1 link-up notification."
level: 6, module: 5, function: 1, and event no.: 1
Console#
4-50
簡易メール転送プロトコルアラートの送信
システム管理者に問題を警告するために、スイッチでは、 SMTP （簡易メール転送プロトコ
ル）を使用して、指定レベルのイベントのロギングによってトリガーされる電子メールメッ
セージを送信することができます。メッセージはネットワーク上の指定の SMTP サーバーに
送信され、 POP または IMAP クライアントを使用して取得できます。
コマンド属性
• 「Admin Status」 – SMTP 機能を有効 / 無効にします（デフォルト : オン）。
• 「Email Source Address」 – アラートメッセージの「From」フィールドに使用する電子
メールアドレスを設定します。スイッチを識別するシンボリック電子メールアドレスを使
用することも、スイッチを担当する管理者のアドレスを使用することもできます。
• 「Severity」 – アラートメッセージのトリガーに使用する syslog 重大度しきい値レベル
（3-29 ページの表を参照）を設定します。このレベル以上のすべてのイベントが、構成され
た電子メール受信者に送信されます。たとえば、レベル 7 を使用した場合、レベル 7 ～ 0
のすべてのイベントが報告されます（デフォルト : レベル 7）。
3-32
基本構成
3
• 「SMTP Server List」 – 最大 3 台の受信 SMTP サーバーで構成されるリストを指定します。
最初のサーバーへの接続に失敗した場合、スイッチではリストのほかのサーバーへの接続
が試行されます。リストを構成するには、「New SMTP Server」テキストフィールドおよ
び「Add」 / 「Remove」ボタンを使用します。
• 「Email Destination Address List」 – アラートメッセージの電子メール受信者を指定しま
す。指定できる受信者は最大 5 人です。リストを構成するには、「New Email Destination
Address」テキストフィールドおよび「Add」 / 「Remove」ボタンを使用します。
ウェブ – 「System」、「Log」、「SMTP」の順にクリックします。 SMTP を有効にし、送信元
電子メールアドレスを指定し、最小の重大度レベルを選択します。「SMTP Server List」に IP
アドレスを追加するには、「SMTP Server」フィールドに新規 IP アドレスを入力して「Add」
をクリックします。 IP アドレスを削除するには、「SMTP Server List」で該当するエントリを
クリックし、「Remove」をクリックします。アラートメッセージを受信する電子メールアド
レスを最大 5 個指定し、「Apply」をクリックします。
図 3-20. SMTP アラートの有効化と構成
3-33
3
スイッチの構成
CLI – 少なくとも 1 つの SMTP サーバーの IP アドレスを入力し、電子メールメッセージを
トリガーする syslog 重大度レベルを設定します。次に、スイッチ（送信元）と、最大 5 個の
受信者（宛先）電子メールアドレスを指定します。 logging sendmail コマンドで SMTP を
有効にし、構成を完了します。現在の SMTP コンフィギュレーションを表示するには、 show
logging sendmail コマンドを使用します。
Console(config)#logging sendmail host 192.168.1.4
Console(config)#logging sendmail level 3
Console(config)#logging sendmail source-email [email protected]
Console(config)#logging sendmail destination-email [email protected]
Console(config)#logging sendmail
Console(config)#exit
Console#show logging sendmail
SMTP servers
----------------------------------------------1. 192.168.1.4
4-51
4-52
4-52
4-53
4-53
4-54
SMTP minimum severity level: 4
SMTP destination email addresses
----------------------------------------------1. [email protected]
SMTP source email address: [email protected]
SMTP status:
Console#
Enabled
スタックの再番号付け
何度かのトポロジ変更または障害によってユニットの番号が連番でなくなった場合、
「Renumbering」コマンドを使用してユニット番号を再設定できます。スタックマスターの電
源を切る前に、必ず新規コンフィギュレーション設定をスタートアップコンフィギュレー
ションファイルに保存してください。
コマンドの使用
• スタートアップコンフィギュレーションファイルでは、ユニット識別番号に基づいて、ス
タック内の各スイッチにコンフィギュレーション設定がマップされます。そのため、スタッ
クに再番号付けしたら、必ず現在のコンフィギュレーションを保存してください。
• ライントポロジでは、単純に上から下へとスタックの番号が付けられるため、スタック内
の最初のユニットがユニット 1 として定義されます。一方、リングトポロジでは、スタッ
クのマスターとして指定されたマスターユニットにユニット 1 の番号がつけられ、その他
すべてのユニットにはリングに沿って順番に番号が付けられます。
ウェブ – 「System」、「Renumbering」の順にクリックします。
図 3-21. スタックの再番号付け
3-34
基本構成
3
CLI – この例では、スタック内のすべてのユニットに再番号付けしています。
Console#switch all renumber
Console#
4-27
システムのリセット
ウェブ – 「System」、「Reset」の順にクリックします。「Reset」ボタンをクリックして、ス
イッチを再起動します。確認メッセージが表示されたら、スイッチのリセットを確定します。
図 3-22. システムのリセット
CLI – スイッチを再起動するには、 reload コマンドを使用します。
Console#reload
System will be restarted, continue <y/n>?
4-23
注 : システムの再起動時には、必ずパワーオンセルフテストが実行されます。
システムクロックの設定
簡易ネットワークタイムプロトコル（SNTP）により、スイッチではタイムサーバー（SNTP
または NTP）から定期的に送信される更新に基づいて内部クロックを設定できます。スイッ
チで時刻を正確に保つことにより、システムログに記録されるイベントエントリの日付や時
刻は意味のあるものになります。 CLI を使用して、手動でクロックを設定することも可能です
（4-58 ページの「calendar set」を参照）。クロックが設定されていない場合、スイッチでは、
最後のブート時に設定された出荷時のデフォルトからの時刻のみが記録されます。
SNTP クライアントが有効にされている場合、スイッチから構成済みタイムサーバーに時刻
更新要求が定期的に送信されます。最大 3 つのタイムサーバー IP アドレスを構成できます。
スイッチにより、構成されている順序で各サーバーがポーリングされます。
SNTP の構成
スイッチからタイムサーバーに時刻同期要求を送信するよう構成できます。
コマンド属性
• 「SNTP Client」 – スイッチが SNTP クライアントとして動作するよう構成します。そのた
めには、「SNTP Server」フィールドに少なくとも 1 つのタイムサーバーを指定する必要
があります（デフォルト : オフ）。
• 「SNTP Poll Interval」 – タイムサーバーに時刻更新要求を送信する間隔を設定します
（範囲 : 16 ～ 16384 秒、デフォルト : 16 秒）。
• 「SNTP Server」 – 最大 3 つのタイムサーバーの IP アドレスを設定します。スイッチでは、
まず最初のサーバーから時刻更新の取得が試行されます。これに失敗した場合、次のサー
バーから順に更新の取得が試行されます。
3-35
3
スイッチの構成
ウェブ – 「SNTP」、「Configuration」の順に選択します。必要なパラメータを変更し、「Apply」
をクリックします。
図 3-23. SNTP の構成
CLI – この例では、 SNTP クライアントとして動作するようスイッチを構成し、現在の時刻と
設定を表示しています。
Console(config)#sntp client
Console(config)#sntp poll 16
Console(config)#sntp server 10.1.0.19 137.82.140.80 128.250.36.2
Console(config)#exit
Console#show sntp
Current time: Jan 6 14:56:05 2004
Poll interval: 60
Current mode: unicast
SNTP status : Enabled
SNTP server 10.1.0.19 137.82.140.80 128.250.36.2
Current server: 128.250.36.2
Console#
4-55
4-56
4-56
4-57
タイムゾーンの設定
SNTP では、経度 0 度の子午線上の時刻を基準とした協定世界時（UTC、以前のグリニッジ
標準時（GMT））が使用されます。現地時間に相当する時刻を表示するには、該当するタイム
ゾーンが UTC の何時間何分東（前）または西（後）かを指定する必要があります。
コマンド属性
• 「Current Time」 – 現在時刻が表示されます。
• 「Name」 – タイムゾーンに名前を付けます（範囲 : 1 ～ 29 文字）。
• 「Hours (0-13)」 – UTC の何時間前 / 後かを指定します。
• 「Minutes (0-59)」 – UTC の何分前 / 後かを指定します。
• 「Direction」 – タイムゾーンが UTC の前（東）か後（西）かを構成します。
3-36
簡易ネットワーク管理プロトコル
3
ウェブ – 「SNTP」、「Clock Time Zone」の順に選択します。 UTC を基準としたタイムゾーン
のオフセットを設定し、「Apply」をクリックします。
図 3-24. クロックのタイムゾーン
CLI - この例には、システムクロックのタイムゾーンの設定方法が示されています。
Console(config)#clock timezone Dhaka hours 6 minute 0 after-UTC
Console#
4-57
簡易ネットワーク管理プロトコル
簡易ネットワーク管理プロトコル（SNMP）は、ネットワーク上のデバイスを管理するために
設計された通信プロトコルです。一般に SNMP で管理される機器として、スイッチ、ルータ、
ホストコンピュータなどがあります。通常、 SNMP は、このようなデバイスがネットワーク
環境で正しく動作するよう構成するほか、デバイスを監視することによって性能を評価した
り潜在的な問題を検知するために使用します。
SNMP をサポートする管理対象デバイスには、デバイス上でローカルに実行される、エージェ
ントと呼ばれるソフトウェアが搭載されています。定義された一連の変数は管理対象オブ
ジェクトと呼ばれ、デバイスを管理するために SNMP エージェントで管理、使用されます。
これらのオブジェクトは、エージェントで制御される情報が標準的な形で表現された管理情
報ベース（MIB）に定義されます。 SNMP では、 MIB 仕様の形式とネットワーク経由でこの
情報にアクセスするためのプロトコルが両方定義されています。
スイッチには、 SNMP バージョン 1、 2c、および 3 をサポートするオンボードのエージェン
トが搭載されています。このエージェントにより、スイッチのハードウェアのステータスお
よびポートを通過するトラフィックが継続的に監視されます。ネットワーク管理ステーショ
ンは、 HP OpenView などのソフトウェアを使用してこの情報にアクセスできます。クライア
ントからの SNMP v1 および v2c によるオンボードのエージェントへのアクセスは、コミュニ
ティストリングで制御されます。スイッチと通信を行うには、管理ステーションがまず有効
なコミュニティストリングを送信し、認証を受ける必要があります。
クライアントからスイッチへのアクセスに SNMPv3 を使用する場合はセキュリティ機能が
強化され、メッセージの整合性、認証、および暗号化がサポートされるほか、 MIB ツリーの
特定エリアへのユーザーアクセスを制御することができます。
3-37
3
スイッチの構成
SNMPv3 セキュリティ構造はセキュリティモデルで構成され、各モデルにはそれぞれセキュ
リティレベルが割り当てられています。セキュリティモデルとして SNMPv1、 SNMPv2c、
および SNMPv3 の 3 つが定義されています。ユーザーは、セキュリティモデルで定義され、
セキュリティレベルが指定された「グループ」に割り当てられます。各グループでも一連の MIB
オブジェクトに対する読取りおよび書込みセキュリティアクセスが定義されます。これらは
「ビュー」と呼ばれます。スイッチには、セキュリティモデル v1 および v2c 用のデフォルト
ビュー（すべての MIB オブジェクト）とデフォルトグループが定義されています。次の表に、
使用可能なセキュリティモデルとレベル、およびシステムのデフォルト設定を示します。
表 3-4. SNMPv3 のセキュリティモデルとレベル
モデルレベル
グループ
読取り
ビュー
書込み
ビュー
通知
ビュー
セキュリティ
v1
noAuthNoPriv public
（読取り
専用）
defaultview なし
なし
コミュニティストリング
のみ
v1
noAuthNoPriv private
（読み書
き可能）
defaultview defaultview なし
コミュニティストリング
のみ
v1
noAuthNoPriv ユーザー
定義
ユーザー
定義
ユーザー
定義
コミュニティストリング
のみ
v2c
noAuthNoPriv public
（読取り
専用）
defaultview なし
なし
コミュニティストリング
のみ
v2c
noAuthNoPriv private
（読み書
き可能）
defaultview defaultview なし
コミュニティストリング
のみ
v2c
noAuthNoPriv ユーザー
定義
ユーザー
定義
ユーザー
定義
ユーザー
定義
コミュニティストリング
のみ
v3
noAuthNoPriv ユーザー
定義
ユーザー
定義
ユーザー
定義
ユーザー
定義
ユーザー名の合致のみ
v3
AuthNoPriv
ユーザー
定義
ユーザー
定義
ユーザー
定義
ユーザー
定義
MD5 または SHA アルゴ
リズムによるユーザー認
証を提供
v3
AuthPriv
ユーザー
定義
ユーザー
定義
ユーザー
定義
ユーザー
定義
MD5 または SHA アルゴ
リズムによるユーザー認
証および DES 56 ビット
暗号化を使用したデータ
プライバシを提供
ユーザー
定義
注 : あらかじめ定義されているデフォルトのグループおよびビューはシステムから削除できます。
その後、アクセスを必要とする SNMP クライアント用にカスタマイズされたグループとビュー
を定義できます。
3-38
簡易ネットワーク管理プロトコル
3
SNMP エージェントの有効化
すべての管理クライアント（バージョン 1、 2c、 3）で SNMPv3 サービスを有効にします。
コマンド属性
• 「SNMP Agent Status」 – スイッチで SNMP を有効にします。
ウェブ – 「SNMP」、「Agent Status」の順にクリックします。「Enabled」チェックボックスを
オンにして SNMP エージェントを有効にし、「Apply」をクリックします。
図 3-25. SNMP エージェントの有効化
CLI – この例では、スイッチで SNMP を有効にしています。
Console(config)#snmp-server
Console(config)#
4-110
コミュニティアクセスストリングの設定
SNMP v1 および v2c によるクライアントの管理アクセスを許可するコミュニティストリン
グを最大 5 つ構成できます。IP トラップマネージャで使用するすべてのコミュニティストリ
ングをこのテーブルに登録する必要があります。セキュリティ上、デフォルトのストリング
を削除することをお勧めします。
コマンド属性
• 「SNMP Community Capability」 – スイッチでサポートされるコミュニティストリングは
最大 5 つです。
• 「Current」 – 現在構成されているコミュニティストリングのリストが表示されます。
• 「Community String」 – パスワードと同様に機能し、 SNMP プロトコルへのアクセスを許
可するコミュニティストリング
デフォルトストリング : public （読取り専用アクセス）、 private （読み書き可能アクセス）
範囲 : 1 ～ 32 文字。大文字と小文字は区別されます。
• 「Access Mode」 – コミュニティストリングのアクセス権を指定します。
- 「Read-Only」 – 許可された管理ステーションは MIB オブジェクトの取得のみを行えます。
- 「Read/Write」 – 許可された管理ステーションは、 MIB オブジェクトの取得および変更を
両方行うことができます。
3-39
3
スイッチの構成
ウェブ – 「SNMP」、「Configuration」の順にクリックします。必要に応じて新規コミュニティ
ストリングを追加し、「Access Mode」ドロップダウンリストからアクセス権を選択して、
「Add」をクリックします。
図 3-26. SNMP コミュニティストリングの構成
CLI – 次の例では、読み書き可能アクセス権を持つ「spiderman」というストリングを追加し
ています。
Console(config)#snmp-server community spiderman rw
Console(config)#
4-112
トラップマネージャおよびトラップタイプの指定
ステータスの変化を示すトラップがスイッチから指定のトラップマネージャに発行されま
す。このスイッチから管理ステーションに主要なイベントが報告されるようトラップマネー
ジャを指定する必要があります（HP OpenView などのネットワーク管理プラットフォームを
使用）。スイッチから送信される認証失敗メッセージやその他のトラップメッセージを受信す
る管理ステーションは、最大 5 台まで指定できます。
コマンドの使用
• SNMP バージョン 3 ホストを指定した場合、「Trap Manager Community String」は SNMP
ユーザー名として解釈されます。 V3 の認証または暗号化オプション（「authNoPriv」また
は「authPriv」）を使用する場合、最初に「SNMPv3 Users」ページ（3-44 ページ）でユー
ザー名を定義しておく必要があります。ユーザー名が定義されていない場合、認証パスワー
ドまたはプライバシパスワード、あるいはその両方が存在しないため、ホストに対する
SNMP アクセスがスイッチで許可されません。ただし、 V3 ホストを指定し、認証なし
（「noAuth」）オプションを指定した場合は、 SNMP ユーザーアカウントが自動的に生成さ
れるため、スイッチでホストへの SNMP アクセスが許可されます。
• デフォルトでは、通知はスイッチからトラップメッセージとして発行されます。トラップ
メッセージの受信者はスイッチに応答を送信しません。すなわち、トラップには、受信の
肯定応答要求が含まれるインフォームメッセージほどの信頼性はありません。インフォー
ムを使用すると、重要な情報がホストで受信されたことを確認できます。ただし、応答を
受信するまでインフォームをメモリーに保存しておく必要があるため、より多くのシステ
ムリソースが消費されます。また、ネットワークトラフィックも増加します。通知をト
ラップとインフォームのどちらで発行するかを決定する際は、これらの影響について考慮
してください。
3-40
簡易ネットワーク管理プロトコル
3
SNMPv2c ホストにインフォームを送信するには、次の手順に従います。
1.
SNMP エージェントを有効にします（3-39 ページ）。
2.
以降のページの手順に従ってトラップインフォームを有効にします。
3.
必要な通知メッセージが含まれるビューを作成します（3-52 ページ）。
4.
必要な通知ビューが含まれるグループを作成します（3-48 ページ）。
SNMPv3 ホストにインフォームを送信するには、次の手順に従います。
1.
SNMP エージェントを有効にします（3-39 ページ）。
2.
以降のページの手順に従ってトラップインフォームを有効にします。
3.
必要な通知メッセージが含まれるビューを作成します（3-52 ページ）。
4.
必要な通知ビューが含まれるグループを作成します（3-48 ページ）。
5.
ユーザーが存在するリモートエンジン ID を指定します（3-43 ページ）。
6.
次に、リモートユーザーを構成します（3-46 ページ）。
コマンド属性
• 「Trap Manager Capability」 – このスイッチでは最大 5 つのトラップマネージャがサポー
トされます。
• 「Current」 – 現在構成されているトラップマネージャのリストが表示されます。
• 「Trap Manager IP Address」 – 通知メッセージを受信する新規管理ステーションの IP アド
レス
• 「Trap Manager Community String」 ends 新規トラップマネージャエントリの有効なコ
ミュニティストリングを指定します。このストリングは「Trap Managers」テーブルでも
設定できますが、「SNMP Configuration」ページでこのストリングを定義するか（バージョ
ン 1 または 2c クライアントの場合）、「SNMPv3 Users」ページの「User Name」に該当す
るユーザー名を定義する（バージョン 3 クライアントの場合）ことをお勧めします
（範囲 : 1 ～ 32 文字、大文字と小文字は区別される）。
• 「Trap UDP Port」 – トラップマネージャが使用する UDP ポート番号を指定します。
• 「Trap Version」 – ユーザーが SNMP v1、 v2c、 v3 のどれを実行しているかを指定します
（デフォルト : v1）。
• 「Trap Security Level」 – トラップバージョン 3 を選択した場合、次のいずれかのセキュリ
ティレベルを指定する必要があります（デフォルト : 「noAuthNoPriv」）。
- 「noAuthNoPriv」 – SNMP 通信に認証または暗号化は使用されません。
- 「AuthNoPriv」 – SNMP 通信に認証は使用されますが、データは暗号化されません
（SNMPv3 セキュリティモデルでのみ使用可能）。
- 「AuthPriv」 – SNMP 通信に認証および暗号化が両方使用されます（SNMPv3 セキュリ
ティモデルでのみ使用可能）。
• 「Trap Inform」 – 通知がインフォームメッセージとして送信されます。このオプションは
バージョン 2c および 3 ホストでのみ使用できます（デフォルト : トラップを使用）。
- 「Timeout」 – 肯定応答を待機する秒数。この時間が経過すると、インフォームメッセー
ジが再送信されます（範囲 : 0 ～ 2147483647 センチ秒、デフォルト : 1500 センチ秒）。
- 「Retry times」 – 受信者から受信の肯定応答が返されない場合にインフォームメッセー
ジを再送信する最大回数（範囲 : 0 ～ 255、デフォルト : 3）
3-41
3
スイッチの構成
• 「Enable Authentication Traps」1 – SNMP 要求の認証に失敗するたびに、指定の IP トラッ
プマネージャに通知メッセージを発行します（デフォルト : オン）。
• 「Enable Link-up and Link-down Traps」1 – ポートリンクが確立または切断されるたびに
通知メッセージを発行します（デフォルト : オン）。
ウェブ – 「SNMP」、「Configuration」の順にクリックします。トラップメッセージを受信す
る各管理ステーションの IP アドレスとコミュニティストリングを入力し、 UDP ポート、
SNMP トラップバージョン、トラップセキュリティレベル（v3 クライアントの場合）、ト
ラップインフォーム設定（v2c/v3 クライアントの場合）を指定して、「Add」をクリックしま
す。「Enable Authentication Traps」および「Enable Link-up and Link-down Traps」チェック
ボックスを使用して必要なトラップタイプを選択し、「Apply」をクリックします。
図 3-27. SNMP トラップマネージャの構成
CLI – この例では、トラップマネージャを追加し、認証トラップを有効にしています。
Console(config)#snmp-server host 10.1.19.23 private version
2c udp-port 162
Console(config)#snmp-server enable traps authentication
4-113
4-116
SNMPv3 管理アクセスの構成
スイッチへの SNMPv3 管理アクセスを構成するには、次の手順に従います。
1.
デフォルトのエンジン ID を変更する場合、ほかの SNMP パラメータを構成する前に行
います。
2.
スイッチの MIB ツリーの読取りおよび書込みアクセスビューを指定します。
3.
必要なセキュリティモデル（SNMP v1、 v2c、または v3）およびセキュリティレベル
（認証およびプライバシ）を保持する SNMP ユーザーグループを構成します。
4.
SNMP ユーザーを、特定の認証およびプライバシパスワードとともにグループに割り当
てます。
1.
これらはレガシー通知であるため、 SNMP バージョン 3 ホストで使用する場合は、通知ビューの
対応するエントリとともに有効にする必要があります（3-48 ページ）。
3-42
簡易ネットワーク管理プロトコル
3
ローカルエンジン ID の設定
SNMPv3 エンジンは、スイッチに存在する独立した SNMP エージェントです。このエンジン
によりメッセージの応答、遅延、およびリダイレクトが防止されます。また、エンジン ID は、
SNMPv3 パケットの認証および暗号化のためのセキュリティキーを生成するためにユー
ザーパスワードとともに使用されます。
ローカルエンジン ID は、スイッチで一意の ID として自動的に生成されます。これはデフォ
ルトエンジン ID と呼ばれます。ローカルエンジン ID が削除または変更されると、すべての
SNMP ユーザーが消去されます。既存のすべてのユーザーを再構成する必要があります。
1 ～ 26 文字の 16 進数文字を入力して新規エンジン ID を指定できます。指定した文字が 26
文字未満の場合、値に後続ゼロが追加されます。たとえば、「1234」という値は、「1234」の
後に 22 個のゼロを付けた値に相当します。
ウェブ – 「SNMP」、「SNMPv3」、「Engine ID」の順にクリックします。最大 26 文字の 16 進
数文字で構成される ID を入力し、「Save」をクリックします。
図 3-28. SNMPv3 エンジン ID の設定
CLI – この例では、 SNMPv3 エンジン ID を設定しています。
Console(config)#snmp-server engine-id local 12345abcdef
Console(config)#exit
Console#show snmp engine-id
Local SNMP engineID: 8000002a8000000000e8666672
Local SNMP engineBoots: 1
Console#
4-117
4-118
リモートエンジン ID の指定
インフォームメッセージをリモートデバイス上の SNMPv3 ユーザーに送信するには、まず
ユーザーが存在するリモートデバイス上の SNMP エージェントのエンジン識別子を指定す
る必要があります。リモートエンジン ID は、リモートホスト上のユーザーに送信されたパ
ケットの認証および暗号化に使用されるセキュリティダイジェストを計算するために使用さ
れます。
SNMP パスワードは、権限エージェントのエンジン ID を使用してローカライズされます。イ
ンフォームの場合、権限 SNMP エージェントはリモートエージェントです。すなわち、プロ
キシ要求またはインフォームを送信する前に、リモートエージェントの SNMP エンジン ID
を構成する必要があります（3-40 ページの「トラップマネージャおよびトラップタイプの指
定」および 3-46 ページの「リモート SNMPv3 ユーザーの構成」を参照）。
3-43
3
スイッチの構成
1 ～ 26 文字の 16 進数文字を入力してエンジン ID を指定できます。指定した文字が 26 文字
未満の場合、値に後続ゼロが追加されます。たとえば、「1234」という値は、「1234」の後に
22 個のゼロを付けた値に相当します。
ウェブ – 「SNMP」、「SNMPv3」、「Remote Engine ID」の順にクリックします。最大 26 文字
の 16 進数文字で構成される ID を入力し、「Save」をクリックします。
図 3-29. エンジン ID の設定
CLI – この例では、リモート SNMPv3 エンジン ID を指定しています。
Console(config)#snmp-server engineID remote 54321 192.168.1.19
Console(config)#exit
Console#show snmp engine-id
Local SNMP engineID: 8000002a8000000000e8666672
Local SNMP engineBoots: 1
Remote SNMP engineID
80000000030004e2b316c54321
Console#
4-117
4-118
IP address
192.168.1.19
SNMPv3 ユーザーの構成
各 SNMPv3 ユーザーは一意の名前で定義します。ユーザーには特定のセキュリティレベルを
構成し、グループに割り当てる必要があります。割り当てた SNMPv3 グループによって、ユー
ザーは特定の読取り、書込み、または通知ビューに制限されます。
コマンド属性
• 「User Name」 – SNMP エージェントに接続するユーザーの名前（範囲 : 1 ～ 32 文字）
• 「Group Name」 – ユーザーを割り当てる SNMP グループの名前（範囲 : 1 ～ 32 文字）
• 「Security Model」 – ユーザーのセキュリティモデル（SNMP v1、 v2c、または v3）
• 「Security Level」 – ユーザーに使用するセキュリティレベル
- 「noAuthNoPriv」 – SNMP 通信に認証または暗号化は使用されません（SNMPv3 のデフォ
ルト）。
- 「AuthNoPriv」 – SNMP 通信に認証は使用されますが、データは暗号化されません
（SNMPv3 セキュリティモデルでのみ使用可能）。
- 「AuthPriv」 – SNMP 通信に認証および暗号化が両方使用されます（SNMPv3 セキュリ
ティモデルでのみ使用可能）。
• 「Authentication Protocol」 – ユーザー認証に使用する方式
（オプション : 「MD5」、「SHA」、デフォルト : 「MD5」）
• 「Authentication Password」 – 少なくとも 8 文字のプレーンテキスト文字が必要です。
• 「Privacy Protocol」 – データプライバシに使用する暗号化アルゴリズム。現時点では 56
ビット DES のみを使用できます。
3-44
簡易ネットワーク管理プロトコル
3
• 「Privacy Password」 – 少なくとも 8 文字のプレーンテキスト文字が必要です。
• 「Actions」 – ユーザーを別の SNMPv3 グループに割り当てることができます。
ウェブ – 「SNMP」、「SNMPv3」、「Users」の順にクリックします。ユーザー名を構成するに
は、「New」をクリックします。「New User」ページで、名前を定義してグループに割り当て、
「Add」をクリックします。コンフィギュレーションが保存され、「User Name」リストに戻り
ます。ユーザーを削除するには、該当するユーザー名の横にあるチェックボックスをオンに
し、「Delete」をクリックします。ユーザーが割り当てられているグループを変更するには、
ユーザーテーブルの「Actions」列で「Change Group」をクリックし、新規グループを選択
します。
図 3-30. SNMPv3 ユーザーの構成
3-45
3
スイッチの構成
CLI – 新規ユーザー名を構成してグループに割り当てるには、 snmp-server user コマンドを
使用します。
Console(config)#snmp-server user chris group r&d v3 auth md5
greenpeace priv des56 einstien
Console(config)#exit
Console#show snmp user
EngineId: 80000034030001f488f5200000
User Name: chris
Authentication Protocol: md5
Privacy Protocol: des56
Storage Type: nonvolatile
Row Status: active
4-122
4-124
Console#
リモート SNMPv3 ユーザーの構成
各 SNMPv3 ユーザーは一意の名前で定義します。ユーザーには特定のセキュリティレベルを
構成し、グループに割り当てる必要があります。割り当てた SNMPv3 グループによって、ユー
ザーは特定の読取りおよび書込みビューに制限されます。
インフォームメッセージをリモートデバイス上の SNMPv3 ユーザーに送信するには、まず
ユーザーが存在するリモートデバイス上の SNMP エージェントのエンジン識別子を指定す
る必要があります。リモートエンジン ID は、リモートホスト上のユーザーに送信されたパ
ケットの認証および暗号化に使用されるセキュリティダイジェストを計算するために使用さ
れます（3-40 ページの「トラップマネージャおよびトラップタイプの指定」および 3-43 ペー
ジの「リモートエンジン ID の指定」を参照）。
コマンド属性
• 「User Name」 – SNMP エージェントに接続するユーザーの名前（範囲 : 1 ～ 32 文字）
• 「Group Name」 – ユーザーを割り当てる SNMP グループの名前（範囲 : 1 ～ 32 文字）
• 「Engine ID」 – リモートユーザーが存在するリモートデバイス上の SNMP エージェントの
エンジン識別子。リモートエンジン識別子は、リモートユーザーを構成する前に指定して
おく必要があります（3-43 ページの「リモートエンジン ID の指定」を参照）。
• 「Remote IP」 – ユーザーが存在するリモートデバイスのインターネットアドレス
• 「Security Model」 – ユーザーのセキュリティモデル（SNMP v1、 v2c、または v3）
（デフォルト : v1）
• 「Security Level」 – ユーザーに使用するセキュリティレベル
- 「noAuthNoPriv」 – SNMP 通信に認証または暗号化は使用されません（SNMPv3 のデフォ
ルト）。
- 「AuthNoPriv」 – SNMP 通信に認証は使用されますが、データは暗号化されません
（SNMPv3 セキュリティモデルでのみ使用可能）。
- 「AuthPriv」 – SNMP 通信に認証および暗号化が両方使用されます（SNMPv3 セキュリ
ティモデルでのみ使用可能）。
• 「Authentication Protocol」 – ユーザー認証に使用する方式
（オプション : 「MD5」、「SHA」、デフォルト : 「MD5」）
• 「Authentication Password」 – 少なくとも 8 文字のプレーンテキスト文字が必要です。
• 「Privacy Protocol」 – データプライバシに使用する暗号化アルゴリズム。現時点では 56
ビット DES のみを使用できます。
3-46
簡易ネットワーク管理プロトコル
3
• 「Privacy Password」 – 少なくとも 8 文字のプレーンテキスト文字が必要です。
ウェブ – 「SNMP」、「SNMPv3」、「Remote Users」の順にクリックします。ユーザー名を構
成するには、「New」をクリックします。「New User」ページで、名前を定義してグループに
割り当て、「Add」をクリックします。コンフィギュレーションが保存され、「User Name」リ
ストに戻ります。ユーザーを削除するには、該当するユーザー名の横にあるチェックボック
スをオンにし、「Delete」をクリックします。
図 3-31. リモート SNMPv3 ユーザーの構成
3-47
3
スイッチの構成
CLI – 新規ユーザー名を構成してグループに割り当てるには、 snmp-server user コマンドを
使用します。
Console(config)#snmp-server user mark group r&d remote 192.168.1.19 v3
auth md5 greenpeace priv des56 einstien
4-122
Console(config)#exit
Console#show snmp user
4-124
No user exist.
SNMP remote user
EngineId: 80000000030004e2b316c54321
User Name: mark
Authentication Protocol: none
Privacy Protocol: none
Storage Type: nonvolatile
Row Status: active
Console#
SNMPv3 グループの構成
SNMPv3 グループにより、そのグループに割り当てられているユーザーのアクセスポリシー
が設定され、ユーザーが特定の読取り、書込み、および通知ビューに制限されます。あらか
じめ定義されているデフォルトグループを使用することも、新規グループを作成して一連の
SNMP ユーザーを SNMP ビューにマップすることもできます。
コマンド属性
• 「Group Name」 – SNMP グループの名前（範囲 : 1 ～ 32 文字）
• 「Model」 – グループのセキュリティモデル（SNMP v1、 v2c、または v3）
• 「Level」 – グループに使用するセキュリティレベル
- 「noAuthNoPriv」 – SNMP 通信に認証または暗号化は使用されません。
- 「AuthNoPriv」 – SNMP 通信に認証は使用されますが、データは暗号化されません
（SNMPv3 セキュリティモデルでのみ使用可能）。
- 「AuthPriv」 – SNMP 通信に認証および暗号化が両方使用されます（SNMPv3 セキュリ
ティモデルでのみ使用可能）。
• 「Read View」 – 読取りアクセス用に構成されたビュー（範囲 : 1 ～ 64 文字）。
• 「Write View」 – 書込みアクセス用に構成されたビュー（範囲 : 1 ～ 64 文字）
• 「Notify View」 – 通知用に構成されたビュー（範囲 : 1 ～ 64 文字）
3-48
簡易ネットワーク管理プロトコル
3
表 3-5. サポートされている通知メッセージ
オブジェクトラベルオブジェクト ID
説明
RFC 1493 トラップ
newRoot
1.3.6.1.2.1.17.0.1
newRoot トラップは、送信側エージェン
トがスパニングツリーの新規ルートに
なったことを示します。トラップは、新規
ルートとして選択された直後にトポロジ
変更タイマーがタイムアウトになったと
きなど、選択直後にブリッジから送信され
ます。
topologyChange
1.3.6.1.2.1.17.0.2
topologyChange トラップは、構成されて
いるいずれかのポートが Learning 状態か
ら Forwarding 状態、または Forwarding 状
態から Discarding 状態に遷移した場合に
ブリッジから送信されます。同じ遷移に対
して newRoot トラップが送信された場
合、このトラップは送信されません。
coldStart
1.3.6.1.6.3.1.1.5.1
coldStart トラップは、エージェントロー
ルを実行している SNMPv2 エンティティ
がそれ自体を再初期化し、コンフィギュ
レーションが変更された可能性のあるこ
とを示します。
warmStart
1.3.6.1.6.3.1.1.5.2
warmStart トラップは、エージェントロー
ルを実行している SNMPv2 エンティティ
がそれ自体を再初期化したが、コンフィ
ギュレーションは変更されていないこと
を示します。
linkDown*
1.3.6.1.6.3.1.1.5.3
linkDown トラップは、エージェントロー
ルを実行している SNMP エンティティが、
そのいずれかの通信リンクの ifOperStatus
オブジェクトがほかの状態（notPresent 状
態以外）から down 状態に遷移しようとし
ていることを検知したことを示します。ど
の状態から遷移するかは、 ifOperStatus に
含まれる値によって示されます。
linkUp*
1.3.6.1.6.3.1.1.5.4
linkUp トラップは、エージェントロール
を実行している SNMP エンティティが、
そのいずれかの通信リンクの ifOperStatus
オブジェクトが down 状態からほかの状
態（notPresent 状態以外）に遷移したこと
を検知したことを示します。どの状態に遷
移したかは、 ifOperStatus に含まれる値に
よって示されます。
authenticationFailure* 1.3.6.1.6.3.1.1.5.5
authenticationFailure トラップは、エー
ジェントロールを実行している SNMPv2
エンティティが、正常に認証されていない
プロトコルメッセージを受信したことを
示します。 SNMPv2 のどの実装でもこの
トラップの生成が可能ですが、
snmpEnableAuthenTraps オブジェクトに
よって、このトラップが生成されることが
示されます。
SNMPv2 トラップ
3-49
3
スイッチの構成
表 3-5. サポートされている通知メッセージ（続き）
オブジェクトラベルオブジェクト ID
説明
RMON イベント（V2）
risingAlarm
1.3.6.1.2.1.16.0.1
この SNMP トラップは、アラームエント
リが上昇しきい値を超え、SNMP トラップ
を送信するよう構成されたイベントが生
成された場合に生成されます。
fallingAlarm
1.3.6.1.2.1.16.0.2
この SNMP トラップは、アラームエント
リが下降しきい値を下回り、SNMP トラッ
プを送信するよう構成されたイベントが
生成された場合に生成されます。
プライベートトラップ
swPowerStatus
ChangeTrap
1.3.6.1.4.1.259.6.10.64.2.1.0.1
swFanFailureTrap
1.3.6.1.4.1.259.6.10.64.2.1.0.17 このトラップは、ファンが障害になった場
合に送信されます。
swFanRecoverTrap
1.3.6.1.4.1.259.6.10.64.2.1.0.18 このトラップは、障害になったファンが回
復した場合に送信されます。
このトラップは、電源状態が変化した場合
に送信されます。
swIpFilterRejectTrap 1.3.6.1.4.1.259.6.10.64.2.1.0.40 このトラップは、 IP フィルタによって不
正な IP アドレスが拒否された場合に送信
されます。
swSmtpConnFailure 1.3.6.1.4.1.259.6.10.64.2.1.0.41 このトラップは、SMTP システムがメール
Trap
サーバーへの接続を正常に確立できない
場合にトリガーされます。
swMainBoardVer
1.3.6.1.4.1.259.6.10.64.2.1.0.56 このトラップは、スレーブボードバージョ
MismatchNotificaiton
ンがマスターボードバージョンと一致し
ない場合に送信されます。このトラップで
は 2 つのオブジェクトがバインドされま
す。最初のオブジェクトはマスターバー
ジョンを示し、 2 番目のオブジェクトはス
レーブバージョンを示します。
swModuleVer
1.3.6.1.4.1.259.6.10.64.2.1.0.57 このトラップは、スライドインモジュー
MismatchNotificaiton
ルバージョンがメインボードバージョン
と一致しない場合に送信されます。
swThermalRising
Notification
1.3.6.1.4.1.259.6.10.64.2.1.0.58 このトラップは、温度が
switchThermalActionRisingThreshold を超
えた場合に送信されます。
swThermalFalling
Notification
1.3.6.1.4.1.259.6.10.64.2.1.0.59 このトラップは、温度が
switchThermalActionFallingThreshold を
下回った場合に送信されます。
swModuleInsertion
Notificaiton
1.3.6.1.4.1.259.6.10.64.2.1.0.60 このトラップは、モジュールが取り付けら
れた場合に送信されます。
swModuleRemoval
Notificaiton
1.3.6.1.4.1.259.6.10.64.2.1.0.61 このトラップは、モジュールが取り外され
た場合に送信されます。
* これらはレガシー通知であるため、「SNMP」の「Configuration」メニューで対応するトラップとともに
有効にする必要があります（3-42 ページ）。
3-50
簡易ネットワーク管理プロトコル
3
ウェブ – 「SNMP」、「SNMPv3」、「Groups」の順にクリックします。新規グループを構成す
るには、「New」をクリックします。「New Group」ページで、名前を定義してセキュリティ
モデルおよびレベルを割り当て、読取り、書込み、および通知ビューを選択します。「Add」
をクリックし、新規グループを保存してグループリストに戻ります。グループを削除するに
は、該当するグループ名の横にあるチェックボックスをオンにし、「Delete」をクリックします。
図 3-32. SNMPv3 グループの構成
CLI – 新規グループを構成するには、snmp-server group コマンドを使用して、セキュリティ
モデルおよびレベルを指定し、定義されている読取りおよび書込みビューに MIB アクセスを
制限します。
Console(config)#snmp-server group secure-users v3 priv read defaultview
write defaultview notify defaultview
4-120
Console(config)#exit
Console#show snmp group
4-121
.
.
.
Group Name: secure-users
Security Model: v3
Read View: defaultview
Write View: defaultview
Notify View: defaultview
Storage Type: nonvolatile
Row Status: active
Console#
3-51
3
スイッチの構成
SNMPv3 ビューの設定
SNMPv3 ビューは、ユーザーアクセスを MIB ツリーの指定部分に制限するために使用されま
す。あらかじめ定義されている「defaultview」ビューには MIB ツリー全体へのアクセスが含
まれます。
コマンド属性
• 「View Name」 – SNMP ビューの名前（範囲 : 1 ～ 64 文字）
• 「View OID Subtrees」 – SNMP ビューを定義する MIB ツリー内のブランチに現在構成され
ているオブジェクト識別子が表示されます。
• 「Edit OID Subtrees」 – MIB ツリー内のブランチのオブジェクト識別子を構成できます。ワ
イルドカードを使用して OID 文字列の特定部分をマスクすることができます。
• 「Type」 – MIB ツリー内のブランチのオブジェクト識別子を SNMP ビューに含めるか、
SNMP ビューから除外するかを指定します。
ウェブ – 「SNMP」、「SNMPv3」、「Views」の順にクリックします。新規ビューを構成するに
は、「New」をクリックします。「New View」ページで、名前を定義し、スイッチ MIB の OID
サブツリーをビューに含めるか、ビューから除外するかを指定します。「Back」をクリック
し、新規ビューを保存して「SNMPv3 Views」リストに戻ります。特定のビューについて、現
在のコンフィギュレーションを表示するには「View OID Subtrees」を、ビュー設定を変更す
るには「Edit OID Subtrees」をクリックします。ビューを削除するには、該当するビュー名
の横にあるチェックボックスをオンにし、「Delete」をクリックします。
図 3-33. SNMPv3 ビューの構成
3-52
ユーザー認証
3
CLI – 新規ビュー名を構成するには、 snmp-server view コマンドを使用します。この例の
ビューには MIB-2 インターフェーステーブルが含まれ、ワイルドカードマスクによってすべ
てのインデックスエントリが選択されています。
Console(config)#snmp-server view ifEntry.a 1.3.6.1.2.1.2.2.1.1.*
included
Console(config)#exit
Console#show snmp view
View Name: ifEntry.a
Subtree OID: 1.3.6.1.2.1.2.2.1.1.*
View Type: included
Storage Type: nonvolatile
Row Status: active
4-118
4-119
View Name: readaccess
Subtree OID: 1.3.6.1.2
View Type: included
Storage Type: nonvolatile
Row Status: active
View Name: defaultview
Subtree OID: 1
View Type: included
Storage Type: nonvolatile
Row Status: active
Console#
ユーザー認証
次のオプションを使用して、このスイッチへの管理アクセスを制限し、セキュアなネットワー
クアクセスを実現できます。
• 「User Accounts」 – ユーザーの管理アクセス権を手動で構成します。
• 「Authentication Settings」 – リモート認証によってアクセス権を構成します。
• 「HTTPS Settings」 – セキュアウェブ接続を提供します。
• 「SSH Settings」 – セキュアシェルを提供します（セキュア Telnet アクセス用）。
• 「Port Security」 – 個々のポートのセキュアアドレスを構成します。
• 「802.1X」 – IEEE 802.1X ポート認証によって特定ポートへのアクセスを制御します。
• 「IP Filter」 – ウェブ、 SNMP、または Telnet インターフェースへの管理アクセスをフィル
タリングします。
ユーザーアカウントの構成
ゲストには多くの構成パラメータに対する読取りアクセスのみが許可されます。一方、管理
者にはオンボードのエージェントを管理するすべてのパラメータへの書込みアクセス権が与
えられます。そのため、できる限り早急に管理者の新規パスワードを割り当て、安全な場所
に保管する必要があります。
ゲストのデフォルトの名前は「guest」、パスワードは「guest」です。管理者のデフォルトの
名前は「admin」、パスワードは「admin」です。
3-53
3
スイッチの構成
コマンド属性
• 「Account List」 – 現在のユーザーアカウントとそれに関連付けられているアクセスレベ
ルのリストが表示されます（デフォルト : admin および guest）。
• 「New Account」 – 新規アカウントのコンフィギュレーション設定が表示されます。
- 「User Name」 – ユーザーの名前（最大長 : 8 文字、最大ユーザー数 : 16）
- 「Access Level」 – ユーザーレベルを指定します
（オプション : 「Normal」および「Privileged」）。
- 「Password」 – ユーザーパスワードを指定します
（範囲 : 0 ～ 8 文字のプレーンテキスト、大文字と小文字は区別される）。
• 「Change Password」 – 指定したユーザーの新規パスワードを設定します。
ウェブ – 「Security」、「User Accounts」の順にクリックします。新規ユーザーアカウントを
構成するには、ユーザー名、アクセスレベル、およびパスワードを入力し、「Add」をクリッ
クします。特定ユーザーのパスワードを変更するには、ユーザー名と新規パスワードを入力
し、確認のため再度パスワードを入力して、「Apply」をクリックします。
図 3-34. ユーザーアカウント
CLI – 1 つのユーザー名をアクセスレベル 15（管理者）に割り当て、パスワードを指定します。
Console(config)#username bob access-level 15
Console(config)#username bob password 0 smith
Console(config)#
3-54
4-28
ユーザー認証
3
ローカル / リモートログオン認証の構成
指定されたユーザー名とパスワードに基づいて管理アクセスを制限するには、「Authentication
Settings」メニューを使用します。スイッチに対するアクセス権を手動で構成することも、
RADIUS または TACACS+ プロトコルに基づくリモートアクセス認証サーバーを使用する
こともできます。
リモート認証ダイヤルインユーザー
サービス（RADIUS）およびターミナ
ルアクセスコントローラアクセス制
御システムプラス（TACACS+）は、
console
Web
Telnet
中央サーバーで実行中のソフトウェア
によって、ネットワーク上の RADIUS
1. Client attempts management access.
対応または TACACS 対応デバイスへ
2. Switch contacts authentication server.
のアクセスを制御するログオン認証プ
3. Authentication server challenges client.
RADIUS/
4. Client responds with proper password or key.
TACACS+
ロトコルです。認証サーバーには、ス
5. Authentication server approves access.
server
6. Switch grants management access.
イッチへの管理アクセスを必要とする
各ユーザのユーザー名 / パスワードの
ペアとそれに関連付けられている権限レベルのデータベースが保持されます。
RADIUS では UDP が使用され、 TACACS+ では TCP が使用されます。 UDP ではベストエ
フォート型の配信のみが行われ、 TCP では接続指向の転送が行われます。また、 RADIUS で
はクライアントからサーバーに送信されるアクセス要求パケット内のパスワードのみが暗号
化されますが、 TACACS+ ではパケット本体全体が暗号化されます。
コマンドの使用
• デフォルトでは、管理アクセスはローカルスイッチに保存されている認証データベースと
の照合チェックを必ず受けます。リモート認証サーバーを使用する場合、認証順序と、リ
モート認証プロトコルの該当パラメータを指定する必要があります。ローカルおよびリ
モートログオン認証では、コンソールポート、ウェブブラウザ、または Telnet による管
理アクセスが制御されます。
• RADIUS および TACACS+ ログオン認証では、ユーザー名 / パスワードの各ペアに特定の
権限レベルが割り当てられます。ユーザー名、パスワード、および権限レベルは、認証サー
バーに構成されている必要があります。
• 各ユーザーに最大 3 つの認証方式を指定し、認証順序を指定することができます。たとえ
ば、 (1) RADIUS、 (2) TACACS、 (3) ローカルとして選択した場合、まず RADIUS サーバー
でユーザー名とパスワードが照合されます。 RADIUS サーバーを使用できない場合、
TACACS+ サーバーでの認証が試行されます。 TACACS+ サーバーも使用できない場合は、
最後にローカルユーザー名とパスワードのチェックが行われます。
コマンド属性
• 「Authentication」 – 認証または必要な認証順序を選択します。
- 「Local」 – ユーザー認証はスイッチによってローカルでのみ行われます。
- 「Radius」 – ユーザー認証は RADIUS サーバーのみを使用して実行されます。
- 「TACACS」 – ユーザー認証は TACACS+ サーバーのみを使用して実行されます。
- 「[authentication sequence]」 – ユーザー認証は最大 3 つの認証方式で指定の順に実行
されます。
3-55
3
スイッチの構成
• 「RADIUS Settings」
• 「Global」 – グローバルに適用可能な RADIUS 設定を提供します。
• 「ServerIndex」 – 構成されている 5 台の RADIUS サーバーのいずれかを指定します。ス
イッチはリストに示されたサーバーの順に認証を試行します。サーバーがユーザーへの
アクセスを承認または拒否した時点でこのプロセスは終了します。
• 「Server IP Address」 – 認証サーバーのアドレス（デフォルト : 10.1.0.1）
• 「Server Port Number」 – 認証メッセージに使用する認証サーバーのネットワーク（UDP）
ポート（範囲 : 1 ～ 65535、デフォルト : 1812）
• 「Secret Text String」 – クライアントへのログオンアクセスの認証に使用する暗号キー。
文字列にスペースを含めないでください（最大長 : 20 文字）。
• 「Number of Server Transmits」 – スイッチが認証サーバーによるログオンアクセスの
認証を試行する回数（範囲 : 1 ～ 30、デフォルト : 2）
• 「Timeout for a reply」 – スイッチが要求を再送する前に RADIUS サーバーからの応答を
待機する秒数（範囲 : 1 ～ 65535、デフォルト : 5）
• 「TACACS Settings」
• 「Server IP Address」 – TACACS+ サーバーのアドレス（デフォルト : 10.11.12.13）
• 「Server Port Number」 – 認証メッセージに使用する TACACS+ サーバーのネットワー
ク（TCP）ポート（範囲 : 1 ～ 65535、デフォルト : 49）
• 「Secret Text String」 – クライアントへのログオンアクセスの認証に使用する暗号キー。
文字列にスペースを含めないでください（最大長 : 20 文字）。
注 : CLI を使用してユーザー名とパスワードを手動で入力し、ローカルスイッチユーザーデータ
ベースを設定しておく必要があります（4-28 ページの「username」を参照）。
3-56
ユーザー認証
3
ウェブ – 「Security」、「Authentication Settings」の順にクリックします。ローカルまたはリ
モート認証のプリファレンスを構成するには、認証順序（1 ～ 3 つの方式）を指定し、認証
方式として RADIUS または TACACS+ を選択した場合は各認証のパラメータを入力し、
「Apply」をクリックします。
図 3-35. 認証サーバー設定
CLI – ログオン認証を有効にするために必要なパラメータをすべて指定します。
Console(config)#authentication login radius
Console(config)#radius-server port 181
Console(config)#radius-server key green
Console(config)#radius-server retransmit 5
Console(config)#radius-server timeout 10
Console(config)#radius-server 1 host 192.168.1.25
Console(config)#exit
Console#show radius-server
4-72
4-75
4-75
4-76
4-76
4-74
4-77
Remote RADIUS server configuration:
Global settings:
Communication key with RADIUS server: *****
Server port number:
181
Retransmit times:
5
Request timeout:
10
Server 1:
Server IP address: 192.168.1.25
Communication key with RADIUS server: *****
Server port number: 181
Retransmit times: 5
Request timeout: 10
3-57
3
スイッチの構成
Console#config
Console(config)#authentication login tacacs
Console(config)#tacacs-server host 10.20.30.40
Console(config)#tacacs-server port 200
Console(config)#tacacs-server key green
Console(config)#exit
Console#show tacacs-server
Server IP address:
10.20.30.40
Communication key with tacacs server: *****
Server port number:
200
Console(config)#
4-72
4-78
4-78
4-78
4-79
HTTPS の構成
セキュアソケットレイヤー（SSL）を介したセキュアハイパーテキスト転送プロトコル
（HTTPS）を有効にするようスイッチを構成することにより、スイッチのウェブインター
フェースへのセキュアアクセス（暗号化された接続）を実現することができます。
コマンドの使用
• スイッチでは、 HTTP および HTTPS サービスを個別に有効にできます。ただし、両方の
サービスが同じ UDP ポートを使用するよう構成することはできません。
• HTTPS を有効にする場合、ブラウザで URL を https:// デバイス [: ポート番号 ] の形式で指
定して、このことを示す必要があります。
• HTTPS を開始すると、次のように接続が確立されます。
- クライアントがサーバーのデジタル証明書を使用してサーバーを認証します。
- クライアントとサーバーは、接続に使用する一連のセキュリティ
エーションを行います。
プロトコルのネゴシ
- クライアントとサーバーは、データの暗号化と解読に使用するセッションキーを生成し
ます。
• クライアントとサーバーは、暗号化されたセキュア接続を確立します。
• Internet Explorer 5.x 以上および Netscape Navigator 6.2 以上では、ステータスバーに南京
錠のアイコンが表示されます。
• 現在 HTTPS をサポートしているウェブブラウザとオペレーティングシステムは次のとお
りです。
表 3-6. HTTPS のシステムサポート
ウェブブラウザ
オペレーティングシステム
Internet Explorer 5.0 以上
Windows 98、 Windows NT （サービスパック 6a）、
Windows 2000、 Windows XP
Netscape Navigator 6.2 以上
Windows 98、 Windows NT （サービスパック 6a）、
Windows 2000、 Windows XP、 Solaris 2.6
• セキュアサイト証明書を指定するには、 3-59 ページの「デフォルトのセキュアサイト証明
書の置換」を参照してください。
コマンド属性
• 「HTTPS Status」 – スイッチで HTTPS サーバー機能を有効 / 無効にできます
（デフォルト : オン）。
• 「Change HTTPS Port Number」 – スイッチのウェブインターフェースへの HTTPS/SSL
接続に使用する UDP ポート番号を指定します（デフォルト : ポート 443）。
3-58
ユーザー認証
3
ウェブ – 「Security」、「HTTPS Settings」の順にクリックします。 HTTPS を有効にし、ポー
ト番号を指定して、「Apply」をクリックします。
図 3-36. HTTPS 設定
CLI – この例では、 HTTP セキュアサーバーを有効にし、ポート番号を変更しています。
Console(config)#ip http secure-server
Console(config)#ip http secure-port 441
Console(config)#
4-33
4-34
デフォルトのセキュアサイト証明書の置換
（セキュアアクセスのため） HTTPS を使用してウェブインターフェースにログオンすると、
スイッチにセキュアソケットレイヤー（SSL）証明書が表示されます。デフォルトでは、
Netscape および Internet Explorer に表示される証明書は、このサイトがセキュアサイトとし
て認識されないことを示す警告に関連付けられます。これは、この証明書に承認済み認証機
関による署名がないためです。この警告を、このスイッチへの接続がセキュアであることを
示す確認メッセージに置き換えるには、公認の認証機関から一意の証明書、プライベート
キー、およびパスワードを取得する必要があります。
注 : 最大限のセキュリティを確保するために、できる限り早急に一意のセキュアソケットレイ
ヤー証明書を取得することをお勧めします。これは、スイッチのデフォルトの証明書がご購入
のハードウェアにとって一意ではないためです。
証明書、プライベートキー、およびパスワードを取得したら、 TFTP サーバーに保存し、ス
イッチのコマンドラインインターフェースで次のコマンドを使用してデフォルト（非公認）
の証明書を承認済み証明書に置き換えます。
Console#copy tftp https-certificate
TFTP server ip address: <server ip-address>
Source certificate file name: <certificate file name>
Source private file name: <private key file name>
Private password: <password for private key>
4-66
注 : 新しい証明書を有効にするには、スイッチをリセットする必要があります。スイッチをリセッ
トするには、 Console#reload コマンドプロンプトで「reload」と入力します。
3-59
3
スイッチの構成
セキュアシェルの構成
Berkley 標準には、本来 Unix システム用に設計されたリモートアクセスツールが含まれてい
ます。一部のツールは Microsoft Windows およびその他の環境にも実装されています。 rlogin
（リモートログイン）、 rsh （リモートシェル）、 rcp （リモートコピー）などのコマンドを含
むツールは悪意のある攻撃に対してセキュアではありません。
セキュアシェル（SSH）には、旧式の Berkley リモートアクセスツールに対するセキュアな
代替機能として開発されたサーバー / クライアントアプリケーションが含まれています。ま
た、 SSH では、 Telnet のセキュアな代替機能として、このスイッチへのリモート管理アクセ
スが提供されます。クライアントが SSH プロトコルによってスイッチに接触すると、スイッ
チにより公開キーが生成されます。このキーは、クライアントがアクセス認証を受けるため
にローカルユーザー名とパスワードとともに使用します。 SSH では、スイッチと SSH 対応
の管理ステーションクライアント間で転送されるデータがすべて暗号化されるため、ネット
ワーク上で伝送されるデータの改ざんが防止されます。
管理のため SSH プロトコルでスイッチにアクセスするには、管理ステーションに SSH クラ
イアントをインストールする必要があります。
注 : スイッチでは、 SSH バージョン 1.5 および 2.0 クライアントが両方サポートされます。
コマンドの使用
このスイッチ上の SSH サーバーでは、パスワードおよび公開キーによる認証がサポートされ
ます。 SSH クライアントがパスワード認証を指定した場合、「Authentication Settings」ペー
ジ（3-55 ページ）の指定に従って、ローカルで、あるいは RADIUS または TACACS+ リモー
ト認証サーバーによってパスワードを認証できます。クライアントが公開キー認証を指定し
た場合、次の項目の手順に従ってクライアントおよびスイッチの両方に認証キーを構成する
必要があります。認証方式として公開キーおよびパスワードのどちらを使用する場合も、ス
イッチに認証キーを生成し（「SSH Host Key Settings」）、 SSH サーバーを有効にする
（「Authentication Settings」）必要があります。
SSH サーバーを使用するには、次の手順に従います。
1.
ホストキーペアの生成 – 「SSH Host Key Settings」ページで、ホストの公開 / プライ
ベートキーペアを作成します。
2.
クライアントへのホストの公開キーの提供 – 多くの SSH クライアントプログラムで
は、スイッチとの初期接続確立時にホストの公開キーが自動的にインポートされます。
公開キーがインポートされない場合は、管理ステーションに既知のホストファイルを手
動で作成し、このファイルにホストの公開キーを保存する必要があります。既知のホス
トファイルの公開キーのエントリは、次の例のように表示されます。
10.1.0.54 1024 35 15684995401867669259333946775054617325313674890836547254
15020245593199868544358361651999923329781766065830956 10825913212890233
76546801726272571413428762941301196195566782 59566410486957427888146206
51941746772984865468615717739390164779355942303577413098022737087794545
24083971752646358058176716709574804776117
3-60
ユーザー認証
3.
3
スイッチへのクライアントの公開キーのインポート – copy tftp public-key コマンド
（4-66 ページ）を使用して、 SSH クライアントによるすべての管理アクセスに使用され
る公開キーが保持されたファイルをスイッチにコピーします（これらのクライアントは、
3-53 ページの手順に従って「User Accounts」ページでスイッチ上にローカルに構成さ
れている必要がある）。以後、クライアントの認証にはこれらのキーが使用されます。次
の RSA バージョン 1 キーの例に示すとおり、現行のファームウェアでは、標準の UNIX
形式に準拠した公開キーファイルのみが受理されます。
1024 35 1341081685609893921040944920155425347631641921872958921143173880
05553616163105177594083868631109291232226828519254374603100937187721199
69631781366277414168985132049117204830339254324101637997592371449011938
00609025394840848271781943722884025331159521348610229029789827213532671
31629432532818915045306393916643 [email protected]
4.
オプションパラメータの設定 – 「SSH Settings」ページで、認証タイムアウト、再試行
回数、サーバーキーサイズなどのオプションパラメータを構成します。
5.
SSH サービスの有効化 – 「SSH Settings」ページで、スイッチで SSH サーバーを有効
にします。
6.
チャレンジ / レスポンス認証 – SSH クライアントがスイッチに接触しようとすると、
SSH サーバーではホストキーペアを使用してセッションキーおよび暗号化方式のネゴ
シエーションが行われます。公開キーに対応するプライベートキーがスイッチに保存さ
れているクライアントのみがアクセスできます。このプロセスでは、次のようにキーが
交換されます。
a.
クライアントが公開キーをスイッチに送信します。
b.
スイッチはクライアントの公開キーと、メモリーに保存されている公開キーを比較
します。
c.
合致する公開キーが見つかった場合、スイッチはその公開キーを使用してランダム
なバイト順序を暗号化し、この文字列をクライアントに送信します。
d.
クライアントはプライベートキーを使用してバイトを解読し、解読したバイトをス
イッチに戻します。
e.
スイッチは解読されたバイトと、送信した元のバイトを比較します。両者が合致し
た場合、クライアントのプライベートキーが正当な公開キーに対応していると見な
され、クライアントは認証されます。
注 : 1. パスワード認証のみで SSH を使用する場合も、初期接続確立時または既知のホストファ
イルに手動で入力して、ホストの公開キーをクライアントに与える必要があります。ただ
し、クライアントのキーを構成する必要はありません。
2. SSH サーバーでは最大 4 つのクライアントセッションがサポートされます。クライアン
トセッションの最大数には、現在の Telnet セッションと SSH セッションも含まれます。
ホストキーペアの生成
ホストの公開 / プライベートキーペアは、SSH クライアントとスイッチ間にセキュアな通信
を実現するために使用されます。このキーペアの生成後、前の項目（「コマンドの使用」）の
手順に従って、ホストの公開キーを SSH クライアントに供給し、クライアントの公開キーを
スイッチにインポートする必要があります。
3-61
3
スイッチの構成
フィールド属性
• 「Public-Key of Host-Key」 – ホストの公開キー
• 「RSA」（バージョン 1） : 最初のフィールドはホストキーのサイズ（たとえば 1024）、 2
番目のフィールドは符号化された公開キー指数（たとえば 65537）、最後の文字列は符号
化されたモジュラスを示します。
• 「DSA」（バージョン 2） : 最初のフィールドは、 SSH で使用される暗号化方式がデジタ
ル署名標準（DSS）に準拠していることを示します。最後の文字列は符号化されたモジュ
ラスです。
• 「Host-Key Type」 – ホストキーペア（公開キーとプライベートキー）の生成に使用する
キータイプ（範囲 : 「RSA (Version 1)」、「DSA (Version 2)」、「Both」、デフォルト : 「Both」）
• SSH サーバーでは、クライアントによるスイッチとの初期接続確立時に RSA または DSA
によってキーが交換されます。その後、クライアントとのネゴシエーションによりデータ
暗号化方式として DES （56 ビット）または 3DES （168 ビット）が選択されます。
• 「Save Host-Key from Memory to Flash」 – ホストキーを RAM （揮発性メモリー）からフ
ラッシュメモリーに保存します。このボックスを選択しない場合、ホストキーペアはデ
フォルトで RAM に保存されます。この項目は、ホストキーペアの生成前に選択しておく
必要があります。
• 「Generate」 – このボタンを使用すると、ホストキーペアが生成されます。「SSH Server
Settings」ページで SSH サーバーを有効にする前に、ホストキーペアを生成しておく必
要があります。
• 「Clear」 – このボタンを選択すると、揮発性メモリー（RAM）および不揮発性メモリー（フ
ラッシュ）の両方からホストキーが消去されます。
ウェブ – 「Security」、「SSH」、「Host-Key Settings」の順にクリックします。ドロップダウン
ボックスからホストキータイプを選択し、キーの生成前にホストキーをメモリーからフラッ
シュに保存するオプションを選択して（必要な場合）、「Generate」をクリックします。
図 3-37. SSH ホストキー設定
3-62
ユーザー認証
3
CLI – 次の例では、 RSA および DSA アルゴリズムを両方使用してホストキーペアを生成し、
これらのキーをフラッシュメモリーに保存し、ホストの公開キーを表示しています。
Console#ip ssh crypto host-key generate
4-38
Console#ip ssh save host-key
4-38
Console#show public-key host
4-38
Host:
RSA:
1024 65537 127250922544926402131336514546131189679055192360076028653006761
82409690947448320102524878965977592168322225584652387791546479807396314033869
25793105105765212243052807865885485789272602937866089236841423275912127603259
19683697053439336438445223335188287173896894511729290510813919642025190932104
328579045764891
DSA:
ssh-dss AAAAB3NzaC1kc3MAAACBAN6zwIqCqDb3869jYVXlME1sHL0EcE/Re6hlasfEthIwmj
hLY4O0jqJZpcEQUgCfYlum0Y2uoLka+Py9ieGWQ8f2gobUZKIICuKg6vjO9XTs7XKc05xfzkBiKvi
Da+2OrIz6UK+6vFOgvUDFedlnixYTVo+h5v8r0ea2rpnO6DkZAAAAFQCNZn/x17dwpW8RrV
DQnSWw4Qk+6QAAAIEAptkGeB6B5hwagH4gUOCY6i1TmrmSiJgfwO9OqRPUMbCAkCC+uzxatOo7drn
IZypMx+Sx5RUdMGgKS+9ywsa1cWqHeFY5ilc3lDCNBueeLykZzVS+RS+azTKIk/zrJh8GLG
Nq375R55yRxFvmcGIn/Q7IphPqyJ3o9MK8LFDfmJEAAACAL8A6tESiswP2OFqX7VGoEbzVDSOI
RTMFy3iUXtvGyQAOVSy67Mfc3lMtgqPRUOYXDiwIBp5NXgilCg5z7VqbmRm28mWc5a//f8TUAg
PNWKV6W0hqmshQdotVzDR1e+XKNTZj0uTwWfjO5Kytdn4MdoTHgrbl/DMdAfjnte8MZZs=
Console#
SSH サーバーの構成
SSH サーバーには認証の基本設定が保持されます。
フィールド属性
• 「SSH Server Status」 – スイッチで SSH サーバーを有効 / 無効にできます
（デフォルト : オフ）。
• 「Version」 – セキュアシェルのバージョン番号。バージョン 2.0 が表示されますが、スイッ
チでは SSH バージョン 1.5 または 2.0 クライアントによる管理アクセスがサポートされます。
• 「SSH Authentication Timeout」 – 認証の試行中に SSH サーバーがクライアントからの応
答を待機する時間を秒単位で指定します（範囲 : 1 ～ 120 秒、デフォルト : 120 秒）。
• 「SSH Authentication Retries」 – クライアントに許可する認証試行回数を指定します。こ
の回数に達すると認証は失敗し、クライアントは認証プロセスをやり直す必要があります
（範囲 : 1 ～ 5 回、デフォルト : 3）。
• 「SSH Server-Key Size」 – SSH サーバーキーのサイズを指定します
（範囲 : 512 ～ 896 ビット、デフォルト : 768）。
- サーバーキーはプライベートキーであるため、スイッチ外で共有されることはありません。
- ホストキーは SSH クライアントと共有され、サイズは 1024 ビットに固定されています。
3-63
3
スイッチの構成
ウェブ – 「Security」、「SSH」、「Settings」の順にクリックします。 SSH を有効にし、必要に
応じて認証パラメータを調整して、「Apply」をクリックします。 SSH サーバーを有効にする
前に、「SSH Host-Key Settings」ページでホストキーペアを生成しておく必要があります。
図 3-38. SSH サーバー設定
CLI – この例では、 SSH を有効にし、認証パラメータを設定して、現在のコンフィギュレー
ションを表示しています。管理者が SHH によって接続を確立し、その後この接続を無効にし
たことが示されています。
Console(config)#ip ssh server
Console(config)#ip ssh timeout 100
Console(config)#ip ssh authentication-retries 5
Console(config)#ip ssh server-key size 512
Console(config)#end
Console#show ip ssh
SSH Enabled - version 2.0
Negotiation timeout: 120 secs; Authentication retries: 3
Server key size: 768 bits
Console#show ssh
Information of secure shell
Session Username Version Encrypt method Negotiation state
------- -------- ------- -------------- ----------------0
admin
2.0
cipher-3des
session-started
Console#disconnect 0
Console#
3-64
4-38
4-38
4-39
4-40
4-42
4-43
4-19
ユーザー認証
3
ポートセキュリティの構成
ポートセキュリティは、スイッチポートに対し、そのポートを通じたネットワークアクセス
を許可するデバイスの MAC アドレスを 1 つまたは複数構成することのできる機能です。
ポートでポートセキュリティが有効にされている場合、スイッチは指定ポートでの新規 MAC
アドレスの学習を、構成されている最大数に達した時点で停止します。送信元アドレスがダ
イナミックまたはスタティックアドレステーブルに保存されている着信トラフィックのみ
が、そのポートを通じたネットワークアクセスが許可されているものとして受理されます。
未許可の MAC アドレスを持つデバイスがそのスイッチポートを使用しようとすると、侵入
として検知され、スイッチはそのポートを無効にしてトラップメッセージを送信することに
よって自動的に対処することができます。
ポートセキュリティを使用するには、ポートで許可する最大アドレス数を指定し、そのポー
トで受信するフレームの < 送信元 MAC アドレス、 VLAN> のペアをスイッチに動的に学習さ
せます。スタティックアドレステーブル（3-111 ページ）を使用して、手動でセキュアアド
レスをポートに追加することもできます。ポートの MAC アドレスが最大数に達すると、ポー
トでは学習が停止されます。アドレステーブルに登録されている MAC アドレスはそのまま
維持され、経年処理によって削除されることはありません。このポートを使用しようとする
その他のデバイスはスイッチにアクセスできません。
コマンドの使用
• セキュアポートには次の制約があります。
- ポートモニタリングを使用することはできません。
- マルチ VLAN ポートでは使用できません。
- スタティックまたはダイナミックトランクのメンバーとして使用することはできません。
- ネットワーク相互接続デバイスには接続しないでください。
• セキュアポートで許可されるデフォルトの最大 MAC アドレス数は 0 です。アクセスを許
可するポートに対し、最大アドレス数を 1 ～ 1024 の範囲で構成する必要があります。
• セキュリティ違反によってポートが無効に（シャットダウン）された場合、「Port」、「Port
Configuration」の順に選択して表示されるページ（3-90 ページ）から手動で再度有効にす
る必要があります。
コマンド属性
• 「Port」 – ポート番号
• 「Name」 – 説明文（4-149 ページ）
• 「Action」 – ポートセキュリティ違反が検知された場合に実行するアクションを指定します。
- 「None」 : アクションを実行しません（デフォルト）。
- 「Trap」 : SNMP トラップメッセージを送信します。
- 「Shutdown」 : ポートを無効にします。
- 「Trap and Shutdown」 : SNMP トラップメッセージを送信し、ポートを無効にします。
• 「Security Status」 – ポートでポートセキュリティを有効または無効にします
（デフォルト : オフ）。
• 「Max MAC Count」 – ポートで学習する最大 MAC アドレス数
（範囲 : 0 ～ 1024、 0 は無効を示す）
• 「Trunk」 – ポートがトランクのメンバーの場合、トランク番号
（3-93 ページおよび 3-95 ページ）
3-65
3
スイッチの構成
ウェブ – 「Security」、「Port Security」の順にクリックします。ポートで無効なアドレスが検
知された場合のアクションを設定し、「Status」列でセキュリティを有効にするポートのチェッ
クボックスをオンにします。次に、ポートで許可する最大 MAC アドレス数を設定し、「Apply」
をクリックします。
図 3-39. ポートセキュリティ
CLI – 次の例では、ターゲットポートを選択し、ポートセキュリティアクションとしてト
ラップの送信とポートの無効化を設定しています。次に、最大アドレス数を設定して、その
ポートでポートセキュリティを有効にしています。
Console(config)#interface ethernet 1/5
Console(config-if)#port security action trap-and-shutdown
Console(config-if)#port security max-mac-count 20
Console(config-if)#port security
Console(config-if)#
3-66
4-80
ユーザー認証
3
802.1X ポート認証の構成
ネットワークスイッチでは、クライアント PC を接続するだけでネットワークリソースへの
オープンで簡単なアクセスが提供されます。このように自動的に構成され、アクセスが可能
になることは望ましい機能である一方、未許可の人間が容易に侵入し、機密性の高いネット
ワークデータにアクセスする可能性もあります。
IEEE 802.1X （dot1x）規格では、最初にユーザーに認証のための資格情報を要求することに
よって不正アクセスを防止する、ポートベースのアクセス制御手順が定義されています。ネッ
トワークのすべてのスイッチポートへのアクセスをサーバーから一元管理することができま
す。すなわち、許可されたユーザーであれば、ネットワークのどの場所からも同じ資格情報
を使用して認証を受けることができます。
このスイッチは、 EAPOL
（Extensible Authentication
Protocol over LAN）によってクラ
802.1x
イアントと認証プロトコルメッ
client
セージを交換し、RADIUS 認証サー
バーがユーザーアイデンティティ
1. Client attempts to access a switch port.
とアクセス権を照合します。クライ
2. Switch sends client an identity request.
3. Client sends back identity information.
RADIUS
アント（要求側）がスイッチポー
4. Switch forwards this to authentication server.
server
5. Authentication server challenges client.
トに接続すると、スイッチ（認証
6. Client responds with proper credentials.
7. Authentication server approves access.
側）は EAPOL アイデンティティ要
8. Switch grants client access to this port.
求で応答します。クライアントが
EAPOL 応答でユーザーアイデンティティ（ユーザー名など）をスイッチに供給すると、ス
イッチはこの情報を RADIUS サーバーに転送します。RADIUS サーバーはクライアントアイ
デンティティを照合し、アクセスチャレンジをクライアントに送信します。RADIUS サーバー
から送信される EAP パケットには、チャレンジのほか、使用する認証方式が保持されていま
す。クライアントは、クライアントソフトウェアと RADIUS サーバーのコンフィギュレー
ションに応じて、この認証方式を拒否し、別の方式を要求することもできます。認証方式は
MD5 である必要があります（将来的なリリースでは TLS、 TTLS、および PEAP をサポート
予定）。認証方式が適切な場合、クライアントはパスワードや証明書などの資格情報を送信し
て応答します。 RADIUS サーバーはクライアントの資格情報を照合し、パケットを受理また
は拒否することで応答します。認証に成功すると、クライアントはスイッチ経由でネットワー
クにアクセスできるようになります。失敗した場合、ネットワークアクセスは拒否され、ポー
トはブロックされたままになります。
スイッチで dot1x を機能させるには、次の条件が満たされている必要があります。
• スイッチに IP アドレスが割り当てられている必要があります。
• スイッチで RADIUS 認証が有効にされ、 RADIUS サーバーの IP アドレスが指定されてい
る必要があります。
• スイッチで 802.1X がグローバルに有効にされている必要があります。
• 使用する各スイッチポートが dot1x 「自動」モードに設定されている必要があります。
• 認証を受ける必要のある各クライアントに dot1x クライアントソフトウェアがインストー
ルされ、適切に構成されている必要があります。
• RADIUS サーバーおよび 802.1X クライアントでは EAP がサポートされます（スイッチで
は、サーバーからクライアントへの EAP パケットの引渡しにおいて EAPOL のみがサポー
トされる）。
3-67
3
スイッチの構成
• RADIUS サーバーおよびクライアントでも同じ EAP 認証タイプ、すなわち MD5 がサポー
トされている必要があります（クライアントによっては Windows でネイティブサポート
が提供されるが、それ以外の場合は dot1x クライアントでサポートされている必要がある）。
802.1X グローバル設定の表示
802.1X プロトコルではポート認証が提供されます。
コマンド属性
• 「802.1X System Authentication Control」 – 802.1X のグローバル設定
ウェブ – 「Security」、「802.1X」、「Information」の順にクリックします。
図 3-40. 802.1X グローバル情報
CLI – この例では、 802.1X のデフォルトのグローバル設定を表示しています。
Console#show dot1x
Global 802.1X Parameters
system-auth-control: enable
4-86
802.1X Port Summary
Port Name Status
1/1
disabled
1/2
disabled
.
.
.
802.1X Port Details
Operation Mode
Single-Host
Single-Host
802.1X is disabled on port 1/1
.
.
.
802.1X is disabled on port 26
Console#
3-68
Mode
ForceAuthorized
ForceAuthorized
Authorized
n/a
n/a
ユーザー認証
3
802.1X グローバル設定の構成
802.1X プロトコルではポート認証が提供されます。ポート設定を有効にする前に、システム
スイッチで 802.1X プロトコルをグローバルに有効にする必要があります。
コマンド属性
• 「802.1X System Authentication Control」 – 802.1X のグローバル設定を設定します
（デフォルト : オフ）。
ウェブ – 「Security」、「802.1X」、「Configuration」の順にクリックします。スイッチで 802.1X
をグローバルに有効にし、「Apply」をクリックします。
図 3-41. 802.1X グローバル構成
CLI – この例では、スイッチで 802.1X をグローバルに有効にしています。
Console(config)#dot1x system-auth-control
Console(config)#
4-82
802.1X のポート設定の構成
802.1X を有効にする場合、クライアントとスイッチ（認証側）間で実行される認証プロセス
およびスイッチと認証サーバー間で実行されるクライアントアイデンティティのルックアッ
ププロセスのパラメータを構成する必要があります。この項目では、これらのパラメータに
ついて説明します。
コマンド属性
• 「Status」 – ポートで認証が有効にされているか無効にされているかが示されます
（デフォルト : 「Disabled」）。
• 「Operation Mode」 – 単一または複数のホスト（クライアント）を 1 つの 802.1X 認証ポー
トに接続できます（範囲 : 「Single-Host」、「Multi-Host」、デフォルト : 「Single-Host」）。
• 「Max Count」 – 「Multi-Host」オペレーションモードが選択されている場合に、ポートに
接続可能な最大ホスト数（範囲 : 1 ～ 1024、デフォルト : 5）
• 「Mode」 – 認証モードを次のいずれかのオプションに設定します。
- 「Auto」 – dot1x 対応のクライアントは認証サーバーで認証を受ける必要があります。
dot1x 対応でないクライアントはアクセスを拒否されます。
- 「Force-Authorized」 – dot1x 対応かどうかを問わず、ポートですべてのクライアントに
アクセスを許可します（デフォルト設定）。
- 「Force-Unauthorized」 – dot1x 対応かどうかを問わず、ポートですべてのクライアント
のアクセスを拒否します。
• 「Re-authentication」 – 「Re-authentication Period」に指定された期間の経過後、クライア
ントを再認証するよう設定します。再認証を行うことにより、新規デバイスがスイッチポー
トにプラグインされたかどうかを検知できます（デフォルト : オフ）。
3-69
3
スイッチの構成
• 「Max-Req」 – スイッチポートがクライアントに EAP 要求パケットを送信する最大回数を
設定します。この回数に達すると、認証セッションはタイムアウトになります
（範囲 : 1 ～ 10、デフォルト : 2）。
• 「Quiet Period」 – 最大要求回数を超えた場合に、スイッチポートが新規クライアントの取
得を待機する時間を設定します（範囲 : 1 ～ 65535 秒、デフォルト : 60 秒）。
• 「Re-authentication Period」 – 接続済みのクライアントに再認証を要求するまでの期間を
設定します（範囲 : 1 ～ 65535 秒、デフォルト : 3600 秒）。
• 「TX Period」 – 認証セッションにおいてスイッチが EAP パケットの再送を待機する期間を
設定します（範囲 : 1 ～ 65535、デフォルト : 30 秒）。
• 「Authorized 」
- 「Yes」 – 接続されているクライアントは認証済みです。
- 「No」 – 接続されているクライアントは認証されていません。
- 空欄 – ポートで dot1x が無効にされている場合は何も表示されません。
• 「Supplicant」 – 接続済みクライアントの MAC アドレスが表示されます。
• 「Trunk」 – ポートがトランクポートとして構成されているかどうかが示されます。
ウェブ – 「Security」、「802.1X」、「Port Configuration」の順にクリックします。必要なパラ
メータを変更し、「Apply」をクリックします。
図 3-42. 802.1X ポートの構成
3-70
ユーザー認証
3
CLI – この例では、ポート 2 に 802.1X パラメータを設定しています。この例に示されている
その他のフィールドの説明については、 4-86 ページの「show dot1x」を参照してください。
Console(config)#interface ethernet 1/2
Console(config-if)#dot1x port-control auto
Console(config-if)#dot1x re-authentication
Console(config-if)#dot1x max-req 5
Console(config-if)#dot1x timeout quiet-period 40
Console(config-if)#dot1x timeout re-authperiod 5
Console(config-if)#dot1x timeout tx-period 40
Console(config-if)#end
Console#show dot1x
4-148
4-83
4-84
4-82
4-85
4-85
4-85
4-86
Global 802.1X Parameters
system-auth-control: enable
802.1X Port Summary
Port Name
1/1
1/2
.
.
.
1/25
1/26
Status
disabled
enabled
Operation Mode
Single-Host
Single-Host
Mode
ForceAuthorized
Auto
Authorized
yes
yes
disabled
disabled
Single-Host
Single-Host
ForceAuthorized
ForceAuthorized
n/a
n/a
802.1X Port Details
802.1X is disabled on port 1/1
802.1X is enabled on port 1/2
reauth-enabled:
Disable
reauth-period:
3600
quiet-period:
60
tx-period:
30
supplicant-timeout:
30
server-timeout:
10
reauth-max:
2
max-req:
2
Status
Authorized
Operation mode
Single-Host
Max count
5
Port-control
Auto
Supplicant
00-e0-29-94-34-65
Current Identifier
7
Authenticator State Machine
State
Authenticated
Reauth Count
0
Backend State Machine
State
Idle
Request Count
0
Identifier(Server)
6
Reauthentication State Machine
State
Initialize
.
.
.
.
802.1X is disabled on port 1/26
Console#
3-71
3
スイッチの構成
802.1X 統計情報の表示
このスイッチでは、任意のポートで交換された dot1x プロトコルの統計情報を表示できます。
表 3-7. 802.1X 統計情報
パラメータ
説明
Rx EAPOL Start
この認証側が受信した EAPOL 開始フレームの数
Rx EAPOL Logoff
この認証側が受信した EAPOL ログオフフレームの数
Rx EAPOL Invalid
この認証側が受信した EAPOL フレームのうち、フレームタイプを認識で
きないものの数
Rx EAPOL Total
この認証側が受信したすべてのタイプの有効な EAPOL フレームの数
Rx EAP Resp/Id
この認証側が受信した EAP 応答 /ID フレームの数
Rx EAP Resp/Oth
この認証側が受信した有効な EAP 応答フレーム（応答 /ID フレーム以外）
の数
Rx EAP LenError
この認証側が受信した EAPOL フレームのうち、 Packet Body Length
フィールドが無効なものの数
Rx Last EAPOLVer
最後に受信した EAPOL フレームに含まれるプロトコルバージョン番号
Rx Last EAPOLSrc
最後に受信した EAPOL フレームに含まれる送信元 MAC アドレス
Tx EAPOL Total
この認証側が送信したすべてのタイプの EAPOL フレームの数
Tx EAP Req/Id
この認証側が送信した EAP 要求 /ID フレームの数
Tx EAP Req/Oth
この認証側が送信した EAP 要求フレーム（要求 /ID フレーム以外）の数
ウェブ – 「Security」、「802.1X」、「Statistics」の順にクリックします。必要なポートを選択
し、「Query」をクリックします。統計情報を更新するには、「Refresh」をクリックします。
図 3-43. 802.1X ポート統計情報
3-72
ユーザー認証
3
CLI – この例では、ポート 4 の dot1x 統計情報を表示しています。
Console#show dot1x statistics interface ethernet 1/4
Eth 1/4
Rx: EAPOL
Start
2
Last
EAPOLVer
1
Tx: EAPOL
Total
2017
Console#
EAPOL
Logoff
0
EAPOL
Invalid
0
EAPOL
Total
1007
EAP
Resp/Id
672
4-86
EAP
EAP
Resp/Oth LenError
0
0
Last
EAPOLSrc
00-00-E8-98-73-21
EAP
Req/Id
1005
EAP
Req/Oth
0
管理アクセス用の IP アドレスのフィルタリング
ウェブインターフェース、 SNMP、または Telnet によるスイッチへの管理アクセスを許可す
る IP アドレスまたは IP アドレスグループを最大 16 個作成できます。
コマンドの使用
• デフォルトでは、管理インターフェースはすべての IP アドレスに開かれています。フィル
タリストにエントリを追加すると、そのインターフェースへのアクセスは指定したアドレ
スに制限されます。
• 無効なアドレスからスイッチ上の管理インターフェースにアクセスしようとした場合、ス
イッチによって接続が拒否されます。また、イベントメッセージがシステムログに記録さ
れ、トラップメッセージがトラップマネージャに送信されます。
• IP アドレスは SNMP、ウェブ、および Telnet アクセス用に個別に構成できます。これらの
各グループには個々のアドレスまたはアドレス範囲を最大 5 つ追加できます。
• 同じグループ（SNMP、ウェブ、または Telnet）のアドレスを入力する際は、重複したア
ドレス範囲を指定することはできません。グループが異なっていれば、アドレス範囲が重
複していても構いません。
• 指定した範囲から個々のアドレスを削除することはできません。範囲全体を削除し、アド
レスを再入力する必要があります。
• アドレス範囲を削除するには、開始アドレスを指定するか、開始アドレスと終了アドレス
を両方指定します。
コマンド属性
• 「Web IP Filter」 – ウェブグループの IP アドレスを構成します。
• 「SNMP IP Filter」 – SNMP グループの IP アドレスを構成します。
• 「Telnet IP Filter」 – Telnet グループの IP アドレスを構成します。
• 「IP Filter List」 – このインターフェースへの管理アクセスを許可する IP アドレス
• 「Start IP Address」 – 単一の IP アドレスまたは範囲の開始アドレス
• 「End IP Address」 – 範囲の終了アドレス
3-73
3
スイッチの構成
ウェブ – 「Security」、「IP Filter」の順にクリックします。インターフェースへの管理アクセ
スを許可する IP アドレスまたはアドレス範囲を入力し、「Add IP Filtering Entry」をクリック
します。
図 3-44. IP フィルタ
CLI – この例では、 Telnet クライアントの管理アクセスを制限しています。
Console(config)#management telnet-client 192.168.1.19
Console(config)#management telnet-client 192.168.1.25 192.168.1.30
Console(config)#exit
Console#show management all-client
Management IP Filter
HTTP-Client:
Start IP address
End IP address
----------------------------------------------SNMP-Client:
Start IP address
End IP address
----------------------------------------------TELNET-Client:
Start IP address
End IP address
----------------------------------------------1. 192.168.1.19
192.168.1.19
2. 192.168.1.25
192.168.1.30
Console#
3-74
4-30
4-31
アクセス制御リスト
3
アクセス制御リスト
アクセス制御リスト（ACL）により、 IP フレーム（アドレス、プロトコル、レイヤー 4 プロ
トコルポート番号、または TCP 制御コードに基づく）または任意のフレーム（MAC アドレ
スまたはイーサネットタイプに基づく）のパケットをフィルタリングできます。着信パケッ
トをフィルタリングするには、まずアクセスリストを作成し、必要なルールを追加します。
次に、ルールをチェックする優先順位を変更するためのマスクを指定し、このリストを特定
のポートにバインドします。
アクセス制御リストの構成
ACL は、 IP アドレス、 MAC アドレス、またはより限定的な基準に適用される許可または拒
否条件のシーケンシャルリストです。このスイッチでは ACL の条件に従ってイングレスまた
はイグレスパケットが 1 つずつテストされます。許可ルールに合致したパケットは即座に受
理され、拒否ルールに合致したパケットは即座に破棄されます。また、どの許可ルールにも
合致しないパケットは破棄され、どの拒否ルールにも合致しないパケットは受理されます。
ポートへの ACL ルールのバインドまたはルールに関連付けるキューまたはフレームのプラ
イオリティの設定を行う前に、ルールのマスクを構成する必要があります。これを行うには、
ACL ルールのチェック順序を制御するマスクを指定します。スイッチには、イングレス ACL
で指定された許可 / 拒否ルールに合致したパケットを通過 / 除外する 2 つのシステムデフォ
ルトマスクが備わっています。このほか、イングレスまたはイグレス ACL 用にユーザー定義
のマスクを最大 7 個まで定義できます。
コマンドの使用
ACL には次の制約が適用されます。
• 各 ACL は最大 32 個のルールで構成できます。
• ACL の最大数も 32 個です。
• ただし、リソースの制約上、ポートにバインドするルールの平均数が 20 個を超えないよう
にしてください。
• ポートへの ACL ルールのバインドまたはルールに関連付けるキューまたはフレームのプ
ライオリティの設定を行う前に、ルールのマスクを構成する必要があります。
• ACL をイグレスフィルタとしてインターフェースにバインドする場合、ACL のすべてのエ
ントリは拒否ルールである必要があります。そうでない場合、バインドオペレーションが
失敗する場合があります。
• スイッチでは、イグレス IP ACL またはイグレス MAC ACL において明示的な「deny any
any」ルールはサポートされません。このようなルールが ACL に含まれている場合、イグ
レスチェックのために ACL をインターフェースにバインドしようとすると、バインドオ
ペレーションが失敗する場合があります。
3-75
3
スイッチの構成
アクティブな ACL のチェック順序は次のとおりです。
1.
2.
3.
4.
5.
イグレスポートのイグレス MAC ACL に含まれるユーザー定義のルール
イグレスポートのイグレス IP ACL に含まれるユーザー定義のルール
イングレスポートのイングレス MAC ACL に含まれるユーザー定義のルール
イングレスポートのイングレス IP ACL に含まれるユーザー定義のルール
イングレスポートのイングレス IP ACL に含まれる明示的なデフォルトルール
（permit any any）
イングレスポートのイングレス MAC ACL に含まれる明示的なデフォルトルール
（permit any any）
どの明示的ルールにも合致しない場合の暗黙的デフォルトは permit all です。
6.
7.
ACL の名前およびタイプの設定
ACL の名前およびタイプを指定するには、「ACL Configuration」ページを使用します。
コマンド属性
• 「Name」 – ACL の名前（最大長 : 16 文字）
• 「Type」 – 次の 3 つのフィルタリングモードがあります。
- 「Standard」: 送信元 IP アドレスに基づいてパケットをフィルタリングする IP ACL モード
- 「Extended」 : 送信元または宛先 IP アドレスのほか、プロトコルタイプおよびプロトコ
ルポート番号に基づいてパケットをフィルタリングする IP ACL モード。「TCP」プロト
コルが指定されている場合、 TCP 制御コードに基づくパケットのフィルタリングも可能
です。
- 「MAC」 : 送信元または宛先 MAC アドレスおよびイーサネットフレームタイプ（RFC
1060）に基づいてパケットをフィルタリングする MAC ACL モード
ウェブ – 「Security」、「ACL」、「Configuration」の順にクリックします。「Name」フィールド
に ACL 名を入力し、リストタイプ（「Standard」、「Extended」、または「MAC」）を選択しま
す。次に、「Add」をクリックして、新規リストの構成ページを開きます。
図 3-45. ACL タイプの選択
CLI – この例では、 bill という名前の標準 IP ACL を作成しています。
Console(config)#access-list ip standard bill
Console(config-std-acl)#
3-76
4-91
アクセス制御リスト
3
標準 IP ACL の構成
コマンド属性
• 「Action」 – ACL には許可ルールまたは拒否ルールを自由に組み合わせて追加できます。
• 「Address Type」 – 送信元 IP アドレスを指定します。すべてのアドレスを含めるには
「Any」、「Address」フィールドに特定のホストアドレスを指定するには「Host」、「Address」
および「SubMask」フィールドでアドレス範囲を指定するには「IP」を使用します
（オプション : 「Any」、「Host」、「IP」、デフォルト : 「Any」）。
• 「IP Address」 – 送信元 IP アドレス
• 「Subnet Mask」 – ピリオドで区切られた 0 ～ 255 の 4 つの整数で構成されるサブネット
マスク。マスクでは 1 ビットによって「合致」、 0 ビットによって「無視」が示されます。
マスクは指定された送信元 IP アドレスとビットワイズ AND 演算され、この ACL が割り当
てられているポートに着信する各 IP パケットのアドレスと比較されます。
ウェブ – アクション（「Permit」または「Deny」）を指定します。アドレスタイプ（「Any」、
「Host」、または「IP」）を選択します。「Host」を選択した場合、特定のアドレスを入力しま
す。「IP」を選択した場合、サブネットアドレスとマスクを入力してアドレス範囲を指定しま
す。次に、「Add」をクリックします。
図 3-46. ACL の構成 - 標準 IP
CLI – この例では、特定アドレス 10.1.1.21 に対して 1 つの許可ルールを構成し、ビットマス
クを使用して 168.92.16.x ～ 168.92.31.x のアドレス範囲に対して別のルールを構成してい
ます。
Console(config-std-acl)#permit host 10.1.1.21
Console(config-std-acl)#permit 168.92.16.0 255.255.240.0
Console(config-std-acl)#
4-92
3-77
3
スイッチの構成
拡張 IP ACL の構成
コマンド属性
• 「Action」 – ACL には許可ルールまたは拒否ルールを自由に組み合わせて追加できます。
• 「Source/Destination Address Type」 – 送信元または宛先 IP アドレスを指定します。すべ
てのアドレスを含めるには「Any」、「Address」フィールドに特定のホストアドレスを指定
するには「Host」、「Address」および「SubMask」フィールドでアドレス範囲を指定する
には「IP」を使用します（オプション : 「Any」、「Host」、「IP」、デフォルト : 「Any」）。
• 「Source/Destination IP Address」 – 送信元または宛先 IP アドレス
• 「Source/Destination Subnet Mask」 – 送信元または宛先アドレスのサブネットマスク
（3-77 ページの「SubMask」の説明を参照）
• 「Service Type」 – 次の基準に基づくパケットプライオリティ設定
- 「Precedence」 – IP 優先度レベル（範囲 : 0 ～ 8、 8 はすべてを示す）
- 「TOS」 – タイプオブサービスレベル（範囲 : 0 ～ 16、 16 はすべてを示す）
- 「DSCP」 – DSCP プライオリティレベル（範囲 : 0 ～ 64、 64 はすべてを示す）
• 「Protocol」 – 合致させるプロトコルタイプを「TCP」、「UDP」、または「Others」として
指定します。「Others」は特定のプロトコル番号（0 ～ 255）を示します
（オプション : 「TCP」、「UDP」、「Others」、デフォルト : 「TCP」）。
• 「Source/Destination Port」 – 指定したプロトコルタイプの送信元 / 宛先ポート番号
（範囲 : 0 ～ 65535）
• 「Source/Destination Port Bit Mask」 – 合致させるポートビットを表す 10 進数
（範囲 : 0 ～ 65535）
• 「Control Code」 – ヘッダーの 14 バイト目のフラグビットを指定する（ビット文字列を表
す） 10 進数（範囲 : 0 ～ 63）
• 「Control Code Bit Mask」 – 合致させるコードビットを表す 10 進数
• 制御ビットマスクは、制御コードに適用される（同等のバイナリビットマスクに対する）
10 進数です。 10 進数を入力します。同等のバイナリビット「1」はビットの合致を示し、
「0」はビットの無視を示します。次のビットを指定できます。
- 1 (fin) – 終了
- 2 (syn) – 同期
- 4 (rst) – リセット
- 8 (psh) – プッシュ
- 16 (ack) – 肯定応答
- 32 (urg) – 緊急ポインタ
• たとえば、次のフラグセットを持つパケットを捕捉するには、次のコード値とマスクを使
用します。
- SYN フラグが有効な場合、制御コード 2、制御ビットマスク 2 を使用
- SYN および ACK が両方有効な場合、制御コード 18、制御ビットマスク 18 を使用
- SYN が有効で ACK が無効な場合、制御コード 2、制御ビットマスク 18 を使用
3-78
アクセス制御リスト
3
ウェブ – アクション（「Permit」または「Deny」）を指定します。送信元または宛先アドレス、
あるいはその両方を指定します。アドレスタイプ（「Any」、「Host」、または「IP」）を選択し
ます。「Host」を選択した場合、特定のアドレスを入力します。「IP」を選択した場合、サブ
ネットアドレスとマスクを入力してアドレス範囲を指定します。サービスタイプ、プロトコ
ルタイプ、 TCP 制御コードなど、必要なその他の基準を設定します。次に、「Add」をクリッ
クします。
図 3-47. ACL の構成 - 拡張 IP
CLI – この例では次の 3 つのルールを追加しています。
1.
送信元アドレスがサブネット 10.7.1.x に属している場合、着信パケットをすべて受理し
ます。たとえば、このルールに合致、すなわちルール（10.7.1.0 & 255.255.255.0）がマ
スクされたアドレス（10.7.1.2 & 255.255.255.0）に等しい場合、パケットは通過します。
2.
宛先が TCP ポート 80 （HTTP）に設定されている場合、クラス C アドレス 192.168.1.0
からすべての宛先アドレスへの TCP パケットを許可します。
3.
クラス C アドレス 192.168.1.0 から送信される、 TCP 制御コードが「SYN」に設定され
たすべての TCP パケットを許可します。
Console(config-ext-acl)#permit 10.7.1.1 255.255.255.0 any
Console(config-ext-acl)#permit tcp 192.168.1.0 255.255.255.0 any
destination-port 80
Console(config-ext-acl)#permit tcp 192.168.1.0 255.255.255.0 any
control-flag 2 2
Console(config-std-acl)#
4-93
3-79
3
スイッチの構成
MAC ACL の構成
コマンド属性
• 「Action」 – ACL には許可ルールまたは拒否ルールを自由に組み合わせて追加できます。
• 「Source/Destination Address Type」 – すべてのアドレスを含めるには「Any」、特定の
MAC アドレスを指定するには「Host」、「Address」および「Bitmask」フィールドでアドレ
ス範囲を指定するには「MAC」を使用します
（オプション : 「Any」、「Host」、「MAC」、デフォルト : 「Any」）。
• 「Source/Destination MAC Address」 – 送信元または宛先 MAC アドレス
• 「Source/Destination MAC Bit Mask」 – 送信元または宛先 MAC アドレスの 16 進数のマスク
• 「VID」 – VLAN ID （範囲 : 1 ～ 4093）
• 「VID Bit Mask」 – VLAN ビットマスク（範囲 : 1 ～ 4093）
• 「Ethernet Type」 – このオプションは、イーサネット II 形式のパケットのフィルタリング
にのみ使用できます（範囲 : 600 ～ fff の 16 進数）
• イーサネットプロトコルタイプの詳細なリストについては、 RFC 1060 を参照してくださ
い。一般的なタイプとして 0800 （IP）、 0806 （ARP）、 8137 （IPX）などがあります。
• 「Ethernet Type Bit Mask」 – プロトコルビットマスク（範囲 : 600 ～ fff の 16 進数）
• 「Packet Format」 – この属性では次のパケットタイプから選択できます。
- 「Any」 – すべてのイーサネットパケットタイプ
- 「Untagged-eth2」 – タグなしイーサネット II パケット
- 「Untagged-802.3」 – タグなしイーサネット 802.3 パケット
- 「Tagged-eth2」 – タグ付きイーサネット II パケット
- 「Tagged-802.3」 – タグ付きイーサネット 802.3 パケット
コマンドの使用
イグレス MAC ACL は、宛先 MAC が既知のパケットに対してのみ機能します。マルチキャス
ト、ブロードキャスト、または宛先 MAC が不明なパケットでは機能しません。
3-80
アクセス制御リスト
3
ウェブ – アクション（「Permit」または「Deny」）を指定します。送信元または宛先アドレス、
あるいはその両方を指定します。アドレスタイプ（「Any」、「Host」、または「MAC」）を選択
します。「Host」を選択した場合、特定のアドレス（11-22-33-44-55-66 など）を入力します。
「MAC」を選択した場合、基本アドレスと 16 進数のビットマスクを入力してアドレス範囲を
指定します。 VID、イーサネットタイプ、パケット形式など、必要なその他の基準を設定し
ます。次に、「Add」をクリックします。
図 3-48. ACL の構成 - MAC
CLI – このルールでは、任意の送信元 MAC アドレスから宛先アドレス 00-e0-29-94-34-de へ
のパケットを許可しています。イーサネットタイプは 0800 です。
Console(config-mac-acl)#permit any host 00-e0-29-94-34-de
ethertype 0800
Console(config-mac-acl)#
4-102
3-81
3
スイッチの構成
ACL マスクの構成
ACL ルールのチェック順序を制御するマスクを指定する必要があります。スイッチには、イ
ングレス ACL で指定された許可 / 拒否ルールに合致したパケットを通過 / 除外する 2 つのシ
ステムデフォルトマスクが備わっています。このほか、イングレスまたはイグレス ACL 用
にユーザー定義のマスクを最大 7 個まで定義できます。マスクはいずれかの基本 ACL タイプ
（イングレス IP ACL、イグレス IP ACL、イングレス MAC ACL、またはイグレス MAC ACL）
に排他的にバインドする必要があります。ただし、 1 つのマスクは最大 4 個の同一タイプの
ACL にバインドできます。
コマンドの使用
• 1 つの ACL マスクに最大 7 個のエントリを割り当てることができます。
• ポートを通過するパケットは、合致するものが見つかるまで ACL のすべてのルールに対し
てチェックされます。これらのパケットのチェック順序は、 ACL ルールの入力順序ではな
く、マスクによって決定されます。
• ACL をインターフェースにマップする前に、必要な ACL と、イングレスまたはイグレス
マスクを作成します。
• ポートへの ACL ルールのバインドまたはルールに関連付けるキューまたはフレームのプ
ライオリティの設定を行う前に、ルールのマスクを構成する必要があります。
マスクタイプの指定
イングレス IP ACL、イグレス IP ACL、イングレス MAC ACL、またはイグレス MAC ACL の
マスクを編集するには、「ACL Mask Configuration」ページを使用します。
ウェブ – 「Security」、「ACL」、「Mask Configuration」の順にクリックします。いずれかの基
本マスクタイプの「Edit」をクリックし、構成ページを開きます。
図 3-49. ACL マスクタイプの選択
CLI – この例では、 IP イングレスマスクを作成し、 2 つのルールを追加しています。各ルー
ルは優先順位に従ってチェックされ、 ACL エントリで合致するものが検索されます。最初に
マスクに合致したエントリがインバウンドパケットに適用されます。
Console(config)#access-list ip mask-precedence in
Console(config-ip-mask-acl)#mask host any
Console(config-ip-mask-acl)#mask 255.255.255.0 any
Console(config-ip-mask-acl)#
3-82
4-95
4-96
アクセス制御リスト
3
IP ACL マスクの構成
このマスクでは、 IP ヘッダーでチェックするフィールドを定義します。
コマンドの使用
• レイヤー 4 プロトコル送信元ポートまたは宛先ポートのエントリが含まれるマスクは、
ヘッダー長が正確に 5 バイトのパケットにのみ適用できます。
コマンド属性
• 「Source/Destination Address Type」 – 送信元または宛先 IP アドレスを指定します。すべ
てのアドレスに合致させるには「Any」、（サブネットではなく）ホストアドレスを指定す
るには「Host」、アドレス範囲を指定するには「IP」を使用します
（オプション : 「Any」、「Host」、「IP」、デフォルト : 「Any」）。
• 「Source/Destination Subnet Mask」 – ルールの送信元または宛先アドレスがこのビット
マスクに合致する必要があります（3-77 ページの「SubMask」の説明を参照）。
• 「Protocol Mask」 – プロトコルフィールドをチェックします。
• 「Service Type Mask」 – 指定したプライオリティタイプのルールをチェックします
（オプション : 「Precedence」、「TOS」、「DSCP」、デフォルト : 「TOS」）。
• 「Source/Destination Port Bit Mask」 – ルールのプロトコルポートがこのビットマスクに
合致する必要があります（範囲 : 0 ～ 65535）。
• 「Control Code Bit Mask」 – ルールの制御フラグがこのビットマスクに合致する必要があ
ります（範囲 : 0 ～ 63）。
3-83
3
スイッチの構成
ウェブ – IP イングレスまたはイグレス ACL で必要なルールに合致させるマスクを構成しま
す。送信元または宛先アドレス、特定のホストアドレス、またはアドレス範囲をチェックす
るマスクを設定します。プロトコルタイプやサービスタイプなど、その他の検索基準をルー
ルに含めます。または、特定のプロトコルポートや TCP 制御コードを検索するには、ビット
マスクを使用します。次に、「Add」をクリックします。
図 3-50. ACL マスクの構成 - IP
CLI – この例では、 ACL に入力されたルールの優先順位よりマスクのエントリが優先されま
す。「mask host any」エントリに従って「deny 10.1.1.1 255.255.255.255」ルールの方が優先
されるため、送信元アドレスが 10.1.1.1 のパケットは破棄されます。
Console(config)#access-list ip standard A2
Console(config-std-acl)#permit 10.1.1.0 255.255.255.0
Console(config-std-acl)#deny 10.1.1.1 255.255.255.255
Console(config-std-acl)#exit
Console(config)#access-list ip mask-precedence in
Console(config-ip-mask-acl)#mask host any
Console(config-ip-mask-acl)#mask 255.255.255.0 any
Console(config-ip-mask-acl)#
3-84
4-91
4-92
4-95
4-96
アクセス制御リスト
3
MAC ACL マスクの構成
このマスクでは、パケットヘッダーでチェックするフィールドを定義します。
コマンドの使用
ACL ルールをポートにバインドする前に、ルールのマスクを構成する必要があります。
コマンド属性
• 「Source/Destination Address Type」 – すべてのアドレスに合致させるには「Any」、単一
ノードのホストアドレスを指定するには「Host」、アドレス範囲を指定するには「MAC」
を使用します（オプション : 「Any」、「Host」、「MAC」、デフォルト : 「Any」）。
• 「Source/Destination Bit Mask」 – ルールのアドレスがこのビットマスクに合致する必要
があります。
• 「VID Bitmask」 – ルールの VLAN ID がこのビットマスクに合致する必要があります。
• 「Ethernet Type Bit Mask」 – ルールのイーサネットタイプがこのビットマスクに合致する
必要があります。
• 「Packet Format Mask」 – ルールでパケット形式が指定されている必要があります。
ウェブ – MAC イングレスまたはイグレス ACL で必要なルールに合致させるマスクを構成し
ます。送信元または宛先アドレス、ホストアドレス、またはアドレス範囲をチェックするマ
スクを設定します。特定の VLAN ID やイーサネットタイプを検索するには、ビットマスクを
使用します。または、パケット形式が指定されたルールをチェックします。次に、「Add」を
クリックします。
図 3-51. ACL マスクの構成 - MAC
3-85
3
スイッチの構成
CLI – この例には、イングレス MAC ACL を作成し、ポートにバインドする方法が示されてい
ます。その後、マスクによってルールの順序が変更されたことが示されています。
Console(config)#access-list mac M4
Console(config-mac-acl)#permit any any
Console(config-mac-acl)#deny tagged-eth2 00-11-11-11-11-11
ff-ff-ff-ff-ff-ff any vid 3
Console(config-mac-acl)#end
Console#show access-list
MAC access-list M4:
permit any any
deny tagged-eth2 host 00-11-11-11-11-11 any vid 3
Console(config)#access-list mac mask-precedence in
Console(config-mac-mask-acl)#mask pktformat ff-ff-ff-ff-ff-ff any vid
Console(config-mac-mask-acl)#exit
Console(config)#interface ethernet 1/12
Console(config-if)#mac access-group M4 in
Console(config-if)#end
Console#show access-list
MAC access-list M4:
deny tagged-eth2 host 00-11-11-11-11-11 any vid 3
permit any any
MAC ingress mask ACL:
mask pktformat host any vid
Console#
4-101
4-102
4-102
4-108
4-104
4-105
4-148
4-107
アクセス制御リストへのポートのバインド
アクセス制御リスト（ACL）を構成したら、トラフィックをフィルタリングする必要のある
ポートに ACL をバインドする必要があります。各ポートにバインドできる ACL は、基本タ
イプ（IP イングレス、 IP イグレス、 MAC イングレス、および MAC イグレス）ごとに 1 つの
みです。
コマンドの使用
• ACL ルールをポートにバインドする前に、ルールのマスクを構成する必要があります。
• このスイッチでは、イングレスおよびイグレスフィルタリング用の ACL がサポートされ
ます。ただし、イングレスフィルタリング用に各ポートにバインドできる IP ACL と MAC
ACL はそれぞれ 1 つのみです。また、イグレスフィルタリング用に各ポートにバインドで
きる IP ACL と MAC ACL はそれぞれ 1 つのみです。すなわち、 1 つのインターフェースに
は、イングレス IP ACL、イグレス IP ACL、イングレス MAC ACL、およびイグレス MAC
ACL の 4 つの ACL のみをバインドできます。
• ACL をイグレスフィルタとしてインターフェースにバインドする場合、ACL のすべてのエ
ントリは拒否ルールである必要があります。そうでない場合、バインドオペレーションが
失敗する場合があります。
• スイッチでは、イグレス IP ACL またはイグレス MAC ACL において明示的な「deny any
any」ルールはサポートされません。このようなルールが ACL に含まれている場合、イグ
レスチェックのために ACL をインターフェースにバインドしようとすると、バインドオ
ペレーションが失敗する場合があります。
コマンド属性
• 「Port」 – 固定ポートまたは SFP モジュール（範囲 : 1 ～ 24）
• 「IP」 – ポートにバインドする IP ACL を指定します。
• 「MAC」 – ポートにバインドする MAC ACL を指定します。
3-86
アクセス制御リスト
3
• 「IN」 – イングレスパケットの ACL
• 「OUT」 – イグレスパケットの ACL
• 「ACL Name」 – ACL の名前
ウェブ – 「Security」、「ACL」、「Port Binding」の順にクリックします。イングレスまたはイ
グレストラフィックの ACL にバインドするポートの「Enable」フィールドをオンにし、ド
ロップダウンリストから必要な ACL を選択して、「Apply」をクリックします。
図 3-52. ポートへの ACL のバインド
CLI – この例では、IP および MAC イングレス ACL をポート 1 に、IP イングレス ACL をポー
ト 2 に割り当てています。
Console(config)#interface ethernet 1/1
Console(config-if)#ip access-group david in
Console(config-if)#mac access-group jerry in
Console(config-if)#exit
Console(config)#interface ethernet 1/2
Console(config-if)#ip access-group david in
Console(config-if)#
4-148
4-100
4-107
3-87
3
スイッチの構成
ポートコンフィギュレーション
接続ステータスの表示
リンク状態、スピード / 二重モード、自動ネゴシエーションなど、現在の接続ステータスを表
示するには、「Port Information」または「Trunk Information」ページを使用します。
フィールド属性（ウェブ）
• 「Name」 – インターフェースラベル
• 「Type」 – ポートタイプが示されます（「1000BASE-T」、「SFP」、または「10G」）。
• 「Admin Status 」 – インターフェースが有効にされているか無効にされているかが示され
ます。
• 「Oper Status」 – リンクが確立されているか切断されているかが示されます。
• 「Speed Duplex Status」 – 現在のスピードおよび二重モードが示されます（「Auto」または
固定選択）。
• 「Flow Control Status」1 – 現在使用中のフロー制御のタイプが示されます
（「IEEE 802.3x」、「Back-Pressure」、または「None」）。
• 「Autonegotiation」 – 自動ネゴシエーションが有効にされているか無効にされているかが
示されます。
• 「Media Type」2 – コンボポート 21 ～ 24 に使用される強制 / 優先ポートタイプが示されます
（「Copper-Forced」、「SFP-Forced」、「SFP-Preferred-Auto」）。
• 「Trunk Member」
2
– ポートがトランクメンバーかどうかが示されます。
• 「Creation」3 – トランクが手動で構成されたか LACP によって動的に設定されたかが示さ
れます。
ウェブ – 「Port」、「Port Information」または「Trunk Information」の順にクリックします。
図 3-53. ポート - ポート情報
1.
2.
3.
スイッチの ASIC にはフロー制御とキュー先頭のパケット（ヘッドオブライン : HOL）によるブ
ロックの相互運用性に問題があるため、このスイッチではフロー制御はサポートされていません。
「Port Information」のみ
「Trunk Information」のみ
3-88
ポートコンフィギュレーション
3
フィールド属性（CLI）
Basic information:
• 「Port type」 – ポートタイプが示されます（「1000BASE-T」、「SFP」、または「10G」）。
• 「MAC address」 – このポートの物理レイヤーアドレス（ウェブでこの項目にアクセスす
るには、 3-17 ページの「スイッチの IP アドレスの設定」を参照）
Configuration:
• 「Name」 – インターフェースラベル
• 「Port admin」 – インターフェースが有効にされているか無効にされているか（稼動中か非
稼動か）が示されます。
• 「Speed-duplex」 – 現在のスピードおよび二重モードが示されます（「Auto」または固定選択）。
• 「Capabilities」 – 自動ネゴシエーション中にアドバタイズするポートの能力を指定します
（ウェブでこの項目にアクセスするには、 3-48 ページの「インターフェース接続の構成」を
参照）。次の能力がサポートされます。
• 10half - 10 Mbps 半二重動作をサポートします。
• 10full - 10 Mbps 全二重動作をサポートします。
• 100half - 100 Mbps 半二重動作をサポートします。
• 100full - 100 Mbps 全二重動作をサポートします。
• 1000full - 1000 Mbps 全二重動作をサポートします。
• 10Gfull - 10 Gbps 全二重動作をサポートします。
• 「Broadcast storm」 – ブロードキャストストーム制御が有効にされているか無効にされて
いるかが示されます。
• 「Broadcast storm limit」 – ブロードキャストストームしきい値が示されます
（500 ～ 262143 パケット / 秒）。
• 「Flow control」1 – フロー制御が有効にされているか無効にされているかが示されます。
• 「LACP」 – LACP が有効にされているか無効にされているかが示されます。
• 「Port security」 – ポートセキュリティが有効にされているか無効にされているかが示され
ます。
• 「Max MAC count」 – ポートが学習できる最大 MAC アドレス数が示されます
（0 ～ 1024 アドレス）。
• 「Port security action」 – セキュリティ違反が検知された場合の対応が示されます
（「shutdown」、「trap」、「trap-and-shutdown」）。
• 「Media type」 – コンボポート 21 ～ 24（ES4625）または 45 ～ 48（ES4649）に使用される強
制 / 優先ポートタイプが示されます（「copper forced」、「SFP forced」、「SFP preferred auto」）。
Current Status:
• 「Link status」 – リンクが確立されているか切断されているかが示されます。
• 「Port operation status」 – ポート状態に関する詳細情報が表示されます（リンクが確立さ
れている場合のみ表示）。
• 「Operation speed-duplex」 – 現在のスピードおよび二重モードが示されます。
• 「Flow control type」 1 – 現在使用中のフロー制御のタイプが示されます
（「IEEE 802.3x」、「Back-Pressure」、または「none」）。
1.
スイッチの ASIC にはフロー制御とキュー先頭のパケット（ヘッドオブライン : HOL）によるブ
ロックの相互運用性に問題があるため、このスイッチではフロー制御はサポートされていません。
3-89
3
スイッチの構成
CLI – この例では、ポート 5 の接続ステータスを表示しています。
Console#show interfaces status ethernet 1/5
4-155
Information of Eth 1/13
Basic information:
Port type:
1000T
Mac address:
00-30-F1-D4-73-A5
Configuration:
Name:
Port admin:
Up
Speed-duplex:
Auto
Capabilities:
10half, 10full, 100half, 100full, 1000full
Broadcast storm:
Enabled
Broadcast storm limit: 500 packets/second
Flow control:
Disabled
LACP:
Disabled
Port security:
Disabled
Max MAC count:
0
Port security action:
None
Media type:
None
Current status:
Link status:
Down
Operation speed-duplex: 1000full
Flow control type:
None
Console#
インターフェース接続の構成
インターフェースの有効 / 無効、自動ネゴシエーションおよびアドバタイズするインター
フェース能力の設定、または手動によるスピードおよび二重モードの設定を行うには、「Port
Configuration」または「Trunk Configuration」ページを使用します。
コマンド属性
• 「Name」 – インターフェースにラベルを付けることができます（範囲 : 1 ～ 64 文字）。
• 「Admin」 – 手動でインターフェースを無効にできます。異常動作（過剰なコリジョンなど）
が発生した場合にインターフェースを無効にし、問題解決後に再度有効にすることができ
ます。セキュリティ上の理由でインターフェースを無効にすることも可能です。
• 「Speed/Duplex」 – 手動でポートスピードおよび二重モードを設定できます（自動ネゴシ
エーションは無効）。
• 「Autonegotiation」（ポート能力） – 自動ネゴシエーションを有効 / 無効にできます。自動
ネゴシエーションを有効にする場合、アドバタイズする能力を指定する必要があります。自
動ネゴシエーションを無効にする場合、スピードおよびモード強制的に設定できます。次
の能力がサポートされます。
- 10half - 10 Mbps 半二重動作をサポートします。
- 10full - 10 Mbps 全二重動作をサポートします。
- 100half - 100 Mbps 半二重動作をサポートします。
- 100full - 100 Mbps 全二重動作をサポートします。
- 1000full - 1 Gbps 全二重動作をサポートします。
• 10Gfull - 10 Gbps 全二重動作をサポートします。
（デフォルト : 自動ネゴシエーションは有効、アドバタイズする能力は次のとおり。
RJ-45: 1000BASE-T – 10half、 10full、 100half、 100full、 1000full、
SFP: 1000BASE-SX/LX/LH – 1000full、 10G モジュール : 10GBASE-LR – 10Gfull）
3-90
ポートコンフィギュレーション
3
• 「Media Type」 – コンボポートに使用される強制 / 優先ポートタイプが示されます
（ES4625: ポート 21 ～ 24、 ES4649: ポート 45 ～ 48）。
- 「Copper-Forced」 - 常に組込み RJ-45 ポートを使用します。
- 「SFP-Forced」 - 常に SFP ポートを使用します（モジュールがインストールされていな
い場合も含む）。
- 「SFP-Preferred-Auto」 - 両方のコンボタイプが機能し、SFP ポートに有効なリンクが存
在する場合、 SFP ポートを使用します。
• 「Trunk」 – ポートがトランクのメンバーであるかどうかが示されます。トランクを作成し
てポートメンバーを選択するには、 3-92 ページの「トランクグループの作成」を参照し
てください。
注 : スピード / 二重モードを使用するようインターフェースを構成または強制設定する前に、自動
ネゴシエーションを無効にする必要があります。
ウェブ – 「Port」、「Port Configuration」または「Trunk Configuration」の順にクリックしま
す。必要なインターフェース設定を変更し、「Apply」をクリックします。
図 3-54. ポート - ポートの構成
3-91
3
スイッチの構成
CLI – インターフェースを選択し、必要な設定を入力します。
Console(config)#interface ethernet 1/13
Console(config-if)#description RD SW#13
Console(config-if)#shutdown
.
Console(config-if)#no shutdown
Console(config-if)#no negotiation
Console(config-if)#speed-duplex 100half
.
Console(config-if)#negotiation
Console(config-if)#capabilities 100half
Console(config-if)#capabilities 100full
Console(config-if)#exit
Console(config)#interface ethernet 1/21
Console(config-if)#media-type copper-forced
Console(config-if)#
4-148
4-149
4-153
4-150
4-149
4-151
4-153
トランクグループの作成
デバイス間に、 1 つのバーチャルアグレゲートリンクとして機能する複数のリンクを確立す
ることができます。ポートトランクにより、ボトルネックが存在するネットワークセグメン
トの帯域が大幅に拡張され、 2 台のデバイス（単一のスイッチまたはスタック）間にフォール
トトレラントなリンクを実現できます。作成できるトランクは最大 32 本です。
スイッチでは、スタティックトランキングおよび動的なリンクアグレゲーション制御プロト
コル（LACP）が両方サポートされます。スタティックトランクはリンクの両端に手動で構成
する必要があり、スイッチが Cisco EtherChannel 標準に準拠している必要があります。一方、
LACP を構成したポートでは、別のデバイス上の LACP 構成ポートとトランク接続されたリ
ンクのネゴシエーションを自動的に実行できます。スタティックトランクのメンバーとして
構成されていないポートであれば、スイッチのポートをいくつでも LACP として構成できま
す。別のデバイス上のポートも LACP として構成されている場合、スイッチと他方のデバイ
スでは相互を結ぶトランクリンクのネゴシエーションが行われます。 LACP トランクを構成
するポートが 8 個を超えている場合、その他すべてのポートはスタンバイモードになります。
トランクの特定リンクが障害になると、スタンバイポートのいずれかが自動的に有効になり、
障害になったリンクの処理を引き継ぎます。
コマンドの使用
その他のポートは、トランク内の各ポートのロードバランシングを行うほか、トランクのポー
トが障害になった場合にその負荷を引き継ぐことによって冗長性を提供します。ただし、デ
バイス間に物理的な接続を確立する前に、ウェブインターフェースまたは CLI を使用して両
端のデバイスでトランクの指定を行う必要があります。ポートトランクを使用する際は、次
の点に注意してください。
• ループの発生を防ぐために、対応するネットワークケーブルでスイッチ間を接続する前に、
ポートトランクの構成を完了してください。
• 1 つのスイッチまたはスタックには最大 32 本のトランクを作成でき、各トランクは最大 8
個のギガビットポートまたは 4 個の 10Gbps ポートで構成できます。理論的上、スタック
は単一システムとして機能するため、同一トランクに異なるユニットのポートを含めるこ
とができます。たとえば、 VLAN 2 に属している、複数のユニットに分散したポートを共通
のトランクに接続することが可能です。
• 接続の両端のポートをトランクポートとして構成する必要があります。
3-92
ポートコンフィギュレーション
3
• タイプが異なるスイッチ上にスタティックトランクを構成する場合、スイッチは Cisco
EtherChannel 標準に準拠している必要があります。
• トランクの両端のポートは、通信モード（スピードおよび二重モード）、VLAN 割当て、CoS
設定など、同じ設定にする必要があります。
• フロントパネルのギガビットポートは、ポートのメディアタイプが異なっていてもトラ
ンク接続が可能です。
• トランク内のすべてのポートは、 VLAN から、または VLAN に移動、追加、または削除す
る際にまとめて扱う必要があります。
• STP、 VLAN、および IGMP 設定はトランク全体に対してのみ行えます。
トランクの静的構成
コマンドの使用
• スタティックトランクを構成する場合、製造元によ
る実装状況によっては異なるタイプのスイッチをリ
ンクできない場合があります。このスイッチのスタ
ティックトランクは Cisco EtherChannel に準拠して
います。
• ネットワークでのループの発生を防ぐために、ポート
を接続する前に構成インターフェースでスタティッ
クトランクを追加し、また構成インターフェースで
スタティックトランクを削除する前にポートを切断
してください。
}
statically
configured
active
links
コマンド属性
• 「Member List (Current)」 – 構成済みのトランク（トランク ID、ユニット、ポート）が示さ
れます。
• 「New」 – 新規トランクを作成するための入力フィールドが表示されます。
- 「Trunk」 – トランク識別子（範囲 : 1 ～ 32）
- 「Unit」 – スタックユニット（範囲 : 1 ～ 8）
- 「Port」 – ポート識別子（範囲 : 1 ～ 25/49）
3-93
3
スイッチの構成
ウェブ – 「Port」、「Trunk Membership」の順にクリックします。「Trunk」フィールドに 1 ～
32 のトランク ID を入力し、ポートのスクロールダウンリストからスイッチポートを選択し
て、「Add」をクリックします。メンバーリストへのポートの追加を完了したら、「Apply」を
クリックします。
図 3-55. スタティックトランクの構成
CLI – この例では、ポート 9 および 10 で構成されるトランク 1 を作成しています。これらの
ポートを別のスイッチ上の 2 つのスタティックトランクポートに接続するだけで、トランク
が形成されます。
Console(config)#interface port-channel 1
Console(config-if)#exit
Console(config)#interface ethernet 1/9
Console(config-if)#channel-group 1
Console(config-if)#exit
Console(config)#interface ethernet 1/10
Console(config-if)#channel-group 1
Console(config-if)#end
Console#show interfaces status port-channel 1
Information of Trunk 1
Basic information:
Port type:
1000T
Mac address:
00-30-F1-D4-73-A2
Configuration:
Name:
Port admin:
Up
Speed-duplex:
Auto
Capabilities:
10half, 10full, 100half, 100full, 1000full
Flow control:
Disabled
Port security:
Disabled
Max MAC count:
0
Current status:
Created by:
User
Link status:
Up
Port operation status: Up
Operation speed-duplex: 1000full
Flow control type:
None
Member Ports: Eth1/9, Eth1/10,
Console#
3-94
4-148
4-148
4-163
4-155
ポートコンフィギュレーション
3
選択したポートでの LACP の有効化
コマンドの使用
• ネットワークでのループの発生を防ぐために、ポートを
接続する前に LACP を有効にし、また LACP を無効にす
る前にポートを切断してください。
• LACP を使用して別のスイッチとの間に形成されたトラ
ンクには、次に使用可能なトランク ID が自動的に割り当
てられます。
• 同一のターゲットスイッチに接続され、 LACP が有効に
されているポートが 8 個を超える場合、追加のポートは
スタンバイモードになり、いずれかのアクティブリンク
で障害が発生した場合のみ有効にされます。
}
active
links
backup
link
}
• ターゲットスイッチの接続先ポートでも LACP が有効
にされている場合、トランクは自動的に有効になります。
dynamically
enabled
configured
members
• LACP トランクの両端の全ポートは、強制モードまたは自動ネゴシエーションによって全
二重モードに構成されている必要があります。
• LACP によって動的に確立されたトランクは、「Trunk Membership」メニューの「Member
List」にも表示されます（3-93 ページを参照）。
コマンド属性
• 「Member List (Current)」 – 構成済みのトランク（ユニット、ポート）が示されます。
• 「New」 – 新規トランクを作成するための入力フィールドが表示されます。
- 「Unit」 – スタックユニット（範囲 : 1 ～ 8）
- 「Port」 – ポート識別子（範囲 : 1 ～ 25/49）
ウェブ – 「Port」、「LACP」、「Configuration」の順にクリックします。ポートのスクロールダ
ウンリストからスイッチポートを選択し、「Add」をクリックします。メンバーリストへの
ポートの追加を完了したら、「Apply」をクリックします。
図 3-56. LACP トランクの構成
3-95
3
スイッチの構成
CLI – この例では、ポート 1 ～ 6 で LACP を有効にしています。 LACP が有効にされた別の
スイッチ上のポートにこれらのポートを接続するだけで、トランクが形成されます。
Console(config)#interface ethernet 1/1
4-148
Console(config-if)#lacp
4-164
Console(config-if)#exit
.
.
.
Console(config)#interface ethernet 1/6
Console(config-if)#lacp
Console(config-if)#end
Console#show interfaces status port-channel 1
4-155
Information of Trunk 1
Basic information:
Port type:
1000T
Mac address:
00-30-F1-D4-73-A2
Configuration:
Port admin:
Up
Speed-duplex:
Auto
Capabilities:
10half, 10full, 100half, 100full, 1000full
Flow control:
Disabled
Port security:
Disabled
Max MAC count:
0
Current status:
Created by:
LACP
Link status:
Up
Port operation status: Up
Operation speed-duplex: 1000full
Flow control type:
None
Member Ports: Eth1/1, Eth1/2, Eth1/3, Eth1/4, Eth1/5, Eth1/6,
Console#
LACP パラメータの構成
ポートチャネルの動的作成
共通ポートチャネルに割り当てるポートは次の基準を満たしている必要があります。
• ポートの LACP システムプライオリティが同じである必要があります。
• ポートの LACP ポート管理キーが同じである必要があります。
• ただし、「ポートチャネル」管理キーが設定されている場合（4-142 ページ）、ポート管理
キーは、チャネルグループに参加可能なポートと同じ値に設定されている必要があります。
注 : チャネルグループの形成時にポートチャネル管理キー（LACP 管理キー、 4-166 ページ）が
（CLI によって）設定されていない場合（すなわち、 0 のヌル値が含まれる）、このキーは、
グループに参加するインターフェースで使用されているポート管理キーと同じ値に設定さ
れます（LACP 管理キー、この項目および 4-166 ページで説明）。
コマンド属性
「Set Port Actor」 – このメニューでは、アグレゲートリンクのローカル側、すなわちこのス
イッチ上のポートを設定します。
• 「Port」 – ポート番号（範囲 : 1 ～ 25/49）
• 「System Priority」 – LACP システムプライオリティは、リンクアグレゲーショングルー
プ（LAG）のメンバーシップを決定するため、また LAG ネゴシエーション中にこのデバイ
スをほかのスイッチに示すために使用されます（範囲 : 0 ～ 65535、デフォルト : 32768）。
3-96
ポートコンフィギュレーション
3
- 同一の LAG に参加するには、ポートに同じシステムプライオリティが設定されている
必要があります。
- システムプライオリティとスイッチの MAC アドレスを組み合わせることによって LAG
識別子が形成されます。この識別子は、ほかのシステムとの LACP ネゴシエーション中
に特定の LAG を示すために使用されます。
• 「Admin Key」 – 同一の LAG に属するポートの LACP 管理キーは同じ値に設定する必要が
あります（範囲 : 0 ～ 65535、デフォルト : 1）。
• 「Port Priority」 – LACP ポートプリオリティは、リンクの切断時にバックアップリンクを
選択するために使用されます（範囲 : 0 ～ 65535、デフォルト : 32768）。
「Set Port Partner」 – このメニューでは、アグレゲートリンクのリモート側、すなわち接続先
デバイス上のポートを設定します。コマンド属性の意味はポートアクターのものと同じです。
ただし、パートナの LACP 設定はオペレーション状態ではなく管理状態にのみ適用され、パー
トナとのアグレゲートリンクが次回確立されたときに有効になります。
ウェブ – 「Port」、「LACP」、「Aggregation Port」の順にクリックします。ポートアクターの
「System Priority」、「Admin Key」、および「Port Priority」を設定します。オプションで、パー
トナポートについてこれらのオプションを構成することもできます（これらの設定はパート
ナの管理状態にのみ影響し、このデバイスとのアグレゲートリンクが次回確立されるまで有
効にならない）。ポートの LACP パラメータの設定を完了したら、「Apply」をクリックします。
図 3-57. LACP - アグレゲーションポート
3-97
3
スイッチの構成
CLI – 次の例では、ポート 1 ～ 10 の LACP パラメータを構成しています。ポート 1 ～ 8 は
LAG のアクティブメンバーとして使用され、ポート 9 および 10 はバックアップモードに設
定されています。
Console(config)#interface ethernet 1/1
4-148
Console(config-if)#lacp actor system-priority 3
4-165
Console(config-if)#lacp actor admin-key 120
4-166
Console(config-if)#lacp actor port-priority 128
4-167
Console(config-if)#exit
.
.
.
Console(config)#interface ethernet 1/10
Console(config-if)#lacp actor system-priority 3
Console(config-if)#lacp actor admin-key 120
Console(config-if)#lacp actor port-priority 512
Console(config-if)#end
Console#show lacp sysid
4-168
Channel Group
System Priority
System MAC Address
------------------------------------------------------------------------1
3
00-00-E9-31-31-31
2
32768
00-00-E9-31-31-31
3
32768
00-00-E9-31-31-31
.
.
.
Console#show lacp 1 internal
4-168
Port channel: 1
------------------------------------------------------------------------Oper Key: 120
Admin Key: 0
Eth 1/ 1
------------------------------------------------------------------------LACPDUs Internal:
30 sec
LACP System Priority: 3
LACP Port Priority:
128
Admin Key:
120
Oper Key:
120
Admin State: defaulted, aggregation, long timeout, LACP-activity
Oper State:
distributing, collecting, synchronization,
aggregation, long timeout, LACP-activity
.
.
.
LACP ポートカウンタの表示
LACP プロトコルメッセージの統計情報を表示できます。
表 3-8. LACP ポートカウンタ
パラメータ
説明
LACPDUs Sent
このチャネルグループから送信された有効な LACPDU の数
LACPDUs Received
このチャネルグループが受信した有効な LACPDU の数
Marker Sent
このチャネルグループから送信された有効なマーカー PDU の数
Marker Received
このチャネルグループが受信した有効なマーカー PDU の数
Marker Unknown Pkts
受信したフレームのうち、 (1) Slow Protocols Ethernet Type 値を持つが不
明な PDU が含まれるもの、または (2) Slow Protocols グループの MAC ア
ドレス宛だが、 Slow Protocols Ethernet Type を持たないものの数
Marker Illegal Pkts
Slow Protocols Ethernet Type 値を持つが、 PDU の形式が不正または
Protocol Subtype の値が無効なフレームの数
3-98
ポートコンフィギュレーション
3
ウェブ – 「Port」、「LACP」、「Port Counters Information」の順にクリックします。情報を表
示するメンバーポートを選択します。
図 3-58. LACP - ポートカウンタ情報
CLI – 次の例では、ポートチャネル 1 の LACP カウンタを表示しています。
Console#show lacp 1 counters
4-168
Port channel: 1
------------------------------------------------------------------------Eth 1/ 2
------------------------------------------------------------------------LACPDUs Sent:
19
LACPDUs Receive:
10
Marker Sent:
0
Marker Receive:
0
LACPDUs Unknown Pkts: 0
LACPDUs Illegal Pkts: 0
.
.
.
3-99
3
スイッチの構成
ローカル側の LACP 設定とステータスの表示
リンクアグレゲーションのローカル側のコンフィギュレーション設定およびオペレーション
状態を表示できます。
表 3-9. LACP 内部コンフィギュレーション情報
フィールド
説明
Oper Key
アグレゲーションポートのキーの現在のオペレーション値
Admin Key
アグレゲーションポートのキーの現在の管理値
LACPDUs Internal
受信した LACPDU 情報を無効化するまでの秒数
LACP System Priority
このポートチャネルに割り当てられた LACP システムプライオリティ
LACP Port Priority
チャネルグループ内でこのインターフェースに割り当てられた LACP
ポートプライオリティ
Admin State、
Oper State
アクターの状態パラメータの管理値またはオペレーション値
• 「Expired」 – アクターの受信マシンは期限切れ状態です。
• 「Defaulted」 – アクターの受信マシンは、管理上パートナに構成された
デフォルトのパートナー情報を使用しています。
• 「Distributing」 – false の場合、このリンクでの発信フレームの配信は無
効にされます。すなわち、配信は現在無効にされており、管理の変更ま
たは受信したプロトコル情報の変更がない限り、有効にされないと考え
られます。
• 「Collecting」 – このリンクでの着信フレームの収集は有効にされていま
す。すなわち、収集は現在有効にされており、管理の変更または受信し
たプロトコル情報の変更がない限り、無効にされないと考えられます。
• 「Synchronization」 – このリンクはシステムで IN_SYNC と見なされて
います。すなわち、リンクは正しいリンクアグレゲーショングループ
に割り当てられています。また、このグループは互換性のあるアグレ
ゲータに関連付けられており、リンクアグレゲーショングループのア
イデンティティは送信されたシステム ID およびオペレーションキー情
報と一致しています。
• 「Aggregation」 – このリンクはシステムでアグレゲート可能、すなわち
アグレゲーションの潜在的候補と見なされています。
• 「Long timeout」 – 定期的な LACPDU の送信に低送信レートが使用され
ています。
• 「LACP-Activity」 – このリンクに関するアクティビティ制御値
（0: パッシブ、 1: アクティブ）
3-100
ポートコンフィギュレーション
3
ウェブ – 「Port」、「LACP」、「Port Internal Information」の順にクリックします。情報を表示
するポートチャネルを選択します。
図 3-59. LACP - ポート内部情報
CLI – 次の例では、ポートチャネル 1 のローカル側のコンフィギュレーション設定およびオ
ペレーション状態を表示しています。
Console#show lacp 1 internal
4-168
Port channel: 1
------------------------------------------------------------------------Oper Key: 3
Admin Key: 0
Eth 1/ 2
------------------------------------------------------------------------LACPDUs Internal:
30 sec
LACP System Priority: 32768
LACP Port Priority:
32768
Admin Key:
3
Oper Key:
3
Admin State: defaulted, aggregation, long timeout, LACP-activity
Oper State:
distributing, collecting, synchronization,
aggregation, long timeout, LACP-activity
.
.
.
3-101
3
スイッチの構成
リモート側の LACP 設定とステータスの表示
リンクアグレゲーションのリモート側のコンフィギュレーション設定およびオペレーション
状態を表示できます。
表 3-10. LACP 隣接機器コンフィギュレーション情報
フィールド
説明
Partner Admin System ID ユーザーが割り当てた LAG パートナのシステム ID
Partner Oper System ID
LACP プロトコルによって割り当てられた LAG パートナのシステム ID
Partner Admin
Port Number
プロトコルパートナのポート番号の現在の管理値
Partner Oper
Port Number
ポートのプロトコルパートナによってこのアグレゲーションポートに
割り当てられたオペレーションポート番号
Port Admin Priority
プロトコルパートナのポートプライオリティの現在の管理値
Port Oper Priority
パートナによってこのアグレゲーションポートに割り当てられたプラ
イオリティ値
Admin Key
プロトコルパートナのキーの現在の管理値
Oper Key
プロトコルパートナのキーの現在のオペレーション値
Admin State
パートナの状態パラメータの管理値（前の表を参照）
Oper State
パートナの状態パラメータのオペレーション値（前の表を参照）
ウェブ – 「Port」、「LACP」、「Port Neighbors Information」の順にクリックします。情報を表
示するポートチャネルを選択します。
図 3-60. LACP - ポート隣接機器情報
3-102
ポートコンフィギュレーション
3
CLI – 次の例では、ポートチャネル 1 のリモート側のコンフィギュレーション設定およびオ
ペレーション状態を表示しています。
Console#show lacp 1 neighbors
4-168
Port channel 1 neighbors
------------------------------------------------------------------------Eth 1/2
------------------------------------------------------------------------Partner Admin System ID:
32768, 00-00-00-00-00-00
Partner Oper System ID:
32768, 00-01-F4-78-AE-C0
Partner Admin Port Number: 2
Partner Oper Port Number: 2
Port Admin Priority:
32768
Port Oper Priority:
32768
Admin Key:
0
Oper Key:
3
Admin State:
defaulted, distributing, collecting,
synchronization, long timeout,
Oper State:
distributing, collecting, synchronization,
aggregation, long timeout, LACP-activity
.
.
.
ブロードキャストストームしきい値の設定
ネットワーク上のデバイスが誤動作している場合、またはアプリケーションプログラムの設
計に不備があるか正しく構成されていない場合、ブロードキャストストームが発生すること
があります。ネットワーク上に過剰なブロードキャストトラフィックが送出されると、性能
が大幅に低下したり、すべての処理が完全に停止する場合があります。
各ポートにブロードキャストトラフィックのしきい値を設定することにより、ネットワーク
でのブロードキャストストームの発生を防ぐことができます。指定したしきい値を超えるブ
ロードキャストパケットは破棄されます。
コマンドの使用
• ブロードキャスト制御は IP マルチキャストトラフィックには影響しません。
• ギガビットポートの分解能は 1 パケット / 秒（pps）です。 500 ～ 262143 の範囲で設定で
きます。ただし、 10 ギガビットポートの分解能は 1041 pps 刻みです。
コマンド属性
• 「Port」1 – ポート番号
• 「Trunk」2 – トランク番号
• 「Type」 – ポートタイプが示されます（「1000BASE-T」、「SFP」、または「10G」）。
• 「Protect Status」 – ブロードキャストストーム制御が有効にされているかどうかが示され
ます（デフォルト : オン）。
• 「Threshold」 – ポート帯域の割合（%）で指定したしきい値
（1000BASE - オプション : 500 ～ 262143 パケット / 秒、デフォルト : 500 pps、 10GBASE
- オプション : 1041 ～ 262143 パケット / 秒、デフォルト : 1041 pps）
• 「Trunk」 1 – ポートがトランクメンバーかどうかが示されます。
1.
2.
「Port Broadcast Control」
「Trunk Broadcast Control」
3-103
3
スイッチの構成
ウェブ – 「Port」、「Port Broadcast Control」または「Trunk Broadcast Control」の順にクリッ
クします。インターフェースの「Enabled」ボックスをオンにし、しきい値を設定して、「Apply」
をクリックします。
図 3-61. ポートブロードキャスト制御
CLI – インターフェースを指定し、しきい値を入力します。次の例では、ポート 1 でブロード
キャストストーム制御を無効にし、ポート 2 で 600 パケット / 秒になるとブロードキャスト
を禁止するよう設定しています。
Console(config)#interface ethernet 1/1
Console(config-if)#no switchport broadcast
Console(config-if)#exit
Console(config)#interface ethernet 1/2
Console(config-if)#switchport broadcast packet-rate 600
Console(config-if)#end
Console#show interfaces switchport ethernet 1/2
Information of Eth 1/2
Broadcast threshold:
Enabled, 600 packets/second
LACP status:
Disabled
Ingress rate limit:
Disable, 1000M bits per second
Egress rate limit:
Disable, 1000M bits per second
VLAN membership mode:
Hybrid
Ingress rule:
Disabled
Acceptable frame type:
All frames
Native VLAN:
1
Priority for untagged traffic: 0
GVRP status:
Disabled
Allowed VLAN:
1(u),
Forbidden VLAN:
Console#
3-104
4-148
4-154
4-154
4-157
3
ポートコンフィギュレーション
ポートミラーリングの構成
任意のソースポートからターゲットポートに送信され
るトラフィックをミラーリングし、リアルタイム分析を
行うことができます。ターゲットポートにロジックア
ナライザまたは RMON プローブを接続して、機器の処
理にまったく影響しない方法でソースポートを通過す
るトラフィックを観察できます。
Source
port(s)
Single
target
port
コマンドの使用
• モニターポートのスピードはソースポートのスピードと同じかそれ以上である必要があ
ります。そうしないと、モニターポートからトラフィックが破棄される可能性があります。
• すべてのミラーセッションでは同一の宛先ポートを共有する必要があります。
• ポートトラフィックをミラーリングする際は、ターゲットポートがソースポートと同じ
VLAN に属している必要があります。
コマンド属性
• 「Mirror Sessions」 – 現在のミラーセッションのリストが表示されます。
• 「Source Unit」 – ポートトラフィックを監視するユニット（範囲 : 1 ～ 8）
• 「Source Port 」 – トラフィックを監視するポート（範囲 : 1 ～ 25/49）
• 「Type」 – ミラーリングするターゲットポートへのトラフィックを「Rx」（受信）、「Tx」（送
信）、または「Both」から選択できます（デフォルト : 「Rx」）。
• 「Target Unit」 – ソースポートのトラフィックを「複製」、すなわち「ミラーリング」する
ポートのユニット（範囲 : 1 ～ 8）
• 「Target Port」 – ソースポートのトラフィックをミラーリングするポート
（範囲 : 1 ～ 25/49）
ウェブ – 「Port」、「Mirror Port Configuration」の順にクリックします。ソースポート、ミラー
リングするトラフィックタイプ、およびモニターポートを指定し、「Add」をクリックします。
図 3-62. ミラーポートの構成
CLI – interface コマンドを使用してモニターポートを選択し、port monitor コマンドを使用し
てソースポートを指定します。 CLI では、ミラーリングはデフォルトで受信パケットおよび
送信パケットの両方に対して行われます。
Console(config)#interface ethernet 1/10
Console(config-if)#port monitor ethernet 1/13
Console(config-if)#
4-148
4-159
3-105
3
スイッチの構成
レートリミットの構成
この機能を使用すると、ネットワーク管理者は、インターフェース上で送受信されるトラ
フィックの最大レートを制御することができます。スイッチに出入りするトラフィックを制
限するには、ネットワークエッジに位置する各インターフェースにレートリミッティングを
構成します。レートリミット内のトラフィックは送信されますが、許容可能なトラフィック
量を超えるパケットは破棄されます。
レートリミットはポートまたはトランクごとに適用できます。インターフェースにこの機能
が構成されている場合、ハードウェアでトラフィックレートが監視され、リミット内である
かどうかが確認されます。リミットを超えるトラフィックは破棄され、リミット内のトラ
フィックはそのまま転送されます。
コマンド属性
• 「Rate Limit」 – インターフェースの出力レートリミットを設定します。
デフォルトステータス – 「Disabled」
デフォルトレート – ギガビットイーサネット : 1000 Mbps、
10 ギガビットイーサネット : 10000 Mbps
範囲 – ギガビットイーサネット : 1 ～1000 Mbps、10 ギガビットイーサネット : 1 ～ 10000 Mbps
ウェブ - 「Port」、「Rate Limit」、「Input/Output Port/Trunk Configuration」の順にクリックしま
す。「Input Rate Limit Status」または「Output Rate Limit Status」を設定し、個々のインター
フェースのレートリミットを設定して、「Apply」をクリックします。
図 3-63. レートリミットの構成
CLI - この例では、ポート 1 を通過する入力および出力トラフィックのレートリミットを 600
Mbps に設定しています。
Console(config)#interface ethernet 1/1
Console(config-if)#rate-limit input 600
Console(config-if)#rate-limit output 600
Console(config-if)#
3-106
4-148
4-161
ポートコンフィギュレーション
3
ポート統計情報の表示
インターフェースグループおよびイーサネットライク MIB から送信されるネットワークト
ラフィックに関する標準の統計情報、および RMON MIB に基づくトラフィックの詳細な明細
を表示できます。インターフェースおよびイーサネットライクに関する統計情報には、各ポー
トを通過するトラフィックのエラーが表示されます。この情報は、スイッチの潜在的な問題
（障害のあるポート、異常に高い負荷など）を特定する際に役立ちます。 RMON 統計情報で
は、様々なフレームタイプの合計数や各ポートを通過するサイズなど、幅広い統計情報が提
供されます。表示されるすべての値は最後のシステムリブートからの累計値であり、 1 秒当
たりの数として表示されます。デフォルトでは、統計情報は 60 秒ごとに更新されます。
注 : RMON グループ 2、 3、および 9 には、 HP OpenView などの SNMP 管理ソフトウェアからの
みアクセスできます。
表 3-11. ポート統計情報
パラメータ
説明
Interface Statistics
Received Octets
インターフェースで受信された、フレーミング文字を含むオクテットの
総数
Received Unicast
Packets
上位レイヤープロトコルに配信されたサブネットワークユニキャスト
パケットの数
Received Multicast
Packets
このサブレイヤーから上位（サブ）レイヤーに配信された、このサブレ
イヤーのマルチキャストアドレス宛のパケット数
Received Broadcast
Packets
このサブレイヤーから上位（サブ）レイヤーに配信された、このサブレ
イヤーのブロードキャストアドレス宛のパケット数
Received Discarded
Packets
上位レイヤープロトコルへの配送を阻止するエラーが検知されなかっ
たにも関わらず廃棄されたインバウンドパケットの数。このようなパ
ケットの廃棄理由として、バッファスペースの解放が考えられます。
Received Unknown
Packets
このインターフェースで受信されたパケットのうち、プロトコルが不明
またはサポートされていないために廃棄されたものの数
Received Errors
上位レイヤープロトコルへの配信を阻止するエラーが含まれていたイ
ンバウンドパケットの数
Transmit Octets
このインターフェースから送信された、フレーミング文字を含むオク
テットの総数
Transmit Unicast
Packets
上位プロトコルがサブネットワークユニキャストアドレスへの送信を
要求した、廃棄または未送信のものを含むパケットの総数
Transmit Multicast
Packets
上位プロトコルが送信を要求した、廃棄または未送信のものを含む、こ
のサブレイヤーのマルチキャストアドレス宛のパケットの総数
Transmit Broadcast
Packets
上位プロトコルが送信を要求した、廃棄または未送信のものを含む、こ
のサブレイヤーのブロードキャストアドレス宛のパケットの総数
Transmit Discarded
Packets
送信を阻止するエラーが検知されなかったにも関わらず廃棄されたア
ウトバウンドパケットの数。このようなパケットの廃棄理由として、
バッファスペースの解放が考えられます。
Transmit Errors
エラーが原因で送信できなかったアウトバウンドパケットの数
3-107
3
スイッチの構成
表 3-11. ポート統計情報（続き）
パラメータ
説明
Etherlike Statistics
Alignment Errors
アライメントエラー（同期はずれデータパケット）の数
Late Collisions
パケットの送信後、512 ビット時間より後に検知されたコリジョンの回数
FCS Errors
特定インターフェースで受信されたフレームのうち、長さが整数のオク
テット長であるが FCS チェックに合格しなかったものの数。この数に
は、 frame-too-long または frame-too-short エラーを伴う受信フレームは
含まれません。
Excessive Collisions
過剰なコリジョンが原因で特定インターフェースでの送信に失敗した
フレームの数。このカウンタは、インターフェースが全二重モードで動
作しているときは増加しません。
Single Collision Frames
1 つのコリジョンによって送信が阻止されるが、正常に送信されたフ
レームの数
Internal MAC Transmit
Errors
内部 MAC サブレイヤー送信エラーが原因で特定インターフェースでの
送信に失敗したフレームの数
Multiple Collision
Frames
複数のコリジョンによって送信が阻止されるが、正常に送信されたフ
レームの数
Carrier Sense Errors
フレームの送信時にキャリアセンス状態が失われたかアサーションが
行われなかった回数
SQE Test Errors
特定インターフェースについて PLS サブレイヤーで SQE TEST
ERROR メッセージが生成された回数
Frames Too Long
特定インターフェースで受信されたフレームのうち、最大許容フレーム
サイズを超えていたものの数
Deferred Transmissions
メディアがビジーだったため、特定インターフェースでの最初の送信が
遅れたフレームの数
Internal MAC Receive
Errors
内部 MAC サブレイヤー受信エラーが原因で特定インターフェースでの
受信に失敗したフレームの数
RMON Statistics
Drop Events
リソース不足が原因でパケットが廃棄されたイベントの総数
Jabbers
受信されたフレームのうち、 1518 オクテットより長く（フレームビッ
トは含まないが FCS オクテットは含む）、 FCS またはアライメントエ
ラーを伴うものの総数
Received Bytes
ネットワークで受信されたデータの総バイト数。この統計情報は、イー
サネットの利用率を示す目安として利用できます。
Collisions
イーサネットセグメントでのコリジョンの総数を表す最善の推定値
Received Frames
受信されたフレームの総数（不良、ブロードキャスト、およびマルチ
キャスト）
Broadcast Frames
受信された正常フレームのうち、ブロードキャストアドレス宛のものの
総数。これにはマルチキャストパケットは含まれません。
Multicast Frames
受信された正常フレームのうち、このマルチキャストアドレス宛のもの
の総数
CRC/Alignment Errors
CRC/ アライメントエラー（FCS またはアライメントエラー）の数
3-108
ポートコンフィギュレーション
3
表 3-11. ポート統計情報（続き）
パラメータ
説明
Undersize Frames
受信されたフレームのうち、 64 オクテットより短いが（フレーミング
ビットは含まないが FCS オクテットは含む）、それ以外は正常なものの
総数
Oversize Frames
受信されたフレームのうち、 1518 オクテットより長いが（フレーミン
グビットは含まないが FCS オクテットは含む）、それ以外は正常なもの
の総数
Fragments
受信されたフレームのうち、 64 オクテットより短く（フレームビット
は含まないが FCS オクテットは含む）、FCS またはアライメントエラー
を伴うものの総数
64 Bytes Frames
受信および送信されたフレームのうち（不良パケットを含む）、 64 オク
テット長（フレーミングビットは含まないが FCS オクテットは含む）
のものの総数
65-127 Byte Frames
受信および送信されたフレームのうち（不良パケットを含む）、オクテッ
ト長（フレーミングビットは含まないが FCS オクテットは含む）が指
128-255 Byte Frames
定された範囲内であるものの総数
256-511 Byte Frames
512-1023 Byte Frames
1024-1518 Byte Frames
1519-1536 Byte Frames
3-109
3
スイッチの構成
ウェブ – 「Port」、「Port Statistics」の順にクリックします。必要なインターフェースを選択
し、「Query」をクリックします。ページ下部にある「Refresh」ボタンを使用して画面を更新
することもできます。
図 3-64. ポート統計情報
3-110
3
アドレステーブルの設定
CLI – この例では、ポート 12 の統計情報を表示しています。
Console#show interfaces counters ethernet 1/12
4-156
Ethernet 1/12
Iftable stats:
Octets input: 868453, Octets output: 3492122
Unicast input: 7315, Unitcast output: 6658
Discard input: 0, Discard output: 0
Error input: 0, Error output: 0
Unknown protos input: 0, QLen output: 0
Extended iftable stats:
Multi-cast input: 0, Multi-cast output: 17027
Broadcast input: 231, Broadcast output: 7
Ether-like stats:
Alignment errors: 0, FCS errors: 0
Single Collision frames: 0, Multiple collision frames: 0
SQE Test errors: 0, Deferred transmissions: 0
Late collisions: 0, Excessive collisions: 0
Internal mac transmit errors: 0, Internal mac receive errors: 0
Frame too longs: 0, Carrier sense errors: 0
Symbol errors: 0
RMON stats:
Drop events: 0, Octets: 4422579, Packets: 31552
Broadcast pkts: 238, Multi-cast pkts: 17033
Undersize pkts: 0, Oversize pkts: 0
Fragments: 0, Jabbers: 0
CRC align errors: 0, Collisions: 0
Packet size <= 64 octets: 25568, Packet size 65 to 127 octets: 1616
Packet size 128 to 255 octets: 1249, Packet size 256 to 511 octets: 1449
Packet size 512 to 1023 octets: 802, Packet size 1024 to 1518 octets: 871
アドレステーブルの設定
スイッチには既知の全デバイスのアドレスが保存されます。この情報は、トラフィックをイ
ンバウンドおよびアウトバウンドポート間で直接渡すために使用されます。トラフィックを
監視することによって学習したすべてのアドレスはダイナミックアドレステーブルに保存
されます。また、特定ポートにバインドするスタティックアドレスを手動で構成することも
できます。
スタティックアドレスの設定
このスイッチ上の特定インターフェースにスタティックアドレスを割り当てることができま
す。スタティックアドレスは割り当てたインターフェースにバインドされ、移動されること
はありません。別のインターフェースで同じスタティックアドレスが検知された場合、この
アドレスは無視され、アドレステーブルに書き込まれません。
コマンド属性
• 「Static Address Counts」1 – 手動で構成されたアドレスの数
• 「Current Static Address Table」 – 全スタティックアドレスのリスト
• 「Interface」 – スタティックアドレスを割り当てるデバイスに関連付けられたポートまた
はトランク
• 「MAC Address」 – このインターフェースにマップされたデバイスの物理アドレス
• 「VLAN」 – 構成済み VLAN の ID （1 ～ 4093）
1.
ウェブのみ
3-111
3
スイッチの構成
ウェブ – 「Address Table」、「Static Addresses」の順にクリックします。インターフェース、
MAC アドレス、および VLAN を指定し、「Add Static Address」をクリックします。
図 3-65. スタティックアドレス
CLI – この例では、スタティックアドレステーブルにアドレスを追加し、スイッチのリセッ
ト時にそのアドレスを削除するよう設定しています。
Console(config)#mac-address-table static 00-e0-29-94-34-de interface
ethernet 1/1 vlan 1 delete-on-reset
4-172
Console(config)#
アドレステーブルの表示
ダイナミックアドレステーブルには、スイッチに着信するトラフィックの送信元アドレスを
監視することによって学習した MAC アドレスが保持されます。インバウンドトラフィック
の宛先アドレスがデータベースで見つかった場合、そのアドレス宛のパケットは関連付けら
れたポートに直接転送されます。それ以外の場合、トラフィックはすべてのポートにフラッ
ディングされます。
コマンド属性
• 「Interface」 – ポートまたはトランクを指定します。
• 「MAC Address」 – このインターフェースに関連付けられた物理アドレス
• 「VLAN」 – 構成済み VLAN の ID （1 ～ 4093）
• 「Address Table Sort Key」 – 表示される情報を MAC アドレス、 VLAN 、またはインター
フェース（ポートまたはトランク）を基準にソートできます。
• 「Dynamic Address Counts」 – 動的に学習されたアドレスの数
• 「Current Dynamic Address Table」 – 全ダイナミックアドレスのリスト
3-112
3
アドレステーブルの設定
ウェブ – 「Address Table」、「Dynamic Addresses」の順にクリックします。検索タイプを指
定し（「Interface」、「MAC Address」、または「VLAN」チェックボックスをオン）、表示され
るアドレスのソート方法を選択して、「Query」をクリックします。
図 3-66. ダイナミックアドレス
CLI – この例でも、ポート 1 のアドレステーブルのエントリを表示しています。
Console#show mac-address-table interface ethernet 1/1
Interface Mac Address
Vlan Type
--------- ----------------- ---- ----------------Eth 1/ 1 00-E0-29-94-34-DE
1 Permanent
Eth 1/ 1 00-20-9C-23-CD-60
2 Learned
Console#
4-174
3-113
3
スイッチの構成
エージングタイムの変更
ダイナミックアドレステーブルのエントリにエージングタイムを設定できます。
コマンド属性
• 「Aging Status」 – エージング機能を有効 / 無効にします。
• 「Aging Time」 – エントリが学習されてから廃棄されるまでの時間
（範囲 : 10 ～ 1000000 秒、デフォルト : 300 秒）
ウェブ – 「Address Table」、「Address Aging」の順にクリックします。新しいエージングタ
イムを指定し、「Apply」をクリックします。
図 3-67. アドレスエージング
CLI – この例では、エージングタイムを 400 秒に設定しています。
Console(config)#mac-address-table aging-time 400
Console(config)#
4-175
スパニングツリーアルゴリズムの構成
スパニングツリーアルゴリズム（STA）を使用すると、ネットワークループを検知して無効
にしたり、スイッチ、ブリッジ、またはルータ間にバックアップリンクを提供できます。こ
れにより、スイッチはネットワーク上のほかのブリッジデバイス（STA 準拠のスイッチ、ブ
リッジ、またはルータ）と連携し、ネットワーク上の任意の 2 台のステーション間にルート
が 1 つのみ存在するようにします。また、プライマリリンクのダウン時にはバックアップリ
ンクが自動的に処理を引き継ぐことができます。
このスイッチでサポートされるスパニングツリーアルゴリズムには次のバージョンがあり
ます。
• STP – スパニングツリープロトコル（IEEE 802.1D）
• RSTP – 高速スパニングツリープロトコル（IEEE 802.1w）
• MSTP – 複数スパニングツリープロトコル（IEEE 802.1s）
STA では、分散アルゴリズムによって、スパニングツリーネットワークのルートとして機能
するブリッジデバイス（STA 準拠のスイッチ、ブリッジ、またはルータ）が選択されます。
各ブリッジデバイス（ルートデバイス以外）からルートデバイスにパケットを転送する際
は、そのデバイスでパスコストが最も低いルートポートが選択されます。また、各 LAN か
らルートデバイスにパケットを転送する際は、その LAN でパスコストが最も低い指定ブ
リッジデバイスが選択されます。指定ブリッジデバイスに接続されたすべてのポートは指定
ポートとして割り当てられます。最低コストのスパニングツリーが決定されると、すべての
ルートポートおよび指定ポートが有効にされ、その他すべてのポートは無効にされます。こ
れにより、ネットワークパケットはルートポートと指定ポート間でのみ転送されるため、
ネットワークループが防止されます。
3-114
スパニングツリーアルゴリズムの構成
3
Designated
Root
x
x
x
Designated
Bridge
x
Designated
Port
Root
Port
x
安定したネットワークトポロジが確立されると、すべてのブリッジはルートブリッジから送
信される Hello BPDU （ブリッジプロトコルデータユニット）をリスニングします。あらか
じめ定義された期間（「Maximum Age」）内にブリッジで Hello BPDU が受信されない場合、
ブリッジはルートブリッジへのリンクがダウンしているものと見なします。この場合、ブリッ
ジはほかのブリッジとのネゴシエーションを開始し、ネットワークを再構成して有効なネッ
トワークトポロジを再確立します。
RSTP は、より低速なレガシー STP の汎用代替プロトコルとして設計されています。 RSTP
は MSTP にも組み込まれています。 RSTP は、アクティブなポートによる学習開始前の状態
変化回数を低減し、ノードまたはポートの障害時に使用可能な代替ルートをあらかじめ定義
し、また再構成によるツリー構造の変化に適応しないノード用にフォワーディングデータ
ベースを維持することによって、高速な再構成を実現します（30 秒以上かかる STP に対し、
1 ～ 3 秒）。
STP または RSTP を使用する場合、すべての VLAN メンバー間に安定したパスを維持するこ
とが困難な場合があります。ツリー構造が頻繁に変更されると、一部のグループメンバーが
隔離される可能性が高まります。 MSTP （RSTP の拡張プロトコル）は、 VLAN グループに基
づく独立したスパニングツリーをサポートするよう設計されています。 VLAN を複数スパニ
ングツリーインスタンス（MSTI）に含めるよう指定した場合、プロトコルによって自動的
に MSTI ツリーが構築され、各 VLAN 間の接続が維持されます。 MSTP では、各インスタン
スが共通スパニングツリー（CST）の RSTP ノードとして扱われるため、グローバルネット
ワークへのアクセスが確保されます。
グローバル設定の表示
「STA Information」画面を使用して、スイッチ全体に適用される現在のブリッジ STA 情報の
サマリーを表示できます。
フィールド属性
• 「Spanning Tree State」 – スイッチで STA 準拠ネットワークへの参加が有効にされている
かどうかが示されます。
• 「Bridge ID」 – ブリッジプライオリティ、スパニングツリーモードが MSTP （3-118 ペー
ジ）に設定されている場合は共通スパニングツリーの MST インスタンス ID 0、および
MAC アドレス（アドレスはスイッチシステムから取得）で構成される、このブリッジの
一意の識別子
• 「Max Age」 – 再構成前にデバイスがコンフィギュレーションメッセージの受信を待機でき
る最大時間（秒単位）。すべてのデバイスポート（指定ポート以外）は定期的にコンフィ
ギュレーションメッセージを受信する必要があります。（最後のコンフィギュレーション
メッセージで供給された） STA 情報が経年処理によって無効になったポートは、接続され
た LAN の指定ポートになります。これがルートポートの場合、ネットワークに接続され
たデバイスポートの中から新しいルートポートが選択されます（この項目で使用する
「ポート」という用語は「インターフェース」を指し、ポートおよびトランクを両方を含む）。
3-115
3
スイッチの構成
• 「Hello Time」 – ルートデバイスがコンフィギュレーションメッセージを送信する間隔
（秒単位）
• 「Forward Delay」 – ルートデバイスが状態を変化させる（Discarding から Learning、さら
に Forwarding）前に待機する最大時間（秒単位）。この遅延は、すべてのデバイスがフレー
ムの転送を開始する前にトポロジ変化に関する情報を受信する必要があるため必要になり
ます。また、各ポートには、そのポートを Discarding 状態に戻すような矛盾した情報がな
いかリスニングするための時間が必要です。この時間がないと、一時的にデータループが
発生する場合があります。
• 「Designated Root」 – このスイッチがルートデバイスとして受理した、スパニングツリー
内のデバイスのプライオリティと MAC アドレス
- 「Root Port」 – ルートに最も近い、このスイッチ上のポート番号。スイッチはこのポー
トを通じてルートデバイスと通信します。ルートポートが存在しない場合、このスイッ
チはスパニングツリーネットワークのルートデバイスとして受理されています。
- 「Root Path Cost」 – このスイッチのルートポートからルートデバイスまでのパスコスト
• 「Configuration Changes」 – スパニングツリーが再構成された回数
• 「Last Topology Change」 – スパニングツリーが最後に再構成されてからの時間
次の追加パラメータは CLI でのみ表示されます。
• 「Spanning tree mode」 – このスイッチで使用されているスパニングツリーのタイプが示
されます。
- 「STP」 : スパニングツリープロトコル（IEEE 802.1D）
- 「RSTP」 : 高速スパニングツリー（IEEE 802.1w）
- 「MSTP」 : 複数スパニングツリー（IEEE 802.1s）
• 「Instance」 – このスパニングツリーのインスタンス識別子（CIST の場合は常に 0）
• 「VLANs configuration」 – CIST に割り当てられている VLAN
• 「Priority」 – ブリッジプライオリティはルートデバイス、ルートポート、および指定ポー
トの選択に使用されます。プライオリティが最も高い（数値が最も小さい）デバイスが STA
ルートデバイスになります。すべてのデバイスのプライオリティが同じ場合は、 MAC ア
ドレスが最も小さいデバイスがルートデバイスになります。
• 「Root Hello Time」 – このデバイスがコンフィギュレーションメッセージを送信する間隔
（秒単位）
• 「Root Maximum Age」 – 再構成前にこのデバイスがコンフィギュレーションメッセージ
の受信を待機できる最大時間（秒単位）。すべてのデバイスポート（指定ポート以外）は
定期的にコンフィギュレーションメッセージを受信する必要があります。ルートポートで
（最後のコンフィギュレーションメッセージで供給された） STA 情報が経年処理によって
無効になった場合、ネットワークに接続されたデバイスポートの中から新しいルートポー
トが選択されます（この項目で使用する「ポート」という用語は「インターフェース」を
指し、ポートおよびトランクを両方を含む）。
• 「Root Forward Delay」 – このデバイスが状態を変化させる（Discarding から Learning、さ
らに Forwarding）前に待機する最大時間（秒単位）。この遅延は、すべてのデバイスがフ
レームの転送を開始する前にトポロジ変化に関する情報を受信する必要があるため必要に
なります。また、各ポートには、そのポートを Discarding 状態に戻すような矛盾した情報
がないかリスニングするための時間が必要です。この時間がないと、一時的にデータルー
プが発生する場合があります。
• 「Max hops」 – MST 領域の最大ホップカウント
3-116
スパニングツリーアルゴリズムの構成
3
• 「Remaining hops」 – MST インスタンスのその他のホップカウント
• 「Transmission limit」 – 連続した RSTP/MSTP BPDU の最小送信間隔
• 「Path Cost Method」 – パスコストはデバイス間の最善パスを決定するために使用されま
す。このパスコスト方法は、各インターフェースに割当て可能な値範囲を決定するために
使用されます。
ウェブ – 「Spanning Tree」、「STA」、「Information」の順にクリックします。
図 3-68. STA 情報
CLI – このコマンドにより、グローバル STA 設定に続いて各ポートの設定が表示されます。
Console#show spanning-tree
Spanning-tree information
--------------------------------------------------------------Spanning tree mode:
MSTP
Spanning tree enable/disable:
enable
Instance:
0
Vlans configuration:
1-4093
Priority:
32768
Bridge Hello Time (sec.):
2
Bridge Max Age (sec.):
20
Bridge Forward Delay (sec.):
15
Root Hello Time (sec.):
2
Root Max Age (sec.):
20
Root Forward Delay (sec.):
15
Max hops:
20
Remaining hops:
20
Designated Root
32768.0.0000ABCD0000
Current root port:
1
Current root cost
200000
Number of topology changes:
1
Last topology changes time (sec.): 13380
Transmission limit:
3
Path Cost Method:
long
--------------------------------------------------------------Eth 1/ 1 information
--------------------------------------------------------------Admin status:
enabled
Role:
disable
State:
discarding
External admin path cost: 10000
Internal admin cost:
10000
External oper path cost: 10000
Internal oper path cost: 10000
4-192
3-117
3
スイッチの構成
Priority:
Designated cost:
Designated port:
Designated root:
Designated bridge:
Fast forwarding:
Forward transitions:
Admin edge port:
Oper edge port:
Admin Link type:
Oper Link type:
Spanning Tree Status:
128
300000
128.1
32768.0000E8AAAA00
32768.0030F1D473A0
disabled
0
disabled
disabled
auto
point-to-point
enabled
.
.
.
注 : このデバイスがネットワークに接続されていない場合、現在のルートポートと現在のルート
コストは 0 として表示されます。
グローバル設定の構成
グローバル設定はスイッチ全体に適用されます。
コマンドの使用
• スパニングツリープロトコル1
• 内部の状態マシンには RSTP を使用しますが、 802.1D BPDU のみを送信します。これに
より、ネットワーク全体で 1 つのスパニングツリーインスタンスが作成されます。ネット
ワークに複数の VLAN が実装されている場合、ネットワークループを防ぐために特定の
VLAN メンバー間のパスが無効にされ、グループメンバーが隔離される場合があります。
複数の VLAN を運用する場合は、「MSTP」オプションを選択することをお勧めします。
• 高速スパニングツリープロトコル 1
• RSTP では、次に説明するように、着信プロトコルメッセージを監視して RSTP ノードが
送信するプロトコルメッセージのタイプを動的に調整することにより、 STP または RSTP
ノードへの接続がサポートされます。
- STP モード – ポートの移行遅延タイマーが期限切れになった後にスイッチが 802.1D
BPDU （STP BPDU）を受信した場合、スイッチは 802.1D ブリッジに接続されているも
のと見なし、 802.1D BPDU のみを使用し始めます。
- RSTP モード – RSTP がポートで 802.1D BPDU を使用しており、移行遅延タイマーが
期限切れになった後に RSTP BPDU を受信した場合、 RSTP は移行遅延タイマーを再度
開始し、そのポートで RSTP BPDU を使用し始めます。
• 複数スパニングツリープロトコル
- ネットワーク上で複数のスパニングツリーを機能させるには、関連する一連のブリッジ
に同一の MSTP コンフィギュレーションを構成し、特定のスパニングツリーインスタ
ンスセットに参加できるようにする必要があります。
- スパニングツリーインスタンスは、互換性のある VLAN インスタンスが割り当てられ
たブリッジにのみ存在できます。
- スパニングツリーモードを切り替える際は注意が必要です。モードを変更すると、以前
のモードのスパニングツリーがすべて停止し、システムが新しいモードで再起動される
ため、一時的にユーザートラフィックが中断します。
1.
STP および RSTP BPDU はタグなしフレームとして送信され、すべての VLAN 境界を越えます。
3-118
スパニングツリーアルゴリズムの構成
3
コマンド属性
グローバル設定の基本構成
• 「Spanning Tree State」 – このスイッチで STA を有効 / 無効にします（デフォルト : オン）。
• 「Spanning Tree Type」 – このスイッチで使用するスパニングツリーのタイプを指定します。
- 「STP」 : スパニングツリープロトコル（IEEE 802.1D）。このオプションを選択すると、
スイッチでは STP 強制互換モードに設定された RSTP が使用されます。
- 「RSTP」 : 高速スパニングツリー（IEEE 802.1w）。 RSTP はデフォルトです。
- 「MSTP」 : 複数スパニングツリー（IEEE 802.1s）
• 「Priority」 – ブリッジプライオリティはルートデバイス、ルートポート、および指定ポー
トの選択に使用されます。プライオリティが最も高いデバイスが STA ルートデバイスに
なります。すべてのデバイスのプライオリティが同じ場合は、 MAC アドレスが最も小さい
デバイスがルートデバイスになります（数値が小さい程、プライオリティは高い）。
• デフォルト : 32768
• 範囲 : 0 ～ 61440、 4096 刻み
• オプション : 0、 4096、 8192、 12288、 16384、 20480、 24576、 28672、 32768、 36864、
40960、 45056、 49152、 53248、 57344、 61440
ルートデバイスの構成
• 「Hello Time」 – ルートデバイスがコンフィギュレーションメッセージを送信する間隔
（秒単位）
• デフォルト : 2
• 最小 : 1
• 最大 : 10 または [( メッセージの最大経過時間 / 2) -1] のいずれか小さい方
• 「Maximum Age」 – 再構成前にデバイスがコンフィギュレーションメッセージの受信を待
機できる最大時間（秒単位）。すべてのデバイスポート（指定ポート以外）は定期的にコ
ンフィギュレーションメッセージを受信する必要があります。（最後のコンフィギュレー
ションメッセージで供給された） STA 情報が経年処理によって無効になったポートは、接
続された LAN の指定ポートになります。これがルートポートの場合、ネットワークに接
続されたデバイスポートの中から新しいルートポートが選択されます（この項目で使用す
る「ポート」という用語は「インターフェース」を指し、ポートおよびトランクを両方を
含む）。
• デフォルト : 20
• 最小 : 6 または [2 x ( 「Hello Time」 + 1)] のいずれか大きい方
• 最大 : 40 または [2 x ( 「Forward Delay」 -1)] のいずれか小さい方
• 「Forward Delay」 – このデバイスが状態を変化させる（Discarding から Learning、さらに
Forwarding）前に待機する最大時間（秒単位）。この遅延は、すべてのデバイスがフレーム
の転送を開始する前にトポロジ変化に関する情報を受信する必要があるため必要になりま
す。また、各ポートには、そのポートを Discarding 状態に戻すような矛盾した情報がない
かリスニングするための時間が必要です。この時間がないと、一時的にデータループが発
生する場合があります。
• デフォルト : 15
• 最小 : 4 または [( メッセージの最大経過時間 / 2) +1] のいずれか大きい方
• 最大 : 30
3-119
3
スイッチの構成
RSTP のコンフィギュレーション設定
次の属性は RSTP および MSTP の両方に適用されます。
• 「Path Cost Method」 – パスコストはデバイス間の最善パスを決定するために使用されま
す。このパスコスト方法は、各インターフェースに割当て可能な値範囲を決定するために
使用されます。
- 「Long」 : 1 ～ 200,000,000 （デフォルト）の範囲の 32 ビットベースの値を指定します。
- 「Short」 : 1 ～ 65535 の範囲の 16 ビットベースの値を指定します。
• 「Transmission Limit」 – BPDU の最大送信レートは、連続するプロトコルメッセージの最
小送信間隔を設定することにより指定します（範囲 : 1 ～ 10、デフォルト : 3）。
MSTP のコンフィギュレーション設定
• 「Max Instance Numbers」 – このスイッチを割り当て可能な MSTP インスタンスの最大数
（デフォルト : 65）
• 「Configuration Digest」 – VLAN ID と MST ID のマッピングテーブルが保持される MD5
署名キー。すなわち、このキーによってすべての VLAN が CIST にマップされます。
• 「Region Revision」1 – この MSTI のリビジョン（範囲 : 0 ～ 65535、デフォルト : 0）
• 「Region Name」 1 – この MSTI の名前（最大長 : 32 文字）
• 「Max Hop Count」 – BPDU の廃棄前に MST 領域で許可される最大ホップ数
（範囲 : 1 ～ 40、デフォルト : 20）
1.
MST 領域を一意に識別するには、 MST 名とリビジョン番号が両方必要です。
3-120
スパニングツリーアルゴリズムの構成
3
ウェブ – 「Spanning Tree」、「STA」、「Configuration」の順にクリックします。必要な属性を
変更し、「Apply」をクリックします。
図 3-69. STA のグローバルな構成
3-121
3
スイッチの構成
CLI – この例では、スパニングツリープロトコルを有効にし、モードを MST に設定し、 STA
および MSTP パラメータを構成しています。
Console(config)#spanning-tree
Console(config)#spanning-tree mode mstp
Console(config)#spanning-tree priority 40000
Console(config)#spanning-tree hello-time 5
Console(config)#spanning-tree max-age 38
Console(config)#spanning-tree forward-time 20
Console(config)#spanning-tree pathcost method long
Console(config)#spanning-tree transmission-limit 4
Console(config)#Console(config)#spanning-tree mst-configuration
Console(config-mstp)#revision 1
Console(config-mstp)#name R&D
Console(config-mstp)#max-hops 30
Console(config-mstp)#
4-177
4-177
4-180
4-179
4-180
4-179
4-181
4-181
4-182
4-184
4-184
4-185
インターフェース設定の表示
「STA Port Information」および「STA Trunk Information」ページには、スパニングツリー内
のポートおよびトランクの現在のステータスが表示されます。
フィールド属性
• 「Spanning Tree」 – このスイッチで STA が有効にされているかどうかが示されます。
• 「STA Status」 – スパニングツリーにおけるこのポートの現在の状態が表示されます。
- 「Discarding」 - ポートは STA コンフィギュレーションメッセージを受信しますが、パ
ケットの転送は行いません。
- 「Learning」 - ポートは「Forward Delay」パラメータで設定された期間、矛盾する情報を
受信することなくコンフィギュレーションメッセージを送信しました。ポートアドレス
テーブルが消去され、ポートはアドレスの学習を開始します。
- 「Forwarding」 - ポートはパケットを転送し、引き続きアドレスを学習します。
ポートステータスは次のルールで定義されます。
- ほかに STA 準拠ブリッジデバイスのないネットワークセグメント上のポートは常に
Forwarding になります。
- スイッチの 2 つのポートが同一セグメントに接続されており、このセグメントにほかの
STA デバイスが接続されていない場合、 ID が小さい方のポートがパケットを転送し、も
う一方のポートは Discarding になります。
- スイッチがブートされると、すべてのポートは Discarding になり、その後一部のポート
の状態が Learning、 Forwarding の順に変化します。
• 「Forward Transitions」 – このポートが Learning 状態から Forwarding 状態に遷移した回数
• 「Designated Cost」 – 現在のスパニングツリーコンフィギュレーションでパケットがこの
ポートからルートに移動するためのコスト。メディアが低速なほど、コストは高くなります。
• 「Designated Bridge」 – このポートがスパニングツリーのルートに到達するために通信す
る必要のあるデバイスのブリッジプライオリティと MAC アドレス
• 「Designated Port」 – このスイッチがスパニングツリーのルートと通信するために経由す
る必要のある指定ブリッジデバイス上のポートのポートプライオリティとポート番号
• 「Oper Path Cost」 – このポートが含まれるスパニングツリールートへのパスコストに対
するこのポートの寄与
3-122
3
スパニングツリーアルゴリズムの構成
• 「Oper Link Type」 – このインターフェースに接続された LAN セグメントのポイント対ポ
イントのオペレーションステータス。このパラメータは、手動構成または自動検知によっ
て決定されます。3-125 ページに記載されている「STA Port Configuration」ページの「Admin
Link Type」の説明を参照してください。
• 「Oper Edge Port」 – このパラメータは、 3-125 ページに記載されている「STA Port
Configuration」ページの「Admin Edge Port」の設定に初期化されますが（true または false）、
BPDU を受信した場合は false に設定され、このポートに別のブリッジが接続されているこ
とが示されます。
• 「Port Role」 – ポートが、ブリッジをルートブリッジに接続し（ルートポート）、このブ
リッジを介して LAN をルートブリッジに接続している（指定ポート）アクティブなトポ
ロジの一部か、 MSTI 領域ルート（マスターポート）か、ほかのブリッジ、ブリッジポー
ト、または LAN の障害あるいは取外し時にコネクティビティを提供する代替またはバック
アップポートかに従って、ロールが割り当てられます。スパニングツリー内でポートに
ロールが割り当てられていない場合、ロールは「Disabled」に設定されます（無効ポート）。
R: Root Port
A: Alternate Port
D: Designated Port
B: Backup Port
Alternate port receives more
useful BPDUs from another
bridge and is therefore not
selected as the designated
R
port.
R
A
D
x
R
A
x
Backup port receives more
useful BPDUs from the same
bridge and is therefore not
selected as the designated
port.
R
D
B
B
• 「Trunk Member」 – ポートがトランクのメンバーであるかどうかが示されます
（「STA Port Information」のみ）。
次の追加パラメータは CLI でのみ表示されます。
• 「Admin status」 – このインターフェースが有効にされているかどうかが示されます。
• 「External path cost」 – IST のパスコスト。このパラメータはデバイス間の最善パスを決
定するために STA で使用されます。すなわち、高速なメディアに接続されたポートには低
い値が割り当てられ、低速なメディアに接続されたポートには高い値が割り当てられます
（パスコストはポートプライオリティより優先される）。
3-123
3
スイッチの構成
• 「Internal path cost」 – MST のパスコスト。前の項目を参照してください。
• 「Priority」 – スパニングツリーアルゴリズムでこのポートに使用されるプライオリティが
定義されます。スイッチ上のすべてのポートのパスコストが同一の場合、プライオリティ
が最も高い（値が最も低い）ポートがスパニングツリーのアクティブリンクとして構成さ
れます。これにより、スパニングツリーアルゴリズムによってネットワークループが検
知される場合、高いプライオリティのポートがブロックされる可能性は低くなります。最
高のプライオリティに割り当てられているポートが複数存在する場合、数値識別子が最も
低いポートが有効にされます。
• 「Designated root」 – このスイッチがルートデバイスとして受理した、スパニングツリー
内のデバイスのプライオリティと MAC アドレス
• 「Fast forwarding」 – このフィールドには「Admin Edge Port」と同じ情報が表示されます。
従来製品との下位互換性を提供する目的で含まれています。
• 「Admin Edge Port」 – ブリッジ LAN の終端に位置する LAN セグメントまたはエンドノー
ドにインターフェースが接続されている場合、このオプションを有効にできます。エンド
ノードでは転送ループが発生することがないため、スパニングツリーの Forwarding 状態
に直接遷移できます。エッジポートを指定することにより、ワークステーションやサー
バーなどのデバイスのコンバージェンスが高速化され、最新のフォワーディングデータ
ベースを維持して再構成時のアドレステーブルの再構築に必要となるフレームフラッ
ディング量を低減できます。また、インターフェースの状態が変化したときにスパニング
ツリーを再構成する必要がなく、 STA に関連するその他のタイムアウトの問題を解決でき
ます。ただし、エッジポートは、エンドノードデバイスに接続されたポートでのみ有効に
してください。
• 「Admin Link Type」 – このインターフェースに接続されているリンクタイプ
- 「Point-to-Point」 – 正確に 1 つのブリッジへの接続
- 「Shared」 – 2 つ以上のブリッジへの接続
- 「Auto」 – スイッチは、インターフェースがポイント対ポイントリンクに接続されている
か共有メディアに接続されているかを自動的に判断します。
ウェブ – 「Spanning Tree」、「STA」、「Port Information」または「STA Trunk Information」の
順にクリックします。
図 3-70. STA ポート情報
3-124
3
スパニングツリーアルゴリズムの構成
CLI – この例では、ポート 5 の STA 属性を表示しています。
Console#show spanning-tree ethernet 1/5
Eth 1/ 5 information
-------------------------------------------------------------Admin status:
enabled
Role:
disable
State:
discarding
External admin path cost: 10000
Internal admin cost:
10000
External oper path cost: 10000
Internal oper path cost: 10000
Priority:
128
Designated cost:
10000
Designated port:
128.1
Designated root:
32768.0.0000E8AAAA00
Designated bridge:
32768.0.0030F1D473A0
Fast forwarding:
disabled
Forward transitions:
2
Admin edge port:
disabled
Oper edge port:
disabled
Admin Link type:
auto
Oper Link type:
point-to-point
Spanning Tree Status:
enabled
4-192
Console#
インターフェース設定の構成
特定インターフェースについて、ポートプライオリティ、パスコスト、リンクタイプ、エッ
ジポートなどの RSTP および MSTP 属性を構成できます。同じメディアタイプのポートに
対し、異なるプライオリティやパスコストを使用することによって優先パスを指定したり、
リンクタイプによってポイント対ポイント接続または共有メディア接続を指定したり、また
エッジポートによって接続済みデバイスが高速転送に対応可能かどうかを指定することがで
きます（この項目で使用する「ポート」という用語は「インターフェース」を指し、ポート
およびトランクを両方を含む）。
コマンド属性
次の属性は読取り専用です。変更することはできません。
• 「STA State」 – スパニングツリーにおけるこのポートの現在の状態が表示されます（詳細
については、 3-122 ページの「インターフェース設定の表示」を参照）。
• 「Discarding」 - ポートは STA コンフィギュレーションメッセージを受信しますが、パ
ケットの転送は行いません。
• 「Learning」 - ポートは「Forward Delay」パラメータで設定された期間、矛盾する情報を
受信することなくコンフィギュレーションメッセージを送信しました。ポートアドレス
テーブルが消去され、ポートはアドレスの学習を開始します。
• 「Forwarding」 - ポートはパケットを転送し、引き続きアドレスを学習します。
• 「Trunk」1 – ポートがトランクのメンバーであるかどうかが示されます。
1.
「STA Port Configuration」のみ
3-125
3
スイッチの構成
次のインターフェース属性は構成可能です。
• 「Spanning Tree」 – このスイッチで STA を有効 / 無効にします（デフォルト : オン）。
• 「Priority」 – スパニングツリープロトコルでこのポートに使用するプライオリティを定義
します。スイッチ上のすべてのポートのパスコストが同一の場合、プライオリティが最も
高い（値が最も低い）ポートがスパニングツリーのアクティブリンクとして構成されま
す。これにより、スパニングツリープロトコルによってネットワークループが検知され
る場合、高いプライオリティのポートがブロックされる可能性は低くなります。最高のプ
ライオリティに割り当てられているポートが複数存在する場合、数値識別子が最も小さい
ポートが有効にされます。
• デフォルト : 128
• 範囲 : 0 ～ 240、 16 刻み
• 「Admin Path Cost」 – このパラメータはデバイス間の最善パスを決定するために STA で使
用されます。すなわち、高速なメディアに接続されたポートには低い値が割り当てられ、低
速なメディアに接続されたポートには高い値が割り当てられます（パスコストはポートプ
ライオリティより優先される）。「Path Cost Method」が「short」に設定されている場合
（3-63 ページ）、最大パスコストは 65,535 です。
• デフォルトでは、各ポートで使用されているスピードおよび二重モードはシステムで自動
的に検知され、次に示す値に従ってパスコストが構成されます。パスコスト「0」は自動
コンフィギュレーションモードを示すために使用されます。
• 範囲
- イーサネット : 200,000 ～ 20,000,000
- ファーストイーサネット : 20,000 ～ 2,000,000
- ギガビットイーサネット : 2,000 ～ 200,000
- 10 ギガビットイーサネット : 200 ～ 20,000
• デフォルト
- イーサネット – 半二重 : 2,000,000、全二重 : 1,000,000、トランク : 500,000
- ファーストイーサネット – 半二重 : 200,000、全二重 : 100,000、トランク : 50,000
- ギガビットイーサネット – 全二重 : 10,000、トランク : 5,000
- 10 ギガビットイーサネット – 全二重 : 1000、トランク : 500
• 「Admin Link Type」 – このインターフェースに接続されているリンクタイプ
• 「Point-to-Point」 – 正確に 1 つのブリッジへの接続
• 「Shared」 – 2 つ以上のブリッジへの接続
• 「Auto」 – スイッチは、インターフェースがポイント対ポイントリンクに接続されている
か共有メディアに接続されているかを自動的に判断します（デフォルト設定）。
3-126
3
スパニングツリーアルゴリズムの構成
• 「Admin Edge Port (Fast Forwarding)」 – ブリッジ LAN の終端に位置する LAN セグメント
またはエンドノードにインターフェースが接続されている場合、このオプションを有効に
できます。エンドノードでは転送ループが発生することがないため、スパニングツリーの
Forwarding 状態に直接遷移できます。エッジポートを指定することにより、ワークステー
ションやサーバーなどのデバイスのコンバージェンスが高速化され、最新のフォワーディ
ングデータベースを維持して再構成時のアドレステーブルの再構築に必要となるフレー
ムフラッディング量を低減できます。また、インターフェースの状態が変化したときにス
パニングツリーの再構成を開始する必要がなく、 STA に関連するその他のタイムアウトの
問題を解決できます。ただし、エッジポートは、エンドノードデバイスに接続されたポー
トでのみ有効にしてください（デフォルト : オフ）。
• 「Migration」 – スイッチは構成またはトポロジ変更通知 BPDU などの STP BPDU を検出す
ると、選択されたインターフェースを強制 STP 互換モードに自動的に設定します。
「Protocol Migration」ボタンを使用して、選択されたインターフェースでの送信に適した
BPDU 形式（RSTP または STP 互換）を手動で再チェックすることもできます
（デフォルト : オフ）。
ウェブ – 「Spanning Tree」、「STA」、「Port Configuration」または「Trunk Configuration」の
順にクリックします。必要な属性を変更し、「Apply」をクリックします。
図 3-71. STA ポートの構成
CLI – この例では、ポート 7 の STA 属性を設定しています。
Console(config)#interface ethernet 1/7
Console(config-if)#no spanning-tree spanning-disabled
Console(config-if)#spanning-tree port-priority 0
Console(config-if)#spanning-tree cost 50
Console(config-if)#spanning-tree link-type auto
Console(config-if)#no spanning-tree edge-port
Console(config-if)#spanning-tree protocol-migration
4-148
4-186
4-187
4-186
4-189
4-188
4-191
3-127
3
スイッチの構成
複数スパニングツリーの構成
MSTP では、インスタンスごとに一意のスパニングツリーが生成されます。これによってネッ
トワーク上に複数のパスを提供し、トラフィックのロードバランシングを行ったり、単一イ
ンスタンスのブリッジノードが障害になった場合に広範囲な中断を回避できます。また、イ
ンスタンスの障害に対する新規トポロジのコンバージェンスを高速化することもできます。
デフォルトでは、すべての VLAN は、 MST 領域内のすべてのブリッジおよび LAN を接続す
る内部スパニングツリー（MST インスタンス 0）に割り当てられます。このスイッチでは最
大 65 個のインスタンスがサポートされます。ネットワークにおいて同じ全般エリアをカバー
している VLAN をグループ化するようにしてください。ただし、同じ MSTI 領域内（3-120
ページ）のすべてのブリッジには同じインスタンスセットを構成し、（各ブリッジ上の）同じ
インスタンスには同じ VLAN セットを構成する必要があります。また、 RSTP では各 MSTI
領域が単一ノードとして扱われ、すべての領域が共通スパニングツリーに接続されることに
注意してください。
複数のスパニングツリーを使用するには、次の手順に従います。
1.
スパニングツリータイプを「MSTP」に設定します（「STA Configuration」、3-118 ページ）。
2.
選択した MST インスタンスのスパニングツリープライオリティを入力します（「MSTP
VLAN Configuration」）。
3.
この MSTI を共有する VLAN を追加します（「MSTP VLAN Configuration」）。
注 : すべての VLAN は自動的に IST （インスタンス 0）に追加されます。
MSTI によってネットワーク上のコネクティビティを確保するには、関連する一連のブリッジ
に同じ MSTI 設定を構成する必要があります。
コマンド属性
• 「MST Instance」 – このスパニングツリーのインスタンス識別子（デフォルト : 0）
• 「Priority」 – スパニングツリーインスタンスのプライオリティ（範囲 : 0 ～ 61440 まで
4096 刻み、オプション : 0、 4096、 8192、 12288、 16384、 20480、 24576、 28672、 32768、
36864、 40960、 45056、 49152、 53248、 57344、 61440、デフォルト : 32768）
• 「VLANs in MST Instance」 – このインスタンスに割り当てられている VLAN
• 「MST ID」 – 構成するインスタンス識別子（範囲 : 0 ～ 4094、デフォルト : 0）
• 「VLAN ID」 – 選択したこの MST インスタンスに割り当てる VLAN （範囲 : 1 ～ 4093）
その他のグローバル属性については、 3-115 ページの「グローバル設定の表示」で説明します。 CLI で個々
のインターフェースについて表示される属性については、 3-122 ページの「インターフェース設定の表示」
で説明します。
3-128
スパニングツリーアルゴリズムの構成
3
ウェブ – 「Spanning Tree」、「MSTP」、「VLAN Configuration」の順にクリックします。リス
トからインスタンス識別子を選択し、インスタンスプライオリティを設定して、「Apply」を
クリックします。 MSTI インスタンスに VLAN メンバーを追加するには、インスタンス識別子
と VLAN 識別子を入力して、「Add」をクリックします。
図 3-72. MSTP VLAN の構成
3-129
3
スイッチの構成
CLI – この例では、インスタンス 1 の STA 設定に続いて各ポートの設定を表示しています。
Console#show spanning-tree mst 1
Spanning-tree information
--------------------------------------------------------------Spanning tree mode:
MSTP
Spanning tree enabled/disabled:
enabled
Instance:
1
VLANs configuration:
1
Priority:
32768
Bridge Hello Time (sec.):
2
Bridge Max Age (sec.):
20
Bridge Forward Delay (sec.):
15
Root Hello Time (sec.):
2
Root Max Age (sec.):
20
Root Forward Delay (sec.):
15
Max hops:
20
Remaining hops:
20
Designated Root:
32768.1.0030F1D473A0
Current root port:
7
Current root cost:
10000
Number of topology changes:
2
Last topology changes time (sec.):85
Transmission limit:
3
Path Cost Method:
long
--------------------------------------------------------------Eth 1/ 7 information
--------------------------------------------------------------Admin status:
enabled
Role:
master
State:
forwarding
External admin path cost: 10000
Internal admin path cost: 10000
External oper path cost: 10000
Internal oper path cost: 10000
Priority:
128
Designated cost:
0
Designated port:
128.1
Designated root:
32768.1.0030F1D473A0
Designated bridge:
32768.1.0030F1D473A0
Fast forwarding:
disabled
Forward transitions:
1
Admin edge port:
disabled
Oper edge port:
disabled
Admin Link type:
auto
Oper Link type:
point-to-point
Spanning Tree Status:
enabled
.
.
.
4-192
CLI – この例では、 MSTI 1 のプライオリティを設定し、この MSTI に VLAN 1 ～ 5 を追加し
ています。
Console(config)#spanning-tree mst-configuration
Console(config-mst)#mst 1 priority 4096
Console(config-mstp)#mst 1 vlan 1-5
Console(config-mst)#
3-130
4-182
4-183
4-182
3
スパニングツリーアルゴリズムの構成
MSTP のインターフェース設定の表示
「MSTP Port Information」および「MSTP Trunk Information」ページには、選択した MST イ
ンスタンス内のポートおよびトランクの現在のステータスが表示されます。
フィールド属性
• 「MST Instance ID」 – 構成するインスタンス識別子（範囲 : 0 ～ 4094、デフォルト : 0）
その他のグローバル属性については、 3-122 ページの「インターフェース設定の表示」で説明します。
ウェブ – 「Spanning Tree」、「MSTP」、「Port Information」または「Trunk Information」の順
にクリックします。必要な MST インスタンスを選択して現在のスパニングツリーの値を表
示します。
図 3-73. MSTP ポート情報
CLI – この例では、インスタンス 0 の STA 設定に続いて各ポートの設定を表示しています。
インスタンス 0 の設定は IST に適用されるグローバル設定です（3-115 ページ）。その他のイ
ンスタンスの設定はローカルスパニングツリーにのみ適用されます。
Console#show spanning-tree mst 0
Spanning-tree information
--------------------------------------------------------------Spanning tree mode:
MSTP
Spanning tree enabled/disabled:
enabled
Instance:
0
VLANs configuration:
2-4093
Priority:
32768
Bridge Hello Time (sec.):
2
Bridge Max Age (sec.):
20
Bridge Forward Delay (sec.):
15
Root Hello Time (sec.):
2
Root Max Age (sec.):
20
Root Forward Delay (sec.):
15
Max hops:
20
Remaining hops:
20
Designated Root:
32768.0.0000E8AAAA00
Current root port:
1
Current root cost:
10000
Number of topology changes:
12
Last topology changes time (sec.):303
Transmission limit:
3
Path Cost Method:
long
4-192
3-131
3
スイッチの構成
--------------------------------------------------------------Eth 1/ 1 information
--------------------------------------------------------------Admin status:
enabled
Role:
root
State:
forwarding
External admin path cost: 10000
Internal admin path cost: 10000
External oper path cost: 10000
Internal oper path cost: 10000
Priority:
128
Designated cost:
0
Designated port:
128.4
Designated root:
32768.0.0000E8AAAA00
Designated bridge:
32768.0.0000E8AAAA00
Fast forwarding:
disabled
Forward transitions:
2
Admin edge port:
disabled
Oper edge port:
disabled
Admin Link type:
auto
Oper Link type:
point-to-point
Spanning Tree Status:
enabled
.
.
.
MSTP のインターフェース設定の構成
MST インスタンスの STA インターフェース設定を構成するには、「MSTP Port Configuration」
および「MSTP Trunk Configuration」ページを使用します。
フィールド属性
次の属性は読取り専用です。変更することはできません。
• 「STA State」 – スパニングツリーにおけるこのポートの現在の状態が表示されます（詳細
については、 3-122 ページの「インターフェース設定の表示」を参照）。
• 「Discarding」 - ポートは STA コンフィギュレーションメッセージを受信しますが、パ
ケットの転送は行いません。
• 「Learning」 - ポートは「Forward Delay」パラメータで設定された期間、矛盾する情報を
受信することなくコンフィギュレーションメッセージを送信しました。ポートアドレス
テーブルが消去され、ポートはアドレスの学習を開始します。
• 「Forwarding」 - ポートはパケットを転送し、引き続きアドレスを学習します。
• 「Trunk」 – ポートがトランクのメンバーであるかどうかが示されます
（「STA Port Configuration」のみ）。
次のインターフェース属性は構成可能です。
• 「MST Instance ID」 – 構成するインスタンス識別子（範囲 : 0 ～ 4094、デフォルト : 0）
• 「Priority」 – スパニングツリープロトコルでこのポートに使用するプライオリティを定義
します。スイッチ上のすべてのポートのパスコストが同一の場合、プライオリティが最も
高い（値が最も低い）ポートがスパニングツリーのアクティブリンクとして構成されま
す。これにより、スパニングツリープロトコルによってネットワークループが検知され
る場合、高いプライオリティのポートがブロックされる可能性は低くなります。最高のプ
ライオリティに割り当てられているポートが複数存在する場合、数値識別子が最も小さい
ポートが有効にされます。
3-132
3
スパニングツリーアルゴリズムの構成
• デフォルト : 128
• 範囲 : 0 ～ 240、 16 刻み
• 「Admin MST Path Cost」 – このパラメータはデバイス間の最善パスを決定するために
MSTP で使用されます。すなわち、高速なメディアに接続されたポートには低い値が割り
当てられ、低速なメディアに接続されたポートには高い値が割り当てられます（パスコス
トはポートプライオリティより優先される）。「Path Cost Method」が「short」に設定され
ている場合（3-63 ページ）、最大パスコストは 65,535 です。
• デフォルトでは、各ポートで使用されているスピードおよび二重モードはシステムで自動
的に検知され、次に示す値に従ってパスコストが構成されます。パスコスト「0」は自動
コンフィギュレーションモードを示すために使用されます。
• 範囲
- イーサネット : 200,000 ～ 20,000,000
- ファーストイーサネット : 20,000 ～ 2,000,000
- ギガビットイーサネット : 2,000 ～ 200,000
- 10 ギガビットイーサネット : 200 ～ 20,000
• デフォルト
- イーサネット – 半二重 : 2,000,000、全二重 : 1,000,000、トランク : 500,000
- ファーストイーサネット – 半二重 : 200,000、全二重 : 100,000、トランク : 50,000
- ギガビットイーサネット – 全二重 : 10,000、トランク : 5,000
- 10 ギガビットイーサネット – 全二重 : 1000、トランク : 500
ウェブ – 「Spanning Tree」、「MSTP」、「Port Configuration」または「Trunk Configuration」
の順にクリックします。インターフェースのプライオリティおよびパスコストを入力し、
「Apply」をクリックします。
図 3-74. MSTP ポートの構成
CLI – この例では、ポート 4 の MSTP 属性を設定しています。
Console(config)#interface ethernet 1/4
Console(config-if)#spanning-tree mst port-priority 0
Console(config-if)#spanning-tree mst cost 50
Console(config-if)
4-148
4-191
4-190
3-133
3
スイッチの構成
VLAN の構成
IEEE 802.1Q VLAN
大規模なネットワークでは、各サブネットへのブロードキャストトラフィックを別々のドメ
インへと振り分けるためにルータが使用されます。このスイッチでは、 VLAN を使用してネッ
トワークノードのグループを個別のブロードキャストドメインとして編成することにより、
レイヤー 2 と同様のサービスが提供されます。 VLAN によりブロードキャストトラフィック
が送信元グループ内に限定されるため、大規模なネットワークでのブロードキャストストー
ムの発生を防ぐことができます。また、ネットワーク環境のセキュリティを高め、より明確
な環境を実現できます。
IEEE 802.1Q VLAN は、ネットワーク上のどこにあっても、同じ物理セグメントに属するか
のように通信することのできるポートのグループです。
VLAN では、デバイスを新しい VLAN に移動した場合も物理接続を変更する必要がないため、
ネットワーク管理が容易です。VLAN は、組織における部門グループ（マーケティングや R&D
など）、用途グループ（電子メールなど）、またはマルチキャストグループ（ビデオ会議など
のマルチメディアアプリケーションに使用）に合わせて簡単に編成できます。
VLAN によってブロードキャストトラフィックが低減されるため、ネットワーク効率が向上
します。また、ネットワークを変更した場合も、 IP アドレスや IP サブネットを更新する必要
がありません。トラフィックが別の VLAN に到達するためには、構成されたレイヤー 3 リン
クを経由する必要があるため、高度なネットワークセキュリティも提供されます。
このスイッチでは次の VLAN 機能がサポートされます。
• IEEE 802.1Q 規格に準拠した最大 255 個の VLAN
• 明示的または暗黙的タギングおよび GVRP プロトコルによる、複数のスイッチに渡る分散
型 VLAN 学習
• ポートを複数の VLAN に参加させることが可能なポートオーバーラッピング
• エンドステーションは複数の VLAN に従属可能
• VLAN 対応および VLAN 非対応デバイス間でのトラフィックの受渡し
• プライオリティタギング
VLAN へのポートの割当て
スイッチで VLAN を有効にする前に、まず各ポートを参加先の VLAN グループに割り当てる
必要があります。デフォルトでは、すべてのポートはタグなしポートとして VLAN 1 に割り
当てられます。ポートで 1 つ以上の VLAN にトラフィックを伝送し、中継ネットワークデバ
イスまたは接続の反対側に位置するホストで VLAN がサポートされている場合、そのポート
をタグ付きポートとして追加します。次に、手動または GVRP を使用して動的に、このトラ
フィックを伝送するパス上にあるほかの VLAN 対応ネットワークデバイスのポートを同じ
VLAN に割り当てます。ただし、このスイッチのポートを 1 つ以上の VLAN に参加させ、中
継ネットワークデバイスおよび接続の反対側に位置するホストがどちらも VLAN をサポート
していない場合は、このポートをタグなしポートとして VLAN に追加してください。
3-134
VLAN の構成
3
注 : VLAN タグ付きフレームは VLAN 対応または VLAN 非対応ネットワーク相互接続デバイスを
通過できます。ただし、 VLAN タギングをサポートしていないエンドノードホストに渡す前
に、 VLAN タグを除去する必要があります。
tagged frames
VA
VA
VA: VLAN Aware
VU: VLAN Unaware
tagged
frames
VA
untagged
frames
VA
VU
VLAN の分類 – スイッチはフレームを受信すると、このフレームを次のいずれかの方法で分
類します。フレームがタグなしの場合、スイッチはこのフレームを関連付けられた VLAN に
割り当てます（受信ポートのデフォルトの VLAN ID に基づく）。フレームがタグ付きの場合、
スイッチはタグ付き VLAN ID を使用してフレームのポートブロードキャストドメインを識
別します。
ポートオーバーラッピング – ポートオーバーラッピングにより、複数の VLAN グループによ
るファイルサーバーやプリンタなどの共有ネットワークリソースへのアクセスが可能にな
ります。オーバーラップしていないが相互に通信が必要な VLAN を実装する場合、このスイッ
チでルーティングを有効にすることによってこれらの VLAN を接続することはできません。
タグなし VLAN – 通常、タグなし（またはスタティック） VLAN はブロードキャストを低減
し、セキュリティを高めるために使用されます。同じ VLAN に割り当てられたネットワーク
ユーザーのグループによって、スイッチに構成されているほかの VLAN とは別のブロード
キャストドメインが形成されます。パケットの転送は同じ VLAN に指定されたポート間での
み行われます。タグなし VLAN は、ユーザーグループやサブネットを手動で隔離するために
使用できます。ただし、完全な自動 VLAN 登録が可能な場合は、 IEEE 802.3 タグ付き VLAN
を GVRP とともに使用してください。
自動 VLAN 登録 – GVRP （GARP VLAN 登録プロトコル）により、スイッチが各エンドス
テーションの割当て先 VLAN を自動的に学習できるシステムが定義されます。エンドステー
ション（またはそのネットワークアダプタ）で IEEE 802.1Q VLAN プロトコルがサポートさ
れている場合、参加希望の VLAN グループを指定したメッセージをネットワークにブロード
キャストするよう構成できます。スイッチはこのようなメッセージを受信すると、受信ポー
トを指定の VLAN に自動的に割り当て、メッセージをその他すべてのポートに転送します。
GVRP をサポートする別のスイッチにメッセージが着信すると、このスイッチでも受信ポー
トを指定の VLAN に自動的に割り当て、メッセージをその他すべてのポートに送信します。こ
のようにして、 VLAN 要求がネットワーク全体に伝搬されます。これにより、エンドステーショ
ンの要求のみに基づいて、 GVRP 準拠デバイスを自動的に VLAN グループに構成できます。
3-135
3
スイッチの構成
ネットワークに GVRP を実装するには、まず必要な VLAN にホストデバイスを追加し（オペ
レーティングシステムまたはその他のアプリケーションソフトウェアを使用）、これらの
VLAN をネットワークに伝搬できるようにします。これらのホストに直接接続されたエッジ
スイッチおよびネットワークのコアスイッチについて、デバイス間のリンクで GVRP を有効
にします。また、ネットワークのセキュリティ境界を決定し、境界ポートで GVRP を無効に
することにより、アドバタイズメントの伝搬を防いだり、制限された VLAN への境界ポート
の参加を禁止する必要があります。
注 : GVRP がサポートされていないホストデバイスを使用する場合、これらのデバイスに接続さ
れたスイッチポートにスタティックまたはタグなし VLAN を構成する必要があります（3-140
ページの「VLAN へのスタティックメンバーの追加（VLAN インデックス）」を参照）。この場
合も、これらのエッジスイッチおよびネットワークのコアスイッチで GVRP を有効にできます。
Port-based VLAN
2
1
9
10 11
3
4
5
13
12
6
15 16
14
7
8
18
19
タグ付き / タグなしフレームの転送
単一のスイッチに直接接続されたデバイスに対してポートベースの小規模な VLAN を構築す
るには、ポートを同一のタグなし VLAN に割り当てます。ただし、複数のスイッチにまたが
る VLAN グループに参加させるには、そのグループの VLAN を構築し、すべてのポートでタ
ギングを有効にする必要があります。
ポートは複数のタグ付きまたはタグなし VLAN に割り当てることができます。これにより、
スイッチ上の各ポートでタグ付きまたはタグなしフレームを送信できるようになります。こ
のスイッチからフレームを転送するパス上に VLAN 対応デバイスが含まれている場合、ス
イッチで VLAN タグを含める必要があります。このスイッチからフレームを転送するパス上
に VLAN 対応デバイス（宛先ホストを含む）がない場合、スイッチではフレームの転送前に
VLAN タグを消去する必要があります。スイッチはタグ付きフレームを受信すると、フレーム
タグで指定された VLAN にこのフレームを送信します。ただし、 VLAN 非対応デバイスから
タグなしフレームを受信した場合は、まずフレームの転送先を決定してから、イングレスポー
トのデフォルト VID に応じた VLAN タグを挿入します。
GVRP の有効化または無効化（グローバル設定）
GARP VLAN 登録プロトコル（GVRP）では、 VLAN メンバーをネットワーク上のポートに登
録するための、スイッチによる VLAN 情報の交換方法が定義されています。 VLAN は、ホス
トデバイスから発行され、ネットワーク全体に伝搬されたメッセージに基づいて動的に構成
されます。自動 VLAN 登録を許可し、範囲がローカルスイッチ外におよぶ VLAN をサポート
するには、 GVRP を有効にする必要があります（デフォルト : オフ）。
3-136
VLAN の構成
3
ウェブ – 「VLAN」、「802.1Q VLAN」、「GVRP Status」の順にクリックします。 GVRP を有
効または無効にし、「Apply」をクリックします。
図 3-75. GVRP のグローバルな有効化
CLI – この例では、スイッチで GVRP を有効にしています。
Console(config)#bridge-ext gvrp
Console(config)#
4-208
VLAN 基本情報の表示
「VLAN Basic Information」ページには、スイッチでサポートされている VLAN タイプに関す
る基本情報が表示されます。
フィールド属性
• 「VLAN Version Number」1 – このスイッチで使用されている、 IEEE 802.1Q 規格で規定さ
れている VLAN バージョン
• 「Maximum VLAN ID」 – このスイッチが認識する最大の VLAN ID
• 「Maximum Number of Supported VLANs」 – このスイッチで構成可能な VLAN の最大数
ウェブ – 「VLAN」、「802.1Q VLAN」、「Basic Information」の順にクリックします。
図 3-76. VLAN 基本情報
CLI – 次のコマンドを入力します。
Console#show bridge-ext
Max support VLAN numbers:
Max support VLAN ID:
Extended multicast filtering services:
Static entry individual port:
VLAN learning:
Configurable PVID tagging:
Local VLAN capable:
Traffic classes:
Global GVRP status:
GMRP:
Console#
1.
4-209
256
4093
No
Yes
IVL
Yes
No
Enabled
Disabled
Disabled
ウェブのみ
3-137
3
スイッチの構成
現在の VLAN の表示
「VLAN Current Table」には、各 VLAN の現在のポートメンバーと、各ポートで VLAN タギ
ングがサポートされているかどうかが表示されます。複数のスイッチにまたがる大規模な
VLAN グループに割り当てられたポートでは、 VLAN タギングを使用する必要があります。た
だし、 1 つまたは 2 つのスイッチに対してポートベースの小規模な VLAN を構築する場合は、
タギングを無効にすることができます。
コマンド属性（ウェブ）
• 「VLAN ID」 – 構成済み VLAN の ID （1 ～ 4093）
• 「Up Time at Creation」 – この VLAN が構築されてからの時間（システム稼動時間）
• 「Status」 – この VLAN がスイッチにどのように追加されたかが示されます。
- 「 Dynamic GVRP」 : GVRP による自動学習
- 「Permanent」 : スタティックエントリとして追加
• 「Egress Ports」 – すべての VLAN ポートメンバーが示されます。
• 「Untagged Ports」 – タグなし VLAN ポートメンバーが示されます。
ウェブ – 「VLAN」、「802.1Q VLAN」、「Current Table」の順にクリックします。スクロール
ダウンリストから ID を選択します。
図 3-77. VLAN の現在のテーブル
コマンド属性（CLI）
• 「VLAN」 – 構成済み VLAN の ID （1 ～ 4093、先行ゼロは不可）
• 「Type」 – この VLAN がスイッチにどのように追加されたかが示されます。
- 「Dynamic」 : GVRP による自動学習
- 「Static」 : スタティックエントリとして追加
• 「Name」 – VLAN の名前（1 ～ 32 文字）
• 「Status」 – VLAN が有効にされているか無効にされているかが示されます。
- 「Active」 : VLAN は稼動中
- 「Suspend」 : VLAN は中断中。パケットは渡されません。
• 「Ports / Channel groups」 – VLAN インターフェースメンバーが示されます。
3-138
VLAN の構成
3
CLI – 次のコマンドにより、現在の VLAN 情報を表示できます。
Console#show vlan id 1
VLAN ID:
Type:
Name:
Status:
Ports/Port Channels:
4-202
1
Static
DefaultVlan
Active
Eth1/ 1(S) Eth1/ 2(S)
Eth1/ 6(S) Eth1/ 7(S)
Eth1/11(S) Eth1/12(S)
Eth1/16(S) Eth1/17(S)
Eth1/21(S) Eth1/22(S)
Eth1/ 3(S)
Eth1/ 8(S)
Eth1/13(S)
Eth1/18(S)
Eth1/23(S)
Eth1/ 4(S)
Eth1/ 9(S)
Eth1/14(S)
Eth1/19(S)
Eth1/24(S)
Eth1/ 5(S)
Eth1/10(S)
Eth1/15(S)
Eth1/20(S)
Console#
VLAN の構築
VLAN グループを作成または削除するには、「VLAN Static List」を使用します。このスイッチ
で使用する VLAN グループの情報を外部ネットワークデバイスに伝搬するには、各グループ
の VLAN ID を指定する必要があります。
コマンド属性
• 「Current」 – このシステムに現在作成されているすべての VLAN グループが表示されます。
最大 255 個の VLAN グループを定義できます。VLAN 1 はデフォルトのタグなし VLAN です。
• 「New」 – 新規 VLAN グループの名前および数値識別子を指定できます（VLAN 名はこのシ
ステムの管理目的でのみ使用され、 VLAN タグには追加されない）。
• 「VLAN ID」 – 構成済み VLAN の ID （1 ～ 4093）
• 「VLAN Name」 – VLAN の名前（1 ～ 32 文字）
• 「Status 」（ウェブ） – 指定した VLAN を有効または無効にします。
- 「Enable」をオン : VLAN を稼動させます。
- 「Enabled」をオフ : VLAN を中断します。パケットは渡されません。
• 「State」（CLI） – 指定した VLAN を有効または無効にします。
- 「Active」 : VLAN を稼動させます。
- 「Suspend」 : VLAN を中断します。パケットは渡されません。
• 「Add」 – 新規 VLAN グループを現在のリストに追加します。
• 「Remove」 – 現在のリストから VLAN グループを削除します。このグループにタグなしと
して割り当てられているポートは、VLAN グループ 1 にタグなしとして再割り当てされます。
3-139
3
スイッチの構成
ウェブ – 「VLAN」、「802.1Q VLAN」、「Static List」の順にクリックします。新規 VLAN を構
築するには、 VLAN ID と VLAN 名を入力し、「Enable」チェックボックスをオンにして VLAN
を有効にし、「Add」をクリックします。
図 3-78. VLAN スタティックリスト - VLAN の構築
CLI – この例では、新規 VLAN を構築しています。
Console(config)#vlan database
Console(config-vlan)#vlan 2 name R&D media ethernet state active
Console(config-vlan)#end
Console#show vlan
VLAN ID:
Type:
Name:
Status:
Ports/Port Channels:
.
.
.
VLAN ID:
Type:
Name:
Status:
Ports/Port Channels:
1
Static
DefaultVlan
Active
Eth1/ 1(S) Eth1/ 2(S)
Eth1/ 6(S) Eth1/ 7(S)
Eth1/11(S) Eth1/12(S)
Eth1/16(S) Eth1/17(S)
Eth1/21(S) Eth1/22(S)
Eth1/ 3(S)
Eth1/ 8(S)
Eth1/13(S)
Eth1/18(S)
Eth1/23(S)
Eth1/ 4(S)
Eth1/ 9(S)
Eth1/14(S)
Eth1/19(S)
Eth1/24(S)
4-195
4-196
4-202
Eth1/ 5(S)
Eth1/10(S)
Eth1/15(S)
Eth1/20(S)
2
Static
R&D
Active
Console#
VLAN へのスタティックメンバーの追加（VLAN インデックス）
選択した VLAN インデックスのポートメンバーを構成するには、「VLAN Static Table」を使
用します。ポートが 802.1Q VLAN 準拠デバイスに接続されている場合はタグ付きとして、ま
た VLAN 対応デバイスに接続されていない場合はタグなしとしてポートを割り当てます。ま
たは、スイッチが GVRP プロトコルによってポートを VLAN に自動的に追加しないようにす
るには、ポートを禁止として構成します。
注 : 1. 「VLAN Static Membership by Port」ページでも、ポートインデックスに基づいて VLAN グ
ループを構成できます（3-142 ページ）。ただし、この構成ページでは、ポートをタグ付き
メンバーとしてのみ VLAN に追加できます。
2. VLAN 1 はデフォルトのタグなし VLAN で、スイッチ上のすべてのポートが含まれます。
この VLAN を変更するには、まず 3-143 ページの「インターフェースの VLAN 動作の構
成」の手順に従ってデフォルトポートの VLAN ID を再割当てする必要があります。
3-140
VLAN の構成
3
コマンド属性
• 「VLAN」 – 構成済み VLAN の ID （1 ～ 4093）
• 「Name」 – VLAN の名前（1 ～ 32 文字）
• 「Status」 – 指定した VLAN を有効または無効にします。
- 「Enable」をオン : VLAN を稼動させます。
- 「Enable」をオフ : VLAN を中断します。パケットは渡されません。
• 「Port」 – ポート識別子
• 「Trunk」 – トランク識別子
• 「Membership Type」 – ポートまたはトランクの該当するラジオボタンをオンにして、各
インターフェースの VLAN メンバーシップを選択します。
- 「Tagged」 : インターフェースは VLAN のメンバーです。このポートから送信されるパ
ケットはすべてタグ付きです。すなわち、パケットにはタグが含まれ、VLAN または CoS
情報が伝送されます。
- 「Untagged」 : インターフェースは VLAN のメンバーです。このポートから送信される
パケットはすべてタグなしです。すなわち、パケットにはタグが含まれず、 VLAN また
は CoS 情報は伝送されません。インターフェースは少なくとも 1 つのグループにタグな
しポートとして割り当てる必要があります。
- 「Forbidden」 : インターフェースは、GVRP による VLAN への自動参加が禁止されます。
詳細については、 3-135 ページの「自動 VLAN 登録」を参照してください。
- 「None」 : インターフェースは VLAN のメンバーではありません。この VLAN に関連付
けられたパケットはこのインターフェースで送信されません。
• 「Trunk Member」 – ポートがトランクのメンバーであるかどうかが示されます。選択した
VLAN にトランクを追加するには、「VLAN Static Table」ページの最後のテーブルを使用し
ます。
ウェブ – 「VLAN」、「802.1Q VLAN」、「Static Table」の順にクリックします。スクロールダ
ウンリストから VLAN ID を選択します。必要に応じて VLAN 名とステータスを変更します。
ポートまたはトランクのリストで該当するラジオボタンをオンにして、メンバーシップタイ
プを選択します。「Apply」をクリックします。
図 3-79. VLAN スタティックテーブル - スタティックメンバーの追加
3-141
3
スイッチの構成
CLI – 次の例では、 VLAN 2 にタグ付きおよびタグなしポートを追加しています。
Console(config)#interface ethernet 1/1
Console(config-if)#switchport allowed vlan add 2 tagged
Console(config-if)#exit
Console(config)#interface ethernet 1/2
Console(config-if)#switchport allowed vlan add 2 untagged
Console(config-if)#exit
Console(config)#interface ethernet 1/13
Console(config-if)#switchport allowed vlan add 2 tagged
Console(config-if)#
4-148
4-200
VLAN へのスタティックメンバーの追加（ポートインデックス）
選択したインターフェースに VLAN グループをタグ付きメンバーとして割り当てるには、
「VLAN Static Membership by Port」メニューを使用します。
コマンド属性
• 「Interface」 – ポートまたはトランクの識別子
• 「Member」 – 選択したインターフェースをタグ付きメンバーとして割り当てる VLAN
• 「Non-Member」 – 選択したインターフェースをタグ付きメンバーとして割り当てない VLAN
ウェブ – 「VLAN」、「802.1Q VLAN」、「Static Membership by Port」の順に開きます。スク
ロールダウンボックス（「Port」または「Trunk」）からインターフェースを選択します。イン
ターフェースのメンバーシップ情報を表示するには、「Query」をクリックします。 VLAN ID
を選択し、「Add」をクリックしてインターフェースをタグ付きメンバーとして追加するか、
「Remove」をクリックしてインターフェースを削除します。各インターフェースの VLAN メ
ンバーシップを構成したら、「Apply」をクリックします。
図 3-80. ポート別 VLAN スタティックメンバーシップ
CLI – この例では、ポート 3 をタグ付きポートとして VLAN 1 に追加し、 VLAN 2 からポート
3 を削除しています。
Console(config)#interface ethernet 1/3
Console(config-if)#switchport allowed vlan add 1 tagged
Console(config-if)#switchport allowed vlan remove 2
Console(config-if)#
3-142
4-148
4-200
3
VLAN の構成
インターフェースの VLAN 動作の構成
特定インターフェースについて、デフォルトの VLAN 識別子（PVID）、受理するフレームタ
イプ、イングレスフィルタリング、 GVRP ステータス、 GARP タイマーなどの VLAN 動作を
構成できます。
コマンドの使用
• GVRP – GARP VLAN 登録プロトコルでは、 VLAN メンバーをネットワーク上のインター
フェースに自動登録するための、スイッチによる VLAN 情報の交換方法が定義されています。
• GARP – グループアドレス登録プロトコルは、ブリッジ LAN 内でクライアントサービス
のクライアント属性を登録したり登録解除するために GVRP で使用されます。 GARP タイ
マーのデフォルト値は、メディアアクセス方法やデータレートの影響は受けません。GVRP
による登録 / 登録解除において問題が発生した場合を除き、これらの値を変更しないでく
ださい。
コマンド属性
• 「PVID」 – インターフェースで受信したタグなしフレームに割り当てる VLAN ID
（デフォルト : 1）
- インターフェースが VLAN 1 のメンバーではない場合にこの VLAN に VLAN 1 の PVID
を割り当てると、インターフェースはタグなしメンバーとして自動的に VLAN 1 に追加
されます。その他すべての VLAN については、そのグループに PVID を割り当てる前に、
インターフェースをタグなしメンバーとして構成する必要があります。
• 「Acceptable Frame Type」 – タグ付きまたはタグなしを問わずすべてのフレームタイプ、
またはタグ付きフレームのみを受理するようインターフェースを設定します。すべてのフ
レームタイプを受信するよう設定すると、受信したタグなしフレームはデフォルトの
VLAN に割り当てられます（オプション : 「All」、「Tagged」、デフォルト : 「All」）。
• 「Ingress Filtering」 – イングレスポートがメンバーでない VLAN のタグが付けられたフ
レームの処理方法を決定します（デフォルト : オフ）。
- イングレスフィルタリングはタグ付きフレームにのみ影響します。
- イングレスフィルタリングが無効にされており、ポートがメンバーでない VLAN のタグ
が付けられたフレームを受信した場合、これらのフレームはその他すべてのポートにフ
ラッディングされます（このポートで明示的に禁止されている VLAN を除く）。
- イングレスフィルタリングが有効にされており、ポートがメンバーでない VLAN のタグ
が付けられたフレームを受信した場合、これらのフレームは廃棄されます。
- イングレスフィルタリングは、 GVRP や STP など VLAN の影響を受けない BPDU フ
レームには影響しません。ただし、 GMRP など VLAN に依存する BPDU フレームには
影響します。
• 「GVRP Status」 – インターフェースで GVRP を有効 / 無効にします。この設定を有効にす
るには、スイッチでグローバルに GVRP が有効にされている必要があります（3-15 ページ
の「ブリッジ拡張機能の表示」を参照）。無効にした場合、このポートで受信した GVRP パ
ケットは廃棄され、ほかのポートから GVRP 登録が伝搬されません（デフォルト : オフ）。
• 「GARP Join Timer」1 – VLAN グループへの参加要求 / クエリーを送信する間隔
（範囲 : 20 ～ 1000 センチ秒、デフォルト : 20）
1.
タイマー設定は、「2 x （join タイマー） < leave タイマー < leaveAll タイマー」のルールに従って
いる必要があります。
3-143
3
スイッチの構成
• 「GARP Leave Timer」1 – VLAN グループからの離脱前にポートが待機する時間。この時間
は、join 時間の 2 倍より大きい値に設定してください。これにより、Leave または LeaveAll
メッセージの発行後、ポートが実際にグループから離脱する前に要求ノードが再参加する
ことができます（範囲 : 60 ～ 3000 センチ秒、デフォルト : 60）。
• 「GARP LeaveAll Timer」 1 – VLAN グループ参加ノードに LeaveAll クエリーメッセージを
送出してからポートがグループを離脱するまでの時間。グループに再参加するノードに
よって生成されるトラフィック量を最小限に抑えるために、この時間は Leave 時間より大
幅に長くしてください（範囲 : 500 ～ 18000 センチ秒、デフォルト : 1000）。
• 「Mode」 – インターフェースの VLAN メンバーシップモードを指定します
（デフォルト : 「Hybrid」）。
- 「1Q Trunk」 – ポートを VLAN トランクのエンドポイントとして指定します。トランク
は 2 つのスイッチ間の直接リンクであるため、ポートは送信元 VLAN を特定するタグ付
きフレームを送信します。ポートのデフォルト VLAN （すなわち、その PVID が関連付
けられている）に属するフレームもタグ付きフレームとして送信されます。
- 「Hybrid」 – ハイブリッド VLAN インターフェースを指定します。ポートはタグ付きまた
はタグなしフレームを送信します。
• 「Trunk Member」 – ポートがトランクのメンバーであるかどうかが示されます。選択した
VLAN にトランクを追加するには、「VLAN Static Table」ページの最後のテーブルを使用し
ます。
ウェブ – 「VLAN」、「802.1Q VLAN」、「Port Configuration」または「Trunk Configuration」の
順にクリックします。各インターフェースについて必要な設定を指定し、「Apply」をクリッ
クします。
図 3-81. VLAN ポートの構成
1.
タイマー設定は、「2 x （join タイマー） < leave タイマー < leaveAll タイマー」のルールに従って
いる必要があります。
3-144
VLAN の構成
3
CLI – この例では、タグ付きフレームのみを受理するようポート 3 を設定し、 PVID 3 をネイ
ティブ VLAN ID として割り当てています。また、 GVRP を有効にし、 GARP タイマーを設定
して、スイッチポートモードをハイブリッドに設定しています。
Console(config)#interface ethernet 1/3
Console(config-if)#switchport acceptable-frame-types tagged
Console(config-if)#switchport ingress-filtering
Console(config-if)#switchport native vlan 3
Console(config-if)#switchport gvrp
Console(config-if)#garp timer join 20
Console(config-if)#garp timer leave 90
Console(config-if)#garp timer leaveall 2000
Console(config-if)#switchport mode hybrid
Console(config-if)#
4-148
4-198
4-199
4-200
4-209
4-210
4-198
プライベート VLAN の構成
プライベート VLAN では、割り当てられた VLAN 内のポート間でポートベースのセキュリ
ティおよび分割が実現されます。ダウンリンクポートのデータトラフィックは、アップリン
クポートとの間でのみ転送が可能です（プライベート VLAN と通常の VLAN を同一スイッチ
内に共存させることも可能）。
Uplink Ports
Primary VLAN
(promiscuous ports)
x
Downlink Ports
Secondary VLAN
(private ports)
プライベート VLAN の有効化
プライベート VLAN 機能を有効 / 無効にするには、「Private VLAN Status」ページを使用します。
ウェブ – 「VLAN」、「Private VLAN」、「Status」の順にクリックします。スクロールダウン
ボックスで「Enable」または「Disable」を選択し、「Apply」をクリックします。
図 3-82. プライベート VLAN のステータス
CLI – この例では、プライベート VLAN を有効にしています。
Console(config)#pvlan
Console(config)#
4-203
3-145
3
スイッチの構成
アップリンクポートおよびダウンリンクポートの構成
ポートをダウンリンクポートまたはアップリンクポートとして設定するには、「Private
VLAN Link Status」ページを使用します。ダウンリンクポートとして指定されたポートは、ス
イッチ上のアップリンクポートを除くほかのポートと通信することはできません。アップリ
ンクポートは、スイッチ上のすべてのポートおよび指定されたダウンリンクポートと通信で
きます。
ウェブ – 「VLAN」、「Private VLAN」、「Link Status」の順にクリックします。プライベート
VLAN のアップリンクおよびダウンリンクとして機能させるポートのラジオボタンをオンに
し、「Apply」をクリックします。
図 3-83. プライベート VLAN のリンクステータス
CLI – この例では、ポート 3 をアップリンクとして、またポート 5 および 6 をダウンリンク
として構成しています。
Console(config)#pvlan up-link ethernet 1/3 down-link ethernet 1/5
Console(config)#pvlan up-link ethernet 1/3 down-link ethernet 1/6
Console(config)#end
Console#show pvlan
Private VLAN status: Enabled
Up-link port:
Ethernet 1/3
Down-link port:
Ethernet 1/5
Ethernet 1/6
Console#
4-203
プロトコルベースの VLAN の構成
複数のプロトコルをサポートする必要のあるネットワークデバイスは、共通の VLAN に簡単
にグループ化できません。特定のプロトコルに参加するすべてのデバイスをサポートするた
めに、異なる VLAN 間でトラフィックを受け渡す非標準のデバイスが必要になることがあり
ます。このようなコンフィギュレーションでは、セキュリティや簡単なアクセスなど VLAN
の基本的な利点をユーザーが利用できなくなります。
これらの問題を回避するために、このスイッチにプロトコルベースの VLAN を構成し、必要
なプロトコルごとに物理ネットワークを論理的な VLAN グループに分割できます。ポートで
フレームが受信されると、インバウンドパケットで使用されるプロトコルタイプに基づい
て、そのフレームの VLAN メンバーシップが決定されます。
3-146
VLAN の構成
3
コマンドの使用
プロトコルベースの VLAN を構成するには、次の手順に従います。
1.
まず、使用するプロトコル用の VLAN グループを構成します（3-139 ページ）。必ずしも
必要ではありませんが、ネットワークで実行される主なプロトコルごとに別々の VLAN
を構成することをお勧めします。この時点ではポートメンバーを追加しないでください。
2.
「Protocol VLAN Configuration」ページを使用して、 VLAN に割り当てる各プロトコルの
プロトコルグループを作成します。
3.
次に、「Protocol VLAN Port Configuration」ページを使用して、各インターフェースのプ
ロトコルを適切な VLAN にマップします。
プロトコルグループの構成
1 つ以上のプロトコル用のプロトコルグループを作成します。
コマンド属性
• 「Protocol Group ID」 – このプロトコルグループのグループ識別子
（範囲 : 1 ～ 2147483647）
• 「Frame Type」1 – このプロトコルが使用するフレームタイプ
（オプション : 「Ethernet」、「RFC_1042」、「LLC_other」）
• 「Protocol Type」 – 「LLC_other」フレームタイプに対して指定できるオプションは
「IPX_raw」のみです。その他すべてのフレームタイプでは、「IP」、「ARP」、「RARP」を
指定できます。
ウェブ – 「VLAN」、「Protocol VLAN」、「Configuration」の順にクリックします。プロトコル
グループ ID、フレームタイプ、およびプロトコルタイプを入力し、「Apply」をクリックします。
図 3-84. プロトコル VLAN の構成
CLI – 次の例では、プロトコルグループ 1 を作成し、イーサネットフレームと IP および ARP
プロトコルタイプを指定しています。
Console(config)#protocol-vlan protocol-group 1
add frame-type ethernet protocol-type ip
Console(config)#protocol-vlan protocol-group 1
add frame-type ethernet protocol-type arp
Console(config)#
1.
4-205
ハードウェアの制限により、このスイッチでは SNAP フレームタイプはサポートされません。
3-147
3
スイッチの構成
VLAN へのプロトコルのマップ
グループに参加させる各インターフェースについて、プロトコルグループを VLAN にマップ
します。
コマンドの使用
• プロトコルベースの VLAN を構築する場合、インターフェースの割当てはこの構成画面で
のみ行ってください。「VLAN Static Table」（3-140 ページ）や「VLAN Static Membership
by Port」（3-142 ページ）などほかの「VLAN」メニューを使用してインターフェースを割
り当てると、これらのインターフェースで、関連付けられた VLAN へのあらゆるプロトコ
ルタイプのトラフィックの送信が許可されます。
• プロトコル VLAN に割り当てられているポートに着信したフレームは次のように処理され
ます。
- フレームがタグ付きの場合、タグ付きフレームに適用される標準ルールに従ってフレー
ムが処理されます。
- フレームがタグなしで、プロトコルタイプが合致する場合、フレームは適切な VLAN に
転送されます。
- フレームがタグなしで、プロトコルタイプが合致しない場合、フレームはこのインター
フェースのデフォルト VLAN に転送されます。
コマンド属性
• 「Interface」 – ポートまたはトランクの識別子
• 「Protocol Group ID」 – このプロトコルグループのグループ識別子
（範囲 : 1 ～ 2147483647）
• 「VLAN ID」 – 合致したプロトコルトラフィックの転送先 VLAN
（範囲 : 1 ～ 4093）。
ウェブ – 「VLAN」、「Protocol VLAN」、「Port Configuration」の順にクリックします。ポート
またはトランクを選択し、プロトコルグループ ID および対応する VLAN ID を入力して、
「Apply」をクリックします。
図 3-85. プロトコル VLAN ポートの構成
3-148
サービスクラスの構成
3
CLI – 次の例では、ポート 1 に着信し、プロトコルグループ 1 に指定されたプロトコルタイ
プに合致するトラフィックを VLAN 3 にマップしています。
Console(config)#interface ethernet 1/1
Console(config-if)#protocol-vlan protocol-group 1 vlan 3
Console(config-if)#
4-206
サービスクラスの構成
サービスクラス（CoS）により、輻輳時にトラフィックをスイッチにバッファリングする際
のデータパケットの優先度を指定できます。このスイッチでは、各ポートで 8 個のプライオ
リティキューによる CoS がサポートされます。ポートの高プライオリティキュー内のデー
タパケットは、低プライオリティキューのパケットより先に送信されます。各インター
フェースにデフォルトプライオリティを設定し、フレームプライオリティタグとスイッチの
プライオリティキューのマッピングを構成することができます。
レイヤー 2 キューの設定
インターフェースのデフォルトプライオリティの設定
スイッチ上の各インターフェースにデフォルトのポートプライオリティを指定できます。こ
のスイッチに着信するすべてのタグなしパケットには、指定したデフォルトのポートプライ
オリティがタグ付けされ、出力ポートで適切なプライオリティキューに振り分けられます。
コマンドの使用
• このスイッチは、各ポートにつき 8 つのプライオリティキューをサポートしています。
キュー先頭のパケットによるブロックを防止するために、加重ラウンドロビン方式が使用
されます。
• デフォルトプライオリティは、すべてのフレームタイプを受理（タグなしおよびタグ付き
フレームを両方受信）するよう設定されたポートで受信したタグなしフレームに適用され
ます。このプライオリティは IEEE 802.1Q VLAN タグ付きフレームには適用されません。
着信フレームが IEEE 802.1Q VLAN タグ付きフレームの場合は、 IEEE 802.1p ユーザープ
ライオリティビットが使用されます。
• 出力ポートが、関連付けられた VLAN のタグなしメンバーの場合、これらのフレームの
VLAN タグは送信前にすべて除去されます。
コマンド属性
• 「Default Priority」1 – 指定したインターフェースで受信したタグなしフレームに割り当て
るプライオリティ（範囲 : 0 ～ 7、デフォルト : 0）
• 「Number of Egress Traffic Classes」 – 各ポートに提供されるキューバッファの数
1.
CLI では、この情報が「Priority for untagged traffic」として表示されます。
3-149
3
スイッチの構成
ウェブ – 「Priority」、「Default Port Priority」または「Default Trunk Priority」の順にクリック
します。インターフェースのデフォルトプライオリティを変更し、「Apply」をクリックします。
図 3-86. デフォルトポートプライオリティ
CLI – この例では、ポート 3 にデフォルトプライオリティ 5 を割り当てています。
Console(config)#interface ethernet 1/3
Console(config-if)#switchport priority default 5
Console(config-if)#end
Console#show interfaces switchport ethernet 1/5
Information of Eth 1/5
Broadcast threshold:
Enabled, 500 packets/second
LACP status:
Disabled
Ingress rate limit:
Disable, 1000M bits per second
Egress rate limit:
Disable, 1000M bits per second
VLAN membership mode:
Hybrid
Ingress rule:
Disabled
Acceptable frame type:
All frames
Native VLAN:
1
Priority for untagged traffic: 0
GVRP status:
Disabled
Allowed VLAN:
1(u),
Forbidden VLAN:
Console#
3-150
4-148
4-213
4-157
サービスクラスの構成
3
イグレスキューへ CoS の値のマップ
このスイッチでは、ストリクトまたは加重ラウンドロビン（WRR）に基づくサービススケ
ジュールに従い、サービスクラス（CoS）プライオリティタグが付けられたトラフィックが
各ポートの 8 つのプライオリティキューによって処理されます。 IEEE 802.1p では、最大 8
個のトラフィックプライオリティが定義されています。次の表に示すように、デフォルトの
プライオリティレベルは IEEE 802.1p 規格の勧告に従って割り当てられます。
表 3-12. イグレスキューへ CoS の値のマップ
キュー
0
1
2
3
4
5
6
7
プライオリティ
2
0
1
3
4
5
6
7
次の表に、様々なネットワークアプリケーションを対象に IEEE 802.1p 規格で推奨されてい
るプライオリティレベルを示します。実際には、ご使用のネットワークにおけるアプリケー
ショントラフィックに適した形でプライオリティレベルをスイッチの出力キューにマップ
することができます。
表 3-13. CoS プライオリティレベル
プライオリティレベル
トラフィックタイプ
1
バックグラウンド
2
（予備）
0 （デフォルト）
ベストエフォート
3
エクセレントエフォート
4
制御された負荷
5
ビデオ、 100 ミリ秒未満のレイテンシとジッター
6
ビデオ、 10 ミリ秒未満のレイテンシとジッター
7
ネットワーク制御
コマンド属性
• 「Priority」 – CoS 値（範囲 : 0 ～ 7、 7 が最高プライオリティ）
• 「Traffic Class」1 – 出力キューバッファ
（範囲 : 0 ～ 7、 7 が最高 CoS プライオリティキュー）
1.
CLI ではキュー ID が表示されます。
3-151
3
スイッチの構成
ウェブ – 「Priority」、「Traffic Classes」の順にクリックします。トラフィッククラス（出力
キュー）にプライオリティを割り当て、「Apply」をクリックします。
図 3-87. トラフィッククラス
CLI – 次の例には、 CoS の割当てを 1 対 1 のマッピングに変更する方法が示されています。
Console(config)#interface ethernet 1/1
Console(config)#queue cos-map 0 0
Console(config)#queue cos-map 1 1
Console(config)#queue cos-map 2 2
Console(config)#exit
Console#show queue cos-map
Information of Eth 1/1
CoS Value:
0 1 2 3 4 5 6 7
Priority Queue: 0 1 2 3 4 5 6 7
Information of Eth 1/2
CoS Value:
0 1 2 3 4 5 6 7
Priority Queue: 0 1 2 3 4 5 6 7
.
.
.
*
4-148
4-215
4-217
CoS プライオリティへの特定値のマップはインターフェースコンフィギュレーションコマンド
で実行されていますが、変更内容はスイッチ上のすべてのインターフェースに適用されます。
3-152
サービスクラスの構成
3
キューモードの選択
高プライオリティキュー内のすべてのトラフィックを低プライオリティキューのものより
先に処理するストリクトルールに従ってキューを処理するか、各キューの相対的加重を指定
する加重ラウンドロビン（WRR）キューイングを使用するようスイッチを設定できます。
WRR では、各キューにあらかじめ定義された相対的加重によって、スイッチが次のキューに
移る前に各キューを処理するサービス時間の割合（%）が決定されます。これにより、ストリ
クトプライオリティキューイングで発生する可能性のあるキュー先頭のパケットによるブ
ロックを防ぐことができます。
コマンド属性
• 「WRR」 - 加重ラウンドロビンでは、キュー 0 ～ 7 に対してそれぞれ 1、 2、 4、 6、 8、 10、
12、 14 のスケジューリング加重を使用することにより、イグレスポートの帯域を共有し
ます（デフォルトの選択肢）。
• 「Strict」 - イグレスキューを順次処理し、高プライオリティキュー内のすべてのトラフィッ
クを送信してから低プライオリティキューを処理します。
ウェブ – 「Priority」、「Queue Mode」の順にクリックします。「Strict」または「WRR」を選
択し、「Apply」をクリックします。
図 3-88. キューモード
CLI – この例では、キューモードをストリクトプライオリティサービスモードに設定してい
ます。
Console(config)#queue mode strict
Console(config)#exit
Console#show queue mode
4-216
4-216
Queue mode: strict
Console#
トラフィッククラスのサービス加重の設定
このスイッチでは、加重ラウンドロビン（WRR）アルゴリズムによって、各プライオリティ
キューを処理する頻度が決定されます。 3-151 ページの「イグレスキューへ CoS の値のマッ
プ」で説明したように、トラフィッククラスは、各ポートで提供される 8 つのイグレスキュー
のいずれかにマップされます。これらの各キュー（これにより、さらに対応するトラフィッ
クプライオリティ）に加重を割り当てることができます。この加重により各キューがサービ
スのためにポーリングされる頻度が設定され、結果的に特定のプライオリティ値が割り当て
られたソフトウェアアプリケーションの応答時間に影響を与えます。
3-153
3
スイッチの構成
コマンド属性
• 「WRR Setting Table」1 – 各トラフィッククラス（キュー）の加重のリストが表示されます。
• 「Weight Value」 – 選択したトラフィッククラスに新しい加重を設定します
（範囲 : 1 ～ 15）。
ウェブ – 「Priority」、「Queue Scheduling」の順にクリックします。インターフェースを選択
し、トラフィッククラス（出力キュー）を強調表示して加重を入力し、「Apply」をクリック
します。
図 3-89. キュースケジューリング
CLI – この例には、各プライオリティキューに WRR 加重を割り当てる方法が示されています。
Console(config)#queue bandwidth 1 3 5 7 9 11 13 15
Console(config)#exit
Console#show queue bandwidth
Information of Eth 1/1
Queue ID Weight
-------- -----0
1
1
3
2
5
3
7
4
9
5
11
6
13
7
15
Information of Eth 1/2
Queue ID Weight
.
.
.
1.
CLI ではキュー ID が表示されます。
3-154
4-214
4-217
サービスクラスの構成
3
レイヤー 3/4 プライオリティの設定
CoS 値へのレイヤー 3/4 プライオリティのマップ
このスイッチでは、アプリケーション要件に応じてレイヤー 3/4 トラフィックのプライオリ
ティを設定する一般的な方法がいくつかサポートされます。トラフィックプライオリティは、
タイプオブサービス（ToS）オクテットのプライオリティビットまたは TCP ポート番号を
使用して、フレームの IP ヘッダーに指定できます。プライオリティビットを使用する場合、
ToS オクテットには IP 優先度の 3 ビットまたは差別化サービスコードポイント（DSCP）
サービスの 6 ビットを含めることができます。これらのサービスが有効にされている場合、ス
イッチによってこれらのプライオリティがサービスクラス値にマップされ、対応する出力
キューにトラフィックが送信されます。
トラフィックには異なるプライオリティ情報が含まれる場合があるため、このスイッチでは
次の方法でプライオリティ値が出力キューにマップされます。
• プライオリティマッピングの優先順位は、 IP ポートプライオリティ、 IP 優先度または
DSCP プライオリティ、デフォルトのポートプライオリティの順です。
• IP 優先度と DSCP プライオリティを両方有効にすることはできません。一方のプライオリ
ティタイプを有効にすると、自動的に他方が無効にされます。
IP 優先度 /DSCP プライオリティの選択
このスイッチでは、 IP 優先度と DSCP プライオリティのどちらを使用するかを選択できま
す。いずれかの方法を選択するか、この機能を無効にします。
コマンド属性
• 「Disabled」 – 両方のプライオリティサービスを無効にします（デフォルト設定）。
• 「IP Precedence」 – IP 優先度を使用してレイヤー 3/4 プライオリティをマップします。
• 「IP DSCP」 – 差別化サービスコードポイントマッピングを使用してレイヤー 3/4 プライ
オリティをマップします。
ウェブ – 「Priority」、「IP Precedence/DSCP Priority Status」の順にクリックします。スクロー
ルダウンメニューから「Disabled」、「IP Precedence」、または「IP DSCP」を選択し、「Apply」
をクリックします。
図 3-90. IP 優先度 /DSCP プライオリティのステータス
CLI – この例では、スイッチで IP 優先度サービスを有効にしています。
Console(config)#map ip precedence
Console(config)#
4-219
3-155
3
スイッチの構成
IP 優先度のマップ
IP ｖ 4 ヘッダーのタイプオブサービス（ToS）オクテットには、ネットワーク制御パケット
用の最高プライオリティから通常のトラフィック用の最低プライオリティまでの 8 つのプラ
イオリティレベルを定義する 3 ビットの優先度ビットが含まれています。デフォルトの IP 優
先度値は 1 対 1 でサービスクラス値にマップされます（優先度値 0 は CoS 値 0 というよう
にマップされる）。ビット 6 および 7 はネットワーク制御のため使用され、その他のビットは
様々なアプリケーションタイプに使用されます。次の表に、 ToS ビットについて説明します。
表 3-14. IP 優先度のマップ
プライオリティ
レベル
トラフィックタイプ
プライオリティ
レベル
トラフィックタイプ
7
ネットワーク制御
3
フラッシュ
6
インターネットワーク制御
2
即時
5
クリティカル
1
プライオリティ
4
フラッシュオーバーライド 0
通常
コマンド属性
• 「IP Precedence Priority Table」 – IP 優先度と CoS のマッピングが表示されます。
• 「Class of Service Value」 – 選択した IP 優先度値に CoS 値をマップします。「0」は低プ
ライオリティ、「7」は高プライオリティを表します。
ウェブ – 「Priority」、「IP Precedence Priority」の順にクリックします。「IP Precedence Priority
Table」からエントリを選択し、「Class of Service Value」フィールドに値を入力して、「Apply」
をクリックします。
図 3-91. IP 優先度プライオリティ
3-156
3
サービスクラスの構成
CLI – 次の例では、スイッチでグローバルに IP 優先度サービスを有効にし、 IP 優先度値 1 を
CoS 値 0 にマップして（ポート 1）、 IP 優先度設定を表示しています。
Console(config)#map ip precedence
Console(config)#interface ethernet 1/1
Console(config-if)#map ip precedence 1 cos 0
Console(config-if)#end
Console#show map ip precedence ethernet 1/1
Precedence mapping status: disabled
Port
Precedence COS
--------- ---------- --Eth 1/ 1
0
0
Eth 1/ 1
1
0
Eth 1/ 1
2
2
Eth 1/ 1
3
3
Eth 1/ 1
4
4
Eth 1/ 1
5
5
Eth 1/ 1
6
6
Eth 1/ 1
7
7
Console#
*
4-219
4-148
4-220
4-223
IP 優先度への特定値のマップはインターフェースコンフィギュレーションコマンドで実行され
ていますが、変更内容はスイッチ上のすべてのインターフェースに適用されます。
DSCP プライオリティのマップ
DSCP は 6 ビット幅で、最大 64 種類の転送動作をコーディングできます。DSCP は ToS ビッ
トに置き換わるものですが、 3 ビットの優先度ビットとの下位互換性が維持されているため、
ToS が有効にされた DSCP 非準拠デバイスでも DSCP マッピングと競合することはありま
せん。ネットワークポリシーに基づき、トラフィックの種類に応じてマークを付けることに
より、異なる種類の転送を行うことができます。次の表に、 DSCP のデフォルト値を示しま
す。表に記載されていない DSCP 値はすべて CoS 値 0 にマップされます。
表 3-15. DSCP プライオリティのマップ
IP DSCP 値
0
CoS 値
0
8
1
10, 12, 14, 16
2
18, 20, 22, 24
3
26, 28, 30, 32, 34, 36
4
38, 40, 42
5
48
6
46, 56
7
コマンド属性
• 「DSCP Priority Table」 – DSCP プライオリティと CoS のマッピングが表示されます。
• 「Class of Service Value」 – 選択した DSCP プライオリティ値に CoS 値をマップします。
「0」は低プライオリティ、「7」は高プライオリティを表します。
注 : IP DSCP 設定はすべてのインターフェースに適用されます。
3-157
3
スイッチの構成
ウェブ – 「Priority」、「IP DSCP Priority」の順にクリックします。 DSCP テーブルからエント
リを選択し、「Class of Service Value」フィールドに値を入力して、「Apply」をクリックします。
図 3-92. IP DSCP プライオリティ
CLI – 次の例では、スイッチでグローバルに DSCP プライオリティサービスを有効にし、
DSCP 値 0 を CoS 値 1 にマップして（ポート 1）、 DSCP プライオリティ設定を表示してい
ます。
Console(config)#map ip dscp
Console(config)#interface ethernet 1/1
Console(config-if)#map ip dscp 1 cos 0
Console(config-if)#end
Console#show map ip dscp ethernet 1/1
DSCP mapping status: disabled
4-221
4-148
4-221
4-224
Port
DSCP COS
--------- ---- --Eth 1/ 1
0
0
Eth 1/ 1
1
0
Eth 1/ 1
2
0
Eth 1/ 1
3
0
.
.
.
Eth 1/ 1
Eth 1/ 1
Eth 1/ 1
Console#
*
61
62
63
0
0
0
IP DSCP への特定値のマップはインターフェースコンフィギュレーションコマンドで実行され
ていますが、変更内容はスイッチ上のすべてのインターフェースに適用されます。
3-158
サービスクラスの構成
3
IP ポートプライオリティのマップ
フレームヘッダーの IP ポート番号（TCP/UDP ポート番号）に基づいて、ネットワークアプ
リケーションをサービスクラス値にマップすることもできます。一般には、 TCP サービス
ポートとして、 HTTP には 80、 FTP には 21、 Telnet には 23、 POP3 には 110 などが使用さ
れます。
コマンド属性
• 「IP Port Priority Status」 – IP ポートプライオリティを有効または無効にします。
• 「IP Port Priority Table」 – IP ポートと CoS のマッピングが表示されます。
• 「IP Port Number (TCP/UDP)」 – 新規 IP ポート番号を設定します。
• 「Class of Service Value」 – 新しい IP ポートの CoS 値を設定します。「0」は低プライオ
リティ、「7」は高プライオリティを表します。
注 : IP ポートプライオリティ設定はすべてのインターフェースに適用されます。
ウェブ – 「Priority」、「IP Port Status」の順にクリックします。「IP Port Priority Status」の
「Enabled」チェックボックスをオンにします。
図 3-93. IP ポートプライオリティのステータス
「Priority」、「IP Port Priority」の順にクリックします。「IP Port Number」ボックスにネット
ワークアプリケーション用のポート番号を入力し、「Class of Service」ボックスに新しい CoS
値を入力して、「Apply」をクリックします。
図 3-94. IP ポートプライオリティ
3-159
3
スイッチの構成
CLI – 次の例では、スイッチでグローバルに IP ポートプライオリティサービスを有効にし、
HTTP トラフィックを CoS 値 0 にマップして（ポート 1）、 IP ポートプライオリティ設定を
表示しています。
Console(config)#map ip port
Console(config)#interface ethernet 1/1
Console(config-if)#map ip port 80 cos 0
Console(config-if)#end
Console#show map ip port ethernet 1/5
TCP port mapping status: disabled
4-218
4-148
4-219
4-222
Port
Port no. COS
--------- -------- --Eth 1/ 1
80
0
Console#
*
IP ポートプライオリティへの特定値のマップはインターフェースコンフィギュレーションコマ
ンドで実行されていますが、変更内容はスイッチ上のすべてのインターフェースに適用されます。
サービス品質
サービス品質（QoS）分類基準およびサービスポリシーを構成するには、この項目で説明す
るコマンドを使用します。差別化サービス（DiffServ）では、ホップごとに特定トラフィック
タイプの要件に応じてネットワークリソースのプライオリティを設定する、ポリシーベース
の管理メカニズムが提供されます。各パケットはネットワークへの着信時にアクセスリスト、
IP 優先度、 DSCP 値、または VLAN リストに基づいて分類されます。アクセスリストでは、
各パケットに含まれるレイヤー 2、レイヤー 3、またはレイヤー 4 情報に基づいてトラフィッ
クを選択できます。構成されているネットワークポリシーに基づき、トラフィックの種類に
応じてマークを付けることにより、異なる種類の転送を行うことができます。
インターネットにアクセスするすべてのスイッチまたはルータでは、同一クラスのパケット
を同じように転送するためにクラス情報が使用されます。クラス情報の割当ては、エンドホ
ストまたはパス上にあるスイッチやルータで行うことができます。その後、一般ポリシーま
たは詳細なパケット検査に基づいてプライオリティを割り当てることができます。ただし、コ
アスイッチおよびルータの過負荷を防ぐために、詳細なパケット検査はネットワークエッジ
の近くで実行してください。
パス上にあるスイッチおよびルータでは、クラス情報によって、様々なトラフィッククラス
に割り当てられたリソースのプライオリティを設定できます。DiffServ アーキテクチャで個々
のデバイスがトラフィックを処理する方法は、ホップごとの動作と呼ばれます。矛盾のない
エンドツーエンド QoS ソリューションを構築するために、パス上にあるすべてのデバイスを
同じ方法で構成してください。
注 : 1. クラスマップごとに構成できるルールは 1 つのみです。ただし、ポリシーマップは複数
のクラスで構成することができます。
2. ポリシーマップを作成する前に、クラスマップを作成する必要があります。
3-160
サービス品質
3
サービス品質パラメータの構成
特定のカテゴリまたはイングレストラフィックのサービスポリシーを作成するには、次の手
順に従います。
1.
「クラスマップ」を使用して、トラフィックの特定カテゴリのクラス名を指定します。
2.
各クラスのルールを編集し、アクセスリスト、 DSCP または IP 優先度値、あるいは
VLAN に基づいてトラフィックタイプを指定します。
3.
ACL マスクを設定し、クラスマップに指定した基準のフィルタリングを有効にします
（3-83 ページの「IP ACL マスクの構成」または 3-85 ページの「MAC ACL マスクの構
成」を参照）。
4.
「ポリシーマップ」を使用して、イングレストラフィックを処理する特定方法のポリシー
名を指定します。
5.
ポリシーマップにクラスを 1 つ以上追加します。合致したトラフィッククラスに割り
当てる QoS 値を「設定」して、各クラスにポリシールールを割り当てます。平均フロー
およびバーストレートを監視し、指定のレートを超えるトラフィックを破棄するか、指
定のレートを超えるトラフィックの DSCP サービスレベルを低くするようポリシー
ルールを構成することもできます。
6.
「サービスポリシー」を使用して、ポリシーマップを特定のインターフェースに割り当
てます。
クラスマップの構成
クラスマップは、指定されたクラスにパケットが合致するかどうかを調べるために使用され
ます。
コマンドの使用
• クラスマップを構成するには、次の手順に従います。
- 「Class Map」ページを開き、「Add Class」をクリックします。
- 「Class Configuration」ページが開いたら、「Class Name」フィールドに入力し、「Add」
をクリックします。
- 「Match Class Settings」ページが開いたら、アクセスリスト、 DSCP または IP 優先度値、
あるいは VLAN に基づいてこのクラスのトラフィックタイプを指定し、選択したトラ
フィック基準のフィールドの横にある「Add」ボタンをクリックします。イングレスト
ラフィックをクラスマップに割り当てる際に合致させる項目は 1 つのみ指定できます。
• クラスマップではアクセス制御リストフィルタリングエンジンが使用されるため、 ACL
マスクを設定し、クラスマップに指定した基準のフィルタリングを有効にすることも必要
です。適切な ACL マスクの構成の詳細については、 3-83 ページの「IP ACL マスクの構成」
または 3-85 ページの「MAC ACL マスクの構成」を参照してください。
• クラスマップは、特定インターフェースにおけるパケット分類、サービスタギング、およ
び帯域ポリシーを定義するサービスポリシー（3-167 ページ）を作成するために、ポリシー
マップ（3-164 ページ）とともに使用されます。 1 つのポリシーマップには 1 つ以上のク
ラスマップを割り当てることができます。
3-161
3
スイッチの構成
コマンド属性
Class Map
• 「Modify Name and Description」 – クラスマップの名前と簡単な説明を構成します
（範囲 : 名前は 1 ～ 32 文字、説明は 1 ～ 256 文字）。
• 「Edit Rules」 – 選択したクラスエントリの「Match Class Settings」ページを開きます。こ
のページで、イングレストラフィックを分類するための基準を変更します。
• 「Add Class」 – 「Class Configuration」ページを開きます。このページでクラス名と説明を
入力して「Add」をクリックすると、「Match Class Settings」ページが開きます。このペー
ジで、イングレストラフィックを分類するための基準を入力します。
• 「Remove Class」 – 選択したクラスを削除します。
Class Configuration
• 「Class Name」 – クラスマップの名前（範囲 : 1 ～ 32 文字）
• 「Type」 – 1 つのクラスマップに使用できる match コマンドは 1 つのみです。そのため、
match-any フィールドは単一の match コマンドで指定された基準を参照します。
• 「Description」 – クラスマップの簡単な説明（範囲 : 1 ～ 256 文字）
• 「Add」 – 指定したクラスを追加します。
• 「Back」 – 変更を適用して前のページに戻ります。
Match Class Settings
• 「Class Name」 – クラスマップのリスト
• 「ACL List」 – アクセス制御リストの名前。標準または拡張 IP ACL および MAC ACL など、
任意のタイプの ACL を指定できます（範囲 : 1 ～ 16 文字）。
• 「IP DSCP」 – DSCP 値（範囲 : 0 ～ 63）
• 「IP Precedence 」 – IP 優先度値（範囲 : 0 ～ 7）
• 「VLAN」 – VLAN （範囲 : 1 ～ 4093）
• 「Add」 – 指定した基準をクラスに追加します。 1 つのクラスに指定できるエントリは 1 つ
のみです。
• 「Remove」 – 選択した基準をクラスから削除します。
3-162
サービス品質
3
ウェブ – 新規クラスを作成するには、「QoS」、「DiffServ」の順にクリックし、「Add Class」
をクリックします。既存のクラスのルールを変更するには、「Edit Rules」をクリックします。
図 3-95. クラスマップの構成
CLI - この例では、「rd-class」という名前のクラスマップを作成し、 DSCP サービス値 3 の
マークが付けられたパケットに合致させるよう設定しています。
Console(config)#class-map rd_class match-any
Console(config-cmap)#match ip dscp 3
Console(config-cmap)#exit
Console(config)#access-list ip mask-precedence in
Console(config-ip-mask-acl)#mask any any dscp
Console(config-ip-mask-acl)#
4-226
4-227
4-91
4-96
3-163
3
スイッチの構成
QoS ポリシーの作成
この機能では、複数のインターフェースに関連付けることのできるポリシーマップを作成し
ます。
コマンドの使用
• ポリシーマップを構成するには、次の手順に従います。
- 3-161 ページの手順に従ってクラスマップを作成します。
- 「Policy Map」ページを開き、「Add Policy」をクリックします。
- 「Policy Configuration」ページが開いたら、「Policy Name」フィールドに入力し、「Add」
をクリックします。
- 「Policy Rule Settings」ページが開いたら、スクロールダウンリスト（「Class Name」
フィールド）からクラス名を選択します。 IP パケットに割り当てるサービス品質を設定
し（「Action」フィールド）、最大スループットとバーストレート（「Meter」フィールド）、
およびポリシー違反が検知された場合のアクション（「Exceed」フィールド）を定義し
て、このクラスで定義されている基準に合致したトラフィックのポリシーを構成します。
最後に「Add」をクリックして、新規ポリシーを登録します。
• 1 つのポリシーマップに複数の class ステートメントを含め、「Service Policy Settings」
（3-167 ページ）を使用してこれらを同一のインターフェースに適用することができます。
ファーストイーサネットおよびギガビットイーサネットのイングレスポートには最大 63
個のポリシー（クラスマップ）を、また 10G イーサネットのイングレスポートには最大
255 個のポリシーを構成できます。
• ポリシングはトークンバケットに基づきます。このとき、バケット深さ（バケットのオー
バーフロー前の最大バースト）は「Burst」フィールドで指定し、「Rate」オプションに指
定した分だけバケットから平均レートトークンが削除されます。
• ポリシーマップによるパケット分類、サービスタギング、および帯域ポリシングの定義
後、有効にするには、サービスポリシー（3-167 ページ）によって特定のインターフェー
スに割り当てる必要があります。
コマンド属性
Policy Map
• 「Modify Name and Description」 – ポリシーマップの名前と簡単な説明を構成します
（範囲 : 名前は 1 ～ 32 文字、説明は 1 ～ 256 文字）。
• 「Edit Classes」 – 選択したクラスエントリの「Policy Rule Settings」ページを開きます。
このページで、イングレストラフィックを処理するための基準を変更します。
• 「Add Policy」 – 「Policy Configuration」ページを開きます。このページでポリシー名と説
明を入力して「Add」をクリックすると、「Policy Rule Settings」ページが開きます。この
ページで、イングレストラフィックを処理するための基準を入力します。
• 「Remove Policy」 – 指定したポリシーを削除します。
Policy Configuration
• 「Policy Name」 – ポリシーマップの名前（範囲 : 1 ～ 32 文字）
• 「Description」 – ポリシーマップの簡単な説明（範囲 : 1 ～ 256 文字）
• 「Add」 – 指定したポリシーを追加します。
• 「Back」 – 変更を適用して前のページに戻ります。
3-164
サービス品質
3
Policy Rule Settings
- クラス設定 • 「Class Name」 – クラスマップの名前
• 「Action」 – 合致させるパケットの CoS、 DSCP、または IP 優先度値を設定して、イングレ
ストラフィックに提供するサービスを指定します（3-161 ページの「Match Class Settings」
を参照）。
• 「Meter」 – 最大スループットおよびバーストレート
- 「Rate (kbps)」 – キロビット / 秒単位でレートを指定します。
- 「Burst (byte)」 – バイト単位でバーストを指定します。
• 「Exceed Action」 – 指定のレートを超えたトラフィックを廃棄するか、 DSCP サービスレ
ベルを低くするかを指定します。
• 「Remove Class」 – クラスを削除します。
- ポリシーオプション • 「Class Name」 – クラスマップの名前
• 「Action」 – 合致させるパケットの CoS、 DSCP、または IP 優先度値を設定して、イングレ
ストラフィックに提供するサービスを構成します（3-161 ページの「Match Class Settings」
を参照）（範囲 - CoS: 0 ～ 7、 DSCP: 0 ～ 63、 IP 優先度 : 0 ～ 7）。
• 「Meter」 – 最大スループット、バーストレート、およびポリシー違反に対するアクション
を定義するには、このチェックボックスをオンにします。
- 「Rate (kbps)」 – キロビット / 秒単位でレートを指定します
（範囲 : 1 ～ 100000 kbps または最大ポートスピードのうちいずれか小さい方）。
- 「Burst (byte)」 – バイト単位でバーストを指定します（範囲 : 64 ～ 1522）。
• 「Exceed」 – 指定のレートまたはバーストを超えたトラフィックを廃棄するか、DSCP サー
ビスレベルを低くするかを指定します。
- 「Set」 – 適合しないトラフィックの DSCP プライオリティを低くします（範囲 : 0 ～ 63）。
- 「Drop」 – 適合しないトラフィックを廃棄します。
• 「Add」 – 指定した基準をポリシーマップに追加します。
3-165
3
スイッチの構成
ウェブ – 「QoS」、「DiffServ」、「Policy Map」の順にクリックして、既存のポリシーマップの
リストを表示します。新規ポリシーマップを追加するには、「Add Policy」をクリックします。
ポリシールール設定を構成するには、「Edit Classes」をクリックします。
図 3-96. ポリシーマップの構成
3-166
サービス品質
3
CLI – この例では、「rd-policy」という名前のポリシーマップを作成し、平均帯域を 1 Mbps、
バーストレートを 1522 bps に設定し、違反パケットに対して DSCP 値を 0 に引き下げるよ
う設定しています。
Console(config)#policy-map rd_policy#3
Console(config-pmap)#class rd_class#3
Console(config-pmap-c)#set ip dscp 4
Console(config-pmap-c)#police 100000 1522 exceed-action
set ip dscp 0
Console(config-pmap-c)#
4-228
4-229
4-230
4-230
イングレスキューへのポリシーマップの割当て
この機能では、ポリシーマップを特定インターフェースのイングレスキューにバインドします。
コマンドの使用
• 最初にクラスマップを定義し、クラスマップで定義した基準に合致させる ACL マスクを
設定します。次に、ポリシーマップを定義し、最後にサービスポリシーを必要なインター
フェースにバインドします。
• 1 つのインターフェースにバインドできるポリシーマップは 1 つのみです。
• 現在のファームウェアでは、イグレスキューにポリシーマップをバインドすることはでき
ません。
コマンド属性
• 「Ports」 – ポートを指定します。
• 「Ingress」 – イングレストラフィックにルールを適用します。
• 「Enabled」 – 指定したポートでポリシーマップを有効にするには、このチェックボックス
をオンにします。
• ポリシーマップ – スクロールダウンボックスから適切なポリシーマップを選択します。
ウェブ – 「QoS」、「DiffServ」、「Service Policy Settings」の順にクリックします。「Enabled」
をオンにし、スクロールダウンボックスからポートのポリシーマップを選択して、「Apply」
をクリックします。
図 3-97. サービスポリシーの設定
CLI - この例では、イングレスインターフェースにサービスポリシーを適用しています。
Console(config)#interface ethernet 1/5
Console(config-if)#service-policy input rd_policy#3
Console(config-if)#
4-148
4-231
3-167
3
スイッチの構成
マルチキャストフィルタリング
マルチキャスティングは、ビデオ会議やストリーミング
オーディオなどのリアルタイムアプリケーションをサ
ポートするために使用されます。このとき、マルチキャ
ストサーバーで各クライアントとの接続を別途確立する
必要はありません。サーバーではネットワークへのサー
ビスのブロードキャストのみを行い、マルチキャストの
受信を希望するホストがローカルのマルチキャストス
イッチ / ルータに登録します。この方法により、マルチ
キャストサーバーで必要となるネットワークオーバー
ヘッドは低減しますが、このサービスにサブスクライブ
したホストにのみトラフィックが渡されるよう、中継す
るすべてのマルチキャストスイッチ / ルータでブロード
キャストトラフィックのプルーニングを慎重に行う必要
があります。
Unicast
Flow
Multicast
Flow
このスイッチでは、 IGMP （インターネットグループマ
ネジメントプロトコル）によって、特定のマルチキャス
トサービスの受信を希望している接続ホストの問合わせ
が行われます。サービスへの加入要求ホストが接続され
ているポートが特定され、これらのポートにのみデータが送信されます。その後、サービス
要求は隣接マルチキャストスイッチ / ルータに伝搬され、引き続きマルチキャストサービス
を受けられるようにします。この手順はマルチキャストフィルタリングと呼ばれます。
IP マルチキャストフィルタリングの目的は、交換ネットワークの性能を最大限に高めること
です。これは、トラフィックをサブネット（VLAN）内のすべてのポートにフラッディングす
るのではなく、マルチキャストパケットをマルチキャストグループホストまたはマルチキャ
ストルータ / スイッチが接続されているポートにのみ転送することによって実現されます。
このスイッチでは、 IGMP クエリーおよびレポートメッセージやマルチキャストルーティン
グプローブメッセージを受動的に監視して、エンドステーションをマルチキャストグループ
メンバーとして登録することによって IP マルチキャストフィルタリングがサポートされる
ほか、マルチキャストトラフィックをほかのサブネットに転送するために必要となる
DVMRP および PIM-DM マルチキャストルーティングプロトコルもサポートされます
（3-265 ページおよび 3-272 ページ）。
IGMP プロトコル
インターネットグループマネジメントプロトコル（IGMP）は、ホストと隣接マルチキャス
トルータ / スイッチ間で実行されます。 IGMP は、ホストが特定マルチキャストグループ宛
トラフィックの受信を希望していることをローカルルータに通知することのできるマルチ
キャストホスト登録プロトコルです。
ルータ、すなわちマルチキャスト対応スイッチでは、マルチキャストトラフィックの受信を
希望するかどうかを定期的にホストに問い合わせることができます。LAN 上に IP マルチキャ
スティングを実行するルータ / スイッチが複数存在する場合、そのいずれかのデバイスが「ク
エリア」として選択され、 LAN にグループメンバーを問い合わせるロールが割り当てられま
す。その後、サービス要求が隣接マルチキャストスイッチ / ルータに伝搬され、引き続きマ
ルチキャストサービスを受けられるようにします。
3-168
マルチキャストフィルタリング
3
ルータ / スイッチでは、IGMP から学習したグループメンバーシップ情報に基づき、そのルー
タ / スイッチの各ポートに転送する必要のあるマルチキャストトラフィック（存在する場合）
を判断できます。マルチキャストルータでは、レイヤー 3 で DVMRP や PIM などのマルチ
キャストルーティングプロトコルとともにこの情報が使用され、インターネット上で IP マ
ルチキャスティングがサポートされます。
IGMP では IP マルチキャストパケットの変更やルーティングは行われません。異なるサブネッ
トワークに IP マルチキャストパケットを配信するには、マルチキャストルーティングプロ
トコルを使用する必要があります。すなわち、このスイッチのサブネットで DVMRP または
PIM ルーティングが有効にされている場合は、さらに IGMP を有効にする必要があります。
L3 - network core
(multicast routing)
L2 - edge switches
(snooping and query)
L2 switch to end nodes
(snooping on IGMP clients)
レイヤー 2 IGMP （スヌーピングおよびクエリー）
IGMP スヌーピングおよびクエリー – ネットワークのほかのスイッチでマルチキャストルー
ティングがサポートされていない場合、 IGMP スヌーピングおよび IGMP クエリー（3-170
ページ）を使用して、マルチキャストクライアントとサーバー間で送信される IGMP サービ
ス要求を監視し、マルチキャストトラフィックを転送する必要のあるスイッチポートを動的
に構成することができます。
スタティック IGMP ルータインターフェース – IGMP スヌーピングによって IGMP クエリア
を特定できない場合、スイッチ上のインターフェースにネットワーク経由で接続された既知
の IGMP クエリア（マルチキャストルータ / スイッチ）を手動で指定できます（3-173 ペー
ジ）。これにより、このインターフェースは接続されたルータ / スイッチによってサポートさ
れている現在の全マルチキャストグループに加わり、スイッチ内の適切なすべてのインター
フェースにマルチキャストトラフィックが送信されるようになります。
スタティック IGMP ホストインターフェース – より慎重な制御が必要となるマルチキャスト
アプリケーションの場合、スイッチ上の特定インターフェースに手動でマルチキャストサー
ビスを割り当てることができます（3-175 ページ）。
3-169
3
スイッチの構成
IGMP クエリー（レイヤー 2 または 3） – IGMP クエリーは、レイヤー 2 ではグローバルにの
み有効にできますが、レイヤー 3 では個々の VLAN インターフェースに対して有効にできま
す（3-176 ページ）。ただし、レイヤー 3 クエリーを有効にすると、レイヤー 2 クエリーは無
効にされます。
IGMP スヌーピングおよびクエリーパラメータの構成
マルチキャストトラフィックをインテリジェントに転送するようスイッチを構成できます。
スイッチでは、 IGMP クエリーおよびレポートメッセージに基づいて、マルチキャストトラ
フィックを要求するポートにのみトラフィックが転送されます。これにより、スイッチから
すべてのポートにトラフィックがブロードキャストされ、ネットワーク性能に悪影響がおよ
ぶような状況を防ぐことができます。
コマンドの使用
• IGMP スヌーピング – このスイッチでは、IP マルチキャストルータ / スイッチと IP マルチ
キャストホストグループ間で転送される IGMP クエリーおよびレポートパケットを受動
的にスヌープして、マルチキャストグループメンバーを特定できます。通過する IGMP パ
ケットを監視してグループ登録情報を取り出し、それに従ってマルチキャストフィルタを
構成します。
• IGMP クエリア – ルータ、すなわちマルチキャスト対応スイッチでは、マルチキャストト
ラフィックの受信を希望するかどうかを定期的にホストに問い合わせることができます。
LAN 上に IP マルチキャスティングを実行するルータ / スイッチが複数存在する場合、その
いずれかのデバイスが「クエリア」として選択され、 LAN にグループメンバーを問い合わ
せるロールが割り当てられます。その後、サービス要求がアップストリームマルチキャス
トスイッチ / ルータに伝搬され、引き続きマルチキャストサービスを受けられるようにし
ます。
注 : マルチキャストルータでは DVMRP や PIM などのマルチキャストルーティングプロトコル
とともにこの情報が使用され、インターネット上で IP マルチキャスティングがサポートされ
ます。
コマンド属性
• 「IGMP Status」 — オンにした場合、スイッチではマルチキャストトラフィックの受信を希
望するホストを判断するためにネットワークトラフィックが監視されます。これは IGMP
スヌーピングとも呼ばれます（デフォルト : オン）。
• 「Act as IGMP Querier」 — オンにした場合、このスイッチは、マルチキャストトラフィッ
クの受信を希望するかどうかをホストに問い合わせるクエリアとして機能できます
（デフォルト : オフ）。
• 「IGMP Query Count」 — 応答がない状態でクエリーを発行する最大回数を設定します。こ
の回数に達すると、スイッチによってマルチキャストグループからクライアントを破棄す
るアクションが実行されます（範囲 : 2 ～ 10、デフォルト : 2）。
• 「IGMP Query Interval」 — スイッチが IGMP ホストクエリーメッセージを送信する頻度を
設定します（範囲 : 60 ～ 125 秒、デフォルト : 125）。
• 「IGMP Report Delay」 — ポートで IP マルチキャストアドレスの IGMP レポートを受信し
てから、スイッチがそのポートから IGMP クエリーを送信し、リストからエントリを削除
するまでの時間を設定します（範囲 : 5 ～ 25 秒、デフォルト : 10）。
3-170
3
マルチキャストフィルタリング
• 「IGMP Query Timeout」 — 前のクエリアが停止してから、ルータポート（クエリーパケッ
トを受信していたインターフェース）が期限切れになったと見なすまでスイッチが待機す
る時間を設定します（範囲 : 300 ～ 500 秒、デフォルト : 300）。
• 「IGMP Version」 — ネットワーク上のほかのデバイスとの互換性を確保するためのプロト
コルバージョンを設定します（範囲 : 1 ～ 2、デフォルト : 2）。
注 : 1. サブネット上のすべてのシステムは同一バージョンをサポートしている必要があります。
2. 「IGMP Report Delay」や「IGMP Query Timeout」など一部の属性は IGMPv2 でのみ有効
です。
ウェブ – 「IGMP Snooping」、「IGMP Configuration」の順にクリックします。必要に応じて
IGMP 設定を調整して、「Apply」をクリックします（次の図はデフォルト設定）。
図 3-98. IGMP の構成
CLI – この例では、マルチキャストフィルタリングの設定を変更し、現在のステータスを表
示しています。
Console(config)#ip igmp snooping
Console(config)#ip igmp snooping querier
Console(config)#ip igmp snooping query-count 10
Console(config)#ip igmp snooping query-interval 100
Console(config)#ip igmp snooping query-max-response-time 20
Console(config)#ip igmp snooping query-time-out 300
Console(config)#ip igmp snooping version 2
Console(config)#exit
Console#show ip igmp snooping
Service status:
Enabled
Querier status:
Enabled
Query count:
10
Query interval:
100 sec
Query max response time: 20 sec
Router port expire time: 300 sec
IGMP snooping version:
Version 2
Console#
4-234
4-238
4-238
4-239
4-239
4-240
4-235
4-236
3-171
3
スイッチの構成
マルチキャストルータに接続されたインターフェースの表示
スイッチ上のポートに接続されたマルチキャストルータでは、 IGMP から取得した情報と、
DVMRP や PIM などのマルチキャストルーティングプロトコルによって、インターネット上
で IP マルチキャスティングがサポートされます。これらのルータは、スイッチで動的に検知
することも、スイッチ上のインターフェースに静的に割り当てることもできます。
「Multicast Router Port Information」ページでは、隣接マルチキャストルータ / スイッチに接
続された、このスイッチ上のポートを VLAN ID ごとに表示できます。
コマンド属性
• 「VLAN ID」 – 構成済み VLAN の ID （1 ～ 4093）
• 「Multicast Router List」 – このスイッチで動的に検知された、またはこのスイッチ上のイ
ンターフェースに静的に割り当てられたマルチキャストルータ
ウェブ – 「IGMP Snooping」、「Multicast Router Port Information」の順にクリックします。ス
クロールダウンリストから、関連付けられたマルチキャストルータを表示する必要な VLAN
ID を選択します。
図 3-99. マルチキャストルータポート情報
CLI – この例では、マルチキャストルータに接続されたポートとしてポート 11 が静的に構成
されています。
Console#show ip igmp snooping mrouter vlan 1
VLAN M'cast Router Port Type
---- ------------------ ------1
Eth 1/11 Static
Console#
3-172
4-242
3
マルチキャストフィルタリング
マルチキャストルータのスタティックインターフェースの指定
ネットワーク接続によっては、 IGMP スヌーピングで IGMP クエリアを特定できるとは限り
ません。そのため、 IGMP クエリアがスイッチ上のインターフェース（ポートまたはトラン
ク）にネットワーク経由で接続された既知のマルチキャストルータ / スイッチの場合、接続
されたルータでサポートされる現在の全マルチキャストグループに参加するよう手動でイン
ターフェース（および指定した VLAN）を構成できます。これにより、マルチキャストトラ
フィックをスイッチ内の適切なすべてのインターフェースに送信することができます。
コマンド属性
• 「Interface」 – 「Port」または「Trunk」スクロールダウンリストを有効にします。
• 「VLAN ID」 – 接続されたマルチキャストルータから着信するすべてのマルチキャストト
ラフィックを伝搬する VLAN を選択します。
• 「Unit」 – スタックユニット（範囲 : 1 ～ 8）
• 「Port」または「Trunk」 – マルチキャストルータに接続されているインターフェースを指
定します。
ウェブ – 「IGMP Snooping」、「Static Multicast Router Port Configuration」の順にクリックし
ます。マルチキャストルータに接続されているインターフェースを指定し、該当するすべて
のマルチキャストトラフィックを転送する VLAN を指定して、「Add」をクリックします。リ
ストへのインターフェースの追加を完了したら、「Apply」をクリックします。
図 3-100. スタティックマルチキャストルータポートの構成
CLI – この例では、ポート 11 を VLAN 1 内のマルチキャストルータポートとして構成して
います。
Console(config)#ip igmp snooping vlan 1 mrouter ethernet 1/11
Console(config)#exit
Console#show ip igmp snooping mrouter vlan 1
VLAN M'cast Router Port Type
---- ------------------ ------1
Eth 1/11 Static
Console#
4-241
4-242
3-173
3
スイッチの構成
マルチキャストサービスのポートメンバーの表示
指定した VLAN およびマルチキャストサービスに関連付けられたポートメンバーを表示で
きます。
コマンド属性
• 「VLAN ID」 – ポートメンバーを表示する VLAN を選択します。
• 「Multicast IP Address」 – 特定のマルチキャストサービスの IP アドレス
• 「Multicast Group Port List」 – 特定のマルチキャストサービスを伝搬するよう選択した
VLAN に割り当てられているインターフェースが表示されます。
ウェブ – 「IGMP Snooping」、「IP Multicast Registration Table」の順にクリックします。スク
ロールダウンリストから VLAN ID およびマルチキャストサービスの IP アドレスを選択しま
す。このマルチキャストサービスを伝搬するすべてのインターフェースがスイッチに表示さ
れます。
図 3-101. IP マルチキャスト登録テーブル
CLI – この例では、 VLAN 1 でサポートされている既知の全マルチキャストサービスと、各
サービスを伝搬するポートを表示しています。「Type」フィールドには、このエントリが動的
に学習されたか、静的に構成されたかが示されます。
Console#show mac-address-table multicast vlan 1
VLAN M'cast IP addr. Member ports Type
---- --------------- ------------ ------1
224.1.1.12
Eth1/12
USER
1
224.1.2.3
Eth1/12
IGMP
Console#
3-174
4-237
マルチキャストフィルタリング
3
マルチキャストサービスへのポートの割当て
3-170 ページの「IGMP スヌーピングおよびクエリーパラメータの構成」の手順に従い、IGMP
スヌーピングおよび IGMP クエリーメッセージを使用してマルチキャストフィルタリング
を動的に構成することができます。より厳密な制御を必要とするアプリケーションの場合、ス
イッチにマルチキャストサービスを静的に構成することが必要になることがあります。まず、
参加ホストに接続されているすべてのポートを共通の VLAN に追加し、次にその VLAN グ
ループにマルチキャストサービスを割り当てます。
コマンドの使用
• スタティックマルチキャストアドレスは経年処理によって期限切れになることはありま
せん。
• 特定の VLAN 内のインターフェースにマルチキャストアドレスが割り当てられている場
合、該当するトラフィックはその VLAN 内のポートにのみ転送できます。
コマンド属性
• 「Interface」 – 「Port」または「Trunk」スクロールダウンリストを有効にします。
• 「VLAN ID」 – 接続されたマルチキャストルータ / スイッチから着信するすべてのマルチ
キャストトラフィックを伝搬する VLAN を選択します。
• 「Multicast IP」 – 特定のマルチキャストサービスの IP アドレス
• 「Unit」 – スタックユニット（範囲 : 1 ～ 8）
• 「Port」または「Trunk」 – マルチキャストルータ / スイッチに接続されているインター
フェースを指定します。
ウェブ – 「IGMP Snooping」、「IGMP Member Port Table」の順にクリックします。（IGMP 対
応スイッチまたはマルチキャストルータを介して）マルチキャストサービスに接続されてい
るインターフェースを指定し、マルチキャストサービスを伝搬する VLAN を指定します。次
に、マルチキャスト IP アドレスを指定して、「Add」をクリックします。メンバーリストへ
のポートの追加を完了したら、「Apply」をクリックします。
図 3-102. IGMP メンバーポートテーブル
3-175
3
スイッチの構成
CLI – この例では、 VLAN 1 にマルチキャストアドレスを割り当て、 VLAN 1 でサポートされ
る既知の全マルチキャストサービスを表示しています。
Console(config)#ip igmp snooping vlan 1 static 224.1.1.12
ethernet 1/12
Console(config)#exit
Console#show mac-address-table multicast vlan 1
VLAN M'cast IP addr. Member ports Type
---- --------------- ------------ ------1
224.1.1.12
Eth1/12
USER
1
224.1.2.3
Eth1/12
IGMP
4-235
4-237
レイヤー 3 IGMP （マルチキャストルーティングで使用されるクエリー）
IGMP スヌーピング – IGMP スヌーピングは、ネットワーク上のほかのスイッチでマルチキャ
ストルーティングがサポートされていない場合に、マルチキャストフィルタリングを提供す
るために使用できるレイヤー 2 機能（3-170 ページ）です（IGMP スヌーピングはグローバル
にのみ有効化可能）。
IGMP クエリー – マルチキャストクエリーは、既知の各マルチキャストグループでアクティ
ブメンバーをポーリングし、マルチキャストトラフィックを転送する必要のあるスイッチ
ポートを動的に構成するために使用されます。実装方法は多少異なりますが、 IGMP クエリー
はレイヤー 2 IGMP スヌーピングおよびマルチキャストルーティングとともに使用されま
す。 IGMP スヌーピングを使用する場合、マルチキャストクエリーは自動的に有効にされま
す（3-170 ページの「IGMP スヌーピングおよびクエリーパラメータの構成」を参照）。
レイヤー 3 IGMP – このプロトコルには、マルチキャストルー
チングと連携するよう設計されたマルチキャストクエリーの
形式が含まれています。ルータは、マルチキャストトラフィッ
クの受信を希望するかどうかをホストに定期的に問い合わせ
ます。その後、サービス要求をアップストリームマルチキャ
ストルータに伝搬し、引き続きマルチキャストサービスを受
けられるようにします。レイヤー 3 IGMP は VLAN インター
フェースごとに個別に有効にできます（3-176 ページ）。
L3 - network core
routing
(andmulticast
L3 IGMP query(
注 : レイヤー 3 IGMP が有効にされている場合、レイヤー 2 スヌーピングおよびクエリーは無効に
されます。
IGMP インターフェースパラメータの構成
このスイッチでは、 IGMP （インターネットグループマネジメントプロトコル）によって、
特定のマルチキャストサービスの受信を希望している接続ホストの問合わせが行われます。
ホストは数種類の IP マルチキャストメッセージで応答します。ホストはクエリーに対し、参
加希望のグループまたはすでに参加しているグループを示すレポートメッセージを送信して
応答します。指定された期間内にルータでレポートメッセージが受信されない場合、マルチ
キャストツリーからそのインターフェースがプルーニングされます。ホストは、ルータから
のクエリーを待たずに、いつでも join メッセージを送信できます。また、 leave-group メッ
セージを送信して、特定グループ宛のトラフィックの受信を停止することを通知することも
できます。
3-176
マルチキャストフィルタリング
3
これらの IGMP メッセージは、マルチキャストホストが接続されているポートを特定し、マ
ルチキャストデータのダウンストリームフローをこれらのポートに限定するためにルータ
で使用されます。 LAN 上に IP マルチキャスティングを実行するルータが複数存在する場合、
そのいずれかが「クエリア」として選択され、グループメンバーを問い合わせるロールが割
り当てられます。その後、サービス要求は隣接マルチキャストルータに伝搬され、引き続き
マルチキャストサービスを受けられるようにします。次のパラメータは、レイヤー 3 IGMP
およびクエリー機能を制御するために使用します。
コマンド属性
• 「VLAN」（「Interface」） – プライマリ IP アドレスにバインドされた VLAN インターフェー
ス（範囲 : 1 ～ 4093）
• 「IGMP Protocol Status」（「Admin Status」） – VLAN インターフェースで IGMP を有効にし
ます（デフォルト : 「Disabled」）。
• 「Last Member Query Interval」 – マルチキャストクライアントは、グループを離脱する際
に IGMP leave メッセージを送信します。その後、ルータはこれがグループ最後のホスト
かどうかをチェックするために IGMP クエリーを送信し、このコマンドに基づいてタイ
マーを開始します。タイマーが期限切れになる前にレポートが受信されない場合、グルー
プは削除されます（範囲 : 0 ～ 25 秒、デフォルト : 1 秒）。
- この値を調整して、ネットワークの離脱レイテンシを変更できます。値を小さくすると、
グループの最後のメンバーが失われたことを検知する時間が短くなります。
• 「Max Query Response Time」 – IGMP クエリーでアドバタイズされる最大応答時間を構
成します（範囲 : 0 ～ 25 秒、デフォルト : 10 秒）。
- このコマンドを有効にするには、スイッチが IGMPv2 を使用している必要があります。
- このコマンドにより、まだグループに残されている応答側（クライアントまたはルータ）
によるクエリーメッセージへの応答期限が定義されます。この時間が経過すると、ルー
タはグループを削除します。
- 「Maximum Query Response Time」の値を変化させることにより、サブネット上で送信
される IGMP メッセージのバースト性を調整できます。値が大きいほど、トラフィック
のバースト性は小さくなり、ホスト応答が伝搬される間隔は長くなります。
- 最大応答間隔に指定する秒数は「Query Interval」より短くする必要があります。
• 「Query Interval」 – ホストクエリーメッセージが送信される頻度を構成します
（範囲 : 1 ～ 255 秒、デフォルト : 125 秒）。
- マルチキャストルータは、クエリーメッセージを送信することによって、特定のマルチ
キャストサービスの要求ダウンストリームホストに接続されたインターフェースを判
断します。マルチキャストアドレス 224.0.0.1 宛のホストクエリーメッセージは、サブ
ネットに指定されているマルチキャストルータのみが送信します。
- IGMP バージョン 1 では、 LAN 上で実行されているマルチキャストルーティングプロ
トコルに従って指定ルータが選択されます。ただし、 IGMP バージョン 2 の場合は、サブ
ネット上で IP アドレスが最小のマルチキャストルータがクエリアとして指定されます。
• 「Robustness Variable」 – このインターフェースの頑強性（期待されるパケット損失）を
指定します。頑強性の値は、「Group Membership Interval」（「Last Member Query Interval」）
や、「Other Querier Present Interval」および「Startup Query Count」（RFC 2236）など、
ほかの IGMP 変数の適切な範囲を計算する際に使用されます
（範囲 : 1 ～ 255、デフォルト : 2）。
3-177
3
スイッチの構成
• 「Version」 – インターフェースで使用される IGMP バージョンを構成します
（オプション : バージョン 1 または 2、デフォルト : バージョン 2）。
- サブネット上のすべてのルータは同一バージョンをサポートしている必要があります。
ただし、サブネット上のマルチキャストホストでは IGMP バージョン 1 または 2 のどち
らをサポートしていても構いません。
- 「Max Query Response Time」を有効にするには、スイッチがバージョン 2 に設定され
ている必要があります。
• 「Querier」 – このマルチキャストサービスの IGMP クエリアとして現在機能しているデバ
イス
ウェブ – 「IP」、「IGMP」、「Interface Settings」の順にクリックします。 IGMP （レイヤー 3）
をサポートする各インターフェースを指定し、各インターフェースの IGMP パラメータを指
定して、「Apply」をクリックします。
図 3-103. IGMP インターフェースの設定
3-178
マルチキャストフィルタリング
3
CLI – この例では、 VLAN 1 の IGMP パラメータを構成しています。
Console(config)#interface vlan 1
Console(config-if)#ip igmp
Console(config-if)#ip igmp last-memb-query-interval 10
Console(config-if)#ip igmp max-resp-interval 20
Console(config-if)#ip igmp query-interval 100
Console(config-if)#ip igmp robustval 3
Console(config-if)#ip igmp version 1
Console(config-if)#end
Console#show ip igmp interface vlan 1
Vlan 1 is up
IGMP is enable, version is 2
Robustness variable is 2
Query interval is 125 sec
Query Max Response Time is 10 sec, Last Member Query Interval is 1
Querier is 10.1.0.253
Console#
4-197
4-243
4-245
4-245
4-245
4-243
4-246
4-247
sec
マルチキャストグループ情報の表示
このスイッチで IGMP （レイヤー 3）が有効にされている場合、 IGMP によって学習した現在
のマルチキャストグループを、「IP」、「IGMP」、「Group Information」の順にクリックして表
示されるページで確認できます。 IGMP （レイヤー 3）が無効にされ、 IGMP （レイヤー 2）が
有効にされている場合、アクティブなマルチキャストグループを、「IGMP Snooping」、「IP
Multicast Registration Table」の順にクリックして表示されるページ（3-174 ページを参照）で
確認できます。
コマンド属性
• 「Group Address」 – サブスクライバが直接接続されているか、スイッチのダウンストリー
ムにある IP マルチキャストグループアドレス
• 「Interface」 – マルチキャストグループアドレス宛のトラフィックを受信した、このスイッ
チ上のインターフェース
• 「Last Reporter」 – このインターフェースで受信したこのマルチキャストグループアドレ
スの最後のメンバーシップレポートの送信元 IP アドレス。メンバーシップレポートを
まったく受信していない場合、このオブジェクトの値は 0.0.0.0 になります。
• 「Up time」 – このエントリが作成されてからの経過時間
• 「Expire」 – このエントリが経年処理によって期限切れになるまでの残り時間
（デフォルト : 260 秒）
• 「V1 Timer」 – スイッチが、このインターフェースに接続された IP サブネットに IGMP バー
ジョン 1 メンバーが存在しないと見なすまでの残り時間（デフォルト : 400 秒）
- スイッチは IGMP バージョン 1 メンバーシップレポートを受信した場合、レポートのリ
スニング対象グループのメンバーであるバージョン 1 ホストが存在することに留意する
ためにタイマーを設定します。
- 参加グループにバージョン 1 ホストが存在する場合、スイッチは、そのグループについ
て受信した Leave Group メッセージを無視します。
3-179
3
スイッチの構成
ウェブ – 「IP」、「IGMP」、「IGMP Group Membership」の順にクリックします。
図 3-104. IGMP グループメンバーシップ
CLI – この例では、 VLAN 1 で現在アクティブな IGMP グループを表示しています。
Console#show ip igmp groups vlan 1
4-248
GroupAddress
InterfaceVlan
Lastreporter
Uptime
Expire
V1Timer
--------------- --------------- --------------- -------- -------- --------234.5.6.8
1
10.1.5.19
7068
220
0
Console#
3-180
ドメインネームサービスの構成
3
ドメインネームサービスの構成
このスイッチのドメインネーミングシステム（DNS）サービスでは、スタティックテーブ
ルエントリを使用するかネットワーク上のほかのネームサーバーにリダイレクトして、ホス
ト名を IP アドレスにマップできます。クライアントデバイスがこのスイッチを DNS サー
バーとして指定した場合、クライアントはホスト名を IP アドレスに解決するために、スイッ
チに DNS クエリーを転送し、応答を待機します。
ドメイン名を IP アドレスにマップするための DNS テーブルに手動でエントリを構成した
り、デフォルトドメイン名を構成したり、またドメイン名をアドレスに変換するためのネー
ムサーバーを 1 台以上指定することができます。
全般 DNS サービスパラメータの構成
コマンドの使用
• このスイッチで DNS サービスを有効にするには、まずネームサーバーを 1 台以上構成し
て、ドメインルックアップステータスを有効にします。
• DNS クライアントから受信した不完全な（形式がドット付き表記でない）ホスト名にドメ
イン名を付加するために、デフォルトドメイン名または順次試行するドメイン名のリスト
を指定できます。
• ドメインリストが存在しない場合、デフォルトドメイン名が使用されます。ドメインリ
ストが存在する場合、デフォルトドメイン名は使用されません。
• このスイッチ上の DNS サービスで不完全なホスト名を受信し、ドメイン名リストが指定さ
れている場合、スイッチはドメインリストを参照し、リスト内の各ドメイン名をホスト名
に付加して、指定されたネームサーバーと合致するかどうかをチェックします。
• 複数のネームサーバーが指定されている場合、応答を受信するか応答がないままリストの
末尾に到達するまで、指定された順にサーバーに問い合わせます。
• すべてのネームサーバーが削除されると、 DNS は自動的に無効にされます。
コマンド属性
• 「Domain Lookup Status」 – DNS ホスト名からアドレスへの変換を有効にします。
• 「Default Domain Name」1 – 不完全なホスト名に付加するデフォルトドメイン名を定義し
ます（範囲 : 1 ～ 64 文字の英数字）。
• 「Domain Name List」 1 – 不完全なホスト名に付加可能なドメイン名のリストを定義します
（範囲 : 1 ～ 64 文字の英数字、 1 ～ 5 個の名前）。
• 「Name Server List」 – アドレスへの名前解決に使用する 1 台以上のドメインネームサー
バーのアドレスを指定します（範囲 : 1 ～ 6 個の IP アドレス）。
1.
ホスト名とドメイン名を区切るドットを先頭に含めないでください。
3-181
3
スイッチの構成
ウェブ – 「DNS」、「General Configuration」の順に選択します。デフォルトドメイン名また
はドメイン名のリストを設定し、アドレス解決に使用するネームサーバーを 1 台以上指定し
ます。次に、ドメインルックアップステータスを有効にし、「Apply」をクリックします。
図 3-105. DNS の全般構成
CLI - この例では、デフォルトドメイン名およびドメインリストを設定しています。ただし、
ドメインリストを指定した場合、デフォルトドメイン名は使用されません。
Console(config)#ip domain-name sample.com
Console(config)#ip domain-list sample.com.uk
Console(config)#ip domain-list sample.com.jp
Console(config)#ip domain-server 192.168.1.55 10.1.0.55
Console(config)#ip domain-lookup
Console#show dns
Domain Lookup Status:
DNS enabled
Default Domain Name:
.sample.com
Domain Name List:
.sample.com.uk
.sample.com.jp
Name Server List:
192.168.1.55
10.1.0.55
Console#
3-182
4-142
4-143
4-144
4-145
4-146
ドメインネームサービスの構成
3
DNS ホストとアドレスのスタティックエントリの構成
ドメイン名を IP アドレスにマップする際に使用する DNS テーブルに手動でスタティックエ
ントリを構成できます。
コマンドの使用
• スタティックエントリは、接続ネットワークに直接接続されたローカルデバイス、または
ネットワーク上の別の場所にあるよく使用されるリソースに対して使用できます。
• サーバーまたはその他のネットワークデバイスでは、複数の IP アドレスによって 1 つ以
上の接続をサポートできます。スタティックテーブルまたはネームサーバーから返された
情報において同一ホスト名に複数の IP アドレスが関連付けられている場合、 DNS クライ
アントはターゲットデバイスとの接続が確立されるまで、各アドレスを順に試すことがで
きます。
フィールド属性
• 「Host Name」 – 1 つ以上の IP アドレスにマップされているホストデバイスの名前
（範囲 : 1 ～ 64 文字）
• 「IP Address」 – ホスト名に関連付けられたインターネットアドレス
（範囲 : 1 ～ 8 個のアドレス）
• 「Alias」 – 前に構成されたエントリと同じアドレスにマップされているホスト名が表示さ
れます。
3-183
3
スイッチの構成
ウェブ – 「DNS」、「Static Host Table」の順に選択します。ホスト名と 1 つ以上の対応アド
レスを入力し、「Apply」をクリックします。
図 3-106. DNS スタティックホストテーブル
CLI - この例では、 2 つのアドレスを 1 つのホスト名にマップし、同じアドレスに対してエイ
リアスホスト名を構成しています。
Console(config)#ip host rd5 192.168.1.55 10.1.0.55
Console(config)#ip host rd6 10.1.0.55
Console#show host
Hostname
rd5
Inet address
10.1.0.55 192.168.1.55
Alias
1.rd6
Console#
3-184
4-141
4-146
ドメインネームサービスの構成
3
DNS キャッシュの表示
指定のネームサーバーによって学習した DNS キャッシュ内のエントリを表示できます。
フィールド属性
• 「No」 – 各リソースレコードのエントリ番号
• 「Flag」 – フラグは常に「4」です。これは、このエントリがキャッシュエントリであるた
め、信頼性が低いことを示します。
• 「Type」 – このフィールドには、所有者の正規名またはプライマリ名であることを示す
「CNAME」、または複数のドメイン名が既存のエントリと同じ IP アドレスにマップされて
いることを示す「ALIAS」が表示されます。
• 「IP」 – このレコードに関連付けられている IP アドレス
• 「TTL」 – ネームサーバーから報告された存続時間
• 「Domain」 – このレコードに関連付けられているドメイン名
ウェブ – 「DNS」、「Cache」の順に選択します。
図 3-107. DNS キャッシュ
3-185
3
スイッチの構成
CLI - この例では、指定のネームサーバーから学習したすべてのリソースレコードを表示し
ています。
Console#show dns cache
NO
FLAG
TYPE
0
4
CNAME
1
4
CNAME
2
4
CNAME
3
4
CNAME
4
4
CNAME
5
4
ALIAS
6
4
CNAME
7
4
ALIAS
8
4
CNAME
9
4
ALIAS
10
4
CNAME
Console#
IP
207.46.134.222
207.46.134.190
207.46.134.155
207.46.249.222
207.46.249.27
POINTER TO:4
207.46.68.27
POINTER TO:6
65.54.131.192
POINTER TO:8
165.193.72.190
TTL
51
51
51
51
51
51
71964
71964
605
605
87
4-147
DOMAIN
www.microsoft.akadns.net
www.microsoft.akadns.net
www.microsoft.akadns.net
www.microsoft.akadns.net
www.microsoft.akadns.net
www.microsoft.com
msn.com.tw
www.msn.com.tw
passportimages.com
www.passportimages.com
global.msads.net
ダイナミックホスト構成プロトコル
ダイナミックホスト構成プロトコル（DHCP）では、ネットワーククライアントのブート時
に IP アドレスおよびその他のコンフィギュレーション情報を動的に割り当てることができ
ます。サブネットに BOOTP または DHCP サーバーが存在しない場合、 DHCP クライアント
要求を別のサブネット上の DHCP サーバーにリレーしたり、このスイッチに DHCP サーバー
を構成してそのサブネットをサポートすることができます。
このスイッチに DHCP サーバーを構成する際は、一意の IP インターフェースごとにアドレス
プールを構成することも、ハードウェアアドレスまたはクライアント識別子に基づいて手動
でクライアントにスタティック IP アドレスを割り当てることもできます。 DHCP サーバーで
は、ホストの IP アドレス、ドメイン名、ゲートウェイルータ、および DNS サーバーのほか、
ダウンロードアクセス用の TFTP サーバーやブートファイルの名前などホストのブートイ
メージに関する情報および NetBIOS Windows インターネットネーミングサービス（WINS）
のブート情報を提供できます。
DHCP リレーサービスの構成
このスイッチでは、接続されたホスト
デバイスの DHCP リレーサービスがサ
ポートされます。DHCP リレーが有効に
されている場合、このスイッチが DHCP
要求ブロードキャストを検知すると、そ
DHCP
Server
Provides IP address
れ自体の IP アドレスを要求に挿入し、
compatible with switch
クライアントが属しているサブネット
segment to which client
is attached
を DHCP サーバーが認識できるように
します。その後、スイッチは DHCP サー
バーにパケットを転送します。サーバー
は DHCP 要求を受信すると、 DHCP クライアントのサブネットに定義された範囲から未使用
の IP アドレスを DHCP クライアントに割り当て、 DHCP リレーエージェント（スイッチ）
に DHCP 応答を送信します。その後、このスイッチは、 DHCP サーバーから受信した応答を
クライアントにブロードキャストします。
3-186
ダイナミックホスト構成プロトコル
3
コマンドの使用
少なくとも 1 台の DHCP サーバーの IP アドレスを指定する必要があります。指定しないと、
スイッチの DHCP リレーエージェントから DHCP サーバーにクライアント要求が転送され
ません。
コマンド属性
• 「VLAN ID」 – 構成済み VLAN の ID
• 「VLAN Name」 – VLAN の名前
• 「Server IP Address」 – スイッチの DHCP リレーエージェントがプリファレンスの順に使
用する DHCP サーバーのアドレス
• 「Restart DHCP Relay」 – このボタンは、 DHCP リレーサービスを有効化または再初期化
する際に使用します。
ウェブ – 「DHCP」、「Relay Configuration」の順にクリックします。各 VLAN に対して IP ア
ドレスを最大 5 個入力し、「Restart DHCP Relay」をクリックしてリレーサービスを開始し
ます。
図 3-108. DHCP リレーの構成
CLI – この例では、 VLAN 1 に 1 台の DHCP リレーサーバーを構成し、リレーサービスを有
効にしています。
Console(config)#interface vlan 1
Console(config-if)#dhcp relay server 10.1.0.99
Console(config-if)#ip dhcp relay
Console(config-if)#
4-148
4-128
4-127
3-187
3
スイッチの構成
DHCP サーバーの構成
このスイッチにはダイナミックホスト構成プロトコル（DHCP）サーバーが備わっています。
このサーバーでは、一時 IP アドレスを、サービスを要求している任意の接続ホストに割り当
てることができます。また、ドメイン名、デフォルトゲートウェイ、ドメインネームサー
バー（DNS）、 Windows インターネットネーミングサービス（WINS）ネームサーバー、ホ
ストデバイスがダウンロードするブートアップファイルに関する情報など、その他のネット
ワーク設定を提供できます。
このスイッチ上の特定 IP インターフェースに構成された共通のアドレスプールからクライ
アントにアドレスを割り当てたり、クライアント識別子コードまたは MAC アドレスに基づい
てホストに固定アドレスを割り当てることができます。
Address
Pool
Static
Addresses
8 network
address pools
32 static addresses
(all within the confines
of configured network
address pools)
コマンドの使用
• まず、このスイッチのアドレスなど、除外アドレスを構成します。
• 次に、ネットワークインターフェースのアドレスプールを構成します。最大 8 個のネット
ワークアドレスプールを構成できます。必要に応じて、特定クライアントにアドレスを手
動でバインドすることもできます。ただし、固定アドレスは、既存のネットワークアドレ
スプールの範囲内である必要があります。最大 32 個の固定ホストアドレスを構成できま
す（プールごとに 1 つのアドレスを入力）。
• DHCP サーバーが実行中の場合、コンフィギュレーションの変更を実装するには、いった
ん DHCP サーバーを無効にしてから再度有効にする必要があります。この操作は「DHCP」、
「Server」、「General」の順にクリックして表示されるページで行えます。
サーバーの有効化と除外アドレスの設定
DHCP サーバーを有効にし、クライアントに割り当てない IP アドレスを指定します。
コマンド属性
• 「DHCP Server」 – このスイッチで DHCP サーバーを有効または無効にします
（デフォルト : オフ）。
• 「Excluded Addresses」 – DHCP サーバーで DHCP クライアントに割り当てない IP アド
レスを指定します。単一のアドレスまたはアドレス範囲を指定できます。
• 「New」（「Excluded Addresses」） – 除外アドレスの新規エントリは単一アドレスまたはア
ドレス範囲で指定できます。
注 : このスイッチおよびその他の主要なネットワークデバイスのアドレスは除外してください。
3-188
ダイナミックホスト構成プロトコル
3
ウェブ – 「DHCP」、「Server」、「General」の順にクリックします。単一のアドレスまたはア
ドレス範囲を入力し、「Add」をクリックします。
図 3-109. DHCP サーバーの全般構成
CLI – この例では、 DHCP を有効にし、除外アドレス範囲を設定しています。
Console(config)#service dhcp
Console(config)#ip dhcp excluded-address 10.1.0.250 10.1.0.254
Console#
4-130
4-130
3-189
3
スイッチの構成
アドレスプールの構成
各 IP インターフェースに対し、 DHCP サーバーから接続クライアントにアドレスを供給する
ための IP アドレスプールを構成する必要があります。
コマンドの使用
• まず、ネットワークインターフェースのアドレスプールを構成します。その後、必要に応
じて特定クライアントにアドレスを手動でバインドできます。ただし、スタティックホス
トアドレスは、既存のネットワークアドレスプールの範囲内である必要があります。最
大 8 個のネットワークアドレスプールを構成できます。また、最大 32 個のホストアドレ
スプールを手動でバインドできます（ホストプールごとに 1 つのアドレス）。
• スイッチはクライアント要求を受信すると、まず要求の送信元ゲートウェイに合致する
ネットワークアドレスプールをチェックします（要求がリレーサーバーで転送された場
合）。クライアント要求にゲートウェイが含まれていない（要求がリレーサーバーで転送
されていない）場合、スイッチはクライアント要求を受信したインターフェースに合致す
るネットワークプールを検索します。その後、合致するネットワークプールに含まれる、
手動で構成されたホストアドレスを検索します。手動で構成されたホストアドレスが見つ
からない場合、合致するネットワークアドレスプールからアドレスを割り当てます。ただ
し、合致するアドレスプールが見つからない場合、要求は無視されます。
• スイッチが手動バインディングを検索する際は、 DHCP クライアントのクライアント識別
子、ハードウェアアドレスの順に比較します。 BOOTP クライアントではクライアント識
別子を送信できないため、このホストタイプにはハードウェアアドレスを構成する必要が
あります。ホストエントリに対してハードウェアアドレスまたはクライアント識別子に
よって手動バインディングが指定されていない場合、スイッチは合致する最初のネット
ワークプールからアドレスを割り当てます。
• ネットワークまたはホストアドレスプールにサブネットマスクが指定されていない場合、
クラス A、 B、または C ナチュラルマスクが使用されます（3-228 ページを参照）。 DHCP
サーバーでは、すべてのホストアドレスが使用可能なものと見なされます。「DHCP」、
「Server」、「General」の順にクリックして表示される構成ページの「IP Excluded Address」
を使用して、アドレス空間のサブセットを除外することができます。
コマンド属性
新規アドレスプールの作成
• 「Pool Name」 – 文字列または整数（範囲 : 1 ～ 8 文字）
ネットワークパラメータの設定
• 「IP」 – DHCP アドレスプールの IP アドレス
• 「Subnet Mask」 – ネットワーク（またはサブネット）および DHCP アドレスプールのホ
スト部分を指定するビットの組合わせ
ホストパラメータの設定
• 「IP」 – DHCP アドレスプールの IP アドレス
• 「Subnet Mask」 – クライアントのネットワークマスクを指定します。
• 「Hardware Address」 – クライアントで使用されている MAC アドレスまたはプロトコル
を指定します（オプション : 「Ethernet」、「IEEE802」、「FDDI」、デフォルト : 「Ethernet」）。
• 「Client-Identifier」 – クライアントデバイスを一意に指定するテキスト文字列（1 ～ 15 文
字）または 16 進数値
3-190
ダイナミックホスト構成プロトコル
3
オプションパラメータの設定
• 「Default Router」 – プライマリおよび代替ゲートウェイルータの IP アドレス。ルータの
IP アドレスは、クライアントと同じサブネットに属している必要があります。
• 「DNS Server」 – プライマリおよび代替 DNS サーバーの IP アドレス。ホスト名を IP アド
レスにマップするには、DNS サーバーが DHCP クライアントに構成されている必要があり
ます。
• 「Netbios Server」 – Microsoft DHCP クライアントで使用されるプライマリおよび代替
NetBIOS Windows インターネットネーミングサービス（WINS）ネームサーバーの IP ア
ドレス
• 「Netbios Type」 – Microsoft DHCP クライアントの NetBIOS ノードタイプ
（オプション : 「Broadcast」、「Hybrid」、「Mixed」、「Peer to Peer」、デフォルト : 「Hybrid」）
• 「Domain Name」 – クライアントのドメイン名（範囲 : 1 ～ 32 文字）
• 「Bootfile」 – DHCP クライアントのデフォルトブートイメージ。このファイルは、「Next
Server」に指定する簡易ファイル転送プロトコル（TFTP）サーバーに保存してください。
• 「Next Server」 – ブートプロセスの次のサーバーの IP アドレス。通常は簡易ファイル転
送プロトコル（ TFTP）サーバーです。
• 「Lease Time」 – IP アドレスを DHCP クライアントに割り当てる期間
（オプション : 固定期間、「Infinite」、デフォルト : 1 日）
例
新規アドレスプールの作成
ウェブ – 「DHCP」、「Server」、「Pool Configuration」の順にクリックします。プール名を指
定し、「Add」をクリックします。
図 3-110. DHCP サーバープールの構成
CLI – この例では、アドレスプールを追加し、 DHCP プールコンフィギュレーションモード
に切り替えています。
Console(config)#ip dhcp pool mgr
Console(config-dhcp)#
4-131
3-191
3
スイッチの構成
ネットワークアドレスプールの構成
ウェブ – 「DHCP」、「Server」、「Pool Configuration」の順にクリックします。任意のエント
リの「Configure」ボタンをクリックします。「Network」のラジオボタンをクリックします。
ネットワークプールの IP アドレスおよびサブネットマスクを入力します。ゲートウェイ
サーバーや DNS サーバーなどのオプションパラメータを構成します。次に、「Apply」をク
リックします。
図 3-111. DHCP サーバープール - ネットワークの構成
CLI – この例では、ネットワークアドレスプールを構成しています。
Console(config)#ip dhcp pool tps
Console(config-dhcp)#network 10.1.0.0 255.255.255.0
Console(config-dhcp)#default-router 10.1.0.253
Console(config-dhcp)#dns-server 10.2.3.4
Console(config-dhcp)#netbios-name-server 10.1.0.33
Console(config-dhcp)#netbios-node-type hybrid
Console(config-dhcp)#domain-name example.com
Console(config-dhcp)#bootfile wme.bat
Console(config-dhcp)#next-server 10.1.0.21
Console(config-dhcp)#lease infinite
Console(config-dhcp)#
3-192
4-131
4-131
4-132
4-133
4-135
4-135
4-133
4-134
4-134
4-136
ダイナミックホスト構成プロトコル
3
ホストアドレスプールの構成
ウェブ – 「DHCP」、「Server」、「Pool Configuration」の順にクリックします。任意のエント
リの「Configure」ボタンをクリックします。「Host」のラジオボタンをクリックします。ク
ライアントデバイスの IP アドレス、サブネットマスク、およびハードウェアアドレスを入
力します。ゲートウェイサーバーや DNS サーバーなどのオプションパラメータを構成しま
す。次に、「Apply」をクリックします。
図 3-112. DHCP サーバープール - ホストの構成
CLI – この例では、ホストアドレスプールを構成しています。
Console(config)#ip dhcp pool mgr
Console(config-dhcp)#host 10.1.0.19 255.255.255.0
Console(config-dhcp)#hardware-address 00-e0-29-94-34-28 ethernet
Console(config-dhcp)#client-identifier text bear
Console(config-dhcp)#default-router 10.1.0.253
Console(config-dhcp)#dns-server 10.2.3.4
Console(config-dhcp)#netbios-name-server 10.1.0.33
Console(config-dhcp)#netbios-node-type hybrid
Console(config-dhcp)#domain-name example.com
Console(config-dhcp)#bootfile wme.bat
Console(config-dhcp)#next-server 10.1.0.21
Console(config-dhcp)#lease infinite
Console(config-dhcp)#
4-131
4-136
4-138
4-137
4-132
4-133
4-135
4-135
4-133
4-134
4-134
4-136
3-193
3
スイッチの構成
アドレスバインディングの表示
このスイッチの DHCP サーバーから IP アドレスを取得したホストデバイスを表示できます。
コマンド属性
• 「IP Address」 – ホストに割り当てられた IP アドレス
• 「Mac Address」 – ホストの MAC アドレス
• 「Lease time」 – ホストがこの IP アドレスを使用可能な期間
• 「Start time」 – スイッチがこのアドレスを割り当てた時刻
• 「Delete」 – ホストに対するこのバインディングを消去します。通常、このコマンドはアド
レスプールの変更後または別のデバイスへの DHCP サービスの移動後に使用します。
• 「Entry Count」 – このスイッチがアドレスを供給したホスト数
注 : ホストのサービス要求に対し、複数の DHCP サーバーが応答することがあります。この場合、
一般にホストはいずれかの DHCP サーバーから最初に割り当てられたアドレスを受理します。
ウェブ – 「DHCP」、「Server」、「IP Binding」の順にクリックします。「Delete」ボタンを使用
して、 DHCP サーバーのデータベースからアドレスを消去できます。
図 3-113. DHCP サーバー - IP バインディング
CLI – この例では、現在のバインディングを表示し、その後すべての自動バインディングを消
去しています。
Console#show ip dhcp binding
IP
MAC
Lease Time
Start
--------------- ----------------- ------------ ----------10.1.0.20 00-00-e8-98-73-21
86400 Dec 25 08:01:57 2002
Console#clear ip dhcp binding *
Console#
3-194
4-139
4-139
ルータ冗長性の構成
3
ルータ冗長性の構成
ルータ冗長プロトコルでは、プライマリルータおよび複数のバックアップルータをサポート
するためにバーチャル IP アドレスが使用されます。バックアップルータは、マスタールー
タが障害になった場合に処理を引き継ぐよう構成できます。または、トラフィック負荷を分
散させるよう構成することもできます。ルータ冗長性の主な目的は、固定ゲートウェイが構
成されているホストデバイスにおいて、プライマリゲートウェイが停止した場合にネット
ワークコネクティビティを維持することです。
このスイッチでは、バーチャルルータ冗長プロトコル（VRRP）がサポートされます。この
プロトコルを使用するには、バーチャルグループに参加しているいずれかのルータのイン
ターフェースをマスターバーチャルルータのアドレスとして指定する必要があります。これ
により、 VRRP では、指定されたバーチャルルータプライオリティに基づいてバックアップ
ルータが選択されます。ルータ冗長性は次のコンフィギュレーションで設定できます。
• 1 台のマスターバーチャルルータと 1 台以上のバックアップルータ
Virtual Router (VR23)
VRIP = 192.168.1.3
Master Router
VRID 23
IP(R1) = 192.168.1.3
IP(VR23) = 192.168.1.3
VR Priority = 255
Backup Router
VRID 23
IP(R2) = 192.168.1.5
VRIP(VR23) = 192.168.1.3
VR Priority = 100
• 同一のバックアップルータを使用する複数のバーチャルマスタールータ
Master Router
VRID 23
IP(R1) = 192.168.1.3
IP(VR23) = 192.168.1.3
VR Priority = 255
Master Router
VRID 25
IP(R2) = 192.168.2.17
IP(VR25) = 192.168.2.17
VR Priority = 255
Backup Router
VRID 23
IP(R3) = 192.168.1.4
IP(VR23) = 192.168.1.3
VR Priority = 100
VRID 25
IP(R3) = 192.168.2.18
IP(VR23) = 192.168.2.17
VR Priority = 100
3-195
3
スイッチの構成
• 相互バックアップおよび負荷分散を行うよう構成された複数のバーチャルマスタールー
タ。負荷分散は、 DHCP サーバーを使用してアドレスのサブセットを複数のホストアドレ
スプールに割り当てることによって実現できます（3-190 ページの「アドレスプールの構
成」を参照）。
Router 1
Router 2
VRID 23 (Master)
IP(R1) = 192.168.1.3
IP(VR23) = 192.168.1.3
VR Priority = 255
VRID 23 (Backup)
IP(R1) = 192.168.1.5
IP(VR23) = 192.168.1.3
VR Priority = 100
VRID 25 (Backup)
IP(R1) = 192.168.1.3
IP(VR25) = 192.168.1.5
VR Priority = 100
VRID 25 (Master)
IP(R1) = 192.168.1.5
IP(VR25) = 192.168.1.5
VR Priority = 255
LAN Segment A
LAN Segment B
Hosts (192.168.1.10-99)
Hosts (192.168.1.100-250)
バーチャルルータ冗長プロトコル
バーチャルルータ冗長プロトコル（VRRP）を使用すると、ルータのグループを単一のバー
チャルルータとして構成できます。バーチャルルータグループには、接続ネットワーク上の
ホストデバイスのデフォルトゲートウェイとして使用可能な単一のバーチャル IP アドレス
が構成されます。
VRRP グループの構成
VRRP を構成するには、グループ内でマスターバーチャルルータとして機能させる 1 台の
ルータ上のインターフェースを選択します。この物理インターフェースは、ルータグループ
のバーチャルアドレスとして使用されます。次に、バックアップルータに同一のバーチャル
アドレスとプライオリティを設定し、認証文字列を構成します。優先使用機能を有効にして、
ルータがオンラインになったときに、ルータがマスタールータとして処理を引き継ぐことが
できるようにすることもできます。
コマンドの使用
アドレスの割当て
• バーチャルルータに割り当てる IP アドレスは、所有者になるルータ上にあらかじめ構成
されている必要があります。すなわち、バーチャルルータの IP アドレスはバーチャルルー
タグループ内の単一のルータに存在し、バーチャルルータアドレスのネットワークマス
クは所有者から派生したものです。所有者には、グループ内のマスターバーチャルルータ
としてのロールが割り当てられます。
• 現在の VLAN インターフェースに複数のセカンダリアドレスが構成されている場合、その
任意のアドレスをバーチャルルータグループに追加できます。
• バーチャルルータグループに参加するすべてのルータのインターフェースは、同じ IP サ
ブネットに属している必要があります。
3-196
ルータ冗長性の構成
3
• VRRP によりマスタルータに対し、標準プレフィックスに基づいて最後のオクテットがグ
ループ ID に等しいバーチャル MAC アドレスが作成されます。バックアップルータがマス
ターとして処理を引き継ぐと、このバーチャル MAC アドレス宛のトラフィックを引き続
き転送します。ただし、 IP アドレスの所有者はオフラインであるため、バックアップルー
タは、バーチャルグループに関連付けられたアドレスに送信された ICMP ping に応答する
ことはできません。
バーチャルルータプライオリティ
• バーチャル IP アドレスの所有者には、自動的に最高のバーチャルルータプライオリティ
255 が割り当てられます。現在のマスターが障害になった場合は、プライオリティが最も
高いバックアップルータがマスタールータになります。ただし、バーチャル IP アドレス
所有者のプライオリティが最も高いため、元のマスタールータが回復した場合は、常にこ
のルータがアクティブマスタールータになります。
• 複数のルータに同一の VRRP プライオリティが構成されている場合、現在のマスターが障
害になったときは、 IP アドレスがより大きいルータが新規マスタールータとして選択され
ます。
アクティブマスターの優先使用
• バーチャル IP 所有者が最高のプライオリティを持つため、ほかのルータが所有者に取って
代わることはできません。また、所有者がオンラインに復帰した場合は、常にこのルータ
がマスターバーチャルルータとしての制御を再開します。優先使用機能は、バックアップ
ルータが、一時的にグループマスターとして動作している別のバックアップルータの処理
を引き継ぐことのみを可能にするものです。優先使用が有効にされている場合、このルー
タがオンラインになったときに、現在のアクティブマスターよりプライオリティが高けれ
ば、アクティブグループマスタとして処理を引き継ぎます。
• 優先使用機能に遅延を追加し、制御を引き継ぐ前に、現在のマスターからアドバタイズメ
ントメッセージを受信する時間を与えることができます。この遅延により、マスターにな
ろうとしているルータがオンラインになり、現在のアクティブマスタールータの処理を実
際に引き継ぐまでに、より多くの情報をルーティングテーブルに収集するための時間も与
えられます。
フィールド属性（「VRRP Group Configuration」）
• 「VLAN ID」 – IP インターフェースに構成されている VLAN の ID
（範囲 : 1 ～ 4093、デフォルト : 1）
• 「VRID」 – VRRP グループ識別子（範囲 : 1 ～ 255）
• 「State」 – VRRP ルータのロール（値 : 「Master」、「Backup」）
• 「Virtual Address」 – このグループのバーチャル IP アドレス
• 「Interval」 – マスターバーチャルルータがマスターとしての状態を伝達するためのアドバ
タイズメントを送信する間隔
• 「Preemption」 – このルータがアクティブマスターの処理を引き継ぐことができるかどう
かが示されます。
• 「Priority」 – VRRP グループにおけるこのルータのプライオリティ
• 「AuthType」 – ほかのルータからの VRRP パケットの確認に使用される認証モード
3-197
3
スイッチの構成
コマンド属性（「VRRP Group Configuration Detail」）
• 「Associated IP Table」 – このバーチャルルータグループに関連付けられている IP イン
ターフェース
• 「Associated IP」 – バーチャルルータの IP アドレス、またはこの VRRP グループでサポー
トされている現在の VLAN インターフェースに割り当てられたセカンダリ IP アドレス。こ
のアドレスがスイッチ上の実際のインターフェースと同一の場合、このインターフェース
がこの VRRP グループのバーチャルマスタールータになります。
• 「Advertisement Interval」 – マスターバーチャルルータがマスターとしての状態を伝達す
るためのアドバタイズメントを送信する間隔（範囲 : 1 ～ 255 秒、デフォルト : 1 秒）
- 現在のマスターバーチャルルータから送信される VRRP アドバタイズメントには、その
ルータのプライオリティおよび現在のマスターとしての状態に関する情報が含まれます。
- VRRP アドバタイズメントはマルチキャストアドレス 224.0.0.8 に送信されます。マル
チキャストアドレスを使用することにより、指定の VRRP グループに属していないネッ
トワークデバイスが処理する必要のあるトラフィック量を低減できます。
- マスタールータがアドバタイズメントの送信を停止した場合、バックアップルータはプ
ライオリティに基づいてマスタールータの候補になります。マスターとして処理を引き
継ぐ前のデッド間隔は、 hello 間隔の 3 倍の期間に 0.5 秒を加算した長さです。
• 「Preempt Mode」 – バックアップルータは、アクティブマスターバーチャルルータ
（VRRP グループアドレス所有者の処理を引き継いだ別のバックアップルータ）よりプラ
イオリティが高い場合に、マスターバーチャルルータとして処理を引き継ぐことができま
す（デフォルト : オン）。
• 「Preempt Delay」 – マスターになるための要求を発行する前に待機する時間
（範囲 : 0 ～ 120 秒、デフォルト : 0 秒）
• 「Priority」 – VRRP グループにおけるこのルータのプライオリティ
（範囲 : 1 ～ 254、デフォルト : 100）
- VRRP グループアドレス所有者のプライオリティは自動的に 255 に設定されます。
- バックアップルータのプライオリティは、現在のマスターが障害になった場合に、アク
ティブマスタールータとして処理を引き継ぐルータを決定するために使用されます。
• 「Authentication Type」 – ほかのルータから受信した VRRP パケットを確認するために使
用される認証モード（オプション : 「None」、「Simple Text」）
- 簡易テキスト認証を選択した場合、認証文字列も入力する必要があります。
- 同じ VRRP グループ内のすべてのルータは同じ認証モードに設定し、同じ認証文字列を
構成する必要があります。
- プレーンテキスト認証では実質的なセキュリティは提供されません。誤って構成された
ルータによる VRRP への参加を防止する目的でのみサポートされています。
• 「Authentication String」 – ほかのルータから受信した VRRP パケットを認証するために使
用されるキー（範囲 : 1 ～ 8 文字の英数字）
- 同じグループ内の別のルータから VRRP パケットを受信すると、その認証文字列と、こ
のルータに構成されている文字列が比較されます。文字列が合致した場合、メッセージ
は受理されます。合致しない場合、パケットは廃棄されます。
3-198
ルータ冗長性の構成
3
ウェブ – 「IP」、「VRRP」、「Group Configuration」の順にクリックします。 VLAN ID を選択
し、 VRID グループ番号を入力して、「Add」をクリックします。
図 3-114. VRRP グループの構成
3-199
3
スイッチの構成
詳細な構成ウィンドウを開くには、該当するグループエントリの「Edit」ボタンをクリック
します。このルータをグループのマスターバーチャルルータにするには、このルータ上の実
際のインターフェースの IP アドレスを入力します。それ以外の場合、既存のグループのバー
チャルアドレスを入力して、バックアップルータにします。「Associated IP Table」に IP ア
ドレスを入力するには、「Add IP」をクリックします。次に、必要に応じてほかのパラメータ
を設定し、「Apply」をクリックします。
図 3-115. VRRP グループの詳細な構成
3-200
ルータ冗長性の構成
3
CLI – この例では、VRRP グループ 1 を作成し、選択した VLAN のプライマリインターフェー
スアドレスをバーチャル IP アドレスに割り当ててこのスイッチをマスターバーチャルルー
タとして設定しています。次に、この VRRP グループにセカンダリ IP アドレスを追加し、そ
の他すべての VRRP パラメータを設定して、構成した設定を表示しています。
Console(config)#interface vlan 1
Console(config-if)#vrrp 1 ip 192.168.1.6
Console(config-if)#vrrp 1 ip 192.168.2.6 secondary
Console(config-if)#vrrp 1 timers advertise 5
Console(config-if)#vrrp 1 preempt delay 10
Console(config-if)#vrrp 1 priority 1
Console(config-if)#vrrp 1 authentication bluebird
Console(config-if)#end
Console#show vrrp
Vlan 1 - Group 1,
state
Master
Virtual IP address
192.168.1.6
Virtual MAC address
00-00-5E-00-01-01
Advertisement interval
5 sec
Preemption
enabled
Min delay
10 sec
Priority
1
Authentication
SimpleText
Authentication key
bluebird
Master Router
192.168.1.6
Master priority
255
Master Advertisement interval
5 sec
Master down interval
15
Console#
4-197
4-324
4-326
4-327
4-325
4-325
4-328
VRRP グローバル統計情報の表示
「VRRP Global Statistics」ページには、 VRRP プロトコルパケットで検知されたエラーカウ
ンタが表示されます。
フィールド属性
• 「VRRP Packets with Invalid Checksum」 – 受信した VRRP パケットのうち、無効な VRRP
チェックサム値を含むものの総数
• 「VRRP Packets with Unknown Error」 – 受信した VRRP パケットのうち、バージョン番
号が不明またはサポートされていないものの総数
• 「VRRP Packets with Invalid VRID」 – 受信した VRRP パケットのうち、このバーチャル
ルータで無効な VRID を含むものの総数
ウェブ – 「IP」、「VRRP」、「Global Statistics」の順にクリックします。
図 3-116. VRRP グローバル統計情報
3-201
3
スイッチの構成
CLI – この例では、このスイッチに構成されているすべての VRRP グループのプロトコルエ
ラーカウンタを表示しています。
Console#show vrrp router counters
VRRP Packets with Invalid Checksum : 0
VRRP Packets with Unknown Error
: 0
VRRP Packets with Invalid VRID
: 0
Console#
4-330
VRRP グループ統計情報の表示
「VRRP Group Statistics」ページには、特定の VRRP インターフェースで発生した VRRP プ
ロトコルイベントおよびエラーのカウンタが表示されます。
フィールド属性
• 「VLAN ID」 – IP インターフェースに構成されている VLAN の ID
（範囲 : 1 ～ 4093、デフォルト : 1）
• 「VRID」 – VRRP グループ識別子（範囲 : 1 ～ 255）
• 「Times Become Master」 – このルータがマスターに遷移した回数
• 「Received Packets」 – このルータが受信した VRRP アドバタイズメントの数
• 「Error Interval Packets」 – 受信した VRRP アドバタイズメントのうち、アドバタイズメ
ント間隔が、ローカルバーチャルルータに構成されている間隔と異なるものの数
• 「Authentication Failures」 – 受信した VRRP パケットのうち、認証チェックに合格しな
かったものの数
• 「Error IP TTL Packets」 – バーチャルルータが受信した VRRP パケットのうち、 IP TTL
（存続時間）が 255 でないものの数
• 「Received Priority 0 Packets」 – バーチャルルータが受信した VRRP パケットのうち、プ
ライオリティが 0 に設定されていたものの数
• 「Error Packet Length Packets」 – 受信したパケットのうち、パケット長が VRRP ヘッダー
長より短かったものの数
• 「Invalid Type Packets」 – バーチャルルータが受信した VRRP パケットのうち、「type」
フィールドに無効な値が含まれていたものの数
• 「Error Address List Packets」 – 受信したパケットのうち、アドレスリストが、バーチャ
ルルータにローカルで構成されているものと合致しなかったものの数
• 「Invalid Authentication Type Packets」 – 受信したパケットのうち、認証タイプが不明
だったものの数
• 「Mismatch Authentication Type Packets」 – 受信したパケットのうち、「Auth Type」が、
ローカルで構成されている認証方式と異なっていたものの数
• 「Sent Priority 0 Packets」 – バーチャルルータが送信した VRRP パケットのうち、プライ
オリティが 0 に設定されていたものの数
3-202
ルータ冗長性の構成
3
ウェブ – 「IP」、「VRRP」、「Group Statistics」の順にクリックします。 VLAN およびバーチャ
ルルータグループを選択します。
図 3-117. VRRP グループ統計情報
CLI – この例では、グループ 1、 VLAN 1 の VRRP プロトコル統計情報を表示しています。
Console#show vrrp 1 interface vlan 1 counters
Total Number of Times Transitioned to MASTER
Total Number of Received Advertisements Packets
Total Number of Received Error Advertisement Interval Packets
Total Number of Received Authentication Failures Packets
Total Number of Received Error IP TTL VRRP Packets
Total Number of Received Priority 0 VRRP Packets
Total Number of Sent Priority 0 VRRP Packets
Total Number of Received Invalid Type VRRP Packets
Total Number of Received Error Address List VRRP Packets
Total Number of Received Invalid Authentication Type VRRP Packets
Total Number of Received Mismatch Authentication Type VRRP Packets
Total Number of Received Error Packet Length VRRP Packets
Console#
4-330
: 6
: 0
: 0
: 0
: 0
: 0
: 5
: 0
: 0
: 0
: 0
: 0
3-203
3
スイッチの構成
IP ルーティング
概要
このスイッチでは、スタティックルーティング定義（3-223 ページ）、 RIP （3-225 ページ）や
OSPF （3-235 ページ）などのダイナミックルーティングによる IP ルーティングおよびルー
ティングパス管理がサポートされます。IP ルーティングが有効にされている場合（3-226 ペー
ジ）、このスイッチはワイヤスピードルータとして機能し、複数の IP インターフェースを使
用して VLAN 間でトラフィックを受け渡したり、外部 IP ネットワークにトラフィックをルー
ティングします。ただし、スイッチを初めてブートしたときは、デフォルトルーティングは
定義されていません。従来のルータと同様、最初にルーティング機能が動作するよう構成す
る必要があります。
初期コンフィギュレーション
デフォルトコンフィギュレーションでは、すべてのポートが同一の VLAN に属し、スイッチ
ではレイヤー 2 機能のみが提供されます。すなわち、最初に一意のユーザーグループまたは
アプリケーショントラフィックごとに VLAN を構築し（3-139 ページ）、同じグループに属す
るすべてのポートをこれらの VLAN に割り当て（3-140 ページ）、各 VLAN に IP インター
フェースを割り当てる（3-208 ページ）必要があります。ネットワークを複数の VLAN に分
割することにより、レイヤー 2 で切断された複数のサブネットワークにパーティショニング
することができます。パーティショニング後も、同じサブネット内のネットワークトラフィッ
クは、レイヤー 2 スイッチングによって交換されます。また、レイヤー 3 スイッチングによっ
て VLAN を相互接続することができます（必要な場合のみ）。
各 VLAN はレイヤー 3 へのバーチャルインターフェースを表します。各バーチャルインター
フェースのネットワークアドレスを供給するだけで、レイヤー 3 スイッチングによって異な
るサブネットワーク間でトラフィックがルーティングされます。
Inter-subnet traffic (Layer 3 switching)
Routing
Untagged
Unt
Untagged
Unt
VLAN 1
VLAN 2
Tagged or
Tagged
or Untagged
Untagged
Tagged or
Tagged
or Untagged
Untagged
Intra-subnet traffic (Layer 2 switching)
3-204
IP ルーティング
3
IP スイッチング
IP スイッチング（またはパケット転送）では、レイヤー 2 およびレイヤー 3 でパケットを転
送するために必要なタスクのほか、従来のルーティングがサポートされます。これには次の
ような機能があります。
• レイヤー 2 宛先 MAC アドレスに基づくレイヤー 2 転送（スイッチング）
• レイヤー 3 転送（ルーティング） :
-
レイヤー 3 宛先アドレスに基づく
各ホップの宛先 / 送信元 MAC アドレスを置換
ホップカウントを増加
存続時間を減少
レイヤー 3 チェックサムの確認と再計算
宛先ノードが送信元ネットワークと同じサブネット上にある場合、ルータを使用せずにパ
ケットを直接送信できます。ただし、スイッチで MAC アドレスが認識されない場合は、宛先
ノードから宛先 MAC アドレスを取得するために、宛先 IP アドレスが含まれるアドレス解決
プロトコル（ARP）パケットがブロードキャストされます。その後、宛先 MAC アドレスを使
用して、 IP パケットを直接送信できます。
宛先がこのスイッチ上の異なるサブネットに属している場合、パケットを宛先ノードに直接
ルーティングできます。ただし、パケットがこのスイッチ以外のサブネットに属している場
合は、パケットをルータに送信する必要があります（宛先 MAC アドレスとしてルータ自体の
MAC アドレスを使用し、宛先ノードの宛先 IP アドレスを含む）。その後、ルータによりパ
ケットが正しいパスで宛先ノードに転送されます。必要に応じてルータで ARP プロトコルを
使用して、次のルータの宛先ノードの MAC アドレスを特定することもできます。
注 : IP スイッチングを実行するには、スイッチが IP ルータとしてほかのネットワークノードで認
識される必要があります。これを行うには、スイッチをデフォルトゲートウェイとして設定
するか、 ICMP プロセスによって別のルータからリダイレクトします。
スイッチがそれ自体の MAC アドレス宛のパケットを受信した場合、レイヤー 3 ルーティング
プロセスに従ってパケットが処理されます。宛先 IP アドレスはレイヤー 3 アドレステーブル
でチェックされます。アドレスが登録されていない場合、スイッチは宛先 MAC アドレスを特
定するために、宛先 VLAN 上のすべてのポートに ARP パケットをブロードキャストします。
MAC アドレスが特定されると、パケットは再フォーマットされ、宛先に送出されます。再
フォーマットプロセスでは、 IP ヘッダーの存続時間（TTL）フィールドの減少、 IP ヘッダー
チェックサムの再計算、および宛先ノードまたはネクストホップルータの MAC アドレスへ
の宛先 MAC アドレスの置換が行われます。
同じノード宛の別のパケットが着信した場合、レイヤー 3 アドレステーブルから宛先 MAC
が直接取得され、パケットが再フォーマットされて宛先ポートに送出されます。宛先アドレ
スエントリがレイヤー 3 アドレステーブルに登録されている場合、IP スイッチングをワイヤ
スピードで実行できます。
フレームのルーティングが必要であるとスイッチが判断した場合、セットアップ時にのみ
ルートが計算されます。ルートが決定されると、現在のフローに含まれるすべてのパケット
が選択されたパスで単純にスイッチングまたは転送されます。このとき、パス計算の実行後
にトラフィックがルーティングエンジンをバイパスできるようにすることにより、高スルー
プットで低レイテンシのスイッチングが活用されます。
3-205
3
スイッチの構成
ルーティングパス管理
ルーティングパス管理では、パケット転送に必要となるすべてのルーティング情報の決定と
更新が行われます。これには、次のものが含まれます。
• ルーティングプロトコルの処理
• ルーティングテーブルの更新
• レイヤー 3 スイッチングデータベースの更新
ルーティングプロトコル
スイッチではスタティックルーティングおよびダイナミックルーティングが両方サポート
されます。
• スタティックルーティングを実行するには、手動で、またはスイッチ外のアプリケーショ
ンによる接続の確立時に、ルーティング情報をスイッチに保存する必要があります。
• ダイナミックルーティングでは、ルーティングプロトコルによってルーティング情報の交
換、ルーティングテーブルの計算、およびネットワークのステータスまたは負荷の変化に
対する対応が行われます。
スイッチでは、 RIP、 RIP-2、および OSPFv2 ダイナミックルーティングプロトコルがサポー
トされます。
RIP および RIP-2 ダイナミックルーティングプロトコル
RIP プロトコルは、最も一般的なルーティングプロトコルです。 RIP では、距離ベクトル型
のアプローチによってルーティングが行われます。ルートは、概算送信コストとして使用さ
れる距離ベクトル、すなわちホップカウントが最小になるように決定されます。各ルータは、
そのルーティングテーブルに対する更新とともに 30 秒おきにアドバタイズメントをブロー
ドキャストします。これにより、ネットワーク上のすべてのルータは、関連サブネットに至
るネクストホップリンクに関する同一のテーブルを学習できます。
OSPFv2 ダイナミックルーティングプロトコル
OSPF では、 RIP のすべての問題点が解決されています。リンクステートルーティングプロ
トコルによって最短パスツリーが構築され、このツリーに基づいてルーティングテーブルが
作成されます。 OSPF では、参加ルータがネットワークの変化に対して事前かつ同時に対処
し、 RIP よりも短時間で最善ルートに収束するため、ネットワークの安定性が高まります。さ
らに、宛先までのコストが等しいルートが複数存在する場合、これらのルートに均等にトラ
フィックを分散できます。
非 IP プロトコルルーティング
このスイッチでは IP ルーティングのみがサポートされます。このスイッチで IPX や
Appletalk などの非 IP プロトコルをルーティングすることはできません。また、外部ルータに
よってブリッジされていない場合、これらのプロトコルはそのローカル VLAN グループ内に
限定されます。
マルチレイヤスイッチ上に構築されたネットワークと共存させるには、非 IP プロトコルのサ
ブネットワークが IP サブネットワークと同じ論理境界に従っている必要があります。この場
合、別のマルチプロトコルルータを使用してネットワーク上で使用可能な各 VLAN の 1 つの
ポートに接続することにより、サブネットワークをリンクできます。
3-206
IP ルーティング
3
基本的な IP インターフェースの構成
異なる IP サブネット間でのルーティングを可能にするには、この項目で説明する手順に従っ
て IP ルーティングを有効にする必要があります。また、このスイッチに直接接続する IP サ
ブネットごとに VLAN を定義する必要があります。対応するサブネットを構成する前に、
3-139 ページの「VLAN の構築」の手順に従って VLAN を構築しておく必要があります。ま
た、スイッチのインバンドを管理する必要がある場合は、少なくとも 1 つの VLAN の IP サブ
ネットアドレスを定義する必要があります。
コマンド属性
• 「IP Routing Status」 – スイッチがレイヤー 2 スイッチまたはマルチレイヤルーティング
スイッチとして動作するよう構成します（オプション : 動作をレイヤー 2 スイッチングに
制限するにはこのフィールドをオフ、必要に応じてレイヤー 2 または 3 でマルチレイヤオ
ペレーションを可能にするにはオン）。
• このコマンドは、スタティックおよびダイナミックユニキャストルーティングの両方に
影響します。
• IP ルーティングが有効にされている場合、すべての IP パケットはスタティックルー
ティングまたは RIP や OSPF によるダイナミックルーティングによってルーティング
されます。すべての非 IP プロトコル（NetBuei、 NetWare、 AppleTalk など）のその他
のパケットは、 MAC アドレスに基づいてスイッチングされます。 IP ルーティングが無
効にされている場合、すべてのパケットがスイッチングされ、厳密に MAC アドレスに
基づいてフィルタリングおよび転送の決定が行われます。
• 「Default Gateway」 – スイッチが不明なサブネット宛のパケット、すなわちルーティング
テーブルのどのエントリにも合致しないパケットを渡すルーティングデバイス（有効なア
ドレスは、ピリオドで区切られた 0 ～ 255 の 4 つの数値で構成される）
ウェブ - 「IP」、「General」、「Global Settings」の順にクリックします。オペレーションをレ
イヤー 2 に制限するには「IP Routing Status」をオフにします。または、マルチレイヤース
イッチングを可能にするには、オンにします。不明なサブネット宛のパケットの転送先デフォ
ルトゲートウェイを指定し、「Apply」をクリックします。
図 3-118. IP グローバル設定
CLI - この例では、 IP ルーティングを有効にし、デフォルトゲートウェイを設定しています。
Console(config)#ip routing
Console(config)#ip route default 10.1.0.254
4-257
4-258
3-207
3
スイッチの構成
IP ルーティングインターフェースの構成
各 VLAN に IP アドレスを手動で割り当てるか、 RIP または OSPF ダイナミックルーティン
グプロトコルを使用してネットワーク上のほかのルータとプロトコルメッセージを交換し、
ほかのインターフェースまでのルートを特定することにより、このルータに接続する IP サブ
ネットを指定できます。
コマンドの使用
• このルータが、特定のサブネットに割り当てられるエンドノードデバイスに直接接続され
ている（または、共有メディアによってエンドノードに接続されている）場合、ルーティ
ングをサポートする VLAN ごとにルータインターフェースを作成する必要があります。
ルータインターフェースは、 IP アドレスとサブネットマスクで構成されます。このイン
ターフェースアドレスにより、ルータインターフェースの接続先のネットワーク番号とその
ネットワーク上のルータのホスト番号が定義されます。すなわち、ルータインターフェース
アドレスにより、そのインターフェースに接続されたネットワーク番号およびサブネット
ワーク番号が定義され、このルータとの間で IP パケットを送受信できるようになります。
• このルータにネットワークインターフェースを構成する前に、一意のユーザーグループま
たは各ネットワークアプリケーションとそれに関連付けられたユーザーごとに VLAN を構
築しておく必要があります。次に、これらの各 VLAN に関連付けられたポートを割り当て
ます。
コマンド属性
• 「VLAN」 – 構成済み VLAN の ID （1 ～ 4093）
• 「IP Address Mode」 – このインターフェースの IP アドレスを静的に割り当てるか、ネット
ワークアドレスサーバーから取得するかを指定します（オプション : 「Static」、「DHCP Dynamic Host Configuration Protocol」、「BOOTP - Boot Protocol」、デフォルト : 「Static」）。
• アドレスタイプとして「Static」を選択した場合、 IP アドレスが VLAN 上のプライマリ
IP アドレスかセカンダリ IP アドレスかを指定する必要があります。 1 つのインター
フェースに割り当てることのできるプライマリ IP アドレスは 1 つのみですが、セカンダ
リ IP アドレスは複数割り当てることができます。すなわち、このインターフェースを介
して複数の IP サブネットにアクセスできるようにするには、セカンダリアドレスを指
定する必要があります。
• DHCP/BOOTP が有効にされている場合、アドレスサーバーから応答を受信するまで IP
は機能しません。ルータから IP アドレスの要求が定期的にブロードキャストされます
（DHCP/BOOTP 値に IP アドレスおよびサブネットマスクを含めることが可能）。
• 「IP Address」 – VLAN インターフェースのアドレス。有効なアドレスは、ピリオドで区切
られた 0 ～ 255 の 4 つの数値で構成されます。
• 「Subnet Mask」 – このマスクは、特定サブネットへのルーティングに使用されるホストア
ドレスビットを示します。
3-208
IP ルーティング
3
ウェブ - 「IP」、「General」、「Routing Interface」の順にクリックします。ほかのサブネット
へのルーティングをサポートする各 VLAN の IP インターフェースを指定します。まず、プラ
イマリアドレスを指定して「Set IP Configuration」をクリックします。セカンダリアドレス
を割り当てる必要がある場合、これらのアドレスを 1 つずつ入力し、アドレスを入力するご
とに「Set IP Configuration」をクリックします。
図 3-119. IP ルーティングインターフェース
CLI - この例では、 VLAN 1 のプライマリ IP アドレスを設定し、次にこのルータインター
フェースに接続する別のサブネットのセカンダリ IP アドレスを追加しています。
Console(config)#interface vlan 1
Console(config-if)#ip address 10.1.0.253 255.255.255.0
Console(config-if)#ip address 10.1.9.253 255.255.255.0 secondary
Console(config-if)#
4-249
3-209
3
スイッチの構成
アドレス解決プロトコル
IP ルーティングが有効にされている場合（3-207 ページ）、ルータではそのルーティングテー
ブルによってルーティングが決定され、アドレス解決プロトコル（ARP）によってホップ間
でトラフィックが転送されます。 ARP は、 IP アドレスを物理レイヤー（MAC）アドレスに
マップするために使用されます。このルータ（または標準ベースのルータ）は IP フレームを
受信すると、まず ARP キャッシュで宛先 MAC アドレスに対応する IP アドレスをルックアッ
プします。アドレスが見つかった場合、ルータはフレームヘッダーの該当フィールドにその
MAC アドレスを書き込み、フレームをネクストホップに転送します。このようにして、 IP ト
ラフィックは最終的な宛先までパスに沿って渡されます。このとき、各ルーティングデバイ
スは、パケットが最終的な宛先に配信されるまで、宛先 IP アドレスを、受信者に向かうネク
ストホップの MAC アドレスにマップします。
ARP キャッシュに IP アドレスのエントリが存在しない場合、ルータはネットワーク上の全デ
バイスに ARP 要求パケットをブロードキャストします。 ARP 要求には、次の例に示すよう
なフィールドが含まれます。
表 3-16. アドレス解決プロトコル
宛先 IP アドレス
10.1.0.19
宛先 MAC アドレス
?
送信元 IP アドレス
10.1.0.253
送信元 MAC アドレス
00-00-ab-cd-00-00
この要求を受信したデバイスは、そのデバイスのアドレスがメッセージ内の宛先アドレスと
合致しない場合は要求を破棄します。アドレスが合致した場合は、宛先 MAC アドレスフィー
ルドにそれ自体のハードウェアアドレスを書き込み、メッセージを送信元ハードウェアアド
レスに返信します。送信元デバイスは応答を受信すると、宛先 IP アドレスおよび対応する
MAC アドレスをキャッシュに書き込み、IP トラフィックをネクストホップに転送します。こ
のエントリがタイムアウトになるまで、ルータは再度 ARP 要求をブロードキャストすること
なく、この宛先のトラフィックを直接ネクストホップに転送できます。
プロキシ ARP
接続されたサブネットワーク上のノードにルーティングまたはデフォルトゲートウェイが構
成されていない場合、プロキシ ARP を使用して ARP 要求をリモートサブネットワークに転送
することができます。ルータがリモートネットワークの ARP 要求を受信し、プロキシ ARP
が有効にされている場合、そのリモートネットワークへの最善ルートを保持しているかどう
かを判断し、それ自体の MAC アドレスを要求ノードに送信することによって ARP 要求に応
答します。その後、ノードはルータにトラフィックを送信し、ルータはそれ自体のルーティ
ングテーブルを使用してトラフィックをリモートの宛先に転送します。
Proxy ARP
no routing,
no default
gateway
3-210
ARP
request
Remote
ARP Server
IP ルーティング
3
基本的な ARP の構成
「ARP」の「General」構成メニューを使用して、 ARP キャッシュエントリのタイムアウトを
指定したり、特定の VLAN インターフェースでプロキシ ARP を有効できます。
コマンドの使用
• エージングタイムによって、ダイナミックエントリがキャッシュに保持される時間が決ま
ります。タイムアウトが短すぎると、テーブルからフラッシュされたばかりのアドレスの
ARP 要求がルータから繰り返し送信され、リソースの処理を妨げる可能性があります。
• プロキシ ARP を必要とするエンドステーションでは、ネットワーク全体を単一のネット
ワークとして認識する必要があります。すなわち、これらのノードでは、ルータやほかの
関連ネットワークデバイスよりも小さいサブネットマスクを使用する必要があります。
• プロキシ ARP を広範囲に使用すると、 ARP トラフィックが増加し、 ARP アドレステーブ
ルが大きくなり検索時間が長くなるため、ルータの性能が低下する場合があります。
コマンド属性
• 「Timeout」 – ARP キャッシュ内のダイナミックエントリのエージングタイムを設定しま
す（範囲 : 300 ～ 86400 秒、デフォルト : 1200 秒または 20 分）。
• 「Proxy ARP」 – 指定した VLAN インターフェースでプロキシ ARP を有効または無効にし
ます。
ウェブ - 「IP」、「ARP」、「General」の順にクリックします。 ARP キャッシュに適したタイム
アウト値を設定し、ルーティングまたはデフォルトゲートウェイを持たないサブネットワー
クでプロキシ ARP を有効にして、「Apply」をクリックします。
図 3-120. ARP 全般
CLI - この例では、 ARP キャッシュのタイムアウトを 15 分（900 秒）に設定し、 VLAN 3 で
プロキシ ARP を有効にしています。
Console(config)#arp-timeout 900
Console(config)#interface vlan 3
Console(config-if)#ip proxy-arp
Console(config-if)#
4-254
4-148
4-256
3-211
3
スイッチの構成
スタティック ARP アドレスの構成
ARP 要求に応答しないデバイスでは、 IP アドレスを物理アドレスにマップできないため、ト
ラフィックが廃棄されます。このような状況が発生する場合、 ARP で IP アドレスを対応する
物理アドレスに手動でマップできます。
コマンドの使用
• ARP キャッシュには、最大 128 個のスタティックエントリを定義できます。
• スタティックエントリは、経年処理によって無効になったり、電源のリセット時に削除され
ることはありません。スタティックエントリは構成インターフェースでのみ削除できます。
コマンド属性
• 「IP Address」 – 物理 MAC アドレスに静的にマップする IP アドレス（有効なアドレスは、
ピリオドで区切られた 0 ～ 255 の 4 つの数値で構成される）
• 「MAC Address」 – 対応する IP アドレスに静的にマップする MAC アドレス（有効なアド
レスは、 xx-xx-xx-xx-xx-xx 形式の 16 進数）
• 「Entry Count」 – ARP キャッシュ内のスタティックエントリの数
ウェブ - 「IP」、「ARP」、「Static Addresses」の順にクリックします。 IP アドレスと対応する
MAC アドレスを入力し、「Apply」をクリックします。
図 3-121. ARP スタティックアドレス
CLI - この例では、 ARP キャッシュにスタティックエントリを設定しています。
Console(config)#arp 10.1.0.11 00-11-22-33-44-55
Console(config)#
3-212
4-254
3
IP ルーティング
動的に学習された ARP エントリの表示
ARP キャッシュには、IP アドレスと対応する物理アドレスのマッピングエントリが保持され
ます。その多くは、ブロードキャストメッセージに対する応答から動的に学習されます。 ARP
キャッシュ内のすべてのダイナミックエントリを表示したり、特定のダイナミックエントリを
スタティックエントリに変更したり、またすべてのダイナミックエントリをキャッシュから消
去することができます。
コマンド属性
• 「IP Address」 – キャッシュ内のダイナミックエントリの IP アドレス
• 「MAC Address」 – 対応する IP アドレスにマップされた MAC アドレス
• 「Interface」 – アドレスエントリに関連付けられた VLAN インターフェース
• 「Dynamic to Static」1 – 選択したダイナミックエントリをスタティックエントリに変更し
ます。
• 「Clear All」 1 – ARP キャッシュからすべてのダイナミックエントリを削除します。
• 「Entry Count」 – ARP キャッシュ内のダイナミックエントリの数
ウェブ - 「IP」、「ARP」、「Dynamic Addresses」の順にクリックします。表示されるボタンを
使用して、ダイナミックエントリをスタティックエントリに変更したり、キャッシュからす
べてのダイナミックエントリを消去できます。
図 3-122. ARP ダイナミックアドレス
1.
これらのボタンによるアクションは即座に有効になります。アクションを確認するメッセージは
表示されません。
3-213
3
スイッチの構成
CLI - この例では、 ARP キャッシュ内のすべてのエントリを表示しています。
Console#show arp
Arp cache timeout: 1200 (seconds)
IP Address
--------------10.1.0.0
10.1.0.11
10.1.0.12
10.1.0.19
10.1.0.253
10.1.0.255
4-255
MAC Address
Type
Interface
----------------- --------- ----------ff-ff-ff-ff-ff-ff
other
1
00-11-22-33-44-55
static
1
01-02-03-04-05-06
static
1
00-10-b5-62-03-74
dynamic
1
00-00-ab-cd-00-00
other
1
ff-ff-ff-ff-ff-ff
other
1
Total entry : 6
Console#clear arp-cache
This operation will delete all the dynamic entries in ARP Cache.
Are you sure to continue this operation (y/n)?y
Console#
4-255
ローカル ARP エントリの表示
ARP キャッシュには、サブネット、ホスト、ブロードキャストアドレスなど、ローカルイン
ターフェースのエントリも保持されます。
コマンド属性
• 「IP Address」 – キャッシュ内のローカルエントリの IP アドレス
• 「MAC Address」 – 対応する IP アドレスにマップされた MAC アドレス
• 「Interface」 – アドレスエントリに関連付けられた VLAN インターフェース
• 「Entry Count」 – ARP キャッシュ内のローカルエントリの数
ウェブ - 「IP」、「ARP」、「Other Addresses」の順にクリックします。
図 3-123. ARP のその他のアドレス
3-214
IP ルーティング
3
CLI - このルータでは、「Type」項目で「other」として RP キャッシュ内のローカルキャッ
シュエントリが示されています。
Console#show arp
Arp cache timeout: 1200 (seconds)
IP Address
--------------10.1.0.0
10.1.0.11
10.1.0.12
10.1.0.19
10.1.0.253
10.1.0.255
4-255
MAC Address
Type
Interface
----------------- --------- ----------ff-ff-ff-ff-ff-ff
other
1
00-11-22-33-44-55
static
1
01-02-03-04-05-06
static
1
00-10-b5-62-03-74
dynamic
1
00-00-ab-cd-00-00
other
1
ff-ff-ff-ff-ff-ff
other
1
Total entry : 6
Console#
ARP 統計情報の表示
このルータの全インターフェースを通過した ARP メッセージの統計情報を表示できます。
表 3-17. ARP 統計情報
パラメータ
説明
Received Request
ルータが受信した ARP 要求パケットの数
Received Reply
ルータが受信した ARP 応答パケットの数
Sent Request
ルータが送信した ARP 要求パケットの数
Sent Reply
ルータが送信した ARP 応答パケットの数
ウェブ - 「IP」、「ARP」、「Statistics」の順にクリックします。
図 3-124. ARP 統計情報
3-215
3
スイッチの構成
CLI - この例では、一般的な IP 関連プロトコルに関する詳細な統計情報を表示しています。
Console#show ip traffic
IP statistics:
Rcvd: 5 total, 5 local destination
0 checksum errors
0 unknown protocol, 0 not a gateway
Frags: 0 reassembled, 0 timeouts
0 fragmented, 0 couldn't fragment
Sent: 9 generated
0 no route
ICMP statistics:
Rcvd: 0 checksum errors, 0 redirects, 0 unreachable, 0 echo
5 echo reply, 0 mask requests, 0 mask replies, 0 quench
0 parameter, 0 timestamp
Sent: 0 redirects, 0 unreachable, 0 echo, 0 echo reply
0 mask requests, 0 mask replies, 0 quench, 0 timestamp
0 time exceeded, 0 parameter problem
UDP statistics:
Rcvd: 0 total, 0 checksum errors, 0 no port
Sent: 0 total
TCP statistics:
Rcvd: 0 total, 0 checksum errors
Sent: 0 total
ARP statistics:
Rcvd: 0 requests, 1 replies
Sent: 1 requests, 0 replies
Console#
3-216
4-261
IP ルーティング
3
IP プロトコルの統計情報の表示
IP 統計情報
インターネットプロトコル（IP）では、送信元から宛先にデータブロック（一般にパケット
またはフレームと呼ばれる）を送信するためのメカニズムが提供されます。このとき、ネッ
トワークデバイス（ホスト）は固定長のアドレスで識別されます。また、インターネットプ
ロトコルでは、「スモールパケット」ネットワークでの送信用に、必要に応じてロングパケッ
トのフラグメンテーションと再アセンブリが行われます。
表 3-18. IP 統計情報
パラメータ
説明
Packets Received
インターフェースから受信した、エラーを伴うものを含む入力データ
グラムの総数
Received Address Errors
ヘッダーの宛先フィールドの IP アドレスがこのエントリの有効なア
ドレスでなかったため廃棄された入力データグラムの数
Received Packets
Discarded
処理を妨げる問題が発生しなかったにも関わらず廃棄された（バッ
ファスペース不足など）入力データグラムの数
Output Requests
送信のためローカル IP ユーザープロトコル（ICMP を含む）が要求の
IP に供給されたデータグラムの総数
Output Packet No Route
宛先に送信するためのルートが見つからなかったため廃棄されたデー
タグラムの数。これには、デフォルトゲートウェイがすべて停止してい
たためホストがルーティングできなかったデータグラムも含まれます。
Datagrams Forwarded
最終的な宛先に転送するためのルートを検索した結果、このエンティ
ティが最終的な IP 宛先ではなかった入力データグラムの数
Reassembly Required
受信した IP フラグメントのうち、このエンティティで再アセンブリが
必要だったものの数
Reassembly Failures
IP 再アセンブリアルゴリズムで検知されたエラーの数（タイムアウ
ト、エラーなど理由は問わない）
Datagrams Failing
Fragmentation
このエンティティでフラグメント化する必要があったが、「Don't
Fragment」フラグが設定されていたなどの理由でフラグメント化でき
なかったため廃棄されたデータグラムの数
Received Header Errors
不正なチェックサム、バージョン番号の不一致、その他の形式エラー、
存続時間の超過、 IP オプションの処理におけるエラーの検知など、 IP
ヘッダーのエラーが原因で廃棄された入力データグラムの数
Unknown Protocols
Received
正常に受信したが、プロトコルが不明またはサポートされていないた
めに廃棄された、ローカル宛のデータグラムの数
Received Packets
Delivered
IP ユーザープロトコル（ICMP を含む）に正常に配信された入力デー
タグラムの総数
Discarded Output Packets 宛先への送信を妨げる問題が発生しなかったにも関わらず廃棄された
（バッファスペース不足など）出力 IP データグラムの数
Fragments Created
このエンティティでのフラグメンテーションの結果として生成された
データグラムフラグメントの数
Routing Discards
有効であるにも関わらず破棄されたルーティングエントリの数。この
ようなエントリの廃棄理由として、ほかのルーティングエントリ用の
バッファスペースの解放などが考えられます。
3-217
3
スイッチの構成
表 3-18. IP 統計情報（続き）
パラメータ
説明
Reassembly Successful
正常に再アセンブリが行われたデータグラムの数
Datagrams Successfully
Fragmented
このエンティティで正常にフラグメント化された IP データグラムの数
ウェブ - 「IP」、「Statistics」、「IP」の順にクリックします。
図 3-125. IP 統計情報
CLI - 3-215 ページの例を参照してください。
3-218
IP ルーティング
3
ICMP 統計情報
インターネット制御メッセージプロトコル（ICMP）は、メッセージパケットを送信するす
ることによって IP パケットの処理におけるエラーを報告するネットワークレイヤープロト
コルです。すなわち、 ICMP はインターネットプロトコルに不可欠な要素です。 ICMP メッ
セージは、データグラムが宛先に到達できない場合、ゲートウェイにデータグラムを転送す
るためのバッファリング容量がない場合、より短いルートでトラフィックを送信するよう
ゲートウェイがホストに指示できる場合など、様々な状況を報告するために使用できます。こ
のほか、特定の宛先に対して使用できるより適したルート（ネクストホップルータ）に関す
る情報をフィードバックするためにルータで使用されます。
表 3-19. ICMP 統計情報
パラメータ
説明
Messages
エンティティが送受信した ICMP メッセージの総数
Errors
エンティティが送受信した ICMP メッセージのうち、 ICMP 固有のエ
ラー（不正な ICMP チェックサム、不正な長さなど）を伴うと判断さ
れたものの数
Destination Unreachable
送受信された ICMP 宛先到達不能メッセージの数
Time Exceeded
送受信された ICMP 時間超過メッセージの数
Parameter Problems
送受信された ICMP パラメータ問題メッセージの数
Source Quenches
送受信された ICMP 送信元抑制メッセージの数
Redirects
送受信された ICMP リダイレクトメッセージの数
Echos
送受信された ICMP エコー（要求）メッセージの数
Echo Replies
送受信された ICMP エコー応答メッセージの数
Timestamps
送受信された ICMP タイムスタンプ（要求）メッセージの数
Timestamp Replies
送受信された ICMP タイムスタンプ応答メッセージの数
Address Masks
送受信された ICMP アドレスマスク要求メッセージの数
Address Mask Replies
送受信された ICMP アドレスマスク応答メッセージの数
3-219
3
スイッチの構成
ウェブ - 「IP」、「Statistics」、「ICMP」の順にクリックします。
図 3-126. ICMP 統計情報
CLI - 3-215 ページの例を参照してください。
3-220
IP ルーティング
3
UDP 統計情報
ユーザーデータグラムプロトコル（UDP）では、パケット交換通信のデータグラムモード
が提供されます。基盤となる転送メカニズムとして IP が使用され、 IP 系サービスへのアクセ
スが提供されます。 UDP パケットは宛先への到達前に廃棄される可能性のあるコネクション
レス型データグラムであり、 IP パケットと同様に配信されます。 TCP が複雑すぎる、遅すぎ
る、または単に必要ない場合に UDP は便利です。
表 3-20. UDP 統計情報
パラメータ
説明
Datagrams Received
UDP ユーザーに配信された UDP データグラムの総数
Datagrams Sent
このエンティティから送信された UDP データグラムの総数
Receive Errors
受信した UDP データグラムのうち、宛先ポートにおけるアプリケー
ション不足以外の理由で配信できなかったものの数
No Ports
受信した UDP データグラムのうち、宛先ポートにアプリケーションが
なかったものの総数
ウェブ - 「IP」、「Statistics」、「UDP」の順にクリックします。
図 3-127. UDP 統計情報
CLI - 3-215 ページの例を参照してください。
3-221
3
スイッチの構成
TCP 統計情報
伝送制御プロトコル（TCP）では、パケット交換ネットワークにおいて信頼性の高いホスト
間接続が実現されます。 IP とともに使用することにより、幅広いインターネットプロトコル
がサポートされます。
表 3-21. TCP 統計情報
パラメータ
説明
Segments Received
エラーを伴うものを含む、受信したセグメントの総数。この数には、
現在確立されている接続で受信したセグメントも含まれます。
Segments Sent
送信したセグメントの総数。現在の接続で受信したものは含まれます
が、再送信されたオクテットのみが含まれるものは除外されます。
Active Opens
TCP 接続が CLOSED 状態から SYN-SENT 状態に直接遷移した回数
Failed Connection
Attempts
TCP 接続が SYN-SENT 状態または SYN-RCVD 状態から CLOSED 状
態に直接遷移した回数と、 TCP 接続が SYN-RCVD 状態から LISTEN
状態に直接遷移した回数を加算した数値
Current Connections
現在の状態が ESTABLISHED または CLOSE- WAIT である TCP 接続
の数
Receive Errors
エラーを伴う受信セグメントの総数（不正な TCP チェックサムなど）
Segments Retransmitted
再送信されたセグメントの総数。すなわち、以前送信された 1 つ以上
のオクテットが含まれる、送信された TCP セグメントの数
Passive Opens
TCP 接続が LISTEN 状態から SYN-RCVD 状態に直接遷移した回数
Reset Connections
TCP 接続が ESTABLISHED 状態または CLOSE-WAIT 状態から
CLOSED 状態に直接遷移した回数
ウェブ - 「IP」、「Statistics」、「TCP」の順にクリックします。
図 3-128. TCP 統計情報
CLI - 3-215 ページの例を参照してください。
3-222
IP ルーティング
3
スタティックルートの構成
このルータでは、ダイナミックルーティングプロトコル（RIP または OSPF）を使用してほ
かのネットワークセグメントへのルートを動的に構成することができます。また、ルーティ
ングテーブルに手動でスタティックルートを入力することも可能です。スタティックルート
は、ダイナミックルーティングがサポートされないネットワークセグメントにアクセスする
際に必要になることがあります。また、特定サブネットに対して、ダイナミックルーティン
グではなく、特定ルートを強制的に使用するよう設定することも可能です。スタティックルー
トは、ネットワークトポロジが変化した場合も自動的には変更されないため、ネットワーク
のアクセシビリティを確保するために、構成する固定ルートは少数に留めてください。
コマンド属性
• 「Interface」 – IP インターフェースのインデックス番号
• 「IP Address」 – 宛先ネットワーク、サブネットワーク、またはホストの IP アドレス
• 「Netmask」 – 関連付けられた IP サブネットのネットワークマスク。このマスクは、特定
のサブネットへのルーティングに使用されるホストアドレスビットを識別するものです。
• 「Gateway」 – このルートで使用されるゲートウェイの IP アドレス
• 「Metric」 – このインターフェースのコスト。このコストは、OSPF などのダイナミックルー
ティングプロトコルによってルートがインポートされる場合のみ使用されます
（範囲 : 1 ～ 5、デフォルト : 1）。
• 「Entry Count」 – テーブルエントリの数
ウェブ - 「IP」、「Routing」、「Static Routes」の順にクリックします。
図 3-129. IP スタティックルート
CLI - この例では、デフォルトメトリック 1 を使用して、サブネット 192.168.1.0 宛のすべて
のトラフィックをルータ 192.168.5.254 に転送しています。
Console(config)#ip route 192.168.1.0 255.255.255.0 192.168.5.254
Console(config)#
4-258
3-223
3
スイッチの構成
ルーティングテーブルの表示
ローカルネットワークインターフェース、スタティックルート、または動的に学習された
ルートでアクセス可能なすべてのルートを表示できます。これらの方法のうち、ルート情報
を利用できる方法が複数ある場合、ルート選択ではローカル、スタティック、ダイナミック
の順に優先されます。また、ローカルインターフェースに接続されたアクティブリンクが少
なくとも 1 つ存在しなければ、このインターフェースでルートは有効にされません（ルーティ
ングテーブルに登録されない）。
コマンド属性
• 「Interface」 – IP インターフェースのインデックス番号
• 「IP Address」 – 宛先ネットワーク、サブネットワーク、またはホストの IP アドレス。ア
ドレス 0.0.0.0 は、このルータのデフォルトゲートウェイを示します。
• 「Netmask」 – 関連付けられた IP サブネットのネットワークマスク。このマスクは、特定
のサブネットへのルーティングに使用されるホストアドレスビットを識別するものです。
• 「Next Hop」 – このルートのネクストホップ（またはゲートウェイ）の IP アドレス
• 「Protocol」 – このルート情報を生成したプロトコル
（オプション : 「local」、「static」、「RIP」、「OSPF」）
• 「Metric」 – このインターフェースのコスト
• 「Entry Count」 – テーブルエントリの数
ウェブ - 「IP」、「Routing」、「Routing Table」の順にクリックします。
図 3-130. IP ルーティングテーブル
3-224
IP ルーティング
3
CLI - この例では、様々な方法で取得したルートを表示しています。
Console#show ip route
4-259
Ip Address
Netmask
Next Hop
Protocol Metric Interface
--------------- --------------- --------------- -------- ------ --------0.0.0.0
0.0.0.0
10.1.0.254
static
1
1
10.1.0.0
255.255.255.0
10.1.0.253
local
1
1
10.1.1.0
255.255.255.0
10.1.0.254
RIP
2
1
Total entries: 3
Console#
ルーティング情報プロトコルの構成
RIP プロトコルは、最も一般的なルーティングプロトコルです。 RIP プロトコルでは、距離
ベクトル型のアプローチによってルーティングが行われます。ルートは、概算送信コストと
して使用される距離ベクトル、すなわちホップカウントが最小になるように決定されます。
各ルータは、そのルーティングテーブルに対する更新とともに 30 秒おきにアドバタイズメ
ントをブロードキャストします。これにより、ネットワーク上のすべてのルータは、関連サ
ブネットに至るネクストホップリンクに関する同一のテーブルを学習できます。
A
1
3
D
B
4
6
2
5
E
Cost = 1 for all links
C
A
Link
Cost
A
0
0
B
1
1
C
1
2
D
3
1
E
1
2
Routing table for node A
コマンドの使用
• レイヤー 2 スイッチがスパニングツリーアルゴリズムによってループを防ぐのと同様に、
ルータでもトラフィックのエンドレスな再送信の原因となるループを防止するための方法
が使用されます。RIP では、ループの発生を防止するために次の 3 つの方法が使用されます。
- スプリットホライズン – ルートの取得元インターフェースポートにはルートを伝搬し
ません。
- ポイズンリバース – ルートの取得元インターフェースポートにルートを伝搬しますが、
距離ベクトルメトリックを無限に設定します（これにより収束が高速化）。
- トリガーアップデート – ルートが変更されるたびに、定期的なサイクルだけ待機するので
はなく、短いランダムな遅延の後に更新メッセージをブロードキャストします。
• RIP-2 は RIP がアップグレードされたものであり、 RIP と互換性があります。 RIP-2 には、
プレーンテキスト認証、複数の独立 RIP ドメイン、可変長サブネットマスク、ルートを
アドバタイズするマルチキャスト送信（RFC 1723）など便利な機能が付加されています。
3-225
3
スイッチの構成
• RIP には考慮する必要のある重大な問題がいくつかあります。まず、 RIP （バージョン 1）
はサブネットを認識しません。どちらの RIP バージョンも、リンクまたはルータの障害後
に新規ルートに収束するまで時間がかかり、その間にルーティングループが発生する可能
性があります。また、ホップカウントが 15 に制限されるため、小規模なネットワークでの
使用に限定されます。さらに、 RIP （バージョン 1）ではルーティング情報がブロードキャ
ストによって伝搬されるため、貴重なネットワーク帯域が消費されます。また、ネットワー
ク変数が限られているため最善のルーティングを決定できないと考えられています。
全般プロトコル設定の構成
RIP は、ルータがルーティング情報を交換する方法を指定するために使用されます。このルー
タで RIP が有効にされている場合、ルータからネットワーク上のすべてのデバイスに 30 秒お
き（デフォルト）に RIP メッセージが送信されます。また、ほかのルータから RIP メッセー
ジを受信した場合は、それ自体のルーティングテーブルが更新されます。 RIP を使用してほ
かのルータと適切に通信するには、ルータでグローバルに使用する RIP バージョンと、特定
インターフェースで使用する RIP 送信および受信バージョンを指定する必要があります
（3-229 ページ）。
コマンドの使用
• 「Global RIP Version」を指定すると、特定の受信または送信バージョンに設定されていな
い VLAN インターフェース（3-229 ページ）は次の値に設定されます。
- RIP バージョン 1 では、未設定のインターフェースが、 RIPv1 互換プロトコルメッセー
ジを送信し、 RIPv1 または RIPv2 プロトコルメッセージを受信するよう構成されます。
- RIP バージョン 2 では、未設定のインターフェースが、プロトコルメッセージの送信お
よび受信に RIPv2 を使用するよう構成されます。
• 更新タイマーは、基本的なすべての RIP プロセスを制御するために使用される、基礎とな
るタイマーです。
- 更新タイマーを短い時間に設定すると、ルータで更新の処理に過剰な時間が費やされる
可能性があります。一方、非常に長い時間に設定すると、ルーティングプロトコルが
ネットワークコンフィギュレーションの変化に敏感でなくなります。
- ネットワーク上のすべてのルータでタイマーに同じ値を設定する必要があります。
コマンド属性
グローバル設定
• 「RIP Routing Process」 – ルータ上のすべての IP インターフェースで RIP ルーティングを
有効にします（デフォルト : 「Disabled」）。
• 「Global RIP Version」 – ルータでグローバルに使用する RIP バージョンを指定します
（デフォルト : RIP バージョン 1）。
タイマー設定
• 「Update」 – 更新の送信レートを設定します。この値により、タイムアウトタイマーが更
新時間の 6 倍に設定され、ガーベッジコレクションタイマーが更新時間の 4 倍に設定さ
れます（範囲 : 15 ～ 60 秒、デフォルト : 30 秒）。
• 「Timeout」 – 更新メッセージがない状態でルートがデッドとして宣言されるまでの時間を
設定します。ルートにはアクセス不能のマークが付けられ（メトリックが無限に設定され）、
到達不能としてアドバタイズされます。ただし、パケットは引き続きこのルートで転送さ
れます（デフォルト : 180 秒）。
3-226
IP ルーティング
3
• 「Garbage Collection」 – タイムアウト期間の経過後、ルータはガーベッジコレクションタ
イマーに指定された時間だけ待機し、その後このエントリをルーティングテーブルから削
除します。このタイマーにより、隣接機器はパージ前に無効なルートを認識することがで
きます（デフォルト : 120 秒）。
ウェブ - 「Routing Protocol」、「RIP」、「General Settings」の順にクリックします。 RIP を有
効または無効にし、未設定のインターフェースで使用する RIP バージョンを「RIPv1」また
は「RIPv2」に設定します。次に基本更新タイマーを設定し、「Apply」をクリックします。
図 3-131. RIP の全般設定
CLI - この例では、ルータで RIP バージョン 2 を使用するよう設定し、基本タイマーを 15 秒
に設定しています。
Console(config)#router rip
Console(config-router)#version 2
Console(config-router)#timers basic 15
Console(config-router)#end
Console#show rip globals
4-262
4-265
4-263
4-270
RIP Process: Enabled
Update Time in Seconds: 15
Number of Route Change: 0
Number of Queries: 1
Console#
3-227
3
スイッチの構成
RIP のネットワークインターフェースの指定
RIP ルーティングプロセスに含めるネットワークインターフェースを指定する必要があり
ます。
コマンドの使用
• RIP では、このコマンドで指定したインターフェースにのみ更新が送信されます。
• サブネットアドレスは、指定したアドレスの最初のフィールドに基づいてクラス A、 B、ま
たは C として解釈されます。すなわち、サブネットアドレス nnn.xxx.xxx.xxx を入力した
場合、最初のフィールド（nnn）によってクラスが決定されます。
0 ～ 127 はクラス A です。ネットワークアドレスの最初のフィールドのみが使用されます。
128 ～ 191 はクラス B です。ネットワークアドレスの最初の 2 つのフィールドが使用さ
れます。
192 ～ 223 はクラス C です。ネットワークアドレスの最初の 3 つのフィールドが使用さ
れます。
コマンド属性
• 「Subnet Address」 – このルータに直接接続されたネットワークの IP アドレス
ウェブ - 「Routing Protocol」、「RIP」、「Network Addresses」の順にクリックします。 RIP に
参加させるインターフェースをすべて追加し、「Apply」をクリックします。
図 3-132. RIP ネットワークアドレス
CLI - この例では、 RIP ルーティングプロセスにネットワークインターフェース 10.1.0.0 を
含めています。
Console(config)#router-rip
Console(config-router)#network 10.1.0.0
Console(config-router)#end
Console#show ip rip status
4-262
4-264
4-270
Peer
UpdateTime
Version
RcvBadPackets
RcvBadRoutes
--------------- ------------ --------- --------------- -------------10.1.0.253
0
0
73
10.1.1.253
0
0
66
Console#
3-228
IP ルーティング
3
RIP のネットワークインターフェースの構成
RIP ルーティングプロセスに参加させる各インターフェースについて、受理するプロトコル
メッセージタイプ（RIP バージョン）および送信するメッセージタイプ（RIP バージョンま
たは互換モード）、プロトコルメッセージのループバックを防止する方法、認証の使用 / 不使
用（RIPv2 メッセージを送信または受信する場合のみ認証が適用される）を指定する必要が
あります。
コマンドの使用
受信および送信プロトコルタイプの指定
• インターフェースに RIP 受信バージョンまたは送信バージョンを設定すると、「RIP」、
「General Settings」の順にクリックして表示されるページの「Global RIP Version」フィー
ルドに指定したグローバル設定が上書きされます。
• 受信バージョンを指定する際は、次のオプションを参照してください。
- ローカルネットワーク上のすべてのルータが RIPv1 または RIPv2 に基づいている場合、
それぞれ「RIPv1」または「RIPv2」を使用します。
- ローカルネットワーク上の一部のルータが RIPv2 を使用し、RIPv1 を使用する古いルー
タも存在している場合、「RIPv1 or RIPv2」を使用します。
- インターフェースのルーティングテーブルにダイナミックエントリを追加しない場合、
「Do Not Receive」を使用します（特定インターフェースでスタティックルートのみを
許可する場合など）。
• 送信バージョンを指定する際は、次のオプションを参照してください。
- ローカルネットワーク上のすべてのルータが RIPv1 または RIPv2 に基づいている場合、
それぞれ「RIPv1」または「RIPv2」を使用します。
- RIPv2 で通常必要となるマルチキャストではなく、 RIPv2 アドバタイズメントリストを
使用してネットワーク上のほかのルータにブロードキャストし、ルート情報を伝搬する
には、「RIPv1 Compatible」を使用します（このモードを使用すると、 RIPv1 ルータでこ
れらのプロトコルメッセージを受信でき、また RIPv2 ルータが RIPv2 で供給されるサ
ブネットマスク、ネクストホップ、認証情報などの追加情報を受信できる）。
- ネットワークに接続されたほかのルータからアドバタイズされるルート情報を受動的に
監視するには、「Do Not Send」を使用します。
ループバックの防止
レイヤー 2 スイッチがスパニングツリーアルゴリズムによってループを防ぐのと同様に、
ルータでもトラフィックのエンドレスな再送信の原因となるループを防止するための方法が
使用されます。プロトコルパケットがループに陥ると、リンクが輻輳し、プロトコルパケッ
トが失われる可能性があります。ただし、ネットワークは徐々に新しい状態に収束します。
RIP では、次の 3 つの方法によって、ネットワークトポロジが変化した場合の収束を高速化
し、多くのループの発生を防ぐことができます。
• スプリットホライズン – ルートの取得元インターフェースポートにはルートを伝搬しま
せん。
• ポイズンリバース – ルートの取得元インターフェースポートにルートを伝搬しますが、距
離ベクトルメトリックを無限に設定します（これにより収束が高速化）。
• トリガーアップデート – ルートが変更されるたびに、定期的なサイクルだけ待機するのでは
なく、短いランダムな遅延の後に更新メッセージをブロードキャストします。
3-229
3
スイッチの構成
プロトコルメッセージの認証
RIPv1 はセキュアプロトコルではありません。UDP ポート 520 からプロトコルメッセージを
送信するデバイスは、隣接機器でルータと見なされます。認証が要求されない場合、悪意の
ある、または不要なプロトコルメッセージが容易にネットワーク全体に伝搬される可能性が
あります。RIPv2 では簡易パスワードによる認証がサポートされます。ルータが認証メッセー
ジを交換するよう構成されている場合、送信されるすべてのプロトコルパケットにパスワー
ドが挿入され、すべての受信パケットで正当なパスワードが含まれていることが確認されま
す。正しいパスワードが含まれていない着信プロトコルメッセージは単純に廃棄されます。
コマンド属性
• 「VLAN」 – 構成済み VLAN の ID （1 ～ 4093）
• 「Receive Version」 – インターフェースで受信する RIP バージョン
- 「RIPv1」 : RIPv1 パケットのみを受理します。
- 「RIPv2」 : RIPv2 パケットのみを受理します。
- 「RIPv1 or RIPv2」 : RIPv2 または RIPv2 パケットを受理します（デフォルト）。
- 「Do Not Receive」 : 着信 RIP パケットを受理しません。
（デフォルトは、「RIP」、「General Settings」の順にクリックして表示されるページの
「Global RIP Version」に指定した設定によって異なる。「RIPv1」を指定した場合は「RIPv1
or RIPv2」パケット、「RIPv2」を指定した場合は「RIPv2」パケットがデフォルト）
• 「Send Version」 – インターフェースで送信する RIP バージョン
- 「RIPv1」 : RIPv1 パケットのみを送信します。
- 「RIPv2」 : RIPv2 パケットのみを送信します。
- 「RIPv1 Compatible」 : ルート情報は RIPv2 によってほかのルータにブロードキャスト
されます（デフォルト）。
- 「Do Not Send」 : RIP 更新を送信しません。
（デフォルトは「RIP」、「General Settings」の順にクリックして表示されるページの
「Global RIP Version」に指定した設定によって異なる。「RIPv1」を指定した場合は「RIPv1
Compatible」、「RIPv2」を指定した場合は「RIPv2」がデフォルト）
• 「Instability Preventing」 – ネットワークトポロジの変化時の収束時間を短縮するため、ま
た送信元ルータへの RIP プロトコルメッセージのループバックを防ぐために使用する方
法を指定します（デフォルト : 「Split Horizon」）。
- 「None」 : どの方法も使用しません。ループが発生した場合、ルートのホップカウント
が徐々に無限（16）に増加し、その後ルートは到達不可と見なされます。
- 「Split Horizon」 : この方法では、ルートがルートの取得元インターフェースポートに伝
搬されることはありません。
- 「Poision Reverse」 : この方法では、ルートがルートの取得元インターフェースポート
に伝搬されますが、距離ベクトルメトリックは無限に設定されます（これにより収束が
高速化）。
• 「Authentication Type」 – プロトコルメッセージの交換時に認証を要求するかどうかを指
定します（デフォルト : 「No Authentication」）。
- 「No Authentication」 : 認証を要求しません。
- 「Simple Password」 : 正当なパスワードに基づいてほかのルータとルーティング情報を
交換するようインターフェースに要求します（認証は RIPv2 にのみ適用される）。
3-230
IP ルーティング
3
• 「Authentication Key」 – RIPv2 パケットの認証に使用するキーを指定します。認証を正し
く機能させるには、送信側および受信側インターフェースが同じパスワードを使用する必
要があります（範囲 : 1 ～ 16 文字、大文字と小文字は区別される）。
ウェブ - 「Routing Protocol」、「RIP」、「Interface Settings」の順にクリックします。受信およ
び送信する RIP プロトコルメッセージタイプ、収束の高速化とループバックの防止（不安定
なネットワークトポロジの防止）に使用する方法、および認証オプションと対応するパスワー
ドを選択します。次に、「Apply」をクリックします。
図 3-133. RIP インターフェース設定
CLI - この例では、RIPv1 および RIPv2 メッセージを両方受理するよう受信バージョンを設定
し、送信モードを RIPv1 互換モード（CLI では「v2-broadcast」）に設定しています。また、不
安定なネットワークトポロジの防止方法をスプリットホライズンに設定し、簡易パスワードに
よる認証（CLI では「text mode」）を有効にしています。
Console(config)#interface vlan 1
Console(config-if)#ip rip receive version 1 2
Console(config-if)#ip rip send version v2-broadcast
Console(config-if)#ip split-horizon
Console(config-if)#ip rip authentication mode text
Console(config-if)#ip rip authentication key mighty
Console#
4-148
4-266
4-267
4-268
4-269
4-268
3-231
3
スイッチの構成
RIP 情報および統計情報の表示
RIP の現在のグローバルコンフィギュレーション設定に関する基本情報、ルート変更および
クエリーに関する統計情報、このルータ上で RIP を使用しているインターフェースに関する
情報、および既知の RIP ピアデバイスに関する情報を表示できます。
表 3-22. RIP 情報および統計情報
パラメータ
説明
Globals
RIP Routing Process
RIP が有効にされているか無効にされているかが示されます。
Update Time in Seconds
RIP が既知のルート情報をアドバタイズする間隔
（デフォルト : 30 秒）
Number of Route Changes
ルーティング情報が変更された回数
Number of Queries
このルータが受信したルータデータベースクエリーの数
Interface Information
Interface
インターフェースの IP アドレス
SendMode
このインターフェースで送信した RIP バージョン（「none」、「RIPv1」、
「RIPv2」、「rip1Compatible」）
ReceiveMode
このインターフェースで受信した RIP バージョン（「none」、「RIPv1」、
「RIPv2」、「RIPv1Orv2」）
InstabilityPreventing
スプリットホライズンまたはポイズンリバースが使用されている
か、あるいはどの不安定防止方法も使用されていないかが示されま
す。
AuthType
簡易パスワードによる認証が設定されているか、認証なしに設定され
ているかが示されます。
RcvBadPackets
受信した不良 RIP パケットの数
RcvBadRoutes
受信した不良ルートの数
SendUpdates
ルート変更の回数
Peer Information
PeerAddress
隣接 RIP ルータの IP アドレス
UpdateTime
このピアから最後にルート更新を受信した時間
Version
このピアから RIPv1 または RIPv2 のどちらのパケットを受信したか
RcvBadPackets
このピアから受信した不良 RIP パケットの数
RcvBadRoutes
このピアから受信した不良ルートの数
3-232
IP ルーティング
3
ウェブ - 「Routing Protocol」、「RIP」、「Statistics」の順にクリックします。
図 3-134. RIP 統計情報
3-233
3
スイッチの構成
CLI - ウェブインターフェースで「RIP Statistics」画面に表示される情報に CLI でアクセスす
るには、次のコマンドを使用します。
Console#show rip globals
4-270
RIP Process: Enabled
Update Time in Seconds: 30
Number of Route Change: 4
Number of Queries: 0
Console#show ip rip configuration
4-270
Interface
SendMode
ReceiveMode
Poison
--------------- --------------- ------------- ------------------------------10.1.0.253 rip1Compatible
RIPv1Orv2
SplitHorizon
noAuthentication
10.1.1.253 rip1Compatible
RIPv1Orv2
SplitHorizon
noAuthentication
Console#show ip rip status
Interface
RcvBadPackets
RcvBadRoutes
SendUpdates
--------------- --------------- -------------- --------------10.1.0.253
0
0
60
10.1.1.253
0
0
63
Console#show ip rip peer
Authentication
4-270
4-270
Peer
UpdateTime
Version
RcvBadPackets
RcvBadRoutes
--------------- ------------ --------- --------------- -------------10.1.0.254
4610
2
0
0
10.1.1.254
4610
2
0
0
Console#
3-234
IP ルーティング
3
オープンショーテストパスファーストプロトコルの構成
オープンショーテストパスファースト（OSPF）は、リンクが頻繁に変更される大規模エリ
アネットワークに適しています。RIP に比べ、サブネットの処理も大幅に優れています。OSPF
プロトコルでは、最短パスツリーを構築するために隣接機器への各リンクがアクティブにテ
ストされ、この情報に基づいてルーティングテーブルが作成されます。その後、 IP マルチ
キャストによってルーティング情報が伝搬されます。また、さらにルーティングトラフィッ
ク量を低減するために、ルーティングエリア分割スキームが使用されます。
注 : このデバイスに実装されている OSPF プロトコルはバージョン 2 （RFC 2328）に準拠してい
ます。バージョン 1 （RFC 1583）互換モードもサポートされるため、旧式の OSPF ルータが
存在する場合も、ネットワーク全体のサマリールートコストを同じ方法で計算することがで
きます。また、準スタブエリアオプション（RFC 1587）もサポートされます。
isolated
area
stub
ABR
ABR
virtual
link
backbone
ABR
ABR
normal
area
ASBR
NSSA
Autonomous System A
ASBR
ASBR
Router
external network
Autonomous System B
コマンドの使用
• OSPF で調べられるのは単純なホップカウントのみではありません。任意のノードへの最
短パスがツリーに追加される際に、遅延、スループット、およびコネクティビティに基づ
いて最適パスが選択されます。 OSPF では、ルーティングパス更新の送信または受信に必
要となるルーティングトラフィック量を低減するために、 IP マルチキャストが使用されま
す。また、 OSPF 機能で使用されるルーティングエリア分割スキームによってさらにルー
ティングトラフィック量が低減されるため、本質的に新たな次元のルーティング保護を実
現できます。さらに、すべてのルーティングプロトコルの交換を認証することも可能です。
すなわち、 OSPF アルゴリズムは、 TCP/IP インターネットにおけるオペレーションを効率
化するよう調整されています。
3-235
3
スイッチの構成
• OSPFv2 は OSPF がアップグレードされたものであり、 OSPF と互換性があります。プロ
トコルメッセージ認証が強化され、OSPF を非ブロードキャストネットワークで実行可能
なポイント対マルチポイントインターフェースが付加されています。このほか、重複した
エリア範囲がサポートされます。
• OSPF を使用する際は、ネットワーク（自律システム）を標準、スタブ、または準スタブ
エリアに編成し、リンクステートアドバタイズメントで集約可能なサブネットアドレス
の範囲を構成し、バックボーンへの直接的な物理アクセスを持たないエリアにバーチャル
リンクを構成する必要があります。
- 大規模ネットワークに OSPF を実装するには、まずネットワークを論理的なエリアに編
成して、リンクステートアドバタイズメント（LSA）をアクティブに交換する OSPF
ルータの数を抑える必要があります。その後、このルータに構成されている IP インター
フェースをいずれかのエリアに割り当て、 OSPF インターフェースを定義できます。こ
の OSPF インターフェースでは、隣接 OSPF ルータとの間で OSPF トラフィックが送
受信されます。
- 多数のサブネットワークアドレスをカバーするエリア範囲を指定して、さらに OSPF ト
ラフィックの交換を最適化できます。これは、エリア境界ルータ（ABR）間で交換され
るトラフィック量を制限するために重要となる技法です。
- 最後に、 OSPF バックボーンに物理的に接続されていない OSPF エリアへのバーチャル
リンクを指定する必要があります。バーチャルリンクにより、隣接するエリア間に冗長
リンクが提供されるため、エリアのパーティショニングを防止したり、バックボーンエ
リアをマージすることもできます。
全般プロトコル設定の構成
ダイナミック OSPF ルーティングを実装するには、まずこのルータを接続する各 IP サブネッ
トに VLAN グループを割り当てます。次に、「OSPF」の「General Configuration」メニュー
を使用して OSPF を有効にし、このデバイスにルータ ID を割り当て、その他の基本的なプロ
トコルパラメータを設定します。
コマンド属性
General Information
• 「OSPF Routing Process」 – ルータ上のすべての IP インターフェースで OSPF ルーティ
ングを有効または無効にします（デフォルト : オフ）。
• 「OSPF Router ID」 – このデバイスに、自律システム内で一意のルータ ID を割り当てます
（デフォルト : 最小のインターフェースアドレス）。
• 「Version Number」1 – このルータでは OSPF バージョン 2 のみがサポートされます。
• 「Area Border Router」 1 – このルータが 2 つ以
上のエリアのネットワークに直接接続されてい
るかどうかが示されます。各エリア境界ルータで
はショーテストパスファーストアルゴリズムが
別々に実行され、エリアごとにルーティングデー
タベースが維持されます。
1.
これらの項目は読取り専用です。
3-236
backbone
ABR
area,
stub,
NSSA
3
IP ルーティング
• 「AS Boundary Router」1 – このルータ
が、接続されている可能性のあるほかの
自律システム内の境界ルータとルー
ティング情報を交換することができま
す。ルータが ASBR として有効にされ
ている場合、自律システム内のその他す
べてのルータがこのデバイスから外部
ルートを学習できます（デフォルト : オフ）。
AS 1
ASBR
ASBR
AS 2
• 「Rfc1583 Compatible」 – ルーティングドメインに OSPF バージョン 1 を使用するルータ
が 1 つ以上存在する場合、このルータで RFC 1583 （OSPFv1）互換モードを使用して、す
べてのルータが同一の RFC によってサマリールートコストを計算するようにする必要が
あります。このフィールドをオンにすると、ルータによるサマリールートコストの計算に
強制的に RFC 1583 が使用されます（デフォルト : オフ）。
• 「SPF Hold Time (seconds)」 – 連続する 2 回のショーテストパスファースト（SPF）計算
の間の保持時間（範囲 : 0 ～ 65535、デフォルト : 10）
• 「Area Numbers」
1
– このルータに構成されている OSPF エリアの数
Default Route Information
• 「Originate Default Route」 1 – 自律システムへのデフォルト外部ルートを生成します。「AS
Boundary Router」フィールドを有効にし、「Advertise Default Route」フィールドを適
切に構成する必要があります（デフォルト : オフ）。
• 「Advertise Default Route」 1 – ルータは自律システム（AS）にデフォルト外部ルートをア
ドバタイズできます（オプション : 「NotAlways」、「Always」、デフォルト : 「NotAlways」）。
• 「Always」 – デフォルト外部ルートが実際には存在しない場合でも、ルータはそれ自体を
デフォルト外部ルートとして AS にアドバタイズします。
• 「NotAlways」 – ルータが RIP またはスタティックコンフィギュレーションによって外
部ルートをインポートするよう構成され、そのルートが既知の場合のみ、デフォルト外
部ルートを AS にアドバタイズできます（3-254 ページの「外部ルートの再配信」を参照）。
• 「External Metric Type」 1 – デフォルトルートのアドバタイズメントに使用する外部リン
クタイプ。タイプ 1 のルートアドバタイズメントでは、外部ルートメトリックに内部コ
ストが加算されます。タイプ 2 のルートでは、内部コストメトリックは加算されません。
タイプ 2 ルートの比較では、同一コストのタイプ 2 ルートが複数ある場合のみ同点決着と
して内部コストが使用されます（デフォルト : タイプ 2）。
• 「Default External Metric」 1 – デフォルトルートに割り当てるメトリック
（範囲 : 1 ～ 65535、デフォルト : 10）
1.
CLI - これらの項目は default-information originate コマンド（4-275 ページ）によって構成され
ます。
3-237
3
スイッチの構成
ウェブ - 「Routing Protocol」、「OSPF」、「General Configuration」の順にクリックします。
OSPF を有効にし、ルータ ID を指定します。次に、必要に応じてその他のグローバルパラ
メータを構成し、「Apply」をクリックします。
図 3-135. OSPF の全般構成
CLI - この例では、ウェブインターフェースの画面キャプチャと同じ設定をルータに構成して
います。
Console(config)#router ospf
Console(config-router)#router-id 10.1.1.253
Console(config-router)#no compatible rfc1583
Console(config-router)#default-information originate always
metric 10 metric-type 2
Console(config-router)#timers spf 10
Console(config-router)#
3-238
4-273
4-274
4-274
4-275
4-276
IP ルーティング
3
OSPF エリアの構成
自律システムには、エリア識別子 0.0.0.0 で指定されるバックボーンエリアを構成する必要が
あります。デフォルトでは、その他すべてのエリアはノーマルトランジットエリアとして作
成されます。
ノーマルエリアのルータでは、個々のノードのルーティング情報をインポートまたはエクス
ポートできます。ネットワークにフラッディングされるルーティングトラフィック量を低減
するために、エリア内の広範なネットワークアドレスをカバーする単一のサマリールートを
エクスポートするようエリアを構成することができます（3-242 ページ）。さらにエリア間で
受渡しされるルート量を低減するために、エリアをスタブまたは準スタブエリア（NSSA）と
して構成することができます。
ノーマルエリア – 大規模な OSPF ドメインは複数のエ
リアを分割し、アドレス範囲を単一ルートに集約した
ルートサマリーを使用することによって、ネットワーク
の安定性を高め、必要なルーティングトラフィック量を
低減する必要があります。バックボーンまたはノーマル
エリアでは、ほかのエリア間のトラフィックを受け渡す
ことができるため、トランジットエリアと呼ばれます。
同じエリア内の各ルータでは同一のルーティングテーブ
ルが保持されます。これらのテーブルには、エリアリン
ク、サマライズされたリンク、または自律システムのト
ポロジを表す外部リンクを保持できます。
スタブ – スタブは外部ルーティング情報を受理しませ
ん。代わりに、ローカルエリアまたは自律システム外の
すべての宛先についてデフォルト外部ルートをスタブ
に送信するよう、スタブに隣接するエリア境界ルータを
構成できます。このルートは、スタブに着信するトラ
フィックの単一エントリポイントとしてもアドバタイ
ズされます。スタブを使用すると、ネットワーク上で交
換する必要のあるトポロジデータ量を大幅に低減でき
ます。
area
ABR
backbone
ABR
area
backbone
ABR
stub
default
external
route
• デフォルトでは、スタブが自律システム内のほかのエリアにトラフィックを渡す際は、デ
フォルト外部ルートのみを使用できます。または、タイプ 3 サマリーリンクアドバタイズ
メントをスタブに送信するようエリア境界ルータを構成することもできます。
NSSA – 準スタブエリア（NSSA）はスタブと同様です。多くの外部ルーティング情報はブ
ロックされ、 NSSA と自律システム（AS）内のほかのエリア間で渡されるトラフィックにつ
いて単一のデフォルトルートをアドバタイズするよう構成できます。また、 NSSA では、 RIP
ドメインやローカルで構成されたスタティックルートなど、AS 外の 1 つ以上の小規模なルー
ティングドメインから外部ルートをインポートすることもできます。この外部 AS ルーティ
ング情報は NSSA の ASBR によって生成され、 NSSA 内でのみアドバタイズされます。デ
フォルトでは、これらのルートはエリア境界ルータからバックボーンやほかのエリアにフ
ラッディングされません。ただし、 NSSA の ABR によって NSSA 外部 LSA （タイプ 7）が外
部 LSA （タイプ 5）に変換され、 AS 内のほかのエリアに伝搬されます。
3-239
3
スイッチの構成
default external
route for another
routing domain
5
backbone
7
ABR
NSSA ASBR
Router
default external
route for local AS
external network
AS
• NSSA 外部 LSA によってアドバタイズ可能なルートとして、OSPF によって学習された AS
外のネットワーク宛先、デフォルトルート、スタティックルート、 RIP などほかのルー
ティングプロトコルから派生したルート、 OSPF が実行されていないネットワークに直接
接続されたルートなどがあります。
• また、スタブエリアとは異なり、すべてのタイプ 3 サマリー LSA は常に NSSA にインポー
トされるため、ルートの選択時にはタイプ 7 NSSA 外部ルートより内部ルートが常に優先
されます。
デフォルトコスト – エリア境界ルータ（ABR）からスタブまたは準スタブエリア（NSSA）
に送信されるデフォルトサマリールートのコストを表します。
コマンドの使用
• スタブまたは NSSA を作成する前に、「Network Area Address Configuration」画面でエリ
アのアドレス範囲を指定します（3-250 ページ）。
• スタブおよび NSSA をトランジットエリアとして使用することはできません。また、スタ
ブおよび NSSA はルーティングドメインのエッジに配置してください。
• 各スタブまたは NSSA では複数の ABR またはエグジットポイントを使用できます。ただ
し、外部宛先ごとにエグジットポイントを決定する必要をなくすために、すべてのエグ
ジットポイントおよびローカルルータは同一の外部ルーティングデータを保持する必要
があります。
コマンド属性
• 「Area ID」 – エリア、スタブ、または NSSA の識別子
• 「Area Type」 – ノーマルエリア、スタブエリア、または準スタブエリア（NSSA）が示さ
れます。デフォルトでは、エリア ID 0.0.0.0 はバックボーンに設定されます
（デフォルト : 「Normal」エリア）。
• 「Default Cost」 – エリア境界ルータ（ABR）からスタブに送信されるデフォルトサマリー
ルートのコスト（範囲 : 0 ～ 16777215、デフォルト : 1）
- デフォルトコストを「0」に設定すると、ルータから接続スタブにデフォルトルートが
アドバタイズされません。
• 「Summary」 – ABR からスタブにタイプ 3 サマリーリンクアドバタイズメントを送信しま
す（デフォルト : 「Summary」）。
- スタブは、タイプ 4 AS サマリー LSA およびタイプ 5 外部 LSA をブロックすることに
より、ルーティングテーブルスペースを節約するよう設計されています。「NoSummary」
オプションを使用して、ローカルエリアまたは AS 外の宛先についてデフォルトルート
をアドバタイズするタイプ 3 サマリー LSA もブロックすると、スタブは完全に隔離され
ます。
3-240
IP ルーティング
3
注 : このルータでは最大 16 個のエリア（ノーマルトランジットエリア、スタブ、または NSSA）
がサポートされます。
ウェブ - 「Routing Protocol」、「OSPF」、「Area Configuration」の順にクリックします。必要
に応じてエリアをスタブまたは NSSA に設定し、スタブに送信されるデフォルトサマリー
ルートのコストを指定して、「Apply」をクリックします。
図 3-136. OSPF エリアの構成
CLI - この例では、エリア 0.0.0.1 をノーマルエリアとして、エリア 0.0.0.2 をスタブとして、
エリア 0.0.0.3 を NSSA として構成しています。また、スタブにデフォルトサマリールート
を伝搬するようルータを構成し、このデフォルトルートのコストを 10 に設定しています。
Console(config-router)#network 10.1.1.0 255.255.255.0 area 0.0.0.1
Console(config-router)#area 0.0.0.2 stub summary
Console(config-router)#area 0.0.0.2 default-cost 10
Console(config-router)#area 0.0.0.3 nssa
Console(config-router)#end
4-280
4-281
4-277
4-282
3-241
3
スイッチの構成
Console#show ip ospf
Routing Process with ID 192.168.1.253
Supports only single TOS(TOS0) route
Number of area in this router is 3
Area 0.0.0.0 (BACKBONE)
Number of interfaces in this area is 1
SPF algorithm executed 40 times
Area 0.0.0.2 (STUB)
Number of interfaces in this area is 1
SPF algorithm executed 8 times
Area 0.0.0.3 (NSSA)
Number of interfaces in this area is 1
SPF algorithm executed 40 times
Console#
4-291
エリア範囲の構成（ABR のルートサマライゼーション）
OSPF エリアには多数のノードを含めることができます。エ
リア境界ルータ（ABR）がこれらの各ノードのルート情報を
アドバタイズする必要がある場合、多くの帯域とプロセッサ
area
ABR area
時間が消費されます。このような状況を回避するために、エ
summary
リア内のすべてのネットワークをカバーする単一のサマ
route
リールートをアドバタイズするよう ABR を構成することが
できます。ルートサマリーを使用する場合、ローカル変更を
ほかのエリアルータに伝搬する必要はありません。そのため、 OSPF を大規模なネットワー
クへ容易に拡張し、より安定したネットワークトポロジを実現できます。
コマンドの使用
• エリアのルートをサマライズするには、「Area Range Configuration」ページを使用します。
エリアのサマリールートは、 IP アドレスおよびネットワークマスクで定義します。すな
わち、エリア内のすべてのルートをアドレス範囲として簡単に指定できるよう、連続した
アドレスで各エリアを構築する必要があります。このルータでは可変長サブネットマスク
（VLSM）もサポートされるため、任意のビット境界でネットワークアドレスにアドレス範
囲をサマライズできます。
• 自律システム（ローカルルーティングドメイン）にインポートした外部 LSA をサマライ
ズするには、「Summary Address Configuration」画面を使用します（3-253 ページ）。
コマンド属性
• 「Area ID」 – ルートをサマライズするエリアを指定します（エリア ID は IP アドレスと同じ
形式にする必要がある）。
• 「Range Network」 ends; サマライズするルートの基本アドレス
• 「Range Netmask」 – サマリールートのネットワークマスク
• 「Advertising」 – サマリールートをアドバタイズするかどうかを指定します。サマリーを
送信しない場合、ルートはネットワークのほかのエリアで認識されません
（デフォルト : 「Advertise」）。
注 : このルータでは、アドレス範囲をカバーするサマリールートが最大 64 個サポートされます。
3-242
IP ルーティング
3
ウェブ - 「Routing Protocol」、「OSPF」、「Area Range Configuration」の順にクリックします。
エリア識別子、基本アドレス、およびネットワークマスクを指定し、サマリールートをほか
のエリアにアドバタイズするかどうかを選択して、「Apply」をクリックします。
図 3-137. OSPF 範囲の構成
CLI - この例では、エリア 1 のすべてのルートをサマライズしています。 area range コマン
ドでは、デフォルトでルートサマリーがアドバタイズされます。構成済みのサマリールート
が、エリア 1 の情報リストに示されています。
Console(config-router)#area 0.0.0.1 range 10.1.1.0 255.255.255.0
Console(config-router)#end
Console#show ip ospf
Routing Process with ID 10.1.1.253
Supports only single TOS(TOS0) route
Number of area in this router is 4
Area 0.0.0.0 (BACKBONE)
Number of interfaces in this area is 0
SPF algorithm executed 47 times
Area 0.0.0.1
Number of interfaces in this area is 3
SPF algorithm executed 14 times
Area ranges are
255.255.255.0/24 Active
Console#
4-280
3-243
3
スイッチの構成
OSPF インターフェースの構成
このルータ上に存在するほかのネットワークセグメントまたはネットワークのほかの場所と
通信する必要のあるローカルサブネットにルーティングインターフェースを指定する必要
があります。まず、このルータに直接接続する各サブネットに対して VLAN を構成し、各
VLAN に IP インターフェース（1 つのプライマリインターフェースと 1 つ以上のセカンダリ
インターフェース）を割り当てます。次に、「OSPF」、「Network Area Address Configuration」
の順にクリックして表示されるページで、 OSPF エリアにインターフェースアドレス範囲を
割り当てます。
OSPF エリアにルーティングインターフェースを割り当てた後、「OSPF」、「Interface
Configuration」の順にクリックして表示されるページで、 OSPF が使用するインターフェー
ス固有のパラメータを構成し、指定ルータの選択、リンクステートアドバタイズメントのタ
イミングの制御、優先パスの選択時に使用するコスト、ルーティングメッセージの認証方法
の指定を行う必要があります。
フィールド属性
OSPF Interface List
• 「VLAN ID」 – IP インターフェースが割り当てられている VLAN
• 「Interface IP」 – 選択した VLAN に関連付けられている IP インターフェース
• 「Area ID」 – このインターフェースが割り当てられているエリア
• 「Designated Router」 – このエリアの指定ルータ
• 「Backup Designated Router」 – このエリアの指定バックアップルータ
• 「Entry Count」 – この VLAN に割り当てられている IP インターフェースの数
注 : このルータでは最大 64 個の OSPF インターフェースがサポートされます。
Detail Interface Configuration
• 「VLAN ID」 – 選択したインターフェースに対応する VLAN
• 「Rtr Priority」 – このルータのインターフェースプライオリティを設定します
（範囲 : 0 ～ 255、デフォルト : 1）
- 各 OSPF エリアでは、ルータプライオリティに基づいて指定ルータ（DR）およびバッ
クアップ指定ルータ（BDR）が選択されます。 DR により、ルーティングトポロジ情報
を交換するエリア内のその他すべてのルータに対するアクティブな隣接性が形成されま
す。何らかの理由で DR が障害になった場合は、 BDR がこのロールを引き継ぎます。
- プライオリティが最も高いルータが DR になり、プライオリティが次に高いルータが
BDR になります。複数のルータに同一のプライオリティが設定されている場合、 ID が
より大きいルータが選択されます。ルータが DR または BDR として選択されないよう
にするために、プライオリティを 0 に設定できます。
- このインターフェースが参加したときにすでに DR が存在している場合、そのプライオ
リティに関わらず、新規ルータで現在の DR が受理されます。 DR は、次の選択プロセ
スが開始されるまで変更されません。
• 「Transmit Delay」 – インターフェースでリンクステート更新パケットを送信する見積も
り時間を設定します（範囲 : 1 ～ 65535 秒、デフォルト : 1）。
- 送信前に、遅延の分だけ LSA のエージが増加されます。この遅延を見積もる際は、イン
ターフェースの送信遅延および伝搬遅延を両方考慮してください。送信遅延はリンクス
ピードに応じて設定してください。低スピードリンクには大きい値を使用します。
3-244
3
IP ルーティング
- 送信遅延は、自律システム内のすべてのルータで同じにする必要があります。
- 低速なリンクでは、ルータがデバイスのパケット受信能力より速いスピードでパケット
を送信する場合があります。このような問題を防止するために、送信遅延を使用して、
送信前に指定した時間だけルータを強制的に待機させることができます。
• 「Retransmit Interval」 – リンクステートアドバタイズメントの再送信間隔を設定します
（範囲 : 1 ～ 65535 秒、デフォルト : 1）。
- ルータでは、肯定応答が受信されない場合に LSA が隣接機器に再送信されます。再送信
間隔は、ルーティング情報が適切に流れ、かつ不要なプロトコルトラフィックが生成さ
れないよう控え目な値に設定してください。バーチャルリンクでは、この値を大きくす
る必要があります。
- 不要な再送信を防ぐには、この間隔を、接続されたネットワーク上の任意のルータ間の
ラウンドトリップ遅延より大きい値に設定します。
• 「Hello Interval」 – インターフェースで hello パケットを送信する間隔を設定します
（範囲 : 1 ～ 65535 秒、デフォルト : 10）。
- この間隔は、ネットワーク上のすべてのルータで同じ値を設定する必要があります
- Hello 間隔を短くすると、ネットワークトポロジの変化をより迅速に検知できますが、
ルーティングトラフィックが増加する可能性があります。
• 「Rtr Dead Interval」 – hello パケットが受信されない状態で待機する間隔を設定します。こ
の期間が経過すると、隣接機器はルータが停止したことを宣言します。この間隔は、ネッ
トワーク上のすべてのルータで同じ値を設定する必要があります
（範囲 : 1 ～ 65535 秒、デフォルト : 40 または「Hello Interval」の 4 倍）。
• 「Cost」 – インターフェースでのパケット送信コストを設定します。値が高いほどポートが
低速であることを示します（範囲 : 1 ～ 65535、デフォルト : 1）。
- このルータでは、すべてのポートに対してデフォルトコスト 1 が使用されます。すなわ
ち、ギガビットモジュールをインストールする場合、すべての 100 Mbps ポートのコス
トを 1 より大きい値に変更する必要があります。
- その後、ルート内の各インターフェースリンクの全メトリック合計に等しいメトリック
がルートに割り当てられます。
• 「Authentication Type」 – インターフェースで使用する認証タイプを指定します
（オプション : 「None」、「Simple password」、「MD5」、デフォルト : 「None」）。
- 認証は、認証されていないエリアにルータが参加しないようにするために使用します。
同じエリア内のルータには同じパスワードまたはキーを構成します。
- 簡易パスワード認証を使用する場合、パスワードはパケットに挿入されます。受信ルー
タに構成されているパスワードと合致しない場合、パケットは廃棄されます。この方法
では、ルーティングプロトコルパケットのスヌーピングによって認証キーが特定される
可能性があるため、セキュリティは非常に限定されます。
- メッセージダイジェスト 5 （MD5）認証を使用する場合、ルータでは MD5 アルゴリズム
によって認証キーから 128 ビットのメッセージダイジェストが作成され、データの整合
性が確認されます。正しいキーおよびキー ID を使用しなければ、あらかじめ指定された
ターゲットメッセージダイジェストと同じメッセージを作成することはほぼ不可能です。
- 自律システム全体で同一の「Authentication Key」と「Message Digest Key-id」を使用す
る必要があります（この認証タイプが選択されていない場合、「Message Digest Key-id」
フィールドは無効になる）。
3-245
3
スイッチの構成
• 「Authentication Key」 – ルーティングプロトコルメッセージの認証性を確認するために
隣接ルータが使用するプレーンテキストパスワードを割り当てます（範囲 : 簡易パスワー
ドの場合は 1 ～ 8 文字、 MD5 認証の場合は 1 ～ 16 文字、デフォルト : キーなし）。
- ルーティングデータベースのセキュリティを高めるために、各ネットワーク（自律シス
テム）に一意のパスワードを割り当てることができます。ただし、ネットワーク全体の
すべての隣接ルータで必ずこのパスワードを使用する必要があります。
• 「Message Digest Key-id」 – 隣接ルータに送信されたルーティングプロトコルメッセージ
の認証性を確認するために認証キーとともに使用するキー ID を割り当てます
（範囲 : 1 ～ 255、デフォルト : なし）。
- 通常、アウトバウンドパケットの認証情報を生成するため、および着信パケットを認証
するために、各インターフェースでキーが 1 つのみ使用されます。隣接ルータでは同一
のキー識別子とキー値を使用する必要があります。
- 新しいキーに変更すると、すべてのプロトコルメッセージについて、ルータから古い
キーが含まれるものと新しいキーが含まれるものが両方送信されます。すべての隣接
ルータが新しいキーを使用してこのルータにプロトコルメッセージを返信し始めると、
ルータでは古いキーの使用が中止されます。このロールオーバプロセスにより、ネット
ワークコネクティビティに影響を与えることなく、ネットワーク上のすべてのルータを
更新するための時間がネットワーク管理者に与えられます。セキュリティ上の理由から、
すべてのネットワークルータが新しいキーで更新されたら古いキーは削除してください。
ウェブ - 「Routing Protocol」、「OSPF」、「Interface Configuration」の順にクリックします。ス
クロールダウンボックスから必要なインターフェースを選択し、「Detailed Settings」をクリッ
クします。
図 3-138. OSPF インターフェースの構成
3-246
IP ルーティング
3
インターフェース固有のプロトコルパラメータを更新し、「Apply」をクリックします。
図 3-139. OSPF インターフェースの構成 - 詳細
CLI - この例では、 VLAN 1 のインターフェースパラメータを構成しています。
Console(config)#interface vlan 1
Console(config-if)#ip ospf priority 5
Console(config-if)#ip ospf transmit-delay 6
Console(config-if)#ip ospf retransmit-interval 7
Console(config-if)#ip ospf hello-interval 5
Console(config-if)#ip ospf dead-interval 50
Console(config-if)#ip ospf cost 10
Console(config-if)#ip ospf authentication message-digest
Console(config-if)#ip ospf message-digest-key 1 md5 aiebel
Console#
4-289
4-291
4-290
4-289
4-288
4-288
4-285
4-287
3-247
3
スイッチの構成
バーチャルリンクの構成
すべての OSPF エリアをバックボーンに接
続する必要があります。バックボーンに直
接接続されていないエリアについては、
バックボーンへの論理パスを提供するバー
チャルリンクを構成することができます。
隔離エリアをバックボーンに接続するため
に、単一の非バックボーンエリア（トラン
ジットエリア）を経由する論理パスでバッ
クボーンに到達できます。このパスを定義
するには、隔離エリアを共通のトランジッ
backbone
ABR
トエリアに接続するエンドポイントとして
機能する ABR を構成し、共通のトランジッ
トエリアをバックボーン自体に接続する別
のエンドポイントとして機能する隣接 ABR
を指定する必要があります（スタブまたは
NSSA エリアを経由するバーチャルリンクを構成することはできない）。
isolated
area
ABR
virtual
link
normal
area
バーチャルリンクは、任意のエリアとバックボーン間の冗長リンクを確立し、エリアのパー
ティショニングを防止したり、既存の 2 つのバックボーンエリアを共通のバックボーンに接
続するために使用することもできます。
コマンド属性
• 「Area ID」 – バーチャルリンクのトランジットエリアを指定します
• （エリア ID は IP アドレスと同じ形式にする必要がある）。
• 「Neighbor Router ID」 – バーチャルリンクの反対側に位置する隣接ルータ。バーチャルリ
ンクにおいてバックボーンとトランジットエリアの両方に隣接しているエリア境界ルータ
（ABR）を指定する必要があります。
• 「Events」 – このバーチャルリンク上の状態変化またはエラーイベントの数
その他の項目については、 3-244 ページの「OSPF インターフェースの構成」で説明します。
注 : このルータでは最大 64 本のバーチャルリンクがサポートされます。
3-248
IP ルーティング
3
ウェブ - 「Routing Protocol」、「OSPF」、「Virtual Link Configuration」の順にクリックします。
新規バーチャルリンクを作成するには、「Area ID」および「Neighbor Router ID」を指定し、
リンク属性を構成して、「Add」をクリックします。既存のリンクの設定を変更するには、必
要なエントリの「Detail」ボタンをクリックし、リンク設定を変更して、「Set」をクリックし
ます。
図 3-140. OSPF バーチャルリンクの構成
CLI - この例では、エリア 0.0.0.4 に隣接する ABR からトランジットエリアを経由し、リン
クの反対側に位置するバックボーンに隣接した隣接ルータ 10.1.1.252 までのバーチャルリ
ンクを構成しています。
Console(config-router)#area 0.0.0.0 virtual-link 10.1.1.252
Console(config-router)#
4-283
3-249
3
スイッチの構成
ネットワークエリアアドレスの構成
ネットワーク性能への影響を抑えるために、 OSPF プロトコルブロードキャストメッセージ
（リンクステートアドバタイズメントまたは LSA）はエリアに制限されます。大規模なネッ
トワークは複数の OSPF エリアに分割し、ネットワークの安定性を高め、またルーティング
情報をよりコンパクトなメッセージにサマライズすることによってプロトコルトラフィック
を低減する必要があります。同じエリア内の各ルータでは、エリアリンク、直接接続された
エリアのルートサマリー、ほかのエリアへの外部リンクなど、同一のネットワークトポロジ
ビューが共有されます。
コマンドの使用
• エリア ID とそれに対応するネットワークアドレス範囲を指定するには、「Network Area
Address Configuration」ページを使用します。各エリアにより、アクティブに LSA を交換
する OSPF ルータの論理グループが指定され、これらのルータ間で同一のネットワークト
ポロジビューが共有されます。
• 各エリアはバックボーンエリアに接続されている必要があります。このエリアでは、自律
システム内のほかのエリア間のルーティング情報が受渡しされます。デフォルト値 0.0.0.0
はバックボーンのエリア ID として使用されます。すべてのルータは、直接、または直接的
な物理接続が不可能な場合はバーチャルリンクによって、バックボーンに接続されている
必要があります。
• 「Network Area Address Configuration」ページで構成されたエリアは、デフォルトでノーマ
ルエリア（またはトランジットエリア）として設定されます。ノーマルエリアでは、外
部リンクステートアドバタイズメント（LSA）を送受信できます。必要に応じて「Area
Configuration」ページを使用し、外部 LSA を送信または受信できないスタブエリア、また
は外部ルート情報をそのエリアにインポート可能な準スタブエリア（NSSA）としてエリ
アを構成することも可能です（3-239 ページ）。
• エリアにはサブネットワークアドレスの範囲を割り当てる必要があります。このエリアと
対応するアドレス範囲によってルーティングインターフェースが形成されます。すべての
サブネットワークアドレスからの LSA を集約し、この情報をネットワーク内のほかのルー
タと交換するよう構成することができます（3-242 ページ）。
コマンド属性
• 「IP Address」 – エリアに追加するインターフェースのアドレス
• 「Netmask」 – エリアに追加するアドレス範囲のネットワークマスク
• 「Area ID」 – 指定したアドレスまたは範囲を割り当てるエリア。 OSPF エリアによって、共
通のルーティング情報を共有するルータグループが指定されます（エリア ID は IP アドレ
スと同じ形式にする必要がある）。
注 : このルータでは最大 16 個のエリア（ノーマルトランジットエリア、スタブ、または NSSA）
がサポートされます。
3-250
IP ルーティング
3
ウェブ - 「Routing Protocol」、「OSPF」、「Network Area Address Configuration」の順にクリッ
クします。ネットワーク内のその他すべてのエリアに隣接しているバックボーンエリアを構
成し、その他すべての OSPF インターフェースのエリアを構成して、「Apply」をクリックし
ます。
図 3-141. OSPF ネットワークエリアアドレスの構成
3-251
3
スイッチの構成
CLI - この例では、バックボーンエリアと 1 つのトランジットエリアを構成しています。
Console(config-router)#network 10.0.0.0 255.0.0.0 area 0.0.0.0
Console(config-router)#network 10.1.1.0 255.255.255.0 area 0.0.0.1
Console(config-router)#end
Console#show ip ospf
Routing Process with ID 10.1.1.253
Supports only single TOS(TOS0) route
Number of area in this router is 4
Area 0.0.0.0 (BACKBONE)
Number of interfaces in this area is 1
SPF algorithm executed 8 times
Area 0.0.0.1
Number of interfaces in this area is 1
SPF algorithm executed 5 times
Area 0.0.0.2 (STUB)
Number of interfaces in this area is 1
SPF algorithm executed 13 times
Area 0.0.0.3 (NSSA)
Number of interfaces in this area is 1
SPF algorithm executed 12 times
Console#
3-252
4-280
4-291
IP ルーティング
3
サマリーアドレスの構成（外部 AS ルート）
自律システム境界ルータ（ASBR）では、ほかのプロトコルから学習したルートを、接続され
ているすべての自律システムに再配信できます（3-254 ページの「外部ルートの再配信」を参
照）。ローカルルーティングドメインにインポートされる外部 LSA の量を低減するために、
広範な外部アドレスを集約したアグレゲートルートをアドバタイズするようルータを構成で
きます。
コマンドの使用
• 集約するアドレス範囲が不明な場合にルーティングテーブルのサイズを低減し、ローカル
ドメインにアドバタイズする外部ルートを集約するには、まず「Redistribute Configuration」
画面で外部ルートの再配信を有効にし、ルーティングテーブルにインポートされたルート
を表示して、 1 つ以上のサマリーアドレスを構成します。
• OSPF エリア間で送信されるルートをサマライズするには、「Area Range Configuration」
画面を使用します（3-242 ページ）。
コマンド属性
• 「IP Address」 – アドレス範囲をカバーするサマリーアドレス
• 「Netmask」 – サマリールートのネットワークマスク
注 : このルータでは最大 16 個のタイプ 5 サマリールートがサポートされます。
ウェブ - 「Routing Protocol」、「OSPF」、「Summary Address Configuration」の順にクリック
します。基本アドレスおよびネットワークマスクを指定し、「Add」をクリックします。
図 3-142. OSPF サマリーアドレスの構成
3-253
3
スイッチの構成
CLI - この例では、 192.168.x.x に含まれるすべてのルートのサマリーアドレスを作成してい
ます。
Console(config-router)#summary-address 192.168.0.0 255.255.0.0
Console(config-router)#
4-278
外部ルートの再配信
ほかのルーティングプロトコルから自律システムに外部ルーティング情報をインポートする
ようこのルータを構成できます。
Router
ASBR
OSPF
AS
RIP, or
static routes
コマンドの使用
• このルータでは、 RIP およびスタティックルートの再配信がサポートされます。
• 外部ルートを OSPF 自律システム（AS）に再配信する場合、ルータは自動的に自律システ
ム境界ルータ（ASBR）になります。
• ただし、「General Configuration」画面でルータが手動で ASBR として構成され、再配信が
有効にされていない場合、外部ルートが実際には存在しなくても「常に」デフォルトルー
トをアドバタイズするようルータが構成されているときは、ルータは AS に対して「デフォ
ルト」外部ルートのみを生成します（3-236 ページ）。
• 外部 LSA によってルートを自律システム（AS）外の宛先にアドバタイズする方法は、メ
トリックタイプで指定します。外部ルートメトリックに内部コストを加算するには、タイ
プ 1 を指定します。すなわち、 AS 内のルータからのルートのコストは、アドバタイズする
ASBR までのコストと、外部ルートのコストを加算した値に等しくなります。外部ルート
メトリックのみをアドバタイズするには、タイプ 2 を指定します。
• 再配信するルートに指定されたメトリック値は、「OSPF」、「General Configuration」の順
にクリックして表示される画面（3-236 ページ）で指定した「Default External Metric」の
値より優先されます。
コマンド属性
• 「Redistribute Protocol」 – ルーティング情報をローカルルーティングドメインに再配信
する外部ルーティングプロトコルタイプを指定します
（オプション : 「RIP」、「Static」、デフォルト : 「RIP」）。
• 「Redistribute Metric Type」 – 外部ルートコストの計算に使用する方法を指定します
（オプション : 「Type 1」、「Type 2」、デフォルト : 「Type 1」）。
• 「Redistribute Metric」 – 指定したプロトコルのすべての外部ルートに割り当てるメトリッ
ク（範囲 : 1 ～ 65535、デフォルト : 10）
3-254
IP ルーティング
3
ウェブ - 「Routing Protocol」、「OSPF」、「Redistribute」の順にクリックします。インポート
するプロトコルタイプ、メトリックタイプ、およびパスコストを指定し、「Add」をクリッ
クします。
図 3-143. OSPF 再配信の構成
CLI - この例では、 RIP から学習したルートをタイプ 1 外部ルートとして再配信しています。
Console(config-router)#redistribute rip metric-type 1
Console(config-router)#
4-279
NSSA 設定の構成
準スタブエリア（NSSA）を構成したり、 ABR および ASBR でのデフォルトルートの使用ま
たはほかのルーティングドメインから学習し、 ABR によってインポートする外部ルートの使
用を制御するには、「OSPF」、「NSSA Settings」の順にクリックして表示されるページを使用
します（NSSA エリアの詳細については、 3-239 ページの「OSPF エリアの構成」を参照）。
コマンド属性
• 「Area ID」 – 準スタブエリア（NSSA）の識別子
• 「Default Information Originate」 – NSSA ASBR では、AS 外の既知のネットワーク宛先に
ついてタイプ 7 外部 LSA が作成され、そのエリア全体にフラッディングされます。ただ
し、 AS 外のエリアに対してタイプ 7 「デフォルト」ルートを生成するよう NSSA ASBR を
構成したり、 AS 内のほかのエリアに対してタイプ 7 「デフォルト」ルートを生成するよう
NSSA ABR を構成することも可能です（デフォルト : 「Disabled」）。
3-255
3
スイッチの構成
• 「No Redistribution」 – ほかのルーティングドメイン（またはプロトコル）から AS に情報
をインポートするには、「Redistribute Configuration」ページ（3-254 ページ）を使用しま
す。ただし、ルータが NSSA ABR の場合、ほかの OSPF エリアのルータから学習した外
部ルートを NSSA で受理するかどうかを選択できます（デフォルト : 「Enabled」）。
注 : このルータでは、最大 16 個のエリア（ノーマルトランジットエリア、スタブ、または NSSA）
がサポートされます。
ウェブ - 「Routing Protocol」、「OSPF」、「NSSA Settings」の順にクリックします。新規 NSSA
を作成するか既存の NSSA のルーティング動作を変更し、「Apply」をクリックします。
図 3-144. OSPF NSSA の設定
CLI - この例では、エリア 0.0.0.1 をスタブとして構成し、デフォルトサマリールートのコス
トを 10 に設定しています。
Console(config-router)#area 0.0.0.1 nssa
default-information- originate
Console(config-router)#area 0.0.0.2 nssa no-redistribution
Console(config-router)#
3-256
4-282
4-282
IP ルーティング
3
リンクステートデータベース情報の表示
OSPF ルータでは、リンクステートアドバタイズメント（LSA）によってルートがアドバタ
イズされます。接続されたエリアからルータインターフェースによって収集されたすべての
LSA の集合体は、リンクステートデータベースと呼ばれます。複数のインターフェースに接
続されたルータには、エリアごとに別々のデータベースが保持されます。同じエリアの各ルー
タでは、そのエリアのトポロジおよび外部宛先への最短パスを記述した同一のデータベース
が保持されます。
新規ルータが検知されると、すぐに隣接ルータ間で完全なデータベースが交換されます。以
後、ルーティングテーブルの変更は、信頼できるフラッディングと呼ばれるプロセスによっ
て、隣接ルータとの間で同期化されます。このルータのデータベースに保存されている様々
な LSA に関する情報を表示できます。これには、次のタイプが含まれます。
• ルータ（タイプ 1） – OSPF エリア内のすべてのルータは、アクティブなインターフェース
および隣接機器の状態とコストを記述したルータ LSA を作成します。
• ネットワーク（タイプ 2） – 各エリアの指定ルータは、このネットワークセグメントに接続
されたすべてのルータを記述したネットワーク LSA を作成します。
• サマリー（タイプ 3） – エリア境界ルータは、エリア外にあるサブネットワークまでのコス
トを記述したサマリー LSA を生成できます。
• AS サマリー（タイプ 4） – エリア境界ルータは、自律システム境界ルータ（ASBR）まで
のコストを記述した AS サマリー LSA を生成できます。
• AS 外部（タイプ 5） – ASBR は、 AS 外の既知の各ネットワーク宛先について AS 外部 LSA
を生成できます。
• NSSA 外部（タイプ 7） – NSSA 内の ASBR は、 AS 外の既知の各ネットワーク宛先につい
て NSSA 外部リンクステートアドバタイズメントを生成します。
コマンド属性
• 「Area ID」 – 定義されている LSA 情報を表示するエリア（この項目は IP アドレスと同じ形
式で入力する必要がある）
• 「Link ID」 – LSA で記述されたネットワーク部分。「Link ID」には次のいずれかを指定する
必要があります。
- タイプ 3 サマリーおよびタイプ 5 AS 外部 LSA の場合は、 IP ネットワーク番号（タイプ
5 AS 外部 LSA によりデフォルトルートが記述される場合、そのリンク ID はデフォル
トの宛先 0.0.0.0 に設定される）
- ルータ、ネットワーク、およびタイプ 4 AS サマリー LSA の場合は、ルータ ID
• 「Self-Originate」 – このルータで作成された LSA が表示されます。
• 「LS Type」 – LSA タイプ（オプション : 「Type 1」～「Type 5」、「Type 7」）。前の説明を
参照してください。
• 「Adv Router」 – アドバタイズするルータの IP アドレス。入力しない場合、アドバタイズ
するすべてのルータに関する情報が表示されます。
• 「Age」1 – LSA のエージ（秒単位）
• 「Seq」
1
– LSA のシーケンス番号（重複した古い LSA を検知するために使用）
• 「CheckSum」
1.
1
– LSA の完全な内容のチェックサム
これらの項目は読取り専用です。
3-257
3
スイッチの構成
ウェブ - 「Routing Protocol」、「OSPF」、「Link State Database Information」の順にクリック
します。表示する LSA のパラメータを指定し、「Query」をクリックします。
図 3-145. OSPF リンクステートデータベース情報
CLI - CLI では、リンクステートデータベースを表示するために、より多くの表示オプション
を選択できます。 4-293 ページの「show ip ospf database」を参照してください。
3-258
IP ルーティング
3
境界ルータに関する情報の表示
このデバイスが認識するエリア境界ルータ（ABR）および自律システム境界ルータ（ASBR）
のローカルルーティングテーブルのエントリを表示できます。
フィールド属性
• 「Destination」 – 宛先ルータの識別子
• 「Next Hop」 – 宛先に向かうネクストホップの IP アドレス
• 「Cost」 – このルートのリンクメトリック
• 「Type」 – 宛先のルータタイプ（ABR または ASBR、あるいはその両方）
• 「Rte Type」 – ルートタイプ（エリア内またはエリア間ルート（「INTRA」または「INTER」））
• 「Area」 – このルートが学習されたエリア
• 「SPF No」 – このルートでショーテストパスファーストアルゴリズムが実行された回数
ウェブ - 「Routing Protocol」、「OSPF」、「Border Router Information」の順にクリックします。
図 3-146. OSPF 境界ルータ情報
CLI - この例では、ローカルエリアの ABR および自律システムの ASBR として機能する 1 台
のルータを表示しています。
Console#show ip ospf border-routers
4-292
Destination
Next Hop
Cost
Type RteType
Area
SPF No
--------------- --------------- ------ ----- -------- --------------- ------10.2.44.5
10.2.44.88
1
ABR
INTRA
0.0.0.1
5
10.2.44.5
10.2.44.88
1
ASBR
INTER
0.0.0.1
5
Console#
3-259
3
スイッチの構成
隣接ルータに関する情報の表示
OSPF エリア内の各インターフェースの隣接ルータに関する情報を表示できます。
フィールド属性
• 「ID」 – 隣接機器のルータ ID
• 「Priority」 – 隣接機器のルータプライオリティ
• 「State」 – OSPF 状態と識別フラグ
• 次の状態があります。
- Down – 接続は切断されています。
- Attempt – 接続は切断されていますが、接触を試行しています（非ブロードキャストネッ
トワーク）。
- Init – Hello パケットを受信しましたが、まだ通信は確立されていません。
- Two-way – 双方向通信が確立されています。
- ExStart – 隣接機器間の隣接性を初期化しています。
- Exchange – データベースの記述を交換しています。
- Loading – LSA データベースを交換しています。
- Full – 隣接ルータが完全に隣接になりました。
• 次の識別フラグがあります。
-
D – ダイナミック隣接機器
S – スタティック隣接機器
DR – 指定ルータ
BDR – バックアップ指定ルータ
• 「Address」 – このインターフェースの IP アドレス
ウェブ - 「Routing Protocol」、「OSPF」、「Neighbor Information」の順にクリックします。
図 3-147. OSPF 隣接機器情報
CLI - この例では、隣接機器として指定ルータとバックアップ指定ルータを表示しています。
Console#show ip ospf neighbor
ID
Pri
State
Address
--------------- ------ ---------------- --------------10.2.44.5
1
FULL/DR
10.2.44.88
10.2.44.6
2
FULL/BDR
10.2.44.88
Console#
3-260
4-301
マルチキャストルーティング
3
マルチキャストルーティング
このルータでは、距離ベクトルマルチキャストルーティングプロトコル（DVMRP）または
プロトコル独立型マルチキャスティング稠密モード（PIM-DM）によって、異なるサブネット
ワークにマルチキャストトラフィックをルーティングできます。これらのプロトコルにより、
マルチキャストトラフィックがダウンストリームにフラッディングされ、最短パスと、送信
元をルートとする各送信元および宛先ホストグループ間の配信ツリーが計算されます。また、
IGMP 対応レイヤー 2 スイッチおよびホストから送信されるメッセージから、ホストがマル
チキャストグループへの参加または離脱をいつ希望したかが判断されます。
DVMRP により、送信元をルートとするマルチキャスト配信ツリーが構築されます。このツ
リーによってループを防止し、マルチキャストトラフィックの送信元までの最短パスを判断
できます。 PIM でも、マルチキャスト送信元ごとに送信元をルートとするマルチキャスト配
信ツリーが構築されますが、それ自体のマルチキャストルーティングテーブルを維持せず、
ルータのユニキャストテーブルの情報が使用されるため、ルーティングプロトコルに依存し
ません。また、稠密モードバージョンの PIM は、主に LAN 環境で生じる過密なマルチキャス
トグループに適しているため、このルータではこのバージョンの PIM がサポートされます。
このルータで DVMRP および PIM-DM が有効にされていない場合、またはネットワークで別
のマルチキャストルーティングプロトコルが使用されている場合、マルチキャストルータに
接続されたスイッチポートを手動で構成できます（3-173 ページ）。
マルチキャストルーティングのグローバル設定の構成
このルータでマルチキャストルーティングを使用するには、まずこの項目で説明する手順に
従ってグローバルにマルチキャストルーティングを有効にし、グローバルに DVRMP （3-265
ページ）または PIM （3-273 ページ）を有効にし、参加させるインターフェースを指定する必
要があります（3-268 ページまたは 3-273 ページ）。 1 つのインターフェースで有効にできる
マルチキャストルーティングプロトコルは 1 つのみです。
ウェブ – 「IP」、「Multicast Routing」、「General Setting」の順にクリックします。「Multicast
Forwarding Status」のチェックボックスをオンにし、「Apply」をクリックします。
図 3-148. マルチキャストルーティングの全般設定
CLI – この例では、ルータでグローバルにマルチキャストルーティングを有効にしています。
Console(config)#ip multicast-routing
Console(config)#
4-305
3-261
3
スイッチの構成
マルチキャストルーティングテーブルの表示
このルータが DVMRP または PIM によって学習した各マルチキャストルートに関する情報
を表示できます。ルータでは、隣接ルータからマルチキャストルートを学習するほか、これ
らのルートを隣接機器にアドバタイズします。ルータには、それ自体またはほかのルータか
ら学習したすべてのパスが保存され、実際のグループメンバーシップやプルーンメッセージ
は考慮されません。すなわち、ルーティングテーブルには、テーブルに登録された特定の送
信元からのマルチキャストトラフィックをルータが処理したことは示されません。これらの
ルートは、グループメンバーが直接接続されたサブネットワーク上またはダウンストリーム
ルータに接続されたサブネットワーク上に存在する場合のみ、マルチキャストトラフィック
の転送に使用されます。
フィールド属性
• 「Group Address」 – マルチキャストサービスの IP グループアドレス
• 「Source Address」 – IP マルチキャスト送信元が属するサブネットワーク
• 「Netmask」 – IP マルチキャスト送信元のネットワークマスク
• 「Interface」 – アップストリーム隣接機器に至るインターフェース
• 「Owner」 – 関連付けられたマルチキャストプロトコル（DVMRP または PIM）
• 「Flags」 – 各インターフェースに関連付けられたフラグには、ダウンストリームインター
フェースが最近切断された場合はプルーン（P）、インターフェースが稼動中の場合は転送
（F）が示されます。
• 「Detail」 – このボタンをクリックすると、選択したエントリに関する詳細情報が表示され
ます。
• 「Upstream Router」1 – このグループのすぐアップストリームにあるマルチキャストルータ
• 「Downstream」 1 – マルチキャストサブスクライバが記録されているインターフェース
1.
これらの項目は「IP Multicast Routing Entry (Detail)」テーブルに表示されます。
3-262
マルチキャストルーティング
3
ウェブ – 「IP」、「Multicast Routing」、「Multicast Routing Table」の順にクリックします。エ
ントリの追加情報を表示するには、該当するエントリの「Detail」をクリックします。
図 3-149. マルチキャストルーティングテーブル
3-263
3
スイッチの構成
CLI – この例では、マルチキャスト転送が有効にされていることが示されています。マルチ
キャストルーティングテーブルには、 DVMRP によってルーティングされるマルチキャスト
送信元のエントリと PIM によってルーティングされる別の送信元のエントリが 1 つずつ表示
されています。
Console#show ip mroute
IP Multicast Forwarding is enabled.
IP Multicast Routing Table
Flags:
P - Prune, F - Forwarding
(234.5.6.7, 10.1.0.0, 255.255.255.0)
Owner: DVMRP
Upstream Interface: vlan2
Upstream Router: 10.1.0.0
Downstream:
(234.5.6.8, 10.1.5.19, 255.255.255.255)
Owner: PIM-DM
Upstream Interface: vlan3
Upstream Router: 10.1.5.19
Downstream:
Console#
3-264
4-305
マルチキャストルーティング
3
DVMRP の構成
距離ベクトルマルチキャストルーティングプロトコル（DVMRP）の動作は RIP に多少似て
います。DVMRP をサポートするルータは、接続されているネットワークへの定期的なフラッ
ディングにより、サポートされているマルチキャストサービスに関する情報を新規ルータお
よびホストに渡します。 DVMRP パケットを受信したルータは、すべてのパス（送信元に戻る
パスを除く）にコピーを送信します。その後、これらのルータが、特定マルチキャストグルー
プからのトラフィックの受信を希望しない LAN に接続されている場合、データストリームを
停止するよう送信元にプルーンメッセージを返信します。ただし、このルータに接続されて
いるホストが、関連マルチキャストサービスへのサブスクライブを希望していることを示す
IGMP メッセージを発行した場合、このルータは DVMRP を使用して送信元をルートとする
マルチキャスト配信ツリーを構築し、これによってループを防いたり、このマルチキャスト
トラフィックの送信元への最短パスを判断します。
source
branch
leaf
leaf
このルータがマルチキャストメッセージを受信すると、ユニキャストルーティングテーブル
をチェックして、送信元への最短パスを提供するポートを見つけます。そのパスが、マルチ
キャストメッセージを受信したポートと同じポートを経由している場合、このルータは、関
連マルチキャストグループのパス情報をルーティングテーブルに記録し、メッセージが着信
したポートを除く隣接ルータにマルチキャストメッセージを転送します。このプロセスによ
りツリーから潜在的なループが排除され、（ホップカウントで判断された）最短パスが常に使
用されるようになります。
グローバル DVMRP 設定の構成
DVMRP は、マルチキャストトラフィックを、 IGMP によって特定のマルチキャストサービ
スを要求したノードにルーティングするために使用されます。このルータでは、リバースパ
ス転送（RPF）によって、送信元を起点とし、ネットワーク全体のグループメンバーへと広
がる最短パス配信ツリーが構築されます。 RPF では、マルチキャストスパニングツリーを動
的に再構成するために、ブロードキャスト、プルーン、グラフトの 3 つの手法が使用されます。
3-265
3
スイッチの構成
コマンドの使用
ブロードキャストでは、アクティブなマルチキャストサー
バーからネットワークに定期的にトラフィックのフラッ
ディングが行われます。IGMP スヌーピングが無効にされて
いる場合、マルチキャストトラフィックはルータ上のすべ
てのポートにフラッディングされます。ただし、 IGMP ス
ヌーピングが有効にされている場合は、送信元 / グループの
ペアの最初のパケットがすべての DVMRP ダウンストリー
ム隣接機器にフラッディングされます。ルータが（インター
フェースメトリックに基づいて）送信元への最短パスであ
ると判断したインターフェースからパケットを受信した場
合、ルータは着信インターフェースを除くすべてのイン
ターフェースにパケットを転送します。
source
flooding
potential
hosts
子インターフェースにグループメンバーが存在しない場
合、ルータは受信インターフェース（親インターフェース）
からアップストリーム隣接ルータにプルーンメッセージを
送信します。プルーンメッセージにより、プルーンライフ
タイムに渡って特定の送信元 / グループペアのパケットの
転送を停止するようアップストリームルータに伝えます。
source
以前プルーンメッセージを送信したルータが、そのいずれ
かの接続で新規グループメンバーを検知した場合、アップ
ストリームルータにグラフトメッセージを送信します。
アップストリームルータはこのメッセージを受信すると、
プルーンメッセージを取り消します。必要に応じて、グラ
フトメッセージは、マルチキャストツリーにおいて最も近
い有効なブランチに到達するまで送信元に向かって伝搬さ
れます。
pruning
DVMRP を正常に機能させるには、プルーンおよびグラフト
メッセージ（プルーンライフタイム）を制御するグローバ
ル設定を、ネットワーク全体のすべてのルータで同じ値に
構成してください。ただし、マルチキャストフローの維持
に問題が生じた場合は、DVMRP ルータ間でのトポロジ情報
の交換を制御するプローブ間隔、隣接機器タイムアウト、レ
ポート間隔などのプロトコル変数の変更が必要になること
があります。
source
コマンド属性
• 「DVMRP Protocol」 – DVMRP をグローバルに有効 / 無効
にします（デフォルト : 「Disabled」）。
• 「Probe Interval」 – 隣接機器プローブメッセージをすべ
ての DVMRP ルータのマルチキャストグループアドレ
スに送信する間隔を設定します。プローブメッセージは、
このデバイスがプローブを受信した隣接 DVMRP ルータ
に送信され、これによってこれらの隣接機器がマルチ
キャストツリーのアクティブメンバーのままかどうか
が確認されます（範囲: 1 ～ 65535 秒、デフォルト : 10 秒）。
3-266
grafting
マルチキャストルーティング
3
• 「Neighbor Timeout Interval」 – DVMRP 隣接機器からのメッセージを待機する時間を設定
します。この時間が経過すると、隣接機器はデッドとして宣言されます。このコマンドは、
ルートをタイムアウトにするため、また子およびリーフフラグを設定するために使用しま
す（範囲 : 1 ～ 65535 秒、デフォルト : 35 秒）。
• 「Report Interval」 – ほかの隣接 DVMRP ルータにすべてのルーティングテーブルを伝搬す
る頻度を指定します（範囲 : 1 ～ 65535 秒、デフォルト : 60 秒）。
• 「Flash Update Interval」 – ネットワークトポロジの変化を反映したトリガー更新を送信す
る頻度を指定します。
• 「Prune Lifetime」 – マルチキャストツリーでプルーン状態を有効に保つ時間を指定します
（範囲 : 1 ～ 65535 秒、デフォルト : 7200 秒）。
• 「Default Gateway」1 – IP マルチキャストトラフィックのデフォルト DVMRP ゲートウェ
イを指定します（デフォルト : なし）。
• 指定したインターフェースでは、それ自体がデフォルトルートとして隣接 DVMRP ルー
タにアドバタイズされます。デフォルトルートのアドバタイズメントはほかのインター
フェースを通じて行われます。ほかのインターフェース上の隣接ルータは、デフォルト
ルートに対してポイズンリバースメッセージをルータに返します。ルータがこのメッ
セージを受信すると、デフォルトルートのすべてのダウンストリームルータを記録しま
す。
• デフォルトのアップストリームルートインターフェースで送信元アドレスが不明な
（ルートテーブルで見つからない）マルチキャストトラフィックを受信した場合、ルー
タはこのトラフィックをほかのインターフェース（既知のダウンストリームルータ）を
通じて転送します。ただし、不明な送信元からのマルチキャストトラフィックを転送で
きるのはデフォルトアップストリームインターフェースのみであるため、送信元アドレ
スが不明なマルチキャストトラフィックを別のインターフェースで受信した場合、ルー
タはそのトラフィックを廃棄します。
1.
CLI のみ
3-267
3
スイッチの構成
ウェブ – 「Routing Protocol」、「DVMRP」、「General Settings」の順にクリックします。DVMRP
を有効または無効にします。隣接機器タイムアウト、ルーティング情報の交換、またはプルー
ンライフタイムを制御するグローバルパラメータを設定し、「Apply」をクリックします。
図 3-150. DVMRP の全般設定
CLI – この例では、DVMRP のグローバルパラメータを設定し、現在の設定を表示しています。
Console(config)#router dvmrp
Console(config-router)#probe-interval 30
Console(config-router)#nbr-timeout 40
Console(config-router)#report-interval 90
Console(config-router)#flash-update-interval 10
Console(config-router)#prune-lifetime 5000
Console(config-router)#default-gateway 10.1.0.253
Console(config-router)#end
Console#show router dvmrp
Admin Status
: enable
Probe Interval
: 10
Nbr expire
: 35
Minimum Flash Update Interval
: 5
prune lifetime
: 7200
route report
: 60
Default Gateway
:
Console#
4-307
4-308
4-309
4-309
4-310
4-310
4-311
4-313
DVMRP インターフェース設定の構成
DVMRP を完全に有効にするには、ルータでグローバルにマルチキャストルーティングを有
効にし（3-261 ページ）、ルータでグローバルに DVMRP を有効にし（3-265 ページ）、さらに
マルチキャストルーティングに参加させる各インターフェースで DVMRP を有効にする必要
があります。
コマンド属性
DVMRP Interface Information
• 「Interface」 – DVMRP が有効にされている、このルータ上の VLAN インターフェース
• 「Address」 – この VLAN インターフェースの IP アドレス
3-268
3
マルチキャストルーティング
• 「Metric」 – 距離ベクトルの計算に使用される、このインターフェースのメトリック
• 「Status」 – このインターフェースで DVMRP が有効にされていることが示されます。
DVMRP Interface Settings
• 「VLAN」 – このルータの VLAN インターフェースを選択します。
• 「Metric」 – 距離ベクトルの計算に使用する、このインターフェースのメトリックを設定し
ます。
• 「Status」 – DVMRP を有効または無効にします。
- いずれかのインターフェースで DVMRP が有効にされている場合、ルータでレイヤー 3
IGMP も有効にする必要があります（3-176 ページ）。
- DVMRP が無効にされているインターフェースでは、 IP マルチキャストルーティング情
報を伝搬できません。ただし、 IGMP スヌーピングが有効にされていれば、インター
フェースから VLAN 内のダウンストリームグループメンバーにマルチキャストトラ
フィックが転送されます。 IGMP スヌーピングが無効にされている場合は、インター
フェースから接続 VLAN 内のすべてのポートに着信マルチキャストトラフィックがフ
ラッディングされます。
ウェブ – 「Routing Protocol」、「DVMRP」、「Interface Settings」の順にクリックします。
「DVMRP Interface Settings」のドロップダウンボックスから VLAN を選択し、必要に応じて
「Metric」を変更します。次に、「Status」を「Enabled」または「Disabled」に設定し、「Apply」
をクリックします。
図 3-151. DVMRP インターフェース設定
3-269
3
スイッチの構成
CLI – この例では、 DVMRP を有効にし、 VLAN 1 のメトリックを設定しています。
Console(config)#interface vlan 1
Console(config-if)#ip dvmrp
Console(config-if)#ip dvmrp metric 2
Console(config-if)#end
Console#show ip dvmrp interface
Vlan 1 is up
DVMRP is enabled
Metric is 2
4-148
4-311
4-312
4-315
Console#
隣接機器情報の表示
すべての隣接 DVMRP ルータを表示できます。
コマンド属性
• 「Neighbor Address」 – このマルチキャスト配信ツリーにおいてすぐアップストリームに
あるネットワークデバイスの IP アドレス
• 「Interface」 – アップストリーム隣接機器に接続されている、このルータ上の IP インター
フェース
• 「Up time」 – このデバイスが最後にこのルータの DVMRP 隣接機器になってからの経過時間
• 「Expire」 – このエントリが経年処理によって期限切れになるまでの残り時間
• 「Capabilities」 – 隣接機器の能力を表す 16 進数値。ルータは、隣接機器からプローブメッ
セージを受信するたびに、その能力ビットと同じ隣接機器の以前の能力ビットを比較して、
隣接機器の能力が変化したかどうかをチェックします（これらのビットの詳細については、
DVMRP IETF Draft v3-10 section 3.2.1 を参照）。これらのビットは次のとおりです。
- Leaf （ビット 0） - 隣接機器はほかの隣接機器とのインターフェースを 1 つのみ保持して
います。
- Prune （ビット 1） - 隣接機器はプルーニングをサポートしています。
- Generation ID （ビット 2） - 隣接機器はプローブメッセージで生成 ID を送信します。
- Mtrace （ビット 3） - 隣接機器はマルチキャストトレース要求を処理できます。
- SNMP （ビット 4） - 隣接機器は SNMP に対応しています。
- Netmask （ビット 5） - 隣接機器はプルーン、グラフト、およびグラフト肯定応答メッ
セージに付加されたネットワークマスクを受理します。
- Reserved （ビット 6 および 7） - 将来使用するために予約されています。
ウェブ – 「Routing Protocol」、「DVMRP」、「Neighbor Information」の順にクリックします。
図 3-152. DVMRP 隣接機器情報
3-270
マルチキャストルーティング
3
CLI – この例では、隣接 DVMRP ルータのみを表示しています。
Console#show ip dvmrp neighbor
4-315
Address
Interface
Uptime
Expire
Capabilities
---------------- --------------- -------- -------- ------------10.1.0.254
vlan1
79315
32
6
Console#
ルーティングテーブルの表示
ルータでは、送信元をルートとする情報を隣接 DVMRP ルータから学習するほか、これらの
ルートを隣接機器にアドバタイズします。ルータは、そのルータ自体またはほかのルータか
ら学習したパス情報の記録のみを行い、グループメンバーシップまたはプルーンメッセージ
は考慮しません。ルーティングテーブルに保存される情報として、 IP マルチキャストトラ
フィックが作成されたサブネットワーク、過去にマルチキャストトラフィックを送信した
アップストリームルータまたはほかのルータとのルーティングメッセージの交換によって
学習したアップストリームルータ、アップストリームルータに接続されたインターフェー
ス、マルチキャストホストに接続された発信インターフェースなどがあります。
DVMRP ルーティングテーブルには、 DVMRP ルート更新によって学習したマルチキャスト
ルート情報が保持され、 IP マルチキャストトラフィックを転送するために使用されます。
テーブルに登録されたルートは、実際のマルチキャストトラフィックフローには影響しませ
ん。この情報については、「IGMP Member Port Table」（3-175 ページ）または「IGMP Group
Membership」テーブル（3-179 ページ）を参照してください。
コマンド属性
• 「IP Address」 – マルチキャスト送信元、アップストリームルータ、またはマルチキャスト
ホストに接続された発信インターフェースが属する IP サブネットワーク
• 「Netmask」 – 送信元アドレスに使用されるサブネットマスク。このマスクは、特定のサブ
ネットへのルーティングに使用されるホストアドレスビットを識別するものです。
• 「Upstream Neighbor」 – 各マルチキャストグループのすぐアップストリームにあるネッ
トワークデバイスの IP アドレス
• 「Interface」 – アップストリーム隣接機器に接続されている、このルータ上の IP インター
フェース
• 「Metric」 – 距離ベクトルの計算に使用される、このインターフェースのメトリック
• 「Up time」 – このエントリが作成されてからの経過時間
• 「Expire」 – このエントリが経年処理によって期限切れになるまでの残り時間
3-271
3
スイッチの構成
ウェブ – 「Routing Protocol」、「DVMRP」、「DVMRP Routing Table」の順にクリックします。
図 3-153. DVMRP ルーティングテーブル
CLI – この例では、既知の DVMRP ルータを表示しています。
Console#show ip dvmrp route
4-314
Source
Mask
Upstream_nbr
Interface Metric UpTime
Expire
--------------- --------------- --------------- --------- ------ ----------10.1.0.0
255.255.255.0
10.1.0.253
vlan1
1 84438
0
10.1.1.0
255.255.255.0
10.1.1.253
vlan2
1 84987
0
10.1.8.0
255.255.255.0
10.1.0.254
vlan1
2 19729
97
Console#
PIM-DM の構成
プロトコル独立型マルチキャスティング（PIM）には、稠密モードと希薄モードの 2 つのオペ
レーションモードがあります。希薄モード（SM）は、マルチキャストグループメンバーが
存在する可能性が低い、インターネットなどのネットワーク用に設計されています。一方、稠
密モード（DM）は、マルチキャストグループメンバーが存在する可能性が高い、ローカル
ネットワークなどのネットワーク用に設計されています。
PIM-DM は、フラッディングとプルーニングによってマルチキャスト送信元 / グループのペア
ごとに送信元をルートとするマルチキャスト配信ツリーを構築する簡易マルチキャストルー
ティングプロトコルです。独自のルーティングテーブルは維持しないため、 DVMRP より単
純です。その代わりに、ルータインターフェースで有効にされたユニキャストルーティング
プロトコルによって提供されるルーティングテーブルが使用されます。ルータが送信元 / グ
ループのペア宛のマルチキャストパケットを受信すると、 PIM-DM によりインバウンドイン
ターフェースでユニキャストテーブルがチェックされ、マルチキャスト送信元ネットワーク
へのユニキャストパケットのルーティングに使用されるインターフェースと同じものかどう
かが判断されます。同じでない場合、ルータはパケットを廃棄し、プルーンメッセージを送
信元インターフェースに返信します。ユニキャストプロトコルで使用されるインターフェー
スと同じ場合、ルータはこの送信元 / グループのペア宛のプルーンメッセージを受信してい
ないその他すべてのインターフェースにパケットのコピーを転送します。
3-272
マルチキャストルーティング
3
プルーン状態の保持間は、 DVMRP PIM-DM では約 2 時間ですが、 PIM-DM では約 3 分間のみ
です。そのため、 DVMRP よりフラッディング量は増加しますが、これは、 PIM-DM における
処理オーバーヘッドの低減および構成の簡略化という利点に対する唯一のトレードオフです。
グローバル PIM-DM 設定の構成
PIM-DM は、 IGMP によって特定のマルチキャストサービスを要求したノードにマルチキャ
ストトラフィックをルーティングするために使用されます。ルータのユニキャストルーティ
ングテーブルによって、パケットを受信したインターフェースが送信元への最短パスかどう
かが判断されます。この判断は、マルチキャスト配信ツリーにおいて送信元に向かって戻る
ホップを基準にして行われます。 PIM-DM では、マルチキャストスパニングツリーを動的に
再構成するために、ブロードキャスト、プルーン、グラフトの 3 つの手法が使用されます。
PIM-DM を使用するには、次に説明する手順に従ってルータでグローバルに、また次の項目
で説明する手順に従ってマルチキャストルーティングをサポートする各インターフェースで
PIM-DM を有効にする必要があります。ルータがグループメンバーの位置を判断できるよう
にするには、 IGMP も有効にする必要があります。
ウェブ – 「Routing Protocol」、「PIM-DM」、「General Settings」の順にクリックします。ルー
タでグローバルに PIM-DM を有効または無効にし、「Apply」をクリックします。
図 3-154. PIM-DM の全般設定
CLI – この例では、グローバルに PIM-DM を有効にし、現在のステータスを表示しています。
Console(config)#router pim
Console#show router pim
Admin Status: Enabled
Console#
4-316
4-321
PIM-DM インターフェース設定の構成
PIM-DM を完全に有効にするには、ルータでグローバルにマルチキャストルーティングを有
効にし（3-261 ページ）、ルータでグローバルに PIM-DM を有効にし（3-273 ページ）、さらに
マルチキャストルーティングに参加させる各インターフェースで PIM-DM を有効にする必
要があります。
コマンドの使用
• PIM-DM の機能は、アクティブなマルチキャストサーバーからのトラフィックをネットワー
クに定期的にフラッディングする点で DVMRP に似ています（3-265 ページ）。このほか、
マルチキャストグループメンバーの存在を判断するために、 IGMP が使用されます。主な
違いは、パケットを受信したインターフェースが送信元への最短パスかどうかを判断する
ために、ルータのユニキャストルーティングテーブルが使用されることです。
3-273
3
スイッチの構成
• 稠密モードのインターフェースでは、デフォルトでマルチキャストフラッディングが行わ
れ、グループメンバーまたはダウンストリームルータが存在しないとルータが判断した場
合、またはダウンストリームルータからプルーンメッセージを受信した場合のみマルチ
キャストルーティングテーブルから削除されます。
• PIM を正常に機能させるには、プルーンおよびグラフトメッセージ（プルーン保持時間）
を制御するインターフェース設定を、ネットワーク全体のすべてのルータで同じ値に構成
してください。
コマンド属性
• 「VLAN」 – このルータの VLAN インターフェースを選択します。
• 「PIM-DM Protocol Status」 – PIM-DM を有効または無効にします
（デフォルト : 「Disabled」）。
• 「Hello Interval」 – PIM の hello メッセージを送信する頻度を構成します。 hello メッセージ
は、このデバイスがプローブを受信した隣接 PIM ルータに送信され、これによりこれらの
隣接機器がマルチキャストツリーのアクティブメンバーのままかどうかが確認されます
（範囲 : 1 ～ 65535 秒、デフォルト : 30）。
• 「Hello Holdtime」 – 隣接 PIM ルータからの hello メッセージを待機する時間を設定します。
この時間が経過すると、隣接機器はデッドとして宣言されます。hello 保持時間の値は「Hello
Interval」の 3.5 倍に設定してください（範囲 : 1 ～ 65535 秒、デフォルト : 105）。
• 「Trigger Hello Interval」 – ルータのリブート後またはインターフェースでの PIM の有効化
後、トリガーされた PIM hello メッセージを送信するまでの最大時間を構成します
（範囲 : 1 ～ 65535 秒、デフォルト : 5）。
- ルータが最初に起動するかインターフェースで PIM が有効にされると、 hello 時間は 0
から「Trigger Hello Interval」の範囲でランダムな値に設定されます。これにより、同時
に複数のルータに電源が投入された場合に、マルチアクセスリンクで複数の Hello メッ
セージが同時に送信されないようにします。
- また、新規の隣接機器から Hello メッセージを受信した場合、受信ルータは 0 から
「Trigger Hello Interval」の範囲のランダムな遅延後にそれ自体の Hello メッセージを送信
します。
• 「Prune Holdtime」 – プルーン状態の保持時間を構成します。特定の送信元から最初にマル
チキャストストリームを受信したマルチキャストインターフェースは、このトラフィック
をルータ上のその他すべての PIM インターフェースに転送します。そのインターフェース
に要求グループが存在しない場合、リーフノードはアップストリームにプルーンメッセー
ジを送信し、このマルチキャストストリームに対してプルーン状態に遷移します。プルー
ン状態は、プルーン保持時間タイマーが期限切れになるか、転送エントリのグラフトメッ
セージを受信するまで維持されます（範囲 : 1 ～ 65535 秒、デフォルト : 210）。
• 「Graft Retry Interval」 – グラフト肯定応答を待機する時間を構成します。この時間が経過
すると、グラフトが再送信されます。グラフトメッセージは、プルーン状態を取り消すた
めにルータから送信されます。グラフトメッセージを受信したルータは、グラフト肯定応
答メッセージで応答する必要があります。この肯定応答メッセージが失われた場合、グラ
フトメッセージを送信したルータは、「Max Graft Retries」で定義された最大回数までメッ
セージを再送信します（範囲 : 1 ～ 65535、デフォルト : 3）。
• 「Max Graft Retries」 – 肯定応答が受信されない場合に、グラフトメッセージを再送信する
最大回数を構成します（範囲 : 1 ～ 65535、デフォルト : 2）。
3-274
マルチキャストルーティング
3
ウェブ – 「Routing Protocol」、「PIM-DM」、「Interface Settings」の順にクリックします。 VLAN
を選択し、選択したインターフェースで PIM-DM を有効または無効にします。次に、必要に
応じてプロトコルパラメータを変更し、「Apply」をクリックします。
図 3-155. PIM-DM インターフェース設定
CLI – この例では、 VLAN 2 の PIM-DM プロトコルパラメータを設定し、現在の設定を表示
しています。
Console(config)#interface vlan 2
4-197
Console(config-if)#ip pim dense-mode
4-317
Console(config-if)#ip pim hello-interval 60
4-317
Console(config-if)#ip pim hello-holdtime 210
4-318
Console(config-if)#ip pim trigger-hello-interval 10
4-319
Console(config-if)#ip pim join-prune-holdtime 60
4-319
Console(config-if)#ip pim graft-retry-interval 9
4-320
Console(config-if)#ip pim max-graft-retries 5
4-320
Console(config-if)#end
Console#show ip pim interface 2
4-321
Vlan 2 is up
PIM is enabled, mode is Dense.
Internet address is 10.1.1.253.
Hello time interval is 60 sec, trigger hello time interval is 10 sec.
Hello holdtime is 210 sec.
Join/Prune holdtime is 60 sec.
Graft retry interval is 9 sec, max graft retries is 5.
DR Internet address is 10.1.1.253, neighbor count is 0.
Console#
3-275
3
スイッチの構成
インターフェース情報の表示
隣接 PIM ルータの数、指定 PIM ルータのアドレスなど、 PIM-DM の現在のインターフェース
ステータスのサマリーを表示できます。
コマンド属性
• 「Interface」 – このルータ上の VLAN インターフェース
• 「Address」 – このインターフェースの IP アドレス
• 「Mode」 – 使用中の PIM モード（現時点では、このルータでは稠密モードのみがサポート
される）
• 「Neighbor Count」 – このインターフェースで検知された PIM 隣接機器の数
• 「DR Address」 – このインターフェースの指定 PIM ルータ
ウェブ – 「Routing Protocol」、「PIM-DM」、「Interface Information」の順にクリックします。
図 3-156. PIM-DM インターフェース情報
CLI – この例では、 VLAN 1 の PIM-DM インターフェースサマリーを表示しています。
Console#show ip pim interface 1
4-321
Vlan 1 is up
PIM is enabled, mode is Dense.
Internet address is 10.1.0.253.
Hello time interval is 30 sec, trigger hello time interval is 5 sec.
Hello holdtime is 105 sec.
Join/Prune holdtime is 210 sec.
Graft retry interval is 3 sec, max graft retries is 2.
DR Internet address is 10.1.0.253, neighbor count is 1.
Console#
隣接機器情報の表示
すべての隣接 PIM-DM ルータを表示できます。
コマンド属性
• 「Neighbor Address」 – ネクストホップルータの IP アドレス
• 「Interface」 – この隣接機器に接続されている VLAN
• 「Up time」 – このエントリの稼動時間
• 「Expire」 – このエントリが削除されるまでの時間
• 「Mode」 – このインターフェースで使用中の PIM モード（稠密モードのみがサポートされる）
3-276
マルチキャストルーティング
3
ウェブ – 「Routing Protocol」、「PIM-DM」、「Neighbor Information」の順にクリックします。
図 3-157. PIM-DM 隣接機器情報
CLI – この例では、隣接 PIM-DM ルータのみを表示しています。
Console#show ip pim neighbor
Address
VLAN Interface
Uptime
Expire
Mode
--------------- ---------------- -------- -------- ------10.1.0.253
Console#
1
613
91
4-322
Dense
3-277
3
3-278
スイッチの構成
第 4 章 : コマンドラインインターフェース
この章では、コマンドラインインターフェース（CLI）の使用方法について説明します。
注 : コンソールインターフェースには、スタック内のマスターユニットからのみアクセスできます。
コマンドラインインターフェースの使用
CLI へのアクセス
サーバーのコンソールポートへの直接接続、または Telnet 接続によってスイッチの管理イン
ターフェースにアクセスする場合、プロンプトでコマンドのキーワードおよびパラメータを
入力することにより、スイッチを管理することができます。スイッチのコマンドラインイン
ターフェース（CLI）の使用方法は、 UNIX システムでのコマンド入力の方法とほぼ同様です。
コンソール接続
コンソールポートからスイッチにアクセスするには、次の手順を実行します。
1.
コンソールプロンプトで、ユーザー名およびパスワードを入力します。（デフォルトの
ユーザー名は、「admin」と「guest」です。それぞれのパスワードは「admin」と「guest」
です）。管理者のユーザー名とパスワードを入力すると、 CLI に「Console#」プロンプト
が表示され、特権アクセスモード（Privileged Exec）に入ります。一方、ゲストのユー
ザー名とパスワードを入力すると、 CLI に「Console>」プロンプトが表示され、通常ア
クセスモード（Normal Exec）に入ります。
2.
必要なコマンドを入力して、目的のタスクを完了します。
3.
完了したら、「quit」または「exit」コマンドを使用して、セッションを終了します。
コンソールポートからシステムに接続すると、次のログイン画面が表示されます。
User Access Verification
Username: admin
Password:
CLI session with the 44GE+4Combo Layer2/3/4 Stackable Switch is opened.
To end the CLI session, enter [Exit].
Console#
Telnet 接続
Telnet は、IP 転送プロトコルを介して動作します。Telnet 環境では、使用している管理ステー
ション、およびネットワーク上で管理するすべてのネットワークデバイスが有効な IP アドレ
スを持っている必要があります。有効なアドレスは、ピリオドで区切られた 0 ～ 255 の 4 つ
の数値で構成されます。各アドレスは、ネットワーク部分とホスト部分に分かれています。た
とえば、スイッチに割り当てられている IP アドレスが 10.1.0.1 の場合、この IP アドレスは
ネットワーク部分（10.1.0）とホスト部分（1）で構成されています。
注 : デフォルトでは、このスイッチの IP アドレスは DHCP によって取得されます。
4-1
4
コマンドラインインターフェース
Telnet セッションを介してスタックにアクセスするには、マスターユニットの IP アドレスを
設定してから、（別の IP サブネットからスイッチを管理する場合）デフォルトゲートウェイ
を設定する必要があります。次に例を示します。
Console(config)#interface vlan 1
Console(config-if)#ip address 10.1.0.254 255.255.255.0
Console(config-if)#exit
Console(config)#ip default-gateway 10.1.0.254
企業ネットワークが、社外の別のネットワークまたはインターネットに接続されている場合、
登録済み IP アドレスの申込みが必要です。ただし、隔離ネットワークに接続している場合、
接続先のネットワークセグメントに適合する任意の IP アドレスを使用できます。
スイッチの IP アドレスを構成したら、次の手順を実行して Telnet セッションを開くことがで
きます。
1.
リモートホストから、 Telnet コマンド、およびアクセスするデバイスの IP アドレスを
入力します。
2.
プロンプトで、ユーザー名およびシステムパスワードを入力します。管理者の場合、特
権アクセスモード（Privileged Exec）であることを示す「Vty-n#」プロンプトが表示さ
れます。ゲストの場合、通常アクセスモード（Normal Exec）であることを示す「Vty-n>」
が表示されます。ここで、 n は、現在の Telnet セッションの番号です。
3.
必要なコマンドを入力して、目的のタスクを完了します。
4.
完了したら、「quit」または「exit」コマンドを使用して、セッションを終了します。
Telnet コマンドを入力すると、次のログイン画面が表示されます。
Username: admin
Password:
CLI session with the 44GE+4Combo Layer2/3/4 Stackable Switch is opened.
To end the CLI session, enter [Exit].
Vty-0#
注 : Telnet 経由でデバイスに対して開くことができるセッションは最大で 4 つです。
4-2
コマンドの入力
4
コマンドの入力
この節では、 CLI コマンドの入力方法について説明します。
キーワードおよび引数
CLI コマンドは、一連のキーワードと引数から成ります。キーワードはコマンドを特定し、引
数はコンフィギュレーションパラメータを指定します。たとえば、「show interfaces status
ethernet 1/5」というコマンドの場合、 show interfaces と status がキーワードで、 ethernet
はインターフェースタイプを指定する引数、 1/5 はユニット / ポートを指定する引数です。
コマンドは次のように入力します。
• 簡単なコマンドを入力する場合、コマンドキーワードを入力します。
• 複数のコマンドを入力する場合、各コマンドを必要な順序で入力します。たとえば、
Privileged Exec コマンドモードを有効にして、スタートアップコンフィギュレーションを
表示する場合、次のように入力します。
Console>enable
Console#show startup-config
• パラメータを必要とするコマンドを入力する場合、コマンドキーワードの後に必要なパラ
メータを入力します。たとえば、管理者パスワードを設定する場合、次のように入力します。
Console(config)#username admin password 0 smith
コマンドの省略入力
CLI は、コマンドを一意に識別するために必要な最小限の文字入力のみでも受け付けます。た
とえば、コマンド「configure」は、 con と入力できます。入力を識別できない場合、さらに
入力を求めるプロンプトが表示されます。
コマンドの入力補完
CLI では、入力の最後に [Tab] キーを押すと、一部入力されたキーワードの残りの文字が一意
に識別できる範囲まで出力されます。たとえば、「logging history」の場合、 log と入力して
[Tab] キーを押すと、コマンドが「logging」まで出力されます。
コマンドのヘルプの使用
help コマンドを入力すると、ヘルプシステムの簡単な説明を表示できます。また、キーワー
ドやパラメータをリスト表示する「?」文字を使用することで、コマンド構文を表示すること
もできます。
4-3
4
コマンドラインインターフェース
コマンドの表示
コマンドプロンプトで「?」を入力すると、現在のコマンドクラス（Normal Exec か Privileged
Exec）またはコンフィギュレーションクラス（グローバル、 ACL、 DHCP、インターフェー
ス、ライン、ルータ、 VLAN データベース、 MSTP）の最初のレベルのキーワードが表示され
ます。また、特定のコマンドの有効なキーワードをリスト表示することもできます。たとえ
ば、「show ?」コマンドを入力すると、使用可能な show コマンドがリスト表示されます。
Console#show ?
access-group
access-list
arp
bridge-ext
calendar
class-map
dns
dot1x
garp
gvrp
history
hosts
interfaces
ip
lacp
line
logging
mac
mac-address-table
management
map
marking
policy-map
port
protocol-vlan
public-key
pvlan
queue
radius-server
rip
router
running-config
snmp
sntp
spanning-tree
ssh
startup-config
system
tacacs-server
users
version
vlan
vrrp
Console#show
4-4
Access groups
Access lists
Information of ARP cache
Bridge extend information
Date information
Display class maps
DNS information
Show 802.1x content
GARP property
Show GARP information of interface
Information of history
Host information
Information of interfaces
IP information
Show LACP statistic
TTY line information
Show the contents of logging buffers
MAC access lists
Set configuration of the address table
Show management IP filter
Map priority
Specify marker
Display policy maps
Characteristics of the port
Protocol-VLAN information
Show information of public key
Information of private VLAN
Information of priority queue
RADIUS server information
RIP
Router
The system configuration of running
SNMP statistics
SNTP
Specify spanning-tree
Secure shell
The system configuration of starting up
Information of system
Login by TACACS server
Display information about terminal lines
System hardware and software status
Switch VLAN Virtual Interface
Show vrrp
コマンドの入力
4
「show interfaces ?」コマンドでは、次の情報が表示されます。
Console#show interfaces ?
counters
Information of interfaces counters
protocol-vlan Protocol-vlan information
status
Information of interfaces status
switchport
Information of interfaces switchport
Console#
部分キーワード検索
キーワードの一部を入力して、疑問符で終了すると、最初の文字に一致するキーワードが表
示されます（コマンドと疑問符の間にはスペースを入れないように注意してください）。たと
えば、「s?」と入力すると、「s」で始まるキーワードがすべてリスト表示されます。
Console#show s?
snmp
sntp
startup-config system
Console#sh s
spanning-tree
ssh
standby
コマンドの無効化
コンフィギュレーションコマンドの多くでは、プレフィックスキーワード「no」を入力し
て、コマンドの効果を取り消したり、コンフィギュレーションをデフォルト値にリセットし
たりすることができます。たとえば、logging コマンドは、システムメッセージをホストサー
バーにロギングさせるコマンドです。ロギングを無効にするには、 no logging コマンドを指
定します。本書では、適用可能なすべてのコマンドについて無効化の説明を提供しています。
コマンド履歴の使用
CLI では、入力したコマンドの履歴が保存されています。コマンドの履歴をスクロールバッ
クして確認するには、上矢印キーを押します。履歴リストに表示されるコマンドはいずれも、
再実行することも、変更して実行することもできます。
show history コマンドを使用すると、最近実行されたコマンドの長いリストが表示されます。
4-5
4
コマンドラインインターフェース
コマンドモードについて
コマンド一式は、Exec （実行）クラスとコンフィギュレーションクラスに分けられます。Exec
コマンドでは通常、システムステータス情報の表示や、統計カウンタのクリアを実行します。
一方、コンフィギュレーションコマンドは、インターフェースパラメータの変更や、特定の
スイッチング機能の有効化に使用されます。これらのクラスは、さらにいくつかのモードに
分類されます。使用できるコマンドは、選択したモードにより異なります。プロンプトで疑
問符「?」を入力すると、現在のモードで使用可能なコマンドをいつでもリスト表示できます。
コマンドクラスおよび対応するモードを次の表に示します。
表 4-1. 一般コマンドモード
クラス
モード
Exec
Normal Exec
Privileged Exec
コンフィギュレーション
グローバル*
アクセス制御リスト
DHCP
インターフェース
ライン
マルチプルスパニングツリー
ルータ
VLAN データベース
クラスマップ
ポリシーマップ
* グローバルコンフィギュレーションモードにアクセスするには、Privileged Exec モードである必要があ
ります。
他のすべてのコンフィギュレーションモードにアクセスするには、グローバルコンフィギュレーション
モードである必要があります。
Exec コマンド
ユーザー名およびパスワードに「guest」を使用して、スイッチで新しいコンソールセッショ
ンを開くと、システムは Normal Exec コマンドモード（ゲストモード）になり、「Console>」
コマンドプロンプトが表示されます。このモードで使用できるコマンドには制限があります。
すべてのコマンドにアクセスできるのは、 Privileged Exec コマンドモード（管理者モード）
からのみです。 Privilege Exec モードにアクセスするには、「admin」のユーザー名およびパス
ワードで、新しいコンソールセッションを開きます。「Console#」コマンドプロンプトが表
示されます。また、「enable」コマンドの後に特権レベルパスワードの「super」を入力する
ことによっても、Normal Exec モードから Privileged Exec モードへ入ることができます（4-29
ページを参照してください）。
Privileged Exec モードに入るには、次のユーザー名およびパスワードを入力します。
Username: admin
Password: [admin login password]
CLI session with the 44GE+4Combo Layer2/3/4 Stackable Switch is opened.
To end the CLI session, enter [Exit].
Console#
4-6
コマンドの入力
4
Username:guest
Password:[guest login password]
CLI session with the 44GE+4Combo Layer2/3/4 Stackable Switch is opened.
To end the CLI session, enter [Exit].
Console>enable
Password:[privileged level password]
Console#
コンフィギュレーションコマンド
コンフィギュレーションコマンドは、スイッチ設定の変更に使用される特権レベルのコマン
ドです。これらのコマンドは、実行中のコンフィギュレーションのみを変更するもので、ス
イッチのリブート時には保存されません。実行中のコンフィギュレーションを不揮発性記憶
装置に保存するには、 copy running-config startup-config コマンドを使用します。
コンフィギュレーションコマンドには、次に示すいくつかのモードがあります。
• グローバルコンフィギュレーション - システムレベルのコンフィギュレーションを変更し
ます。 hostname コマンドや snmp-server community コマンドなどがあります。
• アクセス制御リストコンフィギュレーション - パケットフィルタリングに使用されます。
• DHCP コンフィギュレーション DHCP サーバーを構成するのに使用されます。
• インターフェースコンフィギュレーション - ポートコンフィギュレーションを変更しま
す。 speed-duplex や negotiation などがあります。
• ラインコンフィギュレーション - コンソールポートおよび Telnet のコンフィギュレー
ションを変更します。 parity や databits などのコマンドがあります。
• ルータコンフィギュレーション - ユニキャストおよびマルチキャストルーティングプロ
トコルのグローバル設定を構成します。
• VLAN コンフィギュレーション - VLAN グループを作成するためのコマンドです。
• マルチプルスパニングツリーコンフィギュレーション - 選択されたマルチプルスパニン
グツリーインスタンスの設定を構成します。
• クラスマップコンフィギュレーション - 指定されたトラフィックタイプの DiffServ クラ
スマップを作成します。
• ポリシーマップコンフィギュレーション - 複数インターフェースの DiffServ ポリシー
マップを作成します。
グローバルコンフィギュレーションモードに入るには、 Privileged Exec モードで configure
コマンドを入力します。システムプロンプトが「Console(config)#」に変わり、すべてのグ
ローバルコンフィギュレーションコマンドへのアクセス権限が付与されます。
Console#configure
Console(config)#
4-7
4
コマンドラインインターフェース
他のモードに入るには、コンフィギュレーションプロンプトで、次のいずれかのコマンドを
入力します。 Privileged Exec モードに戻るには、 exit または end コマンドを使用します。
表 4-2. コンフィギュレーションコマンドモード
モード
コマンド
プロンプト
ページ
ライン
line {console | vty}
Console(config-line)#
4-12
アクセス
制御リスト
access-list ip standard
access-list ip extended
access-list ip mask-precedence
access-list mac
access-list mac mask-precedence
Console(config-std-acl)
4-89
Console(config-ext-acl)
Console(config-ip-mask-acl)
Console(config-mac-acl)
Console(config-mac-mask-acl)
DHCP
ip dhcp pool
Console(config-dhcp)
インター
フェース
interface {ethernet port | port-channel id| Console(config-if)#
vlan id}
4-125
4-148
VLAN
vlan database
Console(config-vlan)
4-195
MSTP
spanning-tree mst-configuration
Console(config-mstp)#
4-182
ルータ
router {rip | ospf | dvmrp | pim}
Console(config-router)
4-262
4-273
4-307
4-316
クラスマップ class map
Console(config-cmap)
4-226
policy map
Console(config-pmap)
4-228
ポリシー
マップ
たとえば、次のコマンドを使用すると、インターフェースコンフィギュレーションモードに
入り、その後 Privileged Exec モードに戻ることができます。
Console(config)#interface ethernet 1/5
.
.
.
Console(config-if)#exit
Console(config)#
4-8
コマンドの入力
4
コマンドライン処理
コマンドは、大文字小文字を区別しません。現在使用可能な他のコマンドやパラメータと区
別できる長さの文字が含まれている限り、コマンドやパラメータを省略することができます。
[Tab] キーを押すと、一部入力したコマンドの全体が補完されます。また、一部入力したコマ
ンドの後に「?」を入力すると、一致するコマンドの候補がリスト表示されます。コマンドラ
イン処理では、次の編集キーストロークを使用することもできます。
表 4-3. キーストロークコマンド
キーストローク
機能
Ctrl-A
カーソルをコマンドラインの先頭に移動します。
Ctrl-B
カーソルを 1 文字左に移動します。
Ctrl-C
現在のタスクを終了し、コマンドプロンプトを表示します。
Ctrl-E
カーソルをコマンドライン末尾に移動します。
Ctrl-F
カーソルを 1 文字右に移動します。
Ctrl-K
カーソルからライン末尾までのすべての文字を削除します。
Ctrl-L
現在のコマンドラインを新しい行で繰り返します。
Ctrl-N
履歴バッファ内の次のコマンドラインを入力します。
Ctrl-P
最後のコマンドを入力します。
Ctrl-R
現在のコマンドラインを新しい行で繰り返します。
Ctrl-U
カーソルからライン先頭までを削除します。
Ctrl-W
最後に入力された単語を削除します。
Esc-B
カーソルを 1 単語分後退します。
Esc-D
カーソルから単語末尾までを削除します。
Esc-F
カーソルを 1 単語分前に進めます。
[Delete] キーまたは [backspace] キー
コマンド入力時の誤りを消去します。
4-9
4
コマンドラインインターフェース
コマンドグループ
システムコマンドは、機能ごとに、次の表に示すグループに分類することができます。
表 4-4. コマンドグループインデックス
コマンドグループ
説明
ライン
ボーレートやコンソールタイムアウトを含め、シリアルポート 4-12
および Telnet の通信パラメータを設定します。
ページ
一般
特権アクセスモードへの移行、システムの再起動、 CLI の終了に 4-21
使用される基本コマンドです。
システム管理
システムログ、システムパスワード、ユーザー名、ブラウザ管理 4-26
オプション、およびその他の様々なシステム情報を制御します。
フラッシュ / ファイル
コードイメージまたはスイッチコンフィギュレーションファイ 4-66
ルを管理します。
認証
ローカル認証またはリモート認証を使用したログオンアクセス 4-72
を構成します。また、ポートセキュリティおよび IEEE 802.1X
ポートアクセス制御を構成します。
アクセス制御リスト
IP フレーム（アドレス、プロトコル、 TCP/UDP ポート番号、ま 4-89
たは TCP 制御コードに基く）および非 IP フレーム（MAC アド
レスまたはイーサネットタイプに基く）のフィルタリングを提
供します。
SNMP
認証失敗トラップをアクティブ化し、コミュニティアクセスス 4-110
トリングとトラップマネージャの構成を行います。
DHCP
DHCP クライアント、リレー、およびサーバー機能を構成します。 4-125
DNS
DNS サービスを構成します。
インターフェース
すべてのイーサネットポート、アグレゲートリンク、および 4-148
VLAN の接続パラメータを構成します。
ミラーポート
データ通過や監視されるポートの性能に影響することなく、分析 4-159
のためにデータを別のポートにミラーリングします。
4-141
レートリミッティングポート上で送受信されるトラフィックの最大レートを制御します。 4-161
リンク
アグレゲーション
単一の論理トランクに複数のポートを静的にグループ化します。 4-162
また、ポートトランクのリンクアグレゲーション制御プロトコ
ル（LACP）を構成します。
アドレステーブル
指定アドレスをフィルタリングするアドレステーブルの構成、現 4-172
在のエントリの表示、テーブルのクリア、エージングタイムの
設定を行います。
4-176
スパニングツリー
スイッチのスパニングツリー設定を構成します。
VLAN
VLAN 設定の構成、VLAN グループのポートメンバーシップの定 4-195
義、プライベート VLAN およびプロトコル VLAN の有効化また
は構成を行います。
GVRP および
ブリッジ拡張
自動 VLAN 学習を許可する GVRP 設定を構成し、ブリッジ拡張 4-208
MIB のコンフィギュレーションを表示します。
プライオリティ
タグなしフレームのポートプライオリティの設定、ストリクト 4-212
プライオリティまたは WRR （加重ラウンドロビン）の選択、各
プライオリティキューに対する相対的荷重の選択を行います。ま
た、 TCP/UDP トラフィックタイプ、 IP 優先度、 DSCP に対する
プライオリティを設定します。
QoS （サービス品質）
Differentiated Services （差別化されたサービス）を構成します。 4-225
4-10
コマンドグループ
4
表 4-4. コマンドグループインデックス（続き）
コマンドグループ
説明
マルチキャスト
フィルタリング
IGMP マルチキャストフィルタリングおよびクエリーパラメー 4-234
タの構成を行い、マルチキャストルーターの接続ポートを指定
します。
ページ
IP インターフェース
スイッチインターフェースの IP アドレスを構成します。また、 4-249
ARP パラメータとスタティックエントリを構成します。
IP ルーティング
スタティックおよびダイナミックユニキャストルーティングを 4-257
構成します。
マルチキャスト
ルーティング
マルチキャストルーティングプロトコルの DVMRP と PIM-DM 4-303
を構成します。
ルータ冗長性
ルータの冗長性を構成し、プライマリおよびバックアップルー 4-323
タを作成します。
以下の表内で、各アクセスモードは次の略語で示されます。
NE (Normal Exec)
PE (Privileged Exec)
GC （グローバルコンフィギュレーション）
LC （ラインコンフィギュレーション）
IC （インターフェースコンフィギュレーション）
VC （VLAN データベースコンフィギュレーション）
MST （マルチプルスパニングツリー）
CL （アクセス制御リストコンフィギュレーション）
DC （DHCP サーバーコンフィギュレーション）
RC （ルータコンフィギュレーション）
CM （クラスマップコンフィギュレーション）
PM （ポリシーマップコンフィギュレーション）
4-11
4
コマンドラインインターフェース
ラインコマンド
VT100 互換デバイスをサーバーのシリアルポートに接続すると、オンボードのコンフィギュ
レーションプログラムにアクセスできます。これらのコマンドは、シリアルポートまたは
Telnet （バーチャル端末）の通信パラメータを設定するのに使用されます。
表 4-5. ラインコマンド
コマンド
機能
line
コンフィギュレーションに対する特定のラインを識別し、ラ GC
インコンフィギュレーションモードを開始します。
モード
4-12
ページ
login
ログイン時のパスワードチェックを有効にします。
LC
4-13
password
ライン上でパスワードを指定します。
LC
4-14
timeout login
response
システムがログイン試行を待機する時間を設定します。
LC
4-15
exec-timeout
ユーザー入力が検知されるまでのコマンドインタプリタの LC
待機時間を設定します。
4-15
password-thresh
ログオンの失敗回数を制限する、パスワード割込みしきい値 LC
を設定します。
4-16
silent-time*
ログオン失敗回数が password-thresh コマンドで設定され LC
ているしきい値を超えた場合、その後管理コンソールにアク
セスできなくなる時間を設定します。
4-17
databits*
ハードウェアにより解釈および生成される各文字あたりの LC
データビット数を設定します。
4-17
parity*
パリティビットの生成を定義します。
LC
4-18
speed*
端末のボーレートを設定します。
LC
4-18
stopbits*
1 バイトあたりに転送されるストップビット数を設定します。 LC
4-19
4-19
disconnect
ライン接続を終了します。
PE
show line
端末ラインのパラメータを表示します。
NE、 PE 4-20
* このコマンドは、シリアルポートにのみ適用されます。
line
このコマンドでは、コンフィギュレーションの特定のラインを識別して、以降のラインコン
フィギュレーションコマンドを処理します。
構文
line {console | vty}
• console - コンソール端末ラインです。
• vty - リモートコンソールアクセス（Telnet）用のバーチャル端末です。
デフォルト設定
デフォルトのラインはありません。
コマンドモード
グローバルコンフィギュレーション
4-12
ラインコマンド
4
コマンドの使用
Telnet はバーチャル端末接続としてみなされており、show users などの画面表示では、
「VTY」と表示されます。ただし、シリアル通信パラメータ（databits など）は、 Telnet
接続に影響しません。
例
コンソールラインモードに入るには、次のコマンドを入力します。
Console(config)#line console
Console(config-line)#
関連コマンド
show line （4-20）
show users （4-63）
login
このコマンドでは、ログイン時のパスワードチェックを有効にします。 no 形式を使用する
と、パスワードチェックが無効になり、パスワードなしで接続できるようになります。
構文
login [local]
no login
local - ローカルパスワードチェックを選択します。認証は、 username コマンドで
指定されたユーザー名に基いて行われます。
デフォルト設定
login local
コマンドモード
ラインコンフィギュレーション
コマンドの使用
• ログイン時には、スイッチ自体により、次の 3 つの認証モードが提供されます。
- login - password ラインコンフィギュレーションコマンドで指定されている単一
のグローバルパスワードによる認証を選択します。この方法を使用すると、管理イ
ンターフェースは、 Normal Exec (NE) モードで開始します。
- login local - username コマンドで指定されたユーザー名およびパスワードによる
認証を選択します（デフォルト設定）。この方法を使用すると、管理インターフェ
スは、ユーザーの権限レベル（0 または 15）に基づいて、 Normal Exec (NE) また
は Privileged Exec (PE) モードで開始します。
- no login - 認証なしを選択します。この方法を使用すると、管理インターフェース
は、 Normal Exec (NE) モードで開始します。
• このコマンドは、スイッチ自体を介したログイン認証を制御するものです。リモート
認証サーバーのユーザー名とパスワードを構成するには、これらのサーバーにインス
トールされている RADIUS または TACACS ソフトウェアを使用する必要があります。
4-13
4
コマンドラインインターフェース
例
Console(config-line)#login local
Console(config-line)#
関連コマンド
username （4-28）
password （4-14）
password
このコマンドでは、ラインのパスワードを指定します。 no 形式を使用すると、パスワードが
削除されます。
構文
password {0 | 7} password
no password
• {0 | 7} - 0 はプレーンパスワード、 7 は暗号化パスワードを表します。
• password - ラインパスワードを指定する文字列です（最大長 : プレーンテキスト
では 8 文字、暗号化では 32 文字、大文字小文字を区別）。
デフォルト設定
パスワードは指定されていません。
コマンドモード
ラインコンフィギュレーション
コマンドの使用
• パスワード保護されたラインで接続が開始されると、システムは、パスワードを要求
するプロンプトを表示します。正しいパスワードを入力すると、プロンプトが表示さ
れます password-thresh コマンドは、ユーザーがパスワード入力に何回失敗すると、
システムがライン接続を終了して端末をアイドル状態に戻すかを設定するのに使用し
ます。
• システムのブートアップ中にコンフィギュレーションファイルを読み取る時、または
TFTP サーバーからコンフィギュレーションファイルをダウンロードする時に、レガ
シーのパスワード設定（プレーンテキストまたは暗号化）との互換性を保つため、暗
号化パスワードが必要になります。暗号化パスワードを手動で構成する必要はありま
せん。
例
Console(config-line)#password 0 secret
Console(config-line)#
関連コマンド
login （4-13）
password-thresh （4-16）
4-14
ラインコマンド
4
timeout login response
このコマンドでは、ユーザーが CLI にログインするまでのシステムの待機時間を設定します。
no 形式を使用すると、デフォルト設定に戻ります。
構文
timeout login response [seconds]
no timeout login response
seconds - タイムアウト間隔を指定する整数です（範囲 : 0 ～ 300 秒 ; 0: 無効）。
デフォルト設定
• CLI: タイムアウトなし（0 秒）
• Telnet:300 秒
コマンドモード
ラインコンフィギュレーション
コマンドの使用
• ログイン試行がタイムアウト間隔内に検知されない場合、そのセッションの接続は終
了します。
• このコマンドは、ローカルコンソールおよび Telnet 接続の両方に適用されます。
• Telnet のタイムアウトを無効にすることはできません。
• タイムアウトを指定せずにこのコマンドを使用すると、デフォルト設定が使用されます。
例
タイムアウトを 2 分に設定するには、次のコマンドを入力します。
Console(config-line)#timeout login response 120
Console(config-line)#
exec-timeout
ユーザー入力が検知されるまでのシステムの待機時間を設定します。 no 形式を使用すると、
デフォルトに戻ります。
構文
exec-timeout [seconds]
no exec-timeout
seconds - タイムアウト間隔を指定する整数です。
（範囲 : 0 ～ 65535 秒 ; 0: タイムアウトなし）
デフォルト設定
CLI: タイムアウトなし Telnet:10 分
コマンドモード
ラインコンフィギュレーション
4-15
4
コマンドラインインターフェース
コマンドの使用
• ユーザー入力がタイムアウト間隔内に検知された場合、セッションは開いたままにな
ります。検知されない場合、セッションは終了します。
• このコマンドは、ローカルコンソールおよび Telnet 接続の両方に適用されます。
• Telnet のタイムアウトを無効にすることはできません。
• タイムアウトを指定せずにこのコマンドを使用すると、デフォルト設定が使用されます。
例
タイムアウトを 2 分に設定するには、次のコマンドを入力します。
Console(config-line)#exec-timeout 120
Console(config-line)#
password-thresh
ログオンの失敗回数を制限する、パスワード割込みしきい値を設定します。 no 形式を使用す
ると、しきい値が削除されます。
構文
password-thresh [threshold]
no password-thresh
threshold - 許可されるパスワード試行回数です。（範囲 : 1 ～ 120; 0: しきい値なし）
デフォルト設定
デフォルトの試行回数は 3 回です。
コマンドモード
ラインコンフィギュレーション
コマンドの使用
• ログオン試行回数のしきい値に達すると、システムインターフェースは、次のログオ
ン試行が可能になるまでの一定時間、サイレントになります（このサイレント時間の
設定は、 silent-time コマンドを使用して行います）。 Telnet の場合、このしきい値に
達すると、 Telnet ログオンインターフェースがシャットダウンされます。
• このコマンドは、ローカルコンソールおよび Telnet 接続の両方に適用されます。
例
パスワード試行のしきい値を 5 回に設定するには、次のコマンドを入力します。
Console(config-line)#password-thresh 5
Console(config-line)#
関連コマンド
silent-time （4-17）
4-16
ラインコマンド
4
silent-time
ログオンの失敗回数が password-thresh コマンドで設定されているしきい値を超えた場合、
その後に管理コンソールにアクセスできなくなる時間を設定します。 no 形式を使用すると、
サイレント時間の設定値が削除されます。
構文
silent-time [seconds]
no silent-time
seconds - コンソールの応答を無効にする時間（秒数）です
（範囲 : 0 ～ 65535; 0: サイレント時間なし）。
デフォルト設定
デフォルト値は、サイレント時間なしです。
コマンドモード
ラインコンフィギュレーション
例
サイレント時間を 60 秒に設定するには、次のコマンドを入力します。
Console(config-line)#silent-time 60
Console(config-line)#
関連コマンド
password-thresh （4-16）
databits
このコマンドでは、コンソールポートにより解釈および生成される各文字あたりのデータ
ビット数を設定します。 no 形式を使用すると、デフォルト値に戻ります。
構文
databits {7 | 8}
no databits
• 7 - 文字あたりのデータビット数は 7 です。
• 8 - 文字あたりのデータビット数は 8 です。
デフォルト設定
1 文字あたり 8 データビット
コマンドモード
ラインコンフィギュレーション
コマンドの使用
databits コマンドを使用すると、パリティ付き 7 データビットを生成するデバイスか
らの入力で上位ビットをマスクすることができます。パリティが生成される場合、文字
当たり 7 データビットを指定します。パリティが不要の場合、文字当たり 8 データビッ
トを指定します
4-17
4
コマンドラインインターフェース
例
7 データビットを指定するには、次のコマンドを入力します。
Console(config-line)#databits 7
Console(config-line)#
関連コマンド
parity （4-18）
parity
このコマンドでは、パリティビットの生成を定義します。 no 形式を使用すると、デフォルト
設定に戻ります。
構文
parity {none | even | odd}
no parity
• none - パリティなし
• even - 偶数パリティ
• odd - 奇数パリティ
デフォルト設定
パリティなし
コマンドモード
ラインコンフィギュレーション
コマンドの使用
端末やモデムなどのデバイスにより提供される通信プロトコルでは、多くの場合、特定
のパリティビット設定が必要です。
例
パリティなしを指定するには、次のコマンドを入力します。
Console(config-line)#parity none
Console(config-line)#
speed
このコマンドでは、端末ラインのボーレートを設定します。このコマンドは、（端末への）送
信と（端末からの）受信の両方の速度を設定します。 no 形式を使用すると、デフォルト設定
に戻ります。
構文
speed bps
no speed
bps - ビット / 秒で表されるボーレートです
（オプション : 9600、 19200、 38400、 57600、 115200 bps、 auto）。
デフォルト設定
auto
4-18
ラインコマンド
4
コマンドモード
ラインコンフィギュレーション
コマンドの使用
シリアルポートに接続されたデバイスのボーレートと同じスピードを設定しますポー
トに接続されているデバイスで使用できるボーレートがサポートされていないことが
あります。選択された速度がサポートされていない場合、システムはそのことを表示し
ます。「auto」オプションを選択した場合、スイッチは、接続端末上で構成されたボー
レートを自動的に検知し、これに基づいてスピードを調整します。
例
57600 bps を指定するには、次のコマンドを入力します。
Console(config-line)#speed 57600
Console(config-line)#
stopbits
このコマンドでは、 1 バイトにつき転送されるストップビット数を設定します。 no 形式を使
用すると、デフォルト設定に戻ります。
構文
stopbits {1 | 2}
• 1 - ストップビット数は 1
• 2 - ストップビット数は 2
デフォルト設定
1 ストップビット
コマンドモード
ラインコンフィギュレーション
例
2 ストップビットを指定するには、次のコマンドを入力します。
Console(config-line)#stopbits 2
Console(config-line)#
disconnect
このコマンドでは、 SSH、 Telnet、またはコンソール接続を終了します。
構文
disconnect session-id
session-id - SSH、 Telnet、またはコンソール接続のセッション識別子です
（範囲 : 0 ～ 4）。
コマンドモード
Privileged Exec
4-19
4
コマンドラインインターフェース
コマンドの使用
セッション識別子に「0」を指定すると、コンソール接続が切断されます。アクティブ
セッションに対して他の識別子を指定すると、 SSH または Telnet 接続が切断されます。
例
Console#disconnect 1
Console#
関連コマンド
show ssh （4-43）
show users （4-63）
show line
このコマンドでは、端末ラインのパラメータを表示します。
構文
show line [console | vty]
• console - コンソール端末ラインです。
• vty - リモートコンソールアクセス（Telnet）用のバーチャル端末です。
デフォルト設定
すべてのラインを表示します。
コマンドモード
Normal Exec、 Privileged Exec
例
すべてのラインを表示するには、次のコマンドを入力します。
Console#show line
Console configuration:
Password threshold: 3 times
Interactive timeout: Disabled
Login timeout: Disabled
Silent time:
Disabled
Baudrate:
auto
Databits:
8
Parity:
none
Stopbits:
1
VTY configuration:
Password threshold: 3 times
Interactive timeout: 600 sec
Login timeout: 300 sec
Console#
4-20
一般コマンド
4
一般コマンド
表 4-6. 一般コマンド
コマンド
機能
モード
ページ
enable
特権モードをアクティブにします。
NE
4-21
disable
特権モードから通常モードに戻ります。
PE
4-22
configure
グローバルコンフィギュレーションモードをアク PE
ティブにします。
4-22
show history
コマンド履歴のバッファを表示します。
NE、 PE
4-23
reload
システムを再起動します。
PE
4-23
end
Privileged Exec モードに戻ります。
任意のコンフィギュ 4-24
レーションモード
exit
直前のコンフィギュレーションモードに戻るか、任意
CLI を終了します。
4-24
quit
CLI セッションを終了します。
NE、 PE
4-25
help
ヘルプの使用方法を表示します。
任意
該当
なし
?
コマンド完了のためのオプションを表示します
（コンテキスト依存）。
任意
該当
なし
enable
このコマンドでは、 Privileged Exec モードをアクティブにします。特権モードでは、追加の
コマンドを使用できます。また、特定のコマンドを使用すると、追加の情報を表示できます。
4-6 ページの「コマンドモードについて」を参照してください。
構文
enable [level]
level - デバイスにログインする権限レベルです。
デバイスには、 0: Normal Exec （通常）と 15: Privileged Exec （特権）の 2 つの権限
レベルが予め定義されています。 Privileged Exec モードにアクセスするには、レベル
15 を入力します。
デフォルト設定
レベル 15
コマンドモード
Normal Exec
コマンドの使用
• 「super」は、コマンドモードを Normal Exec から Privileged Exec に変更するのに必
要なデフォルトのパスワードです（このパスワードを設定するには、 4-29 ページの
「enable password」を参照してください）。
• 特権アクセスモード時には、プロンプトの最後に「#」が付加されます。
4-21
4
コマンドラインインターフェース
例
Console>enable
Password:[privileged level password]
Console#
関連コマンド
disable （4-22）
enable password （4-29）
disable
このコマンドでは、特権モードから Normal Exec モードに戻ります。通常アクセスモードで
可能なのは、スイッチのコンフィギュレーションに関する基本情報やイーサネット統計情報
の表示のみです。すべてのコマンドにアクセスするには、特権モードを使用する必要があり
ます。 4-6 ページの「コマンドモードについて」を参照してください。
デフォルト設定
なし
コマンドモード
Privileged Exec
コマンドの使用
通常アクセスモード時には、プロンプトの最後に「>」が付加されます。
例
Console#disable
Console>
関連コマンド
enable （4-21）
configure
このコマンドでは、グローバルコンフィギュレーションモードをアクティブにします。ス
イッチの設定に何らかの変更を加えるには、このモードに入る必要があります。また、イン
ターフェースコンフィギュレーション、ラインコンフィギュレーション、 VLAN データベー
スコンフィギュレーション、マルチプルスパニングツリーコンフィギュレーションといっ
た他のコンフィギュレーションモードを有効にするには、グローバルコンフィギュレーショ
ンモードを予めアクティブにしておく必要があります。 4-6 ページの「コマンドモードにつ
いて」を参照してください。
デフォルト設定
なし
コマンドモード
Privileged Exec
例
Console#configure
Console(config)#
4-22
一般コマンド
4
関連コマンド
end （4-24）
show history
このコマンドでは、コマンド履歴バッファの内容を表示します。
デフォルト設定
なし
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
履歴バッファのサイズは、Exec コマンド 10 個分、およびコンフィギュレーションコマ
ンド 10 個分に固定されています。
例
この例では、 show history コマンドによりコマンド履歴バッファの内容をリスト表示します。
Console#show history
Execution command history:
2 config
1 show history
Configuration command history:
4 interface vlan 1
3 exit
2 interface vlan 1
1 end
Console#
! コマンドは、 Normal Exec モードまたは Privileged Exec モードの時は Exec コマンド履歴
バッファからのコマンドを、いずれかのコンフィギュレーションモードの時はコンフィギュ
レーションコマンド履歴バッファからのコマンドを繰り返します。この例では、 !2 コマンド
で、 Exec コマンド履歴バッファの 2 番目のコマンド（config）を繰り返します。
Console#!2
Console#config
Console(config)#
reload
このコマンドでは、システムを再起動します。
注 : システムが再起動する時には必ず、 Power On Self-Test （パワーオンセルフテスト）が実行さ
れます。 copy running-config startup-config コマンドを使用すると、不揮発性記憶装置に保
存されているすべてのコンフィギュレーション情報が保持されます。
デフォルト設定
なし
コマンドモード
Privileged Exec
4-23
4
コマンドラインインターフェース
コマンドの使用
このコマンドは、システム全体をリセットします。
例
この例は、スイッチをリセットする方法を示しています。
Console#reload
System will be restarted, continue <y/n>? y
end
このコマンドでは、 Privileged Exec モードに戻ります。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション、インターフェースコンフィギュレーション、ラ
インコンフィギュレーション、 VLAN データベースコンフィギュレーション、マルチプ
ルスパニングツリーコンフィギュレーション
例
この例は、インターフェースコンフィギュレーションモードから Privileged Exec モードに
戻る方法を示しています。
Console(config-if)#end
Console#
exit
このコマンドでは、直前のコンフィギュレーションモードに戻るか、またはコンフィギュレー
ションプログラムを終了します。
デフォルト設定
なし
コマンドモード
任意
例
この例は、グローバルコンフィギュレーションモードから Privileged Exec モードに戻り、
CLI セッションを終了する方法を示しています。
Console(config)#exit
Console#exit
Press ENTER to start session
User Access Verification
Username:
4-24
一般コマンド
4
quit
このコマンドでは、コンフィギュレーションプログラムを終了します。
デフォルト設定
なし
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
quit および exit のコマンドは両方とも、コンフィギュレーションプログラムを終了す
ることができます。
例
この例は、 CLI セッションを終了する方法を示しています。
Console#quit
Press ENTER to start session
User Access Verification
Username:
4-25
4
コマンドラインインターフェース
システム管理コマンド
これらのコマンドは、システムログ、パスワード、ユーザー名、ブラウザ構成オプションの
制御や、その他様々なシステム情報の表示または構成に使用されます。
表 4-7. システム管理コマンド
コマンドグループ
機能
ページ
デバイス指定
このスイッチを一意に識別する情報を構成します。
4-26
ユーザーアクセス
管理アクセス用の基本ユーザー名およびパスワードを構成します。
4-28
IP フィルタ
管理アクセスを可能にする IP アドレスを構成します。
4-30
ウェブサーバー
ウェブブラウザを介した管理アクセスを有効にします。
4-32
Telnet サーバー
Telnet を介した管理アクセスを有効にします。
4-35
セキュアシェル
Telnet に代わるセキュアな代替機能を提供します。
4-35
イベントロギング
エラーメッセージのロギングを制御します。
4-45
SMTP アラート
SMTP 電子メールアラートを構成します。
4-51
時刻（システム
クロック）
NTP/SNTP サーバー経由で自動的に、または手動でシステムクロッ 4-54
クを設定します。
システム
ステータス
システムコンフィギュレーション、アクティブなマネージャ、バー 4-59
ジョン情報を表示します。
フレームサイズ
ジャンボフレームのサポートを有効にします。
4-65
デバイス指定コマンド
表 4-8. デバイス指定コマンド
コマンド
機能
prompt
PE および NE モードで使用されるプロンプトをカスタマイ GC
ズします。
モードページ
4-26
hostname
スイッチのホスト名を指定します。
GC
4-27
snmp-server
contact
システムコンタクトストリングを設定します。
GC
4-112
snmp-server
location
システムロケーションストリングを設定します。
GC
4-113
switch renumber
スタックユニットの番号を変更します。
PE
4-27
prompt
このコマンドでは、 CLI プロンプトをカスタマイズします。 no 形式を使用すると、デフォル
トのプロンプトに戻ります。
構文
prompt string
no prompt
string - CLI プロンプトに使用する任意の英数字文字列です（最大長 : 255 文字）。
デフォルト設定
Console
4-26
システム管理コマンド
4
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#prompt RD2
RD2(config)#
hostname
このコマンドでは、このデバイスのホスト名を指定または変更します。no 形式を使用すると、
デフォルトのホスト名に戻ります。
構文
hostname name
no hostname
name - このホストの名前です（最大長 : 255 文字）。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#hostname RD#1
Console(config)#
switch renumber
このコマンドでは、スタック内のスイッチユニットの識別番号をリセットします。すべての
スタックメンバーには、非ループスタックの一番上のユニットから始まるか、またはループ
スタックのマスターユニットから始まる連続番号が付けられています。
構文
switch all renumber
デフォルト設定
• 非ループスタックの場合、一番上のユニットはユニット 1 です。
• ループスタックの場合、マスターユニットはユニット 1 です。
コマンドモード
グローバルコンフィギュレーション
例
この例は、すべてのユニット番号をリセットする方法を示しています。
Console#switch all renumber
Console#
4-27
4
コマンドラインインターフェース
ユーザーアクセスコマンド
この節では、管理アクセスに必要となる基本コマンドをリストします。このスイッチでは、コ
ンソールまたは Telnet 接続を介したパスワードチェック（4-12 ページ）、リモート認証サー
バーを介したユーザー認証（4-72 ページ）、特定ポートのホストアクセス認証（4-81 ページ）
に対応するオプションも提供しています。
表 4-9. ユーザーアクセスコマンド
コマンド
機能
username
ログイン時のユーザー名に基いた認証システムを確立します。 GC
モードページ
4-28
enable password Privileged Exec レベルへのアクセスを制御するパスワードを GC
設定します。
4-29
username
このコマンドでは、指定したユーザーの追加、ログイン時の認証要求、ユーザーパスワード
の指定または変更（またはパスワード不要の指定）、ユーザーアクセスレベルの指定または
変更を行います。 no 形式を使用すると、ユーザー名が削除されます。
構文
username name {access-level level | nopassword |
password {0 | 7} password}
no username name
• name - ユーザーの名前です
（最大長 : 8 文字、大文字小文字を区別、最大ユーザー : 16）。
• access-level level - ユーザーレベルを指定します。
デバイスには、0: Normal Exec と 15: Privileged Exec の 2 つの権限レベルが予め定
義されています。
• nopassword - このユーザーのログインにはパスワードを要求しません。
• {0 | 7} - 0 はプレーンパスワード、 7 は暗号化パスワードを表します。
• password password - ユーザーの認証パスワードです（最大長 : プレーンテキスト
では 8 文字、暗号化では 32 文字、大文字小文字を区別）。
デフォルト設定
• デフォルトのアクセスレベルは Normal Exec です。
• 出荷時のユーザー名およびパスワードのデフォルトは、次のとおりです。
表 4-10. デフォルトのログイン設定
username
access-level
password
guest
admin
015
guest
admin
コマンドモード
グローバルコンフィギュレーション
4-28
システム管理コマンド
4
コマンドの使用
システムのブートアップ中にコンフィギュレーションファイルを読み取る時、または
TFTP サーバーからコンフィギュレーションファイルをダウンロードする時に、レガ
シーのパスワード設定（プレーンテキストまたは暗号化）との互換性を保つため、暗号
化パスワードが必要になります。暗号化パスワードを手動で構成する必要はありません。
例
この例は、ユーザーのアクセスレベルおよびパスワードを設定する方法を示しています。
Console(config)#username bob access-level 15
Console(config)#username bob password 0 smith
Console(config)#
enable password
システムに最初にログオンした後、 Privileged Exec パスワードを設定する必要があります。
パスワードは記録して、安全な場所に保管しておいてください。このコマンドは、 Normal
Exec レベルから Privileged Exec レベルへのアクセスを制御します。 no 形式を使用すると、
デフォルトのパスワードにリセットされます。
構文
enable password [level level] {0 | 7} password
no enable password [level level]
• level level - Privileged Exec はレベル 15 です（レベル 0 ～ 14 は使用されません）。
• {0 | 7} - 0 はプレーンパスワード、 7 は暗号化パスワードを表します。
• password - この権限レベルのパスワードです
（最大長 : プレーンテキストでは 8 文字、暗号化では 32 文字、大文字小文字を区別）。
デフォルト設定
• デフォルトはレベル 15 です。
• デフォルトのパスワードは「super」です。
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• Null パスワードを設定することはできません。 enable コマンド（4-21 ページを参照）
によりコマンドモードを Normal Exec から Privileged Exec に変更するには、パスワー
ドを入力する必要があります。
• システムのブートアップ中にコンフィギュレーションファイルを読み取る時、または
TFTP サーバーからコンフィギュレーションファイルをダウンロードする時に、レガ
シーのパスワード設定（プレーンテキストまたは暗号化）との互換性を保つため、暗
号化パスワードが必要になります。暗号化パスワードを手動で構成する必要はありま
せん。
例
Console(config)#enable password level 15 0 admin
Console(config)#
4-29
4
コマンドラインインターフェース
関連コマンド
enable （4-21）
authentication enable （4-73）
IP フィルタコマンド
表 4-11. IP フィルタコマンド
コマンド
機能
モードページ
management
管理アクセスを可能にする IP アドレスを構成します。
GC
4-30
show management
ブラウザから監視または構成するスイッチを表示します。
PE
4-31
management
このコマンドでは、様々なプロトコルを介したスイッチへの管理アクセスを可能にするクラ
イアント IP アドレスを指定します。 no 形式を使用すると、デフォルト設定に戻ります。
構文
[no] management {all-client | http-client | snmp-client | telnet-client}
start-address [end-address]
• all-client - SNMP、ウェブ、および Telnet グループに IP アドレスを追加します。
• http-client - ウェブグループに IP アドレスを追加します。
• snmp-client - SNMP グループに IP アドレスを追加します。
• telnet-client - Telnet グループに IP アドレスを追加します。
• start-address - シングル IP アドレス、またはアドレス範囲の先頭のアドレスです。
• end-address - アドレス範囲の最後のアドレスです。
デフォルト設定
すべてのアドレス
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• 無効なアドレスからスイッチ上の管理インターフェースにアクセスしようとした場
合、スイッチによって接続が拒否されます。また、イベントメッセージがシステムロ
グに記録され、トラップメッセージがトラップマネージャに送信されます。
• IP アドレスは SNMP、ウェブ、および Telnet アクセス用に個別に構成できます。こ
れらの各グループには個々のアドレスまたはアドレス範囲を最大 5 つ追加できます。
• 同じグループ（SNMP、ウェブ、または Telnet）のアドレスを入力する際は、重複し
たアドレス範囲を指定することはできません。グループが異なっていれば、アドレス
範囲が重複していても構いません。
• 指定した範囲から個々のアドレスを削除することはできません。範囲全体を削除し、
アドレスを再入力する必要があります。
• アドレス範囲を削除するには、開始アドレスを指定するか、開始アドレスと終了アド
レスを両方指定します。
4-30
システム管理コマンド
4
例
この例は、示されたアドレスへの管理アクセスを制限します。
Console(config)#management all-client 192.168.1.19
Console(config)#management all-client 192.168.1.25 192.168.1.30
Console#
show management
このコマンドでは、様々なプロトコルを介したスイッチへの管理アクセスを可能にするクラ
イアント IP アドレスを表示します。
構文
show management {all-client | http-client | snmp-client | telnet-client}
• all-client - SNMP、ウェブ、および Telnet グループに IP アドレスを追加します。
• http-client - ウェブグループに IP アドレスを追加します。
• snmp-client - SNMP グループに IP アドレスを追加します。
• telnet-client - Telnet グループに IP アドレスを追加します。
コマンドモード
Privileged Exec
例
Console#show management all-client
Management Ip Filter
HTTP-Client:
Start IP address
End IP address
----------------------------------------------1. 192.168.1.19
192.168.1.19
2. 192.168.1.25
192.168.1.30
SNMP-Client:
Start IP address
End IP address
----------------------------------------------1. 192.168.1.19
192.168.1.19
2. 192.168.1.25
192.168.1.30
TELNET-Client:
Start IP address
End IP address
----------------------------------------------1. 192.168.1.19
192.168.1.19
2. 192.168.1.25
192.168.1.30
Console#
4-31
4
コマンドラインインターフェース
ウェブサーバーコマンド
表 4-12. ウェブサーバーコマンド
コマンド
機能
ip http port
ウェブブラウザインターフェースで使用されるポートを指 GC
定します。
モードページ
4-32
ip http server
ブラウザからのスイッチの監視または構成を可能にします。 GC
4-32
4-33
4-34
ip http
secure-server
暗号化通信の HTTPS (HTTP/SSL) を有効にします。
GC
ip http secure-port
HTTPS の UDP ポート番号を指定します。
GC
ip http port
ウェブブラウザインターフェースで使用される TCP ポート番号を指定します。 no 形式を使
用すると、デフォルトポートが使用されます。
構文
ip http port port-number
no ip http port
port-number - ブラウザインターフェースで使用される TCP ポートです。
（範囲 : 1 ～ 65535）
デフォルト設定
80
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#ip http port 769
Console(config)#
関連コマンド
ip http server （4-32）
ip http server
このコマンドでは、このデバイスの監視または構成をブラウザから行うことが可能になりま
す。 no 形式を使用すると、この機能が無効になります。
構文
[no] ip http server
デフォルト設定
有効
コマンドモード
グローバルコンフィギュレーション
4-32
システム管理コマンド
4
例
Console(config)#ip http server
Console(config)#
関連コマンド
ip http port （4-32）
ip http secure-server
このコマンドでは、 SSL (Secure Socket Layer ) 上での HTTPS (Secure Hypertext Transfer
Protocol) を有効にすることで、スイッチのウェブインターフェースへのセキュアなアクセス
（暗号化接続）を提供します。 no 形式を使用すると、この機能が無効になります。
構文
[no] ip http secure-server
デフォルト設定
有効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• HTTP と HTTPS の両方のサービスをスイッチ上で個別に有効にできます。ただし、
HTTP サーバーと HTTPS サーバーで同一の UDP ポートを使用するように構成する
ことはできません。
• HTTPS を有効にする場合、指定する URL の中でこのことを示す必要があります。
https://device[:port_number] の形式で、ブラウザに入力します。
• HTTPS を開始すると、次のように接続が確立されます。
- クライアントがサーバーのデジタル証明書を使用してサーバーを認証します。
- クライアントとサーバーは、接続に使用する一連のセキュリティプロトコルのネゴ
シエーションを行います。
- クライアントとサーバーは、データの暗号化と解読に使用するセッションキーを生
成します。
• クライアントとサーバーは、暗号化されたセキュア接続を確立します。
• Internet Explorer 5.x 以上および Netscape Navigator 6.2 以上では、ステータスバー
に南京錠のアイコンが表示されます。
• 現在 HTTPS をサポートしているウェブブラウザとオペレーティングシステムは次
のとおりです。
表 4-13. HTTPS のシステムサポート
ウェブブラウザ
オペレーティングシステム
Internet Explorer 5.0 以上
Windows 98、 Windows NT （サービスパック 6a）、
Windows 2000、 Windows XP
Netscape Navigator 6.2 以上
Windows 98、 Windows NT （サービスパック 6a）、
Windows 2000、 Windows XP、 Solaris 2.6
4-33
4
コマンドラインインターフェース
• セキュアサイト証明書を指定する方法は、 3-59 ページの「Replacing the Default
Secure-site Certificate」を参照してください。また、 4-66 ページの copy コマンドも
参照してください。
例
Console(config)#ip http secure-server
Console(config)#
関連コマンド
ip http secure-port （4-34）
copy tftp https-certificate (4-66)
ip http secure-port
このコマンドでは、スイッチのウェブインターフェースとの HTTPS 接続に使用される UDP
ポート番号を指定します。 no 形式を使用すると、デフォルトポートに戻ります。
構文
ip http secure-port port_number
no ip http secure-port
port_number - HTTPS に使用される UDP ポートです。（範囲 : 1 ～ 65535）
デフォルト設定
443
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• HTTP サーバーと HTTPS サーバーで同一のポートを使用するように構成することは
できません。
• HTTPS ポート番号を変更する場合、 HTTPS サーバーに接続しようとするクライアン
トは、 https://device:port_number の形式で、 URL にポート番号を指定する必要があ
ります。
例
Console(config)#ip http secure-port 1000
Console(config)#
関連コマンド
ip http secure-server （4-33）
4-34
システム管理コマンド
4
Telnet サーバーコマンド
表 4-14. Telnet サーバーコマンド
コマンド
機能
ip telnet server
GC
Telnet からのスイッチの監視または構成を可能にします。
また、 Telnet インターフェースで使用されるポートを指定し
ます。
モードページ
4-32
ip telnet server
このコマンドでは、このデバイスの監視または構成を Telnet 経由で行うことが可能になりま
す。また、 Telnet インターフェースで使用される TCP ポート番号を指定します。「port」キー
ワードを指定せずに no 形式を使用すると、この機能が無効になります。「port」キーワード
を指定して no 形式を使用すると、デフォルトポートが使用されます。
構文
ip telnet server [port port-number]
no telnet server [port]
• port - Telnet インターフェースで使用される TCP ポート番号です。
• port-number - ブラウザインターフェースで使用される TCP ポートです
（範囲 : 1 ～ 65535）。
デフォルト設定
• サーバー : 有効
• サーバーポート : 23
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#ip telnet server
Console(config)#ip telnet port 123
Console(config)#
セキュアシェルコマンド
Berkley 標準には、本来 Unix システム用に設計されたリモートアクセスツールが含まれてい
ます。一部のツールは Microsoft Windows およびその他の環境にも実装されています。 rlogin
（リモートログイン）、 rsh （リモートシェル）、 rcp （リモートコピー）などのコマンドを含
むツールは悪意のある攻撃に対してセキュアではありません。
セキュアシェル（SSH）には、旧式の Berkley リモートアクセスツールに対するセキュアな
代替機能として開発されたサーバー / クライアントアプリケーションが含まれています。ま
た、 SSH では、 Telnet のセキュアな代替機能として、このスイッチへのリモート管理アクセ
スが提供されます。クライアントが SSH プロトコルを介してスイッチにアクセスする時、こ
のスイッチはアクセス認証のため、ローカルユーザー名およびパスワードに加え、クライア
ントが一致させる必要のある公開キーを使用します。SSH では、スイッチと対応の管理ステー
ションクライアント間で転送されるデータがすべて暗号化されるため、ネットワーク上で伝
送されるデータの改ざんが防止されます。
4-35
4
コマンドラインインターフェース
この節では、 SSH サーバーの構成に使用されるコマンドについて説明します。ただし、 SSH
プロトコルを使用してスイッチを構成する場合、管理ステーションに SSH クライアントをイ
ンストールする必要があることに注意してください。
注 : スイッチでは、 SSH バージョン 1.5 および 2.0 クライアントが両方サポートされます。
表 4-15. セキュアシェルコマンド
コマンド
機能
モードページ
ip ssh server
スイッチ上で SSH サーバーを有効にします。
GC
4-38
ip ssh timeout
SSH サーバーの認証タイムアウトを指定します。
GC
4-38
ip ssh
クライアントによる再試行可能な回数を指定します。
authentication-retries
GC
4-39
ip ssh server-key size SSH サーバーのキーサイズを設定します。
GC
4-40
copy tftp public-key
ユーザーの公開キーを TFTP サーバーからスイッチにコ PE
ピーします。
4-66
delete public-key
指定ユーザーの公開キーを削除します。
PE
4-40
ip ssh crypto
host-key generate
ホストキーを生成します。
PE
4-41
PE
4-41
ip ssh crypto zeroize
ホストキーを RAM からクリアします。
ip ssh save host-key
ホストキーを RAM からフラッシュメモリーに保存します。 PE
4-42
disconnect
ライン接続を終了します。
PE
4-19
show ip ssh
SSH サーバーのステータス、および認証タイムアウトと試 PE
行回数の設定値を表示します。
4-42
show ssh
現在の SSH セッションのステータスを表示します。
PE
4-43
show public-key
指定ユーザーまたはホストの公開キーを表示します。
PE
4-44
show users
権限レベルと公開キーのタイプを含め、SSH ユーザーを表 PE
示します。
4-63
このスイッチ上の SSH サーバーでは、パスワードおよび公開キーによる認証がサポートされ
ます。 SSH クライアントによりパスワード認証が指定されている場合、 4-72 ページの
authentication login コマンドで指定するとおり、ローカルで、または RADIUS/TACACS+ リ
モート認証サーバーを介してパスワード認証が可能です。クライアントが公開キー認証を指
定した場合、次の項目の手順に従ってクライアントおよびスイッチの両方に認証キーを構成
する必要があります。公開キー認証またはパスワード認証のいずれを使用する場合も、スイッ
チ上で認証キーを生成して、SSH サーバーを有効にする必要があることに注意してください。
4-36
システム管理コマンド
4
SSH サーバーを使用するには、次の手順に従います。
1.
ホストキーペアを生成します。 ip ssh crypto host-key generate コマンドを使用して、
ホストの公開キー / プライベートキーのキーペアを作成します。
2.
ホストの公開キーをクライアントに提供します。通常、 SSH クライアントプログラムで
は、スイッチとの初期接続をセットアップ中に、ホストの公開キーを自動的にインポー
トします。公開キーがインポートされない場合は、管理ステーションに既知のホスト
ファイルを手動で作成し、このファイルにホストの公開キーを保存する必要があります。
既知のホストファイル内の公開キーのエントリは次の例のようになります。
10.1.0.54 1024 35 15684995401867669259333946775054617325313674890836547254
15020245593199868544358361651999923329781766065830956 10825913212890233
76546801726272571413428762941301196195566782 59566410486957427888146206
51941746772984865468615717739390164779355942303577413098022737087794545
24083971752646358058176716709574804776117
3.
クライアントの公開キーをスイッチにインポートします。 copy tftp public-key コマン
ドを使用して、すべての SSH クライアントにスイッチへの管理アクセスを付与するため
の公開キーが格納されているファイルをコピーします（これらのクライアントは、 4-28
ページの手順に従って、 username コマンドでスイッチ上にローカルに構成されている
必要があります）。以後、クライアントの認証にはこれらのキーが使用されます。現在の
ファームウェアでは、次の RSA バージョン 1 キーの例に示す標準 UNIX 形式に準拠し
た公開キーファイルのみが受理されます。
1024 35 1341081685609893921040944920155425347631641921872958921143173880
05553616163105177594083868631109291232226828519254374603100937187721199
69631781366277414168985132049117204830339254324101637997592371449011938
00609025394840848271781943722884025331159521348610229029789827213532671
31629432532818915045306393916643 [email protected]
4.
オプションパラメータを設定します。認証タイムアウト、再試行回数、サーバーキーの
サイズを含め、その他のオプションパラメータを設定します。
5.
SSH サービスを有効にします。 ip ssh server コマンドを使用して、スイッチ上で SSH
サーバーを有効にします。
6.
チャレンジ / レスポンス認証（Challenge-Response Authentication）を構成します。 SSH
クライアントがスイッチにアクセスしようとすると、 SSH サーバーは、ホストのキーペ
アを使用して、セッションキーと暗号化方式をネゴシエーションします。スイッチに保
存されている公開キーに対応するプライベートキーを持つクライアントのみ、アクセス
することができます。このプロセスでは、次のようにキーが交換されます。
a.
b.
c.
d.
e.
クライアントが公開キーをスイッチに送信します。
スイッチはクライアントの公開キーと、メモリーに保存されている公開キーを比較
します。
合致する公開キーが見つかった場合、スイッチはその公開キーを使用してランダム
なバイト順序を暗号化し、この文字列をクライアントに送信します。
クライアントはプライベートキーを使用してバイトを解読し、解読したバイトをス
イッチに戻します。
スイッチは解読されたバイトと、送信した元のバイトを比較します。両者が合致し
た場合、クライアントのプライベートキーが正当な公開キーに対応していると見な
され、クライアントは認証されます。
4-37
4
コマンドラインインターフェース
注 : パスワード認証のみで SSH を使用する場合も、初期接続確立時または既知のホストファイル
に手動で入力して、ホストの公開キーをクライアントに与える必要があります。ただし、クラ
イアントのキーを構成する必要はありません。
ip ssh server
このコマンドでは、このスイッチ上で SSH (Secure Shell) サーバーを有効にします。 no 形式
を使用すると、このサービスが無効になります。
構文
[no] ip ssh server
デフォルト設定
無効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• SSH サーバーでは最大 4 つのクライアントセッションがサポートされます。クライ
アントセッションの最大数には、現在の Telnet セッションと SSH セッションも含ま
れます。
• クライアントが最初にスイッチとの接続を確立する時、 SSH サーバーは、キー交換に
DSA または RSA を使用します。次に、サーバーはクライアントとネゴシエーション
を行い、 DES （56 ビット）または 3DES （168-ビット）のいずれかのデータ暗号化方
式を選択します。
• SSH サーバーを有効にする前に、 DSA および RSA ホストキーを生成する必要があ
ります。
例
Console#ip ssh crypto host-key generate dsa
Console#configure
Console(config)#ip ssh server
Console(config)#
関連コマンド
ip ssh crypto host-key generate （4-41）
show ssh （4-43）
ip ssh timeout
このコマンドでは、 SSH サーバーのタイムアウトを構成します。 no 形式を使用すると、デ
フォルト設定に戻ります。
構文
ip ssh timeout seconds
no ip ssh timeout
seconds - SSH ネゴシエーション時のクライアント応答のタイムアウトを秒数で指定
します（範囲 : 1 ～ 120）。
4-38
システム管理コマンド
4
デフォルト設定
10 秒
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
timeout は、 SSH ネゴシエーション中にスイッチがクライアントからの応答を待機する
時間を指定します。 SSH セッションの確立後、ユーザー入力のタイムアウトを制御する
には、 vty セッションの exec-timeout コマンドを使用します。
例
Console(config)#ip ssh timeout 60
Console(config)#
関連コマンド
exec-timeout （4-15）
show ip ssh （4-42）
ip ssh authentication-retries
このコマンドでは、 SSH サーバーがユーザーを再認証する回数を構成します。 no 形式を使用
すると、デフォルト設定に戻ります。
構文
ip ssh authentication-retries count
no ip ssh authentication-retries
count - 可能な認証試行回数です。この回数を超過すると、インターフェースがリセッ
トされます（範囲 : 1 ～ 5）。
デフォルト設定
3
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#ip ssh authentication-retires 2
Console(config)#
関連コマンド
show ip ssh （4-42）
4-39
4
コマンドラインインターフェース
ip ssh server-key size
このコマンドでは、 SSH サーバーのキーサイズを設定します。 no 形式を使用すると、デフォ
ルト設定に戻ります。
構文
ip ssh server-key size key-size
no ip ssh server-key size
key-size - サーバーキーのサイズです（範囲 : 512 ～ 896 ビット）。
デフォルト設定
768 ビット
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• サーバーキーはプライベートキーであるため、スイッチ外で共有されることはあり
ません。
• ホストキーは SSH クライアントと共有され、サイズは 1024 ビットに固定されてい
ます。
例
Console(config)#ip ssh server-key size 512
Console(config)#
delete public-key
このコマンドでは、指定ユーザーの公開キーを削除します。
構文
delete public-key username [dsa | rsa]
• username - SSH ユーザーの名前です（範囲 : 1 ～ 8 文字）。
• dsa - 公開キーのタイプ（DSA）です。
• rsa - 公開キーのタイプ（RSA）です。
デフォルト設定
DSA および RSA キーの両方を削除します。
コマンドモード
Privileged Exec
例
Console#delete public-key admin dsa
Console#
4-40
システム管理コマンド
4
ip ssh crypto host-key generate
このコマンドでは、ホストキーペア（公開キーとプライベートキー）を生成します。
構文
ip ssh crypto host-key generate [dsa | rsa]
• dsa - キーのタイプ（DSA バージョン 2）です。
• rsa - キーのタイプ（RSA バージョン 1）です。
デフォルト設定
DSA および RSA 両方のキーペアを生成します。
コマンドモード
Privileged Exec
コマンドの使用
• このコマンドでは、ホストキーペアをメモリー（RAM）に保存します。ホストキー
ペアをフラッシュメモリーに保存するには、ip ssh save host-key コマンドを使用し
ます。
• SSH クライアントプログラムの中には、コンフィギュレーションプロセスの一環と
して、既知のホストファイルに公開キーを自動的に追加するものもあります。自動的
に追加されないプログラムの場合、既知のホストファイルを手動で作成し、ホスト公
開キーをこのファイルに格納する必要があります。
• SSH サーバーは、このホストキーを使用して、接続しようとしているクライアント
とセッションキーおよび暗号化方式をネゴシエーションします。
例
Console#ip ssh crypto host-key generate dsa
Console#
関連コマンド
ip ssh crypto zeroize （4-41）
ip ssh save host-key （4-42）
ip ssh crypto zeroize
ホストキーをメモリー（RAM）からクリアします。
構文
ip ssh crypto zeroize [dsa | rsa]
• dsa - キーのタイプ（DSA）です。
• rsa - キーのタイプ（RSA）です。
デフォルト設定
DSA および RSA キーの両方をクリアします。
コマンドモード
Privileged Exec
4-41
4
コマンドラインインターフェース
コマンドの使用
• このコマンドは、揮発性メモリー（RAM）からホストキーをクリアします。フラッ
シュメモリーからホストキーをクリアするには、 no ip ssh save host-key コマンド
を使用します。
• このコマンドを実行するには、 SSH サーバーを無効にする必要があります。
例
Console#ip ssh crypto zeroize dsa
Console#
関連コマンド
ip ssh crypto host-key generate （4-41）
ip ssh save host-key （4-42）
no ip ssh server （4-38）
ip ssh save host-key
このコマンドでは、ホストキーを RAM からフラッシュメモリーに保存します。
構文
ip ssh save host-key [dsa | rsa]
• dsa - キーのタイプ（DSA）です。
• rsa - キーのタイプ（RSA）です。
デフォルト設定
DSA および RSA キーの両方を保存します。
コマンドモード
Privileged Exec
例
Console#ip ssh save host-key dsa
Console#
関連コマンド
ip ssh crypto host-key generate （4-41）
show ip ssh
このコマンドでは、 SSH サーバーにアクセスするクライアントを認証するのに使用される接
続設定を表示します。
コマンドモード
Privileged Exec
例
Console#show ip ssh
SSH Enabled - version 2.0
Negotiation timeout: 120 secs; Authentication retries: 3
Server key size: 768 bits
Console#
4-42
システム管理コマンド
4
show ssh
このコマンドでは、現在の SSH サーバー接続を表示します。
コマンドモード
Privileged Exec
例
Console#show ssh
Connection Version State
0
2.0
Session-Started
Username Encryption
admin
ctos aes128-cbc-hmac-md5
stoc aes128-cbc-hmac-md5
Console#
表 4-16. show ssh - フィールドの説明
フィールド
説明
Session
セッション番号（範囲 : 0 ～ 3）
Version
セキュアシェルのバージョン番号
State
認証ネゴシエーションの状態
（値 : Negotiation-Started、 Authentication-Started、 Session-Started）
Username
クライアントのユーザーの名前
Encryption
暗号化方式は、クライアントとサーバー間で自動的にネゴシエーションさ
れます。
SSHv1.5 のオプションには、 DES、 3DES があります。
SSHv2.0 のオプションには、 client-to-server (ctos) および server-to-client
(stoc) 用に次の異なるアルゴリズムがあります。
aes128-cbc-hmac-sha1
aes192-cbc-hmac-sha1
aes256-cbc-hmac-sha1
3des-cbc-hmac-sha1
blowfish-cbc-hmac-sha1
aes128-cbc-hmac-md5
aes192-cbc-hmac-md5
aes256-cbc-hmac-md5
3des-cbc-hmac-md5
blowfish-cbc-hmac-md5
用語 :
DES - Data Encryption Standard （56 ビットキー）
3DES - Triple-DES （DES 暗号化を 3 回実行、 112 ビットキー）
aes - Advanced Encryption Standard （160 または 224 ビットキー）
blowfish - Blowfish （32 ～ 448 ビットキー）
cbc - cypher-block chaining （暗号ブロック連鎖）
sha1 - Secure Hash Algorithm 1 （160 ビットハッシュ）
md5 - Message Digest algorithm number 5 （128 ビットハッシュ）
4-43
4
コマンドラインインターフェース
show public-key
このコマンドでは、指定したユーザーまたはホストの公開キーを表示します。
構文
show public-key [user [username]| host]
username - SSH ユーザーの名前です（範囲 : 1 ～ 8 文字）。
デフォルト設定
すべての公開キーを表示します。
コマンドモード
Privileged Exec
コマンドの使用
• パラメータを入力しないと、すべてのキーが表示されます。 user キーワードが入力さ
れているが、 username が指定されていない場合、すべてのユーザーの公開キーが表
示されます。
• RSA キーの表示で、最初のフィールドはホストキーのサイズ（たとえば 1024）、 2 番
目のフィールドは符号化された公開指数（たとえば 35）、最後のストリングは符号化
されたモジュラスを示します。 DSA キーの表示で、最初のフィールドは、 SSH によ
り使用される暗号化方式が DSS ( デジタル署名標準 ) に準拠していることを示し、最
後のストリングは、符号化されたモジュラスを示します。
例
Console#show public-key host
Host:
RSA:
1024 65537 13236940658254764031382795526536375927835525327972629521130241
0719421061655759424590939236096954050362775257556251003866130989393834523
1033280214988866192159556859887989191950588394018138744046890877916030583
7768185490002831341625008348718449522087429212255691665655296328163516964
0408315547660664151657116381
DSA:
ssh-dss AAAB3NzaC1kc3MAAACBAPWKZTPbsRIB8ydEXcxM3dyV/yrDbKStIlnzD/Dg0h2Hxc
YV44sXZ2JXhamLK6P8bvuiyacWbUW/a4PAtp1KMSdqsKeh3hKoA3vRRSy1N2XFfAKxl5fwFfv
JlPdOkFgzLGMinvSNYQwiQXbKTBH0Z4mUZpE85PWxDZMaCNBPjBrRAAAAFQChb4vsdfQGNIjw
bvwrNLaQ77isiwAAAIEAsy5YWDC99ebYHNRj5kh47wY4i8cZvH+/p9cnrfwFTMU01VFDly3IR
2G395NLy5Qd7ZDxfA9mCOfT/yyEfbobMJZi8oGCstSNOxrZZVnMqWrTYfdrKX7YKBw/Kjw6Bm
iFq7O+jAhf1Dg45loAc27s6TLdtny1wRq/ow2eTCD5nekAAACBAJ8rMccXTxHLFAczWS7EjOy
DbsloBfPuSAb4oAsyjKXKVYNLQkTLZfcFRu41bS2KV5LAwecsigF/+DjKGWtPNIQqabKgYCw2
o/dVzX4Gg+yqdTlYmGA7fHGm8ARGeiG4ssFKy4Z6DmYPXFum1Yg0fhLwuHpOSKdxT3kk475S7
w0W
Console#
4-44
システム管理コマンド
4
イベントロギングコマンド
表 4-17. イベントロギングコマンド
コマンド
機能
モードページ
logging on
エラーメッセージのロギングを制御します。
GC
4-45
logging history
重大度に基いて、スイッチメモリーに保存される syslog メッ GC
セージを制限します。
4-46
logging host
ロギングメッセージを受信する syslog サーバーホストの IP GC
アドレスを追加します。
4-47
logging facility
syslog メッセージのリモートロギングの機能タイプを設定 GC
します。
4-47
logging trap
重大度に基いて、リモートサーバーに保存される syslog メッ GC
セージを制限します。
4-48
clear log
ロギングバッファからメッセージをクリアします。
PE
4-48
show logging
ロギングの状態を表示します。
PE
4-49
show log
ログメッセージを表示します。
PE
4-50
logging on
このコマンドでは、デバッグメッセージまたはエラーメッセージをスイッチメモリーへ送信
するエラーメッセージのロギングを制御します。 no 形式を使用すると、ロギングプロセス
が無効になります。
構文
[no] logging on
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
ロギングプロセスは、スイッチメモリーに保存されるエラーメッセージを制御します。
保存されるエラーメッセージのタイプを制御するには、 logging history コマンドを使
用します。
例
Console(config)#logging on
Console(config)#
関連コマンド
logging history （4-46）
clear log （4-48）
4-45
4
コマンドラインインターフェース
logging history
このコマンドでは、重大度に基いて、スイッチメモリーに保存される syslog メッセージを制限
します。no 形式を使用すると、syslog メッセージのロギングがデフォルトレベルに戻ります。
構文
logging history {flash | ram} level
no logging history {flash | ram}
• flash - フラッシュメモリー（永久メモリー）に保存されるイベント履歴です。
• ram - 一時 RAM （電源リセットで消去されるメモリー）に保存されるイベント履歴
です。
• level - 次の表でリストするレベルのいずれか 1 つです。送信されるメッセージは、
選択したレベルからレベル 0 までのメッセージです（範囲 : 0 ～ 7）。
表 4-18. ロギングレベル
レベル
重大度名
説明
7
debugging
デバッグメッセージ
6
informational
情報メッセージのみ
5
notifications
コールドスタートなど、標準的だが重要な状態
4
warnings
警告状態（false の戻り、予測外の戻りなど）
3
errors
エラー状態（無効な入力、デフォルトの使用など）
2
critical
重大な状態（メモリー割当て、メモリー解放エラー - リソー
スの枯渇など）
1
alerts
即座にアクションが必要な状態
0
emergencies
システム使用不可
* 現在のファームウェアリリースのエラーメッセージはレベル 2、 5、および 6 のみです。
デフォルト設定
フラッシュ :errors （レベル 3 ～ 0）
RAM:warnings （レベル 7 ～ 0）
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
フラッシュメモリーには、 RAM よりも高いプライオリティ（小さい数字）のメッセー
ジレベルを指定する必要があります。
例
Console(config)#logging history ram 0
Console(config)#
4-46
システム管理コマンド
4
logging host
このコマンドでは、ロギングメッセージを受信する syslog サーバーホストの IP アドレスを
追加します。 no 形式を使用すると、 syslog サーバーホストが削除されます。
構文
[no] logging host host_ip_address
host_ip_address - syslog サーバーの IP アドレスです。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• このコマンドを複数回使用することで、ホスト IP アドレスのリストを作成できます。
• ホスト IP アドレスの最大許容数は 5 個です。
例
Console(config)#logging host 10.1.0.3
Console(config)#
logging facility
このコマンドでは、syslog メッセージのリモートロギングに使用するファシリティタイプを
設定します。 no 形式を使用すると、デフォルトのタイプに戻ります。
構文
[no] logging facility type
type - syslog サーバーが適切なサーバーにログメッセージを送信する時に使用され
るファシリティを示す番号です（範囲 : 16 ～ 23）。
デフォルト設定
23
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
このコマンドでは、 syslog メッセージで送信する機能タイプタグを指定します（RFC
3164 を参照）。このタイプは、スイッチから報告されるメッセージの種類には影響しま
せん。ただし、 syslog サーバーは、メッセージをソートしたり、対応するデータベース
にメッセージを保存したりする時に、このタイプ設定を使用することがあります。
例
Console(config)#logging facility 19
Console(config)#
4-47
4
コマンドラインインターフェース
logging trap
リモートサーバーへのシステムメッセージのロギングを有効にする、または重大度に基いて
リモートサーバーに保存される syslog メッセージを制限するには、このコマンドを使用しま
す。レベル指定なしでこのコマンドを使用すると、リモートロギングが有効になります。 no
形式を使用すると、リモートロギングが無効になります。
構文
logging trap [level]
no logging trap
level - 4-46 ページの表でリストする syslog 重大度レベルのいずれかです。送信され
るメッセージは、選択したレベルからレベル 0 までのメッセージです。
デフォルト設定
• 無効
• レベル 7 ～ 0
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• レベルを指定してこのコマンドを使用すると、リモートロギングが有効になり、保存
される最小の重大度レベルが設定されます。
• また、レベルを指定せずにこのコマンドを使用しても、リモートロギングが有効にな
り、最小の重大度レベルがデフォルトに戻ります。
例
Console(config)#logging trap 4
Console(config)#
clear log
このコマンドでは、ログバッファからメッセージをクリアします。
構文
clear log [flash | ram]
• flash - フラッシュメモリー（永久メモリー）に保存されるイベント履歴です。
• ram - 一時 RAM （電源リセットで消去されるメモリー）に保存されるイベント履歴
です。
デフォルト設定
フラッシュおよび RAM
コマンドモード
Privileged Exec
例
Console#clear log
Console#
4-48
システム管理コマンド
4
関連コマンド
show log （4-50）
show logging
このコマンドでは、ローカルスイッチのメモリー、 SMTP イベントハンドラ、リモートの
syslog サーバーへのロギングメッセージに対するコンフィギュレーション設定を表示します。
構文
show logging {flash | ram | sendmail | trap}
• flash - フラッシュメモリー（永久メモリー）へのイベントメッセージ保存に関す
る設定を表示します。
• ram - 一時 RAM （電源リセットで消去されるメモリー）へのイベントメッセージ
保存に関する設定を表示します。
• sendmail - SMTP イベントハンドラの設定を表示します（4-54 ページを参照して
ください）。
• trap - トラップ機能の設定を表示します。
デフォルト設定
なし
コマンドモード
Privileged Exec
例
次の例では、システムロギングを有効にし、フラッシュメモリーのメッセージレベルを
「errors」（デフォルトレベル 3 ～ 0）にし、 RAM のメッセージレベルを「debugging」（デ
フォルトレベル 7 ～ 0）に設定します。
Console#show logging flash
Syslog logging:
Enabled
History logging in FLASH: level errors
Console#show logging ram
Syslog logging:
Enabled
History logging in RAM: level debugging
Console#
表 4-19. show logging flash/ram - フィールドの説明
フィールド
説明
Syslog logging
logging on コマンドによりシステムロギングが有効になっているか
を表示します。
History logging in FLASH
logging history コマンドに基いて報告されるメッセージレベルです。
History logging in RAM
logging history コマンドに基いて報告されるメッセージレベルです。
4-49
4
コマンドラインインターフェース
次の例では、トラップ機能の設定を表示します。
Console#show logging trap
Syslog logging: Enable
REMOTELOG status: disable
REMOTELOG facility type: local use 7
REMOTELOG level type:
Debugging messages
REMOTELOG server IP address: 1.2.3.4
REMOTELOG server IP address: 0.0.0.0
REMOTELOG server IP address: 0.0.0.0
REMOTELOG server IP address: 0.0.0.0
REMOTELOG server IP address: 0.0.0.0
Console#
表 4-20. show logging trap - フィールドの説明
フィールド
説明
Syslog logging
logging on コマンドによりシステムロギングが有効になっているかを
表示します。
REMOTELOG status
logging trap コマンドによりリモートロギングが有効になっているか
を表示します。
REMOTELOG
facility type
logging facility コマンドで指定された syslog メッセージのリモートロ
ギング用のファシリティタイプです。
REMOTELOG
level type
logging trap コマンドで指定された、リモートサーバーに送信される
syslog メッセージの重大度しきい値です。
REMOTELOG
server IP address
logging host コマンドで指定された、 syslog サーバーのアドレスです。
関連コマンド
show logging sendmail （4-54）
show log
このコマンドでは、ローカルメモリーに保存されているログメッセージを表示します。
構文
show log {flash | ram}
• flash - フラッシュメモリー（永久メモリー）に保存されるイベント履歴です。
• ram - 一時 RAM （電源リセットで消去されるメモリー）に保存されるイベント履歴
です。
デフォルト設定
なし
コマンドモード
Privileged Exec
4-50
システム管理コマンド
4
例
次の例では、 RAM に保存されているイベントメッセージを表示します。
Console#show log ram
[1] 00:01:30 2001-01-01
"VLAN 1 link-up notification."
level: 6, module: 5, function: 1, and event no.: 1
[0] 00:01:30 2001-01-01
"Unit 1, Port 1 link-up notification."
level: 6, module: 5, function: 1, and event no.: 1
Console#
SMTP アラートコマンド
このコマンドでは、 SMTP イベントハンドリング、および指定 SMTP サーバーや電子メール
受信者へのアラートメッセージの転送を構成します。
表 4-21. SMTP アラートコマンド
コマンド
機能
モード
ページ
logging sendmail host
アラートメッセージを受信する SMTP サーバーです。
GC
4-51
logging sendmail level アラートメッセージのトリガーに使用される重大度し GC
きい値です。
4-52
logging sendmail
source-email
アラートメッセージの「From」フィールドに使用され GC
る電子メールアドレスです。
4-52
logging sendmail
destination-email
アラートメッセージの電子メール受信者です。
GC
4-53
logging sendmail
SMTP イベントハンドリングを有効にします。
GC
4-53
show logging sendmail SMTP イベントハンドラ設定を表示します。
NE、PE 4-54
logging sendmail host
このコマンドでは、アラートメッセージの送信先 SMTP サーバーを指定します。 no 形式を
使用すると、 SMTP サーバーが削除されます。
構文
[no] logging sendmail host ip_address
ip_address - イベントハンドリングのアラートメッセージが送信される SMTP サー
バーの IP アドレスです。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• イベントハンドリングの SMTP サーバーは、最大 3 つまで指定できます。ただし、各
サーバーを指定するには、サーバーごとに個別のコマンドを入力する必要があります。
4-51
4
コマンドラインインターフェース
• 電子メールアラートを送信するため、スイッチは、最初に接続を開きます。次に、
キューで待機しているすべての電子メールアラートメッセージを 1 つずつ送信して、
接続を閉じます。
• 接続を開くため、スイッチはまず、最後の接続中にメールを正常に送信できたサー
バー、またはこのコマンドで構成した最初のサーバーを選択します。メールの送信に
失敗すると、スイッチは、リスト内の次のサーバーを選択して、メール送信を再試行
します。再試行にも失敗すると、システムは、このプロセスを一定の間隔で繰り返し
ます（スイッチが接続を正常に開けなかった場合、トラップがトリガーされます）。
例
Console(config)#logging sendmail host 192.168.1.19
Console(config)#
logging sendmail level
このコマンドでは、アラートメッセージのトリガーに使用される重大度しきい値を設定します。
構文
logging sendmail level level
level - システムメッセージレベル（4-46 ページ）のいずれかです。送信されるメッ
セージは、選択したレベルからレベル 0 までのメッセージです
（範囲 : 0 ～ 7、デフォルト : 7）。
デフォルト設定
レベル 7
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
指定したレベルは、イベントしきい値を示します。このレベル以上のすべてのイベント
が、構成されている電子メール受信者に送信されます（たとえば、レベル 7 を使用する
と、レベル 7 ～ 0 までのすべてのイベントが報告されます）。
例
この例では、レベル 3 ～ 0 までのシステムエラーに関する電子メールアラートが送信されます。
Console(config)#logging sendmail level 3
Console(config)#
logging sendmail source-email
このコマンドでは、アラートメッセージの「From」フィールドに使用される電子メールアド
レスを設定します。
構文
logging sendmail source-email email-address
email-address - アラートメッセージで使用される送信元電子メールアドレスです
（範囲 : 1 ～ 41 文字）。
4-52
システム管理コマンド
4
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
スイッチを特定できるシンボリックな電子メールアドレス、またはスイッチを担当する
管理者のアドレスを使用します。
例
Console(config)#logging sendmail source-email [email protected]
Console(config)#
logging sendmail destination-email
このコマンドでは、アラートメッセージの電子メール受信者を指定します。 no 形式を使用す
ると、受信者が削除されます。
構文
[no] logging sendmail destination-email email-address
email-address - アラートメッセージで使用される送信元電子メールアドレスです
（範囲 : 1 ～ 41 文字）。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
アラートメッセージの受信者は、最大で 5 人まで指定できます。ただし、各受信者を指
定するには、受信者ごとに個別のコマンドを入力する必要があります。
例
Console(config)#logging sendmail destination-email [email protected]
Console(config)#
logging sendmail
このコマンドでは、 SMTP イベントハンドリングを有効にします。 no 形式を使用すると、こ
の機能が無効になります。
構文
[no] logging sendmail
デフォルト設定
有効
4-53
4
コマンドラインインターフェース
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#logging sendmail
Console(config)#
show logging sendmail
このコマンドでは、 SMTP イベントハンドラの設定を表示します。
コマンドモード
Normal Exec、 Privileged Exec
例
Console#show logging sendmail
SMTP servers
----------------------------------------------192.168.1.19
SMTP minimum severity level: 7
SMTP destination email addresses
----------------------------------------------ted@this-company.com
SMTP source email address: [email protected]
SMTP status: Enabled
Console#
タイムコマンド
指定したタイムサーバー（NTP または SNTP）セットをポーリングすることで、システムク
ロックを動的に設定することができます。スイッチで時刻を正確に保つことにより、システ
ムログに記録されるイベントエントリの日付や時刻は意味のあるものになります。クロック
を設定しない場合、スイッチは、最後のブートアップ時に設定された工場出荷時のデフォル
トからの経過時間のみを記録します。
表 4-22. タイムコマンド
コマンド
機能
モード
ページ
sntp client
指定したタイムサーバーから時刻を受信します。
GC
4-55
sntp server
1 つまたは複数のタイムサーバーを指定します。
GC
4-56
sntp poll
クライアントが時刻をポーリングする間隔を設定します。
GC
4-56
show sntp
現在の SNTP コンフィギュレーション設定を表示します。
NE、PE 4-57
clock timezone
スイッチの内部クロックのタイムゾーンを設定します。
GC
4-57
calendar set
システムの日付と時刻を設定します。
PE
4-58
現在の日付と時刻の設定を表示します。
NE、PE 4-58
show calendar
4-54
システム管理コマンド
4
sntp client
このコマンドでは、 SNTP クライアントに、 sntp servers コマンドで指定された NTP または
SNTP タイムサーバーに対する時刻同期要求を可能にします。 no 形式を使用すると、 SNTP
クライアント要求が無効になります。
構文
[no] sntp client
デフォルト設定
無効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• タイムサーバーから取得される時刻は、ログイベントの正確な日付および時刻を記
録するのに使用されます。 SNTP を使用しない場合、スイッチは、最後のブートアッ
プ時に設定された工場出荷時のデフォルト（2001/1/1 00:00:00 など）からの経過時間
を記録するのみです。
• このコマンドは、sntp servers コマンドを介して指定されたタイムサーバーへのクラ
イアント時刻要求を有効にします。時刻同期要求は、 sntp poll コマンドにより設定さ
れた間隔に基づいて発行されます。
例
Console(config)#sntp server 10.1.0.19
Console(config)#sntp poll 60
Console(config)#sntp client
Console(config)#end
Console#show sntp
Current time: Dec 23 02:52:44 2002
Poll interval: 60
Current mode: unicast
SNTP status : Enabled
SNTP server 137.92.140.80 0.0.0.0 0.0.0.0
Current server: 137.92.140.80
Console#
関連コマンド
sntp server （4-56）
sntp poll （4-56）
show sntp （4-57）
4-55
4
コマンドラインインターフェース
sntp server
このコマンドでは、 SNTP 時刻要求が発行されるサーバーの IP アドレスを設定します。この
コマンドを引数なしで使用すると、現在のリストからすべてのタイムサーバーがクリアされ
ます。
構文
sntp server [ip1 [ip2 [ip3]]]
ip - タイムサーバー（NTP または SNTP）の IP アドレスです。
（範囲 : 1 ～ 3 アドレス）
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
このコマンドでは、スイッチが SNTP クライアントモードに設定されている時、時刻
更新のためにポーリングするタイムサーバーを指定します。クライアントは、応答を受
信するまで、指定された順序でタイムサーバーをポーリングします。時刻同期要求は、
sntp poll コマンドにより設定された間隔に基づいて発行されます。
例
Console(config)#sntp server 10.1.0.19
Console#
関連コマンド
sntp client （4-55）
sntp poll （4-56）
show sntp （4-57）
sntp poll
このコマンドでは、スイッチが SNTP クライアントモードに設定されている時、時刻要求を
送信する間隔を設定します。 no 形式を使用すると、デフォルトに戻ります。
構文
sntp poll seconds
no sntp poll
seconds - 時刻要求の間隔です（範囲 : 16 ～ 16384 秒）。
デフォルト設定
16 秒
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#sntp poll 60
Console#
4-56
システム管理コマンド
4
関連コマンド
sntp client （4-55）
show sntp
このコマンドでは、 SNTP クライアントの現在の時刻とコンフィギュレーション設定を表示
し、ローカル時刻が正しく更新されているかどうかを示します。
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
現在の時刻、時刻同期要求の送信に使用されるポーリング間隔、および現在の SNTP
モード（ユニキャストなど）を表示します。
例
Console#show sntp
Current time: Dec 23 05:13:28 2002
Poll interval: 16
Current mode: unicast
SNTP status : Enabled
SNTP server 137.92.140.80 0.0.0.0 0.0.0.0
Current server: 137.92.140.80
Console#
clock timezone
このコマンドでは、スイッチの内部クロックのタイムゾーンを設定します。
構文
clock timezone name hour hours minute minutes {before-utc | after-utc}
• name - タイムゾーンの名前（通常は頭文字）です（範囲 : 1 ～ 29 文字）。
• hours - UTC 前後の時間（時）です（範囲 : 0 ～ 13 時）。
• minutes - UTC 前後の時間（分）です（範囲 : 0 ～ 59 分）。
• before-utc - UTC 前（東）のローカルタイムゾーンを設定します。
• after-utc - UTC 後（西）のローカルタイムゾーンを設定します。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
このコマンドは、経度 0 の子午線に基き、 UTC （Coordinated Universal Time ；協定世
界時、旧 GMT ；グリニッジ標準時）に関連したローカルタイムゾーンを設定します。
現地時間に相当する時刻を表示するには、該当するタイムゾーンが UTC の何時間何分
東（前）または西（後）かを指定する必要があります。
4-57
4
コマンドラインインターフェース
例
Console(config)#clock timezone Japan hours 8 minute 0 after-UTC
Console(config)#
関連コマンド
show sntp （4-57）
calendar set
このコマンドでは、システムクロックを設定します。ネットワーク上にタイムサーバーがな
い場合、またはタイムサーバーから信号を受信するようにスイッチを構成していない場合、
このコマンドを使用します。
構文
calendar set hour min sec {day month year | month day year}
• hour - 24 時間形式で時間を指定します（範囲 : 0 ～ 23）。
• min - 分を指定します（範囲 : 0 ～ 59）。
• sec - 秒を指定します（範囲 : 0 ～ 59）。
• day - 日付を指定します（範囲 : 1 ～ 31）。
• month - january | february | march | april | may | june | july | august | september
| october | november | december
• year - 年（4 桁）を指定します（範囲 : 2001 ～ 2100）。
デフォルト設定
なし
コマンドモード
Privileged Exec
例
この例は、システムクロックを 2002 年 2 月 1 日 15 時 12 分 34 秒に設定する方法を示して
います。
Console#calendar set 15:12:34 1 February 2002
Console#
show calendar
このコマンドでは、システムクロックを表示します。
デフォルト設定
なし
コマンドモード
Normal Exec、 Privileged Exec
例
Console#show calendar
15:12:34 February 1 2002
Console#
4-58
システム管理コマンド
4
システムステータスコマンド
表 4-23. システムステータスコマンド
コマンド
機能
モード
ページ
show startup-config システムのスタートアップに使用されるコンフィギュ PE
レーションファイル（フラッシュメモリーに保存されて
いる）の内容を表示します。
4-59
show running-config 現在使用されているコンフィギュレーションデータを表 PE
示します。
4-61
show system
システム情報を表示します。
show users
Telnet クライアントのユーザー名、アイドル時間、 IP アド NE、PE 4-63
レスを含め、アクティブなすべてのコンソールおよび
Telnet セッションを表示します。
NE、PE 4-62
show version
システムのバージョン情報を表示します。
NE、PE 4-64
show startup-config
このコマンドでは、システムのスタートアップに使用されるコンフィギュレーションファイ
ル（不揮発性メモリーに保存されている）を表示します。
デフォルト設定
なし
コマンドモード
Privileged Exec
コマンドの使用
• このコマンドを show running-config コマンドと組み合わせて使用すると、実行中のメ
モリー内の情報を不揮発性メモリーに保存されている情報と比較することができます。
• このコマンドでは、主要なコマンドモードの設定を表示します。各モードグループ
は「!」で区切られ、コンフィギュレーションモードコマンド、および対応するコマ
ンドを含みます。このコマンドでは、次の情報を表示します。
- スタック内の各スイッチの MAC アドレス
- SNTP サーバー設定
- SNMP コミュニティストリング
- ユーザー（名前とアクセスレベル）
- VLAN データベース（VLAN ID、名前、状態）
- 各インターフェスの VLAN コンフィギュレーション設定
- マルチプルスパニングツリーインスタンス（名前とインターフェース）
- VLAN に構成されている IP アドレス
- レイヤー 4 優先度設定
- ルーティングプロトコルコンフィギュレーション設定
- スパニングツリー設定
- コンソールポートおよび Telnet のコンフィギュレーション設定
4-59
4
コマンドラインインターフェース
例
Console#show startup-config
building startup-config, please wait.....
!<stackingDB>0000000000000000</stackingDB>
!<stackingMac>01_00-20-1a-df-9c-a0_00</stackingMac>
!<stackingMac>02_00-20-1a-df-9e-c0_01</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!
phymap 00-20-1a-df-9c-a0 00-20-1a-df-9e-c0 00-00-00-00-00-00
00-00-00-00-00-00 00-00-00-00-00-00 00-00-00-00-00-00 00-00-00-00-00-00
00-00-00-00-00-00
!
SNTP server 0.0.0.0 0.0.0.0 0.0.0.0
!
snmp-server community public ro
snmp-server community private rw!
!
username admin access-level 15
username admin password 7 21232f297a57a5a743894a0e4a801fc3
username guest access-level 0
username guest password 7 084e0343a0486ff05530df6c705c8bb4
enable password level 15 7 1b3231655cebb7a1f783eddf27d254ca
!
vlan database
vlan 1 name DefaultVlan media ethernet state active
!
spanning-tree MST configuration
!
interface ethernet 1/1
switchport allowed vlan add 1 untagged
switchport native vlan 1
.
.
.
interface vlan 1
ip address dhcp
!
no map IP precedence
no map IP DSCP
!
line console
!
line VTY
!
end
Console#
関連コマンド
show running-config （4-61）
4-60
システム管理コマンド
4
show running-config
このコマンドでは、現在使用されているコンフィギュレーション情報を表示します。
デフォルト設定
なし
コマンドモード
Privileged Exec
コマンドの使用
• このコマンドを show startup-config コマンドと組み合わせて使用すると、実行中のメ
モリー内の情報と不揮発性メモリーに保存されている情報を比較することができます。
• このコマンドでは、主要なコマンドモードの設定を表示します。各モードグループ
は「!」で区切られ、コンフィギュレーションモードコマンド、および対応するコマ
ンドを含みます。このコマンドでは、次の情報を表示します。
- スタック内の各スイッチの MAC アドレス
- SNTP サーバー設定
- SNMP コミュニティストリング
- ユーザー（名前、アクセスレベル、暗号化パスワード）
- VLAN データベース（VLAN ID、名前、状態）
- 各インターフェスの VLAN コンフィギュレーション設定
- マルチプルスパニングツリーインスタンス（名前とインターフェース）
- VLAN に構成されている IP アドレス
- レイヤー 4 優先度設定
- ルーティングプロトコルコンフィギュレーション設定
- スパニングツリー設定
- コンソールポートおよび Telnet のコンフィギュレーション設定
4-61
4
コマンドラインインターフェース
例
Console#show running-config
building running-config, please wait.....
!<stackingDB>0000000000000000</stackingDB>
!<stackingMac>01_00-30-f1-d4-73-a0_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!<stackingMac>00_00-00-00-00-00-00_00</stackingMac>
!
phymap 00-30-f1-d4-73-a0 00-00-00-00-00-00 00-00-00-00-00-00
00-00-00-00-00-00 00-00-00-00-00-00 00-00-00-00-00-00 00-00-00-00-00-00
00-00-00-00-00-00
!
SNTP server 0.0.0.0 0.0.0.0 0.0.0.0
!
snmp-server community private rw
snmp-server community public ro
!
username admin access-level 15
username admin password 7 21232f297a57a5a743894a0e4a801fc3
username guest access-level 0
username guest password 7 084e0343a0486ff05530df6c705c8bb4
enable password level 15 7 1b3231655cebb7a1f783eddf27d254ca
!
vlan database
vlan 1 name DefaultVlan media ethernet state active
!
spanning-tree MST-configuration
!
interface ethernet 1/1
switchport allowed vlan add 1 untagged
switchport native vlan 1
.
.
.
interface vlan 1
IP address DHCP
!
no map IP precedence
no map IP DSCP
!
line console
line vty
!
end
Console#
関連コマンド
show startup-config （4-59）
show system
このコマンドでは、システム情報を表示します。
デフォルト設定
なし
4-62
システム管理コマンド
4
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
• このコマンドにより表示される項目に関する説明は、 3-12 ページの「システム情報の
表示」を参照してください。
• POST の結果はすべて「PASS」が表示されなければなりません。 POST テストに
「FAIL」が表示される場合、販売店までお問い合わせください。
例
Console#show system
System description: 44GE+4Combo Layer2/3/4 Stackable Switch
System OID string: 1.3.6.1.4.1.259.6.10.64
System information
System Up time: 0 days, 1 hours, 23 minutes, and 44.61 seconds
System Name
: [NONE]
System Location
: [NONE]
System Contact
: [NONE]
MAC Address (Unit1):
00-20-1A-DF-9C-A0
MAC Address (Unit2):
00-20-1A-DF-9E-C0
Web Server:
Enabled
Web Server Port:
80
Web Secure Server:
Enabled
Web Secure Server Port: 443
Telnet Server:
Enable
Telnet Server Port:
23
Jumbo Frame:
Disabled
POST Result:
DUMMY Test 1 .................
UART Loopback Test ...........
DRAM Test ....................
Timer Test ...................
PCI Device 1 Test ............
I2C Bus Initialization .......
Switch Int Loopback Test .....
Crossbar Int Loopback Test ...
Fan Speed Test ...............
PASS
PASS
PASS
PASS
PASS
PASS
PASS
PASS
PASS
Done All Pass.
Console#
show users
Telnet クライアントのユーザー名、アイドル時間、 IP アドレスを含め、アクティブなすべて
のコンソールおよび Telnet セッションを表示します。
デフォルト設定
なし
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
このコマンドの実行に使用されるセッションは、ライン（セッション）インデックス番
号の横に「*」が付加されます。
4-63
4
コマンドラインインターフェース
例
Console#show users
Username accounts:
Username Privilege Public-Key
-------- --------- ---------admin
15
None
guest
0
None
steve
15
RSA
Online users:
Line
Username Idle time (h:m:s) Remote IP addr.
----------- -------- ----------------- --------------0
console
admin
0:14:14
* 1
VTY 0
admin
0:00:00
192.168.1.19
2
SSH 1
steve
0:00:06
192.168.1.19
Web online users:
Line
Remote IP addr Username Idle time (h:m:s).
----------- -------------- -------- -----------------1
HTTP
192.168.1.19
admin
0:00:00
Console#
show version
このコマンドでは、システムのハードウェアおよびソフトウェアのバージョン情報を表示し
ます。
デフォルト設定
なし
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
このコマンドにより表示される項目の詳細については、 3-13 ページの「スイッチのハー
ドウェア / ソフトウェアバージョンの表示」を参照してください。
例
Console#show version
Unit1
Serial Number:
Hardware Version:
EPLD Version:
Number of Ports:
Main Power Status:
Redundant Power Status:
A429048179
R01
15.15
49
Up
Not present
Agent (Master)
Unit ID:
Loader Version:
Boot ROM Version:
Operation Code Version:
1
1.0.1.3
1.0.1.7
3.1.1.56
Console#
4-64
システム管理コマンド
4
フレームサイズコマンド
表 4-24. フレームサイズコマンド
コマンド
機能
モードページ
jumbo frame
ジャンボフレームのサポートを有効にします。
GC
4-65
jumbo frame
このコマンドでは、ジャンボフレームのサポートを有効にします。 no 形式を使用すると、無
効になります。
構文
[no] jumbo frame
デフォルト設定
無効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• このスイッチは、最大 9216 バイトのジャンボフレームをサポートすることで、大量
のシーケンシャルデータ転送のスループットを効率化しています。最大 1.5 KB で実
行する標準的なイーサネットフレームと比較した場合、ジャンボフレームの使用に
より、プロトコルカプセル化フィールドの処理に必要なパケットあたりのオーバー
ヘッドが大幅に削減されます。
• ジャンボフレームを使用するには、送信元および宛先の両方のエンドノード（コン
ピュータまたはサーバーなど）がこの機能をサポートしている必要があります。また、
全二重で接続している場合、 2 つのエンドノード間にあるネットワーク上のすべての
スイッチが、拡張フレームサイズに対応できる必要があります。半二重接続の場合、
コリジョンドメイン内のすべてのデバイスが、ジャンボフレームをサポートしてい
る必要があります。
• ジャンボフレームの現在の設定を表示するには、 show system コマンド（4-62 ペー
ジ）を使用します。
例
Console(config)#jumbo frame
Console(config)#
4-65
4
コマンドラインインターフェース
フラッシュ / ファイルコマンド
これらのコマンドは、システムコードまたはコンフィギュレーションファイルの管理に使用
されます。
表 4-25. フラッシュ / ファイルコマンド
コマンド
機能
copy
コードイメージまたはスイッチコンフィギュレーションを、フ PE
ラッシュメモリーと TFTP サーバー間で相互にコピーします。
モードページ
4-66
delete
ファイルまたはコードイメージを削除します。
PE
4-69
dir
フラッシュメモリーのファイルのリストを表示します。
PE
4-69
whichboot
ブートされたファイルを表示します。
PE
4-70
boot system
システムのスタートアップに使用されるファイルまたはイメー GC
ジを指定します。
4-71
copy
このコマンドでは、スイッチのフラッシュメモリーと TFTP サーバー間で、コードイメージ
またはコンフィギュレーションファイルを移動（アップロード / ダウンロード）します。シ
ステムコードまたはコンフィギュレーション設定を TFTP サーバーのファイルに保存する
と、そのファイルを後でスイッチにダウンロードして、システム操作を復元することができ
ます。ファイル転送の成功の可否は、 TFTP サーバーのアクセシビリティとネットワーク接続
の品質に基づきます。
構文
copy file {file | running-config | startup-config | tftp | unit}
copy running-config {file | startup-config | tftp}
copy startup-config {file | running-config | tftp}
copy tftp {file | running-config | startup-config | https-certificate |
public-key}
copy unit file
• file - ファイルとの間で相互にコピーできるようにするキーワードです。
• running-config - 現在実行中のコンフィギュレーションとの間で相互にコピーでき
るようにするキーワードです。
• startup-config - システム初期化に使用されるコンフィギュレーションです。
• tftp - TFTP サーバーとの間で相互にコピーできるようにするキーワードです。
• https-certificate - HTTPS セキュアサイト証明書をコピーできるようにするキー
ワードです。
• public-key - TFTP サーバーから SSH キーをコピーできるようにするキーワードで
す（4-35 ページの「セキュアシェルコマンド」を参照してください）。
• unit - スタック内の特定のユニットとの間で相互にコピーできるようにするキーワー
ドです。
デフォルト設定
なし
4-66
フラッシュ / ファイルコマンド
4
コマンドモード
Privileged Exec
コマンドの使用
• システムは、copy コマンドの完了に必要なデータを要求するプロンプトを表示します。
• 宛先ファイル名にスラッシュ（\ または /）を含めることはできません。また、ファイ
ル名の最初の文字にドット（.）を使用することはできません。ファイル名の最大長
は、 TFTP サーバーの場合 127 文字、スイッチ上のファイルの場合 31 文字です（有
効な文字 : A ～ Z、 a ～ z、 0 ～ 9、「.」、「-」、「_」）。
• フラッシュメモリーの容量に制限があるため、このスイッチでサポートされるオペレー
ションコードファイルは 2 つのみです。
• ユーザー定義のコンフィギュレーションファイルの最大数は、利用可能なメモリー容
量により異なります。
• 工場出荷時のデフォルトのコンフィギュレーションファイルから
「Factory_Default_Config.cfg」をコピー元として使用することはできますが、コピー
先として使用することはできません。
• スタートアップコンフィギュレーションを置き換えるには、startup-config をコピー
先として使用する必要があります。
• ローカルファイルをスタック内の別のスイッチにコピーするには、copy file unit コマ
ンドを使用します。 copy unit file コマンドを使用すると、スタック内の別のスイッチ
からファイルをコピーできます。
• Boot ROM および Loader を、TFTP サーバーからアップロードまたはダウンロードす
ることはできません。新しいファームウェアについては、リリースノートの説明に従
うか、販売店にお問い合わせください。
• https-certificate の指定に関する詳細は、 3-59 ページの「デフォルトのセキュアサイト
証明書の置換」を参照してください。セキュアな接続を確保するため HTTPS の使用
をスイッチで構成する方法の詳細については、 4-33 ページの「ip http secure-server」を
参照してください。
例
次の例は、TFTP サーバー上のファイルにコンフィギュレーション設定をアップロードする方
法を示しています。
Console#copy file tftp
Choose file type:
1. config: 2. opcode: <1-2>: 1
Source file name: startup
TFTP server ip address: 10.1.0.99
Destination file name: startup.01
TFTP completed.
Success.
Console#
4-67
4
コマンドラインインターフェース
次の例は、スタートアップファイルに実行中のコンフィギュレーションをコピーする方法を
示しています。
Console#copy running-config file
destination file name: startup
Write to FLASH Programming.
\Write to FLASH finish.
Success.
Console#
次の例は、コンフィギュレーションファイルをダウンロードする方法を示しています。
Console#copy tftp startup-config
TFTP server ip address: 10.1.0.99
Source configuration file name: startup.01
Startup configuration file name [startup]:
Write to FLASH Programming.
\Write to FLASH finish.
Success.
Console#
この例は、セキュアサイト証明書を TFTP サーバーからコピーする方法を示しています。そ
の後、スイッチをリブートして、証明書をアクティブにします。
Console#copy tftp https-certificate
TFTP server ip address: 10.1.0.19
Source certificate file name: SS-certificate
Source private file name: SS-private
Private password: ********
Success.
Console#reload
System will be restarted, continue <y/n>? y
この例は、 SSH により使用される公開キーを TFTP サーバーからコピーする方法を示してい
ます。 SSH 経由での公開キー認証がサポートされるのは、スイッチ上でローカルに構成され
たユーザーのみであることに注意してください。
Console#copy tftp public-key
TFTP server IP address: 192.168.1.19
Choose public key type:
1. RSA: 2. DSA: <1-2>: 1
Source file name: steve.pub
Username: steve
TFTP Download
Success.
Write to FLASH Programming.
Success.
Console#
4-68
フラッシュ / ファイルコマンド
4
delete
このコマンドでは、ファイルまたはイメージを削除します。
構文
delete [unit:]filename
• filename - コンフィギュレーションファイルまたはコードイメージの名前
• unit - スタックユニットです（範囲 : 1 ～ 8）。
デフォルト設定
なし
コマンドモード
Privileged Exec
コマンドの使用
• ファイルタイプがシステムのスタートアップに使用される場合、このファイルは削除
できません。
• 「Factory_Default_Config.cfg」は削除できません。
• 指定したユニット番号の後にコロン（:）が必要です。
例
この例は、 test2.cfg コンフィギュレーションファイルをフラッシュメモリーから削除する方
法を示しています。
Console#delete test2.cfg
Console#
関連コマンド
dir （4-69）
delete public-key （4-40）
dir
このコマンドでは、フラッシュメモリー内のファイルをリスト表示します。
構文
dir [unit:]{{boot-rom:| config:| opcode:}[filename]}
次のタイプのファイルまたはイメージが表示されます。
• boot-rom - Boot ROM （診断）イメージファイル
• config - スイッチコンフィギュレーションファイル
• opcode - ランタイムオペレーションコードイメージファイル
• filename - コンフィギュレーションファイルまたはコードイメージの名前この
ファイルが存在するがエラーが含まれる場合、ファイルに関する情報は表示できま
せん。
• unit - スタックユニットです（範囲 : 1 ～ 8）。
デフォルト設定
なし
4-69
4
コマンドラインインターフェース
コマンドモード
Privileged Exec
コマンドの使用
• パラメータを指定せずに dir コマンドを入力すると、すべてのファイルが表示されます。
• 指定したユニット番号の後にコロン（:）が必要です。
• 次のファイル情報が表示されます。
表 4-26. ファイルディレクトリ情報
列見出し
説明
file name
ファイルの名前です。
file type
ファイルタイプです（Boot-Rom、 Operation Code、 Config ファイル）。
startup
システムのスタートアップにこのファイルが使用されるかを示します。
size
ファイルの長さをバイト単位で示します。
例
次の例は、すべてのファイル情報を表示する方法を示しています。
Console#dir
file name
file type
startup size (byte)
-------------------------------------------------- ------- ----------Unit1:
D1014
Boot-Rom Image Y
825336
V1000-F
Operation Code N
3504992
V31121
Operation Code Y
4951408
Factory_Default_Config.cfg
Config File
N
455
startup1.cfg
Config File
Y
7996
--------------------------------------------------------------------------Total free space: 22675456
Console#
whichboot
このコマンドでは、システムの電源をオンにした時にブートされたファイルを表示します。
構文
whichboot [unit]
unit - スタックユニットです（範囲 : 1 ～ 8）。
デフォルト設定
なし
コマンドモード
Privileged Exec
4-70
フラッシュ / ファイルコマンド
4
例
この例は、 whichboot コマンドにより表示される情報を示しています。このコマンドで表示
されるファイル情報の説明は、 dir コマンドの下の表を参照してください。
Console#whichboot
file name
file type startup size (byte)
-------------------------------- ----------------------- ------- ----------Unit1:
D1014
Boot-Rom Image Y
825336
V31121
Operation Code Y
4951408
startup1.cfg
Config File
Y
7996
Console#
boot system
このコマンドでは、システムのスタートアップに使用されるファイルまたはイメージを指定
します。
構文
boot system [unit:]{boot-rom| config | opcode}:filename
次のタイプのファイルまたはイメージをデフォルトとして設定できます。
• boot-rom* - Boot ROM
• config* - コンフィギュレーションファイル
• opcode* - ランタイムオペレーションコード
• filename - コンフィギュレーションファイルまたはコードイメージの名前
• unit* - スタックユニットです（範囲 : 1 ～ 8）。
* コロン（:）が必要です。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• 指定したユニット番号およびファイルタイプの後にコロン（:）が必要です。
• ファイルにエラーが含まれる場合、デフォルトファイルとして設定できません。
例
Console(config)#boot system config: startup
Console(config)#
関連コマンド
dir （4-69）
whichboot （4-70）
4-71
4
コマンドラインインターフェース
認証コマンド
このスイッチは、管理アクセスのためにシステムにログインするユーザーを、ローカルまた
はリモートの認証方式を使用して認証するよう構成することができます。また、 IEEE 802.1X
に基づくネットワーククライアントアクセスに対するポートベースの認証を有効にするこ
ともできます。
表 4-27. 認証コマンド
コマンドグループ
機能
ページ
認証シーケンス
ログオン認証方式および優先度を定義します。
4-72
RADIUS クライアント
RADIUS サーバーを介した認証の構成を行います。
4-74
TACACS+ クライアント
TACACS+ サーバーを介した認証の構成を行います。
4-77
ポートセキュリティ
ポートのセキュアアドレスを構成します。
4-79
ポート認証
特定ポート上で 802.1X に基づくホスト認証を構成します。
4-81
認証シーケンス
表 4-28. 認証シーケンスコマンド
コマンド
機能
モードページ
authentication login
ログオン認証方式および優先度を定義します。
GC
4-72
authentication enable
コマンドモード変更のための認証方式および優先度 GC
を定義します。
4-73
authentication login
このコマンドでは、ログイン認証方式および優先度を定義します。 no 形式を使用すると、デ
フォルトに戻ります。
構文
authentication login {[local] [radius] [tacacs]}
no authentication login
• local - ローカルパスワードを使用します。
• radius - RADIUS サーバーパスワードを使用します。
• tacacs - TACACS サーバーパスワードを使用します。
デフォルト設定
ローカル
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• RADIUS は UDP を使用し、TACACS+ は TCP を使用します。UDP はベストエフォー
ト型の送受信を提供し、一方の TCP はコネクション指向の転送を提供します。また、
RADIUS は、クライアントからサーバーへのアクセス要求パケット内のパスワードの
みを暗号化しますが、 TACACS+ はパケットのボディ全体を暗号化することに注意し
てください。
4-72
認証コマンド
4
• RADIUS および TACACS+ ログオン認証では、ユーザー名とパスワードの各ペアに特
定の権限レベルを割り当てます。ユーザー名、パスワード、および権限レベルは、認
証サーバーに構成されている必要があります。
• 認証シーケンスを示すため、 1 つのコマンドで 3 つの認証方式を指定することができ
ます。たとえば、「authentication login radius tacacs local」と入力すると、RADIUS
サーバーのユーザー名およびパスワードが最初に検証されます。 RADIUS サーバーが
利用できない場合、 TACACS+ サーバーで認証が試行されます。 TACACS+ サーバー
も利用できない場合、ローカルのユーザー名およびパスワードがチェックされます。
例
Console(config)#authentication login radius
Console(config)#
関連コマンド
username - ローカルのユーザー名およびパスワードを設定します（4-28）。
authentication enable
このコマンドは、 enable コマンドによりコマンドモードを Exec から Privileged Exec に変
更する時の認証方式および優先度を定義します（4-21 ページを参照）。 no 形式を使用すると、
デフォルトに戻ります。
構文
authentication enable {[local] [radius] [tacacs]}
no authentication enable
• local - ローカルのパスワードのみを使用します。
• radius - RADIUS サーバーパスワードのみを使用します。
• tacacs - TACACS サーバーパスワードを使用します。
デフォルト設定
ローカル
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• RADIUS は UDP を使用し、TACACS+ は TCP を使用します。UDP はベストエフォー
ト型の送受信を提供し、一方の TCP はコネクション指向の転送を提供します。また、
RADIUS は、クライアントからサーバーへのアクセス要求パケット内のパスワードの
みを暗号化しますが、 TACACS+ はパケットのボディ全体を暗号化することに注意し
てください。
• RADIUS および TACACS+ ログオン認証では、ユーザー名とパスワードの各ペアに特
定の権限レベルを割り当てます。ユーザー名、パスワード、および権限レベルは、認
証サーバーに構成されている必要があります。
4-73
4
コマンドラインインターフェース
• 認証シーケンスを示すため、 1 つのコマンドで 3 つの認証方式を指定することができ
ます。たとえば、「authentication enable radius tacacs local」と入力すると、RADIUS
サーバーのユーザー名およびパスワードが最初に検証されます。 RADIUS サーバーが
利用できない場合、 TACACS+ サーバーで認証が試行されます。 TACACS+ サーバー
も利用できない場合、ローカルのユーザー名およびパスワードがチェックされます。
例
Console(config)#authentication enable radius
Console(config)#
関連コマンド
enable password - コマンドモード変更用のパスワードを設定します（4-29）。
RADIUS クライアント
RADIUS ( リモート認証ダイヤルインユーザーサービス ) は、中央サーバー上で稼働するソ
フトウェアを使用して、ネットワーク上の RADIUS 準拠デバイスへのアクセスを制御するロ
グオン認証プロトコルです。認証サーバーのデータベースには、ユーザー名およびパスワー
ドの複数のペアに加え、スイッチへの管理アクセスを必要とする各ユーザーまたはグループ
に関連付けられた権限レベルが保管されています。
表 4-29. RADIUS クライアントコマンド
コマンド
機能
モードページ
radius-server host
RADIUS サーバーを指定します。
GC
4-74
radius-server port
RADIUS サーバーネットワークポートを設定します。 GC
4-75
radius-server key
RADIUS 暗号キーを設定します。
GC
4-75
radius-server retransmit
再試行回数を設定します。
GC
4-76
radius-server timeout
認証要求を送信する間隔を設定します。
GC
4-76
show radius-server
現在の RADIUS 設定を表示します。
PE
4-77
radius-server host
このコマンドでは、各サーバーに適用されるプライマリ / バックアップ RADIUS サーバーお
よび認証パラメータを指定します。 no 形式を使用すると、デフォルト値に戻ります。
構文
[no] radius-server index host {host_ip_address | host_alias}
[auth-port auth_port] [timeout timeout] [retransmit retransmit] [key key]
• index - 最大 5 つのサーバーを指定できます。サーバーが応答するか、再転送期間が
満了するまで、これらのサーバーに対して順番にクエリーが実行されます。
• host_ip_address - サーバーの IP アドレスです。
• host_alias - サーバーのシンボリック名です ( 最大長 : 20 文字）。
• port_number - 認証メッセージに使用される RADIUS サーバーの UDP ポートです
（範囲 : 1 ～ 65535）。
• timeout - 要求を再送信するまでスイッチが応答を待機する時間（秒数 ) です
（範囲 : 1 ～ 65535）。
4-74
認証コマンド
4
• retransmit - スイッチが RADIUS サーバーを介してログオンアクセスの認証を試行
する回数です（範囲 : 1 ～ 30）。
• key - クライアントに対するログオンアクセスの認証に使用される暗号キーです。
文字列にスペースを含めないでください（最大長 : 20 文字）。
デフォルト設定
• auth-port - 1812
• timeout - 5 秒
• retransmit - 2
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#radius-server 1 host 192.168.1.20 port 181 timeout 10
retransmit 5 key green
Console(config)#
radius-server port
このコマンドでは、 RADIUS サーバーネットワークポートを設定します。 no 形式を使用す
ると、デフォルトに戻ります。
構文
radius-server port port_number
no radius-server port
port_number - 認証メッセージに使用される RADIUS サーバーの UDP ポートです
（範囲 : 1 ～ 65535）。
デフォルト設定
1812
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#radius-server port 181
Console(config)#
radius-server key
このコマンドでは、 RADIUS 暗号キーを設定します。 no 形式を使用すると、デフォルトに戻
ります。
構文
radius-server key key_string
no radius-server key
key_string - クライアントのログオンアクセスを認証するのに使用される暗号キーで
す。文字列にスペースを含めないでください（最大長 : 20 文字）。
4-75
4
コマンドラインインターフェース
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#radius-server key green
Console(config)#
radius-server retransmit
このコマンドでは、再試行回数を設定します。 no 形式を使用すると、デフォルトに戻ります。
構文
radius-server retransmit number_of_retries
no radius-server retransmit
number_of_retries - スイッチが RADIUS サーバーを介してログオンアクセスの認証
を試行する回数です（範囲 : 1 ～ 30）。
デフォルト設定
2
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#radius-server retransmit 5
Console(config)#
radius-server timeout
このコマンドでは、 RADIUS サーバーに認証要求を送信する間隔を設定します。 no 形式を使
用すると、デフォルトに戻ります。
構文
radius-server timeout number_of_seconds
no radius-server timeout
number_of_seconds - 要求を再送信するまでスイッチが応答を待機する時間（秒数）
です（範囲 : 1 ～ 65535）。
デフォルト設定
5
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#radius-server timeout 10
Console(config)#
4-76
認証コマンド
4
show radius-server
このコマンドでは、 RADIUS サーバーの現在の設定を表示します。
デフォルト設定
なし
コマンドモード
Privileged Exec
例
Console#show radius-server
Remote RADIUS server configuration:
Global settings:
Communication key with RADIUS server: *****
Server port number:
1812
Retransmit times:
2
Request timeout:
5
Server 1:
Server IP address:
192.168.1.1
Communication key with RADIUS server: *****
Server port number: 1812
Retransmit times: 2
Request timeout: 5
Console#
TACACS+ クライアント
TACACS+ (Terminal Access Controller Access Control System) は、中央サーバー上で稼働す
るソフトウェアを使って、ネットワーク上の TACACS 準拠デバイスへのアクセスを制御する
ログオン認証プロトコルです。認証サーバーのデータベースには、ユーザー名およびパスワー
ドの複数のペアに加え、スイッチへの管理アクセスを必要とする各ユーザーまたはグループ
に関連付けられた権限レベルが保管されています。
表 4-30. TACACS+ クライアントコマンド
コマンド
機能
モードページ
tacacs-server host
TACACS+ サーバーを指定します。
GC
4-78
tacacs-server port
TACACS+ サーバーネットワークポートを指定します。
GC
4-78
tacacs-server key
TACACS+ 暗号キーを設定します。
GC
4-78
show tacacs-server
現在の TACACS+ 設定を表示します。
GC
4-79
4-77
4
コマンドラインインターフェース
tacacs-server host
このコマンドでは、 TACACS+ サーバーを指定します。 no 形式を使用すると、デフォルトに
戻ります。
構文
tacacs-server host host_ip_address
no tacacs-server host
host_ip_address - TACACS+ サーバーの IP アドレスです。
デフォルト設定
10.11.12.13
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#tacacs-server host 192.168.1.25
Console(config)#
tacacs-server port
このコマンドでは、 TACACS+ サーバーネットワークポートを指定します。 no 形式を使用
すると、デフォルトに戻ります。
構文
tacacs-server port port_number
no tacacs-server port
port_number - 認証メッセージに使用される TACACS+ サーバーの TCP ポートです
（範囲 : 1 ～ 65535）。
デフォルト設定
49
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#tacacs-server port 181
Console(config)#
tacacs-server key
このコマンドでは、 TACACS+ 暗号キーを設定します。 no 形式を使用すると、デフォルトに
戻ります。
構文
tacacs-server key key_string
no tacacs-server key
key_string - クライアントのログオンアクセスを認証するのに使用される暗号キーで
す。文字列にスペースを含めないでください（最大長 : 20 文字）。
4-78
認証コマンド
4
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#tacacs-server key green
Console(config)#
show tacacs-server
このコマンドでは、 TACACS+ サーバーの現在の設定を表示します。
デフォルト設定
なし
コマンドモード
Privileged Exec
例
Console#show tacacs-server
Remote TACACS server configuration:
Server IP address:
10.11.12.13
Communication key with TACACS server: *****
Server port number:
49
Console#
ポートセキュリティコマンド
これらのコマンドを使用すると、ポート上でポートセキュリティを有効にすることができま
す。ポートセキュリティを使用する場合、 MAC アドレス数が指定ポート上で構成されている
最大数に達すると、スイッチはアドレスの学習を停止します。該当ポートのダイナミック / ス
タティックアドレステーブルに予め保存されている送信元アドレスを持つ着信トラフィッ
クのみが、ネットワークへのアクセスを許可されます。ポートは、未知の送信元 MAC アドレ
ス、または別のポートからすでに学習している送信元 MAC アドレスを持つ着信フレームを廃
棄します。未許可の MAC アドレスを持つデバイスがそのスイッチポートを使用しようとす
ると、侵入として検知され、スイッチはそのポートを無効にしてトラップメッセージを送信
することによって自動的に対処することができます。
表 4-31. ポートセキュリティコマンド
コマンド
機能
モードページ
port security
セキュアポートを構成します。
IC
mac-address-table static
VLAN 内のポートにスタティックアドレスをマッピン GC
グします。
4-172
show mac-address-table
ブリッジフォワーディングデータベースのエントリ PE
を表示します。
4-174
4-80
4-79
4
コマンドラインインターフェース
port security
このコマンドでは、ポートセキュリティの有効化または構成を行います。キーワードを指定
せずに no 形式を使用すると、ポートセキュリティが無効になります。適切なキーワードを
指定して no 形式を使用すると、セキュリティ違反への対応および許可されるアドレスの最大
数がデフォルト設定に戻ります。
構文
port security [action {shutdown | trap | trap-and-shutdown}
| max-mac-count address-count]
no port security [action | max-mac-count]
• action - ポートセキュリティ違反への応答です。
- shutdown - ポートのみを無効にします。
- trap - SNMP トラップメッセージのみを送信します。
- trap-and-shutdown - SNMP トラップメッセージを送信して、ポートを無効に
します。
• max-mac-count
- address-count - ポートで学習可能な MAC アドレスの最大数です
（範囲 : 0 ～ 1024、 0 は無効を示す）。
デフォルト設定
• ステータス : 無効
• 応答 : なし
• 最大アドレス数 : 0
コマンドモード
インターフェースコンフィギュレーション（イーサネット）
コマンドの使用
• ポートセキュリティが有効になっている場合、 MAC アドレス数が指定ポート上で構
成されている最大数に達すると、スイッチはアドレスの学習を停止します。ダイナミッ
ク / スタティックアドレステーブルに予め保存されている送信元アドレスを持つ着信
トラフィックのみが受け付けられます。
• ポート上でセキュリティを有効にするには、最初に port security max-mac-count コ
マンドによりアドレス数を設定してから、 port security コマンドを使用します。
• ポートセキュリティを無効にして、アドレスの最大数をデフォルトにリセットするに
は、 no port security max-mac-count コマンドを使用します。
• また、 mac-address-table static コマンドを使用して、セキュアアドレスを手動で追
加することもできます。
• セキュアポートには次の制約があります。
- ポートモニタリングを使用できません。
- マルチ VLAN ポートにすることができません。
- ネットワーク相互接続デバイスに接続できません。
- トランクポートにすることができません。
• セキュリティ違反によりポートが無効になった場合、no shutdown コマンドを使用し
て、手動で再び有効にする必要があります。
4-80
認証コマンド
4
例
次の例では、ポート 5 上でポートセキュリティを有効にし、セキュリティ違反への応答とし
てトラップメッセージの送信を設定します。
Console(config)#interface ethernet 1/5
Console(config-if)#port security action trap
関連コマンド
shutdown （4-153）
mac-address-table static （4-172）
show mac-address-table （4-174）
802.1X ポート認証
このスイッチは、IEEE 802.1X (dot1x) ポートベースアクセス制御をサポートしています。こ
れは、認証用証明書のサブミットを最初にユーザーに要求することで、不正なネットワーク
アクセスを防止するものです。クライアント認証は、EAP (Extensible Authentication Protocol)
対応 RADIUS サーバーにより集中管理されます。
表 4-32. 802.1X ポート認証コマンド
コマンド
機能
モードページ
dot1x
system-auth-control
スイッチ上で dot1x をグローバルに有効にします。
GC
4-82
dot1x default
すべての dot1x パラメータをデフォルト値にリセットします。 GC
4-82
dot1x max-req
認証セッションがタイムアウトになるまでに、スイッチが IC
クライアントに EAP 要求 /ID パケットを再送信する最大回
数を設定します。
4-82
dot1x port-control
ポートインターフェースの dot1x モードを設定します。
IC
4-83
dot1x
operation-mode
dot1x ポート上で 1 つまたは複数のホストを可能にします。 IC
4-83
dot1x
re-authenticate
特定のポート上で再認証を強制します。
PE
4-84
dot1x
re-authentication
すべてのポートに対して再認証を有効にします。
IC
4-84
dot1x timeout
quiet-period
Max Request Count を超えた後、スイッチポートが新規ク IC
ライアント取得を試行するまでの待機時間を設定します。
4-85
dot1x timeout
re-authperiod
接続クライアントを再認証しなくてはならなくなるまでの IC
時間を設定します。
4-85
dot1x timeout
tx-period
認証セッション中、スイッチが EAP パケットを再送信する IC
までに待機する時間を設定します。
4-85
show dot1x
dot1x 関連情報をすべて表示します。
PE
4-86
4-81
4
コマンドラインインターフェース
dot1x system-auth-control
このコマンドでは、スイッチ上で IEEE 802.1X ポート認証をグローバルに有効にします。 no
形式を使用すると、デフォルトに戻ります。
構文
[no] dot1x system-auth-control
デフォルト設定
無効
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#dot1x system-auth-control
Console(config)#
dot1x default
このコマンドでは、構成可能なすべての dot1x グローバル設定およびポート設定をデフォル
ト値に設定します。
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#dot1x default
Console(config)#
dot1x max-req
このコマンドでは、認証セッションがタイムアウトになるまでに、スイッチポートがクライ
アントに EAP 要求 /ID パケットを再送信する最大回数を設定します。 no 形式を使用すると、
デフォルトに戻ります。
構文
dot1x max-req count
no dot1x max-req
count - 要求の最大数です（範囲 : 1 ～ 10）。
デフォルト
2
コマンドモード
インターフェースコンフィギュレーション
例
Console(config)#interface eth 1/2
Console(config-if)#dot1x max-req 2
Console(config-if)#
4-82
認証コマンド
4
dot1x port-control
このコマンドでは、ポートインターフェース上で dot1x モードを設定します。 no 形式を使用
すると、デフォルトに戻ります。
構文
dot1x port-control {auto | force-authorized | force-unauthorized}
no dot1x port-control
• auto - dot1x 対応クライアントが RADIUS サーバーで許可されるように要求しま
す。 dot1x 対応でないクライアントはアクセスを拒否されます。
• force-authorized - dot1x 対応または非対応のいずれのクライアントにもすべて、ア
クセスを付与するようポートを構成します。
• force-unauthorized - dot1x 対応または非対応いずれのクライアントに対しても、
アクセスを拒否するようポートを構成します。
デフォルト
force-authorized
コマンドモード
インターフェースコンフィギュレーション
例
Console(config)#interface eth 1/2
Console(config-if)#dot1x port-control auto
Console(config-if)#
dot1x operation-mode
このコマンドでは、 1 つまたは複数のホスト（クライアント）が、 802.1X 許可ポートに接続
するのを可能にします。キーワードを指定せずに no 形式を使用すると、デフォルトの 1 つの
ホストに戻ります。 multi-host max-count キーワードを指定して no 形式を使用すると、デ
フォルトの最大数に戻ります。
構文
dot1x operation-mode {single-host | multi-host [max-count count]}
no dot1x operation-mode [multi-host max-count]
• single-host - 1 つのホストのみがこのポートに接続するのを可能にします。
• multi-host - 複数のホストがこのポートに接続するのを可能にします。
• max-count - ホストの最大数を指定するキーワードです。
- count - ポートに接続できるホストの最大数です
（範囲 : 1 ～ 1024、デフォルト : 5）。
デフォルト
1 つのホスト
コマンドモード
インターフェースコンフィギュレーション
4-83
4
コマンドラインインターフェース
コマンドの使用
• このコマンドで指定される「max-count」パラメータは、 dot1x モードが
dot1x port-control コマンド（4-83 ページ）により「auto」に設定されている場合のみ
有効になります。
• 「multi-host」モードでは、すべてのホストにネットワークアクセスが付与されるため
には、ポートに接続されているホストのいずれか 1 つが認証を通過する必要がありま
す。同様に、 1 つの接続ホストが再認証に失敗するか、 EAPOL ログオフメッセージ
を送信すると、ポートは、すべてのホストに対して無許可状態になります。
例
Console(config)#interface eth 1/2
Console(config-if)#dot1x operation-mode multi-host max-count 10
Console(config-if)#
dot1x re-authenticate
このコマンドでは、すべてのポートまたは特定のインターフェース上で再認証を強制します。
構文
dot1x re-authenticate [interface]
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
コマンドモード
Privileged Exec
例
Console#dot1x re-authenticate
Console#
dot1x re-authentication
このコマンドでは、指定されたポートに対して定期的な再認証を有効にします。 no 形式を使
用すると、再認証が無効になります。
構文
[no] dot1x re-authentication
コマンドモード
インターフェースコンフィギュレーション
例
Console(config)#interface eth 1/2
Console(config-if)#dot1x re-authentication
Console(config-if)#
4-84
認証コマンド
4
dot1x timeout quiet-period
このコマンドでは、 Max Request Count を超えた後、スイッチポートが新規クライアント取
得を試行するまでの待機時間を設定します。 no 形式を使用すると、デフォルトにリセットさ
れます。
構文
dot1x timeout quiet-period seconds
no dot1x timeout quiet-period
seconds - 秒数です（範囲 : 1 ～ 65535）。
デフォルト
60 秒
コマンドモード
インターフェースコンフィギュレーション
例
Console(config)#interface eth 1/2
Console(config-if)#dot1x timeout quiet-period 350
Console(config-if)#
dot1x timeout re-authperiod
このコマンドでは、接続クライアントを再認証しなくてはならなくなるまでの時間を設定し
ます。
構文
dot1x timeout re-authperiod seconds
no dot1x timeout re-authperiod
seconds - 秒数です（範囲 : 1 ～ 65535）。
デフォルト
3600 秒
コマンドモード
インターフェースコンフィギュレーション
例
Console(config)#interface eth 1/2
Console(config-if)#dot1x timeout re-authperiod 300
Console(config-if)#
dot1x timeout tx-period
このコマンドでは、認証セッション中、スイッチが EAP パケットを再送信するまでに待機す
る時間を設定します。 no 形式を使用すると、デフォルト値にリセットされます。
構文
dot1x timeout tx-period seconds
no dot1x timeout tx-period
seconds - 秒数です（範囲 : 1 ～ 65535）。
4-85
4
コマンドラインインターフェース
デフォルト
30 秒
コマンドモード
インターフェースコンフィギュレーション
例
Console(config)#interface eth 1/2
Console(config-if)#dot1x timeout tx-period 300
Console(config-if)#
show dot1x
このコマンドでは、スイッチまたは特定のインターフェース上のポート認証に関連した設定
全般を表示します。
構文
show dot1x [statistics] [interface interface]
• statistics - 各ポートの dot1x ステータスを表示します。
• interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
コマンドモード
Privileged Exec
コマンドの使用
このコマンドでは、次の情報を表示します。
• Global 802.1X Parameters - 802.1X ポート認証がスイッチ上でグローバルに有効
にされているかどうかを示します。
• Global 802.1X Parameters - 次の項目を含め、 802.1X が有効になっている各イン
ターフェースのポートアクセス制御パラメータを表示します。
-
Status
Operation Mode
Mode
Authorized
–
–
–
–
ポートアクセス制御の管理状態
単一または複数のホストを可能にします（4-83 ページ）。
Dot1x ポート制御モード（4-83 ページ）
許可ステータス（yes または n/a: 無許可）
• Global 802.1X Parameters- 次の項目を含め、各インターフェースのポートアクセ
ス制御パラメータを表示します。
- reauth-enabled
- reauth-period
- quiet-period
4-86
– 定期的再認証（4-84 ページ）
– 接続クライアントを再認証しなくてはならなくなるまで
の時間（4-85 ページ）
– Max Request Count を超えた後、スイッチポートが新規
クライアント取得を試行するまでの待機時間
（4-85 ページ）
認証コマンド
4
- tx-period
– 認証セッション中、スイッチが EAP パケットを再送信す
るまでに待機する時間（4-85 ページ）
- supplicant-timeout – クライアント（Supplicant）タイムアウト
- server-timeout
– サーバータイムアウト
- reauth-max
– 再認証の最大試行回数
- max-req
– Maximum 認証セッションがタイムアウトになるまでに、
ポートがクライアントに EAP 要求 /ID パケットを再送信
する最大回数（4-82 ページ）
- Status
– 許可ステータス（許可または無許可）
- Operation Mode
– 1 つまたは複数のホスト（クライアント）が 802.1X 許可
ポートに接続できるかどうかを表示します。
- Max Count
– ポートに接続できるホストの最大数（4-83 ページ）
- Port-control
– ポートの dot1x モード（auto、 force-authorized、または
force-unauthorized）を表示します（4-83 ページ）。
- Supplicant
– 許可されたクライアントの MAC アドレス
- Current Identifier – 現在の認証セッションを特定するのに認証サーバー
（Authenticator）が使用する整数（0 ～ 255）
• Authenticator State Machine
- State
- Reauth Count
– 現在の状態（initialize、 disconnected、 connecting、
authenticating、 authenticated、 aborting、 held、
force_authorized、 force_unauthorized を含む）
– connecting 状態に再び入る回数
• Backend State Machine
- State
- Request Count
- Identifier(Server)
– 現在の状態（request、 response、 success、 fail、 timeout、
idle、 initialize を含む）
– 応答を受信せずにクライアント（Supplicant）に送信され
た EAP Request パケットの数
– 認証サーバーから受信した最新の EAP Success パケッ
ト、 Failure パケット、 Request パケット内の識別子
• Reauthentication State Machine
- State
– 現在の状態（initialize、 reauthenticate を含む）
4-87
4
コマンドラインインターフェース
例
Console#show dot1x
Global 802.1X Parameters
system-auth-control: enable
802.1X Port Summary
Port Name
1/1
1/2
.
.
.
1/25
1/26
Status
disabled
disabled
Operation Mode
Single-Host
Single-Host
Mode
ForceAuthorized
ForceAuthorized
Authorized
n/a
n/a
disabled
enabled
Single-Host
Single-Host
ForceAuthorized
Auto
yes
yes
802.1X Port Details
802.1X is enabled on port 1/1
.
.
.
802.1X is enabled on port 26
reauth-enabled:
Enable
reauth-period:
3600
quiet-period:
60
tx-period:
30
supplicant-timeout:
30
server-timeout:
10
reauth-max:
2
max-req:
2
Status
Authorized
Operation mode
Multi-Host
Max count
5
Port-control
Auto
Supplicant
00-e0-29-94-34-65
Current Identifier
3
Authenticator State Machine
State
Authenticated
Reauth Count
0
Backend State Machine
State
Idle
Request Count
0
Identifier(Server) 2
Reauthentication State Machine
State
Initialize
Console#
4-88
アクセス制御リストコマンド
4
アクセス制御リストコマンド
アクセス制御リスト（ACL）により、 IP フレーム（アドレス、プロトコル、レイヤー 4 プロ
トコルポート番号、または TCP 制御コードに基づく）または任意のフレーム（MAC アドレ
スまたはイーサネットタイプに基づく）のパケットをフィルタリングできます。パケットを
フィルタリングするには、まずアクセスリストを作成し、必要なルールを追加し、ルールを
チェックする優先度を変更するためのマスクを指定し、次に特定のポートにこのリストをバ
インドします。
ACL （アクセス制御リスト）
ACL は、 IP アドレス、 MAC アドレス、またはより限定的な基準に適用される許可または拒
否条件のシーケンシャルリストです。このスイッチでは ACL の条件に従ってイングレスまた
はイグレスパケットが 1 つずつテストされます。許可ルールに合致したパケットは即座に受
理され、拒否ルールに合致したパケットは即座に破棄されます。すべての許可ルールのリス
トに対してルールが一致しない場合、パケットは廃棄され、すべての拒否ルールのリストに
対してルールが一致しない場合、パケットは受け付けられます。
フィルタリングモードには、次の 3 種類があります。
• 標準 IP ACL モード（STD-ACL） - 送信元 IP アドレスに基いてパケットをフィルタリング
します。
• 拡張 IP ACL モード（EXT-ACL） - 送信元または宛先 IP アドレス、およびプロトコルタイ
プとプロトコルポート番号に基いて、パケットをフィルタリングします。 TCP プロトコル
が指定されている場合、 TCP 制御コードに基いてパケットをフィルタリングできます。
• MAC ACL モード（MAC-ACL） - 送信元または宛先 MAC アドレス、およびイーサネットフ
レームタイプ（RFC 1060）に基いてパケットをフィルタリングします。
ACL には次の制約が適用されます。
• このスイッチでは、イングレスおよびイグレスフィルタリング両方用の ACL がサポート
されます。ただし、イングレスフィルタリングの場合、 1 つの IP ACL と 1 つの MAC ACL
のみを任意のポートにバインドできます。イグレスフィルタリングの場合、 1 つの IP ACL
と 1 つの MAC ACL を任意のポートにバインドできます。すなわち、1 つのインターフェー
スについてバインドできるのは、イングレス IP ACL とイグレス IP ACL、イングレス MAC
ACL とイグレス MAC ACL の 4 つの ACL のみということになります。
• ACL をイグレスフィルタとしてインターフェースにバインドする時は、ACL 内のすべての
エントリは拒否ルールである必要があります。そうでない場合、バインド動作は失敗します。
• 各 ACL は最大 32 個のルールで構成できます。
• また、 ACL の最大数も 32 個です。
• ただし、リソースの制約があるため、ポートにバインドされるルールの平均数は 20 以下に
する必要があります。
• ACL ルールをポートにバインドするか、またはキュー / フレームのプライオリティをルー
ルと関連付ける前に、 ACL ルールのマスクを構成する必要があります。
• このスイッチでは、イグレス IP ACL またはイグレス MAC ACL に対する明示的な「deny
any any」ルールをサポートしません。こうしたルールが含まれる ACL を、イグレスチェッ
ク用のインターフェースにバインドしようとすると、バインド操作は失敗します。
• イグレス MAC ACL は、宛先 MAC が既知のパケットに対してのみ動作します。マルチキャ
ストパケット、ブロードキャストパケット、または宛先 MAC が未知のパケットに対して
は動作しません。
4-89
4
コマンドラインインターフェース
アクティブな ACL のチェック順序は次のとおりです。
1.
2.
3.
4.
5.
6.
7.
イグレスポートのイグレス MAC ACL に含まれるユーザー定義のルール
イグレスポートのイグレス IP ACL に含まれるユーザー定義のルール
イングレスポートのイングレス MAC ACL に含まれるユーザー定義のルール
イングレスポートのイングレス IP ACL に含まれるユーザー定義のルール
イングレスポートのイングレス IP ACL に含まれる明示的なデフォルトルール
（permit any any）
イングレスポートのイングレス MAC ACL に含まれる明示的なデフォルトルール
（permit any any）
どの明示的ルールにも合致しない場合の暗黙的デフォルトは permit all です。
アクセス制御リストのマスク
ACL ルールのチェック順序を制御するマスクを指定する必要があります。スイッチは、イン
グレス ACL 内で指定されたルールの許可 / 拒否に合致するパケットを通過 / フィルタリング
する 2 つのシステムデフォルトマスクを備えています。また、 1 つの ACL について最大 7
つまでユーザー定義のマスクを構成することができます。マスクは、基本の ACL タイプ（イ
ングレス IP ACL、イグレス IP ACL、イングレス MAC ACL、イグレス MAC ACL）のうちの
1 つに排他的にバインドする必要があります。ただし、 1 つのマスクにバインドできる同じタ
イプの ACL は最大 4 つまでです。
表 4-33. アクセス制御リストコマンド
コマンドグループ
機能
IP ACL
IP アドレス、 TCP/UDP ポート番号、プロトコルタイプ、および 4-91
TCP 制御コードに基いて ACL を構成します。
MAC ACL
ハードウェアアドレス、パケットフォーマット、およびイーサ 4-101
ネットタイプに基いて ACL を構成します。
ACL 情報
ACL および関連付けられたルールを表示します。また、各ポート 4-108
に割り当てられている ACL を表示します。
4-90
ページ
アクセス制御リストコマンド
4
IP ACL
表 4-34. IP ACL コマンド
コマンド
機能
access-list ip
IP ACL を作成し、標準または拡張 IP ACL のコンフィ GC
ギュレーションモードに入ります。
モード
4-91
permit、 deny
指定した送信元 IP アドレスと一致するパケットを STD-ACL
フィルタリングします。
4-92
permit、 deny
送信元および宛先 IP アドレス、 TCP/UDP ポート番 EXT-ACL
号、プロトコルタイプ、 TCP 制御コードなど指定の
基準に基づいてパケットをフィルタリングします。
4-93
show ip access-list
構成された IP ACL のルールを表示します。
PE
4-95
access-list ip
mask-precedence
アクセス制御マスクの構成に使用する IP すべての GC
dot1x パラメータをデフォルト値にリセットします。
マスクモードに変更します。
4-95
mask
ACL ルールの優先度マスクを設定します。
show access-list ip
mask-precedence
IP ACL のイングレスまたはイグレスルールマスクを PE
表示します。
ip access-group
IP ACL にポートを追加します。
show ip access-group IP ACL のポート割当てを表示します。
IP-Mask
ページ
4-96
4-99
IC
4-100
PE
4-100
access-list ip
このコマンドでは、IP アクセスリストを追加し、標準または拡張 IP ACL のコンフィギュレー
ションモードに入ります。 no 形式を使用すると、指定した ACL が削除されます。
構文
[no] access-list ip {standard | extended} acl_name
• standard - 送信元 IP アドレスに基いてパケットをフィルタリングする ACL を指定
します。
• extended - 送信元または宛先 IP アドレス、およびその他のより具体的な基準に基
いてパケットをフィルタリングする ACL を指定します。
• acl_name - ACL の名前です（最大長 : 16 文字）。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• イグレス ACL に含まれるのは、すべて拒否ルールである必要があります。
• ACL を新規作成する場合、または既存の ACL のコンフィギュレーションモードに入
る場合、 permit または deny コマンドを使用して、リストの最後に新規ルールを追加
します。 ACL を作成するには、少なくとも 1 つのルールをリストに追加する必要があ
ります。
4-91
4
コマンドラインインターフェース
• ルールを削除するには、 no permit または no deny コマンドの後に、以前に構成した
ルールを正確に指定します。
• 各 ACL には最大で 32 のルールを含めることができます。
例
Console(config)#access-list ip standard david
Console(config-std-acl)#
関連コマンド
permit、 deny （4-92）
ip access-group （4-100）
show ip access-list （4-95）
permit、 deny （標準 ACL）
このコマンドでは、標準 IP ACL にルールを追加します。このルールは、指定した送信元から
送られるパケットのフィルタ条件を設定します。no 形式を使用すると、ルールが削除されます。
構文
[no] {permit | deny} {any | source bitmask | host source}
• any - 任意の送信元 IP アドレスです。
• source - 送信元 IP アドレスです。
• bitmask - 一致させるアドレスビットを表す 10 進数です。
• host - 特定の IP アドレスの前に指定するキーワードです。
デフォルト設定
なし
コマンドモード
標準 ACL
コマンドの使用
• 新規ルールは、リストの最後に追加されます。
• アドレスビットマスクは、サブネットマスクと同様、ドットで区切られた 0 ～ 255
の 4 つの整数から構成されます。バイナリマスクでは、ビット 1 で「一致」を示し、
ビット 0 で「無視」を示します。ビットマスクと指定された送信元 IP アドレスをビッ
ト単位で AND 演算した結果に対して、 ACL が割り当てられたポートに着信する各 IP
パケットのアドレスが比較されます。
例
この例では、特定のアドレス 10.1.1.21 に 1 つの許可ルールを構成し、ビットマスクを使用し
てアドレス範囲 168.92.16.x ～ 168.92.31.x に別のルールを構成します。
Console(config-std-acl)#permit host 10.1.1.21
Console(config-std-acl)#permit 168.92.16.0 255.255.240.0
Console(config-std-acl)#
関連コマンド
access-list ip （4-91）
4-92
アクセス制御リストコマンド
4
permit、 deny （拡張 ACL）
このコマンドでは、拡張 IP ACL にルールを追加します。このルールは、特定の送信元または
宛先 IP アドレス、プロトコルタイプ、送信元または宛先プロトコルポート、 TCP 制御コード
によりパケットのフィルタ条件を設定します。no 形式を使用すると、ルールが削除されます。
構文
[no] {permit | deny} [protocol-number | udp]
{any | source address-bitmask | host source}
{any | destination address-bitmask | host destination}
[precedence precedence] [tos tos] [dscp dscp]
[source-port sport [bitmask]] [destination-port dport [port-bitmask]]
[no] {permit | deny} tcp
{any | source address-bitmask | host source}
{any | destination address-bitmask | host destination}
[precedence precedence] [tos tos] [dscp dscp]
[source-port sport [bitmask]] [destination-port dport [port-bitmask]]
[control-flag control-flags flag-bitmask]
• protocol-number - 特定のプロトコル番号です（範囲 : 0 ～ 255）。
• source - 送信元 IP アドレスです。
• destination - 宛先 IP アドレスです。
• address-bitmask - 一致させるアドレスビットを表す 10 進数です。
• host - 特定の IP アドレスの前に指定するキーワードです。
• precedence - IP 優先度レベルです（範囲 : 0 ～ 7）。
• tos – Tos （タイプオブサービス）です（範囲 : 0 ～ 15）。
• dscp - DSCP プライオリティレベルです（範囲 : 0 ～ 63）。
• sport - プロトコル1 の送信元ポート番号です（範囲 : 0 ～ 65535）。
• dport - プロトコル 1 の宛先ポート番号です（範囲 : 0 ～ 65535）。
• port-bitmask - 一致させるポートビットを表す 10 進数です（範囲 : 0 ～ 65535）。
• control-flags - TCP ヘッダの 14 番目のバイトのフラグビット（ビットストリング
を表す）を 10 進数で指定します（範囲 : 0 ～ 63）。
• flag-bitmask - 一致させるコードビットを表す 10 進数です
デフォルト設定
なし
コマンドモード
拡張 ACL
1.
TCP、 UDP、またはその他のプロトコルタイプを含みます。
4-93
4
コマンドラインインターフェース
コマンドの使用
• 新規ルールはすべて、リストの最後に追加されます。
• アドレスビットマスクは、サブネットマスクと同様、ドットで区切られた 0 ～ 255
の 4 つの整数から構成されます。バイナリマスクでは、ビット 1 で「一致」を示し、
ビット 0 で「無視」を示します。ビットマスクと指定された送信元 IP アドレスをビッ
ト単位で AND 演算した結果に対して、 ACL が割り当てられたポートに着信する各 IP
パケットのアドレスが比較されます。
• IP 優先度と ToS （サービス種類）の両方を同じルール内で指定できます。ただし、
DSCP を使用している場合、 IP 優先度および ToS のいずれも指定できません。
• 制御コードビットマスクは、制御コードに適用される（相当するビットマスクを表
す） 10 進数です。 10 進数を入力します。同等のバイナリビット「1」はビットの合
致を示し、「0」はビットの無視を示します。次のビットを指定できます。
- 1 (fin) – 終了
- 2 (syn) – 同期
- 4 (rst) – リセット
- 8 (psh) – プッシュ
- 16 (ack) – 肯定応答
- 32 (urg) – 緊急ポインタ
たとえば、次のフラグセットを持つパケットを捕捉するには、次のコード値とマスク
を使用します。
- SYN フラグが有効の場合、「control-code 2 2」を使用
- SYN と ACK の両方が有効の場合、「control-code 18 18」を使用
- SYN が有効で ACK が無効の場合、「control-code 2 18」を使用
例
この例では、送信元アドレスがサブネット 10.7.1.x 内にある着信パケットを受け取ります。た
とえば、このルールに合致、すなわちルール（10.7.1.0 & 255.255.255.0）がマスクされたア
ドレス（10.7.1.2 & 255.255.255.0）に等しい場合、パケットは通過します。
Console(config-ext-acl)#permit 10.7.1.1 255.255.255.0 any
Console(config-ext-acl)#
この例では、宛先 TCP ポートの番号が 80 (HTTP) に設定されている場合、クラス C アドレ
ス 192.168.1.0 からすべての宛先アドレスへの TCP パケットが可能になります。
Console(config-ext-acl)#permit 192.168.1.0 255.255.255.0 any
destination-port 80
Console(config-ext-acl)#
この例では、 TCP 制御コードが「SYN」に設定されているクラス C アドレス 192.168.1.0 か
らのすべての TCP パケットを許可します。
Console(config-ext-acl)#permit tcp 192.168.1.0 255.255.255.0 any
control-flag 2 2
Console(config-ext-acl)#
4-94
アクセス制御リストコマンド
4
関連コマンド
access-list ip （4-91）
show ip access-list
このコマンドでは、構成された IP ACL のルールを表示します。
構文
show ip access-list {standard | extended} [acl_name]
• standard - 標準 IP ACL を指定します。
• extended - 拡張 IP ACL を指定します。
• acl_name - ACL の名前です（最大長 : 16 文字）。
コマンドモード
Privileged Exec
例
Console#show ip access-list standard
IP standard access-list david:
permit host 10.1.1.21
permit 168.92.0.0 255.255.15.0
Console#
関連コマンド
permit、 deny （4-92）
ip access-group （4-100）
access-list ip mask-precedence
このコマンドでは、アクセス制御マスクの構成に使用する IP マスクモードに移行します。no
形式を使用すると、マスクテーブルが削除されます。
構文
[no] access-list ip mask-precedence {in | out}
• in – イングレス ACL のイングレスマスク
• out – イグレス ACL のイグレスマスク
デフォルト設定
デフォルトシステムマスク : 指定された IP ACL に基づくインバウンドパケットフィ
ルタリング
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• マスクは、すべてのイングレス ACL またはすべてのイグレス ACL でのみ使用できます。
• パケットに適用される ACL ルールの優先度は、ルールの順序ではなく、マスクの順序
によって決まります。つまり、ルールに合致する最初のマスクによって、パケットに
適用されるルールが決まることになります。
4-95
4
コマンドラインインターフェース
• ACL ルールをポートにバインドするか、またはキュー / フレームのプライオリティを
ルールと関連付ける前に、 ACL ルールのマスクを構成する必要があります。
例
Console(config)#access-list ip mask-precedence in
Console(config-ip-mask-acl)#
関連コマンド
mask (IP ACL) （4-96）
ip access-group （4-100）
mask (IP ACL)
このコマンドでは、 IP ACL のマスクを定義します。このマスクにより、 IP ヘッダでチェック
するフィールドが定義されます。 no 形式を使用すると、マスクが削除されます。
構文
[no] mask [protocol]
{any | host | source-bitmask}
{any | host | destination-bitmask}
[precedence] [tos] [dscp]
[source-port [port-bitmask]] [destination-port [port-bitmask]]
[control-flag [flag-bitmask]]
• protocol - プロトコルフィールドをチェックします。
• any - どのアドレスにも合致します。
• host - アドレスは、サブネットワークではなく、ホストデバイスのものである必要
があります。
• source-bitmask - ルールの送信元アドレスがこのビットマスクに合致する必要があ
ります。
• destination-bitmask - ルールの宛先アドレスがこのビットマスクに合致する必要が
あります。
• precedence - IP 優先度フィールドをチェックします。
• tos - TOS フィールドをチェックします。
• dscp - DSCP フィールドをチェックします。
• source-port - プロトコル送信元ポートフィールドをチェックします。
• destination-port - プロトコル宛先ポートフィールドをチェックします。
• port-bitmask - ルールのプロトコルポートがこのビットマスクに合致する必要があ
ります（範囲 : 0 ～ 65535）。
• control-flag - 制御フラグのフィールドをチェックします。
• flag-bitmask - ルールの制御フラグがこのビットマスクに合致する必要があります
（範囲 : 0 ～ 63）。
デフォルト設定
なし
4-96
アクセス制御リストコマンド
4
コマンドモード
IP マスク
コマンドの使用
• ポートを通過するパケットは、 ACL のすべてのルールに対して、合致が見つかるまで
チェックされます。これらのパケットがチェックされる順序は、 ACL ルールが入力さ
れた順序ではなく、マスクによって決まります。
• ACL をインターフェースにマッピングする前に、必要な ACL とイングレス / イグレス
マスクを最初に作成します。
• dscp を入力する場合、 tos または precedence は入力できません。 dscp を入力しな
い場合は、 tos と precedence を両方とも入力できます。
• レイヤー 4 プロトコル送信元ポートまたは宛先ポートのエントリを含むマスクは、正
確に 5 バイトのヘッダ長を持つパケットにのみ適用することができます。
例
この例では、 2 つのルールを持つ IP イングレスマスクを作成します。各ルールは、優先度の
順序でチェックされ、 ACL エントリ内での合致が検索されます。マスクに合致する最初のエ
ントリが、インバウンドパケットに適用されます。
Console(config)#access-list ip mask-precedence in
Console(config-ip-mask-acl)#mask host any
Console(config-ip-mask-acl)#mask 255.255.255.0 any
Console(config-ip-mask-acl)#
この例では、ルールが ACL に入力された順序による優先度よりも、マスクのエントリが優先
されます。次の例では、送信元アドレス 10.1.1.1 を持つパケットが廃棄されます。この理由
は、「deny 10.1.1.1 255.255.255.255」ルールが「mask host any」エントリに基づいて高い優
先度を持つためです。
Console(config)#access-list ip standard A2
Console(config-std-acl)#permit 10.1.1.0 255.255.255.0
Console(config-std-acl)#deny 10.1.1.1 255.255.255.255
Console(config-std-acl)#exit
Console(config)#access-list ip mask-precedence in
Console(config-ip-mask-acl)#mask host any
Console(config-ip-mask-acl)#mask 255.255.255.0 any
Console(config-ip-mask-acl)#
4-97
4
コマンドラインインターフェース
この例では、イングレスマスクを使って標準の ACL を作成することにより、 IP ホスト
171.69.198.102 へのアクセスを拒否し、その他すべてのアクセスを許可する方法を示します。
Console(config)#access-list ip standard A2
Console(config-std-acl)#permit any
Console(config-std-acl)#deny host 171.69.198.102
Console(config-std-acl)#end
Console#show access-list
IP standard access-list A2:
deny host 171.69.198.102
permit any
Console#configure
Console(config)#access-list ip mask-precedence in
Console(config-ip-mask-acl)#mask host any
Console(config-ip-mask-acl)#exit
Console(config)#interface ethernet 1/1
Console(config-if)#ip access-group A2 in
Console(config-if)#end
Console#show access-list
IP standard access-list A2:
deny host 171.69.198.102
permit any
Console#
この例では、イグレスマスクを使って拡張 ACL を作成することにより、レイヤー 4 送信元
ポートが 23 の時に、ネットワーク 171.69.198.0 から発信されるパケットを廃棄する方法を
示します。
Console(config)#access-list ip extended A3
Console(config-ext-acl)#deny host 171.69.198.5 any
Console(config-ext-acl)#deny 171.69.198.0 255.255.255.0 any source-port 23
Console(config-ext-acl)#end
Console#show access-list
IP extended access-list A3:
deny host 171.69.198.5 any
deny 171.69.198.0 255.255.255.0 any source-port 23
Console#config
Console(config)#access-list ip mask-precedence out
Console(config-ip-mask-acl)#mask 255.255.255.0 any source-port
Console(config-ip-mask-acl)#exit
Console(config)#interface ethernet 1/15
Console(config-if)#ip access-group A3 out
Console(config-if)#end
Console#show access-list
IP extended access-list A3:
deny 171.69.198.0 255.255.255.0 any source-port 23
deny host 171.69.198.5 any
IP egress mask ACL:
mask 255.255.255.0 any source-port
Console#
4-98
アクセス制御リストコマンド
4
より包括的な例を示します。この例では、 SYN ビットがオンになっている TCP パケットを拒
否し、他のすべてのパケットを許可します。次に、イングレスマスクを設定して、まず拒否
ルールをチェックし、最後にこの ACL にポート 1 をバインドします。インターフェースにバ
インドされた ACL （アクティブな ACL）では、ルールの表示順序は、関連付けられたマスク
によって決まります。
Switch(config)#access-list ip extended 6
Switch(config-ext-acl)#permit any any
Switch(config-ext-acl)#deny tcp any any control-flag 2 2
Switch(config-ext-acl)#end
Console#show access-list
IP extended access-list A6:
permit any any
deny tcp any any control-flag 2 2
Console#configure
Switch(config)#access-list ip mask-precedence in
Switch(config-ip-mask-acl)#mask protocol any any control-flag 2
Switch(config-ip-mask-acl)#end
Console#sh access-list
IP extended access-list A6:
permit any any
deny tcp any any control-flag 2 2
IP ingress mask ACL:
mask protocol any any control-flag 2
Console#configure
Console(config)#interface ethernet 1/1
Console(config-if)#ip access-group A6 in
Console(config-if)#end
Console#show access-list
IP extended access-list A6:
deny tcp any any control-flag 2 2
permit any any
IP ingress mask ACL:
mask protocol any any control-flag 2
Console#
show access-list ip mask-precedence
このコマンドでは、 IP ACL のイングレスまたはイグレスルールマスクを表示します。
構文
show access-list ip mask-precedence [in | out]
• in - イングレス ACL のイングレスマスク優先度です。
• out – イグレス ACL のイグレスマスク優先度です。
コマンドモード
Privileged Exec
例
Console#show access-list ip mask-precedence
IP ingress mask ACL:
mask host any
mask 255.255.255.0 any
Console#
4-99
4
コマンドラインインターフェース
関連コマンド
mask (IP ACL) （4-96）
ip access-group
このコマンドでは、 IP ACL にポートをバインドします。 no 形式を使用すると、ポートが削
除されます。
構文
[no] ip access-group acl_name {in | out}
• acl_name - ACL の名前です（最大長 : 16 文字）。
• in - このリストがイングレスパケットに適用されることを示します。
• out - このリストがイグレスパケットに適用されることを示します。
デフォルト設定
なし
コマンドモード
インターフェースコンフィギュレーション（イーサネット）
コマンドの使用
• 1 つのポートを 1 つの ACL にのみバインドできます。
• すでに ACL にバインドされているポートを別の ACL にバインドすると、既存のバイ
ンドが新しいバインドに置き換えられます。
• ACL ルールをポートにバインドする前に、ルールのマスクを構成する必要があります。
例
Console(config)#int eth 1/2
Console(config-if)#ip access-group standard david in
Console(config-if)#
関連コマンド
show ip access-list （4-95）
show ip access-group
このコマンドでは、 IP ACL に割り当てられているポートを表示します。
コマンドモード
Privileged Exec
例
Console#show ip access-group
Interface ethernet 1/2
IP standard access-list david
Console#
関連コマンド
ip access-group （4-100）
4-100
アクセス制御リストコマンド
4
MAC ACL
表 4-35. MAC ACL コマンド
コマンド
機能
access-list mac
MAC ACL を作成し、コンフィギュレーションモード GC
に入ります。
モード
4-101
ページ
permit、 deny
指定の送信元および宛先アドレス、パケット形式、 MAC-ACL
イーサネットタイプと一致するパケットをフィルタ
リングします。
4-102
show mac access-list
構成された MAC ACL のルールを表示します。
PE
4-103
access-list mac
mask-precedence
アクセス制御マスクを構成するためのモードに移行 GC
します。
4-104
mask
ACL ルールの優先度マスクを設定します。
show access-list mac
mask-precedence
MAC ACL のイングレスまたはイグレスルールマス PE
クを表示します。
mac access-group
MAC ACL にポートを追加します。
IC
4-107
show mac
access-group
MAC ACL のポート割当てを表示します。
PE
4-108
MAC-Mask 4-105
4-107
access-list mac
このコマンドでは、 MAC アクセスリストを追加し、 MAC ACL コンフィギュレーションモー
ドに入ります。 no 形式を使用すると、指定した ACL が削除されます。
構文
[no] access-list mac acl_name
acl_name - ACL の名前です（最大長 : 16 文字）。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• イグレス ACL に含まれるのは、すべて拒否ルールである必要があります。
• ACL を新規作成する場合、または既存の ACL のコンフィギュレーションモードに入
る場合、 permit または deny コマンドを使用して、リストの最後に新規ルールを追加
します。 ACL を作成するには、少なくとも 1 つのルールをリストに追加する必要があ
ります。
• ルールを削除するには、 no permit または no deny コマンドの後に、以前に構成した
ルールを正確に指定します。
• 各 ACL には最大で 32 のルールを含めることができます。
例
Console(config)#access-list mac jerry
Console(config-mac-acl)#
4-101
4
コマンドラインインターフェース
関連コマンド
permit, deny (4-102)
mac access-group （4-107）
show mac access-list （4-103）
permit、 deny (MAC ACL)
このコマンドでは、 MAC ACL にルールを追加します。このルールは、指定の MAC 送信元ま
たは宛先アドレス（物理的なレイヤーアドレス）、またはイーサネットプロトコルタイプと
一致するパケットをフィルタリングします。 no 形式を使用すると、ルールが削除されます。
構文
[no] {permit | deny}
{any | host source | source address-bitmask}
{any | host destination | destination address-bitmask}
[vid vid vid-bitmask] [ethertype protocol [protocol-bitmask]]
注 : デフォルトは、 Ethernet II パケットです。
[no] {permit | deny} tagged-eth2
{any | host source | source address-bitmask}
{any | host destination | destination address-bitmask}
[vid vid vid-bitmask] [ethertype protocol [protocol-bitmask]]
[no] {permit | deny} untagged-eth2
{any | host source | source address-bitmask}
{any | host destination | destination address-bitmask}
[ethertype protocol [protocol-bitmask]]
[no] {permit | deny} tagged-802.3
{any | host source | source address-bitmask}
{any | host destination | destination address-bitmask}
[vid vid vid-bitmask]
[no] {permit | deny} untagged-802.3
{any | host source | source address-bitmask}
{any | host destination | destination address-bitmask}
• tagged-eth2 - タグ付き Ethernet II パケットです。
• untagged-eth2 - タグなし Ethernet II パケットです。
• tagged-802.3 - タグ付き Ethernet 802.3 パケットです。
• untagged-802.3 - タグなし Ethernet 802.3 パケットです。
• any - 任意の MAC 送信元または宛先アドレスです。
• host - 特定の MAC アドレスです。
• source - 送信元 MAC アドレスです。
• destination - ビットマスクを使った宛先 MAC アドレス範囲です。
• address-bitmask1 - MAC アドレスのビットマスクです（16 進数）。
1.
すべてのビットマスクで、「1」は有効なビット、「0」は無視するビットを表します。
4-102
アクセス制御リストコマンド
4
• vid - VLAN ID です（範囲 : 1 ～ 4093）。
• vid-bitmask1 - VLAN ビットマスクです（範囲 : 1 ～ 4093）。
• protocol - 特定のイーサネットプロトコル番号です（範囲 : 600 ～ fff hex）。
• protocol-bitmask1 - プロトコルビットマスクです ( 範囲 : 600 ～ fff hex）。
デフォルト設定
なし
コマンドモード
MAC ACL
コマンドの使用
• 新規ルールは、リストの最後に追加されます。
• ethertype オプションを使用できるのは、 Ethernet II 形式のパケットフィルタリング
に対してのみです。
• イーサネットプロトコルタイプの詳細なリストは、 RFC 1060 に記載されています。
一般的なタイプを次に示します。
- 0800 - IP
- 0806 - ARP
- 8137 - IPX
例
このルールは、イーサネットタイプが 0800 である任意の送信元 MAC アドレスから宛先アド
レス 00-e0-29-94-34-de へのパケットを許可します。
Console(config-mac-acl)#permit any host 00-e0-29-94-34-de ethertype 0800
Console(config-mac-acl)#
関連コマンド
access-list mac （4-101）
show mac access-list
このコマンドでは、構成された MAC ACL のルールを表示します。
構文
show mac access-list [acl_name]
acl_name - ACL の名前です（最大長 : 16 文字）。
コマンドモード
Privileged Exec
例
Console#show mac access-list
MAC access-list jerry:
permit any 00-e0-29-94-34-de ethertype 0800
Console#
1.
すべてのビットマスクで、「1」は有効なビット、「0」は無視するビットを表します。
4-103
4
コマンドラインインターフェース
関連コマンド
permit、 deny （4-102）
mac access-group （4-107）
access-list mac mask-precedence
このコマンドでは、アクセス制御マスクの構成に使用する MAC マスクモードに移行します。
no 形式を使用すると、マスクテーブルが削除されます。
構文
[no] access-list ip mask-precedence {in | out}
• in – イングレス ACL のイングレスマスク
• out – イグレス ACL のイグレスマスク
デフォルト設定
デフォルトシステムマスク : 指定された MAC ACL に基づくインバウンドパケット
フィルタリング
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• ACL ルールをポートにバインドするか、またはキュー / フレームのプライオリティを
ルールと関連付ける前に、 ACL ルールのマスクを構成する必要があります。
• マスクは、すべてのイングレス ACL またはすべてのイグレス ACL でのみ使用できます。
• パケットに適用される ACL ルールの優先度は、ルールの順序ではなく、マスクの順序
によって決まります。つまり、ルールに合致する最初のマスクによって、パケットに
適用されるルールが決まることになります。
例
Console(config)#access-list mac mask-precedence in
Console(config-mac-mask-acl)#
関連コマンド
mask (MAC ACL) （4-105）
mac access-group （4-107）
4-104
アクセス制御リストコマンド
4
mask (MAC ACL)
このコマンドでは、 MAC ACL のマスクを定義します。このマスクにより、パケットヘッダ
でチェックするフィールドが定義されます。 no 形式を使用すると、マスクが削除されます。
構文
[no] mask [pktformat]
{any | host | source-bitmask} {any | host | destination-bitmask}
[vid [vid-bitmask]] [ethertype [ethertype-bitmask]]
• pktformat - パケット形式フィールドをチェックします（このキーワードをマスク
内で使用しなくてはならない場合、合致させる ACL ルールでパケット形式を指定
する必要があります）。
• any - どのアドレスにも合致します。
• host - アドレスは、単一ノードのものである必要があります。
• source-bitmask - ルールの送信元アドレスがこのビットマスクに合致する必要があ
ります。
• destination-bitmask - ルールの宛先アドレスがこのビットマスクに合致する必要が
あります。
• vid - VLAN ID フィールドをチェックします。
• vid-bitmask - ルールの VLAN ID がこのビットマスクに合致する必要があります。
• ethertype - イーサネットタイプフィールドをチェックします。
• ethertype-bitmask - ルールのイーサネットタイプがこのビットマスクに合致する
必要があります。
デフォルト設定
なし
コマンドモード
MAC マスク
コマンドの使用
• イングレスまたはイグレス ACL には、最大 7 つのマスクを割り当てることができます。
• ポートを通過するパケットは、 ACL のすべてのルールに対して、合致が見つかるまで
チェックされます。これらのパケットがチェックされる順序は、 ACL ルールが入力さ
れた順序ではなく、マスクによって決まります。
• ACL をインターフェースにマッピングする前に、必要な ACL とインバウンド / アウト
バウンドマスクを最初に作成します。
4-105
4
コマンドラインインターフェース
例
この例では、イングレス MAC ACL を作成してポートにバインドする方法を示します。マス
クによってルールの順序が変更されたことがわかります。
Console(config)#access-list mac M4
Console(config-mac-acl)#permit any any
Console(config-mac-acl)#deny tagged-eth2 00-11-11-11-11-11 ff-ff-ff-ff-ff-ff
any vid 3
Console(config-mac-acl)#end
Console#show access-list
MAC access-list M4:
permit any any
deny tagged-eth2 host 00-11-11-11-11-11 any vid 3
Console(config)#access-list mac mask-precedence in
Console(config-mac-mask-acl)#mask pktformat ff-ff-ff-ff-ff-ff any vid
Console(config-mac-mask-acl)#exit
Console(config)#interface ethernet 1/12
Console(config-if)#mac access-group M4 in
Console(config-if)#end
Console#show access-list
MAC access-list M4:
deny tagged-eth2 host 00-11-11-11-11-11 any vid 3
permit any any
MAC ingress mask ACL:
mask pktformat host any vid
Console#
この例では、イグレス MAC ACL を作成します。
Console(config)#access-list mac M5
Console(config-mac-acl)#deny tagged-802.3 host 00-11-11-11-11-11 any
Console(config-mac-acl)#deny tagged-eth2 00-11-11-11-11-11 ff-ff-ff-ff-ff-ff
any vid 3 ethertype 0806
Console(config-mac-acl)#end
Console#show access-list
MAC access-list M5:
deny tagged-802.3 host 00-11-11-11-11-11 any
deny tagged-eth2 host 00-11-11-11-11-11 any vid 3 ethertype 0806
Console(config)#access-list mac mask-precedence out
Console(config-mac-mask-acl)#mask pktformat ff-ff-ff-ff-ff-ff any vid
Console(config-mac-mask-acl)#exit
Console(config)#interface ethernet 1/5
Console(config-if)#mac access-group M5 out
Console(config-if)#end
Console#show access-list
MAC access-list M5:
deny tagged-eth2 host 00-11-11-11-11-11 any vid 3 ethertype 0806
deny tagged-802.3 host 00-11-11-11-11-11 any
MAC ingress mask ACL:
mask pktformat host any vid ethertype
Console#
4-106
アクセス制御リストコマンド
4
show access-list mac mask-precedence
このコマンドでは、 MAC ACL のイングレスまたはイグレスルールマスクを表示します。
構文
show access-list mac mask-precedence [in | out]
• in - イングレス ACL のイングレスマスク優先度です。
• out – イグレス ACL のイグレスマスク優先度です。
コマンドモード
Privileged Exec
例
Console#show access-list mac mask-precedence
MAC egress mask ACL:
mask pktformat host any vid ethertype
Console#
関連コマンド
mask (MAC ACL) （4-105）
mac access-group
このコマンドでは、 MAC ACL にポートをバインドします。 no 形式を使用すると、ポートが
削除されます。
構文
mac access-group acl_name {in | out}
• acl_name - ACL の名前です（最大長 : 16 文字）。
• in - このリストがイングレスパケットに適用されることを示します。
• out - このリストがイグレスパケットに適用されることを示します。
デフォルト設定
なし
コマンドモード
インターフェースコンフィギュレーション（イーサネット）
コマンドの使用
• 1 つのポートを 1 つの ACL にのみバインドできます。
• すでに ACL にバインドされているポートを別の ACL にバインドすると、既存のバイ
ンドが新しいバインドに置き換えられます。
• ACL ルールをポートにバインドする前に、ルールのマスクを構成する必要があります。
例
Console(config)#interface ethernet 1/2
Console(config-if)#mac access-group jerry in
Console(config-if)#
関連コマンド
show mac access-list （4-103）
4-107
4
コマンドラインインターフェース
show mac access-group
このコマンドでは、 MAC ACL に割り当てられているポートを表示します。
コマンドモード
Privileged Exec
例
Console#show mac access-group
Interface ethernet 1/5
MAC access-list M5 out
Console#
関連コマンド
mac access-group （4-107）
ACL 情報
表 4-36. ACL 情報コマンド
コマンド
機能
show access-list
すべての ACL および関連付けられたルールを表示します。 PE
モード
4-108
ページ
show access-group
各ポートに割り当てられている ACL を表示します。
PE
4-109
show access-list
このコマンドでは、すべての ACL および関連付けられたルール、ユーザー定義マスクを表示
します。
コマンドモード
Privileged Exec
コマンドの使用
インターフェースにバインドされた ACL （アクティブな ACL）では、ルールの表示順序
は、関連付けられたマスクによって決まります。
例
Console#show access-list
IP standard access-list david:
permit host 10.1.1.21
permit 168.92.0.0 255.255.15.0
IP extended access-list bob:
permit 10.7.1.1 255.255.255.0 any
permit 192.168.1.0 255.255.255.0 any destination-port 80 80
permit 192.168.1.0 255.255.255.0 any protocol tcp control-code 2 2
MAC access-list jerry:
permit any host 00-30-29-94-34-de ethertype 800 800
IP extended access-list A6:
deny tcp any any control-flag 2 2
permit any any
IP ingress mask ACL:
mask protocol any any control-flag 2
Console#
4-108
アクセス制御リストコマンド
4
show access-group
このコマンドでは、 ACL のポート割当てを表示します。
コマンドモード
Privileged Executive
例
Console#show access-group
Interface ethernet 1/2
IP standard access-list david
MAC access-list jerry
Console#
4-109
4
コマンドラインインターフェース
SNMP コマンド
SNMP ( 簡易ネットワーク管理プロトコル ) 経由による管理ステーションからこのスイッチへ
のアクセス、およびトラップマネージャに送信されるエラータイプを制御します。
SNMP バージョン 3 は、メッセージの整合性、認証、暗号化、および MIB ツリーの特定の領
域に対するユーザーアクセスの制御を網羅するセキュリティ機能を提供します。 SNMPv3 を
使用するには、まず SNMP エンジン ID を設定し（またはデフォルトを受け入れ）、 MIB ツ
リーの読み書き可能アクセスビューを指定し、必要なセキュリティモデル（SNMP v1、 v2c、
v3）とセキュリティレベル（認証およびプライバシー）で SNMP ユーザーグループを構成
します。次に、これらのグループに SNMP ユーザーを、特定の認証およびプライバシーパス
ワードとともに割り当てます。
表 4-37. SNMP コマンド
コマンド
機能
モード
ページ
snmp-server
SNMP エージェントを有効にします。
GC
4-110
show snmp
SNMP 通信のステータスを表示します。
NE、PE 4-111
snmp-server
community
SNMP コマンドへのアクセスを許可するコミュニティ GC
アクセスストリングを設定します。
4-112
snmp-server contact
システムコンタクトストリングを設定します。
GC
4-112
snmp-server location
システムロケーションストリングを設定します。
GC
4-113
snmp-server host
SNMP 通知操作の受信者を指定します。
GC
4-113
snmp-server enable
traps
デバイスによる SNMP トラップ（SNMP 通知）の送信 GC
を有効にします。
4-116
snmp-server engine-id SNMP エンジン ID を設定します。
GC
show snmp engine-id
SNMP エンジン ID を表示します。
PE
4-117
4-118
snmp-server view
SNMP ビューを追加します。
GC
4-118
show snmp view
SNMP ビューを表示します。
PE
4-119
snmp-server group
SNMP グループを追加し、ビューにユーザーをマッピン GC
グします。
4-120
show snmp group
SNMP グループを表示します。
PE
4-121
snmp-server user
SNMP グループにユーザーを追加します。
GC
4-122
show snmp user
SNMP ユーザーを表示します。
PE
4-124
snmp-server
このコマンドでは、すべての管理クライアント（バージョン 1、 2c、 3）に対して SNMPv3 エン
ジンおよびサービスを有効にします。no 形式を使用すると、このサーバーが無効になります。
構文
[no] snmp-server
デフォルト設定
有効
コマンドモード
グローバルコンフィギュレーション
4-110
SNMP コマンド
4
例
Console(config)#snmp-server
Console(config)#
show snmp
このコマンドでは、 SNMP 通信のステータスをチェックします。
デフォルト設定
なし
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
このコマンドは、コミュニティアクセスストリングの情報、 SNMP 入出力プロトコル
データユニットのカウンタ情報、および snmp-server enable traps コマンドにより
SNMP ロギングが有効にされているかどうかを表示します。
例
Console#show snmp
SNMP Agent: enabled
SNMP traps:
Authentication: enable
Link-up-down: enable
SNMP communities:
1. private, and the privilege is read-write
2. public, and the privilege is read-only
0 SNMP packets input
0 Bad SNMP version errors
0 Unknown community name
0 Illegal operation for community name supplied
0 Encoding errors
0 Number of requested variables
0 Number of altered variables
0 Get-request PDUs
0 Get-next PDUs
0 Set-request PDUs
0 SNMP packets output
0 Too big errors
0 No such name errors
0 Bad values errors
0 General errors
0 Response PDUs
0 Trap PDUs
SNMP logging: disabled
Console#
4-111
4
コマンドラインインターフェース
snmp-server community
このコマンドでは、 SNMP v1 および v2c コミュニティアクセスストリングを定義します。
no 形式を使用すると、指定したコミュニティストリングが削除されます。
構文
snmp-server community string [ro|rw]
no snmp-server community string
• string - パスワードのように機能し、 SNMP プロトコルへのアクセスを許可するコ
ミュニティストリングです（最大長 : 32 文字、大文字小文字を区別、ストリング
の最大数 : 5)。
• ro - 読取り専用アクセスを指定します。許可された管理ステーションは MIB オブ
ジェクトの取得のみを行えます。
• rw - 読取り / 書込みアクセスを指定します。許可された管理ステーションは、 MIB
オブジェクトの取得および変更を両方行うことができます。
デフォルト設定
• public - 読取り専用アクセスです。許可された管理ステーションは MIB オブジェクト
の取得のみを行えます。
• private - 読取り / 書込みアクセスです。許可された管理ステーションは、MIB オブジェ
クトの取得および変更を両方行うことができます。
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#snmp-server community alpha rw
Console(config)#
snmp-server contact
このコマンドでは、システムコンタクトストリングを設定します。 no 形式を使用すると、シ
ステムコンタクト情報が削除されます。
構文
snmp-server contact string
no snmp-server contact
string - システムコンタクト情報を記述するストリングです（最大長 : 255 文字）。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#snmp-server contact Paul
Console(config)#
4-112
SNMP コマンド
4
関連コマンド
snmp-server location （4-113）
snmp-server location
このコマンドでは、システムロケーションストリングを設定します。 no 形式を使用すると、
ロケーションストリングが削除されます。
構文
snmp-server location text
no snmp-server location
text - システムロケーションを記述するストリングです（最大長 : 255 文字）。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#snmp-server location WC-19
Console(config)#
関連コマンド
snmp-server contact （4-112）
snmp-server host
このコマンドでは、 SNMP ( 簡易ネットワーク管理プロトコル ) 通知操作の受信側ホストを指
定します。 no 形式を使用すると、指定したホストが削除されます。
構文
snmp-server host host-addr [inform [retry retries | timeout seconds]]
community-string [version {1 | 2c | 3 {auth | noauth | priv} [udp-port port]}
no snmp-server host host-addr
• host-addr - ホスト（ターゲットの受信側）のインターネットアドレスです（最大ホ
ストアドレス : 5 トラップ宛先 IP アドレスエントリ )。
• inform - 通知はインフォームメッセージとして送信されます。このオプションは、
バージョン 2c および 3 ホストでのみ利用可能であることに注意してください
（デフォルト : トラップを使用）。
- retries - 受信側が受信を確認しない場合に、インフォームメッセージを送信する
最大回数です（範囲 : 0 ～ 255、デフォルト : 3）。
- seconds - インフォームメッセージを再送信するまでに肯定応答を待機する時間
（秒数）です（範囲 : 0 ～ 2147483647 センチ秒、デフォルト : 1500 センチ秒）。
4-113
4
コマンドラインインターフェース
• community-string - SNMP v1 および v2c ホストへの通知操作により送信され、パス
ワードのように機能するコミュニティストリングです。このストリングは、
snmp-server host コマンド自体を使用して設定できます。ただし、 snmp-server
host コマンドを使用する前に、snmp-server community コマンドを使用してこの
ストリングを定義しておくことをお勧めします（最大長 : 32 文字）。
• version - SNMP バージョン 1、 2c、または 3 トラップのどれとして通知を送信す
るかを指定します（範囲 : 1、 2c、 3; デフォルト : 1）。
- auth | noauth | priv - このグループは、認証あり、認証なし、認証およびプライ
バシーのいずれかで SNMPv3 を使用します。認証および暗号化オプションに関
する詳細は、 3-37 ページの「簡易ネットワーク管理プロトコル」を参照してくだ
さい。
• port - 使用するホスト UDP ポートです（範囲 : 1 ～ 65535、デフォルト : 162）。
デフォルト設定
• ホストアドレス : なし
• 通知タイプ : Traps
• SNMP バージョン : 1
• UDP ポート : 162
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• snmp-server host コマンドを入力しないと、通知は送信されません。 SNMP 通知を
送信するようスイッチを構成するには、少なくとも 1 つの snmp-server host コマン
ドを入力する必要があります。複数のホストを有効にするには、各ホストに対し個別
に snmp-server host コマンドを発行する必要があります。
• snmp-server host コマンドは、 snmp-server enable traps コマンドとともに使用さ
れます。 snmp-server enable traps コマンドを使用すると、トラップまたはイン
フォームの送信を有効にし、どの SNMP 通知をグローバルに送信するかを指定できま
す。ホストに通知を受信させるには、少なくとも 1 つの snmp-server enable traps
コマンドと、そのホストに対する snmp-server host コマンドを有効にする必要があ
ります。
• snmp-server enable traps コマンドで制御できない通知タイプもあります。たとえ
ば、一部の通知タイプは常に有効になっています。
• デフォルトでは、通知はトラップメッセージとしてスイッチにより発行されます。ト
ラップメッセージの受信側は、スイッチに応答を送信することはありません。従っ
て、トラップには、受信の肯定応答を要求するインフォームメッセージのような信頼
性はありません。インフォームは、ホストが機密情報を確実に受信できるように使用
されます。ただし、インフォームの場合、応答が受信されるまでメモリー内にメッセー
ジが保存されるため、システムリソースをより多く消費します。また、インフォーム
はネットワークトラフィックを増加させます。トラップまたはインフォームのどちら
として通知を発行するか決める際には、これらの特性を考慮に入れる必要があります。
4-114
SNMP コマンド
4
SNMPv2c ホストへインフォームを送信するには、次の手順を実行します。
1.
SNMP エージェントを有効にします（4-110 ページ）。
2.
スイッチによる SNMP トラップ（SNMP 通知）の送信を可能にします（4-116
ページ）。
3.
この節で説明した snmp-server host コマンドを使用して、インフォームメッ
セージを受け取るターゲットホストを指定します。
4.
必要な通知メッセージでビューを作成します（4-118 ページ）。
5.
必要な通知ビューを含めるグループを作成します（4-120 ページ）。
SNMPv3 ホストへインフォームを送信するには、次の手順を実行します。
1.
SNMP エージェントを有効にします（4-110 ページ）。
2.
スイッチによる SNMP トラップ（SNMP 通知）の送信を可能にします（4-116
ページ）。
3.
この節で説明した snmp-server host コマンドを使用して、インフォームメッ
セージを受け取るターゲットホストを指定します。
4.
必要な通知メッセージでビューを作成します（4-118 ページ）。
5.
必要な通知ビューを含めるグループを作成します（4-120 ページ）。
6.
ユーザーが存在するリモートエンジン ID を指定します（4-117 ページ）。
7.
リモートユーザーを構成します（4-122 ページ）。
• スイッチは、 SNMP バージョン 1、 2c、または 3 による通知をホスト IP アドレスに
送信することができます。このバージョンは、管理ステーションがサポートする
SNMP バージョンにより異なります。 snmp-server host コマンドにより SNMP バー
ジョンが指定されない場合、デフォルトの SNMP バージョン 1 通知が送信されます。
• SNMP バージョン 3 ホストを指定した場合、コミュニティストリングは SNMP ユー
ザー名として解釈されます。 V3 の「auth」または「priv」オプションを使用する場合、
最初に snmp-server user コマンドを使ってユーザー名を定義する必要があります。
そうしないと、認証パスワードおよび / またはプライバシーパスワードが存在しない
ため、スイッチはホストへの SNMP アクセスを認証しません。ただし、「noauth」オ
プションで V3 ホストを指定した場合、 SNMP ユーザーアカウントが生成され、ス
イッチはホストへの SNMP アクセスを認証します。
例
Console(config)#snmp-server host 10.1.19.23 batman
Console(config)#
関連コマンド
snmp-server enable traps （4-116）
4-115
4
コマンドラインインターフェース
snmp-server enable traps
このコマンドでは、このデバイスで簡易ネットワーク管理プロトコルトラップまたはイン
フォーム（SNMP 通知）の送信を有効にします。 no 形式を使用すると、 SNMP 通知が無効に
なります。
構文
[no] snmp-server enable traps [authentication | link-up-down]
• authentication - 認証失敗通知を発行するキーワードです。
• link-up-down - リンクアップまたはリンクダウン通知を発行するキーワードです。
デフォルト設定
認証およびリンクアップ / ダウントラップを発行します。
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• snmp-server enable traps コマンドを入力しないと、このコマンドで制御される通知
は送信されません。 SNMP 通知を送信するようデバイスを構成するには、少なくとも
1 つの snmp-server enable traps コマンドを入力する必要があります。キーワード
を指定せずにコマンドを入力すると、認証およびリンクアップ / ダウンの両方の通知
が有効になります。キーワードを指定してコマンドを入力すると、そのキーワードに
関連する通知タイプのみが有効になります。
• snmp-server enable traps コマンドは、 snmp-server host コマンドとともに使用さ
れます。snmp-server host コマンドを使用すると、SNMP 通知を受信するホスト（複
数可）を指定できます。通知を送信するには、少なくとも 1 つの snmp-server host
コマンドを構成する必要があります。
• 認証、リンクアップ、リンクダウントラップはレガシーの通知です。従って、 SNMP
バージョン 3 ホストでこれらを使用する場合、 snmp-server group コマンド（4-120
ページ）で割り当てられた Notify View 内の対応するエントリと組み合わせて有効に
する必要があります。
例
Console(config)#snmp-server enable traps link-up-down
Console(config)#
関連コマンド
snmp-server host （4-113）
4-116
SNMP コマンド
4
snmp-server engine-id
このコマンドでは、 SNMPv3 エンジンの識別ストリングを構成します。 no 形式を使用する
と、デフォルトに戻ります。
構文
snmp-server engine-id {local | remote {ip-address}} engineid-string
no snmp-server engine-id {local | remote {ip-address}}
• local - このスイッチ上で SNMP エンジンを指定します。
• remote - リモートデバイス上で SNMP エンジンを指定します。
• ip-address - リモートデバイスのインターネットアドレスです。
• engineid-string - エンジン ID を識別するストリングです
（範囲 : 1 ～ 26 文字の 16 進数文字）。
デフォルト設定
MAC アドレスに基づく一意のエンジン ID がスイッチにより自動的に生成されます。
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• SNMP エンジンは、このスイッチまたはリモートデバイス上に存在する独立した
SNMP エージェントです。 SNMP エンジンは、メッセージのリプレイ、遅延、リダイ
レクトに対して保護します。またエンジン ID をユーザーパスワードと組み合わせて
使用することで、SNMPv3 パケットの認証および暗号化のためのセキュリティキーを
生成することができます。
• SNMPv3 インフォームを使用する際には、リモートエンジン ID が必要です。
（snmp-server host4-113 ページを参照）。リモートエンジン ID は、リモートホスト
上のユーザーに送信されるパケットの認証および暗号化のためのセキュリティダイ
ジェストを算出するのに使用されます。 SNMP パスワードは、信頼できるエージェン
トのエンジン ID を使用してローカライズされます。インフォームの場合、信頼でき
る SNMP エージェントはリモートエージェントです。従って、プロキシ要求または
インフォームを送信する前に、リモートエージェントの SNMP エンジン ID を予め構
成する必要があります。
• エンジン ID を一意に指定する際には、末尾の 0 は入力不要です。すなわち、値「1234」
は、「1234」の後に 22 個の 0 を付けた値と同じであるということです。
• ローカルエンジン ID は自動的に生成され、スイッチに対して一意です。これは、デ
フォルトのエンジン ID として参照されます。ローカルエンジン ID が削除または変更
されると、すべての SNMP ユーザーはクリアされます。この場合、すべての既存ユー
ザーを再構成する必要があります（4-122 ページ）。
例
Console(config)#snmp-server engine-id local 12345
Console(config)#snmp-server engineID remote 54321 192.168.1.19
Console(config)#
関連コマンド
snmp-server host (4-113)
4-117
4
コマンドラインインターフェース
show snmp engine-id
このコマンドでは、 SNMP エンジン ID を表示します。
コマンドモード
Privileged Exec
例
この例では、デフォルトのエンジン ID を表示します。
Console#show snmp engine-id
Local SNMP engineID: 8000002a8000000000e8666672
Local SNMP engineBoots: 1
Remote SNMP engineID
80000000030004e2b316c54321
Console#
IP address
192.168.1.19
表 4-38. show snmp engine-id - フィールドの説明
フィールド
説明
Local SNMP engineID
エンジン ID を識別するストリングです。
Local SNMP engineBoots エンジン ID が最後に構成されてから、エンジンが（再）初期化された
回数です。
Remote SNMP engineID
リモートデバイス上のエンジン ID を識別するストリングです。
IP address
対応するリモート SNMP エンジンを含むデバイスの IP アドレスです。
snmp-server view
このコマンドでは、 MIB へのユーザーアクセスを制御する SNMP ビューを追加します。 no
形式を使用すると、 SNMP ビューが削除されます。
構文
snmp-server view view-name oid-tree {included | excluded}
no snmp-server view view-name
• view-name - SNMP ビューの名前です（範囲 : 1 ～ 64 文字）。
• oid-tree - MIB ツリー内のブランチのオブジェクト識別子。 OID （オブジェクト識別
子）ストリングの特定の部分をマスクするのに使用されるワイルドカードです（例
を参照）。
• included - 含まれるビューを定義します。
• excluded - 除外するビューを定義します。
デフォルト設定
defaultview （MIB ツリー全体へのアクセスを含む）
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• ビューは、 MIB ツリーの特定部分へのユーザーアクセスを制限するため、
snmp-server group コマンドで使用されます。
• 予め定義済みのビュー「defaultview」は、 MIB ツリー全体へのアクセスを含みます。
4-118
SNMP コマンド
4
例
このビューは、 MIB-2 を含みます。
Console(config)#snmp-server view mib-2 1.3.6.1.2.1 included
Console(config)#
このビューは、 MIB-2 インターフェーステーブル、 ifDescr を含みます。ワイルドカードを使
用して、このテーブルのすべてのインデックス値を選択します。
Console(config)#snmp-server view ifEntry.2 1.3.6.1.2.1.2.2.1.*.2 included
Console(config)#
このビューは、 MIB-2 インターフェーステーブルを含みます。また、マスクはすべてのイン
デックス値を選択します。
Console(config)#snmp-server view ifEntry.a 1.3.6.1.2.1.2.2.1.1.* included
Console(config)#
show snmp view
このコマンドでは、 SNMP ビューに関する情報を表示します。
コマンドモード
Privileged Exec
例
Console#show snmp view
View Name: mib-2
Subtree OID: 1.2.2.3.6.2.1
View Type: included
Storage Type: permanent
Row Status: active
View Name: defaultview
Subtree OID: 1
View Type: included
Storage Type: volatile
Row Status: active
Console#
表 4-39. show snmp view - フィールドの説明
フィールド
説明
View Name
SNMP ビューの名前です。
Subtree OID
MIB ツリー内のブランチです。
View Type
ビューを含めるか除外するかを示します。
Storage Type
このエントリのストレージタイプです。
Row Status
このエントリの行ステータスです。
4-119
4
コマンドラインインターフェース
snmp-server group
このコマンドでは、 SNMP グループを追加し、 SNMP ユーザーを SNMP ビューにマッピング
します。 no 形式を使用すると、 SNMP グループが削除されます。
構文
snmp-server group groupname {v1 | v2c | v3 {auth | noauth | priv}}
[read readview] [write writeview] [notify notifyview]
no snmp-server group groupname
• groupname - SNMP グループの名前です（範囲 : 1 ～ 32 文字）。
• v1 | v2c | v3 - SNMP バージョン 1、 2c、または 3 を使用します。
• auth | noauth | priv - このグループは、認証あり、認証なし、認証およびプライバ
シーのいずれかで SNMPv3 を使用します。認証および暗号化オプションに関する
詳細は、 3-37 ページの「簡易ネットワーク管理プロトコル」を参照してください。
• readview - 読取りアクセスのビューを定義します（1 ～ 64 文字）。
• writeview - 書込みアクセスのビューを定義します（1 ～ 64 文字）。
• notifyview - 通知のビューを定義します（1 ～ 64 文字）。
デフォルト設定
•
•
•
•
デフォルトグループ : public1 （読取り専用）、 private2 （読み書き可能）
readview - インターネット OID スペース（1.3.6.1）に属する各オブジェクトです。
writeview - 何も定義されていません。
notifyview - 何も定義されていません。
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• グループは、割り当てられたユーザーに対するアクセスポリシーを設定します。
• 認証を選択すると、snmp-server user コマンドで指定したとおりに MD5 または SHA
アルゴリズムが使用されます。
• プライバシーを選択すると、データ暗号化用に DES 56-bit アルゴリズムが使用されます。
• このスイッチでサポートされる通知メッセージに関する詳細は、 3-49 ページの
「サポートされている通知メッセージ」を参照してください。また、認証、リンクアッ
プおよびリンクダウンメッセージはレガシーのトラップです。従って、 snmp-server
enable traps コマンドと組み合わせて有効にする必要があります（4-116 ページ）。
例
Console(config)#snmp-server group r&d v3 auth write daily
Console(config)#
1.
2.
定義されているビューはありません。
defaultview にマッピングします。
4-120
SNMP コマンド
4
show snmp group
次の 4 つのデフォルトグループが提供されています - SNMPv1 読取り専用アクセスおよび読
み書き可能アクセス、 SNMPv2c 読取り専用アクセスおよび読み書き可能アクセス。
コマンドモード
Privileged Exec
例
Console#show snmp group
Group Name: r&d
Security Model: v3
Read View: defaultview
Write View: daily
Notify View: none
Storage Type: permanent
Row Status: active
Group Name: public
Security Model: v1
Read View: defaultview
Write View: none
Notify View: none
Storage Type: volatile
Row Status: active
Group Name: public
Security Model: v2c
Read View: defaultview
Write View: none
Notify View: none
Storage Type: volatile
Row Status: active
Group Name: private
Security Model: v1
Read View: defaultview
Write View: defaultview
Notify View: none
Storage Type: volatile
Row Status: active
Group Name: private
Security Model: v2c
Read View: defaultview
Write View: defaultview
Notify View: none
Storage Type: volatile
Row Status: active
Console#
4-121
4
コマンドラインインターフェース
表 4-40. show snmp group - フィールドの説明
フィールド
説明
groupname
SNMP グループの名前です。
security model
SNMP バージョンです。
readview
関連付けられた読取りビューです。
writeview
関連付けられた書込みビューです。
notifyview
関連付けられた通知ビューです。
storage-type
このエントリのストレージタイプです。
Row Status
このエントリの行ステータスです。
snmp-server user
このコマンドでは、 SNMP グループにユーザーを追加し、特定の SNMP Read View、 Write
View、または Notify View へのユーザーを制限します。 no 形式を使用すると、 SNMP グルー
プからのユーザーが削除されます。
構文
snmp-server user username groupname [remote ip-address] {v1 | v2c | v3
[encrypted] [auth {md5 | sha} auth-password [priv des56 priv-password]]
no snmp-server user username {v1 | v2c | v3 | remote}
• username - SNMP エージェントに接続しているユーザーの名前です
（範囲 : 1 ～ 32 文字）。
• groupname - ユーザーが割り当てられている SNMP グループの名前です
（範囲 : 1 ～ 32 文字）。
• remote - リモートデバイス上で SNMP エンジンを指定します。
• ip-address - リモートデバイスのインターネットアドレスです。
• v1 | v2c | v3 - SNMP バージョン 1、 2c、または 3 を使用します。
• encrypted - 暗号化入力としてパスワードを受理します。
• auth - SNMPv3 を認証ありで使用します。
• md5 | sha - MD5 または SHA 認証を使用します。
• auth-password - 認証パスワードです。encrypted オプションを使用しない場合、プ
レーンテキストを入力します。使用する場合、暗号化パスワードを入力します。（最
小でも 8 文字必要です）。
• priv des56 - DES56 暗号化によるプライバシーありで SNMPv3 を使用します。
• priv-password - プライバシーパスワードです。 encrypted オプションを使用しな
い場合、プレーンテキストを入力します。使用する場合、暗号化パスワードを入力
します。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
4-122
SNMP コマンド
4
コマンドの使用
• SNMP エンジン ID は、パスワードから認証 / プライバシーダイジェストを算出する
のに使用されます。従って、このコンフィギュレーションコマンドを使用する前に、
snmp-server engine-id コマンドを使って、エンジン ID を構成しておく必要があり
ます。
• リモートユーザーを構成する前に、 snmp-server engine-id コマンドを使用して
（4-117 ページ）、ユーザーが存在するリモートデバイスのエンジン ID を指定します。
次に、 snmp-server user コマンドを使用して、ユーザーが存在するリモートデバイ
スのユーザーと IP アドレスを指定します。リモートエージェントの SNMP エンジン
ID は、ユーザーのパスワードから認証 / プライバシーダイジェストを算出するのに使
用されます。リモートエンジン ID を最初に構成しておかないと、リモートユーザー
を指定する snmp-server user コマンドは失敗します。
• SNMP パスワードは、信頼できるエージェントのエンジン ID を使用してローカライ
ズされます。インフォームの場合、信頼できる SNMP エージェントはリモートエー
ジェントです。従って、プロキシ要求またはインフォームを送信する前に、リモート
エージェントの SNMP エンジン ID を予め構成する必要があります。
例
Console(config)#snmp-server user steve group r&d v3 auth md5 greenpeace priv
des56 einstien
Console(config)#snmp-server user mark group r&d remote 192.168.1.19 v3 auth
md5 greenpeace priv des56 einstien
Console(config)#
4-123
4
コマンドラインインターフェース
show snmp user
このコマンドでは、 SNMP ユーザーに関する情報を表示します。
コマンドモード
Privileged Exec
例
Console#show snmp user
EngineId: 800000ca030030f1df9ca00000
User Name: steve
Authentication Protocol: md5
Privacy Protocol: des56
Storage Type: nonvolatile
Row Status: active
SNMP remote user
EngineId: 80000000030004e2b316c54321
User Name: mark
Authentication Protocol: mdt
Privacy Protocol: des56
Storage Type: nonvolatile
Row Status: active
Console#
表 4-41. show snmp user - フィールドの説明
フィールド
説明
EngineId
エンジン ID を識別するストリングです。
User Name
SNMP エージェントに接続しているユーザーの名前です。
Authentication
Protocol
SNMPv3 で使用される認証プロトコルです。
Privacy Protocol
SNMPv3 で使用されるプライバシープロトコルです。
Storage Type
このエントリのストレージタイプです。
Row Status
このエントリの行ステータスです。
SNMP remote user
リモートデバイス上の SNMP エンジンと関連付けられているユーザーです。
4-124
DHCP コマンド
4
DHCP コマンド
これらのコマンドは、ダイナミックホスト構成プロトコル（DHCP）クライアント、リレー、
サーバーの各機能を構成するために使用されます。任意の VLAN インターフェースを構成す
ることにより、 DHCP を介して IP アドレスを自動的に割り当てることができます。このス
イッチは、 DHCP クライアントコンフィギュレーション要求を別のネットワーク上の DHCP
サーバーへリレーするよう構成することができます。また、任意のクライアントに直接 DHCP
サービスを提供するように構成することも可能です。
表 4-42. DHCP コマンド
コマンドグループ
機能
DHCP クライアント
インターフェースが IP アドレス情報を動的に取得できるようにし 4-125
ます。
ページ
DHCP リレー
ローカルホストからリモート DHCP サーバーへ DHCP 要求をリ 4-127
レーします。
DHCP サーバー
アドレスプールまたはスタティックバインディングを使用して 4-129
DHCP サービスを構成します。
DHCP クライアント
表 4-43. DHCP クライアントコマンド
コマンド
機能
モードページ
ip dhcp client-identifier
スイッチの DHCP クライアント識別子を指定します。
IC
ip dhcp restart client
BOOTP または DHCP クライアント要求をサブミット PE
します。
4-125
4-126
ip dhcp client-identifier
このコマンドでは、現在のインターフェースの DHCP クライアント識別子を指定します。 no
形式を使用すると、この識別子が削除されます。
構文
ip dhcp client-identifier {text text | hex hex}
no ip dhcp client-identifier
• text - テキストストリングです（範囲 : 1 ～ 15 文字）。
• hex - 16 進数の値です。
デフォルト設定
なし
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
このコマンドは、 DHCP サーバーとのすべての通信にクライアント識別子を含めるために
使用されます。識別子のタイプは、お使いの DHCP サーバーの要件によって決まります。
4-125
4
コマンドラインインターフェース
例
Console(config)#interface vlan 2
Console(config-if)#ip dhcp client-identifier hex 00-00-e8-66-65-72
Console(config-if)#
関連コマンド
ip dhcp restart client （4-126）
ip dhcp restart client
このコマンドでは、 BOOTP または DHCP クライアント要求をサブミットします。
デフォルト設定
なし
コマンドモード
Privileged Exec
コマンドの使用
• このコマンドでは、 ip address コマンドにより BOOTP または DHCP モードに設定
されている任意の IP インターフェースに対し、 BOOTP または DHCP クライアント
要求を発行します。
• DHCP は、（利用可能な場合）クライアントの最後のアドレスを再び割り当てるよう
サーバーに要求します。
• BOOTP または DHCP サーバーが別のドメインに移動された場合、クライアントに提
供されたアドレスのネットワーク部分は、この新しいドメインに基くものとなります。
例
次の例では、デバイスに同じアドレスを再び割り当てます。
Console(config)#interface vlan 1
Console(config-if)#ip address dhcp
Console(config-if)#exit
Console#ip dhcp restart client
Console#show ip interface
Vlan 1 is up, addressing mode is DHCP
Interface address is 192.168.1.54, mask is 255.255.255.0, Primary
MTU is 1500 bytes
Proxy ARP is disabled
Split horizon is enabled
Console#
関連コマンド
ip address （4-249）
4-126
DHCP コマンド
4
DHCP リレー
表 4-44. DHCP リレーコマンド
コマンド
機能
モードページ
ip dhcp restart relay
DHCP リレーエージェントを有効にします。
IC
4-127
ip dhcp relay server
リレーの DHCP サーバーアドレスを指定します。
IC
4-128
ip dhcp restart relay
このコマンドでは、指定した VLAN の DHCP リレーを有効にします。 no 形式を使用すると、
無効になります。
構文
[no] ip dhcp relay
デフォルト設定
無効
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
このコマンドは、スイッチに接続されているホストデバイスの DHCP リレー機能を構
成するのに使用されます。 DHCP リレーサービスの有効時に、このスイッチが DHCP
要求ブロードキャストを検知すると、スイッチは自身の IP アドレスを要求に挿入して、
クライアントが存在するサブネットを DHCP サーバーに知らせます。次に、スイッチ
は、別のネットワーク上の DHCP サーバーにパケットを転送します。サーバーは DHCP
要求を受信すると、 DHCP クライアントのサブネットに対して定義された自身の範囲か
ら DHCP クライアントのフリー IP アドレスを割り当て、 DHCP リレーエージェント
（このスイッチ）へ DHCP 応答を送り返します。このスイッチでは次に、サーバーから
受信した DHCP 応答をクライアントにブロードキャストします。
例
次の例では、デバイスに同じアドレスを再び割り当てます。
Console(config)#interface vlan 1
Console(config-if)#ip dhcp relay
Console(config-if)#end
Console#show ip interface
Vlan 1 is up, addressing mode is Dhcp
Interface address is 10.1.0.254, mask is 255.255.255.0, Primary
MTU is 1500 bytes
Proxy ARP is disabled
Split horizon is enabled
Console#
関連コマンド
ip dhcp relay server （4-128）
4-127
4
コマンドラインインターフェース
ip dhcp relay server
このコマンドでは、スイッチの DHCP リレーエージェントで使用される DHCP サーバーの
アドレスを指定します。 no 形式を使用すると、すべてのアドレスがクリアされます。
構文
ip dhcp relay server address1 [address2 [address3 ...]]
no ip dhcp relay server
address - DHCP サーバーの IP アドレスです（範囲 : 1 ～ 3 アドレス）。
デフォルト設定
なし
コマンドモード
インターフェースコンフィギュレーション（VLAN）
使用のガイドライン
• 少なくとも 1 つの DHCP サーバーに対する IP アドレスを指定する必要があります。
そうでないと、スイッチの DHCP リレーエージェントは、クライアント要求を DHCP
サーバーに転送しません。
• DHCP リレーサービスを開始するには、ip dhcp restart relay コマンドを入力します。
例
Console(config)#interface vlan 1
Console(config-if)#ip dhcp relay server 10.1.0.99
Console(config-if)#
関連コマンド
ip dhcp restart relay （4-127）
4-128
DHCP コマンド
4
DHCP サーバー
表 4-45. DHCP サーバーコマンド
コマンド
機能
モード
ページ
service dhcp
このスイッチ上で DHCP サーバー機能を有効にします。
GC
4-130
ip dhcp
excluded-address
DHCP サーバーが DHCP クライアントに割り当ててはな GC
らない IP アドレスを指定します。
4-130
ip dhcp pool
DHCP サーバー上で DHCP アドレスプールを構成します。 GC
4-131
network
DHCP アドレスプールのサブネット番号とマスクを構成 DC
します。
4-131
default-router
DHCP クライアントのデフォルトルータリストを指定し DC
ます。
4-132
domain-name
DHCP クライアントのドメイン名を指定します。
DC
4-133
dns-server
DHCP クライアントに利用可能な DNS (Domain Name DC
Server) サーバーを指定します。
4-133
next-server
DHCP クライアントのブートプロセスにおける次のサー DC
バーを構成します。
4-134
bootfile
DHCP クライアントのデフォルトブートイメージを指定 DC
します。
4-134
netbios-name-server Microsoft DHCP クライアントに利用可能な NetBIOS
DC
WINS （Windows インターネットネームサービス）ネー
ムサーバーを構成します。
4-135
netbios-node-type
Microsoft DHCP クライアントの NetBIOS ノードタイプ DC
を構成します。
4-135
lease
DHCP クライアントに IP アドレスが割り当てられる期間 DC
を設定します。
4-136
host*
IP アドレスとネットワークマスクを指定して、 DHCP ク DC
ライアントに手動でバインドします。
4-136
client-identifier*
DHCP クライアントのクライアント識別子を指定します。 DC
4-137
hardware-address*
DHCP クライアントのハードウェアアドレスを指定します。 DC
4-138
clear ip dhcp binding DHCP サーバーデータベースからの自動アドレスバイン PE
ディングを削除します。
4-139
show ip dhcp binding DHCP サーバー上のアドレスバインディングを表示します。 PE、NE 4-139
* このコマンドは、クライアントにアドレスを手動でバインドするのに使用されます。
4-129
4
コマンドラインインターフェース
service dhcp
このコマンドでは、このスイッチ上で DHCP サーバーを有効にします。 no 形式を使用する
と、 DHCP サーバーが無効になります。
構文
[no] service dhcp
デフォルト設定
有効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
DHCP サーバーを実行している場合、何らかのコンフィギュレーション変更を実装する
には再起動が必要です。
例
Console(config)#service dhcp
Console(config)#
ip dhcp excluded-address
このコマンドでは、 DHCP サーバーが DHCP クライアントに割り当ててはならない IP アド
レスを指定します。 no 形式を使用すると、除外 IP アドレスが削除されます。
構文
[no] ip dhcp excluded-address low-address [high-address]
• low-address - 除外 IP アドレス、または除外アドレス範囲の最初の IP アドレスです。
• high-address - 除外アドレス範囲の最後の IP アドレスです。
デフォルト設定
すべての IP プールアドレスが割り当てられます。
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#ip dhcp excluded-address 10.1.0.19
Console(config)#
4-130
DHCP コマンド
4
ip dhcp pool
このコマンドでは、 DHCP アドレスプールを構成し、 DHCP プールコンフィギュレーション
モードに入ります。 no 形式を使用すると、アドレスプールが削除されます。
構文
[no] ip dhcp pool name
name - ストリングまたは整数にします（範囲 : 1 ～ 8 文字）。
デフォルト設定
DHCP アドレスプールは構成されていません。
コマンドモード
グローバルコンフィギュレーション
使用のガイドライン
• このコマンドを実行すると、スイッチは、 (config-dhcp)# プロンプトが表示される
DHCP プールコンフィギュレーションモードに移行します。
• このモードで、まずネットワークインターフェースのアドレスプールを構成します
（network コマンドを使用）。必要な場合、特定のクライアントにアドレスを手動でバ
インドすることもできます（host コマンドを使用）。最大 8 つのネットワークアドレ
スプール、および最大 32 の手動でバインドされたホストアドレスプール（プールご
とに 1 つのホストアドレスをリスト）を構成できます。ただし、 host コマンドで指
定されたすべてのアドレスは、構成されたネットワークアドレスプールの範囲内に
ある必要があることに注意してください。
例
Console(config)#ip dhcp pool R&D
Console(config-dhcp)#
関連コマンド
network （4-131）
host （4-136）
network
このコマンドでは、 DHCP アドレスプールのサブネット番号とマスクを構成します。 no 形式
を使用すると、サブネット番号とマスクが削除されます。
構文
network network-number [mask]
no network
• network-number - DHCP アドレスプールの IP アドレスです。
• mask - DHCP アドレスプールのネットワーク（またはサブネット）およびホスト
部分を識別するビットの組み合わせです。
コマンドモード
DHCP プールコンフィギュレーション
4-131
4
コマンドラインインターフェース
使用のガイドライン
• クライアント要求を受信すると、スイッチはまず、要求の送信元であるゲートウェイ
に合致するネットワークアドレスプールをチェックします。クライアント要求内に
ゲートウェイが見つからない（リレーサーバーにより要求が転送されていない）場
合、スイッチは、クライアント要求を受信したインターフェースに合致するネットワー
クプールを検索します。次に、スイッチは、合致するネットワークプール内にある
手動で構成されたホストアドレスを検索します。手動で構成されたホストアドレス
が見つからない場合、合致するネットワークアドレスプールからアドレスを割り当
てます。ただし、合致するアドレスプールが見つからない場合、要求は無視されます。
• このコマンドは、 DHCP ネットワークアドレスプールでのみ有効です。マスクを指
定しない場合、クラス A、B、または C ナチュラルマスクが使用されます（3-228 ペー
ジを参照）。 DHCP サーバーは、すべてのホストアドレスが利用可能であると見なし
ます。 ip dhcp excluded-address コマンドを使用すると、アドレススペースのサブ
セットを除外できます。
例
Console(config-dhcp)#network 10.1.0.0 255.255.255.0
Console(config-dhcp)#
default-router
このコマンドでは、 DHCP プールのデフォルトルータを指定します。 no 形式を使用すると、
デフォルトルータが削除されます。
構文
default-router address1 [address2]
no default-router
• address1 - プライマリルータの IP アドレスを指定します。
• address2 - セカンダリルータの IP アドレスを指定します。
デフォルト設定
なし
コマンドモード
DHCP プールコンフィギュレーション
使用のガイドライン
ルータの IP アドレスは、クライアントと同じサブネット上になくてはなりません。指定
できるルータは最大 2 つです。ルータは、優先度順にリスト表示されます（最も優先度
の高いルータとして address1 から始まります）。
例
Console(config-dhcp)#default-router 10.1.0.54 10.1.0.64
Console(config-dhcp)#
4-132
4
DHCP コマンド
domain-name
このコマンドでは、 DHCP クライアントのドメイン名を指定します。 no 形式を使用すると、
ドメイン名が削除されます。
構文
domain-name domain
no domain-name
domain - クライアントのドメイン名を指定します。（範囲 : 1 ～ 32 文字）
デフォルト設定
なし
コマンドモード
DHCP プールコンフィギュレーション
例
Console(config-dhcp)#domain-name sample.com
Console(config-dhcp)#
dns-server
このコマンドでは、 DHCP クライアントに利用可能な DNS （ドメインネームシステム） IP
サーバーを指定します。 no 形式を使用すると、 DNS サーバーリストが削除されます。
構文
dns-server address1 [address2]
no dns-server
• address1 - プライマリ DNS サーバーの IP アドレスを指定します。
• address2 - セカンダリ DNS サーバーの IP アドレスを指定します。
デフォルト設定
なし
コマンドモード
DHCP プールコンフィギュレーション
使用のガイドライン
• DHCP クライアントに対して DNS IP サーバーが構成されていない場合、クライアン
トは、 IP アドレスにホスト名を関連付けることができません。
• サーバーは、優先度順にリスト表示されます（最も優先度の高いサーバーとして
address1 から始まります）。
例
Console(config-dhcp)#dns-server 10.1.1.253 192.168.3.19
Console(config-dhcp)#
4-133
4
コマンドラインインターフェース
next-server
このコマンドでは、 DHCP クライアントのブートプロセスにおける次のサーバーを構成しま
す。 no 形式を使用すると、ブートサーバーリストが削除されます。
構文
[no] next-server address
address - ブートプロセスにおける次のサーバーの IP アドレスを指定します。通
常、これは TFTP (Trivial File Transfer Protocol) サーバーです。
デフォルト設定
なし
コマンドモード
DHCP プールコンフィギュレーション
例
Console(config-dhcp)#next-server 10.1.0.21
Console(config-dhcp)#
関連コマンド
bootfile （4-134）
bootfile
このコマンドでは、 DHCP クライアントのデフォルトブートイメージの名前を指定します。
このファイルは、 next-server コマンドで指定された TFTP (Trivial File Transfer Protocol)
サーバー上に配置されていなくてはなりません。 no 形式を使用すると、ブートイメージ名
が削除されます。
構文
bootfile filename
no bootfile
filename - デフォルトブートイメージとして使用されるファイルの名前です。
デフォルト設定
なし
コマンドモード
DHCP プールコンフィギュレーション
例
Console(config-dhcp)#bootfile wme.bat
Console(config-dhcp)#
関連コマンド
next-server （4-134）
4-134
DHCP コマンド
4
netbios-name-server
このコマンドでは、 Microsoft DHCP クライアントに利用可能な NetBIOS WINS （Windows イ
ンターネットネームサービス）ネームサーバーを構成します。 no 形式を使用すると、
NetBIOS ネームサーバーリストが削除されます。
構文
netbios-name-server address1 [address2]
no netbios-name-server
• address1 - プライマリ NetBIOS WINS ネームサーバーの IP アドレスを指定します。
• address2 - セカンダリ NetBIOS WINS ネームサーバーの IP アドレスを指定します。
デフォルト設定
なし
コマンドモード
DHCP プールコンフィギュレーション
使用のガイドライン
サーバーは、優先度順にリスト表示されます（最も優先度の高いサーバーとして
address1 から始まります）。
例
Console(config-dhcp)#netbios-name-server 10.1.0.33 10.1.0.34
Console(config-dhcp)#
関連コマンド
netbios-node-type （4-135）
netbios-node-type
このコマンドでは、 Microsoft DHCP クライアントの NetBIOS ノードタイプを構成します。
no 形式を使用すると、 NetBIOS ノードタイプが削除されます。
構文
netbios-node-type type
no netbios-node-type
type - 次の NetBIOS ノードタイプから指定します。
• broadcast
• hybrid （推奨）
• mixed
• peer-to-peer
デフォルト設定
なし
コマンドモード
DHCP プールコンフィギュレーション
4-135
4
コマンドラインインターフェース
例
Console(config-dhcp)#netbios-node-type hybrid
Console(config-dhcp)#
関連コマンド
netbios-name-server （4-135）
lease
このコマンドでは、 DHCP クライアントに IP アドレスが割り当てられる期間を構成します。
no 形式を使用すると、デフォルト値に戻ります。
構文
lease {days [hours][minutes] | infinite}
no lease
• days - リース期間を日数で指定します（範囲 : 0 ～ 364）。
• hours - リース期間を時間単位で指定します。 hours を構成する前に、 days の値を
設定する必要があります（範囲 : 0 ～ 23）。
• hours - リース期間を分単位で指定します。 minutes を構成する前に、 days と hours
の値を設定する必要があります（範囲 : 0 ～ 59）。
• infinite - リース期間が無期限であることを指定します。このオプションは通常、
host コマンドにより BOOTP クライアントに手動でバインドされたアドレスに対
して使用されます。
デフォルト設定
1日
コマンドモード
DHCP プールコンフィギュレーション
例
次の例では、このプールを使用するクライアントにアドレスを 7 日間リースします。
Console(config-dhcp)#lease 7
Console(config-dhcp)#
host
このコマンドを使用して、 IP アドレスとネットワークマスクを指定し、 DHCP クライアントに
手動でバインドします。 no 形式を使用すると、クライアントの IP アドレスが削除されます。
構文
host address [mask]
no host
• address - クライアントの IP アドレスを指定します。
• mask - クライアントのネットワークマスクを指定します。
デフォルト設定
なし
4-136
DHCP コマンド
4
コマンドモード
DHCP プールコンフィギュレーション
使用のガイドライン
• ホストアドレスは、既存のネットワークプールに対して指定された範囲内にある必
要があります。
• クライアント要求を受信すると、スイッチはまず、要求の送信元であるゲートウェイ
に合致するネットワークアドレスプールをチェックします。クライアント要求内に
ゲートウェイが見つからない（リレーサーバーにより要求が転送されていない）場
合、スイッチは、クライアント要求を受信したインターフェースに合致するネットワー
クプールを検索します。次に、スイッチは、合致するネットワークプール内にある
手動で構成されたホストアドレスを検索します。
• 手動バインディングを検索する際、スイッチは、 DHCP クライアントのクライアント
識別子を比較し、次に DHCP または BOOTP クライアントのハードウェアアドレス
を比較します。
• client-identifier または hardware-address コマンドによりホストエントリに対して
手動バインディングが何も指定されていない場合、スイッチは、合致するネットワー
クプールからアドレスを割り当てます。
• マスクが指定されていない場合、 DHCP はそのアドレスプールをチェックします。
プールデータベース内でマスクが見つからない場合、クラス A、 B、または C ナチュ
ラルマスクが使用されます（3-228 ページを参照）。このコマンドは、手動バインディ
ングについてのみ有効です。
• no host コマンドは、DHCP サーバーデータベースからアドレスをクリアするのみで
す。ホストが現在使用している IP アドレスをキャンセルするものではありません。
例
Console(config-dhcp)#host 10.1.0.21 255.255.255.0
Console(config-dhcp)#
関連コマンド
client-identifier （4-137）
hardware-address （4-138）
client-identifier
このコマンドでは、 DHCP クライアントのクライアント識別子を指定します。 no 形式を使用
すると、クライアント識別子が削除されます。
構文
client-identifier {text text | hex hex}
no client-identifier
• text - テキストストリングです（範囲 : 1 ～ 15 文字）。
• hex - 16 進数の値です。
デフォルト設定
なし
4-137
4
コマンドラインインターフェース
コマンドモード
DHCP プールコンフィギュレーション
コマンドの使用
• このコマンドは、 host コマンドで指定されたアドレスにバインドする DHCP クライ
アントを識別するものです。クライアント識別子とハードウェアアドレスの両方がホ
ストアドレスに構成されている場合、検索手続きにおいては、クライアント識別子が
ハードウェアアドレスよりも優先されます。
• BOOTP クライアントは、クライアント識別子を送信できません。 BOOTP クライア
ントにアドレスをバインドするには、ホストエントリにハードウェアアドレスを関
連付ける必要があります。
例
Console(config-dhcp)#client-identifier text steve
Console(config-dhcp)#
関連コマンド
host （4-136）
hardware-address
このコマンドでは、 DHCP クライアントのハードウェアアドレスを指定します。このコマン
ドは、手動バインディングについてのみ有効です。 no 形式を使用すると、ハードウェアアド
レスが削除されます。
構文
hardware-address hardware-address type
no hardware-address
• hardware-address - クライアントデバイスの MAC アドレスを指定します。
• type - クライアントデバイス上で使用されるプロトコルを次の中から指定します。
- ethernet
- ieee802
- fddi
デフォルト設定
タイプを指定しない場合、デフォルトのプロトコルはイーサネットです。
コマンドモード
DHCP プールコンフィギュレーション
コマンドの使用
このコマンドは、 host コマンドで指定されたアドレスにバインドする DHCP または
BOOTP クライアントを識別するものです。 BOOTP クライアントは、クライアント識
別子を送信できません。 BOOTP クライアントにアドレスをバインドするには、ホスト
エントリにハードウェアアドレスを関連付ける必要があります。
4-138
DHCP コマンド
4
例
Console(config-dhcp)#hardware-address 00-e0-29-94-34-28 ethernet
Console(config-dhcp)#
関連コマンド
host （4-136）
clear ip dhcp binding
このコマンドでは、DHCP サーバーデータベースからの自動アドレスバインディングを削除
します。
構文
clear ip dhcp binding {address | * }
• address - クリアするバインディングのアドレスです。
• * - すべての自動バインディングをクリアします。
デフォルト設定
なし
コマンドモード
Privileged Exec
使用のガイドライン
• address では、クライアントの IP アドレスを指定します。アドレスパラメータとし
てアスタリスク（*）を使用すると、 DHCP サーバーは、すべての自動バインディング
をクリアします。
• no host コマンドを使用すると、手動バインディングが削除されます。
• このコマンドは通常、アドレスプールを変更した時、または DHCP サービスを別の
デバイスに移動した時に使用されます。
例
Console#clear ip dhcp binding *
Console#
関連コマンド
show ip dhcp binding （4-139）
show ip dhcp binding
このコマンドでは、 DHCP サーバー上のアドレスバインディングを表示します。
構文
show ip dhcp binding [address]
address - バインディングを表示する DHCP クライアントの IP アドレスを指定し
ます。
デフォルト設定
なし
4-139
4
コマンドラインインターフェース
コマンドモード
Normal Exec、 Privileged Exec
例
Console#show ip dhcp binding
IP
Lease Time
Start
(dd/hh/mm/ss)
--------------- ----------------- ------------------ ----------192.1.3.21 00-00-e8-98-73-21
86400 Dec 25 08:01:57 2002
Console#
4-140
MAC
DNS コマンド
4
DNS コマンド
これらのコマンドは、 DNS （ドメインネームシステム）サービスを構成するのに使用されま
す。 DNS ドメイン名から IP アドレスへのマッピングテーブルのエントリを手動で構成する
ことができます。また、デフォルトのドメイン名を構成し、ドメイン名からアドレスへの変
換に使用する 1 つまたは複数のネームサーバーを指定することができます。
ドメインネームサービスは、 ip name-server コマンドにより少なくとも 1 つのネームサー
バーを指定し、かつ ip domain-lookup コマンドによりドメインルックアップを有効にしな
い限り、有効にはなりません。
表 4-46. DNS コマンド
コマンド
機能
ip host
スタティックホスト名 / アドレスマッピングを作成します。 GC
clear host
モードページ
4-141
ホスト名 / アドレステーブルからエントリを削除します。
PE
ip domain-name
不完全なホスト名のデフォルトドメイン名を定義します。
GC
4-142
4-142
ip domain-list
不完全なホスト名のデフォルトドメイン名リストを定義し GC
ます。
4-143
ip name-server
ホスト名 / アドレス変換に使用する 1 つまたは複数のネーム GC
サーバーのアドレスを指定します。
4-144
ip domain-lookup
DNS ベースのホスト名 / アドレス変換を有効にします。
GC
4-145
show hosts
スタティックホスト名 / アドレスマッピングテーブルを表 PE
示します。
4-146
show dns
DNS サービスのコンフィギュレーションを表示します。
PE
4-146
show dns cache
DNS キャッシュ内のエントリを表示します。
PE
4-147
clear dns cache
DNS キャッシュのすべてのエントリをクリアします。
PE
4-147
ip host
このコマンドでは、ホスト名を IP アドレスにマッピングする DNS テーブル内のスタティッ
クエントリを作成します。 no 形式を使用すると、エントリが削除されます。
構文
[no] ip host name address1 [address2 … address8]
• name - ホスト名です（範囲 : 1 ～ 64 文字）。
• address1 - 対応する IP アドレスです。
• address2 … address8 - 追加の対応する IP アドレスです。
デフォルト設定
スタティックエントリはありません。
コマンドモード
グローバルコンフィギュレーション
4-141
4
コマンドラインインターフェース
コマンドの使用
サーバーやその他のネットワークデバイスは、複数の IP アドレスを介して 1 つまたは
複数の接続をサポートします。このコマンドを使用して、 1 つのホスト名に 2 つ以上の
IP アドレスを関連付けた場合、 DNS クライアントは、ターゲットデバイスとの接続確
立に成功するまで各アドレスを試みます。
例
この例では、ホスト名に対して 2 つのアドレスをマッピングします。
Console(config)#ip host rd5 192.168.1.55 10.1.0.55
Console(config)#end
Console#show hosts
Hostname
rd5
Inet address
10.1.0.55 192.168.1.55
Alias
Console#
clear host
このコマンドでは、 DNS テーブルからエントリを削除します。
構文
clear host {name | *}
• name - ホスト名です（範囲 : 1 ～ 64 文字）。
• * - すべてのエントリを削除します。
デフォルト設定
なし
コマンドモード
Privileged Exec
例
この例では、 DNS テーブルからすべてのスタティックエントリを削除します。
Console(config)#clear host *
Console(config)#
ip domain-name
このコマンドでは、不完全なホスト名（クライアントから渡される、ドット区切り形式では
ないホスト名）に付加されるデフォルトのドメイン名を定義します。 no 形式を使用すると、
現在のドメイン名が削除されます。
構文
ip domain-name name
no ip domain-name
name - ホスト名です。ホスト名とドメイン名を区切る最初のドットを含めないでくだ
さい（範囲 : 1 ～ 64 文字）。
4-142
DNS コマンド
4
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#ip domain-name sample.com
Console(config)#end
Console#show dns
Domain Lookup Status:
DNS disabled
Default Domain Name:
.sample.com
Domain Name List:
Name Server List:
Console#
関連コマンド
ip domain-list （4-143）
ip name-server （4-144）
ip domain-lookup （4-145）
ip domain-list
このコマンドでは、不完全なホスト名（クライアントから渡される、ドット区切り形式では
ないホスト名）に付加できるドメイン名のリストを定義します。 no 形式を使用すると、名前
がリストから削除されます。
構文
[no] ip domain-list name
name - ホスト名です。ホスト名とドメイン名を区切る最初のドットを含めないでくだ
さい（範囲 : 1 ～ 64 文字）。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• ドメイン名は、一度に 1 つづつリストの最後に追加されます。
• スイッチ上の DNS サービスは、不完全なホスト名を受信すると、ドメインリストを
検索します。リスト内の各ドメイン名をホスト名に付加し、指定されたネームサー
バーで合致するかをチェックします。
• ドメインリストが存在しない場合、 ip domain-name コマンドで指定されたドメイン
名が使用されます。ドメインリストが存在する場合、デフォルトのドメイン名は使用さ
れません。
4-143
4
コマンドラインインターフェース
例
この例では、 2 つのドメイン名を現在のリストに追加し、リストを表示します。
Console(config)#ip domain-list sample.com.jp
Console(config)#ip domain-list sample.com.uk
Console(config)#end
Console#show dns
Domain Lookup Status:
DNS disabled
Default Domain Name:
.sample.com
Domain Name List:
.sample.com.jp
.sample.com.uk
Name Server List:
Console#
関連コマンド
ip domain-name （4-142）
ip name-server
このコマンドでは、名前 / アドレス解決に使用する 1 つまたは複数のドメインネームサー
バーのアドレスを指定します。 no 形式を使用すると、ネームサーバーがリストから削除され
ます。
構文
[no] ip name-server server-address1 [server-address2 … server-address6]
• server-address1 - ドメインネームサーバーの IP アドレスです。
• server-address2 … server-address6 - 追加のドメインネームサーバーの IP アドレ
スです。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
リストされたネームサーバーに対しては、応答が受信されるか、または応答がないまま
リストの最後に達するまで、指定の順序でクエリーが送信されます。
4-144
DNS コマンド
4
例
この例では、 2 つのドメインネームサーバーを現在のリストに追加し、リストを表示します。
Console(config)#ip domain-server 192.168.1.55 10.1.0.55
Console(config)#end
Console#show dns
Domain Lookup Status:
DNS disabled
Default Domain Name:
.sample.com
Domain Name List:
.sample.com.jp
.sample.com.uk
Name Server List:
192.168.1.55
10.1.0.55
Console#
関連コマンド
ip domain-name （4-142）
ip domain-lookup （4-145）
ip domain-lookup
このコマンドでは、 DNS ベースのホスト名 / アドレス変換を有効にします。 no 形式を使用す
ると、 DNS が無効になります。
構文
[no] ip domain-lookup
デフォルト設定
無効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• DNS を有効にする前に、少なくとも 1 つのネームサーバーを指定する必要があります。
• すべてのネームサーバーを削除すると、 DNS は自動的に無効になります。
例
この例では、 DNS を有効にし、そのコンフィギュレーションを表示します。
Console(config)#ip domain-lookup
Console(config)#end
Console#show dns
Domain Lookup Status:
DNS enabled
Default Domain Name:
.sample.com
Domain Name List:
.sample.com.jp
.sample.com.uk
Name Server List:
192.168.1.55
10.1.0.55
4-145
4
コマンドラインインターフェース
関連コマンド
ip domain-name （4-142）
ip name-server （4-144）
show hosts
このコマンドでは、スタティックホスト名 / アドレスマッピングテーブルを表示します。
コマンドモード
Privileged Exec
例
以前に構成されたエントリと同じアドレスにホスト名をマッピングすると、そのホスト名は
エイリアスで表示されることに注意してください。
Console#show hosts
Hostname
rd5
Inet address
10.1.0.55 192.168.1.55
Alias
1.rd6
Console#
show dns
このコマンドでは、 DNS サービスのコンフィギュレーションを表示します。
コマンドモード
Privileged Exec
例
Console#show dns
Domain Lookup Status:
DNS enabled
Default Domain Name:
sample.com
Domain Name List:
sample.com.jp
sample.com.uk
Name Server List:
192.168.1.55
10.1.0.55
Console#
4-146
DNS コマンド
4
show dns cache
このコマンドでは、 DNS キャッシュ内のエントリを表示します。
コマンドモード
Privileged Exec
例
Console#show dns cache
NO
FLAG
TYPE
2
4
CNAME
3
4
CNAME
4
4
CNAME
5
4
CNAME
6
4
CNAME
7
4
CNAME
8
4
ALIAS
Console#
IP
66.218.71.84
66.218.71.83
66.218.71.81
66.218.71.80
66.218.71.89
66.218.71.86
POINTER TO:7
TTL
298
298
298
298
298
298
298
DOMAIN
www.yahoo.akadns.net
www.yahoo.akadns.net
www.yahoo.akadns.net
www.yahoo.akadns.net
www.yahoo.akadns.net
www.yahoo.akadns.net
www.yahoo.com
表 4-47. show dns cache - フィールドの説明
フィールド
説明
NO
各リソースレコードのエントリ番号です。
FLAG
このフラグは常に、キャッシュエントリを示す「4」であり、従って信頼性はあり
ません。
TYPE
このフィールドには、オーナーのカノニカル名またはプライマリの名前を指定する
CNAME、および既存のエントリと同じ IP アドレスにマッピングされている複数の
ドメイン名を指定する ALIAS が表示されます。
IP
このレコードに関連付けられた IP アドレスです。
TTL
ネームサーバーによって報告される生存期間です。
DOMAIN
このレコードに関連付けられたドメイン名です。
clear dns cache
このコマンドでは、 DNS キャッシュ内のすべてのエントリをクリアします。
コマンドモード
Privileged Exec
例
Console#clear dns cache
Console#show dns cache
NO
FLAG
TYPE
IP
Console#
TTL
DOMAIN
4-147
4
コマンドラインインターフェース
インターフェースコマンド
これらのコマンドは、イーサネットポート、アグレゲートリンク、 VLAN の通信パラメータ
を表示または設定するのに使用されます。
表 4-48. インターフェースコマンド
コマンド
機能
interface
インターフェースタイプを構成し、インターフェース GC
コンフィギュレーションモードに入ります。
モード
4-148
ページ
description
インターフェースコンフィギュレーションに説明を追 IC
加します。
4-149
speed-duplex
自動ネゴシエーションが無効になっている時、指定イン IC
ターフェースのスピードと二重動作を構成します。
4-149
negotiation
指定インターフェースの自動ネゴシエーションを有効 IC
にします。
4-150
capabilities
自動ネゴシエーションで使用する指定インターフェー IC
スの機能をアドバタイズします。
4-151
flowcontrol
指定インターフェース上でフロー制御を有効にします。 IC
4-152
media-type
コンボポートに対して選択したポートタイプを強制し IC
ます。
4-153
shutdown
インターフェースを無効にします。
IC
4-153
switchport broadcast
packet-rate
ブロードキャストストーム制御しきい値を構成します。 IC
4-154
clear counters
インターフェースの統計情報をクリアします。
PE
show interfaces status
指定インターフェースのステータスを表示します。
NE、 PE 4-155
4-154
show interfaces
counters
指定インターフェースの統計情報を表示します。
NE、 PE 4-156
show interfaces
switchport
インターフェースの管理上および動作上のステータス NE、 PE 4-157
を表示します。
interface
このコマンドでは、インターフェースのタイプを構成し、インターフェースコンフィギュレー
ションモードに入ります。 no 形式を使用すると、トランクが削除されます。
構文
interface interface
no interface port-channel channel-id
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
• vlan vlan-id （範囲 : 1 ～ 4093）
4-148
インターフェースコマンド
4
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
例
ポート 4 を指定するには、次のコマンドを入力します。
Console(config)#interface ethernet 1/4
Console(config-if)#
description
インターフェースに説明を追加します。 no 形式を使用すると、説明が削除されます。
構文
description string
no description
string - このインターフェースの接続内容を覚えやすくするコメントまたは説明です
（範囲 : 1 ～ 64 文字）。
デフォルト設定
なし
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
例
次の例では、ポート 4 に説明を追加します。
Console(config)#interface ethernet 1/4
Console(config-if)#description RD-SW#3
Console(config-if)#
speed-duplex
このコマンドでは、自動ネゴシエーションが無効になっている時、指定インターフェースの
スピードと二重モードを構成します。 no 形式を使用すると、デフォルトに戻ります。
構文
speed-duplex {10000full | 1000full | 100full | 100half | 10full | 10half}
no speed-duplex
• 10000full - 10 Gbps 全二重動作を強制します。
• 1000full - 1 Gbps 全二重動作を強制します。
• 100full - 100 Mbps 全二重動作を強制します。
• 100half - 100 Mbps 半二重動作を強制します。
• 10full - 10 Mbps 全二重動作を強制します。
• 10half - 10 Mbps 半二重動作を強制します。
4-149
4
コマンドラインインターフェース
デフォルト設定
• デフォルトでは、自動ネゴシエーションが有効です。
• 自動ネゴシエーションが無効の時、デフォルトの speed-duplex 設定は、
- ギガビットイーサネットポート - 1000full （1 Gbps 全二重）
- 10 ギガビットイーサネットポート - 10000full （10 Gbps 全二重）
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• speed-duplex コマンドで指定したスピードと二重モードに動作を強制するには、選
択したインターフェース上で no negotiation コマンドを使用して、自動ネゴシエー
ションを無効にします。
• negotiation コマンドを使用して自動ネゴシエーションを有効にすると、 capabilities
コマンドにより最適な設定が決定されます。自動ネゴシエーションでのスピード / 二
重モードを設定するには、インターフェースの機能リストで必要なモードを指定する
必要があります。
例
次の例では、ポート 5 を 100 Mbps、半二重動作に構成します。
Console(config)#interface ethernet 1/5
Console(config-if)#speed-duplex 100half
Console(config-if)#no negotiation
Console(config-if)#
関連コマンド
negotiation （4-150）
capabilities （4-151）
negotiation
このコマンドでは、指定インターフェースの自動ネゴシエーションを有効にします。 no 形式
を使用すると、自動ネゴシエーションが無効になります。
構文
[no] negotiation
デフォルト設定
有効
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• 自動ネゴシエーションが有効になっている時、スイッチは、 capabilities コマンドに
基いてリンクに最適な設定をネゴシエーションします。自動ネゴシエーションを無効
にする場合、 speed-duplex および flowcontrol コマンドを使用して、リンク属性を
手動で指定する必要があります。
• 自動ネゴシエーションを無効にすると、RJ-45 ポートの自動 MDI/MDI-X ピン信号コン
フィギュレーションも無効になります。
4-150
インターフェースコマンド
4
例
次の例では、ポート 11 で自動ネゴシエーションを使用するよう構成します。
Console(config)#interface ethernet 1/11
Console(config-if)#negotiation
Console(config-if)#
関連コマンド
capabilities （4-151）
speed-duplex （4-149）
capabilities
このコマンドでは、自動ネゴシエーション中に指定インターフェースのポート機能をアドバ
タイズします。パラメータを指定して no 形式を使用すると、アドバタイズされた機能が削除
されます。パラメータを指定せずに no 形式を使用すると、デフォルト値に戻ります。
構文
[no] capabilities {10000full | 1000full | 100full | 100half | 10full | 10half |
flowcontrol | symmetric}
• 10000full - 10 Gbps 全二重動作をサポートします。
• 1000full - 1 Gbps 全二重動作をサポートします。
• 100full - 100 Mbps 全二重動作をサポートします。
• 100half - 100 Mbps 半二重動作をサポートします。
• 10full - 10 Mbps 全二重動作をサポートします。
• 10half - 10 Mbps 半二重動作をサポートします。
デフォルト設定
• 1000BASE-T: 10half、 10full、 100half、 100full、 1000full
• 1000BASE-SX/LX/LH:1000full
• 10GBASE-LR:10000full
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
negotiation コマンドにより自動ネゴシエーションが有効になると、スイッチは、
capabilites コマンドに基いてリンクに最適な設定をネゴシエーションします。自動ネゴ
シエーションを無効にする場合、 speed-duplex および flowcontrol コマンドを使用し
て、リンク属性を手動で指定する必要があります。
例
次の例では、イーサネットポート 5 の機能を 100half、および 100full に構成します。
Console(config)#interface ethernet 1/5
Console(config-if)#capabilities 100half
Console(config-if)#capabilities 100full
Console(config-if)#
4-151
4
コマンドラインインターフェース
関連コマンド
negotiation （4-150）
speed-duplex （4-149）
flowcontrol （4-152）
flowcontrol 1
このコマンドでは、フロー制御を有効にします。 no 形式を使用すると、フロー制御が無効に
なります。
構文
[no] flowcontrol
デフォルト設定
無効
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• フロー制御では、バッファが一杯になった場合にスイッチに直接接続されたエンドス
テーションまたはセグメントからのトラフィックを「ブロック」することにより、フ
レームの損失を防止できます。有効にした場合、半二重動作時にはバックプレッシャ
が、全二重動作時には IEEE 802.3-2002 （旧 IEEE 802.3x）が使用されます。
• （flowcontrol または no flowcontrol コマンドにより）フロー制御を強制的にオンま
たはオフにするには、選択したインターフェース上で no negotiation コマンドを使用
して、自動ネゴシエーションを無効にします。
• negotiation コマンドを使用して自動ネゴシエーションを有効にすると、 capabilities
コマンドにより最適な設定が決定されます。自動ネゴシエーション有効時にフロー制
御を有効にするには、任意のポートの機能リストに「flowcontrol」を含める必要があ
ります。
• 実際に問題を解決するために必要でない限り、ハブに接続されたポート上ではフロー
制御の使用を避けてください。使用すると、バックプレッシャの妨害電波により、ハ
ブに接続されたセグメントの全体的な性能が低下することがあります。
例
次の例では、ポート 5 上でフロー制御を有効にします。
Console(config)#interface ethernet 1/5
Console(config-if)#flowcontrol
Console(config-if)#no negotiation
Console(config-if)#
関連コマンド
negotiation （4-150）
capabilities (flowcontrol、 symmetric) (4-151)
1.
スイッチ ASIC のフロー制御と HOL (Head-of-Line) ブロッキングの間には相互運用性の問題が存
在するため、このスイッチでは、フロー制御をサポートしていません。
4-152
インターフェースコマンド
4
media-type
このコマンドでは、コンボポート 21 ～ 24/45 ～ 48 に対して選択されたポートタイプを強
制します。 no 形式を使用すると、デフォルトに戻ります。
構文
media-type mode
no media-type
• mode
- copper-forced - 組込みの RJ-45 ポートを常に使用します。
- sfp-forced - （モジュールが実装されていない場合も） SFP ポートを常に使用します。
- sfp-preferred-auto - 両方のコンボタイプが機能しており、SFP ポートに有効な
リンクがある場合、 SFP ポートを使用します。
デフォルト設定
sfp-preferred-auto
コマンドモード
インターフェースコンフィギュレーション（イーサネット）
例
この例では、コンボポート 48 に対して組込みの RJ-45 ポートを使用するようにスイッチを
強制します。
Console(config)#interface ethernet 1/48
Console(config-if)#media-type copper-forced
Console(config-if)#
shutdown
このコマンドでは、インターフェースを無効にします。無効にされたインターフェースを再
開するには、 no 形式を使用します。
構文
[no] shutdown
デフォルト設定
すべてのインターフェースが有効です。
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
このコマンドを使用すると、異常な振舞い（過度のコリジョンなど）があった時にポー
トを無効にし、問題解決後に再びこのポートを有効にすることができます。また、セキュ
リティ上の理由でポートを無効にすることもできます。
例
次の例では、ポート 5 を無効にします。
Console(config)#interface ethernet 1/5
Console(config-if)#shutdown
Console(config-if)#
4-153
4
コマンドラインインターフェース
switchport broadcast packet-rate
このコマンドでは、ブロードキャストストーム制御を構成します。 no 形式を使用すると、ブ
ロードキャストストーム制御が無効になります。
構文
switchport broadcast packet-rate rate
no switchport broadcast
rate - しきい値レベルをレート（パケット / 秒）で表します。
（範囲 : 1000BASE: 500 ～ 262143、 10GBASE: 1041 ～ 262143）
デフォルト設定
すべてのポートで有効です。
パケットレートリミット : 1000BASE: 500 pps、 10GBASE: 1041 pps
コマンドモード
インターフェースコンフィギュレーション（イーサネット）
コマンドの使用
• ブロードキャストトラフィックが指定しきい値を超えると、該当のしきい値を超えた
パケットは廃棄されます。
• ブロードキャスト制御は IP マルチキャストトラフィックには影響しません。
• ギガビットポートの分解能は 1 パケット / 秒（pps）です。すなわち、 500 ～ 262143
の間で任意の値を設定可能です。ただし、10 ギガビットポートの分解能は、1041 pps
刻みです。
例
次の例は、ブロードキャストストーム制御を 600 パケット / 秒に構成する方法を示します。
Console(config)#interface ethernet 1/5
Console(config-if)#switchport broadcast packet-rate 600
Console(config-if)#
clear counters
このコマンドでは、インターフェースの統計情報をクリアします。
構文
clear counters interface
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
なし
コマンドモード
Privileged Exec
4-154
インターフェースコマンド
4
コマンドの使用
統計情報は、電源リセットによってのみ初期化されます。このコマンドでは、現在の管
理セッションで表示される統計情報の基本値を 0 に設定します。ただし、ログアウトし
た後、再び管理インターフェースに戻ると、最後に電源をリセットしてから収集された
絶対値を示す統計情報が表示されます。
例
次の例では、ポート 5 上の統計情報をクリアします。
Console#clear counters ethernet 1/5
Console#
show interfaces status
このコマンドでは、インターフェースのステータスを表示します。
構文
show interfaces status [interface]
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
• vlan vlan-id （範囲 : 1 ～ 4093）
デフォルト設定
すべてのインターフェースのステータスを表示します。
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
インターフェースを指定しない場合、すべてのインターフェースの情報が表示されます。
このコマンドにより表示される項目に関する説明は、 3-88 ページの「接続ステータスの
表示」を参照してください。
4-155
4
コマンドラインインターフェース
例
Console#show interfaces status ethernet 1/5
Information of Eth 1/5
Basic information:
Port type:
1000T
Mac address:
00-30-F1-D4-73-A5
Configuration:
Name:
Port admin:
Up
Speed-duplex:
Auto
Capabilities:
10half, 10full, 100half, 100full, 1000full
Broadcast storm:
Enabled
Broadcast storm limit: 500 packets/second
Flow control:
Disabled
LACP:
Disabled
Port security:
Disabled
Max MAC count:
0
Port security action:
None
Media type:
None
Current status:
Link status:
Up
Port operation status: Up
Operation speed-duplex: 1000full
Flow control type:
None
Console#show interfaces status vlan 1
Information of VLAN 1
MAC address:
00-00-AB-CD-00-00
Console#
show interfaces counters
このコマンドでは、インターフェース統計情報を表示します。
構文
show interfaces counters [interface]
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
すべてのインターフェースのカウンタを表示します。
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
インターフェースを指定しない場合、すべてのインターフェースの情報が表示されます。
このコマンドにより表示される項目に関する説明は、 3-107 ページの「ポート統計情報
の表示」を参照してください。
4-156
インターフェースコマンド
4
例
Console#show interfaces counters ethernet 1/7
Ethernet 1/7
Iftable stats:
Octets input: 30658, Octets output: 196550
Unicast input: 6, Unicast output: 5
Discard input: 0, Discard output: 0
Error input: 0, Error output: 0
Unknown protos input: 0, QLen output: 0
Extended iftable stats:
Multi-cast input: 0, Multi-cast output: 3064
Broadcast input: 262, Broadcast output: 1
Ether-like stats:
Alignment errors: 0, FCS errors: 0
Single Collision frames: 0, Multiple collision frames: 0
SQE Test errors: 0, Deferred transmissions: 0
Late collisions: 0, Excessive collisions: 0
Internal mac transmit errors: 0, Internal mac receive errors: 0
Frame too longs: 0, Carrier sense errors: 0
Symbol errors: 0
RMON stats:
Drop events: 0, Octets: 227208, Packets: 3338
Broadcast pkts: 263, Multi-cast pkts: 3064
Undersize pkts: 0, Oversize pkts: 0
Fragments: 0, Jabbers: 0
CRC align errors: 0, Collisions: 0
Packet size <= 64 octets: 3150, Packet size 65 to 127 octets: 139
Packet size 128 to 255 octets: 49, Packet size 256 to 511 octets: 0
Packet size 512 to 1023 octets: 0, Packet size 1024 to 1518 octets: 0
Console#
show interfaces switchport
このコマンドでは、指定インターフェースの管理上および動作上のステータスを表示します。
構文
show interfaces switchport [interface]
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
すべてのインターフェースを表示します。
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
インターフェースを指定しない場合、すべてのインターフェースの情報が表示されます。
4-157
4
コマンドラインインターフェース
例
この例では、ポート 4 のコンフィギュレーション設定を表示します。
Console#show interfaces switchport ethernet 1/4
Broadcast threshold:
Enabled, 500 packets/second
LACP status:
Disabled
Ingress rate limit:
Disable, 1000M bits per second
Egress rate limit:
Disable, 1000M bits per second
VLAN membership mode:
Hybrid
Ingress rule:
Disabled
Acceptable frame type:
All frames
Native VLAN:
1
Priority for untagged traffic: 0
GVRP status:
Disabled
Allowed VLAN:
1(u),
Forbidden VLAN:
Console#
表 4-49. show interfaces switchport - フィールドの説明
フィールド
説明
Broadcast threshold
ブロードキャストストーム抑制が有効か無効かを示します。有効な場合、
しきい値レベルも表示されます（4-154 ページ）。
LACP status
LACP （リンクアグレゲーション制御プロトコル）が有効か無効かを示し
ます（4-164 ページ）。
Ingress/Egress rate
limit
レートリミッティングが有効かどうかを示します。有効な場合、現在の
レートリミットを表示します（4-161 ページ）。
VLAN membership
mode
メンバーシップモードを Trunk または Hybrid で示します（4-198 ページ）。
Ingress rule
イングレスフィルタリングが有効か無効かを示します（4-199 ページ）。
Acceptable frame type 受信可能な VLAN フレームのタイプがすべてのタイプであるか、またはタ
グ付きフレームのみであるかを示します（4-198 ページ）。
Native VLAN
デフォルトのポート VLAN ID を示します（4-200 ページ）。
Priority for untagged
traffic
タグなしフレームのデフォルトプライオリティを示します
（4-212 ページ）。
GVRP status
GVRP (GARP VLAN 登録プロトコル ) が有効か無効かを示します
（4-209 ページ）。
Allowed VLAN
このインターフェースが参加している VLAN を示します。ここで、「(u)」
はタグなしを、「(t)」はタグ付きを示します（4-200 ページ）。
Forbidden VLAN
このインターフェースが GVRP 経由で動的に参加できない VLAN を示し
ます（4-201 ページ）。
4-158
ミラーポートコマンド
4
ミラーポートコマンド
この節では、送信元ポートからターゲットポートにトラフィックをミラーリングする方法に
ついて説明します。
表 4-50. ミラーポートコマンド
コマンド
機能
モードページ
port monitor
ミラーセッションを構成します。
IC
4-159
show port monitor
ミラーポートのコンフィギュレーションを表示します。
PE
4-160
port monitor
このコマンドでは、ミラーセッションを構成します。 no 形式を使用すると、ミラーセッショ
ンがクリアされます。
構文
port monitor interface [rx | tx | both]
no port monitor interface
• interface - ethernet unit/port (source port)
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• rx - 受信パケットをミラーリングします。
• tx - 送信パケットをミラーリングします。
• both - 受信および送信両方のパケットをミラーリングします。
デフォルト設定
ミラーセッションは定義されていません。有効時、デフォルトでは受信および送信両方
のパケットをミラーリングします。
コマンドモード
インターフェースコンフィギュレーション（イーサネット、宛先ポート）
コマンドの使用
• リアルタイム解析を行うため、任意の送信元ポートから宛先ポートにトラフィックを
ミラーリングできます。次に、ロジックアナライザまたは RMON プローブを宛先ポー
トに接続し、送信元ポートを通過するトラフィックを他に全く影響を与えずに解析す
ることができます。
• 宛先ポートの設定は、イーサネットインターフェースを指定することにより行います。
• ミラーポートと監視ポートのスピードは一致している必要があります。一致していな
いと、監視ポートからトラフィックが廃棄されることがあります。
• 複数のミラーセッションを作成することが可能ですが、すべてのセッションで同じ宛
先ボートを共有することはできません。ただし、複数の送信元ポートから宛先ポート
へ過剰なトラフィックを送信することは避けてください。
4-159
4
コマンドラインインターフェース
例
次の例では、ポート 6 のすべてのパケットをポート 11 にミラーリングするようスイッチを構
成します。
Console(config)#interface ethernet 1/11
Console(config-if)#port monitor ethernet 1/6 both
Console(config-if)#
show port monitor
このコマンドでは、ミラー情報を表示します。
構文
show port monitor [interface]
interface - ethernet unit/port (source port)
• unit - スタックユニットです（範囲 : 1 ～ 8）。
• port - ポート番号です（範囲 : 1 ～ 25/49）。
デフォルト設定
すべてのセッションを表示します。
コマンドモード
Privileged Exec
コマンドの使用
現在構成されている送信元ポート、宛先ポート、およびミラーモード（RX、 TX、 RX/
TX）を表示します。
例
次の例は、ポート 6 からポート 11 へのミラーリングを構成する方法を示します。
Console(config)#interface ethernet 1/11
Console(config-if)#port monitor ethernet 1/6
Console(config-if)#end
Console#show port monitor
Port Mirroring
------------------------------------Destination port(listen port):Eth1/1
Source port(monitored port) :Eth1/6
Mode
:RX/TX
Console#
4-160
レートリミットコマンド
4
レートリミットコマンド
この機能を使用すると、ネットワーク管理者は、インターフェース上で送受信されるトラ
フィックの最大レートを制御することができます。ネットワークに出入りするトラフィック
を制限するには、ネットワークエッジに位置する各インターフェースにレートリミッティン
グを構成します。レートリミット内のトラフィックは送信されますが、許容可能なトラフィッ
ク量を超えるパケットは破棄されます。
レートリミットはポートまたはトランクごとに適用できます。インターフェースにこの機能
が構成されている場合、ハードウェアでトラフィックレートが監視され、リミット内である
かどうかが確認されます。リミットを超えるトラフィックは破棄され、リミット内のトラ
フィックはそのまま転送されます。
表 4-51. レートリミットコマンド
コマンド
機能
モードページ
rate-limit
ポートの最大入力 / 出力レートを構成します。
IC
4-161
rate-limit
このコマンドでは、特定のインターフェースのレートリミットを定義します。レートを指定
せずにこのコマンドを使用すると、デフォルトのレートに戻ります。 no 形式を使用すると、
デフォルトステータスの無効に戻ります。
構文
rate-limit {input | output} [rate]
no rate-limit {input | output}
• input - 入力レート
• output - 出力レート
• rate - 最大値を Mbps で表します（範囲 : 1 ～ 10000 Mbps）。
デフォルト設定
• ギガビットイーサネット :1000 Mbps
• 10 ギガビットイーサネット :10000 Mbps
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
例
Console(config)#interface ethernet 1/1
Console(config-if)#rate-limit input 600
Console(config-if)#
4-161
4
コマンドラインインターフェース
リンクアグレゲーションコマンド
アグレゲートリンク（トランク）にポートを静的にグループ化することで、ネットワーク接
続の帯域幅を拡張したり、障害回復を確保したりすることができます。また、 LACP ( リンク
アグレゲーション制御プロトコル ) を使用して、このスイッチと別のネットワークデバイス
間でトランクリンクの自動ネゴシエーションを行うこともできます。スタティックトランク
の場合、スイッチが Cisco EtherChannel 規格に準拠している必要があります。ダイナミック
トランクの場合、スイッチは、 LACP に準拠する必要があります。このスイッチは、最大 6 つ
のトランクをサポートしています。たとえば、 2 つの 1000 Mbps ポートで構成されるトラン
クは、全二重で動作時、 4 Gbps の集約帯域幅をサポートします。
表 4-52. リンクアグレゲーションコマンド
コマンド
機能
モード
ページ
手動コンフィギュレーションコマンド
interface
port-channel
トランクを構成し、トランクのインターフェースコン GC
フィギュレーションモードを有効にします。
channel-group
トランクにポートを追加します。
4-148
IC （イーサ 4-163
ネット）
ダイナミックコンフィギュレーションコマンド
lacp
現在のインターフェースで LACP を構成します。
IC （イーサ 4-164
ネット）
lacp system-priority
ポートの LACP システムプライオリティを構成します。 IC （イーサ 4-165
ネット）
lacp admin-key
ポートの管理キーを構成します。
IC （イーサ 4-166
ネット）
lacp admin-key
ポートチャネルの管理キーを構成します。
IC （ポート 4-166
チャネル）
lacp port-priority
ポートの LACP ポートプライオリティを構成します。 IC （イーサ 4-167
ネット）
トランクステータス表示コマンド
show interfaces
status port-channel
トランク情報を表示します。
NE、 PE
4-155
show lacp
LACP 情報を表示します。
PE
4-168
トランク作成のガイドライン
一般的ガイドライン • ループの発生を防ぐために、対応するネットワークケーブルでスイッチ間を接続する前
に、ポートトランクの構成を完了してください。
• トランクには最大 8 つのポートを含めることができます。
• 接続の両端のポートをトランクポートとして構成する必要があります。
• トランク内のすべてのポートは、通信モード（スピードおよび二重モード）、 VLAN 割当
て、 CoS などの設定を同じに構成する必要があります。
• フロントパネル上の任意のギガビットポートを一緒にトランクすることができます。異
なるメディアタイプのポートを含めることも可能です。
4-162
リンクアグレゲーションコマンド
4
• トランク内のすべてのポートは、指定ポートチャネルを介して VLAN 間で移動、追加、
または削除される場合、 1 つの全体として扱う必要があります。
• STP、 VLAN、および IGMP 設定は、指定ポートチャネルを介してトランク全体に対し
てのみ適用できます。
ポートチャネルの動的作成
• 共通ポートチャネルに割り当てるポートは次の基準を満たしている必要があります。
• ポートの LACP システムプライオリティは同じにする必要があります。
• ポートの管理キー（イーサネットインターフェース）は同じにする必要があります。
• チャネルグループ形成時にポートチャネルの管理キー（lacp admin key - ポートチャネ
ル）が設定されていない場合（値が 0 の Null 値の場合）、このキーは、グループに参加
しているインターフェースで使用されるポート管理キー（lacp admin key - イーサネット
インターフェース）と同じ値に設定されます。
• ただし、ポートチャネルの管理キーが設定されている場合、ポートがチャネルグループ
への参加を許可されるには、ポート管理キーが同じ値に設定されている必要があります。
• リンクのダウン時には、 LACP ポートプライオリティに基いて、バックアップリンクが
選択されます。
channel-group
このコマンドでは、トランクにポートを追加します。 no 形式を使用すると、ポートがトラン
クから削除されます。
構文
channel-group channel-id
no channel-group
channel-id - トランクインデックスです（範囲 : 1 ～ 32）。
デフォルト設定
現在のポートが、このトランクに追加されます。
コマンドモード
インターフェースコンフィギュレーション（イーサネット）
コマンドの使用
• スタティックトランクを構成する場合、スイッチは、 Cisco EtherChannel 規格に準拠
している必要があります。
• ポートグループをトランクから削除するには、 no channel-group を使用します。
• スイッチからトランクを削除するには、 no interfaces port-channel を使用します。
例
次の例では、トランク 1 を作成して、ポート 11 を追加します。
Console(config)#interface port-channel 1
Console(config-if)#exit
Console(config)#interface ethernet 1/11
Console(config-if)#channel-group 1
Console(config-if)#
4-163
4
コマンドラインインターフェース
lacp
このコマンドでは、現在のインターフェースで 802.3ad LACP ( リンクアグレゲーション制
御プロトコル ) を有効にします。 no 形式を使用すると、無効になります。
構文
[no] lacp
デフォルト設定
無効
コマンドモード
インターフェースコンフィギュレーション（イーサネット）
コマンドの使用
• LACP トランクの両端のポートは、モード強制または自動ネゴシエーションのいずれ
かにより、全二重に構成する必要があります。
• LACP を使用して別のスイッチでトランクを形成すると、次に使用できるポートチャ
ネル ID が自動的に割り当てられます。
• ターゲットスイッチの接続先ポートでも LACP が有効にされている場合、トランクは
自動的に有効になります。
• 同一のターゲットスイッチに接続され、LACP が有効にされているポートが 8 個を超
える場合、追加のポートはスタンバイモードになり、いずれかのアクティブリンク
で障害が発生した場合のみ有効にされます。
例
次の例では、ポート 10 ～ 12 で LACP を有効にします。リンクのもう一方の端のポートでも
LACP が有効になっているため、 show interfaces status port-channel 1 を使用すると、ト
ランク 1 が確立されていることが表示されます。
Console(config)#interface ethernet 1/10
Console(config-if)#lacp
Console(config-if)#exit
Console(config)#interface ethernet 1/11
Console(config-if)#lacp
Console(config-if)#exit
Console(config)#interface ethernet 1/12
Console(config-if)#lacp
Console(config-if)#end
Console#show interfaces status port-channel 1
Information of Trunk 1
Basic information:
Port type:
1000T
Mac address:
00-30-F1-D4-73-A4
Configuration:
Name:
Port admin:
Up
Speed-duplex:
Auto
Capabilities:
10half, 10full, 100half, 100full, 1000full
Flow control:
Disabled
Port security:
Disabled
Max MAC count:
0
4-164
リンクアグレゲーションコマンド
Current status:
Created by:
Link status:
Operation speed-duplex:
Flow control type:
Member Ports:
Console#
4
Lacp
Up
1000full
None
Eth1/10, Eth1/11, Eth1/12,
lacp system-priority
このコマンドでは、ポートの LACP システムプライオリティを構成します。 no 形式を使用
すると、デフォルト設定に戻ります。
構文
lacp {actor | partner} system-priority priority
no lacp {actor | partner} system-priority
• actor - アグレゲートリンクのローカル側です。
• partner - アグレゲートリンクのリモート側です。
• priority - このプライオリティは、リンクアグレゲーショングループ（LAG）のメ
ンバーシップを決定します。また、 LAG ネゴシエーション中に、このデバイスを他
のスイッチに対して特定するのに使用されます（範囲 : 0 ～ 65535）。
デフォルト設定
32768
コマンドモード
インターフェースコンフィギュレーション（イーサネット）
コマンドの使用
• ポートが同じ LAG に参加するには、システムプライオリティが同じに構成されてい
る必要があります。
• システムプライオリティとスイッチの MAC アドレスを組み合わせることによって
LAG 識別子が形成されます。この識別子は、ほかのシステムとの LACP ネゴシエー
ション中に特定の LAG を示すために使用されます。
• リンクのリモート側が確立されれば、 LACP 動作設定はすでにその側で使用されてい
ます。パートナーに対して構成された LACP 設定は、（動作上の状態ではなく）管理
上の状態にのみ適用されます。これが有効になるのは、次回パートナーとのアグレゲー
トリンクが確立された時のみです。
例
Console(config)#interface ethernet 1/5
Console(config-if)#lacp actor system-priority 3
Console(config-if)#
4-165
4
コマンドラインインターフェース
lacp admin-key （イーサネットインターフェース）
このコマンドでは、ポートの LACP 管理キーを構成します。 no 形式を使用すると、デフォル
ト設定に戻ります。
構文
lacp {actor | partner} admin-key key
[no] lacp {actor | partner} admin-key
• actor - アグレゲートリンクのローカル側です。
• partner - アグレゲートリンクのリモート側です。
• key - 同じリンクアグレゲーショングループ（LAG）に属するポートは、ポート管
理キーを同じ値に設定する必要があります（範囲 : 0 ～ 65535）。
デフォルト設定
0
コマンドモード
インターフェースコンフィギュレーション（イーサネット）
コマンドの使用
• ポートが同じ LAG に参加できるのは、（1） LACP システムプライオリティが一致する、
（2） LACP ポート管理キーが一致する、（3）（構成されている場合） LACP ポートチャ
ネルのキーが一致する場合のみです。
• チャネルグループ形成時にポートチャネルの管理キー（lacp admin key - ポートチャ
ネル）が設定されていない場合（値が 0 の Null 値の場合）、このキーは、グループに
参加しているインターフェースで使用されるポート管理キー（lacp admin key - イー
サネットインターフェース）と同じ値に設定されます。
• リンクのリモート側が確立されれば、 LACP 動作設定はすでにその側で使用されてい
ます。パートナーに対して構成された LACP 設定は、（動作上の状態ではなく）管理
上の状態にのみ適用されます。これが有効になるのは、次回パートナーとのアグレゲー
トリンクが確立された時のみです。
例
Console(config)#interface ethernet 1/5
Console(config-if)#lacp actor admin-key 120
Console(config-if)#
lacp admin-key （ポートチャネル）
このコマンドでは、ポートチャネルの LACP 管理キーストリングを構成します。 no 形式を
使用すると、デフォルト設定に戻ります。
構文
lacp admin-key key
[no] lacp admin-key
key - ポートチャネルの管理キーは、このスイッチ上でローカル LACP をセット
アップ中に特定のリンクアグレゲーショングループ（LAG）を識別するのに使用
されます（範囲 : 0 ～ 65535）。
デフォルト設定
0
4-166
リンクアグレゲーションコマンド
4
コマンドモード
インターフェースコンフィギュレーション（ポートチャネル）
コマンドの使用
• ポートが同じ LAG に参加できるのは、（1） LACP システムプライオリティが一致す
る、（2） LACP ポート管理キーが一致する、（3）（構成されている場合） LACP ポート
チャネルのキーが一致する場合のみです。
• チャネルグループ形成時にポートチャネルの管理キー（lacp admin key - ポートチャ
ネル）が設定されていない場合（値が 0 の Null 値の場合）、このキーは、グループに
参加しているインターフェースで使用されるポート管理キー（lacp admin key - イー
サネットインターフェース）と同じ値に設定されます。 LAG が使用されなくなると、
ポートチャネルの管理キーは 0 にリセットされることに注意してください。
例
Console(config)#interface port-channel 1
Console(config-if)#lacp admin-key 3
Console(config-if)#
lacp port-priority
このコマンドでは、 LACP ポートプライオリティを構成します。 no 形式を使用すると、デ
フォルト設定に戻ります。
構文
lacp {actor | partner} port-priority priority
no lacp {actor | partner} port-priority
• actor - アグレゲートリンクのローカル側です。
• partner - アグレゲートリンクのリモート側です。
• priority - LACP ポートプライオリティは、バックアップリンクを選択するのに使用
されます（範囲 : 0 ～ 65535）。
デフォルト設定
32768
コマンドモード
インターフェースコンフィギュレーション（イーサネット）
コマンドの使用
• 設定値が低いほど、プライオリティは高くなります。
• アクティブポートリンクがダウンすると、プライオリティが最も高いバックアップ
ポートが選択され、ダウンしたリンクに置き換わります。ただし、同じ LACP ポート
プライオリティを持つポートが複数ある場合、物理ポート番号が最も低いポートが、
バックアップポートとして選択されます。
• リンクのリモート側が確立されれば、 LACP 動作設定はすでにその側で使用されてい
ます。パートナーに対して構成された LACP 設定は、（動作上の状態ではなく）管理
上の状態にのみ適用されます。これが有効になるのは、次回パートナーとのアグレゲー
トリンクが確立された時のみです。
4-167
4
コマンドラインインターフェース
例
Console(config)#interface ethernet 1/5
Console(config-if)#lacp actor port-priority 128
show lacp
このコマンドでは、 LACP 情報を表示します。
構文
show lacp [port-channel] {counters | internal | neighbors | sys-id}
• port-channel - リンクアグレゲーショングループのローカル識別子です
（範囲 : 1 ～ 32）。
• counters - LACP プロトコルメッセージの統計情報です。
• internal - ローカル側のコンフィギュレーション設定および動作状態です。
• neighbors - リモート側のコンフィギュレーション設定および動作状態です。
• sys-id - すべてのチャネルグループに対するシステムプライオリティおよび MAC
アドレスのサマリーです。
デフォルト設定
ポートチャネル : すべて
コマンドモード
Privileged Exec
例
Console#show lacp 1 counters
Port channel: 1
------------------------------------------------------------------------Eth 1/ 2
------------------------------------------------------------------------LACPDUs Sent:
10
LACPDUs Receive:
5
Marker Sent:
0
Marker Receive:
0
LACPDUs Unknown Pkts: 0
LACPDUs Illegal Pkts: 0
.
.
.
表 4-53. show lacp counters - フィールドの説明
フィールド
説明
LACPDUs Sent
このチャネルグループから送信された有効な LACPDU の数
LACPDUs Received
このチャネルグループが受信した有効な LACPDU の数
Marker Sent
このチャネルグループから送信された有効なマーカー PDU の数
Marker Received
このチャネルグループが受信した有効なマーカー PDU の数
LACPDUs Unknown
Pkts
受信したフレームのうち、 (1) Carry the Slow Protocols Ethernet Type 値
を持つが不明な PDU が含まれるもの、または (2) Slow Protocols グルー
プの MAC アドレス宛だが、 Slow Protocols Ethernet Type を持たないも
のの数
LACPDUs Illegal Pkts
Slow Protocols Ethernet Type 値を持つが、 PDU の形式が不正または
Protocol Subtype の値が無効なフレームの数
4-168
リンクアグレゲーションコマンド
4
Console#show lacp 1 internal
Port channel: 1
------------------------------------------------------------------------Oper Key: 3
Admin Key: 0
Eth 1/ 2
------------------------------------------------------------------------LACPDUs Internal:
30 sec
LACP System Priority: 32768
LACP Port Priority:
32768
Admin Key:
3
Oper Key:
3
Admin State: defaulted, aggregation, long timeout, LACP-activity
Oper State:
distributing, collecting, synchronization,
aggregation, long timeout, LACP-activity
.
.
.
表 4-54. show lacp internal - フィールドの説明
フィールド
説明
Oper Key
アグレゲーションポートのキーの現在のオペレーション値
Admin Key
アグレゲーションポートのキーの現在の管理値
LACPDUs Internal 受信した LACPDU 情報を無効化するまでの秒数
LACP System
Priority
このポートチャネルに割り当てられた LACP システムプライオリティ
LACP Port Priority チャネルグループ内でこのインターフェースに割り当てられた LACP ポート
プライオリティ
Admin State,
Oper State
アクターの状態パラメータの管理値またはオペレーション値
• 「Expired」 – アクターの受信マシンは期限切れ状態です。
• 「Defaulted」 – アクターの受信マシンは、管理上パートナに構成されたデ
フォルトのパートナー情報を使用しています。
• 「Distributing」 – false の場合、このリンクでの発信フレームの配信は無効に
されます。すなわち、配信は現在無効にされており、管理の変更または受
信したプロトコル情報の変更がない限り、有効にされないと考えられます。
• 「Collecting」 – このリンクでの着信フレームの収集は有効にされています。
すなわち、収集は現在有効にされており、管理の変更または受信したプロ
トコル情報の変更がない限り、無効にされないと考えられます。
• 「Synchronization」 – このリンクはシステムで IN_SYNC と見なされていま
す。すなわち、リンクは正しいリンクアグレゲーショングループに割り当
てられています。また、このグループは互換性のあるアグレゲータに関連付
けられており、リンクアグレゲーショングループのアイデンティティは送
信されたシステム ID およびオペレーションキー情報と一致しています。
• 「Aggregation」 – このリンクはシステムでアグレゲート可能、すなわちアグ
レゲーションの潜在的候補と見なされています。
• 「Long timeout」 – 定期的な LACPDU の送信に低送信レートが使用されて
います。
• 「LACP-Activity」 – このリンクに関するアクティビティ制御値(0: パッシブ、
1: アクティブ）。
4-169
4
コマンドラインインターフェース
Console#show lacp 1 neighbors
Port channel 1 neighbors
------------------------------------------------------------------------Eth 1/1
------------------------------------------------------------------------Partner Admin System ID:
32768, 00-00-00-00-00-00
Partner Oper System ID:
32768, 00-01-F4-78-AE-C0
Partner Admin Port Number: 2
Partner Oper Port Number: 2
Port Admin Priority:
32768
Port Oper Priority:
32768
Admin Key:
0
Oper Key:
3
Admin State:
defaulted, distributing, collecting,
synchronization, long timeout,
Oper State:
distributing, collecting, synchronization,
aggregation, long timeout, LACP-activity
.
.
.
表 4-55. show lacp neighbors - フィールドの説明
フィールド
説明
Partner Admin System ID ユーザーが割り当てた LAG パートナのシステム ID
Partner Oper System ID
LACP プロトコルによって割り当てられた LAG パートナのシステム ID
Partner Admin
Port Number
プロトコルパートナのポート番号の現在の管理値
Partner Oper
Port Number
ポートのプロトコルパートナによってこのアグレゲーションポートに
割り当てられたオペレーションポート番号
Port Admin Priority
プロトコルパートナのポートプライオリティの現在の管理値
Port Oper Priority
パートナによってこのアグレゲーションポートに割り当てられたプラ
イオリティ値
Admin Key
プロトコルパートナのキーの現在の管理値
Oper Key
プロトコルパートナのキーの現在のオペレーション値
Admin State
パートナの状態パラメータの管理値（前の表を参照）
Oper State
パートナの状態パラメータのオペレーション値（前の表を参照）
4-170
リンクアグレゲーションコマンド
4
Console#show lacp sysid
Port Channel
System Priority
System MAC Address
------------------------------------------------------------------------1
32768
00-30-F1-8F-2C-A7
2
32768
00-30-F1-8F-2C-A7
3
32768
00-30-F1-8F-2C-A7
4
32768
00-30-F1-8F-2C-A7
5
32768
00-30-F1-8F-2C-A7
6
32768
00-30-F1-8F-2C-A7
7
32768
00-30-F1-D4-73-A0
8
32768
00-30-F1-D4-73-A0
9
32768
00-30-F1-D4-73-A0
10
32768
00-30-F1-D4-73-A0
11
32768
00-30-F1-D4-73-A0
12
32768
00-30-F1-D4-73-A0
.
.
.
表 4-56. show lacp sysid - フィールドの説明
フィールド
説明
Channel group
このスイッチで構成されているリンクアグレゲーショングループ
System Priority*
このチャネルグループの LACP システムプライオリティ
System MAC Address*
システム MAC アドレス
* LACP システムプライオリティとシステム MAC アドレスは組み合わされ、LAG システム ID となります。
4-171
4
コマンドラインインターフェース
アドレステーブルコマンド
これらのコマンドは、アドレステーブルで、指定アドレスのフィルタリング、現在のエント
リの表示、テーブルのクリア、エージングタイム設定を構成するのに使用されます。
表 4-57. アドレステーブルコマンド
コマンド
機能
mac-address-table static
VLAN 内のポートにスタティックアドレスをマッピン GC
グします。
モードページ
4-172
clear mac-address-table
dynamic
学習したエントリをフォワーディングデータベース PE
から削除します。
4-173
show mac-address-table
ブリッジフォワーディングデータベースのエントリ PE
を表示します。
4-174
mac-address-table
aging-time
アドレステーブルのエージング時間を設定します。
GC
4-175
show mac-address-table
aging-time
アドレステーブルのエージング時間を表示します。
PE
4-175
mac-address-table static
このコマンドでは、 VLAN 内の宛先ポートにスタティックアドレスをマッピングします。 no
形式を使用すると、アドレスが削除されます。
構文
mac-address-table static mac-address interface interface
vlan vlan-id [action]
no mac-address-table static mac-address vlan vlan-id
• mac-address - MAC アドレスです。
• interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
• vlan-id - VLAN ID です（範囲 : 1 ～ 4093）。
• action - delete-on-reset - 割当ては、スイッチがリセットされるまで有効です。
- permanent - 割当ては恒久的に有効です。
デフォルト設定
スタティックアドレスは定義されていません。デフォルトモードは permanent です。
コマンドモード
グローバルコンフィギュレーション
4-172
アドレステーブルコマンド
4
コマンドの使用
ホストデバイスのスタティックアドレスを、特定の VLAN 内の特定のポートに割り当
てることができます。このコマンドを使用すると、MAC アドレステーブルにスタティッ
クアドレスを追加することができます。スタティックアドレスには、次の特徴があり
ます。
• 特定インターフェースのリンクがダウンしても、アドレステーブルから削除されません。
• 割り当てられたインターフェースにバインドされ、移動されることはありません。ス
タティックアドレスが別のインターフェースに割り当てられても、そのアドレスは無
視され、アドレステーブルには書き込まれません。
• このコマンドの no 形式を使用して削除されるまで、別のポートで学習されることは
ありません。
例
Console(config)#mac-address-table static 00-e0-29-94-34-de interface ethernet
1/1 vlan 1 delete-on-reset
Console(config)#
clear mac-address-table dynamic
このコマンドでは、学習されたエントリをフォワーディングデータベースから削除し、任意の
スタティックエントリまたはシステム設定されたエントリの送受信カウントをクリアします。
デフォルト設定
なし
コマンドモード
Privileged Exec
例
Console#clear mac-address-table dynamic
Console#
4-173
4
コマンドラインインターフェース
show mac-address-table
このコマンドでは、ブリッジフォワーディングデータベース内のエントリのクラスを表示し
ます。
構文
show mac-address-table [address mac-address [mask]] [interface interface]
[vlan vlan-id] [sort {address | vlan | interface}]
• mac-address - MAC アドレスです。
• mask - アドレス内で一致するビットです。
• interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
• vlan-id - VLAN ID です（範囲 : 1 ～ 4093）。
• sort - アドレス、 VLAN、またはインターフェースでソートします。
デフォルト設定
なし
コマンドモード
Privileged Exec
コマンドの使用
• MAC アドレステーブルには、各インターフェースに関連付けられた MAC アドレス
が格納されています。 Type フィールドには、次のタイプを入力します。
- Learned - ダイナミックアドレスエントリ
- Permanent - スタティックエントリ
- Delete-on-reset - システムのリセット時に削除されるスタティックエントリ
• マスクは、 xx-xx-xx-xx-xx-xx 形式の（相当するビットマスクを表す） 16 進数で、指
定 MAC アドレスに適用されます。 16 進数の入力で、相当するバイナリビット「1」
は一致するビット、「0」は無視するビットを表します。たとえば、 00-00-00-00-00-00
というマスクは完全一致を表し、 FF-FF-FF-FF-FF-FF というマスクは「任意」を表し
ます。
• アドレスエントリの数は最大 8191 です。
例
Console#show mac-address-table
Interface MAC Address
VLAN Type
--------- ----------------- ---- ----------------Eth 1/ 1 00-e0-29-94-34-de
1 Delete-on-reset
Console#
4-174
4
アドレステーブルコマンド
mac-address-table aging-time
このコマンドでは、アドレステーブル内のエントリに対するエージングタイムを設定しま
す。 no 形式を使用すると、デフォルトのエージングタイムに戻ります。
構文
mac-address-table aging-time seconds
no mac-address-table aging-time
seconds - エージングタイムです
（範囲 : 10 ～ 1000000 秒。 0 の場合、エージングタイムは無効になります）。
デフォルト設定
300 秒
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
エージングタイムは、ダイナミックに学習されたフォワーディング情報の有効期限設定
に使用されます。
例
Console(config)#mac-address-table aging-time 100
Console(config)#
show mac-address-table aging-time
このコマンドでは、アドレステーブル内のエントリに対するエージングタイムを表示します。
デフォルト設定
なし
コマンドモード
Privileged Exec
例
Console#show mac-address-table aging-time
Aging time: 300 sec.
Console#
4-175
4
コマンドラインインターフェース
スパニングツリーコマンド
この節では、スパニングツリーアルゴリズム（STA）をグローバルに構成するコマンド、お
よび選択したインターフェースに STA を構成するコマンドについて説明します。
表 4-58. スパニングツリーコマンド
コマンド
機能
モードページ
spanning-tree
スパニングツリープロトコルを有効にします。
GC
4-177
spanning-tree mode
STP、 RSTP 、または MSTP モードを構成します。
GC
4-177
spanning-tree
forward-time
スパニングツリーブリッジのフォワーディング時間を GC
構成します。
4-179
spanning-tree hello-time
スパニングツリーブリッジのハロー時間を構成します。 GC
4-179
spanning-tree max-age
スパニングツリーブリッジの最大エージングタイム GC
を構成します。
4-180
spanning-tree priority
スパニングツリーブリッジのプライオリティを構成し GC
ます。
4-180
spanning-tree
path-cost method
RSTP/MSTP のパスコスト方法を構成します。
GC
4-181
spanning-tree
transmission-limit
RSTP/MSTP の送信リミットを構成します。
GC
4-181
spanning-tree
mst-configuration
MSTP コンフィギュレーションモードに移行します。
GC
4-182
mst vlan
スパニングツリーインスタンスに VLAN を追加します。 MST
4-182
mst priority
スパニングツリーインスタンスのプライオリティを構 MST
成します。
4-183
name
マルチプルスパニングツリーの名前を構成します。
MST
4-184
revision
マルチプルスパニングツリーのリビジョン番号を構成 MST
します。
4-184
max-hops
BPDU が廃棄される前にリージョン内で可能な最大 MST
ホップ数を構成します。
4-185
spanning-tree
spanning-disabled
インターフェースでスパニングツリーを無効にします。 IC
4-186
spanning-tree cost
インターフェースのスパニングツリーパスコストを IC
構成します。
4-186
spanning-tree
port-priority
インターフェースのスパニングツリープライオリティ IC
を構成します。
4-187
spanning-tree edge-port
エッジポートの高速フォワーディングを有効にします。 IC
4-188
spanning-tree portfast
インターフェースで高速フォワーディングを設定します。 IC
4-188
4-189
spanning-tree link-type
RSTP/MSTP のリンクタイプを構成します。
IC
spanning-tree mst cost
MST 内のインスタンスのパスコストを構成します。
IC
4-190
spanning-tree mst
port-priority
MST 内のインスタンスのプライオリティを構成します。 IC
4-191
spanning-tree
protocol-migration
適切な BPDU 形式を再チェックします。
4-176
PE
4-191
スパニングツリーコマンド
4
表 4-58. スパニングツリーコマンド（続き）
コマンド
機能
show spanning-tree
（ブリッジ全体の）共通スパニングツリー、選択したイ PE
ンターフェース、またはマルチプルスパニングツリー
内のインスタンスに対するスパニングツリーコンフィ
ギュレーションを表示します。
モードページ
4-192
show spanning-tree mst
configuration
マルチプルスパニングツリーコンフィギュレーショ PE
ンを表示します。
4-194
spanning-tree
このコマンドでは、スパニングツリーアルゴリズムをスイッチでグローバルに有効にしま
す。 no 形式を使用すると、無効になります。
構文
[no] spanning-tree
デフォルト設定
スパニングツリーは有効です。
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
スパニングツリーアルゴリズム（STA）を使用すると、ネットワークループを検知し
て無効にしたり、スイッチ、ブリッジ、またはルーター間にバックアップリンクを提供
できます。これにより、スイッチはネットワーク上のほかのブリッジデバイス（STA 準
拠のスイッチ、ブリッジ、またはルーター）と連携し、ネットワーク上の任意の 2 台の
ステーション間にルートが 1 つのみ存在するようにします。また、プライマリリンクの
ダウン時にはバックアップリンクが自動的に処理を引き継ぐことができます。
例
スイッチのスパニングツリーアルゴリズムを有効にする方法を示します。
Console(config)#spanning-tree
Console(config)#
spanning-tree mode
このコマンドでは、このスイッチのスパニングツリーモードを選択します。 no 形式を使用
すると、デフォルトに戻ります。
構文
spanning-tree mode {stp | rstp | mstp}
no spanning-tree mode
• stp - スパニングツリープロトコル（IEEE 802.1D）
• rstp - 高速スパニングツリープロトコル（IEEE 802.1w）
• mstp - マルチプルスパニングツリー（IEEE 802.1s）
デフォルト設定
rstp
4-177
4
コマンドラインインターフェース
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• スパニングツリープロトコル
内部の状態マシンには RSTP を使用しますが、 802.1D BPDU のみを送信します。
- これにより、ネットワーク全体に対して 1 つのスパニングツリーインスタンスを
作成します。ネットワーク上に複数の VLAN が実装されている場合、特定の VLAN
メンバー間のパスを、ネットワークループ防止のために誤って無効にし、グループ
メンバーを分離してしまうことがあります。複数の VLAN を運用する時は、 MSTP
オプションを選択されることをお勧めします。
• 高速スパニングツリープロトコル
RSTP では、次に説明するように、着信プロトコルメッセージを監視して RSTP ノー
ドが送信するプロトコルメッセージのタイプを動的に調整することにより、 STP ま
たは RSTP ノードへの接続がサポートされます。
- STP モード - ポートのマイグレーション遅延タイマーの期限切れ後、スイッチが
802.1D BPDU を受信すると、スイッチはポートが 802.1D ブリッジに接続されてい
ると見なし、 802.1D BPDU のみを使用し始めます。
- RSTP モード – RSTP がポートで 802.1D BPDU を使用しており、移行遅延タイマー
が期限切れになった後に RSTP BPDU を受信した場合、RSTP は移行遅延タイマー
を再度開始し、そのポートで RSTP BPDU を使用し始めます。
• マルチプルスパニングツリープロトコル
- ネットワーク上で複数のスパニングツリーの運用を可能にするには、関連する一連
のブリッジを同じ MSTP コンフィギュレーションで構成し、特定のスパニングツ
リーインスタンス内にこれらが参加できるようにする必要があります。
- スパニングツリーインスタンスは、互換性のある VLAN インスタンス割当てを持
つブリッジ上にのみ存在することができます。
- スパニングツリーモード間を切り換える時は、十分注意してください。モードを
変更すると、以前のモードのすべてのスパニングツリーインスタンスが停止し、新
規モードでシステムが再起動するため、ユーザートラフィックに一時的に影響が出
ます。
例
次の例では、スイッチで高速スパニングツリーの使用を構成します。
Console(config)#spanning-tree mode rstp
Console(config)#
4-178
スパニングツリーコマンド
4
spanning-tree forward-time
このコマンドでは、このスイッチでスパニングツリーブリッジのフォワーディング時間をグ
ローバルに構成します。 no 形式を使用すると、デフォルトに戻ります。
構文
spanning-tree forward-time seconds
no spanning-tree forward-time
seconds - 時間を秒数で指定します（範囲 : 4 ～ 30 秒）。
最小値は、 4 または [(max-age / 2) + 1] のいずれか大きいほうの値です。
デフォルト設定
15 秒
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
このコマンドでは、ルートデバイスの状態（Discarding、 Learning、 Forwarding）が変更
されるまでの最大待機時間を秒単位で設定します。この遅延は、すべてのデバイスがフ
レームの転送を開始する前にトポロジ変化に関する情報を受信する必要があるため必要
になります。また、各ポートには、 Discarding 状態に戻らせる矛盾情報をリッスンする時
間が必要です。この時間がないと、一時的なデータループが発生する可能性があります。
例
Console(config)#spanning-tree forward-time 20
Console(config)#
spanning-tree hello-time
このコマンドでは、このスイッチでスパニングツリーブリッジのハロー時間をグローバルに
構成します。 no 形式を使用すると、デフォルトに戻ります。
構文
spanning-tree hello-time time
no spanning-tree hello-time
time - 時間を秒数で指定します（範囲 : 1 ～ 10 秒）。最大値は、 10 または
[(max-age / 2) -1] のいずれか小さいほうの値です。
デフォルト設定
2秒
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
このコマンドでは、ルートデバイスがコンフィギュレーションメッセージを送信する
間隔を秒単位で設定します。
例
Console(config)#spanning-tree hello-time 5
Console(config)#
4-179
4
コマンドラインインターフェース
spanning-tree max-age
このコマンドでは、このスイッチでスパニングツリーブリッジの最大エージングタイムをグ
ローバルに構成します。 no 形式を使用すると、デフォルトに戻ります。
構文
spanning-tree max-age seconds
no spanning-tree max-age
seconds - 時間を秒数で指定します（範囲 : 6 ～ 40 秒）。
最小値は、 6 または [2 x (hello-time + 1)] のいずれか大きいほうの値です。
最大値は、 40 または [2 x (forward-time - 1)] のいずれか小さいほうの値です。
デフォルト設定
20 秒
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
このコマンドでは、再コンフィギュレーションを試行する前にデバイスがコンフィギュ
レーションメッセージを受信するまで待機できる最大時間（秒単位）を設定します。す
べてのデバイスポート（指定ポート以外）は定期的にコンフィギュレーションメッセー
ジを受信する必要があります。（最後のコンフィギュレーションメッセージで供給され
た） STA 情報が経年処理によって無効になったポートは、接続された LAN の指定ポー
トになります。これがルートポートの場合、ネットワークに接続されたデバイスポー
トの中から新しいルートポートが選択されます
例
Console(config)#spanning-tree max-age 40
Console(config)#
spanning-tree priority
このコマンドでは、このスイッチでスパニングツリープライオリティをグローバルに構成し
ます。 no 形式を使用すると、デフォルトに戻ります。
構文
spanning-tree priority priority
no spanning-tree priority
priority - ブリッジのプライオリティです（範囲 : 0 ～ 65535）。
（範囲 : 0 ～ 61440 まで 4096 刻み、オプション : 0、 4096、 8192、 12288、 16384、
20480、24576、28672、32768、36864、40960、45056、49152、53248、57344、61440）
デフォルト設定
32768
コマンドモード
グローバルコンフィギュレーション
4-180
スパニングツリーコマンド
4
コマンドの使用
ブリッジのプライオリティは、ルートデバイス、ルートポート、および指定ポートの
選択に使用されます。プライオリティが最も高い（最も数値が小さい）デバイスが STA
ルートデバイスになります。すべてのデバイスのプライオリティが同じ場合は、 MAC
アドレスが最も小さいデバイスがルートデバイスになります
例
Console(config)#spanning-tree priority 40000
Console(config)#
spanning-tree pathcost method
このコマンドでは、高速スパニングツリーおよびマルチプルスパニングツリーに使用される
パスコスト方式を構成します。 no 形式を使用すると、デフォルトに戻ります。
構文
spanning-tree pathcost method {long | short}
no spanning-tree pathcost method
• long - 32 ビットベースの値を指定します（範囲 : 1 ～ 200,000,000）。
• short - 16 ビットベースの値を指定します（範囲 : 1 ～ 65535）。
デフォルト設定
Long 方式
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
パスコスト方法は、デバイス間の最適なパスを決定するのに使用されます。すなわち、
高速なメディアに接続されたポートには低い値が割り当てられ、低速なメディアに接続
されたポートには高い値が割り当てられますパスコスト（4-186 ページ）は、ポートプ
ライオリティ（4-187 ページ）より優先されることに注意してください。
例
Console(config)#spanning-tree pathcost method long
Console(config)#
spanning-tree transmission-limit
このコマンドでは、 RSTP/MSTP BPDU を連続して送信する際の最小間隔を構成します。 no
形式を使用すると、デフォルトに戻ります。
構文
spanning-tree transmission-limit count
no spanning-tree transmission-limit
count - 送信リミットを秒単位で指定します（範囲 : 1 ～ 10）。
デフォルト設定
3
4-181
4
コマンドラインインターフェース
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
このコマンドは、 BPDU の最大伝送レートを制限します。
例
Console(config)#spanning-tree transmission-limit 4
Console(config)#
spanning-tree mst-configuration
このコマンドでは、マルチプルスパニングツリー（MST）コンフィギュレーションモード
に移行します。
デフォルト設定
• MST インスタンスにマッピングされている VLAN はありません。
• リージョン名はスイッチの MAC アドレスに設定されます。
コマンドモード
グローバルコンフィギュレーション
例
Console(config)#spanning-tree mst-configuration
Console(config-mstp)#
関連コマンド
mst vlan （4-182）
mst priority （4-183）
name （4-184）
revision （4-184）
max-hops （4-185）
mst vlan
このコマンドでは、スパニングツリーインスタンスに VLAN を追加します。 no 形式を使用
すると、指定した VLAN が削除されます。 VLAN パラメータを指定せずに no 形式を使用する
と、すべての VLAN が削除されます。
構文
[no] mst instance_id vlan vlan-range
• instance_id - スパニングツリーのインスタンス識別子です（範囲 : 0 ～ 4094）。
• vlan-range - VLAN の範囲です（範囲 : 1 ～ 4093）。
デフォルト設定
なし
コマンドモード
MST コンフィギュレーション
4-182
スパニングツリーコマンド
4
コマンドの使用
• このコマンドは、スパニングツリーインスタンスに VLAN をグループ分けするのに
使用します。 MSTP は、各インスタンスに対して固有のスパニングツリーを作成しま
す。これにより、ネットワーク上に複数の経路が提供されることから、トラフィック
負荷を分散できるだけでなく、単一インスタンスでブリッジノードに障害が発生した
時の大規模なネットワークダウンを回避し、障害が発生したインスタンスに対する新
規トポロジのコンバージェンス時間を短縮することが可能になります。
• デフォルトでは、すべての VLAN は、 MST リージョン内のすべてのブリッジと LAN
を接続する内部スパニングツリー（MSTI 0）に割り当てられます。このスイッチは、
最大 58 のインスタンスをサポートしています。ネットワークの同じ一般的エリアを
カバーする VLAN 同士をグループにする必要があります。ただし、同じ MSTI リー
ジョン（4-184 ページ）内のすべてのブリッジは同じインタンスセットで、（各ブリッ
ジ上の）同じインスタンスは同じ VLAN セットで構成する必要があります。また、
RSTP は各 MSTI リージョンを単一ノードとして扱い、すべてのリージョンを共通ス
パニングツリー（CST）に接続することに注意してください。
例
Console(config-mstp)#mst 1 vlan 2-5
Console(config-mstp)#
mst priority
このコマンドでは、スパニングツリーインスタンスのプライオリティを構成します。 no 形
式を使用すると、デフォルトに戻ります。
構文
mst instance_id priority priority
no mst instance_id priority
• instance_id - スパニングツリーのインスタンス識別子です（範囲 : 0 ～ 4094）。
• priority - スパニングツリーインスタンスのプライオリティです。
（範囲 : 0 ～ 61440 まで 4096 刻み、オプション : 0、 4096、 8192、 12288、 16384、
20480、24576、28672、32768、36864、40960、45056、49152、53248、57344、61440）。
デフォルト設定
32768
コマンドモード
MST コンフィギュレーション
コマンドの使用
• MST プライオリティは、指定したインスタンスのルートブリッジおよび代替ブリッ
ジを選択するのに使用されます。プライオリティが最も高い（数値が最も小さい）デ
バイスが MSTI ルートデバイスになります。すべてのデバイスのプライオリティが同
じ場合は、 MAC アドレスが最も小さいデバイスがルートデバイスになります
• プライオリティに 0 を指定すると、このスイッチを MSTI ルートデバイスとして、ま
たプライオリティに 16384 を指定すると、 MSTI 代替デバイスとして機能するよう設
定できます。
4-183
4
コマンドラインインターフェース
例
Console(config-mstp)#mst 1 priority 4096
Console(config-mstp)#
name
このコマンドでは、このスイッチが配置されるマルチプルスパニングツリーリージョンの名
前を構成することができます。 no 形式を使用すると、名前がクリアされます。
構文
name name
name - スパニングツリーの名前です。
デフォルト設定
スイッチの MAC アドレス
コマンドモード
MST コンフィギュレーション
コマンドの使用
MST リージョン名およびリビジョン番号（4-184 ページ）は、 MST リージョンを一意
に指定するのに使用されます。ブリッジ（このスイッチのようなスパニングツリー準拠
デバイス）は、 1 つの MST リージョンにのみ属することができます。同じリージョン
内のすべてのブリッジは、同じ MST インスタンスで構成される必要があります。
例
Console(config-mstp)#name R&D
Console(config-mstp)#
関連コマンド
revision （4-184）
revision
このコマンドでは、このスイッチのマルチプルスパニングツリーコンフィギュレーションに
対するリビジョン番号を構成します。 no 形式を使用すると、デフォルトに戻ります。
構文
revision number
number - スパニングツリーのリビジョン番号です（範囲 : 0 ～ 65535）。
デフォルト設定
0
コマンドモード
MST コンフィギュレーション
4-184
スパニングツリーコマンド
4
コマンドの使用
MST リージョン名（4-184 ページ）およびリビジョン番号は、 MST リージョンを一意
に指定するのに使用されます。ブリッジ（このスイッチのようなスパニングツリー準拠
デバイス）は、 1 つの MST リージョンにのみ属することができます。同じリージョン
内のすべてのブリッジは、同じ MST インスタンスで構成される必要があります。
例
Console(config-mstp)#revision 1
Console(config-mstp)#
関連コマンド
name （4-184）
max-hops
このコマンドでは、 BPDU が廃棄される前にリージョン内で可能な最大ホップ数を構成しま
す。 no 形式を使用すると、デフォルトに戻ります。
構文
max-hops hop-number
hop-number - マルチプルスパニングツリーの最大ホップ数です（範囲 : 1 ～ 40）。
デフォルト設定
20
コマンドモード
MST コンフィギュレーション
コマンドの使用
STP および RSTP プロトコルでは、 MSTI リージョンは単一ノードして扱われます。こ
のため、 MSTI リージョン内の BPDU のメッセージエージは絶対に変更されません。た
だし、リージョン内の各スパニングツリーインスタンス、およびこれらのインスタン
スを接続する内部スパニングツリー（IST）では、 BPDU を伝播するブリッジの最大数
を指定するのにホップカウントを使用します。各ブリッジは、 BPDU を伝播する前に
ホップカウントを 1 ずつ減らします。ホップカウントが 0 になると、メッセージは廃
棄されます。
例
Console(config-mstp)#max-hops 30
Console(config-mstp)#
4-185
4
コマンドラインインターフェース
spanning-tree spanning-disabled
このコマンドでは、指定インターフェースのスパニングツリーアルゴリズムを無効にしま
す。 no 形式を使用すると、指定インターフェースのスパニングツリーアルゴリズムが再び
有効になります。
構文
[no] spanning-tree spanning-disabled
デフォルト設定
有効
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
例
この例では、ポート 5 のスパニングツリーアルゴリズムを無効にします。
Console(config)#interface ethernet 1/5
Console(config-if)#spanning-tree spanning-disabled
Console(config-if)#
spanning-tree cost
このコマンドでは、指定インターフェースのスパニングツリーパスコストを構成します。no
形式を使用すると、デフォルトに戻ります。
構文
spanning-tree cost cost
no spanning-tree cost
cost - ポートのパスコストです
（範囲 : 自動コンフィギュレーションの場合 0、または 1 ～ 200,000,000）。
推奨範囲
- イーサネット : 200,000 ～ 20,000,000
- ファーストイーサネット : 20,000 ～ 2,000,000
- ギガビットイーサネット : 2,000 ～ 200,000
- 10 ギガビットイーサネット : 200 ～ 20,000
デフォルト設定
デフォルトでは、システムは各ポートで使用されるスピードと二重モードを自動的に検
知し、次に示す値に従ってパスコストを構成します。パスコスト「0」は、自動コン
フィギュレーションモードを示します。
• イーサネット - 半二重 :2,000,000; 全二重 :1,000,000; トランク : 500,000
• 高速イーサネット - 半二重 :200,000; 全二重 :100,000; トランク : 50,000
• ギガビットイーサネット - 全二重 :10,000; トランク : 5,000
• 10 ギガビットイーサネット - 全二重 :1000; トランク : 500
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
4-186
スパニングツリーコマンド
4
コマンドの使用
• このコマンドは、デバイス間の最適パスを決定するためにスパニングツリーアルゴリ
ズムにより使用されます。すなわち、高速なメディアに接続されたポートには低い値
が割り当てられ、低速なメディアに接続されたポートには高い値が割り当てられます。
• パスコストは、ポートプライオリティより優先されます。
• スパニングツリーパスコスト方法（4-181 ページ）が short に設定されている場合、
パスコストの最大値は 65,535 です。
例
Console(config)#interface ethernet 1/5
Console(config-if)#spanning-tree cost 50
Console(config-if)#
spanning-tree port-priority
このコマンドでは、指定インターフェースのプライオリティを構成します。 no 形式を使用す
ると、デフォルトに戻ります。
構文
spanning-tree port-priority priority
no spanning-tree port-priority
priority - ポートのプライオリティです（範囲 : 0 ～ 240、 16 刻み）。
デフォルト設定
128
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• このコマンドでは、スパニングツリーアルゴリズムでのポート使用に対してプライ
オリティを定義します。スイッチ上のすべてのポートのパスコストが同じ場合、最も
高いプライオリティ（最も低い値）を持つポートが、スパニングツリーにおけるアク
ティブリンクとして構成されます。
• 最高のプライオリティに割り当てられているポートが複数存在する場合、数値識別子
が最も小さいポートが有効にされます。
例
Console(config)#interface ethernet 1/5
Console(config-if)#spanning-tree port-priority 0
関連コマンド
spanning-tree cost （4-186）
4-187
4
コマンドラインインターフェース
spanning-tree edge-port
このコマンドでは、インターフェースをエッジポートとして指定します。 no 形式を使用する
と、デフォルトに戻ります。
構文
[no] spanning-tree edge-port
デフォルト設定
無効
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• ブリッジ LAN のエッジにある LAN セグメントまたはエンドノードにインターフェー
スが接続されている場合、このオプションを有効にできます。エンドノードではフォ
ワーディングループが発生しないため、エンドノードは、スパニングツリーフォ
ワーディング状態に直接移行することができます。エッジポートを指定することによ
り、ワークステーションやサーバーなどのデバイスのコンバージェンスが高速化され、
最新のフォワーディングデータベースを維持して再構成時のアドレステーブルの再
構築に必要となるフレームフラッディング量を低減できます。また、インターフェー
スの状態が変化したときにスパニングツリーの再構成を開始する必要がなく、STA に
関連するその他のタイムアウトの問題を解決できます。ただし、エッジポートは、エ
ンドノードデバイスに接続されたポートでのみ有効にしてください
• このコマンドの効果は、 spanning-tree portfast と同じです。
例
Console(config)#interface ethernet ethernet 1/5
Console(config-if)#spanning-tree edge-port
Console(config-if)#
関連コマンド
spanning-tree portfast （4-188）
spanning-tree portfast
このコマンドでは、インターフェースで高速フォワーディングを設定します。 no 形式を使用
すると、高速フォワーディングが無効になります。
構文
[no] spanning-tree portfast
デフォルト設定
無効
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
4-188
スパニングツリーコマンド
4
コマンドの使用
• このコマンドは、選択したポートの高速スパニングツリーモードを有効 / 無効にする
のに使用されます。このモードでは、ポートは、 Discarding および Learning 状態をバ
イパスして、 Forwarding 状態に直接移行します。
• エンドノードではフォワーディングループが発生しないため、エンドノードは、標
準コンバージェンス時間よりも大幅に短い時間で、スパニングツリー状態の変化を通
過できます。高速フォワーディングでは、エンドノードのワークステーションやサー
バーのコンバージェンス時間短縮を提供するだけでなく、他の STA 関連のタイムアウ
ト問題を解決することもできます（高速フォワーディングは、ブリッジ LAN のエッジ
にある LAN セグメントまたはエンドノードデバイスに接続されたポートに対しての
み有効にできます）。
• このコマンドは、 spanning-tree edge-port と同様、旧製品との後方互換性を確保す
る目的でのみ実装されています。このコマンドは、今後のソフトウェアバージョンで
は削除される可能性があることに注意してください。
例
Console(config)#interface ethernet 1/5
Console(config-if)#bridge-group 1 portfast
Console(config-if)#
関連コマンド
spanning-tree edge-port （4-188）
spanning-tree link-type
このコマンドでは、高速スパニングツリーおよびマルチプルスパニングツリーのリンクタ
イプを構成します。 no 形式を使用すると、デフォルトに戻ります。
構文
spanning-tree link-type {auto | point-to-point | shared}
no spanning-tree link-type
• auto - 二重モード設定から自動的に派生します。
• point-to-point - ポイントツーポイントリンクです。
• shared - 共有媒体です。
デフォルト設定
auto
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• インターフェースを他の 1 つのブリッジのみに接続できる場合、ポイントツーポイン
トリンクを指定します。インターフェースを 2 つまたはそれ以上のブリッジに接続で
きる場合、共有リンクを指定します。
• 自動検知を選択した場合、リンクタイプは二重モードと連動します。全二重インター
フェースは、ポイントツーポイントリンクと見なされます。半二重インターフェース
は、共有リンクと見なされます。
4-189
4
コマンドラインインターフェース
• RSTP は、 2 つのブリッジ間のポイントツーポイントリンク上でのみ動作します。共
有リンクとしてポートを指定する場合、 RSTP は使用できません。 MSTP は RSTP の
拡張であるため、同様の制限が適用されます。
例
Console(config)#interface ethernet ethernet 1/5
Console(config-if)#spanning-tree link-type point-to-point
spanning-tree mst cost
このコマンドでは、マルチプルスパニングツリー内のスパニングインスタンスのパスコス
トを構成します。 no 形式を使用すると、デフォルトに戻ります。
構文
spanning-tree mst instance_id cost cost
no spanning-tree mst instance_id cost
• instance_id - スパニングツリーのインスタンス識別子です
（範囲 : 0 ～ 4094、先頭に 0 は付けません）。
• cost - インターフェースのパスコストです（範囲 : 1 ～ 200,000,000）。
推奨範囲
- イーサネット : 200,000 ～ 20,000,000
- ファーストイーサネット : 20,000 ～ 2,000,000
- ギガビットイーサネット : 2,000 ～ 200,000
- 10 ギガビットイーサネット : 200 ～ 20,000
デフォルト設定
デフォルトでは、システムは各ポートで使用されるスピードと二重モードを自動的に検
知し、次に示す値に従ってパスコストを構成します。パスコスト「0」は、自動コン
フィギュレーションモードを示します。
• イーサネット - 半二重 :2,000,000; 全二重 :1,000,000; トランク : 500,000
• 高速イーサネット - 半二重 :200,000; 全二重 :100,000; トランク : 50,000
• ギガビットイーサネット - 全二重 :10,000; トランク : 5,000
• 10 ギガビットイーサネット - 全二重 :1000; トランク : 500
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• 各スパニングツリーインスタンスは、一意の VLAN ID と関連付けられています。
• このコマンドは、デバイス間の最適パスを決定するため、マルチプルスパニングツ
リーアルゴリズムによって使用されます。すなわち、高速なメディアに接続されたイ
ンターフェースには低い値が割り当てられ、低速なメディアに接続されたインター
フェースには高い値が割り当てられます。
• パスコストは、インターフェースプライオリティよりも優先されます。
例
Console(config)#interface ethernet ethernet 1/5
Console(config-if)#spanning-tree mst 1 cost 50
Console(config-if)#
4-190
スパニングツリーコマンド
4
関連コマンド
spanning-tree mst port-priority （4-191）
spanning-tree mst port-priority
このコマンドでは、マルチプルスパニングツリー内のスパニングインスタンスのインター
フェースプライオリティを構成します。 no 形式を使用すると、デフォルトに戻ります。
構文
spanning-tree mst instance_id port-priority priority
no spanning-tree mst instance_id port-priority
• instance_id - スパニングツリーのインスタンス識別子です
（範囲 : 0 ～ 4094、先頭に 0 は付けません）。
• priority - インターフェースのプライオリティです（範囲 : 0 ～ 240、 16 刻み）。
デフォルト設定
128
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• このコマンドでは、マルチプルスパニングツリーでのインターフェース使用に対し
てプライオリティを定義します。スイッチ上のすべてのインターフェースのパスコス
トが同じ場合、最も高いプライオリティ（最も低い値）を持つインターフェースが、
スパニングツリーにおけるアクティブリンクとして構成されます。
• 最高のプライオリティを割り当てられているインターフェースが複数存在する場合、
数値識別子が最も小さいインターフェースが有効にされます。
例
Console(config)#interface ethernet ethernet 1/5
Console(config-if)#spanning-tree mst 1 port-priority 0
Console(config-if)#
関連コマンド
spanning-tree mst cost （4-190）
spanning-tree protocol-migration
このコマンドでは、選択したインターフェス上で送信する適切な BPDU 形式を再チェックし
ます。
構文
spanning-tree protocol-migration interface
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
4-191
4
コマンドラインインターフェース
コマンドモード
Privileged Exec
コマンドの使用
スイッチは、Configuration BPDU や TCN （トポロジ変更通知） BPDU を含む STP BPDU
を検知すると、選択したインターフェースを自動的に強制 STP 互換モードに設定しま
す。ただし、 spanning-tree protocol-migration コマンドを使用すると、選択したイン
ターフェース上で送信する BPDU の適切な形式（RSTP または STP 互換）をいつでも
手動で再チェックすることができます。
例
Console#spanning-tree protocol-migration eth 1/5
Console#
show spanning-tree
このコマンドでは、共通スパニングツリー（CST）またはマルチプルスパニングツリー
（MST）内のインスタンスに対するコンフィギュレーションを表示します。
構文
show spanning-tree [interface | mst instance_id]
• interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
• instance_id - マルチプルスパニングツリーのインスタンス識別子です
（範囲 : 0 ～ 4094、先頭に 0 は付けません）。
デフォルト設定
なし
コマンドモード
Privileged Exec
コマンドの使用
• 共通スパニングツリー（CST）およびツリー内のすべてのインターフェースのスイッ
チについて、スパニングツリーコンフィギュレーションを表示するには、パラメー
タを指定せずに show spanning-tree コマンドを使用します。
• 共通スパニングツリー（CST）内のインターフェースについてスパニングツリーコ
ンフィギュレーションを表示するには、 show spanning-tree interface コマンドを使
用します。
• マルチプルスパニングツリー（MST）内のインスタンスについてスパニングツリー
コンフィギュレーションを表示するには、 show spanning-tree mst instance_id コマ
ンドを使用します。
4-192
スパニングツリーコマンド
4
• 「Spanning-tree information」で表示される項目に関する説明は、 3-118 ページの「グ
ローバル設定の構成」を参照してください。特定のインターフェースについて表示さ
れる項目に関する説明は、 3-122 ページの「インターフェース設定の表示」を参照し
てください。
例
Console#show spanning-tree
Spanning-tree information
--------------------------------------------------------------Spanning tree mode:
MSTP
Spanning tree enable/disable:
enable
Instance:
0
Vlans configuration:
1-4093
Priority:
32768
Bridge Hello Time (sec.):
2
Bridge Max Age (sec.):
20
Bridge Forward Delay (sec.):
15
Root Hello Time (sec.):
2
Root Max Age (sec.):
20
Root Forward Delay (sec.):
15
Max hops:
20
Remaining hops:
20
Designated Root:
32768.0.0000ABCD0000
Current root port:
1
Current root cost:
10000
Number of topology changes:
1
Last topology changes time (sec.): 22
Transmission limit:
3
Path Cost Method:
long
--------------------------------------------------------------Eth 1/ 1 information
--------------------------------------------------------------Admin status:
enable
Role:
root
State:
forwarding
External admin path cost: 10000
Internal admin cost:
10000
External oper path cost: 10000
Internal oper path cost: 10000
Priority:
128
Designated cost:
200000
Designated port:
128.24
Designated root:
32768.0.0000ABCD0000
Designated bridge:
32768.0.0030F1552000
Fast forwarding:
disable
Forward transitions:
1
Admin edge port:
enable
Oper edge port:
disable
Admin Link type:
auto
Oper Link type:
point-to-point
Spanning Tree Status:
enable
.
.
.
4-193
4
コマンドラインインターフェース
show spanning-tree mst configuration
このコマンドでは、マルチプルスパニングツリーのコンフィギュレーションを表示します。
コマンドモード
Privileged Exec
例
Console#show spanning-tree mst configuration
Mstp Configuration Information
-------------------------------------------------------------Configuration name: R&D
Revision level:0
Instance Vlans
-------------------------------------------------------------1
2
Console#
4-194
VLAN コマンド
4
VLAN コマンド
VLAN とは、ネットワーク上の任意の場所に配置されているが、あたかも同じ物理的セグメン
トに属するかのように通信できるポートの集合です。この節では、 VLAN グループの作成、
ポートメンバーの追加、 VLAN タギングの使用の指定、選択したインターフェースに対する
自動 VLAN 登録の有効化に使用されるコマンドについて説明します。
表 4-59. VLAN コマンド
コマンドグループ
機能
VLAN グループ編集
名前、 VID、状態を含め、 VLAN グループのセットアップを行い 4-195
ます。
ページ
VLAN インターフェースイングレスおよびイグレスタギングモード、イングレスフィ 4-197
構成
ルタリング、PVID、および GVRP を含め、VLAN インターフェー
スパラメータの構成を行います。
VLAN 情報表示
VLAN グループ、ステータス、ポート番号、および MAC アドレ 4-202
スを表示します。
プライベート VLAN の
構成
アップリンクポートおよびダウンリンクポートを含め、プライ 4-203
ベート VLAN の構成を行います。
プロトコル VLAN の
構成
フレームタイプとプロトコルに基づき、プロトコルベース 4-204
VLAN を構成します。
VLAN グループ編集
表 4-60. VLAN グループ編集コマンド
コマンド
機能
vlan database
VLAN データベースモードに入り、 VLAN の追加、変 GC
更、削除を行います。
モードページ
4-195
vlan
VID、名前、状態を含め、 VLAN の構成を行います。
VC
4-196
vlan database
このコマンドでは、 VLAN データベースモードを有効にします。このモードでは、すべての
コマンドの効果が即座に有効になります。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• VLAN データベースコマンドモードを使用して、 VLAN を追加、変更、および削除し
ます。コンフィギュレーション変更を完了後、 show vlan コマンドを入力すると、
VLAN 設定を表示できます。
• ポートメンバーシップモードを定義して、 VLAN にポートを追加または VLAN から
ポートを削除するには、 interface vlan コマンドモードを使用します。これらのコマ
ンドの結果は、実行中のコンフィギュレーションファイルに書き込まれます。この
ファイルを表示するには、 show running-config コマンドを入力します。
4-195
4
コマンドラインインターフェース
例
Console(config)#vlan database
Console(config-vlan)#
関連コマンド
show vlan （4-202）
vlan
このコマンドでは、 VLAN を構成します。 no 形式を使用すると、デフォルト設定に戻るか、
VLAN が削除されます。
構文
vlan vlan-id [name vlan-name] media ethernet [state {active | suspend}]
no vlan vlan-id [name | state]
• vlan-id - 構成された VLAN の ID です（範囲 : 1 ～ 4093、先頭に 0 は付けません）。
• name - VLAN 名の前に付くキーワードです。
- vlan-name - 1 ～ 32 文字の ASCII ストリングです。
• media ethernet - イーサネットメディアのタイプです。
• state - VLAN 状態の前に付くキーワードです。
- active - VLAN は動作中です。
- suspend - VLAN は停止しています。停止した VLAN ではパケットを通過させま
せん。
デフォルト設定
デフォルトでは、 VLAN 1 のみ存在し、アクティブです。
コマンドモード
VLAN データベースコンフィギュレーション
コマンドの使用
• no vlan vlan-id は、 VLAN を削除します。
• no vlan vlan-id name は、 VLAN 名を削除します。
• no vlan vlan-id state は、 VLAN をデフォルト状態（アクティブ）に戻します。
• スイッチでは、最大 255 の VLAN を構成できます。
例
次の例では、 VLAN ID に 105、名前に RD5 を使用して、 VLAN を追加します。 VLAN はデ
フォルトでアクティブになっています。
Console(config)#vlan database
Console(config-vlan)#vlan 105 name RD5 media ethernet
Console(config-vlan)#
関連コマンド
show vlan （4-202）
4-196
VLAN コマンド
4
VLAN インターフェース構成
表 4-61. VLAN インターフェースコンフィギュレーションコマンド
コマンド
機能
interface vlan
指定 VLAN のインターフェースコンフィギュレーショ IC
ンモードに入ります。
4-197
switchport mode
インターフェースの VLAN メンバーシップモードを構 IC
成します。
4-198
switchport
acceptable-frame-types
インターフェースが受信可能なフレームタイプを構成 IC
します。
4-198
switchport
ingress-filtering
インターフェース上でイングレスフィルタリングを有 IC
効にします。
4-199
switchport native vlan
インターフェースの PVID （ネイティブ VLAN）を構成 IC
します。
4-200
switchport allowed vlan
インターフェースに関連付けられている VLAN を構成 IC
します。
4-200
switchport gvrp
インターフェースで GVRP を有効にします。
IC
4-209
switchport forbidden vlan インターフェースの禁止 VLAN を構成します。
モードページ
IC
4-201
switchport priority default タグなし入力フレームのポートプライオリティを設定 IC
します。
4-213
interface vlan
このコマンドでは、物理インターフェースに対する VLAN パラメータの構成に使用される
VLAN のインターフェースコンフィギュレーションモードに入ります。
構文
interface vlan vlan-id
vlan-id - 構成された VLAN の ID です（範囲 :1 ～ 4093、先頭に 0 は付けません）。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
例
次の例では、 VLAN 1 に対するインターフェースコンフィギュレーションモードを設定し、
VLAN に IP アドレスを割り当てる方法を示しています。
Console(config)#interface vlan 1
Console(config-if)#ip address 192.168.1.254 255.255.255.0
Console(config-if)#
関連コマンド
shutdown （4-153）
4-197
4
コマンドラインインターフェース
switchport mode
このコマンドでは、ポートの VLAN メンバーシップモードを構成します。 no 形式を使用す
ると、デフォルトに戻ります。
構文
switchport mode {trunk | hybrid}
no switchport mode
• trunk - VLAN トランクのエンドポイントとしてポートを指定します。トランクは 2
つのスイッチ間の直接リンクであるため、ポートは送信元 VLAN を特定するタグ付
きフレームを送信します。ポートのデフォルト VLAN （すなわち、その PVID が関
連付けられている）に属するフレームもタグ付きフレームとして送信されます。
• hybrid - ハイブリッド VLAN インターフェースを指定します。ポートはタグ付きま
たはタグなしフレームを送信します。
デフォルト設定
すべてのポートは Hybrid モードで、 PVID は VLAN 1 に設定されています。
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
例
次の例では、ポート 1 に対するコンフィギュレーションモードを設定し、スイッチポート
モードを Hybrid にする方法を示しています。
Console(config)#interface ethernet 1/1
Console(config-if)#switchport mode hybrid
Console(config-if)#
関連コマンド
switchport acceptable-frame-types （4-198）
switchport acceptable-frame-types
このコマンドでは、ポートで受信可能なフレームタイプを構成します。 no 形式を使用する
と、デフォルトに戻ります。
構文
switchport acceptable-frame-types {all | tagged}
no switchport acceptable-frame-types
• all - ポートは、すべてのタグ付きまたはタグなしフレームを受信可能です。
• tagged - ポートは、タグ付きフレームのみ受信します。
デフォルト設定
すべてのフレームタイプ
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
4-198
VLAN コマンド
4
コマンドの使用
すべてのフレームタイプを受信するよう設定すると、受信したタグなしフレームはデ
フォルトの VLAN に割り当てられます
例
次の例では、ポート 1 で受信するトラフィックをタグ付きフレームに制限する方法を示して
います。
Console(config)#interface ethernet 1/1
Console(config-if)#switchport acceptable-frame-types tagged
Console(config-if)#
関連コマンド
switchport mode （4-198）
switchport ingress-filtering
このコマンドでは、インターフェースでイングレスフィルタリングを有効にします。 no 形式
を使用すると、デフォルトに戻ります。
構文
[no] switchport ingress-filtering
デフォルト設定
無効
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• イングレスフィルタリングはタグ付きフレームにのみ影響します。
• イングレスフィルタリングが無効にされており、ポートがメンバーでない VLAN のタ
グが付けられたフレームを受信した場合、これらのフレームはその他すべてのポート
にフラッディングされます（このポートで明示的に禁止されている VLAN を除く）。
• イングレスフィルタリングが有効にされており、ポートがメンバーでない VLAN のタ
グが付けられたフレームを受信した場合、これらのフレームは廃棄されます。
• イングレスフィルタリングは、 GVRP や STA といった、 VLAN 非依存の BPDU フ
レームには適用されません。ただし、 GMRP など、 VLAN に依存する BPDU フレーム
には適用されます。
例
次の例では、ポート 1 のインターフェースを設定して、イングレスフィルタリングを有効に
する方法を示しています。
Console(config)#interface ethernet 1/1
Console(config-if)#switchport ingress-filtering
Console(config-if)#
4-199
4
コマンドラインインターフェース
switchport native vlan
このコマンドでは、ポートに対して PVID （デフォルト VLAN ID）を構成します。 no 形式を
使用すると、デフォルトに戻ります。
構文
switchport native vlan vlan-id
no switchport native vlan
vlan-id - ポートのデフォルト VLAN ID です
（範囲 : 1 ～ 4093、先頭に 0 は付けません）。
デフォルト設定
VLAN 1
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• インターフェースが VLAN 1 のメンバーではない場合にこの VLAN に VLAN 1 の
PVID を割り当てると、インターフェースはタグなしメンバーとして自動的に VLAN 1
に追加されます。その他すべての VLAN については、そのグループに PVID を割り当
てる前に、インターフェースをタグなしメンバーとして構成する必要があります。
• 受信可能なフレームタイプが all に設定されているか、またはスイッチポートモード
が hybrid に設定されている場合、イングレスポートに入るすべてのタグなしフレー
ムに PVID が挿入されます。
例
次の例は、ポート 1 の PVID を VLAN 3 に設定する方法を示しています。
Console(config)#interface ethernet 1/1
Console(config-if)#switchport native vlan 3
Console(config-if)#
switchport allowed vlan
このコマンドでは、選択したインターフェース上で VLAN グループを構成します。 no 形式を
使用すると、デフォルトに戻ります。
構文
switchport allowed vlan {add vlan-list [tagged | untagged] |
remove vlan-list}
no switchport allowed vlan
• add vlan-list - 追加する VLAN 識別子のリストです。
• remove vlan-list - 削除する VLAN 識別子のリストです。
• vlan-list - 連続しない VLAN 識別子はスペースなしのコンマで区切ります。 ID の範
囲を指定する場合、ハイフンを使用します。先頭に 0 は入力できません
（範囲 : 1 ～ 4093）。
4-200
VLAN コマンド
4
デフォルト設定
• デフォルトでは、すべてのポートが VLAN 1 に割り当てられます。
• デフォルトのフレームタイプはタグなしです。
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• ポート、またはスイッチポートモードが hybrid に設定されたトランクは、少なくと
も 1 つの VLAN にタグなしとして割り当てる必要があります。
• トランクのスイッチポートモードが trunk (1Q Trunk) に設定されている場合、イン
ターフェースはタグ付きメンバーとして VLAN グループに割り当てることしかでき
ません。
• フレームは、スイッチ内では必ずタグ付きです。インターフェースへの VLAN 追加時
に使用される tagged/untagged パラメータは、イグレスでフレームのタグを保持する
かまたは削除するかをスイッチに通知するものです。
• 中間のネットワークデバイスおよび接続のもう一方の端のホストで VLAN をサポー
トしていない場合、インターフェースを、これらの VLAN にタグなしメンバーとして
追加する必要があります。そうでない場合、必要なのは、最大でも 1 つの VLAN をタ
グなしとして追加することだけです。これは、インターフェースのネイティブ VLAN
に対応している必要があります。
• インターフェースの禁止リストにある VLAN が、そのインターフェースに手動で追加
されると、 VLAN はインターフェースの禁止リストから自動的に削除されます。
例
次の例は、 VLAN 1、 2、 5、 6 をポート 1 のタグ付き VLAN として受信可能リストに追加する
方法を示しています。
Console(config)#interface ethernet 1/1
Console(config-if)#switchport allowed vlan add 1,2,5,6 tagged
Console(config-if)#
switchport forbidden vlan
このコマンドでは、禁止 VLAN を構成します。 no 形式を使用すると、禁止 VLAN のリストが
削除されます。
構文
switchport forbidden vlan {add vlan-list | remove vlan-list}
no switchport forbidden vlan
• add vlan-list - 追加する VLAN 識別子のリストです。
• remove vlan-list - 削除する VLAN 識別子のリストです。
• vlan-list - 連続しない VLAN 識別子はスペースなしのコンマで区切ります。 ID の範
囲を指定する場合、ハイフンを使用します。先頭に 0 は入力できません
（範囲 : 1 ～ 4093）。
デフォルト設定
禁止リストに登録されている VLAN はありません。
4-201
4
コマンドラインインターフェース
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• このコマンドでは、VLAN が GVRP によって指定インターフェースに自動的に追加さ
れないようにします。
• VLAN が、インターフェースの受信可能 VLAN リストに追加されている場合、この
VLAN を同じインターフェースの禁止 VLAN リストに追加することはできません。
例
次の例は、ポート 1 が VLAN 3 に追加されないようにする方法を示しています。
Console(config)#interface ethernet 1/1
Console(config-if)#switchport forbidden vlan add 3
Console(config-if)#
VLAN 情報表示
表 4-62. VLAN 情報表示コマンド
コマンド
機能
モード
show vlan
VLAN 情報を表示します。
NE、 PE 4-202
ページ
show interfaces status
vlan
指定 VLAN インターフェースのステータスを表示し NE、 PE 4-155
ます。
show interfaces
switchport
インターフェースの管理上および動作上のステータ NE、 PE 4-157
スを表示します。
show vlan
このコマンドでは、 VLAN 情報を表示します。
構文
show vlan [id vlan-id | name vlan-name]
• id - VLAN ID の前に付くキーワードです。
vlan-id - 構成された VLAN の ID です（範囲 : 1 ～ 4093、先頭に 0 は付けません）。
• name - VLAN 名の前に付くキーワードです。
vlan-name - 1 ～ 32 文字の ASCII ストリングです。
デフォルト設定
すべての VLAN を表示します。
コマンドモード
Normal Exec、 Privileged Exec
4-202
VLAN コマンド
4
例
次の例は、 VLAN 1 の情報を表示する方法を示しています。
Console#show vlan id 1
VLAN ID:
Type:
Name:
Status:
Ports/Port Channels:
1
Static
DefaultVlan
Active
Eth1/ 1(S) Eth1/ 2(S)
Eth1/ 6(S) Eth1/ 7(S)
Eth1/11(S) Eth1/12(S)
Eth1/16(S) Eth1/17(S)
Eth1/21(S) Eth1/22(S)
Eth1/ 3(S)
Eth1/ 8(S)
Eth1/13(S)
Eth1/18(S)
Eth1/23(S)
Eth1/ 4(S)
Eth1/ 9(S)
Eth1/14(S)
Eth1/19(S)
Eth1/24(S)
Eth1/ 5(S)
Eth1/10(S)
Eth1/15(S)
Eth1/20(S)
Console#
プライベート VLAN の構成
プライベート VLAN では、割り当てられた VLAN 内のポート間でポートベースのセキュリ
ティおよび分割が実現されます。この節では、プライベート VLAN の構成に使用されるコマ
ンドについて説明します。
表 4-63. プライベート VLAN コマンド
コマンド
機能
モードページ
pvlan
プライベート VLAN を有効にし、構成します。
GC
4-203
show pvlan
構成したプライベート VLAN を表示します。
PE
4-204
pvlan
このコマンドでは、プライベート VLAN の有効化または構成を行います。 no 形式を使用する
と、プライベート VLAN が無効になります。
構文
pvlan [up-link interface-list down-link interface-list]
no pvlan
• up-link - アップリンクインターフェースを指定します。
• down-link - ダウンリンクインターフェースを指定します。
デフォルト設定
プライベート VLAN は定義されていません。
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• プライベート VLAN では、 VLAN 内のポート間でポートベースのセキュリティを提供
し、分離を実現できます。ダウンリンクポートのデータトラフィックは、アップリ
ンクポートとの間でのみ転送が可能です。
• （プライベート VLAN と通常の VLAN を同一スイッチ内に共存させることも可能）。
• パラメータを指定せずに pvlan コマンドを入力すると、プライベート VLAN が有効に
なります。 no pvlan を入力すると、プライベート VLAN が無効になります。
4-203
4
コマンドラインインターフェース
例
この例では、プライベート VLAN を有効にし、ポート 12 をアップリンクとして、ポート 5 ～ 8
をダウンリンクとして設定します。
Console(config)#pvlan
Console(config)#pvlan up-link ethernet 1/12 down-link ethernet 1/5-8
Console(config)#
show pvlan
このコマンドでは、構成したプライベート VLAN を表示します。
コマンドモード
Privileged Exec
例
Console#show pvlan
Private VLAN status: Enabled
Up-link port:
Ethernet 1/12
Down-link port:
Ethernet 1/5
Ethernet 1/6
Ethernet 1/7
Ethernet 1/8
Console#
プロトコルベース VLAN の構成
複数のプロトコルをサポートするのに必要なネットワークデバイスは、共通 VLAN に簡単に
グループ分けすることができません。このため、特定のプロトコルに参加するすべてのデバ
イスを網羅するには、異なる VLAN 間でトラフィックを通過させる規格外のデバイスが必要
になることがあります。ただし、この種のコンフィギュレーションでは、セキュリティや容
易なアクセシビリティといった VLAN の基本的なメリットが犠牲になります。
こうした問題を避けるため、このスイッチをプロトコルベースの VLAN で構成することによ
り、必要な各プロトコルの論理 VLAN グループに物理ネットワークを分割することができま
す。ポートでフレームが受信される際、インバウンドパケットに使用されているプロトコル
タイプに基づいて、その VLAN メンバーシップが決まります。
表 4-64. プロトコルベース VLAN コマンド
コマンド
機能
protocol-vlan
protocol-group
プロトコルグループを作成し、サポートされるプロト GC
コルを指定します。
protocol-vlan
protocol-group
VLAN にプロトコルグループをマッピングします。
show protocol-vlan
protocol-group
プロトコルグループのコンフィギュレーションを表示 PE
します。
4-207
show interfaces
protocol-vlan
protocol-group
プロトコルグループおよび対応する VLAN にマッピン PE
グされたインターフェースを表示します。
4-207
4-204
モードページ
IC
4-205
4-206
4
VLAN コマンド
プロトコルベースの VLAN を構成するには、次の手順を実行します。
1.
まず、使用したいプロトコルの VLAN グループを構成します（4-196 ページ）。必須では
ありませんが、お使いのネットワークで実行されている主な各プロトコルに対して個別
の VLAN を構成することをお勧めします。この時点ではポートメンバーを追加しないで
ください。
2.
protocol-vlan protocol-group コマンド（一般コンフィギュレーションモード）を使用
して、 VLAN に割り当てたい各プロトコルのプロトコルグループを作成します。
3.
次に、 protocol-vlan protocol-group コマンド（インターフェースコンフィギュレー
ションモード）を使用して、各インターフェースのプロトコルを適切な VLAN にマッピ
ングします。
protocol-vlan protocol-group （グループ構成）
このコマンドでは、プロトコルグループを作成するか、または特定のプロトコルをグループ
に追加をします。 no 形式を使用すると、プロトコルグループが削除されます。
構文
protocol-vlan protocol-group group-id [{add | remove} frame-type frame
protocol-type protocol]
no protocol-vlan protocol-group group-id
• group-id - このプロトコルグループのグループ識別子です
（範囲 : 1 ～ 2147483647）。
• frame1 - このプロトコルが使用するフレームタイプです
（オプション : ethernet、 rfc_1042、 llc_other）。
• protocol - プロトコルタイプです。llc_other フレームタイプに対するオプションは、
ipx_raw のみです。他のすべてのフレームタイプに対するオプションには、ip、arp、
rarp があります。
デフォルト設定
プロトコルグループは構成されていません。
コマンドモード
グローバルコンフィギュレーション
例
次の例では、プロトコルグループ 1 を作成し、プロトコルタイプが IP および ARP のイーサ
ネットフレームを指定します。
Console(config)#protocol-vlan protocol-group 1 add frame-type ethernet
protocol-type ip
Console(config)#protocol-vlan protocol-group 1 add frame-type ethernet
protocol-type arp
Console(config)#
1.
ハードウェア制限事項のため、このスイッチでは SNMP フレームタイプはサポートされていま
せん。
4-205
4
コマンドラインインターフェース
protocol-vlan protocol-group （インターフェース構成）
このコマンドでは、現在のインターフェースの VLAN にプロトコルグループをマッピングし
ます。 no 形式を使用すると、このインターフェースに対するプロトコルマッピングが削除さ
れます。
構文
protocol-vlan protocol-group group-id vlan vlan-id
no protocol-vlan protocol-group group-id vlan
• group-id - このプロトコルグループのグループ識別子です
（範囲 : 1 ～ 2147483647）。
• vlan-id - 合致するプロトコルトラフィックの転送先となる VLAN です
（範囲 : 1 ～ 4093）。
デフォルト設定
どのインターフェースにもプロトコルグループはマッピングされていません。
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• プロトコルベースの VLAN を作成する時は、このコマンドのみを使用してインター
フェースを割り当ててください。他の VLAN コマンド（4-196 ページの vlan など）を
使用してインターフェースを割り当てると、これらのインターフェースでは、関連付
けられた VLAN にすべてのプロトコルタイプのトラフィックを許可します。
• プロトコル VLAN に割り当てられたポートにフレームが入ると、このフレームは次の
方法で処理されます。
- フレームがタグ付きの場合、タグ付きフレームに適用される標準のルールに従って
処理されます。
- フレームがタグなしで、かつプロトコルタイプが合致する場合、フレームは適切な
VLAN に転送されます。
- フレームがタグなしで、プロトコルタイプが合致しない場合、フレームはこのイン
ターフェースのデフォルト VLAN に転送されます。
例
次の例では、ポート 1 に入るトラフィックのうち、プロトコルグループ 1 で指定されたプロ
トコルタイプに合致するトラフィックを VLAN 2 にマッピングします。
Console(config)#interface ethernet 1/1
Console(config-if)#protocol-vlan protocol-group 1 vlan 2
Console(config-if)#
4-206
VLAN コマンド
4
show protocol-vlan protocol-group
このコマンドでは、プロトコルグループと関連付けられたフレームおよびプロトコルタイプ
を表示します。
構文
show protocol-vlan protocol-group [group-id]
group-id - プロトコルグループのグループ識別子です（範囲 : 1 ～ 2147483647）。
デフォルト設定
すべてのプロトコルグループが表示されます。
コマンドモード
Privileged Exec
例
この例では、 IP over Ethernet に対して構成されたプロトコルグループ 1 を表示します。
Console#show protocol-vlan protocol-group
ProtocolGroup ID
Frame Type
Protocol Type
------------------ ------------- --------------1
ethernet
08 00
Console#
show interfaces protocol-vlan protocol-group
このコマンドでは、選択されたインターフェースについて、プロトコルグループから VLAN
へのマッピングを表示します。
構文
show interfaces protocol-vlan protocol-group [interface]
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
すべてのインターフェースに対するマッピングが表示されます。
コマンドモード
Privileged Exec
例
この例では、ポート 1 に入るトラフィックのうち、プロトコルグループ 1 の指定に合致する
トラフィックを VLAN 2 にマッピングします。
Console#show interfaces protocol-vlan protocol-group
Port
ProtocolGroup ID
Vlan ID
---------- ------------------ ----------Eth 1/1
1
vlan2
Console#
4-207
4
コマンドラインインターフェース
GVRP およびブリッジ拡張コマンド
GARP VLAN 登録プロトコルは、VLAN メンバーをネットワーク上のインターフェースに自動
的に登録するための VLAN 情報をスイッチ同士が交換する方法を定義します。この節では、
GVRP を個々のインターフェースで、またはスイッチ全体でグローバルに有効にする方法を
説明します。また、ブリッジ拡張 MIB に対するデフォルトのコンフィギュレーション設定を
表示する方法についても説明します。
表 4-65. GVRP およびブリッジ拡張コマンド
コマンド
機能
モード
ページ
bridge-ext gvrp
スイッチで GVRP をグローバルに有効にします。
GC
4-208
show bridge-ext
グローバルなブリッジ拡張コンフィギュレーション PE
を表示します。
4-209
switchport gvrp
インターフェースで GVRP を有効にします。
IC
4-209
switchport forbidden vlan
インターフェースの禁止 VLAN を構成します。
IC
4-201
show gvrp configuration
選択したインターフェースの GVRP コンフィギュ NE、 PE 4-210
レーションを表示します。
garp timer
選択した機能の GARP タイマーを設定します。
IC
選択した機能の GARP タイマーを表示します。
NE、 PE 4-211
show garp timer
4-210
bridge-ext gvrp
このコマンドでは、スイッチ全体で GVRP をグローバルに有効にします。 no 形式を使用する
と、無効になります。
構文
[no] bridge-ext gvrp
デフォルト設定
無効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
GVRP は、ネットワーク上のポートに VLAN メンバーを登録するための VLAN 情報を、
スイッチ同士が交換する方法について定義するものです。自動 VLAN 登録を許可し、
ローカルスイッチを超えて拡張する VLAN をサポートするには、この機能を有効にする
必要があります。
例
Console(config)#bridge-ext gvrp
Console(config)#
4-208
GVRP およびブリッジ拡張コマンド
4
show bridge-ext
このコマンドでは、ブリッジ拡張コマンドのコンフィギュレーションを表示します。
デフォルト設定
なし
コマンドモード
Privileged Exec
コマンドの使用
表示される項目に関する説明は、 3-137 ページの「VLAN 基本情報の表示」および 3-15
ページの「ブリッジ拡張機能の表示」を参照してください。
例
Console#show bridge-ext
Max support VLAN numbers:
Max support VLAN ID:
Extended multicast filtering services:
Static entry individual port:
VLAN learning:
Configurable PVID tagging:
Local VLAN capable:
Traffic classes:
Global GVRP status:
GMRP:
Console#
256
4093
No
Yes
IVL
Yes
No
Enabled
Disabled
Disabled
switchport gvrp
このコマンドでは、ポートで GVRP を有効にします。no 形式を使用すると、無効になります。
構文
[no] switchport gvrp
デフォルト設定
無効
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
例
Console(config)#interface ethernet 1/1
Console(config-if)#switchport gvrp
Console(config-if)#
4-209
4
コマンドラインインターフェース
show gvrp configuration
このコマンドでは、 GVRP が有効かどうかを表示します。
構文
show gvrp configuration [interface]
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
グローバルコンフィギュレーションおよびインターフェース固有コンフィギュレー
ションの両方を表示します。
コマンドモード
Normal Exec、 Privileged Exec
例
Console#show gvrp configuration ethernet 1/7
Eth 1/ 7:
GVRP configuration: Disabled
Console#
garp timer
このコマンドでは、 join、 leave、および leaveall タイマーの値を設定します。 no 形式を使用
すると、タイマーのデフォルト値に戻ります。
構文
garp timer {join | leave | leaveall} timer_value
no garp timer {join | leave | leaveall}
• {join | leave | leaveall} - Which timer to set.
• timer_value - タイマーの値です。
範囲 :
join:20 ～ 1000 センチ秒
leave: 60 ～ 3000 センチ秒
leaveall: 500 ～ 18000 センチ秒
デフォルト設定
• join: 20 センチ秒
• leave: 60 センチ秒
• leaveall: 1000 センチ秒
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
4-210
GVRP およびブリッジ拡張コマンド
4
コマンドの使用
• Group Address Registration Protocol は、ブリッジ LAN 内のクライアントサービスに
対するクライアント属性を登録または登録解除するため、GVRP および GMRP によっ
て使用されます。 GARP タイマーのデフォルト値は、メディアアクセス方法やデータ
レートの影響は受けません。これらの値は、 GMRP または GVRP による登録 / 登録解
除が困難でない限り、変更しないでください。
• タイマー値は、すべての VLAN 上にあるすべてのポートの GVRP に適用されます。
• タイマー値には次の制約を加える必要があります。
- leave >= (2 x join)
- leaveall > leave
注 : 同じネットワークに接続されているレイヤー 2 デバイスの GVRP タイマーは、すべて同じ
値に設定してください。設定値が異なると、 GVRP が正常に動作しないことがあります。
例
Console(config)#interface ethernet 1/1
Console(config-if)#garp timer join 100
Console(config-if)#
関連コマンド
show garp timer （4-211）
show garp timer
このコマンドでは、選択したインターフェースの GARP タイマーを表示します。
構文
show garp timer [interface]
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
すべての GARP タイマーを表示します。
コマンドモード
Normal Exec、 Privileged Exec
例
Console#show garp timer ethernet 1/1
Eth 1/ 1 GARP timer status:
Join timer:
20 centiseconds
Leave timer:
60 centiseconds
Leaveall timer: 1000 centiseconds
Console#
関連コマンド
garp timer （4-210）
4-211
4
コマンドラインインターフェース
プライオリティコマンド
この節で説明するコマンドを使用すると、輻輳が原因でトラフィックがスイッチにバッファ
リングされた時、どのデータパケットに高い優先度を持たせるかを指定できます。このスイッ
チでは、各ポートで 8 つのプライオリティキューによる CoS がサポートされます。ポートの
高プライオリティキュー内のデータパケットは、低プライオリティキューのパケットより先
に送信されます。各インターフェースのデフォルトプライオリティ、各キューの相対的加重、
スイッチのプライオリティキューへのフレームプライオリティタグのマッピングを設定す
ることができます。
表 4-66. プライオリティコマンド
コマンドグループ
機能
プライオリティ
（レイヤー 2）
タグなしフレームのデフォルトプライオリティの構成、キューの 4-212
重みの設定、 CoS （サービスクラス）タグのハードウェアキュー
へのマッピングを行います。
ページ
プライオリティ
TCP ポート、 IP 優先度タグ、または IP DSCP タグを CoS （サー 4-218
（レイヤー 3 および 4）ビスクラス）値にマッピングします。
プライオリティコマンド（レイヤー 2）
表 4-67. プライオリティコマンド（レイヤー 2）
コマンド
機能
queue mode
キューモードをストリクトプライオリティまたは WRR GC
（加重ラウンドロビン）に設定します。
モードページ
4-213
switchport priority
default
タグなし入力フレームのポートプライオリティを設定し IC
ます。
4-213
queue bandwidth
プライオリティキューにラウンドロビンの重みを割り当 IC
てます。
4-214
queue cos-map
プライオリティキューに CoS （サービスクラス）値を割 IC
り当てます。
4-215
show queue mode
現在のキューモードを表示します。
PE
4-216
show queue bandwidth プライオリティキューに割り当てられたラウンドロビン PE
重みを表示します。
4-217
show queue cos-map
CoS （サービスクラス）マップを表示します。
PE
4-217
show interfaces
switchport
インターフェースの管理上および動作上のステータスを PE
表示します。
4-157
4-212
プライオリティコマンド
4
queue mode
このコマンドでは、 CoS （サービスクラス）プライオリティキューに対するキューモードを、
ストリクトプライオリティまたは WRR （加重ラウンドロビン）に設定します。 no 形式を使
用すると、デフォルト値に戻ります。
構文
queue mode {strict | wrr}
no queue mode
• strict - イグレスキューを順番に処理し、プライオリティの低いキューを処理する
前に、プライオリティの高いキュー内のすべてのトラフィックを送信します。
• wrr - 加重ラウンドロビンは、各キュー 0 ～ 7 に関連付けられたスケジューリング
重み 1、2、4、6、8、10、12、14 を使用して、イグレスポートで帯域幅を共有します。
デフォルト設定
WRR （加重ラウンドロビン）
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
高プライオリティキュー内のすべてのトラフィックを低プライオリティキューのもの
より先に処理するストリクトルールに従ってキューを処理するか、各キューの相対的加
重を指定する加重ラウンドロビン（WRR）キューイングを使用するようスイッチを設
定できます。 WRR では、各キューにあらかじめ定義された相対的加重によって、スイッ
チが次のキューに移る前に各キューを処理するサービス時間の割合（%）が決定されま
す。これにより、ストリクトプライオリティキューイングで発生する可能性のある
キュー先頭のパケットによるブロックを防ぐことができます。
例
次の例では、キューモードをストリクトプライオリティサービスモードに設定します。
Console(config)#queue mode strict
Console(config)#
switchport priority default
このコマンドでは、タグなし入力フレームのプライオリティを設定します。 no 形式を使用す
ると、デフォルト値に戻ります。
構文
switchport priority default default-priority-id
no switchport priority default
default-priority-id - タグなしイングレストラフィックのプライオリティ番号です。プ
ライオリティは 0 ～ 7 の数値です。 7 が最高のプライオリティです。
デフォルト設定
プライオリティは設定されていません。インターフェースで受信されるタグなしフレー
ムのデフォルト値は 0 です。
4-213
4
コマンドラインインターフェース
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• プライオリティマッピングの優先度は、IP ポート、IP 優先度または IP DSCP、デフォ
ルトのスイッチポートプライオリティの順です。
• デフォルトプライオリティは、すべてのフレームタイプを受理（タグなしおよびタ
グ付きフレームを両方受信）するよう設定されたポートで受信したタグなしフレーム
に適用されます。このプライオリティは IEEE 802.1Q VLAN タグ付きフレームには適
用されません。着信フレームが IEEE 802.1Q VLAN タグ付きフレームの場合は、IEEE
802.1p ユーザープライオリティビットが使用されます。
• このスイッチは、各ポートにつき 8 つのプライオリティキューをサポートしていま
す。このスイッチは、 WRR （加重ラウンドロビン）を使用するように構成されてい
ます。これを表示するには、 show queue bandwidth コマンドを使用します。 VLAN
タグのないインバウンドフレームは、入力ポートのデフォルトイングレスユーザー
プライオリティによるタグが付けられ、出力ポートの該当するプライオリティキュー
に置かれます。すべてのイングレスポートに対するデフォルトのプライオリティは 0
です。したがって、プライオリティタグのないインバウンドフレームは、出力ポー
トのキュー 0 に置かれます（出力ポートが、関連付けられた VLAN のタグなしメン
バーである場合、これらのフレームは、送信前にすべての VLAN タグを削除されるこ
とに注意してください）。
例
次の例は、ポート 3 のデフォルトプライオリティを 5 に設定する方法を示しています。
Console(config)#interface ethernet 1/3
Console(config-if)#switchport priority default 5
queue bandwidth
このコマンドでは、 WRR （加重ラウンドロビン）の重みを 8 つの CoS （サービスクラス）
プライオリティキューに割り当てます。no 形式を使用すると、デフォルトの重みに戻ります。
構文
queue bandwidth weight1...weight4
no queue bandwidth
weight1...weight4 - キュー 0 ～ 7 の重みの割合により、 WRR スケジューラで使用さ
れる重みが決まります。（範囲 : 1 ～ 15）。
デフォルト設定
重み 1、 2、 4、 6、 8、 10、 12、 14 が、それぞれキュー 0 ～ 7 に割り当てられます。
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
WRR は、スケジューリングの重みを定義することにより、イグレスポートで共有され
る帯域幅を制御します。
4-214
プライオリティコマンド
4
例
この例には、各プライオリティキューに WRR 加重を割り当てる方法が示されています。
Console#configure
Console(config)#int eth 1/5
Console(config-if)#queue bandwidth 1 3 5 7 9 11 13 15
Console(config-if)#
関連コマンド
show queue bandwidth （4-217）
queue cos-map
このコマンドでは、プライオリティキュー（ハードウェアの出力キュー 0 ～ 7）に CoS （サー
ビスクラス）値を割り当てます。 no 形式を使用すると、 CoS マッピングがデフォルト値に
設定されます。
構文
queue cos-map queue_id [cos1 ... cosn]
no queue cos-map
• queue_id - プライオリティキューの ID です。
範囲は 0 ～ 7 です。 7 が最高のプライオリティキューです。
• cos1 ... cosn - キュー ID にマッピングされる CoS 値。スペースで区切られた数の
リストです。 CoS 値は 0 ～ 7 の数値で、 7 が最高のプライオリティです。
デフォルト設定
このスイッチでは、 WRR （加重ラウンドロビン）キューイングによるプライオリティ
キューを各ポートにつき 8 つ使用して、 CoS （サービスクラス）をサポートしていま
す。個別の 8 つのトラフィッククラスは、 IEEE 802.1p で定義されています。デフォル
トのプライオリティレベルは、次に示すとおり、 IEEE 802.1p 規格の勧告に基いて割り
当てられています。
表 4-68. デフォルトの CoS プライオリティレベル
キュー
0
1
2
3
4
5
6
7
プライオリティ
2
0
1
3
4
5
6
7
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• イングレスポートで割り当てられた CoS 値は、イグレスポートでも使用されます。
• このコマンドでは、すべてのインターフェースの CoS プライオリティを設定します。
4-215
4
コマンドラインインターフェース
例
次の例は、 CoS 割当てを 1 対 1 マッピングに変更する方法を示します。
Console(config)#interface ethernet 1/1
Console(config-if)#queue cos-map 0 0
Console(config-if)#queue cos-map 1 1
Console(config-if)#queue cos-map 2 2
Console(config-if)#exit
Console#show queue cos-map ethernet 1/1
Information of Eth 1/1
Traffic Class : 0 1 2 3 4 5 6 7
Priority Queue: 0 1 2 3 4 5 6 7
Console#
関連コマンド
show queue cos-map （4-217）
show queue mode
このコマンドでは、現在のキューモードを表示します。
デフォルト設定
なし
コマンドモード
Privileged Exec
例
Console#sh queue mode
Wrr status: Enabled
Console#
4-216
プライオリティコマンド
4
show queue bandwidth
このコマンドでは、 8 つのプライオリティキューに対する WRR （加重ラウンドロビン）の
帯域幅割当てを表示します。
デフォルト設定
なし
コマンドモード
Privileged Exec
例
Console#show queue bandwidth
Information of Eth 1/1
Queue ID Weight
-------- -----0
1
1
2
2
4
3
6
4
8
5
10
6
12
7
14
.
.
.
show queue cos-map
このコマンドでは、 CoS （サービスクラス）プライオリティのマッピングを表示します。
構文
show queue cos-map [interface]
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
なし
コマンドモード
Privileged Exec
例
Console#show queue
Information of Eth
CoS Value:
0
Priority Queue: 2
Console#
cos-map ethernet 1/1
1/1
1 2 3 4 5 6 7
0 1 3 4 5 6 7
4-217
4
コマンドラインインターフェース
プライオリティコマンド（レイヤー 3 および 4）
表 4-69. プライオリティコマンド（レイヤー 3 および 4）
コマンド
機能
map ip port
TCP/UDP の CoS （サービスクラス）マッピングを有効 GC
にします。
モードページ
4-218
map ip port
TCP/UDP ソケットを CoS （サービスクラス）にマッピ IC
ングします。
4-219
map ip precedence
IP 優先度の CoS （サービスクラス）マッピングを有効に GC
します。
4-219
map ip precedence
IP 優先度の値を CoS （サービスクラス）にマッピングし IC
ます。
4-220
map ip dscp
IP DSCP の CoS （サービスクラス）マッピングを有効に GC
します。
4-221
map ip dscp
IP DSCP の値を CoS （サービスクラス）にマッピングし IC
ます。
4-221
show map ip port
IP ポートマッピングを表示します。
PE
4-222
show map ip
precedence
IP 優先度のマッピングを表示します。
PE
4-223
show map ip dscp
IP DSCP マッピングを表示します。
PE
4-224
map ip port （グローバルコンフィギュレーション）
このコマンドでは、 IP ポートマッピング（TCP/UDP ソケットに対する CoS マッピング）を
有効にします。 no 形式を使用すると、 IP ポートマッピングが無効になります。
構文
[no] map ip port
デフォルト設定
無効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
プライオリティマッピングの優先度は、 IP ポート、 IP 優先度または IP DSCP、デフォ
ルトのスイッチポートプライオリティの順です。
例
次の例は、 TCP/UDP ポートマッピングをグローバルに有効にする方法を示しています。
Console(config)#map ip port
Console(config)#
4-218
プライオリティコマンド
4
map ip port （インターフェースコンフィギュレーション）
このコマンドでは、 IP ポートプライオリティ（TCP/UDP ポートプライオリティ）を設定し
ます。 no 形式を使用すると、特定の設定が削除されます。
構文
map ip port port-number cos cos-value
no map ip port port-number
• port-number - 16 ビットの TCP/UDP ポート番号です（範囲 : 0 ～ 65535）。
• cos-value - CoS （サービスクラス）値です（範囲 : 0 ～ 7）。
デフォルト設定
なし
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• プライオリティマッピングの優先度は、IP ポート、IP 優先度または IP DSCP、デフォ
ルトのスイッチポートプライオリティの順です。
• このコマンドでは、すべてのインターフェースの IP ポートプライオリティを設定し
ます。
例
次の例は、 HTTP トラフィックを CoS 値 0 にマッピングする方法を示しています。
Console(config)#interface ethernet 1/5
Console(config-if)#map ip port 80 cos 0
Console(config-if)#
map ip precedence （グローバルコンフィギュレーション）
このコマンドでは、 IP 優先度マッピング（IP タイプオブサービス）を有効にします。 no 形
式を使用すると、 IP 優先度マッピングが無効になります。
構文
[no] map ip precedence
デフォルト設定
無効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• プライオリティマッピングの優先度は、IP ポート、IP 優先度または IP DSCP、デフォ
ルトのスイッチポートプライオリティの順です。
• IP 優先度と IP DSCP を両方同時に有効にすることはできません。いずれか一方のプ
ライオリティタイプを有効にすると、もう一方のタイプが自動的に無効になります。
4-219
4
コマンドラインインターフェース
例
次の例は、 IP 優先度マッピングをグローバルに有効にする方法を示しています。
Console(config)#map ip precedence
Console(config)#
map ip precedence （インターフェースコンフィギュレーション）
このコマンドでは、 IP 優先度プライオリティ（IP タイプオブサービスプライオリティ）を
設定します。 no 形式を使用すると、デフォルトのテーブルに戻ります。
構文
map ip precedence ip-precedence-value cos cos-value
no map ip precedence
• precedence-value - 3 ビットの優先度値です（範囲 : 0 ～ 7）。
• cos-value - CoS （サービスクラス）値です（範囲 : 0 ～ 7）。
デフォルト設定
次のリストは、デフォルトのプライオリティマッピングを示します。
表 4-70. IP 優先度の CoS 値へのマッピング
IP 優先度値
0
1
2
3
4
5
6
7
CoS 値
0
1
2
3
4
5
6
7
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• プライオリティマッピングの優先度は、IP ポート、IP 優先度または IP DSCP、デフォ
ルトのスイッチポートプライオリティの順です。
• IP 優先度値は、 IEEE 802.1p 規格の勧告に基いてデフォルトの CoS （サービスクラ
ス）値に 1 対 1 でマッピングされてから、ハードウェアの 8 つのプライオリティ
キューにマッピングされています。
• このコマンドでは、すべてのインターフェースの IP 優先度を設定します。
例
次の例は、 IP 優先度値 1 を CoS 値 0 にマッピングする方法を示しています。
Console(config)#interface ethernet 1/5
Console(config-if)#map ip precedence 1 cos 0
Console(config-if)#
4-220
プライオリティコマンド
4
map ip dscp （グローバルコンフィギュレーション）
このコマンドでは、 IP DSCP マッピング（差別化サービスコードポイントマッピング）を
有効にします。 no 形式を使用すると、 IP DSCP マッピングが無効になります。
構文
[no] map ip dscp
デフォルト設定
無効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• プライオリティマッピングの優先度は、IP ポート、IP 優先度または IP DSCP、デフォ
ルトのスイッチポートプライオリティの順です。
• IP 優先度と IP DSCP を両方同時に有効にすることはできません。いずれか一方のプ
ライオリティタイプを有効にすると、もう一方のタイプが自動的に無効になります。
例
次の例は、 IP DSCP マッピングをグローバルに有効にする方法を示しています。
Console(config)#map ip dscp
Console(config)#
map ip dscp ( インターフェースコンフィギュレーション )
このコマンドでは、 IP DSCP プライオリティ（差別化サービスコードポイントプライオリ
ティ）を設定します。 no 形式を使用すると、デフォルトのテーブルに戻ります。
構文
map ip dscp dscp-value cos cos-value
no map ip dscp
• dscp-value - 8 ビットの DSCP 値です（範囲 : 0 ～ 63）。
• cos-value - CoS （サービスクラス）値です（範囲 : 0 ～ 7）。
4-221
4
コマンドラインインターフェース
デフォルト設定
次の表に、 DSCP のデフォルト値を示します。表に記載されていない DSCP 値はすべて
CoS 値 0 にマップされます。
表 4-71. IP DSCP の CoS 値へのマッピング
IP DSCP 値
CoS 値
0
0
8
1
10, 12, 14, 16
2
18, 20, 22, 24
3
26, 28, 30, 32, 34, 36
4
38, 40, 42
5
48
6
46, 56
7
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• プライオリティマッピングの優先度は、IP ポート、IP 優先度または IP DSCP、デフォ
ルトのスイッチポートプライオリティの順です。
• DSCP プライオリティ値は、IEEE 802.1p 規格の勧告に基いてデフォルトの CoS（サー
ビスクラス）値にマッピングされてから、ハードウェアの 8 つのプライオリティ
キューにマッピングされています。
• このコマンドでは、すべてのインターフェースの IP DSCP プライオリティを設定します。
例
次の例は、 IP DSCP 値 1 を CoS 値 0 にマッピングする方法を示しています。
Console(config)#interface ethernet 1/5
Console(config-if)#map ip dscp 1 cos 0
Console(config-if)#
show map ip port
このコマンドでは、 IP ポートプライオリティのマッピングを表示します。
構文
show map ip port [interface]
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
なし
4-222
プライオリティコマンド
4
コマンドモード
Privileged Exec
例
次の例は、 HTTP トラフィックが CoS 値 0 にマッピングされていることを示しています。
Console#show map ip port
TCP port mapping status: disabled
Port
Port no. COS
--------- -------- --Eth 1/ 5
80
0
Console#
関連コマンド
map ip port （グローバルコンフィギュレーション）（4-218）
map ip port （インターフェースコンフィギュレーション）（4-219）
show map ip precedence
このコマンドでは、 IP 優先度プライオリティのマッピングを表示します。
構文
show map ip precedence [interface]
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
なし
コマンドモード
Privileged Exec
例
Console#show map ip precedence ethernet 1/5
Precedence mapping status: disabled
Port
Precedence COS
--------- ---------- --Eth 1/ 5
0
0
Eth 1/ 5
1
1
Eth 1/ 5
2
2
Eth 1/ 5
3
3
Eth 1/ 5
4
4
Eth 1/ 5
5
5
Eth 1/ 5
6
6
Eth 1/ 5
7
7
Console#
4-223
4
コマンドラインインターフェース
関連コマンド
map ip precedence （グローバルコンフィギュレーション）（4-219）
map ip precedence （インターフェースコンフィギュレーション）（4-220）
show map ip dscp
このコマンドでは、 IP DSCP プライオリティのマッピングを表示します。
構文
show map ip dscp [interface]
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
なし
コマンドモード
Privileged Exec
例
Console#show map ip dscp ethernet 1/1
DSCP mapping status: disabled
Port
DSCP COS
--------- ---- --Eth 1/ 1
0
0
Eth 1/ 1
1
0
Eth 1/ 1
2
0
Eth 1/ 1
3
0
.
.
.
Eth 1/ 1
Eth 1/ 1
Eth 1/ 1
Console#
61
62
63
0
0
0
関連コマンド
map ip dscp （グローバルコンフィギュレーション）（4-221）
map ip dscp ( インターフェースコンフィギュレーション ) （4-221）
4-224
QoS （サービス品質）コマンド
4
QoS （サービス品質）コマンド
この節では、 Differentiated Services （DiffServ; 差別化されたサービス）のクラス分けの基準
とサービスポリシーを構成するコマンドについて説明します。アクセスリスト、 IP 優先度ま
たは DSCP の値、 VLAN に基づいてトラフィックをクラス分けすることができます。アクセ
スリストを使用すると、各パケットに含まれるレイヤー 2、レイヤー 3、レイヤー 4 情報に
基づいてトラフィックを選択できます。
表 4-72. QoS （サービス品質）コマンド
コマンド
機能
モードページ
class-map
トラフィックタイプ用のクラスマップを作成します。
GC
4-226
match
トラフィックのクラス分けに使用される基準を定義します。 CM
4-227
policy-map
複数インタフェースのポリシーマップを作成します。
GC
4-228
class
施行するポリシーに対してトラフィッククラス分けを定 PM
義します。
4-229
set
パケットに CoS、 DSCP、 IP 優先度の値を設定すること PM-C
により、 IP トラフィックをクラス分けします。
4-230
police
クラス分けされたトラフィックのエンフォーサを定義し PM-C
ます。
4-230
service-policy
policy-map コマンドで定義されるポリシーマップを、特 IC
定インターフェースの入力に適用します。
4-231
show class-map
トラフィックのクラス分けに使用される合致基準を定義 PE
する QoS クラスマップを表示します。
4-232
show policy-map
着信トラフィックのクラス分け基準を定義する QoS ポ PE
リシーマップを表示します。帯域幅制限用のポリサーを
含めることもできます。
4-232
show policy-map
interface
指定インターフェース上のすべてのサービスポリシーに PE
対して設定されたすべてのクラスのコンフィギュレー
ションを表示します。
4-233
イングレストラフィックの特定のカテゴリに対するサービスポリシーを作成するには、次の
手順を実行します。
1.
2.
3.
4.
5.
6.
class-map コマンドを使用して、トラフィックの特定のカテゴリに対するクラス名を指
定し、クラスマップコンフィギュレーションモードに入ります。
match コマンドを使用して、アクセスリスト、 DSCP または IP 優先度の値、または
VLAN に基づいてトラフィックのタイプを選択します。
match コマンドにより指定された基準でのフィルタリングを有効にするため、ACL マス
クを設定します。
policy-map コマンドを使用して、イングレストラフィックを処理する特定の方法に対
するポリシー名を指定し、ポリシーマップコンフィギュレーションモードに入ります。
class コマンドを使用してクラスマップを特定し、ポリシーマップクラスコンフィ
ギュレーションモードに入ります。1 つのポリシーマップに複数のクラスステートメン
トを含めることができます。
合致するトラフィッククラスに対する QoS 値を変更するには、set コマンドを使用しま
す。また、平均フローとバーストレートを監視し、指定レートを超えるトラフィックを
廃棄するか、または指定レートを超えるトラフィックに対する DSCP サービスレベルを
縮小するには、 policer コマンドを使用します。
4-225
4
7.
コマンドラインインターフェース
service-policy コマンドを使用して、特定インターフェースにポリシーマップを割り当
てます。
注 : 1. クラスマップごとにルールを 1 つのみ構成できます。ただし、 1 つのポリシーマップに複
数のクラスを含めることができます。
2. ポリシーマップを作成する前に、クラスマップを作成する必要があります。
class-map
このコマンドでは、指定したクラスにパケットを合致させるためのクラスマップを作成し、
クラスマップコンフィギュレーションモードに入ります。 no 形式を使用すると、クラス
マップが削除され、グローバルコンフィギュレーションモードに戻ります。
構文
[no] class-map class-map-name [match-any]
• match-any - クラスマップ内のどの条件にも合致します。
• class-map-name - クラスマップの名前です（範囲 : 1 ～ 32 文字）。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• クラスマップを指定し、クラスマップコンフィギュレーションモードに入るには、
最初にこのコマンドを入力します。次に、 match コマンド（4-227 ページ）を使用し
て、このクラスマップにクラス分けされるイングレストラフィックの基準を指定し
ます。
• match コマンドは、クラスマップごとに 1 つのみ許可されます。したがって、
match-any フィールドは、クラスマップごとに単独の match コマンドにより指定さ
れた基準を参照することになります。
• クラスマップは ACL （アクセス制御リスト）エンジンを使用します。したがって、
match コマンドで指定した基準のフィルタリングを有効にするには、ACL マスクを設
定する必要があります。適切な ACL マスクを構成する方法に関する詳細は、4-96 ペー
ジの「mask (IP ACL)」または 4-105 ページの「mask (MAC ACL)」を参照してください。
• クラスマップをポリシーマップ（4-228 ページ）と連携して使用することにより、特
定インターフェースのサービスポリシー（4-231 ページ）を作成し、パケットのクラ
ス分け、サービスタグ付け、帯域幅ポリシングを定義することができます。
例
この例では、「rd_class」というクラスマップを作成し、 DSCP サービス値 3 にマークされた
パケットに合致するよう設定します。
Console(config)#class-map rd_class match-any
Console(config-cmap)#match ip dscp 3
Console(config-cmap)#exit
Console(config)#access-list ip mask-precedence in
Console(config-ip-mask-acl)#mask any any dscp
Console(config-ip-mask-acl)#
4-226
QoS （サービス品質）コマンド
4
関連コマンド
show class-map （4-232）
match
このコマンドでは、トラフィックのクラス分けに使用される基準を定義します。 no 形式を使
用すると、合致基準が削除されます。
構文
[no] match {access-list acl-name | ip dscp dscp | ip precedence
ip-precedence | vlan vlan}
• acl-name - ACL （アクセス制御リスト）の名前です。標準 ACL または拡張 IP ACL
および MAC ACL を含め、任意のタイプの ACL を指定できます
（範囲 : 1 ～ 16 文字）。
• dscp - DSCP 値です（範囲 : 0 ～ 63）。
• ip-precedence - IP 優先度の値です（範囲 : 0 ～ 7）。
• vlan - VLAN です（範囲 : 1 ～ 4094）。
デフォルト設定
なし
コマンドモード
クラスマップコンフィギュレーション
コマンドの使用
• クラスマップを指定し、クラスマップコンフィギュレーションモードに入るには、
最初に class-map コマンドを入力します。次に、 match コマンドを使用して、この
クラスマップに適合するために合致する必要のあるイングレストラフィック内の
フィールドを指定します。
• match コマンドは、クラスマップごとに 1 つのみ入力できます。
• クラスマップは ACL （アクセス制御リスト）エンジンを使用します。したがって、
match コマンドで指定した基準のフィルタリングを有効にするには、ACL マスクを設
定する必要があります。適切な ACL マスクを構成する方法に関する詳細は、4-96 ペー
ジの「mask (IP ACL)」および 4-105 ページの「mask (MAC ACL)」を参照してください。
例
この例では、「rd_class#1」というクラスマップを作成し、 DSCP サービス値 3 にマークされ
たパケットに合致するよう設定します。
Console(config)#class-map rd_class#1_ match-any
Console(config-cmap)#match ip dscp 3
Console(config-cmap)#exit
Console(config)#access-list ip mask-precedence in
Console(config-ip-mask-acl)#mask any any dscp
Console(config-ip-mask-acl)#
4-227
4
コマンドラインインターフェース
この例では、「rd_class#2」というクラスマップを作成し、 IP 優先度サービス値 5 にマーク
されたパケットに合致するよう設定します。
Console(config)#class-map rd_class#2 match-any
Console(config-cmap)#match ip precedence 5
Console(config-cmap)#exit
Console(config)#access-list ip mask-precedence in
Console(config-ip-mask-acl)#mask any any precedence
Console(config-ip-mask-acl)#
この例では、「rd_class#3」というクラスマップを作成し、 VLAN 1 にマークされたパケット
に合致するよう設定します。
Console(config)#class-map rd_class#3 match-any
Console(config-cmap)#match vlan 1
Console(config-cmap)#exit
Console(config)#access-list mac mask-precedence in
Console(config-ip-mask-acl)#mask any any vid 1
Console(config-ip-mask-acl)#
policy-map
このコマンドでは、複数のインターフェースに接続可能なポリシーマップを作成し、ポリシー
マップコンフィギュレーションモードに入ります。 no 形式を使用すると、ポリシーマップ
が削除され、グローバルコンフィギュレーションモードに戻ります。
構文
[no] policy-map policy-map-name
policy-map-name - ポリシーマップの名前です（範囲 : 1 ～ 32 文字）。
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• ポリシーマップの名前を指定するには、 policy-map コマンドを使用します。次に、
class コマンドを使用して、クラスマップに定義された基準に合致するトラフィック
用ポリシーを構成します。
• 1 つのポリシーマップに複数のクラスステートメントを含めることができます。ま
た、 service-policy コマンド（4-231 ページ）により、これらを同じインターフェー
スに適用することも可能です。
• クラスマップをポリシーマップに割り当てる前に、クラスマップ（4-228 ページ）を
作成する必要があります。
4-228
QoS （サービス品質）コマンド
4
例
この例では、「rd_policy」というポリシーを作成し、 class コマンドを使用して、予め定義さ
れた「rd_class」を指定し、 set コマンドを使用して、着信パケットが受け取るサービスをク
ラス分けし、次に police コマンドを使用して、平均帯域幅を 100,000 Kbps、バーストレー
トを 1522 バイトに制限し、違反パケットを廃棄するよう応答を構成します。
Console(config)#policy-map rd_policy
Console(config-pmap)#class rd_class
Console(config-pmap-c)#set ip dscp 3
Console(config-pmap-c)#police 100000 1522 exceed-action drop
Console(config-pmap-c)#
class
このコマンドでは、ポリシーが機能するトラフィッククラス分けを定義し、ポリシーマップ
クラスコンフィギュレーションモードに入ります。 no 形式を使用すると、クラスマップが
削除され、ポリシーマップコンフィギュレーションモードに戻ります。
構文
[no] class class-map-name
class-map-name - クラスマップの名前です（範囲 : 1 ～ 32 文字）。
デフォルト設定
なし
コマンドモード
ポリシーマップコンフィギュレーション
コマンドの使用
• ポリシーマップコンフィギュレーションモードに入るには、policy-map コマンドを
使用してポリシーマップを指定します。次に、 class コマンドを使用して、ポリシー
マップクラスコンフィギュレーションモードに入ります。最後に、set および police
コマンドを使用して、合致基準を指定します。ここで、
- set コマンドは、 IP パケットが受け取るサービスをクラス分けします。
- police コマンドでは、最大スループット、バーストレート、ポリシー違反に対す
るアクションを定義します。
• 現在は、クラスマップごとに 1 つのルールしか構成できませんが、ポリシーマップ
に対しては 1 つまたは複数のクラスを割り当てることが可能です。
例
この例では、「rd_policy」というポリシーを作成し、 class コマンドを使用して、予め定義さ
れた「rd_class」を指定し、 set コマンドを使用して、着信パケットが受け取るサービスをク
ラス分けし、次に police コマンドを使用して、平均帯域幅を 100,000 Kbps、バーストレー
トを 1522 バイトに制限し、違反パケットを廃棄するよう応答を構成します。
Console(config)#policy-map rd_policy
Console(config-pmap)#class rd_class
Console(config-pmap-c)#set ip dscp 3
Console(config-pmap-c)#police 100000 1522 exceed-action drop
Console(config-pmap-c)#
4-229
4
コマンドラインインターフェース
set
このコマンドでは、（4-227 ページの match コマンドにより指定されたとおり）合致するパ
ケットに CoS、 DSCP、 IP 優先度の値を設定することにより、 IP トラフィックにサービスを
提供します。 no 形式を使用すると、トラフィックのクラス分けが削除されます。
構文
[no] set {cos new-cos | ip dscp new-dscp | ip precedence new-precedence}
• new-cos - CoS （サービスクラス）の新規値です（範囲 : 0 ～ 7）。
• new-dscp - DSCP（差別化サービスコードポイント）の新規値です（範囲 : 0 ～ 63）。
• new-precedence- IP 優先度の新規値です（範囲 : 0 ～ 7）。
デフォルト設定
なし
コマンドモード
ポリシーマップクラスコンフィギュレーション
例
この例では、「rd_policy」というポリシーを作成し、 class コマンドを使用して、予め定義さ
れた「rd_class」を指定し、 set コマンドを使用して、着信パケットが受け取るサービスをク
ラス分けし、次に police コマンドを使用して、平均帯域幅を 100,000 Kbps、バーストレー
トを 1522 バイトに制限し、違反パケットを廃棄するよう応答を構成します。
Console(config)#policy-map rd_policy
Console(config-pmap)#class rd_class
Console(config-pmap-c)#set ip dscp 3
Console(config-pmap-c)#police 100000 1522 exceed-action drop
Console(config-pmap-c)#
police
このコマンドでは、クラス分けされたトラフィックに対するポリサーを定義します。 no 形式
を使用すると、ポリサーが削除されます。
構文
[no] police rate-kbps burst-byte [exceed-action {drop | set}]
• rate-kbps - レートをキロビット / 秒（Kbps）で指定します
（範囲 : 1 ～ 100000 kbps またはポートの最大スピード、いずれか低いほうの値）。
• burst-byte - バーストをバイトで指定します（範囲 : 64 ～ 1522 バイト）。
• drop - 指定されたレートまたはバーストレートを超過時、ドロップは廃棄されます。
• set - DSCP サービスを指定の値に設定します（範囲 : 0 ～ 63）。
デフォルト設定
out-of-profile パケットを廃棄します。
コマンドモード
ポリシーマップクラスコンフィギュレーション
4-230
QoS （サービス品質）コマンド
4
コマンドの使用
• ファーストイーサネットおよびギガビットイーサネットのイングレスポートに対し
ては最大 63 のポリサー（クラスマップ）、 10G イーサネットのイングレスポートに
対しては最大 225 のポリサーを構成することができます。
• ポリシングは、トークンバケットに基づいて行われます。ここで、バケットの深さ
（バケットがオーバーフローする前の最大バースト）は、 burst-byte フィールドで指定
された値になります。また、バケットからトークンが削除される平均レートは、
rate-bps オプションで指定された値になります。
例
この例では、「rd_policy」というポリシーを作成し、 class コマンドを使用して、予め定義さ
れた「rd_class」を指定し、 set コマンドを使用して、着信パケットが受け取るサービスをク
ラス分けし、次に police コマンドを使用して、平均帯域幅を 100,000 Kbps、バーストレー
トを 1522 バイトに制限し、違反パケットを廃棄するよう応答を構成します。
Console(config)#policy-map rd_policy
Console(config-pmap)#class rd_class
Console(config-pmap-c)#set ip dscp 3
Console(config-pmap-c)#police 100000 1522 exceed-action drop
Console(config-pmap-c)#
service-policy
このコマンドでは、 policy-map コマンドで定義されるポリシーマップを、特定インター
フェースのイングレスキューに適用します。 no 形式を使用すると、このインターフェースか
らポリシーマップが削除されます。
構文
[no] service-policy input policy-map-name
• input - 入力トラフィックに適用します。
• policy-map-name - このインターフェースのポリシーマップの名前です
（範囲 : 1 ～ 32 文字）。
デフォルト設定
インターフェースにポリシーマップは適用されていません。
コマンドモード
インターフェースコンフィギュレーション（イーサネット、ポートチャネル）
コマンドの使用
• ポリシーマップは、インターフェースに 1 つのみ割り当てることができます。
• 最初にクラスマップを定義し、クラスマップに定義された基準に合致するよう ACL
マスクを設定した後、ポリシーマップを定義する必要があります。最後に、
service-policy コマンドを使用して、ポリシーマップを必要なインターフェースにバ
インドします。
4-231
4
コマンドラインインターフェース
例
この例では、イングレスインターフェースにサービスポリシーを適用します。
Console(config)#interface ethernet 1/1
Console(config-if)#service-policy input rd_policy
Console(config-if)#
show class-map
このコマンドでは、トラフィックのクラス分けに使用される合致基準を定義する QoS クラス
マップを表示します。
構文
show class-map [class-map-name]
class-map-name - クラスマップの名前です（範囲 : 1 ～ 32 文字）。
デフォルト設定
すべてのクラスマップを表示します。
コマンドモード
Privileged Exec
例
Console#show class-map
Class Map match-any rd_class#1
Match ip dscp 3
Class Map match-any rd_class#2
Match ip precedence 5
Class Map match-any rd_class#3
Match vlan 1
Console#
show policy-map
このコマンドでは、着信トラフィックのクラス分け基準を定義する QoS ポリシーマップを表
示します。帯域幅制限用のポリサーを含めることもできます。
構文
show policy-map [policy-map-name [class class-map-name]]
• policy-map-name - ポリシーマップの名前です（範囲 : 1 ～ 32 文字）。
• class-map-name - クラスマップの名前です（範囲 : 1 ～ 32 文字）。
デフォルト設定
すべてのポリシーマップとすべてのクラスを表示します。
コマンドモード
Privileged Exec
4-232
QoS （サービス品質）コマンド
4
例
Console#show policy-map
Policy Map rd_policy
class rd_class
set ip dscp 3
Console#show policy-map rd_policy class rd_class
Policy Map rd_policy
class rd_class
set ip dscp 3
Console#
show policy-map interface
このコマンドでは、指定インターフェースに割り当てられたサービスポリシーを表示します。
構文
show policy-map interface interface input
interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
コマンドモード
Privileged Exec
例
Console#show policy-map interface ethernet 1/5
Service-policy rd_policy input
Console#
4-233
4
コマンドラインインターフェース
マルチキャストフィルタリングコマンド
このスイッチでは、 IGMP （インターネットグループマネジメントプロトコル）によって、
特定のマルチキャストサービスの受信を希望している接続ホストの問合わせが行われます。
スイッチは、サービスを要求するホストが接続されたポートを特定し、これらのポートにの
みデータを送信します。その後、サービス要求は隣接マルチキャストスイッチ / ルーターに
伝搬され、引き続きマルチキャストサービスを受けられるようにします。
IGMP クエリーは、レイヤー 2 でグローバルに有効にするか、またはレイヤー 3 で特定の
VLAN インターフェースに対して有効にすることができます（レイヤー 3 クエリーを有効に
すると、レイヤー 2 クエリーは無効になります）。
表 4-73. マルチキャストフィルタリングコマンド
コマンドグループ
機能
IGMP スヌーピング
IGMP スヌーピングまたはスタティック割当てによるマルチ 4-234
キャストグループの構成、 IGMP バージョンの設定、現在の
スヌーピングおよびクエリー設定の表示、マルチキャスト
サービスおよびグループメンバーの表示を行います。
ページ
IGMP クエリー
（レイヤー 2）
レイヤー 2 でのマルチキャストフィルタリングに対する 4-237
TGMP クエリーパラメータを構成します。
スタティックマルチキャスタティックマルチキャストルータポートを構成します。
ストルーティング
IGMP （レイヤー 3）
4-241
マルチキャストルーティングで使用される IGMP プロトコル 4-242
を構成します。
IGMP スヌーピングコマンド
表 4-74. IGMP スヌーピングコマンド
コマンド
機能
モードページ
ip igmp snooping
IGMP スヌーピングを有効にします。
GC
4-234
ip igmp snooping vlan
static
インターフェースをマルチキャストグループのメン GC
バーとして追加します。
4-235
ip igmp snooping version
スヌーピングの IGMP バージョンを構成します。
GC
4-235
show ip igmp snooping
IGMP スヌーピングおよびクエリーコンフィギュ PE
レーションを表示します。
4-236
show mac-address-table
multicast
IGMP スヌーピング MAC マルチキャストリストを表 PE
示します。
4-237
ip igmp snooping
このコマンドでは、このスイッチ上で IGMP スヌーピングを有効にします。 no 形式を使用す
ると、無効になります。
構文
[no] ip igmp snooping
デフォルト設定
有効
4-234
マルチキャストフィルタリングコマンド
4
コマンドモード
グローバルコンフィギュレーション
例
次の例では、 IGMP スヌーピングを有効にします。
Console(config)#ip igmp snooping
Console(config)#
ip igmp snooping vlan static
このコマンドでは、マルチキャストグループにポートを追加します。 no 形式を使用すると、
ポートが削除されます。
構文
[no] ip igmp snooping vlan vlan-id static ip-address interface
• vlan-id - VLAN ID です（範囲 : 1 ～ 4093）。
• ip-address - マルチキャストグループの IP アドレスです。
• interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
なし
コマンドモード
グローバルコンフィギュレーション
例
次の例は、ポート上でマルチキャストグループを静的に構成する方法を示しています。
Console(config)#ip igmp snooping vlan 1 static 224.0.0.12 ethernet 1/5
Console(config)#
ip igmp snooping version
このコマンドでは、 IGMP スヌーピングのバージョンを構成します。 no 形式を使用すると、
デフォルトに戻ります。
構文
ip igmp snooping version {1 | 2}
no ip igmp snooping version
• 1 - IGMP バージョン 1
• 2 - IGMP バージョン 2
デフォルト設定
IGMP バージョン 2
4-235
4
コマンドラインインターフェース
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• サブネット上のすべてのシステムは同一バージョンをサポートしている必要がありま
す。バージョン 1 しかサポートしないレガシーデバイスがネットワーク内に存在する
場合、このスイッチでもバージョン 1 を使用するよう構成する必要があります。
• ip igmp query-max-response-time や ip igmp query-timeout など、 IGMPv2 でのみ
有効になるコマンドもあります。
例
次の例では、 IGMP バージョン 1 を使用するようスイッチを構成します。
Console(config)#ip igmp snooping version 1
Console(config)#
show ip igmp snooping
このコマンドでは、 IGMP スヌーピングコンフィギュレーションを表示します。
デフォルト設定
なし
コマンドモード
Privileged Exec
コマンドの使用
表示される項目に関する説明は、 3-170 ページの「IGMP スヌーピングおよびクエリー
パラメータの構成」を参照してください。
例
次の例では、 IGMP スヌーピングの現在のコンフィギュレーションを表示します。
Console#show ip igmp snooping
Service status:
Enabled
Querier status:
Disabled
Query count:
2
Query interval:
125 sec
Query max response time: 10 sec
Router port expire time: 300 sec
IGMP snooping version:
Version 2
Console#
4-236
マルチキャストフィルタリングコマンド
4
show mac-address-table multicast
このコマンドでは、既知のマルチキャストアドレスを表示します。
構文
show mac-address-table multicast [vlan vlan-id] [user | igmp-snooping]
• vlan-id - VLAN ID です（1 ～ 4093）。
• user - ユーザーが構成したマルチキャストエントリのみ表示します。
• igmp-snooping - IGMP スヌーピングを介して学習したエントリのみを表示します。
デフォルト設定
なし
コマンドモード
Privileged Exec
コマンドの使用
表示されるメンバータイプは、 IGMP または USER です。これは、選択されているオ
プションにより異なります。
例
次の例では、 VLAN 1 の IGMP スヌーピングを介して学習したマルチキャストエントリを表
示します。
Console#show mac-address-table multicast vlan 1 igmp-snooping
VLAN M'cast IP addr. Member ports Type
---- --------------- ------------ ------1
224.1.2.3
Eth1/11
IGMP
Console#
IGMP クエリーコマンド（レイヤー 2）
表 4-75. IGMP クエリーコマンド（レイヤー 2）
コマンド
機能
ip igmp snooping querier
このデバイスが IGMP スヌーピングのクエリアとし GC
て機能できるようにします。
モードページ
4-238
ip igmp snooping
query-count
クエリーカウントを構成します。
GC
4-238
ip igmp snooping
query-interval
クエリー間隔を構成します。
GC
4-239
ip igmp snooping
query-max-response-time
レポート遅延を構成します。
GC
4-239
ip igmp snooping
router-port-expire-time
クエリータイムアウトを構成します。
GC
4-240
4-237
4
コマンドラインインターフェース
ip igmp snooping querier
このコマンドでは、このスイッチを IGMP クエリアとして有効にします。 no 形式を使用する
と、無効になります。
構文
[no] ip igmp snooping querier
デフォルト設定
有効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
有効になっている時、選択されると、スイッチはクエリアとして機能します。クエリアは、
ホストに対しマルチキャストトラフィックを受信するかどうか問い合わせるものです。
例
Console(config)#ip igmp snooping querier
Console(config)#
ip igmp snooping query-count
このコマンドでは、クエリーカウントを構成します。 no 形式を使用すると、デフォルトに戻
ります。
構文
ip igmp snooping query-count count
no ip igmp snooping query-count
count - スイッチがマルチキャストグループからクライアントを削除する前に、応答
を受け取らないままクエリーを発行できる最大回数です（範囲 : 2 ～ 10）。
デフォルト設定
2回
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
クエリーカウントは、クエリアがグループからクライアントを削除するというアクショ
ンを取る前に、マルチキャストクライアントからの応答を待機できる時間を定義しま
す。クエリアが、このコマンドで定義された回数クエリーを送信しても、クライアント
が応答しない場合、 ip igmp snooping query-max- response-time で定義された時間
に基づいて、カウントダウンタイマーが開始します。カウントダウンが終了しても、ク
ライントから応答がない場合、そのクライアントは、マルチキャストグループから離脱
したものと見なされます。
4-238
マルチキャストフィルタリングコマンド
4
例
次の例は、クエリーカウントを 10 回に構成する方法を示しています。
Console(config)#ip igmp snooping query-count 10
Console(config)#
関連コマンド
ip igmp snooping query-max-response-time （4-239）
ip igmp snooping query-interval
このコマンドでは、クエリー間隔を構成します。no 形式を使用すると、デフォルトに戻ります。
構文
ip igmp snooping query-interval seconds
no ip igmp snooping query-interval
seconds - スイッチが IGMP ホストクエリーメッセージを送信する頻度です
（範囲 : 60 ～ 125）。
デフォルト設定
125 秒
コマンドモード
グローバルコンフィギュレーション
例
次の例は、クエリー間隔を 100 秒に構成する方法を示しています。
Console(config)#ip igmp snooping query-interval 100
Console(config)#
ip igmp snooping query-max-response-time
このコマンドでは、クエリーレポートの最大遅延時間を構成します。 no 形式を使用すると、
デフォルトに戻ります。
構文
ip igmp snooping query-max-response-time seconds
no ip igmp snooping query-max-response-time
seconds - IGMP クエリーでアドバタイズされるレポート遅延です（範囲 : 5 ～ 25）。
デフォルト設定
10 秒
コマンドモード
グローバルコンフィギュレーション
4-239
4
コマンドラインインターフェース
コマンドの使用
• このコマンドを有効にするには、スイッチが IGMPv2 を使用している必要があります。
• このコマンドでは、クエリー送信後にマルチキャストクライアントからの応答を待機
する最大時間を定義します。クエリアが、 ip igmp snooping query-count で定義さ
れた回数クエリーを送信しても、クライアントが応答しない場合、このコマンドで設
定された初期値に基づいて、カウントダウンタイマーが開始します。カウントダウン
が終了しても、クライントから応答がない場合、そのクライアントは、マルチキャス
トグループから離脱したものと見なされます。
例
次の例は、最大応答時間を 20 秒に構成する方法を示しています。
Console(config)#ip igmp snooping query-max-response-time 20
Console(config)#
関連コマンド
ip igmp snooping version （4-235）
ip igmp snooping query-max-response-time （4-239）
ip igmp snooping router-port-expire-time
このコマンドでは、クエリータイムアウトを構成します。 no 形式を使用すると、デフォルト
に戻ります。
構文
ip igmp snooping router-port-expire-time seconds
no ip igmp snooping router-port-expire-time
seconds - 直前のクエリアが停止した後、ルータポート（クエリーパケットを受信し
ていたインターフェース）の期限が切れたと見なすまで、スイッチが待機する時間です
（範囲 : 300 ～ 500）。
デフォルト設定
300 秒
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
このコマンドが有効にするには、スイッチが IGMPv2 を使用している必要があります。
例
次の例は、デフォルトのタイムアウトを 300 秒に構成する方法を示しています。
Console(config)#ip igmp snooping router-port-expire-time 300
Console(config)#
関連コマンド
ip igmp snooping version （4-235）
4-240
マルチキャストフィルタリングコマンド
4
スタティックマルチキャストルーティングコマンド
表 4-76. スタティックマルチキャストルーティングコマンド
コマンド
機能
モードページ
ip igmp snooping vlan
mrouter
マルチキャストルータポートを追加します。
GC
4-241
show ip igmp snooping
mrouter
マルチキャストルータポートを表示します。
PE
4-242
ip igmp snooping vlan mrouter
このコマンドでは、マルチキャストルータポートを静的に構成します。 no 形式を使用する
と、コンフィギュレーションが削除されます。
構文
[no] ip igmp snooping vlan vlan-id mrouter interface
• vlan-id - VLAN ID です（範囲 : 1 ～ 4093）。
• interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
デフォルト設定
スタティックマルチキャストルータポートは構成されていません。
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
ネットワーク接続によっては、 IGMP スヌーピングで IGMP クエリアを特定できるとは
限りません。このため、 IGMP クエリアが、ルータ上のインターフェース（ポートまた
はトランク）にネットワーク接続された既知のマルチキャストルータ / スイッチである
場合、このインターフェースが現在のすべてのマルチキャストグループに参加するよう
手動で構成することができます。
例
次の例は、ポート 11 を VLAN 1 内のマルチキャストルータポートとして構成する方法を示し
ています。
Console(config)#ip igmp snooping vlan 1 mrouter ethernet 1/11
Console(config)#
4-241
4
コマンドラインインターフェース
show ip igmp snooping mrouter
このコマンドでは、静的に構成されたマルチキャストルータポート、および動的に学習され
たマルチキャストルータポートの情報を表示します。
構文
show ip igmp snooping mrouter [vlan vlan-id]
vlan-id - VLAN ID です（範囲 : 1 ～ 4093）。
デフォルト設定
構成されているすべての VLAN のマルチキャストルータポートを表示します。
コマンドモード
Privileged Exec
コマンドの使用
表示されるマルチキャストルータポートのタイプはスタティックまたはダイナミック
です。
例
次の例は、VLAN 1 内のポート 11 がマルチキャストルータに接続されていることを示してい
ます。
Console#show ip igmp snooping mrouter vlan 1
VLAN M'cast Router Ports Type
---- ------------------- ------1
Eth 1/11 Static
2
Eth 1/12 Dynamic
Console#
IGMP コマンド（レイヤー 3）
表 4-77. IGMP コマンド（レイヤー 3）
コマンド
機能
モード
ページ
ip igmp
指定インターフェースの IGMP を有効にします。
IC
4-243
ip igmp robustval
予想パケット損失を構成します。
IC
4-243
ip igmp query-interval
ホストクエリーメッセージを送信する頻度を構成 IC
します。
4-244
IC
4-245
ip igmp
last-memb-query-interval
ip igmp max-resp-interval ホストの最大応答時間を構成します。
グループ固有のホストクエリーメッセージの送信 IC
頻度を構成します。
4-245
ip igmp version
このインターフェース上で使用される IGMP バー IC
ジョンを構成します。
4-246
show ip igmp interface
指定インターフェースの IGMP コンフィギュレー NE、 PE 4-247
ションを表示します。
clear ip igmp group
IGMP キャッシュからエントリを削除します。
PE
show ip igmp groups
IGMP グループの詳細情報を表示します。
NE、 PE 4-248
4-242
4-247
マルチキャストフィルタリングコマンド
4
ip igmp
このコマンドでは、 VLAN インターフェース上の IGMP を有効にします。 no 形式を使用する
と、指定インターフェース上の IGMP が無効になります。
構文
[no] ip igmp
デフォルト設定
無効
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
IGMP クエリーは、 ip igmp snooping コマンドを介してレイヤー 2 でグローバルに有
効にするか、または ip igmp コマンドを介してレイヤー 3 で特定の VLAN インター
フェースに対して有効にすることができます（レイヤー 3 クエリーを有効にすると、レ
イヤー 2 クエリーは無効になります）。
例
Console(config)#interface vlan 1
Console(config-if)#ip igmp
Console(config-if)#end
Console#show ip igmp interface
Vlan 1 is up
IGMP is enable, version is 2
Robustness variable is 2
Query interval is 125 sec
Query Max Response Time is 10 sec, Last Member Query Interval is 1 sec
Querier is 10.1.0.253
Console#
関連コマンド
ip igmp snooping （4-234）
show ip igmp snooping （4-236）
ip igmp robustval
このコマンドでは、このインターフェースの堅牢さ（予想パケット損失）を指定します。 no
形式を使用すると、デフォルト値に戻ります。
構文
ip igmp robustval robust-value
no ip igmp robustval
robust-value - このインターフェースの堅牢さです（範囲 : 1 ～ 255）。
デフォルト設定
2
4-243
4
コマンドラインインターフェース
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
堅牢さの値は、他の IGMP 変数の適切な範囲を算出するのに使用されます。この変数には、
Group Membership Interval （ip igmp last-memb-query-interval、4-245 ページ）や Other
Querier Present Interval のほか、 Startup Query Count （RFC 2236）などがあります。
例
Console(config-if)#ip igmp robustval 3
Console(config-if)#
ip igmp query-interval
このコマンドでは、ホストクエリーメッセージが送信される頻度を構成します。 no 形式を
使用すると、デフォルトに戻ります。
構文
ip igmp query-interval seconds
no ip igmp query-interval
seconds - スイッチが IGMP ホストクエリーメッセージを送信する頻度です
（範囲 : 1 ～ 255）。
デフォルト設定
125 秒
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
• マルチキャストルータは、特定のマルチキャストサービスを要求する下流ホストと
の接続インターフェースを決定するため、ホストクエリーメッセージを送信します。
サブネットに対応する指定マルチキャストルータのみが、マルチキャストアドレス
224.0.0.1 に宛てたホストクエリーメッセージを送信します。
• IGMP バージョン 1 の場合、指定ルータは、 LAN で稼働するマルチキャストルーティ
ングプロトコルに従って選出されます。 IGMP バージョン 2 では、サブネット上で最
も小さい IP アドレスを持つマルチキャストルータが指定クエリアになります。
例
次の例は、クエリー間隔を 100 秒に構成する方法を示しています。
Console(config-if)#ip igmp query-interval 100
Console(config-if)#
4-244
マルチキャストフィルタリングコマンド
4
ip igmp max-resp-interval
このコマンドでは、 IGMP クエリーでアドバタイズされる最大応答時間を構成します。 no 形
式を使用すると、デフォルトに戻ります。
構文
ip igmp max-resp-interval seconds
no ip igmp max-resp-interval
seconds - IGMP クエリーでアドバタイズされるレポート遅延です（範囲 : 1 ～ 255）。
デフォルト設定
10 秒
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
• このコマンドを有効にするには、スイッチが IGMPv2 を使用している必要があります。
• このコマンドは、ルータによってグループが削除される前に、まだグループ内にある
応答者（クライアントまたはルータ）がクエリーメッセージに応答を返さなくてはな
らない最大時間を定義します。
• 最大応答時間を変更することにより、サブネットを通過する IGMP メッセージのバー
スト性を調整することができます。この数値を大きくすると、ホストの応答間隔がよ
り長くなるため、トラフィックのバースト性は低下します。
• 最大応答間隔で表される秒数は、クエリー間隔（4-244 ページ）よりも小さくなくて
はなりません。
例
次の例は、最大応答時間を 20 秒に構成する方法を示しています。
Console(config-if)#ip igmp max-resp-interval 20
Console(config-if)#
関連コマンド
ip igmp version （4-246）
ip igmp query-interval （4-244）
ip igmp last-memb-query-interval
このコマンドでは、 last member クエリー間隔を構成します。 no 形式を使用すると、デフォ
ルトに戻ります。
構文
ip igmp last-memb-query-interval seconds
no ip igmp last-memb-query-interval
seconds - last member クエリーのレポート遅延時間です（範囲 : 1 ～ 255）。
デフォルト設定
1秒
4-245
4
コマンドラインインターフェース
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
• マルチキャストクライアントは、グループを離脱する時、 IGMP リーブメッセージを
送信します。ルータは、これがグループ内の最後のホストであるかどうかを確認する
ため、 IGMP クエリーを送信し、このコマンドに基づいてタイマーを開始します。応
答が受信されないままタイマーが満了すると、そのグループは削除されます。
• この値を調整することにより、ネットワークの離脱遅延時間を変更することができま
す。この値を小さく設定すると、グループの最後のメンバーの離脱を検知する時間を
短縮できます。
例
次の例は、最大応答時間を 10 秒に構成する方法を示しています。
Console(config-if)#ip igmp last-memb-query-interval 10
Console(config-if)#
ip igmp version
このコマンドでは、インターフェース上で使用される IGMP のバージョンを構成します。 no
形式を使用すると、デフォルトに戻ります。
構文
ip igmp version {1 | 2}
no ip igmp version
• 1 - IGMP バージョン 1
• 2 - IGMP バージョン 2
デフォルト設定
IGMP バージョン 2
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
• サブネット上のすべてのルータは同一バージョンをサポートしている必要がありま
す。ただし、サブネット上のマルチキャストホストは、 IGMP バージョン 1 または 2
のどちらをサポートしていてもかまいません。
• スイッチは、バージョン 2 に設定し、 ip igmp max-resp-interval （4-245 ページ）が
有効にされている必要があります。
例
次の例では、選択したインターフェース上で IGMP バージョン 1 を使用するようスイッチを
構成します。
Console(config-if)#ip igmp version 1
Console(config-if)#
4-246
マルチキャストフィルタリングコマンド
4
show ip igmp interface
このコマンドでは、特定の VLAN インターフェースまたはすべてのインターフェースの
IGMP コンフィギュレーションを表示します。
構文
show ip igmp interface [vlan vlan-id]
vlan-id - VLAN ID です（範囲 : 1 ～ 4093）。
デフォルト設定
なし
コマンドモード
Normal Exec、 Privileged Exec
例
次の例では、 VLAN 1、およびこのマルチキャストサービスの IGMP クエリアとして現在機能
しているデバイスの IGMP コンフィギュレーションを表示します。
Console#show ip igmp interface vlan 1
Vlan 1 is up
IGMP is enable, version is 2
Robustness variable is 2
Query interval is 125 sec
Query Max Response Time is 10 sec, Last Member Query Interval is 1 sec
Querier is 10.1.0.253
Console#
clear ip igmp group
このコマンドでは、 IGMP キャッシュからエントリを削除します。
構文
clear ip igmp group [group-address | interface vlan vlan-id]
• group-address - マルチキャストグループの IP アドレスです。
• vlan-id - VLAN ID です（範囲 : 1 ～ 4093）。
デフォルト設定
オプションを何も選択しないと、キャッシュ内のすべてのエントリが削除されます。
コマンドモード
Privileged Exec
コマンドの使用
指定グループのすべてのエントリを削除するには、マルチキャストグループのアドレス
を入力します。指定インターフェースのすべてのマルチキャストグループを削除するに
は、インターフェースオプションを入力します。オプションを何も入力しないと、キャッ
シュ内のすべてのマルチキャストグループが削除されます。
例
次の例では、 VLAN 1 のすべてのマルチキャストグループエントリをクリアします。
Console#clear ip igmp group interface vlan 1
Console#
4-247
4
コマンドラインインターフェース
show ip igmp groups
このコマンドでは、このスイッチ上でアクティブなマルチキャストグループに関する情報を
表示します。
構文
show ip igmp groups [group-address | interface vlan vlan-id]
• group-address - マルチキャストグループの IP アドレスです。
• vlan-id - VLAN ID です（範囲 : 1 ～ 4093）。
デフォルト設定
すべての既知のグループに関する情報を表示します。
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
• このコマンドでは、スタティックグループではなく、 IGMP 経由で学習されたマルチ
キャストグループに関する情報を表示します。
• スイッチは IGMP バージョン 1 メンバーシップレポートを受信すると、タイマーを設
定し、受信したレポートのグループのメンバーであるバージョン 1 ホストが存在して
いることを記録します。
• 特定のグループのバージョン 1 ホストが存在する場合、スイッチはこのグループから
受信するリーブグループメッセージをすべて無視します。
例
次の例では、 VLAN 1 上で現在アクティブな IGMP グループを表示します。
Console#show ip igmp groups vlan 1
GroupAddress
InterfaceVlan
Lastreporter
Uptime
Expire
V1Timer
--------------- --------------- --------------- -------- -------- --------234.5.6.8
1
10.1.5.19
7068
220
0
Console#
表 4-78. show ip igmp groups - フィールドの説明
フィールド
説明
GroupAddress
IP マルチキャストグループアドレスです。加入者は直接接続されているか、ま
たはこのスイッチの下流に存在します。
InterfaceVlan
マルチキャストグループアドレス宛てのトラフィックを受信したこのスイッチ
のインターフェースです。
Lastreporter
インターフェース上のこのマルチキャストグループアドレスで受信された最後
のメンバーシップレポートの送信元 IP アドレスです。メンバーシップレポート
が受信されなかった場合、このオブジェクトの値は 0.0.0.0 となります。
Uptime
このエントリが作成されてからの経過時間です。
Expire
このエントリが経年処理により無効になるまでの残り時間です。
（デフォルトでは 260 秒）。
V1Timer
このインターフェースに接続された IP サブネット上には IGMP バージョン 1 メ
ンバーが存在しないとスイッチが見なすまでの残り時間です
（デフォルトでは 400 秒）。
4-248
IP インターフェースコマンド
4
IP インターフェースコマンド
デフォルトでは、このルータに割り当てられた IP アドレスはありません。お使いのネット
ワークでルータを管理したり、既存の IP サブネットにルータを接続したりするには、新規ア
ドレスを手動で構成する必要があります。場合によっては、別のネットワークセグメントに
存在する管理ステーションまたはその他のデバイスと、このデバイス間のデフォルトゲート
ウェイを確立する必要があります（ルーティングが有効でない場合）。
この節では、 IP インターフェース、アドレス解決プロトコル（ARP）、プロキシ ARP の構成
に使用するコマンドについて説明します。これらのコマンドは、サブネットワークを企業ネッ
トワークに接続するのに使用されます。
表 4-79. IP インターフェースコマンド
コマンドグループ
機能
基本 IP 構成
インターフェースおよびゲートウェイルータの IP アドレスを構 4-249
成します。
ページ
アドレス解決
プロトコル（ARP）
スタティック、ダイナミック、およびプロキシ ARP サービスを構 4-253
成します。
基本 IP 構成
表 4-80. 基本 IP コンフィギュレーションコマンド
コマンド
機能
モード
ページ
ip address
現在のインターフェースの IP アドレスを設定します。
IC
4-249
ip default-gateway
このルータが他のサブネットワークに到達するのに使用 GC
するデフォルトゲートウェイを定義します。
4-251
show ip interface
このデバイスの IP 設定を表示します。
PE
4-251
show ip redirects
このデバイスに対して構成されているデフォルトゲート PE
ウェイを表示します。
4-252
ping
ICMP エコー要求パケットをネットワーク上の別のノー NE、 PE 4-252
ドに送信します。
ip address
このコマンドでは、現在選択されている VLAN インターフェースの IP アドレスを設定しま
す。 no 形式を使用すると、デフォルトの IP アドレスに戻ります。
構文
ip address {ip-address netmask | bootp | dhcp} [secondary]
no ip address
• ip-address - IP アドレスです。
• netmask - 対応する IP サブネットのネットワークマスクです。このマスクは、特
定のサブネットへのルーティングに使用されるホストアドレスビットを識別する
ものです。
• bootp - BOOTP を介して IP アドレスを取得します。
• dhcp - DHCP を介して IP アドレスを取得します。
• secondary - セカンダリ IP アドレスを指定します。
4-249
4
コマンドラインインターフェース
デフォルト設定
DHCP
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
• このルータが、特定サブネットに割り当てられる予定のエンドノードデバイスに直
接接続されている（または共有メディアを介してエンドノードに接続されている）場
合、ルーティングをサポートする各 VLAN に対してルータインターフェースを作成す
る必要があります。ルータインターフェースは、 IP アドレスとサブネットマスクか
ら成ります。インターフェースアドレスは、ルータインターフェースの接続先とな
るネットワーク番号、およびそのネットワーク上のルータのホスト番号の両方を定義
します。すなわち、ルータインターフェースアドレスは、このインターフェースに
接続されているセグメントのネットワーク番号とサブネットワーク番号を定義し、
ルータへの、またはルータからの IP パケットの送信を可能にするものです。
• このルータ上で任意のネットワークインターフェースを構成する前に、一意の各ユー
ザーグループ、または各ネットワークアプリケーションとその関連付けられたユー
ザーに対して VLAN をまず作成する必要があります。次に、これらの各 VLAN と関連
付けられたポートを割り当てます。
• ネットワークで管理アクセスを取得したり、既存の IP サブネットにルータを接続した
りするには、このデバイスに IP アドレスを割り当てる必要があります。特定の IP ア
ドレスを手動で構成することも、 BOOTP または DHCP サーバーからアドレスを取得
するようデバイスに指示することもできます。有効なアドレスは、ピリオドで区切ら
れた 0 ～ 255 の 4 つの数値で構成されます。この形式以外は、コンフィギュレーショ
ンプログラムで受け付けません。
• 1 つのインターフェースはプライマリ IP アドレスを 1 つしか持つことができません
が、セカンダリ IP アドレスは多数持つことができます。すなわち、このインターフェー
スを介して 2 つ以上の IP サブネットにアクセスできる場合、セカンダリアドレスを
指定する必要があるということです。
• bootp または dhcp オプションを選択した場合、 IP は有効にはなりますが、 BOOTP
または DHCP 応答が受信されるまで機能しません。このデバイスでは、 IP アドレス
を学習するため、要求を定期的にブロードキャストします（BOOTP および DHCP 値
には、 IP アドレス、デフォルトゲートウェイ、サブネットマスクが含まれます）。
• BOOTP または DHCP 要求のブロードキャストを開始するには、 ip dhcp restart
client コマンドを入力するか、またはルータをリブートします。
注 : 1. 各 VLAN グループに固有の IP インターフェースアドレスを割り当てることができ
ます。このため、ルーティングの有効時は、これらの任意の IP アドレスを介してルー
タを管理することができます。
2. インターフェース上でプライマリ IP アドレスを変更する前に、このコマンドの no 形
式を使って現在のアドレスをクリアしておく必要があります。
例
次の例では、デバイスに VLAN 1 のアドレスを割り当てます。
Console(config)#interface vlan 1
Console(config-if)#ip address 192.168.1.5 255.255.255.0
Console(config-if)#
4-250
IP インターフェースコマンド
4
関連コマンド
ip dhcp restart client （4-126）
ip default-gateway
このコマンドでは、ローカルのルーティングテーブルに存在しない宛先へのデフォルトゲー
トウェイを指定します。 no 形式を使用すると、デフォルトゲートウェイが削除されます。
構文
ip default-gateway gateway
no ip default-gateway
gateway - デフォルトゲートウェイの IP アドレスです。
デフォルト設定
スタティックルートは確立されていません。
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• このコマンドで指定されたゲートウェイは、no ip routing コマンドによりルーティン
グが無効になっている時のみ有効です。 IP ルーティングの無効時、異なるサブネット
内にターゲットデバイスが存在する場合はゲートウェイを定義する必要があります。
• ルーティングの有効時は、 ip route コマンドによりゲートウェイを定義する必要があ
ります。
例
次の例では、このデバイスのデフォルトゲートウェイを定義します。
Console(config)#ip default-gateway 10.1.1.254
Console(config)#
関連コマンド
show ip redirects （4-252）
ip routing （4-257）
ip route （4-258）
show ip interface
このコマンドでは、 IP インターフェースの設定を表示します。
コマンドモード
Privileged Exec
4-251
4
コマンドラインインターフェース
例
Console#show ip interface
Vlan 1 is up, addressing mode is User
Interface address is 10.1.0.254, mask is 255.255.255.0, Primary
MTU is 1500 bytes
Proxy ARP is disabled
Split horizon is enabled
Console#
関連コマンド
show ip redirects （4-252）
show ip redirects
このコマンドでは、このデバイスに対して構成されているデフォルトゲートウェイを表示し
ます。
デフォルト設定
なし
コマンドモード
Privileged Exec
例
Console#show ip redirects
ip default gateway 10.1.0.254
Console#
関連コマンド
ip default-gateway （4-251）
ping
このコマンドでは、 ICMP エコー要求パケットをネットワーク上の別のノードに送信します。
構文
ping host [count count][size size]
• host - ホストの IP アドレスまたは IP 別名です。
• count - 送信するパケット数です（範囲 : 1 ～ 16、デフォルト : 5）。
• size - パケットのバイト数です（範囲 : 32 ～ 512、デフォルト : 32）。実際のパケッ
トサイズは、ルータによりヘッダー情報が追加されるため、指定サイズより 8 バイ
ト大きくなります。
デフォルト設定
ホストに対するデフォルトはありません。
コマンドモード
Normal Exec、 Privileged Exec
4-252
4
IP インターフェースコマンド
コマンドの使用
• ネットワークの別のサイトにアクセスできるかを確認するには、 ping コマンドを使用
します。
• ping コマンドの結果を次にいくつか示します。
- Normal response - 通常の応答が 1 ～ 10 秒の間に起こります（秒数はネットワーク
トラフィックにより異なります）。
- Destination does not respond - ホストが応答しない場合、 10 秒で「タイムアウト」
が表示されます。
- Destination unreachable - この宛先のゲートウェイは、宛先がアクセス不可能であ
ることを示しています。
- Network or host unreachable - ゲートウェイは、ルートテーブル内の対応するエン
トリを発見できませんでした。
• ping を中止するには、 <Esc> キーを押します。
例
Console#ping 10.1.0.9
Type ESC to abort.
PING to 10.1.0.9, by 5 32-byte payload ICMP packets, timeout is 5 seconds
response time: 10 ms
response time: 10 ms
response time: 10 ms
response time: 10 ms
response time: 0 ms
Ping statistics for 10.1.0.9:
5 packets transmitted, 5 packets received (100%), 0 packets lost (0%)
Approximate round trip times:
Minimum = 0 ms, Maximum = 10 ms, Average = 8 ms
Console#
関連コマンド
interface （4-148）
アドレス解決プロトコル（ARP）
表 4-81. アドレス解決プロトコル（ARP）コマンド
コマンド
機能
モード
ページ
arp
ARP キャッシュにスタティックエントリを追加します。
GC
4-254
arp-timeout
ARP キャッシュ内にダイナミックエントリが存続する時 GC
間を設定します。
4-254
4-255
clear arp-cache
ARP キャッシュからダイナミックエントリを削除します。 PE
show arp
ARP キャッシュ内のエントリを表示します。
NE、 PE 4-255
ip proxy-arp
プロキシ ARP サービスを有効にします。
VC
4-256
4-253
4
コマンドラインインターフェース
arp
このコマンドでは、アドレス解決プロトコル（ARP）のキャッシュにスタティックエントリ
を追加します。 no 形式を使用すると、キャッシュ内のエントリが削除されます。
構文
arp ip-address hardware-address
no arp ip-address
• ip-address - 指定したハードハードウェアアドレスにマッピングする IP アドレス
です。
• hardware-address - 指定した IP アドレスにマッピングするハードハードウェアア
ドレスです（このアドレスの形式は、 xx-xx-xx-xx-xx-xx です）。
デフォルト設定
デフォルトのエントリはありません。
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• ARP キャッシュは、 32 ビットの IP アドレスを 48 ビットのハードウェア（MAC; メ
ディアアクセス制御）アドレスにマッピングするのに使用されます。このキャッシュ
には、このルータで定義されているローカルネットワークインターフェース上のホ
ストおよびその他のルータのエントリが含まれます。
• ARP キャッシュで許容されるスタティックエントリの最大数は 128 です。
• ARP ブロードキャストメッセージに対して応答がない場合、キャッシュにスタティッ
クエントリを入力する必要があります。たとえば、 ARP 要求に応答しないか、また
は応答が遅すぎるアプリケーションがあると、ネットワークオペレーションはタイム
アウトします。
例
Console(config)#arp 10.1.0.19 01-02-03-04-05-06
Console(config)#
関連コマンド
clear arp-cache
show arp
arp-timeout
このコマンドでは、アドレス解決プロトコル（ARP）キャッシュ内のダイナミックエントリ
に対するエージングタイムを設定します。 no 形式を使用すると、デフォルトに戻ります。
構文
arp-timeout seconds
no arp-timeout
seconds - ARP キャッシュ内にダイナミックエントリが存続する時間を設定します
（範囲 : 300 ～ 86400; 86400 は 1 日）。
4-254
IP インターフェースコマンド
4
デフォルト設定
1200 秒（20 分）
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
現在のキャッシュタイムアウト値を表示するには、 show arp コマンドを使用します。
例
この例では、 ARP キャッシュのタイムアウトを 15 分（900 秒）に設定します。
Console(config)#arp-timeout 900
Console(config)#
clear arp-cache
このコマンドでは、アドレス解決プロトコル（ARP）キャッシュのすべてのダイナミックエ
ントリを削除します。
コマンドモード
Privileged Exec
例
この例では、 ARP キャッシュ内のすべてのダイナミックエントリをクリアします。
Console#clear arp-cache
This operation will delete all the dynamic entries in ARP Cache.
Are you sure to continue this operation (y/n)?y
Console#
show arp
このコマンドでは、アドレス解決プロトコル（ARP）キャッシュ内のエントリを表示します。
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
このコマンドは、 ARP キャッシュに関する情報を表示します。最初の行は、キャッシュ
タイムアウトを示します。また、対応する IP アドレス、 MAC アドレス、タイプ（スタ
ティック、ダイナミック、その他）、 VLAN インターフェースを含む、各キャッシュのエ
ントリも表示されます。エントリタイプの「other」は、このルータのローカルアドレ
スを示すことに注意してください。
4-255
4
コマンドラインインターフェース
例
この例では、 ARP キャッシュ内のすべてのエントリを表示します。
Console#show arp
Arp cache timeout: 1200 (seconds)
IP Address
--------------10.1.0.0
10.1.0.254
10.1.0.255
123.20.10.123
345.30.20.23
MAC Address
Type
Interface
----------------- --------- ----------ff-ff-ff-ff-ff-ff
other
1
00-00-ab-cd-00-00
other
1
ff-ff-ff-ff-ff-ff
other
1
02-10-20-30-40-50
static
2
09-50-40-30-20-10
dynamic
3
Total entry : 5
Console#
ip proxy-arp
このコマンドでは、プロキシアドレス解決プロトコル（ARP）を有効にします。 no 形式を使
用すると、プロキシ ARP が無効になります。
構文
[no] ip proxy-arp
デフォルト設定
無効
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
プロキシ ARP を使用するとと、非ルーティングデバイスが、別のサブネットまたはネッ
トワークのホストの MAC アドレスを決定できるようになります。
例
Console(config)#interface vlan 3
Console(config-if)#ip proxy-arp
Console(config-if)#
4-256
IP ルーティングコマンド
4
IP ルーティングコマンド
このルータのネットワークインターフェースを構成後、異なるインターフェース間でトラ
フィックを送信するためのパスを設定する必要があります。このデバイス上でのルーティン
グを有効にした場合、トラフィックは、すべてのローカルサブネットワーク間で自動的に転
送されます。ただし、他のサブネットワーク上のデバイスにトラフィックを転送するには、ス
タティックルーティングコマンドで固定パスを構成するか、ネットワーク上の他のルータと
情報を交換するダイナミックルーティングプロトコルを有効にすることにより、任意のサブ
ネットワークへの最適パスを自動的に判定するか、のいずれかの方法を実行できます。
この節では、スタティックおよびダイナミック両方のルーティングに対応するコマンドにつ
いて説明します。これらのコマンドは、異なるローカルサブネットワーク間の接続や、企業
ネットワークへのルータの接続に使用されます
表 4-82. IP ルーティングコマンド
コマンドグループ
機能
ページ
グローバルルーティングスタティックおよびダイナミック両方のルーティングに対す 4-257
コンフィギュレーションるグローバルパラメータを構成し、ルーティングテーブル、お
よびルーティング情報の交換に使用されるプロトコルに関す
る統計情報を表示します。
ルーティング情報
プロトコル（RIP）
グローバルまたはインターフェース固有の RIP パラメータを 4-262
構成します。
Open Shortest Path First
(OSPF)
グローバルまたはインターフェース固有の OSPF パラメータ 4-272
を構成します。
グローバルルーティングコンフィギュレーション
表 4-83. グローバルルーティングコンフィギュレーションコマンド
コマンド
機能
ip routing
スタティックおよびダイナミック IP ルーティングを有効 GC
にします。
モードページ
4-257
GC
4-258
ip route
スタティックルートを構成します。
clear ip route
ルーティングテーブルから指定のエントリを削除します。 PE
4-259
show ip route
ルーティングテーブル内の指定のエントリを表示します。 PE
4-259
show ip host-route
既知のルートに関連付けられたインターフェースを表示 PE
します。
4-260
show ip traffic
IP、 ICMP、 UDP、 TCP および ARP プロトコルに関する PE
統計情報を表示します。
4-261
ip routing
このコマンドでは、 IP ルーティングを有効にします。 no 形式を使用すると、 IP ルーティン
グが無効になります。
構文
[no] ip routing
デフォルト設定
有効
4-257
4
コマンドラインインターフェース
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• このコマンドは、スタティックおよびダイナミックユニキャストルーティングの両
方に影響します。
• IP ルーティングの有効時、すべての IP パケットは、スタティックルーティング、また
は RIP/OSPF を介したダイナミックルーティングのいずれかを使用してルーティン
グされます。また、すべての非 IP プロトコル（NetBuei、 NetWare、 AppleTalk など）
に対応するその他のパケットは、MAC アドレスに基づいてスイッチングされます。一
方、 IP ルーティングの無効時は、すべてのパケットがスイッチングされ、 MAC アド
レスに厳しく基づいてフィルタリング決定とフォワーディング決定が下されます。
例
Console(config)#ip routing
Console(config)#
ip route
このコマンドでは、スタティックルートを構成します。 no 形式を使用すると、スタティック
ルートが削除されます。
構文
ip route {destination-ip netmask | default} {gateway} [metric metric]
no ip route {destination-ip netmask | default | *}
• destination-ip - 宛先となるネットワーク、サブネットワーク、ホストの IP アドレス
です。
• netmask - 対応する IP サブネットのネットワークマスクです。このマスクは、特
定のサブネットへのルーティングに使用されるホストアドレスビットを識別する
ものです。
• default - このエントリをデフォルトルートとして設定します。
• gateway - このルートに使用されるゲートウェイの IP アドレスです。
• metric - このインターフェースに対して選択された RIP コストです
（範囲 : 1 ～ 5、デフォルト : 1）。
• * - すべてのスタティックルーティングテーブルエントリを削除します。
デフォルト設定
スタティックルートは構成されていません。
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
• 最大 256 のスタティックルートを構成できます。
• スタティックルートは、動的に学習されたルートよりも優先されます。
• スタティックルートは、ルータによって定期的に送信される RIP アップデートに含ま
れます。
4-258
IP ルーティングコマンド
4
例
この例では、デフォルトのメトリック 1 を使用して、サブネット 192.168.1.0 へのすべての
トラフィックをルータ 192.168.5.254 へ転送します。
Console(config)#ip route 192.168.1.0 255.255.255.0 192.168.5.254
Console(config)#
clear ip route
このコマンドでは、動的に学習したエントリを IP ルーティングテーブルから削除します。
構文
clear ip route {network [netmask] | *}
• network - ネットワークまたはサブネットのアドレスです。
• netmask - 対応する IP サブネットのネットワークマスクです。このマスクは、特
定のサブネットへのルーティングに使用されるホストアドレスビットを識別する
ものです。
• * - すべてのダイナミックルーティングテーブルエントリを削除します。
コマンドモード
Privileged Exec
コマンドの使用
• このコマンドは、動的に学習されたルートのみをクリアします。
• ローカルインターフェースを削除するには、 no ip address コマンドを使用します。
• スタティックルートを削除するには、 no ip route コマンドを使用します。
例
Console#clear ip route 10.1.5.0
Console#
show ip route
このコマンドでは、 IP ルーティングテーブル内の情報を表示します。
構文
show ip route [config | address [netmask]]
• config - すべてのスタティックルーティングエントリを表示します。
• address - ルーティング情報が表示される宛先ネットワーク、サブネットワーク、ま
たはホストの IP アドレスです。
• netmask - 対応する IP サブネットのネットワークマスクです。このマスクは、特
定のサブネットへのルーティングに使用されるホストアドレスビットを識別する
ものです。
コマンドモード
Privileged Exec
コマンドの使用
netmask パラメータを指定せずに address を指定すると、ルータは、対応するナチュラ
ルクラスアドレス（4-264 ページ）に対するすべてのルートを表示します。
4-259
4
コマンドラインインターフェース
例
Console#show ip route
Ip Address
Netmask
Next Hop
Protocol Metric Interface
--------------- --------------- --------------- ---------- ------ --------0.0.0.0
0.0.0.0
10.2.48.102
static
0
1
10.2.48.2
255.255.252.0
10.2.48.16
local
0
1
10.2.5.6
255.255.255.0
10.2.8.12
RIP
1
2
10.3.9.1
255.255.255.0
10.2.9.254 OSPF-intra
2
3
Total entry: 4
Console#
表 4-84. show ip route - フィールドの説明
フィールド
説明
Ip Address
宛先となるネットワーク、サブネットワーク、またはホストの IP アドレスで
す。アドレス 0.0.0.0 は、このルータのデフォルトゲートウェイを示すことに
注意してください。
Netmask
関連付けられた IP サブネットのネットワークマスクです。
Next Hop
このルートに使用されるネクストホップ（ゲートウェイ）の IP アドレスです。
Protocol
このルート情報を生成したプロトコルです（値 : static、 local、 RIP、 OSPF）。
Metric
このインターフェースのコストです。
インターフェースこの VLAN インターフェースを介して、このアドレスに到達可能です。
show ip host-route
このコマンドでは、既知のルートに関連付けられたインターフェースを表示します。
コマンドモード
Privileged Exec
例
Console#show ip host-route
Total count: 0
IP address
-------------------192.168. 1.250
10. 2. 48. 2
10. 2. 5. 6
10. 3. 9. 1
Mac address
-------------------00-00-30-01-01-01
00-00-30-01-01-02
00-00-30-01-01-03
00-00-30-01-01-04
VLAN
-----3
1
1
2
Port
-----1/ 1
1/ 1
1/ 2
1/ 3
Console#
表 4-85. show ip host-route - フィールドの説明
フィールド
説明
Ip address
宛先となるネットワーク、サブネットワーク、またはホストの IP アドレスです。
Mac address
IP アドレスと関連付けられた物理レイヤーアドレスです。
VLAN
この IP アドレスに接続する VLAN です。
Port
この IP アドレスに接続するポートです。
4-260
IP ルーティングコマンド
4
show ip traffic
このコマンドでは、 IP、 ICMP、 UDP、 TCP および ARP プロトコルに関する統計情報を表示
します。
コマンドモード
Privileged Exec
コマンドの使用
このコマンドにより表示される情報に関する説明は、 3-217 ページの「IP プロトコルの
統計情報の表示」を参照してください。
例
Console#show ip traffic
IP statistics:
Rcvd: 5 total, 5 local destination
0 checksum errors
0 unknown protocol, 0 not a gateway
Frags: 0 reassembled, 0 timeouts
0 fragmented, 0 couldn't fragment
Sent: 9 generated
0 no route
ICMP statistics:
Rcvd: 0 checksum errors, 0 redirects, 0 unreachable, 0 echo
5 echo reply, 0 mask requests, 0 mask replies, 0 quench
0 parameter, 0 timestamp
Sent: 0 redirects, 0 unreachable, 0 echo, 0 echo reply
0 mask requests, 0 mask replies, 0 quench, 0 timestamp
0 time exceeded, 0 parameter problem
UDP statistics:
Rcvd: 0 total, 0 checksum errors, 0 no port
Sent: 0 total
TCP statistics:
Rcvd: 0 total, 0 checksum errors
Sent: 0 total
ARP statistics:
Rcvd: 0 requests, 1 replies
Sent: 1 requests, 0 replies
Console#
4-261
4
コマンドラインインターフェース
ルーティング情報プロトコル（RIP）
表 4-86. ルーティング情報プロトコルコマンド
コマンド
機能
モードページ
router rip
RIP ルーティングプロトコルを有効にします。
GC
4-262
timers basic
アップデート、タイムアウト、ガーベージコレクショ RC
ンといった基本のタイマーを設定します。
4-263
network
RIP ルーティングを使用するネットワークインター RC
フェースを指定します。
4-264
neighbor
情報を交換する隣接ルータを定義します。
RC
4-264
version
すべてのネットワークインターフェース上で使用す RC
る RIP バージョンを指定します（receive version コマ
ンドまたは send version コマンドにより指定されてい
ない場合）。
4-265
ip rip receive version
ネットワークインターフェース上で使用する RIP 受 IC
信バージョンを設定します。
4-266
ip rip send version
ネットワークインターフェース上で使用する RIP 送 IC
信バージョンを設定します。
4-267
ip split-horizon
スプリットホライズンまたはポイズンリバースによる IC
ループ防止を有効にします。
4-268
ip rip authentication key
RIP2 パケットの認証を有効にし、キーを指定します。 IC
4-268
ip rip authentication mode RIP2 パケットに使用される認証タイプを指定します。 IC
4-269
show rip globals
RIP のグローバルコンフィギュレーション設定と統計 PE
情報を表示します。
4-270
show ip rip
各ネットワークインターフェースの RIP コンフィ PE
ギュレーション情報を表示します。
4-270
router rip
このコマンドでは、ルータ上のすべての IP インターフェースでルーティング情報プロトコル
（RIP）を有効にします。 no 形式を使用すると、無効になります。
構文
[no] router rip
コマンドモード
グローバルコンフィギュレーション
デフォルト設定
無効
コマンドの使用
• RIP は、ルータがルーティングテーブル情報を交換する方法を指定するのに使用されます。
• また、このコマンドは、ルータコンフィギュレーションモードに入るのにも使用さ
れます。
例
Console(config)#router rip
Console(config-router)#
4-262
IP ルーティングコマンド
4
関連コマンド
network （4-264）
timers basic
このコマンドでは、 RIP のアップデートタイマー、タイムアウトタイマー、ガーベージコレ
クションタイマーを構成します。 no 形式を使用すると、デフォルトに戻ります。
構文
timers basic update-seconds
no timers basic
update-seconds - アップデートタイマーを指定値に設定します。タイムアウトタ
イム値はアップデートタイムの 6 倍に、ガーベージコレクションタイマーはアッ
プデートタイムの 4 倍に設定します。
（範囲 : アップデートタイマーの場合 : 15 ～ 60 秒）
コマンドモード
ルータコンフィギュレーション
デフォルト設定
アップデート :30 秒
タイムアウト :180 秒
ガーベージコレクション :120 秒
コマンドの使用
• update タイマーは、アップデートが送信されるレートを設定するもので、すべての基
礎的 RIP プロセスを制御するのに使用される基本タイマーです。
• timeout タイマーは、この時間を経過してもアップデートメッセージが受信されない
と、ルートが使用不能であると宣言されるまでの時間を設定します。宣言されたルー
トはアクセス不能とマークされ（メトリックを無限大に設定）、到達不能としてアドバ
タイズされます。ただし、パケットはこのルートに転送されます。
• timeout 間隔の満了後、ルータは、 garbage-collection タイマーで指定された間隔だけ
待機した後、ルーティングテーブルからこのエントリを削除します。このタイマーに
より、隣接ルータは、無効なルートを認識してから、これをパージできるようになり
ます。
• アップデートタイマーの間隔を短く設定すると、ルータは、アップデート処理に長時
間を消費するようになります。
• これらのタイマーは、ネットワークのすべてのルータに対して同じ値に設定されてい
る必要があります。
例
この例では、アップデートタイマーを 40 秒に設定しています。したがって、タイムアウトタ
イマーは 240 秒、ガーベージコレクションタイマーは 160 秒に設定されます。
Console(config-router)#timers basic 15
Console(config-router)#
4-263
4
コマンドラインインターフェース
network
このコマンドでは、 RIP ルーティングプロセスに含まれるネットワークインターフェースを
指定します。 no 形式を使用すると、エントリが削除されます。
構文
[no] network subnet-address
subnet-address - このルータに直接接続されたネットワークの IP アドレスです。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
ネットワークは指定されていません。
コマンドの使用
• RIP では、このコマンドで指定されたインターフェースへのみアップデートを送信し
ます。
• サブネットアドレスは、指定アドレスの最初のフィールドに基づき、クラス A、 B、
または C として解釈されます。つまり、サブネットアドレス nnn.xxx.xxx.xxx が入力
されると、最初のフィールド（nnn）によってクラスが決まることになります。
• 0 ～ 127 はクラス A となり、ネットワークの最初のフィールドのみが使用されます。
• 128 ～ 191 はクラス B となり、ネットワークの最初の 2 つのフィールドが使用されます。
• 192 ～ 223 はクラス C となり、ネットワークの最初の 3 つのフィールドが使用され
ます。
例
次の例では、 RIP ルーティングプロセスに、ネットワークインターフェース 10.1.0.0 を含め
ます。
Console(config-router)#network 10.1.0.0
Console(config-router)#
関連コマンド
router rip （4-262）
neighbor
このコマンドでは、このルータがルーティング情報を交換する隣接ルータを定義します。 no
形式を使用すると、エントリが削除されます。
構文
[no] neighbor ip-address
ip-address - 指定したハードハードウェアアドレスにマッピングする IP アドレス
です。
コマンドモード
ルータコンフィギュレーション
4-264
IP ルーティングコマンド
4
デフォルト設定
隣接ルータは定義されていません。
コマンドの使用
このコマンドは、このルータがルーティング情報を交換するスタティック隣接ルータを
定義するのに使用されます。 RIP プロトコルによって生成されるブロードキャストメッ
セージには依存しません。
例
Console(config-router)#neighbor 10.2.0.254
Console(config-router)#
version
このコマンドでは、ルータでグローバルに使用される RIP バージョンを指定します。 no 形式
を使用すると、デフォルト値に戻ります。
構文
version {1 | 2}
no version
• 1 - RIP バージョン 1 です。
• 2 - RIP バージョン 2 です。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
RIP バージョン 1
コマンドの使用
• このコマンドを使用してグローバル RIP バージョンを指定すると、 ip rip receive
version または ip rip send version コマンドにより予め設定されていない VLAN イン
ターフェースは、次の値に設定されます。
- RIP バージョン 1 では、未割当てのインターフェースを構成して、 RIPv1 互換のプ
ロトコルメッセージを送信し、RIPv1 または RIPv2 いずれかのプロトコルメッセー
ジを受信します。
- RIP バージョン 2 では、未割当てのインターフェースを構成し、プロトコルメッセー
ジの送信および受信両方に RIPv2 を使用します。
• このコマンドの no 形式を使用すると、デフォルト値に戻ります。この場合、 ip rip
receive version または ip rip send version コマンドにより予め設定されていない
VLAN インターフェースは、デフォルトの送信または受信バージョンに戻ります。
例
この例では、バージョン 2 パケットを送信および受信するよう、 RIP のグローバルバージョ
ンを設定します。
Console(config-router)#version 2
Console(config-router)#
4-265
4
コマンドラインインターフェース
関連コマンド
ip rip receive version （4-266）
ip rip send version （4-267）
ip rip receive version
このコマンドでは、インターフェース上で受信する RIP のバージョンを指定します。 no 形式
を使用すると、デフォルト値に戻ります。
構文
ip rip receive version {none | 1 | 2 | 1 2}
no ip rip receive version
• none - 着信 RIP パケットを受理しません。
• 1 - RIPv1 パケットのみ受理します。
• 2 - RIPv2 パケットのみ受理します。
• 1 2 - RIPv1 または RIPv2 パケットを受理します。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
デフォルトは、 version コマンドにより指定された設定に依存します。
Global RIPv1 - RIPv1 または RIPv2 パケット
Global RIPv2 - RIPv2 パケット
コマンドの使用
• このコマンドは、 RIP version コマンドにより指定されたグローバル設定を上書きし
ます。
• 次のオプションに基づいて、受信バージョンを指定できます。
- インターフェースのルーティングテーブルにダイナミックエントリを追加しない
場合、「none」を使用します（たとえば、特定インターフェースのスタティックルー
トのみを可能にしたい場合）。
- ローカルネットワーク内のすべてのルータが RIPv1 または RIPv2 に基づいている
場合、それぞれに「1」または「2」を使用します。
- ローカルネットワーク内に RIPv2 を使用しているルータがある場合、「1 2」を使
用します。ただし、既存ルータの一部は依然として RIPv1 を使用しています。
例
この例では、 RIPv1 パケットを受信するよう、 VLAN 1 のインターフェースバージョンを設
定します。
Console(config)#interface vlan 1
Console(config-if)#ip rip receive version 1
Console(config-if)#
関連コマンド
version （4-265）
4-266
IP ルーティングコマンド
4
ip rip send version
このコマンドでは、インターフェース上で送信する RIP バージョンを指定します。 no 形式を
使用すると、デフォルト値に戻ります。
構文
ip rip send version {none | 1 | 2 | v2-broadcast}
no ip rip send version
• none - RIP アップデートを送信しません。
• 1 - RIPv1 パケットのみ送信します。
• 2 - RIPv2 パケットのみ送信します。
• v2-broadcast - RIPv2 により他のルータにルート情報をブロードキャストします。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
デフォルトは、 version コマンドにより指定された設定に依存します。
Global RIPv1 - RIPv2 により他のルータにルート情報をブロードキャストします。
Global RIPv2 - RIPv2 パケット
コマンドの使用
• このコマンドは、 RIP version コマンドにより指定されたグローバル設定を上書きし
ます。
• 次のオプションに基づいて、受信バージョンを指定できます。
- ネットワークに接続された他のルータがアドバタイズするルート情報をパッシブ
に監視するには、「none」を使用します。
- ローカルネットワーク内のすべてのルータが RIPv1 または RIPv2 に基づいている
場合、それぞれに「1」または「2」を使用します。
- RIPv2 で通常必要なマルチキャストを行うのではなく、RIPv2 を使用してネットワー
ク上の他のルータにブロードキャストすることによりルート情報を伝播するには、
「v2-broadcast」を使用します。このモードを使用すると、 RIPv1 ルータでこれらの
プロトコルメッセージを受信することが可能になります。ただし、 RIPv2 ルータで
は、 RIPv2 で提供される追加情報（サブネットマスク、ネクストホップ、認証情
報を含む）を受信することが可能になります。
例
この例では、 RIPv1 パケットを送信するよう、 VLAN 1 のインターフェースバージョンを設
定します。
Console(config)#interface vlan 1
Console(config-if)#ip rip send version 1
Console(config-if)#
関連コマンド
version （4-265）
4-267
4
コマンドラインインターフェース
ip split-horizon
このコマンドでは、インターフェース上でスプリットホライズンまたはポイズンリバース（変
異）を有効にします。 no 形式を使用すると、スプリットホライズンが無効になります。
構文
ip split-horizon [poison-reverse]
no ip split-horizon
poison-reverse - 現在のインターフェースでポイズンリバースを有効にします。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
split-horizon
コマンドの使用
• スプリットホライズンは、これらが入手された先のインターフェースに戻るルートを
伝播しません。
• ポイズンリバースでは、入手先のインターフェースポートへ戻るルートを伝播します
が、距離ベクトルのメトリックを無限大に設定します（これにより、コンバージェン
ス時間が短縮します）。
例
この例では、ポイズンリバースを使用して、送信元へ戻るルートを伝播します。
Console(config)#interface vlan 1
Console(config-if)#ip split-horizon poison-reverse
Console(config-if)#
ip rip authentication key
このコマンドでは、 RIPv2 パケットに対する認証を有効にし、インターフェース上で使用す
る必要のあるキーを指定します。 no 形式を使用すると、認証が無効になります。
構文
ip rip authentication key key-string
no ip rip authentication
key-string - 認証用のパスワードです
（範囲 : 1 ～ 16 文字、大文字と小文字は区別される）。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
認証なし
コマンドの使用
• このコマンドは、 RIPv2 ルーティング情報を交換できるインターフェースを制限する
のに使用します（このコマンドは、RIPv1 には適用されないことに注意してください）。
4-268
IP ルーティングコマンド
4
• 認証が正しく機能するためには、送信および受信インターフェースの両方が同じパス
ワードで構成されている必要があります。
例
この例では、着信ルーティングメッセージを検証し、発信ルーティングメッセージにタグ付
けするため、「small」という認証パスワードを設定します。
Console(config)#interface vlan 1
Console(config-if)#ip rip authentication key small
Console(config-if)#
関連コマンド
ip rip authentication mode （4-269）
ip rip authentication mode
このコマンドでは、インターフェース上で使用できる認証のタイプを指定します。現行の
ファームウェアバージョンでは、シンプルパスワードのみサポートしています。 no 形式を
使用すると、デフォルト値に戻ります。
構文
ip rip authentication mode {text}
no ip rip authentication mode
text - シンプルパスワードを使用します。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
認証なし
コマンドの使用
• 認証に使用するパスワードは、 ip rip authentication key コマンド（4-268 ページ）
で指定します。
• このコマンドは、許可されたパスワードに基づいて他のルータとルーティング情報を
交換するインターフェースを必要とします（このコマンドは、 RIPv2 にのみ適用され
ることに注意してください）。
• 認証が正しく機能するためには、送信および受信インターフェースの両方が同じパス
ワードまたは認証キーで構成されている必要があります。
例
この例では、認証モードをプレーンテキストに設定します。
Console(config)#interface vlan 1
Console(config-if)#ip rip authentication mode text
Console(config-if)#
関連コマンド
ip rip authentication key （4-268）
4-269
4
コマンドラインインターフェース
show rip globals
このコマンドでは、 RIP のグローバルコンフィギュレーション設定を表示します。
コマンドモード
Privileged Exec
例
Console#show rip globals
RIP Process: Enabled
Update Time in Seconds: 30
Number of Route Change: 0
Number of Queries: 1
Console#
表 4-87. show rip globals - フィールドの説明
フィールド
説明
RIP Process
RIP が有効になっているか、または無効になっているかを示します。
Update Time in Seconds
RIP が既知のルート情報をアドバタイズする間隔です
（デフォルト : 30 秒）。
Number of Route Changes ルーティング情報が変更された回数です。
Number of Queries
このルータが受信したルータデータベースクエリーの数です。
show ip rip
このコマンドでは、 RIP を構成したインターフェースに関する情報を表示します。
構文
show ip rip {configuration | status | peer}
• configuration - 各インターフェースの RIP コンフィギュレーション設定を表示し
ます。
• status - 各インターフェースのルーティングメッセージのステータスを表示します。
• peer - 隣接ルータに関する情報を表示します。これには、ルートアップデートが最
後に受信された時刻、隣接ルータが使用している RIP バーション、この隣接ルータ
から受信したルーティングメッセージのステータスに関する情報が含まれます。
コマンドモード
Privileged Exec
4-270
IP ルーティングコマンド
4
例
Console#show ip rip configuration
Interface
SendMode
ReceiveMode
Poison
--------------- --------------- ------------- ------------------------------10.1.0.253 rip1Compatible
RIPv1Orv2
SplitHorizon
noAuthentication
10.1.1.253 rip1Compatible
RIPv1Orv2
SplitHorizon
noAuthentication
Console#show ip rip status
Authentication
Interface
RcvBadPackets
RcvBadRoutes
SendUpdates
--------------- --------------- -------------- --------------10.1.0.253
0
0
13
10.1.1.253
0
0
13
Console#show ip rip peer
Peer
UpdateTime
Version
RcvBadPackets
RcvBadRoutes
--------------- ------------ --------- --------------- -------------10.1.0.254
1625
2
0
0
10.1.1.254
1625
2
0
0
Console#
表 4-88. show ip rip - フィールドの説明
フィールド
説明
show ip rip configuration
Interface
インターフェースの IP アドレスです。
SendMode
このインターフェースで送信される RIP バージョンです（none、RIPv1、
RIPv2、または RIPv2-broadcast）。
ReceiveMode
このインターフェースで受信される RIP バージョンです（none、RIPv1、
RIPv2、 RIPv1 or RIPv2）。
Poison
スプリットホライズン、ポイズンリバース、またはプロトコルメッセー
ジのループバック防止方式はなし、のうちどれが使用されているかを表
示します。
Authentication
認証がシンプルパスワードまたはなしのどちらに設定されているかを
表示します。
show ip rip status
Interface
インターフェースの IP アドレスです。
RcvBadPackets
受信した不良 RIP パケットの数です。
RcvBadRoutes
受信した不良ルートの数です。
SendUpdates
ルートが変更された回数です。
show ip rip peer
Peer
隣接する RIP ルータの IP アドレスです。
UpdateTime
このピアから最後にルートアップデートを受信した時刻です。
Version
このピアから RIPv1 または RIPv2 のどちらを受信したかを示します。
RcvBadPackets
このピアから受信した不良 RIP パケットの数です。
RcvBadRoutes
このピアから受信した不良ルートの数です。
4-271
4
コマンドラインインターフェース
Open Shortest Path First (OSPF)
表 4-89. Open Shortest Path First (OSPF) コマンド
コマンド
機能
モードページ
一般コンフィギュレーション
router ospf
OSPF を有効または無効にします。
GC
4-273
router-id
このデバイスのルータ ID を設定します。
RC
4-274
compatible rfc1583
RFC 1583 (OSPFv1) を使用して、サマリールートのコス RC
トを計算します。
4-274
default-information 自律システム（Autonomous System; AS）へのデフォルト RC
originate
の外部ルートを生成します。
4-275
timers spf
RC
4-276
連続する SPF 計算間のホールドタイムを構成します。
ルートメトリックおよびサマリー
area range
ABR によってアドバタイズされるルートを要約します。
RC
4-277
area default-cost
スタブまたは NSSA へ送信されるデフォルトサマリー RC
ルートのコストを設定します。
4-277
summary-address
ASBR によってアドバタイズされるルートを要約します。 RC
4-278
redistribute
1 つのルーティングドメインから別のルーティングドメ RC
インへルートを再配布します。
4-279
エリアコンフィギュレーション
network area
指定したインターフェースを特定のエリアに割り当てます。 RC
4-280
area stub
LSA を送信または受信できないスタブエリアを定義します。 RC
4-281
area nssa
外部ルートをインポートできる、準スタブエリアを定義し RC
ます。
4-282
area virtual-link
エリア境界ルータからバックボーンへの仮想リンクを定 RC
義します。
4-283
インターフェースコンフィギュレーション
ip ospf authentication インターフェースの認証タイプを指定します。
IC
4-285
ip ospf
authentication-key
隣接ルータによって使用されるシンプルパスワードを割 IC
り当てます。
4-286
ip ospf
message-digest-key
MD5 認証を有効にし、インターフェース用のキーを設定 IC
します。
4-287
ip ospf cost
インターフェース上でのパケット送信コストを指定します。 IC
4-288
ip ospf dead-interval
Hello パケットが受信されないまま、この時間が経過する IC
と、隣接ルータによってルータのダウンが宣言されるまで
の間隔を設定します。
4-288
ip ospf hello-interval
Hello パケットの送信間隔を指定します。
IC
4-289
ip ospf priority
指定ルータの決定に使用されるルータプライオリティを IC
設定します。
4-289
ip ospf
retransmit-interval
リンクステートアドバタイズメント（LSA）を再送信する IC
間隔を指定します。
4-290
ip ospf transmit-delay インターフェースでリンクステートアップデートパケッ IC
トを送信するまでの時間を予測します。
4-291
4-272
IP ルーティングコマンド
4
表 4-89. Open Shortest Path First (OSPF) コマンド（続き）
コマンド
機能
モードページ
show ip ospf
ルーティングプロセスに関する一般情報を表示します。
PE
4-291
show ip ospf
border-routers
エリア境界ルータ（Area Border Router; ABR）および自律 PE
システム境界ルータ（Autonomous System Boundary
Router; ASBR）のルーティングテーブルエントリを表示
します。
4-292
show ip ospf
database
データベース内の各種 LSA に関する情報を表示します。
PE
4-293
show ip ospf interface インターフェース情報を表示します。
PE
4-300
show ip ospf neighbor 隣接ルータ情報を表示します。
PE
4-301
show ip ospf
summary-address
すべてのサマリーアドレスの再配布情報を表示します。
PE
4-302
show ip ospf
virtual-links
仮想リンクのパラメータと隣接状態を表示します。
PE
4-302
情報表示
router ospf
このコマンドでは、ルータ上のすべての IP インターフェースで Open Shortest Path First
(OSPF) を有効にします。 no 形式を使用すると、無効になります。
構文
[no] router ospf
コマンドモード
グローバルコンフィギュレーション
デフォルト設定
無効
コマンドの使用
• OSPF は、ルータがルーティングテーブル情報を交換する方法を指定するのに使用さ
れます。
• また、このコマンドは、ルータコンフィギュレーションモードに入るのにも使用さ
れます。
例
Console(config)#router ospf
Console(config-router)#
関連コマンド
network area （4-280）
4-273
4
コマンドラインインターフェース
router-id
このコマンドでは、自律システム内のこのデバイスに対して一意のルータ ID を割り当てま
す。 no 形式を使用すると、デフォルトのルータ識別方式（最も小さいインターフェースアド
レス）が使用されます。
構文
router-id ip-address
no router-id
ip-address - IP アドレスと同じ形式でルータ ID を指定します。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
最も小さいインターフェースアドレス
コマンドの使用
• ルータ ID は、自律システム内のすべてのルータに対して一意である必要があります。
最も小さいインターフェースアドレスに基づくデフォルト設定を使用することで、各
ルータ ID が一意であることを保証できます。また、ルータ ID は 0.0.0.0 または
255.255.255.255 には設定できないことに注意してください。
• このルータが、すでに隣接ルータを登録している場合、ルータのリブート時または no
router ospf の後に router ospf コマンドを入力して手動で再起動した時、新規のルー
タ ID が使用されます。
• あるエリアに対する指定ルータまたはバックアップ指定ルータの候補となるルータの
プライオリティ値が等しい場合、最も大きい ID を持つルータが選出されます。
例
Console(config-router)#router-id 10.1.1.1
Console(config-router)#
関連コマンド
router ospf （4-273）
compatible rfc1583
このコマンドでは、 RFC 1583 (OSPFv1) を使用して、サマリールートのコストを計算しま
す。 no 形式を使用すると、 RFC 2328 (OSPFv2) を使用してコストを計算します。
構文
[no] compatible rfc1583
コマンドモード
ルータコンフィギュレーション
デフォルト設定
RFC 1583 互換
4-274
IP ルーティングコマンド
4
コマンドの使用
OSPF ルーティングドメイン内のすべてのルータは、サマリールートの計算に同じ
RFC を使用する必要があります。
例
Console(config-router)#compatible rfc1583
Console(config-router)#
default-information originate
このコマンドでは、自律システム（Autonomous System; AS）へのデフォルトの外部ルート
を生成します。 no 形式を使用すると、この機能が無効になります。
構文
default-information originate [always] [metric interface-metric]
[metric-type metric-type]
no default-information originate
• always - ルータにデフォルトルートがあるかどうかに関わらず、ローカル AS に対
して常にデフォルトルートをアドバタイズします。（4-258 ページの「ip route」を
参照）。
• interface-metric - デフォルトルートに割り当てられるメトリックです
（範囲 : 1 ～ 65535、デフォルト : 10）。
• metric-type - デフォルトルートのアドバタイズに使用される外部リンクのタイプ
です（オプション : Type 1、 Type 2、デフォルト : Type 2）。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
無効
コマンドの使用
• デフォルトの外部ルートに対するメトリックは、 ASBR から出て AS 内の他のルータ
を通過するトラフィックのパスコストを計算するのに使用されます。
• このコマンドを使用してルーティングドメイン（すなわち自律システム ; AS）へルー
トを再配布すると、このルータは自動的に自律システム境界ルータ（ASBR）になり
ます。ただし、デフォルトでは、 ASBR は、ルーティングドメインへのデフォルト
ルートを生成しません。
- always キーワードを使用すると、ルータは、デフォルトの外部ルートが実際には
存在しない場合でも、自身を AS へのデフォルト外部ルートとしてアドバタイズし
ます（デフォルトルートを定義するには、 ip route コマンドを使用します）。
- always キーワードを使用しないと、ルータが AS へのデフォルト外部ルートとし
てアドバタイズできるのは、 redistribute コマンドにより、 RIP またはスタティッ
クルーティングを介して外部ルートがインポートされており、このようなルートが
既知である場合のみです。
4-275
4
コマンドラインインターフェース
• タイプ 1 ルートアドバタイズメントでは、外部ルートメトリックに内部コストを追
加します。タイプ 2 ルートは、内部コストメトリックを追加しません。タイプ 2 ルー
トを比較する時、複数のタイプ 2 ルートが同じコストを持っている場合、内部コスト
はタイブレーカーとしてのみ使用されます。
例
この例では、自律システムにアドバタイズされるデフォルト外部ルートにメトリック 20 を割
り当て、これをタイプ 2 外部メトリックとして送信します。
Console(config-router)#default-information originate metric 20 metric-type 2
Console(config-router)#
関連コマンド
ip route （4-258）
redistribute （4-279）
timers spf
このコマンドでは、連続する 2 つの SPF （最短パス優先）計算のホールドタイムを構成しま
す。 no 形式を使用すると、デフォルト値に戻ります。
構文
timers spf spf-holdtime
no timers spf
spf-holdtime - 連続する 2 つの SPF 計算の最小間隔です（範囲 : 0 ～ 65535 秒）。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
10 秒
コマンドの使用
• SPF ホールドタイムを 0 に設定すると、連続する計算間に遅延がまったくないことに
なります。
• 値を小さくすると、ルータは高速に新規パスをスイッチングできますが、 CPU 処理時
間がより長くかかります。
例
Console(config-router)#timers spf 20
Console(config-router)#
4-276
IP ルーティングコマンド
4
area range
このコマンドでは、エリア境界ルータ（ABR）によってアドバタイズされるルートを要約し
ます。 no 形式を使用すると、この機能が無効になります。
構文
[no] area area-id range ip-address netmask [advertise | not-advertise]
• area-id - ルートを要約するエリアを識別します
（エリア ID は、 IP アドレスと同じ形式である必要があります）。
• ip-address - 要約するルートのベースアドレスです。
• netmask - サマリールートのネットワークマスクです。
• advertise - 指定されたアドレス範囲をアドバタイズします。
• not-advertise - サマリーは送信されず、ルートは残りのネットワークから隠された
ままです。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
無効
コマンドの使用
• このコマンドは、エリア間ルートをアドバタイズするのに使用されます。
• ルートがアドバタイズされるよう設定されている場合、ルータは、このコマンドで指
定された各アドレス範囲に対して、タイプ 3 サマリー LSA を発行します。
• このルータは、各エリア範囲につき最大 64 のサマリールートをサポートします。
例
この例では、 10.2.x.x の範囲内にあるすべてのエリアルートのサマリーアドレスを作成します。
Console(config-router)#area 10.2.0.0 range 10.2.0.0 255.255.0.0 advertise
Console(config-router)#
area default-cost
このコマンドでは、エリア境界ルータ（ABR）からスタッブエリアまたは準スタブエリア
（not-so-stubby area ; NSSA）へ送信されるデフォルトサマリールートのコストを指定しま
す。 no 形式を使用すると、割り当てられたデフォルトコストが削除されます。
構文
area area-id default-cost cost
no area area-id default-cost
• area-id - スタブまたは NSSA の識別子です。 IP アドレスと同じ形式である必要が
あります。
• cost - スタブまたは NSSA へ送信されるデフォルトサマリールートのコストです
（範囲 : 0 ～ 65535）。
コマンドモード
ルータコンフィギュレーション
4-277
4
コマンドラインインターフェース
デフォルト設定
1
コマンドの使用
• ノーマルエリアに対してこのコマンドを入力すると、そのエリアはスタブに変わります。
• デフォルトコストが「0」に設定されている場合、ルータは、接続されたスタブまた
は NSSA に対してデフォルトルートをアドバタイズしません。
例
Console(config-router)#area 10.3.9.0 default-cost 10
Console(config-router)#
関連コマンド
area stub （4-281）
summary-address
このコマンドでは、他のプロトコルから学習したルートを集約します。no 形式を使用すると、
サマリーアドレスが削除されます。
構文
[no] summary-address summary-address netmask
• summary-address - アドレス範囲をカバーするサマリーアドレスです。
• netmask - サマリールートのネットワークマスクです。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
無効
コマンドの使用
• 自律システム境界ルータ（ASBR）は、接続されたすべての自律システムに集約ルー
トをアドバタイズすることにより、他のプロトコルから学習したルートを再配布する
ことができます。
• このルータは、最大 16 のタイプ 5 サマリールートをサポートします。
例
この例では、192.168.x.x の範囲内に含まれるすべてのルートのサマリーアドレスを作成します。
Console(config-router)#summary-address 192.168.0.0 255.255.0.0
Console(config-router)#
関連コマンド
area range （4-277）
4-278
IP ルーティングコマンド
4
redistribute
このコマンドでは、他のルーティングドメイン（プロトコル）から自律システムに外部ルー
ティング情報をインポートします。 no 形式を使用すると、この機能が無効になります。
構文
[no] redistribute [rip | static] [metric metric-value] [metric-type type-value]
• rip - ルーティング情報プロトコル（RIP）からこの自律システム（AS）へ、外部ルー
トをインポートします。
• static - この自律システムへスタティックルートをインポートします。
• metric-value - 指定したプロトコルのすべての外部ルートに割り当てられるメトリッ
クです（範囲 : 1 ～ 65535、デフォルト : 10）。
• type-value
• 1 - タイプ 1 外部ルート
• 2 - タイプ 2 外部ルート（デフォルト） - ルータは外部ルートメトリックに内部
ルートメトリックを追加しません。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
再配布 - なし
プロトコル - RIP およびスタティック
メトリック値 - 0
タイプメトリック - 2
コマンドの使用
• このルータでは、RIP およびスタティック両方のルートの再配布をサポートしています。
• OSPF 自律システム（AS）に外部ルートを再配布すると、ルータは自動的に自律シス
テム境界ルータ（ASBR）になります。 redistribute コマンドを default-information
originate コマンドと組み合わせて使用することにより AS への「デフォルト」外部
ルートを生成した場合、このコマンドで指定されたメトリック値は、
default-information originate コマンドで指定されたメトリックを上書きします。
• メトリックタイプは、外部 LSA を介して、 AS 外部の宛先へのルートをアドバタイズ
する方法を指定します。外部ルートメトリックに内部コストメトリックを追加する
には、タイプ 1 を指定します。すなわち、 AS 内の任意のルータのルートのコストは、
アドバタイジング ASBR への到達コストと、外部ルートのコストを加えたものに等し
いことになります。外部ルートメトリックのみをアドバタイズするには、タイプ 2 を
指定します。
例
この例では、タイプ 1 外部ルートとして RIP から学習したルートを再配布します。
Console(config-router)#redistribute rip metric-type 1
Console(config-router)#
関連コマンド
default-information originate （4-275）
4-279
4
コマンドラインインターフェース
network area
このコマンドでは、このエリア内で動作する OSPF エリアとインターフェースを定義します。
no 形式を使用すると、指定インターフェースの OSPF が無効になります。
構文
[no] network ip-address netmask area area-id
• ip-address - エリアに追加するインターフェースのアドレスです。
• netmask - エリアに追加するアドレス範囲のネットワークマスクです。
• area-id - 指定アドレスまたは範囲が割り当てられるエリアです。 OSPF エリアは、
共通のルーティング情報を共有するルータのグループを識別します（エリア ID は、
IP アドレスと同じ形式である必要があります）。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
無効
コマンドの使用
• エリア ID は、 OSPF ブロードキャストエリアを一意に定義するものです。エリア ID
0.0.0.0 は、自律システムの OSPF バックボーンを示します。各ルータは、直接接続
または仮想リンクを介してバックボーンに接続されている必要があります。
• 1 つまたは複数のインターフェースをエリアに追加するには、ネットワークマスクを
使用して、ネットワークセグメント上のすべてのルータのエリア ID を同じ値に設定
します。
• ネットワークエリア内に存在するインターフェースのプライマリアドレスを確実に
含めるようにします。そうしないと、 OSPF は、このコマンドでカバーされるセカン
ダリアドレスに対して動作しません。
• インターフェースは、 1 つのエリアにのみ割り当てることができます。その後のネッ
トワークエリアコマンドによりアドレス範囲が重複して指定された場合、ルータは、
最初のコマンドで指定されたエリアのアドレス範囲を実装し、後のコマンドで重複し
たエリアを無視します。ただし、より特定性の高いアドレス範囲をエリアから削除す
ると、このエリアをカバーする特定性の低いアドレスが指定された場合に、この範囲
に属するインターフェースがアクティブのままになります。
• このルータは、最大 64 の OSPF ルータインターフェースと、最大 16 のエリア（ノー
マルトランジットエリア、スタブ、または NSSA のいずれかの合計）をサポートし
ます。
例
この例では、クラス B アドレス 10.1.x.x をカバーするバックボーン 0.0.0.0、およびクラス C
アドレス 10.2.9.x をカバーするノーマルトランジットエリア 10.2.9.0 を作成します。
Console(config-router)#network 10.1.0.0 255.255.0.0 area 0.0.0.0
Console(config-router)#network 10.2.9.0 255.255.255.0 area 10.1.0.0
Console(config-router)#
4-280
IP ルーティングコマンド
4
area stub
このコマンドでは、スタブエリアを定義します。スタブを削除するには、オプションキー
ワードを指定せずに no 形式を使用します。サマリー属性を削除するには、サマリーキーワー
ドを指定せずに no 形式を使用します。
構文
[no] area area-id stub [summary]
• area-id - スタブエリアの識別子です
（エリア ID は、 IP アドレスと同じ形式である必要があります）。
• summary - エリア境界ルータ（ABR）は、スタブエリアにサマリーリンクアドバ
タイズメントを送信します（デフォルト : no summary）。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
スタブは構成されていません。
コマンドの使用
• スタブ内のすべてのルータは、同じエリア ID で構成されている必要があります。
• ルーティングテーブルスペースは、タイプ 4 AS サマリー LSA およびタイプ 5 外部
LSA をブロックすることにより、スタブ内に保存されます。このコマンドのデフォル
ト設定では、ローカルエリアまたは自律システム外部の宛先へのデフォルトルート
をアドバタイズするタイプ 3 サマリー LSA をブロックすることにより、スタブを完
全に分離します。
• ABR によってスタブへ送信されるデフォルトサマリールートのコストを指定するに
は、 area default-cost コマンドを使用します。
• このルータは、最大 16 のエリア（ノーマルトランジットエリア、スタブ、または
NSSA のいずれかの合計）をサポートします。
例
この例では、スタブエリア 10.2.0.0 を作成し、クラス B アドレス 10.2.x.x を持つインター
フェースをすべてスタブに割り当てます。
Console(config-router)#area 10.2.0.0 stub
Console(config-router)#network 10.2.0.0 0.255.255.255 area 10.2.0.0
Console(config-router)#
関連コマンド
area default-cost （4-277）
4-281
4
コマンドラインインターフェース
area nssa
このコマンドでは、準スタブエリア（NSSA）を定義します。 NSSA を削除するには、オプ
ションキーワードを指定せずに no 形式を使用します。オプション属性を削除するには、関
連するキーワードを指定せずに no 形式を使用します。
構文
[no] area area-id nssa [no-redistribution] [default-information-originate]
• area-id - NSSA の識別子です
（エリア ID は、 IP アドレスと同じ形式である必要があります）。
• no-redistribution - ルータが NSSA のエリア境界ルータ（ABR）であり、なおかつ
redistribute コマンドを使って（NSSA にではなく）ノーマルエリアにのみルート
をインポートしたい場合、このキーワードを使用します。すなわち、このキーワー
ドでは、 NSSA ABR が（他のエリアのルータを介して学習された）外部ルーティン
グ情報を NSSA へアドバタイズするのを防ぎます。
• default-information-originate - ルータが NSSA エリア境界ルータ（ABR）または
NSSA 自律システム境界ルータ（ASBR）である時、このパラメータを指定すると、
NSSA に対するタイプ -7 デフォルト LSA が生成されます。このデフォルトは、
NSSA ABR には AS 内の他エリアに対するルートを、また NSSA ASBR には AS 外
部のエリアに対するルートを提供します。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
NSSA は構成されていません。
コマンドの使用
• NSSA 内のすべてのルータは、同じエリア ID で構成されている必要があります。
• NSSA はスタブに似ています。この理由は、ルータが ABR である場合、
default- information-originate キーワードを使用して、 AS 内の他のエリアに対する
デフォルトルートを NSSA に送信できるためです。ただし、 NSSA がスタブと異な
る点は、ルータが ASBR である場合、 default-information-originate キーワードを使
用して、デフォルトの外部 AS ルート（NSSA に隣接しているが OSPF AS 内にはな
いルーティングプロトコルドメイン宛）を NSSA にインポートできることです。
• NSSA にアドバタイズされる外部ルートには、 OSPF を介して学習された AS 外部の
ネットワーク宛先のほか、デフォルトルート、スタティックルート、他のルーティ
ングプロトコル（RIP など）からインポートされたルート、 OSPF を実行していない
ルータに直接接続されたネットワークなどを含めることができます。
• NSSA 外部 LSA （タイプ 7）は、 NSSA に隣接した任意の ABR によって外部 LSA （タ
イプ 5）に変換され、 AS 内の他のエリアへ伝播されます。
• また、アンリンクスタブエリア、すべてのタイプ 3 サマリー LSA は常に NSSA へイ
ンポートされ、内部ルートが常にタイプ 7 NSSA 外部ルートよりも優先して選択され
ることを保証します。
• このルータは、最大 16 のエリア（ノーマルトランジットエリア、スタブ、または
NSSA のいずれかの合計）をサポートします。
4-282
IP ルーティングコマンド
4
例
この例では、スタブエリア 10.3.0.0 を作成し、クラス B アドレス 10.3.x.x を持つインター
フェースをすべて NSSA に割り当てます。また、ルータが NSSA ABR または NSSA ASBR
の場合、 NSSA への外部 LSA を生成するように指示します。
Console(config-router)#area 10.3.0.0 nssa default-information-originate
Console(config-router)#network 10.3.0.0 255.255.0.0 area 10.2.0.0
Console(config-router)#
area virtual-link
このコマンドでは、仮想リンクを定義します。仮想リンクを削除するには、オプションキー
ワードを指定せずに no 形式を使用します。属性のデフォルト値に戻すには、要求されるキー
ワードを指定せずに no 形式を使用します。
構文
[no] area area-id virtual-link router-id
[authentication [message-digest | null ]] [hello-interval seconds]
[retransmit-interval seconds] [transmit-delay seconds]
[dead-interval seconds] [[authentication-key key] |
[message-digest-key key-id md5 key]]
no area area-id
• area-id - 仮想リンクのトランジットエリアの識別子です
（エリア ID は、 IP アドレスと同じ形式である必要があります）。
• router-id - 仮想リンクの隣接ルータのルータ ID です。このルータは、仮想リンクの
他方の端にあるバックボーンとトランジットエリア両方に隣接するエリア境界ルー
タ（ABR）である必要があります。
• authentication - 認証モードを指定します。キーワードの後にオプションパラメー
タを指定しないと、 authentication-key で指定されたパスワードとともにプレーン
テキスト認証が使用されます。 message-digest 認証を指定する場合、
message-digest-key および md5 パラメータも同時に指定する必要があります。
null オプションを指定した場合、 OSPF ルーティングプロトコルメッセージには
認証は実行されません。
• message-digest - メッセージダイジェスト（MD5）認証を指定します。
• null - 使用される認証はないことを示します。
• hello-interval seconds - Hello パケット送信間の伝送遅延を指定します。Hello 間隔
を小さい値に設定すると、トポロジ変更を検知する際の遅延は短縮されますが、
ルーティングトラフィックは増加します。この値は、自律システムに接続されたす
べてのルータで同じに設定される必要があります
（範囲 : 1 ～ 65535 秒、デフォルト : 10 秒）。
• retransmit-interval seconds - ABR が仮想リンク上でリンクステートアドバタイ
ズメント（LSA）を再送信する間隔を指定します。この送信間隔は、ルーティング
情報の適切なフローを提供しつつも、不必要なプロトコルトラフィックを発生させ
ない程度の控えめな値に設定してください。ただし、この値は、仮想リンクの値よ
りは大きく設定する必要があることに注意してください
（範囲 : 1 ～ 3600 秒、デフォルト : 5 秒）。
4-283
4
コマンドラインインターフェース
• transmit-delay seconds - 仮想リンク上でリンクステートアップデートパケット
を送信するのに必要な時間を、伝送遅延および伝播遅延を考慮に入れて予測しま
す。 LSA のエージには、この値が送信前に加算されます。この値は、自律システム
に接続されたすべてのルータで同じに設定される必要があります
（範囲 : 1 ～ 3600 秒、デフォルト : 1 秒）。
• dead-interval seconds - ルータのダウンを宣言する前に、隣接ルータが Hello パ
ケットを待機する時間です。この値は、自律システムに接続されたすべてのルータ
で同じに設定される必要があります
（範囲 : 1 ～ 65535 秒、デフォルト : 4 × Hello 間隔、または 40 秒）。
• authentication-key key - プロトコルメッセージのヘッダ内の認証フィールドを生
成または検証するために、仮想リンク上の隣接ルータによって使用されるプレーン
テキストパスワード（最大 8 文字）を設定します。各ネットワークインターフェー
スに個別のパスワードを割り当てることができます。ただし、このキーは、同じ
ネットワーク（自律システム）上のすべての隣接ルータに対して同じ値に設定する
必要があります。このキーは、バックボーンで認証が有効になっている時のみ使用
されます。
• message-digest-key key-id md5 key - メッセージダイジェスト（MD5）認証を使
用時、隣接ルータとこのルータ間を通過するプロトコルメッセージの認証に使用さ
れるキー識別子とパスワードを設定します。 key-id は、 1 ～ 255 までの整数で、 key
は、最大 16 文字長の英数字ストリングです。仮想リンク上で MD5 認証が使用され
ている場合、自律システム内のすべてのルータ上で MD5 が有効になっている必要
があります。また、キー識別子とキーは、すべてのルータに対して同じである必要
があります。
コマンドモード
ルータコンフィギュレーション
デフォルト設定
area-id: なし
router-id: なし
hello-interval:10 秒
retransmit-interval:5 秒
transmit-delay:1 秒
dead-interval:40 秒
authentication-key: なし
message-digest-key: なし
コマンドの使用
• 自律システム全体のルーティングコネクティビティを保持するには、すべてのエリア
が、バックボーンエリア（0.0.0.0）に接続されている必要があります。特定のエリア
をバックボーンに接続することが物理的に不可能な場合、仮想リンクを使用すること
ができます。仮想リンクは、分離されたエリアのバックボーンへの論理パスを提供す
るものです。このルータでは、最大 32 の仮想リンクを指定することができます。
• バックボーンから切断された各エリアには、トランジットエリア ID、およびバック
ボーンに隣接する仮想リンク隣接ルータのルータ ID が含まれている必要があります。
• このルータでは、最大 64 の仮想リンクをサポートします。
4-284
IP ルーティングコマンド
4
例
この例では、すべてのオプションパラメータのデフォルト値を使用して、仮想リンクを作成
します。
Console(config-router)#network 10.4.0.0 0.255.255.0.0 area 10.4.0.0
Console(config-router)#area 10.4.0.0 virtual-link 10.4.3.254
Console(config-router)#
この例では、 MD5 認証を使用して、仮想リンクを作成します。
Console(config-router)#network 10.4.0.0 0.255.255.0.0 area 10.4.0.0
Console(config-router)#area 10.4.0.0 virtual-link 10.4.3.254
message-digest-key 5 md5 ld83jdpq
Console(config-router)#
関連コマンド
show ip ospf virtual-links （4-302）
ip ospf authentication
このコマンドでは、インターフェースで使用される認証タイプを指定します。プレーンテキ
スト（シンプルパスワード）認証を指定するには、オプションパラメータを使用せずに、こ
のコマンドを入力します。 no 形式を使用すると、デフォルトの認証なしに戻ります。
構文
ip ospf authentication [message-digest | null]
no ip ospf authentication
• message-digest - メッセージダイジェスト（MD5）認証を指定します。
• null - 使用される認証はないことを示します。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
認証なし
コマンドの使用
• インターフェースにプレーンテキストパスワード認証を指定する際は、 ip ospf
authentication-key コマンドでパスワードを予め構成しておきます。インターフェー
スに MD5 認証を指定する際は、 ip ospf message-digest-key コマンドで、メッセー
ジダイジェストキー ID とキーを予め構成しておきます。
• プレーンテキスト認証キー、または MD5 キー ID およびキーの使用では、自律システ
ム全体で整合性を保つ必要があります。
例
この例では、指定インターフェースでメッセージダイジェスト認証を有効にします。
Console(config)#interface vlan 1
Console(config-if)#ip ospf authentication message-digest
Console(config-if)#
4-285
4
コマンドラインインターフェース
関連コマンド
ip ospf authentication-key （4-286）
ip ospf message-digest-key （4-287）
ip ospf authentication-key
このコマンドでは、隣接ルータによって使用されるシンプルパスワードを割り当てます。 no
形式を使用すると、パスワードが削除されます。
構文
ip ospf authentication-key key
no ip ospf authentication-key
key - プレーンテキストパスワードを設定します（範囲 : 1 ～ 8 文字）。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
パスワードなし
コマンドの使用
• インターフェースにプレーンテキストパスワード認証を指定する際は、 ip ospf
authentication-key コマンドでパスワードを予め構成しておきます。インターフェー
スに MD5 認証を指定する際は、 ip ospf message-digest-key コマンドで、メッセー
ジダイジェストキー ID とキーを予め構成しておきます。
• 各ネットワークインターフェースベースで異なるパスワードを割り当てることが可
能ですが、パスワードの使用では、ネットワーク（自律システム）全体のすべての隣
接ルータ上で整合性を保つ必要があります。
例
この例では、指定インターフェースのパスワードを設定します。
Console(config)#interface vlan 1
Console(config-if)#ip ospf authentication-key badboy
Console(config-if)#
関連コマンド
ip ospf authentication （4-285）
4-286
IP ルーティングコマンド
4
ip ospf message-digest-key
このコマンドでは、指定インターフェースでメッセージダイジェスト（MD5）認証を有効に
します。また、隣接ルータによって使用されるキー ID およびキーの割当てを有効にします。
no 形式を使用すると、既存のキーが削除されます。
構文
ip ospf message-digest-key key-id md5 key
no ip ospf message-digest-key key-id
• key-id - MD5 キーのインデックス番号です（範囲 : 1 ～ 255）。
• key - 128 ビットのメッセージダイジェストまたは「フィンガープリント」を生成す
るのに使用される英数字パスワードです（範囲 : 1 ～ 16 文字）。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
MD5 認証は無効です。
コマンドの使用
• 通常、アウトバウンドパケット用の認証情報の生成および着信パケットの認証に使用
されるキーは、インターフェースごとに 1 つのみです。隣接ルータ同士は、同じキー
識別子とキー値を使用する必要があります。
• 新規キーに変更する時、ルータは、すべてのプロトコルメッセージの複数のコピー
を、 1 つは古いキーで、もう 1 つは新しいキーで送信します。すべての隣接ルータが
新しいキーで、このルータへプロトコルメッセージの送信を開始すると、ルータは古
いキーの使用を止めます。このロールオーバプロセスにより、ネットワーク管理者に
は、ネットワークコネクティビティを低下させることなくネットワーク上のすべての
ルータをアップデートする時間の余裕ができます。すべてのネットワークルータが新
しいキーでアップデートされると、古いキーは、セキュリティ上の理由により削除さ
れます。
例
この例では、メッセージダイジェストキーの識別子およびパスワードを設定します。
Console(config)#interface vlan 1
Console(config-if)#ip ospf message-digest-key 1 md5 aiebel
Console(config-if)#
関連コマンド
ip ospf authentication （4-285）
4-287
4
コマンドラインインターフェース
ip ospf cost
このコマンドでは、インターフェース上でのパケット送信コストを明示的に設定します。 no
形式を使用すると、デフォルト値に戻ります。
構文
ip ospf cost cost
no ip ospf cost
cost - このインターフェースのリンクメトリックです。低速ポートを示すには、こ
の値を大きくします（範囲 : 1 ～ 65535）。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
1
コマンドの使用
インターフェースコストは、ポートのスピードを反映します。このルータでは、すべて
のポートに対してデフォルトのコスト 1 を使用します。したがって、ギガビットモ
ジュールをインストールする場合、すべての 100 Mbps ポートのコストを 2 以上の値に
リセットする必要があります。
例
Console(config)#interface vlan 1
Console(config-if)#ip ospf cost 10
Console(config-if)#
ip ospf dead-interval
このコマンドでは、 Hello パケットを受信しないまま、この時間が経過すると、隣接ルータに
よってルータのダウンが宣言されるまでの間隔を設定します。 no 形式を使用すると、デフォ
ルト値に戻ります。
構文
ip ospf dead-interval seconds
no ip ospf dead-interval
seconds - 隣接ルータが送信ルータのダウンを宣言する前に、Hello パケットを待機
する最大時間です。この間隔は、ネットワーク上のすべてのルータに対して同じ値
に設定されている必要があります（範囲 : 1 ～ 65535）。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
40 秒、または ip ospf hello-interval コマンドにより指定された間隔の 4 倍
4-288
IP ルーティングコマンド
4
例
Console(config)#interface vlan 1
Console(config-if)#ip ospf dead-interval 50
Console(config-if)#
関連コマンド
ip ospf hello-interval （4-289）
ip ospf hello-interval
このコマンドでは、インターフェース上で送信する Hello パケットの間隔を指定します。 no
形式を使用すると、デフォルト値に戻ります。
構文
ip ospf hello-interval seconds
no ip ospf hello-interval
seconds - インターフェースから送信される Hello パケットの間隔です。この間隔
は、ネットワーク上のすべてのルータに対して同じ値に設定されている必要があり
ます（範囲 : 1 ～ 65535）。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
10 秒
コマンドの使用
Hello パケットは、送信ルータがまだアクティブであることを他のルータに通知するため
に使用されます。 Hello 間隔を小さい値に設定すると、トポロジ変更の検出における遅延
は短縮されますが、ルーティングトラフィックは増加します。
例
Console(config)#interface vlan 1
Console(config-if)#ip ospf hello-interval 5
Console(config-if)#
ip ospf priority
このコマンドでは、エリアの指定ルータ（DR）およびバックアップ指定ルータ（BDR）を決
定する際に使用されるルータプライオリティを設定します。 no 形式を使用すると、デフォル
ト値に戻ります。
構文
ip ospf priority priority
no ip ospf priority
priority - このルータのインターフェースプライオリティです（範囲 : 0 ～ 255）。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
4-289
4
コマンドラインインターフェース
デフォルト設定
1
コマンドの使用
• ルータが DR または BDR として選出されないようにするには、プライオリティを 0
に設定します。 0 以外の任意の値に設定すると、最も高いプライオリティのルータが
DR になり、次に高いプライオリティのルータが BDR になります。 2 つまたはそれ以
上のルータに同じ最高のプライオリティが割り当てられている場合、より高い ID を
持つルータが選出されます。
• DR がすでに存在しているエリアにこのインターフェースが追加された場合、新規ルー
タの持つプライオリティに関わらず、現行の DR が存続します。 DR は、次に選出プ
ロセスが初期化されるまで変更されません。
例
Console(config)#interface vlan 1
Console(config-if)#ip ospf priority 5
Console(config-if)#
ip ospf retransmit-interval
このコマンドでは、リンクステートアドバタイズメント（LSA）を再送信する間隔を指定し
ます。 no 形式を使用すると、デフォルト値に戻ります。
構文
ip ospf retransmit-interval seconds
no ip ospf retransmit-interval
seconds - このインターフェースで LSA を再送信する間隔を設定します
（範囲 : 1 ～ 65535）。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
5秒
コマンドの使用
ルータは、肯定応答（ACK）を受信しないと、隣接ルータに LSA を再送信します。この
送信間隔は、ルーティング情報の適切なフローを提供しつつも、不必要なプロトコルト
ラフィックを発生させない程度の控えめな値に設定してください。この値は、仮想リン
クの値より大きく設定する必要があることに注意してください
例
Console(config)#interface vlan 1
Console(config-if)#ip ospf retransmit-interval 7
Console(config-if)#
4-290
IP ルーティングコマンド
4
ip ospf transmit-delay
このコマンドでは、インターフェースでリンクステートアップデートパケットを送信するま
での時間を予測します。 no 形式を使用すると、デフォルト値に戻ります。
構文
ip ospf transmit-delay seconds
no ip ospf transmit-delay
seconds - リンクステートアップデートを送信するまでの予測待機時間を設定し
ます（範囲 : 1 ～ 65535）。
コマンドモード
インターフェースコンフィギュレーション（VLAN）
デフォルト設定
1秒
コマンドの使用
LSA のエージには、この遅延が送信前に加算されます。送信遅延を予測するには、イン
ターフェースの送信遅延および伝播遅延を考慮に入れます。低速リンクに大きい値を使
用し、リンクスピードに従って送信遅延を設定します。この送信遅延は、自律システム
に接続されたすべてのルータで同じに設定される必要があります。
例
Console(config)#interface vlan 1
Console(config-if)#ip ospf transmit-delay 6
Console(config-if)#
show ip ospf
このコマンドでは、ルーティングコンフィギュレーションに関する基本情報を表示します。
コマンドモード
Privileged Exec
例
Console#show ip ospf
Routing Process with ID 10.1.1.253
Supports only single TOS(TOS0) route
It is an area border and autonomous system boundary router
Redistributing External Routes from,
rip with metric mapped to 10
Number of area in this router is 2
Area 0.0.0.0 (BACKBONE)
Number of interfaces in this area is 1
SPF algorithm executed 19 times
Area 10.1.0.0
Number of interfaces in this area is 4
SPF algorithm executed 19 times
Console#
4-291
4
コマンドラインインターフェース
表 4-90. show ip ospf - フィールドの説明
フィールド
説明
Routing Process with ID
ルータ ID です。
Supports only single TOS
(TOS0) route
タイプオブサービス（ToS）はサポートされていません。したがっ
て、インターフェースごとに 1 つのコストしか割り当てることがで
きません。
It is an router type
表示されるルータタイプです。内部ルータ、エリア境界ルータ、自
律システム境界ルータがあります。
Number of areas in this router 構成されたエリアの数です。
Area identifier
エリアアドレス、およびエリアタイプ（バックボーン、 NSSA、ま
たはスタブ）です。
Number of interfaces
このエリアに接続されたインターフェースの数です。
SPF algorithm executed
このエリアに対して SPF （最短パス優先）アルゴリズムが実行され
た回数です。
show ip ospf border-routers
このコマンドでは、エリア境界ルータ（ABR）または自律システム境界ルータ（ASBR）につ
いてのルーティングテーブルのエントリを表示します。
コマンドモード
Privileged Exec
例
Console#show ip ospf border-routers
Destination
Next Hop
Cost
Type RteType
Area
SPF No
--------------- --------------- ------ ----- -------- --------------- ------10.1.1.252
10.1.1.253
0
ABR
INTRA
10.1.0.0
3
10.2.6.252
10.2.9.253
0
ASBR
INTER
10.2.0.0
7
Console#
表 4-91. show ip ospf border-routers - フィールドの説明
フィールド
説明
Destination
宛先ルータの識別子です。
Next Hop
宛先へのネクストホップの IP アドレスです。
Cost
このルートのリンクメトリックです。
Type
宛先のルータタイプ（ABR、 ASBR、または両方）です。
RteType
ルートタイプです。イントラエリアまたはエリア間ルート（INTRA または
INTER）のいずれかです。
Area
このルートが学習されたエリアです。
SPF No
このルートに対して SPF （最短パス優先）アルゴリズムが実行された回数です。
4-292
IP ルーティングコマンド
4
show ip ospf database
このコマンドでは、このルータのデータベース内に保存された各種 OSPF リンクステートア
ドバタイズメント（LSA）に関する情報を表示します。
構文
show
show
show
show
show
show
show
show
show
show
show
show
show
show
show
show
show
show
show
show
show
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ip
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
ospf
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
[area-id]
database
database
database
database
database
database
database
database
database
database
database
database
database
database
database
database
database
database
database
database
database
[adv-router [ip-address]]
[asbr-summary] [link-state-id]
[asbr-summary] [link-state-id] [adv-router [ip-address]]
[asbr-summary] [link-state-id] [self-originate] [link-state-id]
[database-summary]
[external] [link-state-id]
[external] [link-state-id] [adv-router [ip-address]]
[external] [link-state-id] [self-originate] [ip-address]
[network] [link-state-id]
[network] [link-state-id] [adv-router [ip-address]]
[network] [link-state-id] [self-originate] [link-state-id]
[nssa-external] [link-state-id]
[nssa-external] [link-state-id] [adv-router [ip-address]]
[nssa-external] [link-state-id] [self-originate] [link-state-id]
[router] [link-state-id]
[[router] [adv-router [ip-address]]
[router] [self-originate] [link-state-id]
[self-originate] [link-state-id]
[summary] [link-state-id]
[summary] [link-state-id] [adv-router [ip-address]]
[summary] [link-state-id] [self-originate] [link-state-id]
• area-id - LSA 情報を閲覧したいエリアを定義します（この項目は、 IP アドレスと同
じ形式で入力する必要があります）。
• adv-router - アドバタイジングルータの IP アドレスです。入力しない場合、すべ
てのアドバタイジングルータに関する情報が表示されます。
• ip-address - 指定ルータの IP アドレスです。アドレスを入力しない場合、ローカル
ルータに関する情報が表示されます。
• asbr-summary - ASBR （自律システム境界ルータ）サマリー LSA に関する情報を
表示します。
• link-state-id - LSA によって記述されるネットワーク部分です。link-state-id には、次
を入力する必要があります。
- タイプ 3 サマリーおよび外部 LSA の IP ネットワーク番号
- ルータのルータ ID、ネットワーク、タイプ 4 AS サマリー LSA
• また、タイプ 5 ASBR 外部 LSA によってデフォルトルートが記述される時、その
link-state-id はデフォルトの宛先（0.0.0.0）に設定されることに注意してください。
• self-originate - このルータによって送信される LSA を表示します。
• database-summary - データベース内に保存されている各エリアの各 LSA タイプ
のカウント、およびデータベース内の LSA の総数を表示します。
• external - 外部 LSA に関する情報を表示します。
• network - ネットワーク LSA に関する情報を表示します。
• nssa-external - NSSA 外部 LSA に関する情報を表示します。
4-293
4
コマンドラインインターフェース
• router - ルータ LSA に関する情報を表示します。
• summary - サマリー LSA に関する情報を表示します。
コマンドモード
Privileged Exec
例
次の例は、 show ip ospf database コマンドの出力を示します。
Console#show ip ospf database
Displaying Router Link States(Area 10.1.0.0)
Link ID
ADV Router
Age
Seq#
Checksum
--------------- --------------- ------ ----------- ----------10.1.1.252
10.1.1.252
26 0X80000005
0X89A1
10.1.1.253
10.1.1.253
23 0X80000002
0X8D9D
Displaying Net Link States(Area 10.1.0.0)
Link ID
ADV Router
Age
Seq#
Checksum
--------------- --------------- ------ ----------- ----------10.1.1.252
10.1.1.252
28 0X80000001
0X53E1
Console#
表 4-92. show ip ospf database - フィールドの説明
フィールド
説明
Link ID
ルータ ID です。
ADV Router
アドバタイジングルータ ID です。
Age
LSA のエージです（秒単位）。
Seq#
LSA のシーケンス番号です（古い重複した LSA の検出に使用されま
す）。
Checksum
LSA の完全コンテンツのチェックサムです。
次の例は、 asbr-summary キーワードを使用した時の出力を示しています。
Console#show ip ospf database asbr-summary
OSPF Router with id(10.1.1.253)
Displaying Summary ASB Link States(Area 0.0.0.0)
LS age: 433
Options: (No TOS-capability)
LS Type: Summary Links (AS Boundary Router)
Link State ID: 192.168.5.1 (AS Boundary Router's Router ID)
Advertising Router: 192.168.1.5
LS Sequence Number: 80000002
LS Checksum: 0x51E2
Length: 32
Network Mask: 255.255.255.0
Metric: 1
Console#
4-294
4
IP ルーティングコマンド
表 4-93. show ip ospf asbr-summary - フィールドの説明
フィールド
説明
OSPF Router id
ルータ ID です。
LS age
LSA のエージです（秒単位）。
Options
LSA と関連付けられたオプション機能です。
LS Type
Summary Links - LSA は、 AS 境界ルータへのルートを記述します。
Link State ID
自律システム境界ルータ（ASBR）のインターフェースアドレスです。
Advertising Router
アドバタイジングルータ ID です。
LS Sequence Number
LSA のシーケンス番号です（古い重複した LSA の検出に使用されます）。
LS Checksum
LSA の完全コンテンツのチェックサムです。
Length
LSA の長さをバイト単位で示します。
Network Mask
ネットワークのアドレスマスクです。
Metrics
リンクのコストです。
次の例は、 database-summary キーワードを使用した時の出力を示しています。
Console#show ip ospf database database-summary
Area ID (10.1.0.0)
Router
Network
External-Nssa
2
1
Total LSA Counts : 4
Console#
Sum-Net
Sum-ASBR
1
External-AS
0
0
0
表 4-94. show ip ospf database-summary - フィールドの説明
フィールド
説明
Area ID:
エリア識別子です。
Router
ルータ LSA の数です。
Network
ネットワーク LSA の数です。
Sum-Net
サマリー LSA の数です。
Sum-ASBR
サマリー ASBR LSA の数です。
External-AS
AS 外部 LSA の数です。
External-Nssa
NSSA 外部ネットワーク LSA の数です。
Total LSA Counts
LSA の総数です。
4-295
4
コマンドラインインターフェース
次の例は、 external キーワードを使用した時の出力を示しています。
Console#show ip ospf database external
OSPF Router with id(192.168.5.1) (Autonomous system 5)
Displaying AS External Link States
LS age: 433
Options: (No TOS-capability)
LS Type: AS External Link
Link State ID: 10.1.1.253 (External Network Number)
Advertising Router: 10.1.2.254
LS Sequence Number: 80000002
LS Checksum: 0x51E2
Length: 32
Network Mask: 255.255.0.0
Metric Type: 2 (Larger than any link state path)
Metric: 1
Forward Address: 0.0.0.0
External Route Tag: 0
Console#
表 4-95. show ip ospf external - フィールドの説明
フィールド
説明
OSPF Router id
ルータ ID です。
LS age
LSA のエージです（秒単位）。
Options
LSA と関連付けられたオプション機能です。
LS Type
AS External Links - LSA は、 AS 外部の宛先へのルート（AS へのデフォルト
外部ルートを含む）を記述します。
Link State ID
IP ネットワーク番号（外部ネットワーク番号）です。
Advertising Router アドバタイジングルータ ID です。
LS Sequence
Number
LSA のシーケンス番号です（古い重複した LSA の検出に使用されます）。
LS Checksum
LSA の完全コンテンツのチェックサムです。
Length
LSA の長さをバイト単位で示します。
Network Mask
ネットワークのアドレスマスクです。
Metric Type
タイプ 1 またはタイプ 2 外部メトリックです（4-279 ページの「redistribute」
を参照）。
Metrics
リンクのコストです。
Forward Address
アドバタイズされた宛先へ渡されるデータのフォワーディングアドレスです
（フォワーディングアドレスが 0.0.0.0 に設定されている場合、データはアド
バタイズメントの発信元へ転送されます）。
External Route
Tag
各外部ルートに割り当てられた 32 ビットフィールドです
（OSPF では使用されません。特定のアプリケーションで指定されたとおりに
境界ルータ間で他の情報を通信するのに使用されます）。
4-296
IP ルーティングコマンド
4
次の例は、 network キーワードを使用した時の出力を示しています。
Console#show ip ospf database network
OSPF Router with id(10.1.1.253)
Displaying Net Link States(Area 10.1.0.0)
Link State Data Network (Type 2)
------------------------------LS age: 433
Options: Support External routing capability
LS Type: Network Links
Link State ID: 10.1.1.252 (IP interface address of the Designated Router)
Advertising Router: 10.1.1.252
LS Sequence Number: 80000002
LS Checksum: 0x51E2
Length: 32
Network Mask: 255.255.255.0
Attached Router: 10.1.1.252
Attached Router: 10.1.1.253
Console#
表 4-96. show ip ospf network - フィールドの説明
フィールド
説明
OSPF Router id
ルータ ID です。
LS age
LSA のエージです（秒単位）。
Options
LSA と関連付けられたオプション機能です。
LS Type
Network Link - LSA は、ネットワークに接続されたルータを記述します。
Link State ID
指定ルータのインターフェースアドレスです。
Advertising Router
アドバタイジングルータ ID です。
LS Sequence
Number
LSA のシーケンス番号です（古い重複した LSA の検出に使用されます）。
LS Checksum
LSA の完全コンテンツのチェックサムです。
Length
LSA の長さをバイト単位で示します。
Network Mask
ネットワークのアドレスマスクです。
Attached Router
ネットワークに接続されたルータ（指定ルータ自身を含む、指定ルータに
完全に隣接したルータ）のリストです。
4-297
4
コマンドラインインターフェース
次の例は、 router キーワードを使用した時の出力を示しています。
Console#show ip ospf database router
OSPF Router with id(10.1.1.253)
Displaying Router Link States(Area 10.1.0.0)
Link State Data Router (Type 1)
------------------------------LS age: 233
Options: Support External routing capability
LS Type: Router Links
Link State ID: 10.1.1.252 (Originating Router's Router ID)
Advertising Router: 10.1.1.252
LS Sequence Number: 80000011
LS Checksum: 0x7287
Length: 48
Router Role: Area Border Router
Number of Links: 1
------------------------------------------------------Link ID: 10.1.7.0 (IP Network/Subnet Number)
Link Data: 255.255.255.0 (Network's IP address mask)
Link Type: Connection to a stub network
Number of TOS metrics: 0
Metrics: 1
Console#
表 4-97. show ip ospf router - フィールドの説明
フィールド
説明
OSPF Router id
ルータ ID です。
LS age
LSA のエージです（秒単位）。
Options
LSA と関連付けられたオプション機能です。
LS Type
Router Link - LSA は、ルータのインターフェースを記述します。
Link State ID
LSA を発信したルータのルータ ID です。
Advertising Router
アドバタイジングルータ ID です。
LS Sequence
Number
LSA のシーケンス番号です（古い重複した LSA の検出に使用されます）。
LS Checksum
LSA の完全コンテンツのチェックサムです。
Length
LSA の長さをバイト単位で示します。
Router Role
次を含むルータタイプの記述です。
なし、 AS 境界ルータ、エリア境界ルータ、仮想リンク
Number of Links
LSA によって記述されるリンクの数です。
Link ID
リンクタイプおよび対応するルータ ID またはネットワークアドレスです。
Link Data
•
•
•
4-298
トランジットネットワークのルータ ID です。
スタブネットワークのネットワーク IP アドレスマスクです。
仮想リンクの隣接ルータのルータ ID です。
IP ルーティングコマンド
4
表 4-97. show ip ospf router - フィールドの説明（続き）
フィールド
説明
Link Type
リンクステートタイプです。トランジットネットワーク、スタブネット
ワーク、仮想リンクを含みます。
Number of TOS
metrics
Type of Service metric - このルータは、 TOS 0 （通常のサービス）のみをサ
ポートします。
Metrics
リンクのコストです。
次の例は、 summary キーワードを使用した時の出力を示しています。
Console#show ip ospf database summary
OSPF Router with id(10.1.1.253)
Displaying Summary Net Link States(Area 10.1.0.0)
Link State Data Summary (Type 3)
------------------------------LS age: 686
Options: Support External routing capability
LS Type: Summary Links(Network)
Link State ID: 10.2.6.0 (The destination Summary Network Number)
Advertising Router: 10.1.1.252
LS Sequence Number: 80000003
LS Checksum: 0x3D02
Length: 28
Network Mask: 255.255.255.0
Metric: 1
Console#
表 4-98. show ip ospf summary - フィールドの説明
フィールド
説明
OSPF Router id
ルータ ID です。
LS age
LSA のエージです（秒単位）。
Options
LSA と関連付けられたオプション機能です。
LS Type
Summary Links - LSA は、ネットワークへのルートを記述します。
Link State ID
LSA を発信したルータのルータ ID です。
Advertising Router
アドバタイジングルータ ID です。
LS Sequence
Number
LSA のシーケンス番号です（古い重複した LSA の検出に使用されます）。
LS Checksum
LSA の完全コンテンツのチェックサムです。
Length
LSA の長さをバイト単位で示します。
Network Mask
宛先ネットワークの IP アドレスマスクです。
Metrics
リンクのコストです。
4-299
4
コマンドラインインターフェース
show ip ospf interface
このコマンドでは、 OSPF インターフェースのサマリー情報を表示します。
構文
show ip ospf interface [vlan vlan-id]
vlan-id - VLAN ID です（範囲 : 1 ～ 4093）。
コマンドモード
Privileged Exec
例
Console#show ip ospf interface vlan 1
Vlan 1 is up
Interface Address 10.1.1.253, Mask 255.255.255.0, Area 10.1.0.0
Router ID 10.1.1.253, Network Type BROADCAST, Cost: 1
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router id 10.1.1.252, Interface address 10.1.1.252
Backup Designated router id 10.1.1.253, Interface addr 10.1.1.253
Timer intervals configured, Hello 10, Dead 40, Retransmit 5
Console#
表 4-99. show ip ospf interface - フィールドの説明
フィールド
説明
Vlan
物理リンクの VLAN ID とステータスです。
Interface Address
OSPF インターフェースの IP アドレスです。
Mask
インターフェースアドレスのネットワークマスクです。
Area
このインターフェースが属している OSPF エリアです。
Router ID
ルータ ID です。
Network Type
ブロードキャスト、非ブロードキャスト、またはポイントツーポイントネッ
トワークのいずれかです。
Cost
インターフェースの送信コストです。
Transmit Delay
インターフェースの送信遅延です（秒単位）。
State
•
•
•
•
•
•
•
Disabled - このインターフェース上で OSPF は有効になっていません。
Down – - このインターフェース上で OSPF は有効になっていますが、イ
ンターフェースがダウンしています。
Loopback - ループバックインターフェースです。
Waiting - ルータは DR と BDR を見つけようとしています。
DR - 指定ルータ（Designated Router）です。
BDR - バックアップ指定ルータ（Backup Designated Router）です。
DRother - インターフェースはマルチアクセスネットワーク上にありま
すが、 DR または BDR ではありません。
プライオリティ
ルータのプライオリティです。
Designated Router
指定ルータ ID （DR ID）、および対応するインターフェースアドレスです。
Backup Designated
Router
バックアップ指定ルータの ID と対応するインターフェースアドレスです。
Timer intervals
タイマー間隔（Hello 間隔、 Dead 間隔、 Retransmit 間隔を含む）のコン
フィギュレーション設定です。
4-300
4
IP ルーティングコマンド
show ip ospf neighbor
このコマンドでは、 OSPF エリア内の各インターフェース上の隣接ルータに関する情報を表
示します。
構文
show ip ospf neighbor
コマンドモード
Privileged Exec
例
Console#show ip ospf neighbor
ID
Pri
State
Address
--------------- ------ ---------------- --------------10.1.1.252
1
FULL/DR
10.1.1.252
Console#
表 4-100. show ip ospf neighbor - フィールドの説明
フィールド
説明
ID
隣接ルータのルータ ID です。
Pri
隣接ルータのルータプライオリティです。
State
OSPF の状態と識別フラグです。
各状態は、次のとおりです。
Down - 接続がダウンしています。
Attempt - 接続はダウンしているが、コンタクトが試みられています
（非ブロードキャストネットワーク用）。
Init - Hello パケットは受信されたが、通信はまだ確立されていません。
Two-way - 双方向通信が確立しています。
ExStart - 隣接ルータ間の隣接性を初期化しています。
Exchange - データベース記述を交換しています。
Loading - LSA データベースを交換しています。
Full - 隣接ルータは完全に隣接関係にあります。
各識別フラグは次のとおりです。
D - ダイナミック隣接ルータです。
S - スタティック隣接ルータです。
DR - 指定ルータです。
BDR - バックアップ指定ルータです。
Address
このインターフェースの IP アドレスです。
4-301
4
コマンドラインインターフェース
show ip ospf summary-address
このコマンドでは、すべてのサマリーアドレス情報を表示します。
構文
show ip ospf summary-address
コマンドモード
Privileged Exec
例
この例では、サマリーアドレス、および関連付けられたネットワークマスクを表示します。
Console#show ip ospf summary-address
10.1.0.0/255.255.0.0
Console#
関連コマンド
summary-address （4-278）
show ip ospf virtual-links
このコマンドでは、仮想リンクに関する詳細情報を表示します。
構文
show ip ospf virtual-links
コマンドモード
Privileged Exec
例
Console#show ip ospf virtual-links
Virtual Link to router 10.1.1.253 is up
Transit area 10.1.1.0
Transmit Delay is 1 sec
Timer intervals configured, Hello 10, Dead 40, Retransmit 5
Console#
表 4-101. show ip ospf virtual-links - フィールドの説明
フィールド
説明
Virtual Link to router
OSPF 隣接ルータとリンク状態（アップまたはダウン）です。
Transit area
仮想リンクがターゲットルータに到達するために横断する共通エリアです。
Transmit Delay
仮想リンク上の予測送信遅延です（秒単位）。
Timer intervals
タイマー間隔（Hello 間隔、 Dead 間隔、 Retransmit 間隔を含む）のコン
フィギュレーション設定です。
関連コマンド
area virtual-link （4-283）
4-302
マルチキャストルーティングコマンド
4
マルチキャストルーティングコマンド
このルータでは、 IGMP スヌーピングおよびクエリーを使用して、上流のマルチキャストホ
ストに接続するポートを判断し、この情報をマルチキャストツリー全体に伝播し、要求され
たサービスがマルチキャストサーバとそのホスト間の各中間ノードを介して確実に転送され
るようにします。また、こうしたサービスを要求していない他のすべてのインターフェース
からのトラフィックをフィルタリングします。
マルチキャストルータでは、スヌーピングおよびクエリーメッセージをマルチキャストルー
ティングプロトコルとともに使用することにより、異なるサブネットワークにまたがる IP マ
ルチキャストパケットの配信を提供します。このルータは、 DVMRP (Distance-Vector
Multicast Routing Protocol) および PIM (Protocol Independent Multicasting) の両方をサポート
しています（マルチキャストルーティングを使用するインターフェースは、いずれも IGMP
が有効になっている必要があることに注意してください）。
表 4-102. マルチキャストルーティングコマンド
コマンドグループ
機能
ページ
スタティック
スタティックマルチキャストルータポートを構成します。 4-303
マルチキャストルーティング
一般マルチキャスト
ルーティング
IP マルチキャストルーティングをグローバルに有効にし 4-305
ます。また、スタティックまたはダイナミックルーティン
グ情報から作成した IP マルチキャストルーティングテー
ブルを表示します。
DVMRP マルチキャスト
ルーティング
DVMRP のグローバル設定およびインターフェース設定 4-307
を構成します。
PIM-DM マルチキャスト
ルーティング
PIM-DM のグローバル設定およびインターフェース設定 4-316
を構成します。
スタティックマルチキャストルーティングコマンド
表 4-103. スタティックマルチキャストルーティングコマンド
コマンド
機能
モードページ
ip igmp snooping vlan mrouter マルチキャストルータポートを追加します。
GC
4-303
show ip igmp snooping
mrouter
PE
4-304
マルチキャストルータポートを表示します。
ip igmp snooping vlan mrouter
このコマンドでは、マルチキャストルータポートを静的に構成します。 no 形式を使用する
と、コンフィギュレーションが削除されます。
構文
[no] ip igmp snooping vlan vlan-id mrouter interface
• vlan-id - VLAN ID です（範囲 : 1 ～ 4093）。
• interface
• ethernet unit/port
- unit - スタックユニットです（範囲 : 1 ～ 8）。
- port - ポート番号です（範囲 : 1 ～ 25/49）。
• port-channel channel-id （範囲 : 1 ～ 32）
4-303
4
コマンドラインインターフェース
デフォルト設定
スタティックマルチキャストルータポートは構成されていません。
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
ネットワーク接続によっては、 IGMP スヌーピングで IGMP クエリアを特定できるとは
限りません。このため、 IGMP クエリアが、ルータ上のインターフェース（ポートまた
はトランク）にネットワーク接続された既知のマルチキャストルータ / スイッチである
場合、このインターフェースが現在のすべてのマルチキャストグループに参加するよう
手動で構成することができます。
例
次の例は、ポート 11 を VLAN 1 内のマルチキャストルータポートとして構成する方法を示し
ています。
Console(config)#ip igmp snooping vlan 1 mrouter ethernet 1/11
Console(config)#
show ip igmp snooping mrouter
このコマンドでは、静的に構成されたマルチキャストルータポート、および動的に学習され
たマルチキャストルータポートの情報を表示します。
構文
show ip igmp snooping mrouter [vlan vlan-id]
vlan-id - VLAN ID です（範囲 : 1 ～ 4093）。
デフォルト設定
構成されているすべての VLAN のマルチキャストルータポートを表示します。
コマンドモード
Privileged Exec
コマンドの使用
表示されるマルチキャストルータポートのタイプはスタティックまたはダイナミック
です。
例
次の例は、VLAN 1 内のポート 11 がマルチキャストルータに接続されていることを示してい
ます。
Console#show ip igmp snooping mrouter vlan 1
VLAN M'cast Router Ports Type
---- ------------------- ------1
Eth 1/11 Static
2
Eth 1/12 Dynamic
Console#
4-304
マルチキャストルーティングコマンド
4
一般マルチキャストルーティングコマンド
表 4-104. 一般マルチキャストルーティングコマンド
コマンド
機能
モードページ
ip multicast-routing
IP マルチキャストルーティングを有効にします。
GC
4-305
show ip mroute
IP マルチキャストルーティングテーブルを表示します。 PE
4-305
ip multicast-routing
このコマンドでは、 IP マルチキャストルーティングを有効にします。 no 形式を使用すると、
IP マルチキャストルーティングが無効になります。
構文
[no] ip multicast-routing
デフォルト設定
無効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
このコマンドでは、ルータでマルチキャストルーティングをグローバルに有効にしま
す。また、 router dvmrp または router pim コマンドを使用して、特定のマルチキャス
トルーティングプロトコルをグローバルに有効にし、次に、 ip dvmrp または ip pim
dense-mode コマンドを使用して、マルチキャストルーティングをサポートするイン
ターフェースを指定する必要があります。
例
Console(config)#ip multicast-routing
Console(config)#
show ip mroute
このコマンドでは、 IP マルチキャストルーティングテーブルを表示します。
構文
show ip mroute [group-address source] [summary]
• group-address - IP マルチキャストグループアドレスです。加入者は直接接続され
ているか、またはこのルータの下流に存在します。
• source - マルチキャスト配信ツリーの根となる IP サブネットワークです。このサブ
ネットワークは、既知のマルチキャスト送信元を含みます。
• summary - IP マルチキャストルーティングテーブル内の各エントリに関するサマ
リー情報を表示します。
コマンドモード
Privileged Exec
4-305
4
コマンドラインインターフェース
コマンドの使用
このコマンドでは、マルチキャストルーティングに関する情報を表示します。オプショ
ンパラメータを選択しない場合、マルチキャストアドレステーブル内の各エントリに
関する詳細情報を表示します。マルチキャストグループと送信元をペアで選択すると、
指定したエントリに関する詳細情報のみ表示されます。 summary オプションを選択す
ると、各エントリの情報を 1 行に要約したリストが表示されます。
例
この例では、指定したグループと送信元のペアに関する詳細なマルチキャスト情報を表示し
ます。
Console#show ip mroute 224.0.255.3 192.111.46.8
IP Multicast Forwarding is enabled.
IP Multicast Routing Table
Flags: P - Prune, F - Forwarding
(192.111.46.0, 255.255.255.0, 224.0.255.3)
Owner: DVMPR
Upstream Interface: vlan1
Upstream Router: 148.122.34.9
Downstream: vlan2(P), vlan3(F)
Console#
表 4-105. show ip mroute - フィールドの説明
フィールド
説明
Source and netmask
IP マルチキャスト送信元が含まれているサブネットワークです。
Group address
要求されたサービスの IP マルチキャストグループアドレスです。
Owner
関連付けられたマルチキャストプロトコルです
（DVMRP または PIM-DM）。
Upstream Interface
上流の隣接ルータに接続されたインターフェースです。
Upstream Router
このグループの直接上流にあるマルチキャストルータの IP アドレスです。
Downstream interface
and flags
マルチキャスト加入者が記録されたインターフェースです。各インター
フェースに関連付けられたフラグは、下流インターフェースが最近終了し
た場合はプルーン（P）、そのインターフェースがまだアクティブな場合は
フォワーディング（F）を示します。
この例では、マルチキャストテーブル内のすべてのエントリをサマリー形式でリスト表示し
ます。
Console#show ip mroute summary
IP Multicast Forwarding is enabled.
IP Multicast Routing Table (Summary)
Flags:
P - Prune UP
Group
Source
Source Mask
Interface Owner
Flags
--------------- --------------- --------------- ---------- ------- -----224.1.1.1
10.1.0.0
255.255.0.0
vlan1
DVMRP
P
224.2.2.2
10.1.0.0
255.255.0.0
vlan1
DVMRP
-Console#
4-306
マルチキャストルーティングコマンド
4
DVMRP マルチキャストルーティングコマンド
表 4-106. DVMRP マルチキャストルーティングコマンド
コマンド
機能
router dvmrp
DVMRP を有効にし、ルータコンフィギュレーション GC
モードに入ります。
モード
4-307
ページ
probe-interval
隣接ルータにプローブメッセージを送信する間隔を RC
設定します。
4-308
nbr-timeout
接続されている隣接ルータのダウンを宣言するまで RC
の遅延時間を設定します。
4-309
report-interval
他の隣接ルータにルーティングテーブル全体を伝播 RC
する間隔を設定します。
4-309
flash-update-interval
ネットワークトポロジの変更に関するアップデート RC
を送信する間隔を設定します。
4-310
prune-lifetime
送信元ルーティングされたマルチキャストツリーの RC
プルーン状態が維持される時間を定義します。
4-310
default-gateway
IP マルチキャストルーティングのデフォルトゲート RC
ウェイを構成します。
4-311
ip dvmrp
指定インターフェースで DVMRP を有効にします。
IC
4-311
ip dvmrp metric
直接接続されたインターフェース上のいくつかの IC
ネットワークに対するリバースパスを確立するのに
使用されるメトリックを設定します。
4-312
clear ip dvmrp route
マルチキャストルーティングテーブル内のすべての PE
ダイナミックルートをクリアします。
4-313
show router dvmrp
グローバルな DVMRP コンフィギュレーション設定 NE、 PE 4-313
を表示します。
show ip dvmrp route
DVMRP ルーティング情報を表示します。
NE、 PE 4-314
show ip dvmrp neighbor
DVMRP 隣接ルータ情報を表示します。
NE、 PE 4-315
show ip dvmrp interface
インターフェースの DVMRP コンフィギュレーショ NE、 PE 4-315
ン設定を表示します。
router dvmrp
このコマンドでは、このルータで DVMRP (Distance-Vector Multicast Routing) をグローバル
に有効にし、ルータコンフィギュレーションモードに入ります。 no 形式を使用すると、
DVMRP マルチキャストルーティングが無効になります。
構文
[no] router dvmrp
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
このコマンドでは、このルータで DVMRP をグローバルに有効にし、ルータコンフィ
ギュレーションモードに入ります。まず、グローバルな DVMRP パラメータに必要な変
更を加えます。次に、ip dvmrp コマンドを使用して、DVMRP マルチキャストルーティ
ングをサポートするインターフェースを指定し、各インターフェースに対するメトリッ
クを設定します。
4-307
4
コマンドラインインターフェース
例
Console(config)#router dvmrp
Console(config-router)#end
Console#show router dvmrp
Admin Status
Probe Interval
Nbr expire
Minimum Flash Update Interval
prune lifetime
route report
Default Gateway
Metric of Default Gateway
Console#
:
:
:
:
:
:
:
:
enable
10
35
5
7200
60
0.0.0.0
0
関連コマンド
ip dvmrp （4-311）
show router dvmrp （4-313）
probe-interval
このコマンドでは、すべての DVMRP ルータのマルチキャストグループアドレス宛に隣接
ルータへのプローブメッセージを送信する間隔を設定します。 no 形式を使用すると、デフォ
ルト値に戻ります。
構文
probe-interval seconds
no probe-interval
seconds - 隣接ルータにプローブメッセージを送信する間隔です（範囲 : 1 ～ 65535）。
デフォルト設定
10 秒
コマンドモード
ルータコンフィギュレーション
コマンドの使用
プローブメッセージは、デバイスが受信したプローブの送信元である隣接 DVMRP ルー
タへ送信されるもので、これらの隣接ルータがまだマルチキャストツリーのアクティブ
なメンバーであるかどうかを検証するために使用されます。
例
Console(config-router)#probe-interval 30
Console(config-router)#
4-308
4
マルチキャストルーティングコマンド
nbr-timeout
このコマンドでは、DVMRP 隣接ルータが使用不能であると宣言する前に、このルータからの
メッセージを待機する間隔を設定します。 no 形式を使用すると、デフォルト値に戻ります。
構文
nbr-timeout seconds
no nbr-timeout
seconds - 隣接ルータが使用不能であることを宣言するまでの間隔です
（範囲 : 1 ～ 65535）。
デフォルト設定
35 秒
コマンドモード
ルータコンフィギュレーション
コマンドの使用
このコマンドでは、ルートのタイムアウト、および子フラグと葉フラグの設定に使用さ
れます。
例
Console(config-router)#nbr-timeout 40
Console(config-router)#
report-interval
このコマンドでは、他の隣接 DVMRP ルータにルーティングテーブル全体を伝播する頻度を
指定します。 no 形式を使用すると、デフォルト値に戻ります。
構文
report-interval seconds
no report-interval
seconds - ルーティングテーブル全体を送信する間隔です（範囲 : 1 ～ 65535）。
デフォルト設定
60 秒
コマンドモード
ルータコンフィギュレーション
例
Console(config-router)#report-interval 90
Console(config-router)#
4-309
4
コマンドラインインターフェース
flash-update-interval
このコマンドでは、ネットワークトポロジの変更を反映させるためのトリガーアップデート
（フラッシュアップデート）を送信する頻度を指定します。 no 形式を使用すると、デフォル
ト値に戻ります。
構文
flash-update-interval seconds
no flash-update-interval
seconds - ネットワークトポロジの変更が発生した際にフラッシュアップデートを
送信する間隔です（範囲 : 1 ～ 65535）。
デフォルト設定
5秒
コマンドモード
ルータコンフィギュレーション
例
Console(config-router)#flash-update-interval 10
Console(config-router)#
prune-lifetime
このコマンドでは、マルチキャストツリーのプルーン状態が維持される時間を定義します。
no 形式を使用すると、デフォルト値に戻ります。
構文
prune-lifetime seconds
no prune-lifetime
seconds - プルーン状態の維持時間です（範囲 : 1 ～ 65535）。
デフォルト設定
7200 秒
コマンドモード
ルータコンフィギュレーション
コマンドの使用
このコマンドは、ブルーン状態の存続時間を設定します。プルーン状態が終了後、ルー
タは、マルチキャスト送信元デバイスからのマルチキャストトラフィックのフラッディ
ングを再開します。
例
Console(config-router)#prune-lifetime 5000
Console(config-router)#
4-310
マルチキャストルーティングコマンド
4
default-gateway
このコマンドでは、IP マルチキャストトラフィック用のデフォルト DVMRP ゲートウェイを
指定します。 no 形式を使用すると、デフォルトゲートウェイが削除されます。
構文
default-gateway ip-address
no default-gateway
ip-address - デフォルト DVMRP ゲートウェイの IP アドレスです。
デフォルト設定
なし
コマンドモード
ルータコンフィギュレーション
コマンドの使用
• 指定されたインターフェースは、隣接 DVMRP ルータへのデフォルトルートとして自
身をアドバタイズします。デフォルトルートのアドバタイズメントは、他のインター
フェースを介して行われます。他のインターフェース上の隣接ルータは、デフォルト
ルート用のポイズンリバースメッセージをルータに返します。ルータは、これらの
メッセージを受信すると、デフォルトルートのすべての下流ルータを記録します。
• デフォルトの上流ルートのインターフェースが、未知の送信元アドレス（ルートテー
ブルにないアドレス）を持つマルチキャストトラフィックを受信すると、ルータは、
他のインターフェース（既知の下流ルータを持つインターフェース）から、このトラ
フィックを転送します。ただし、未知の送信元アドレスを持つマルチキャストトラ
フィックが別のインターフェースで受信された場合、ルータはこのトラフィックを廃
棄します。理由は、デフォルトの上流インターフェースしか、未知の送信元からのマ
ルチキャストトラフィックを転送することができないためです。
例
Console(config-router)#default-gateway 10.1.0.253
Console(config-router)#
ip dvmrp
このコマンドでは、指定インターフェースで DVMRP を有効にします。 no 形式を使用する
と、インターフェースの DVMRP が無効になります。
構文
ip dvmrp
no ip dvmrp
デフォルト設定
無効
コマンドモード
インターフェースコンフィギュレーション（VLAN）
4-311
4
コマンドラインインターフェース
コマンドの使用
DVMRP を完全に有効にするには、 ip multicast-routing コマンド（4-305 ページ）で
ルータのマルチキャストルーティングをグローバルに有効にし、 router dvmrp コマン
ド（4-307 ページ）でルータの DVMRP をグローバルに有効にし、さらに ip dvmrp コ
マンドで、マルチキャストルーティングに参加する各インターフェースの DVMRP を有
効にする必要があります。
例
Console(config)#interface vlan 1
Console(config-if)#ip dvmrp
Console(config-if)#end
Console#show ip dvmrp interface
Vlan 1 is up
DVMRP is enabled
Metric is 1
Console#
ip dvmrp metric
このコマンドでは、このルータ上のインターフェースに直接接続されているネットワークへ
のリバースパスを選択する際に使用されるメトリックを構成します。 no 形式を使用すると、
デフォルト値に戻ります。
構文
ip dvmrp metric interface-metric
no ip dvmrp metric
interface-metric - 最短のリバースパスを選択するためのメトリックです
（範囲 : 1 ～ 31）。
デフォルト設定
1
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
DVMRP インターフェースメトリックは、上流の同じ宛先へのパスが複数ある場合に、
最短のリバースパスを選択するのに使用されます。コストの低いパスが優先パスになり
ます。
例
Console(config)#interface vlan 1
Console(config-if)#ip dvmrp metric 2
Console(config-if)#
4-312
マルチキャストルーティングコマンド
4
clear ip dvmrp route
このコマンドでは、 DVMRP が学習したすべてのダイナミックルートをクリアします。
コマンドモード
Privileged Exec
例
次に示すとおり、このコマンドは、デフォルトルート以外のすべてのルートをルートテーブ
ルからクリアします。
Console#clear ip dvmrp route
clear all ip dvmrp route
Console#show ip dvmrp route
Source
Mask
Upstream_nbr
Interface Metric UpTime
Expire
--------------- --------------- --------------- --------- ------ ----------10.1.0.0
255.255.255.0
10.1.0.253
vlan1
1
1840
0
Console#
show router dvmrp
このコマンドでは、グローバルな DVMRP コンフィギュレーション設定を表示します。
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
このコマンドは、前述したグローバル DVMRP 設定の次の項目を表示します。
• Admin Status、 router dvmrp、（4-307 ページ）
• Probe Interval （4-308 ページ）
• Nbr Expire （4-309 ページ）
• Minimum Flash Update Interval （4-310 ページ）
• Prune Lifetime （4-310 ページ）
• Route Report （4-309 ページ）
• Default Gateway （4-311 ページ）
• Metric of Default Gateway （4-312 ページ）
例
次の例は、デフォルト設定を表示します。
Console#show route dvmrp
Admin Status
Probe Interval
Nbr expire
Minimum Flash Update Interval
prune lifetime
route report
Default Gateway
Metric of Default Gateway
Console#
:
:
:
:
:
:
:
:
enable
10
35
5
7200
60
0.0.0.0
1
4-313
4
コマンドラインインターフェース
show ip dvmrp route
このコマンドでは、 DVMRP ルーティングテーブル内のすべてのエントリを表示します。
コマンドモード
Normal Exec、 Privileged Exec
例
次の例では、 DMVRP ルートを表示します。
Console#show ip dvmrp route
Source
Mask
Upstream_nbr
Interface Metric UpTime
Expire
--------------- --------------- --------------- --------- ------ ----------10.1.0.0
255.255.255.0
10.1.0.253
vlan1
1 84438
0
10.1.1.0
255.255.255.0
10.1.1.253
vlan2
1 84987
0
10.1.8.0
255.255.255.0
10.1.0.254
vlan1
2 19729
97
Console#
表 4-107. show ip dvmrp route - フィールドの説明
フィールド
説明
Source
マルチキャスト送信元、上流ルータ、またはマルチキャストホストに接続された
発信インターフェースが含まれる IP サブネットワークです。
Mask
送信元アドレスに使用されるサブネットマスクです。このマスクは、特定のサブ
ネットへのルーティングに使用されるホストアドレスビットを識別するものです。
Upstream_nbr 1 つまたは複数のマルチキャストグループの直接上流にあるネットワークデバイ
スの IP アドレスです。
Interface
上流の隣接ルータに接続するこのルータ上の IP インターフェースです。
Metric
距離ベクトルの計算に使用されるこのインターフェースのメトリックです。
Uptime
このエントリが作成されてからの経過時間です。
Expire
このエントリが経年処理により無効になるまでの残り時間です。
4-314
マルチキャストルーティングコマンド
4
show ip dvmrp neighbor
このコマンドでは、すべての DVMRP 隣接ルータを表示します。
コマンドモード
Normal Exec、 Privileged Exec
例
Console#show ip dvmrp neighbor
Address
Interface
Uptime
Expire
Capabilities
---------------- --------------- -------- -------- ------------10.1.0.254
vlan1
79315
32
6
Console#
表 4-108. show ip dvmrp neighbor - フィールドの説明
フィールド
説明
Address
このマルチキャスト配信ツリーの直接上流にあるネットワークデバイスの IP ア
ドレスです。
Interface
上流の隣接ルータに接続するこのルータ上の IP インターフェースです。
Uptime
このデバイスが DVMRP 隣接ルータになってからの経過時間です。
Expire
このエントリが経年処理により無効になるまでの残り時間です。
Capabilities
隣接ルータの能力には、次があります。
Leaf （ビット 0） - 隣接ルータには、隣接ルータを持つインターフェースが 1 つし
かありません。
Prune （ビット 1） - 隣接ルータは、プルーニングをサポートしています。
Generation ID （ビット 2） - 隣接ルータは、プローブメッセージに自身の
Generation ID を含めて送信します。
Mtrace （ビット 3） - 隣接ルータは、マルチキャストトレース要求を処理できます。
SNMP （ビット 4） - 隣接ルータは SNMP をサポートしています。
Netmask - （ビット 5） - 隣接ルータは、プルーン、グラフト、およびグラフト ACK
（肯定応答）の各メッセージに付けられたネットワークマスクを受理します。
Reserved （ビット 6 および 7） - 将来使用するために留保されています。
show ip dvmrp interface
このコマンドでは、 DVMRP を有効にしたインターフェースの DVMRP コンフィギュレー
ションを表示します。
コマンドモード
Normal Exec、 Privileged Exec
例
Console#show ip dvmrp interface
Vlan 1 is up
DVMRP is enabled
Metric is 1
Console#
4-315
4
コマンドラインインターフェース
PIM-DM マルチキャストルーティングコマンド
表 4-109. PIM-DM マルチキャストルーティングコマンド
コマンド
機能
モード
ページ
router pim
ルータで PIM をグローバルに有効にします。
GC
4-316
ip pim dense-mode
指定インターフェースで PIM を有効にします。
IC
4-317
ip pim hello-interval
PIM Hello メッセージの送信間隔を設定します。
IC
4-317
ip pim hello-holdtime
隣接する PIM ルータの使用不能を宣言する前に、その IC
ルータの Hello メッセージを待機する時間を設定します。
4-318
ip pim
trigger-hello-interval
トリガーされる PIM Hello メッセージを送信するまで IC
の最大時間を設定します。
4-319
ip pim
join-prune-holdtime
プルーン状態のホールドタイムを構成します。
IC
4-319
ip pim graft-retry-interval グラフトメッセージを再送信する前に、グラフト IC
ACK （肯定応答）を待機する時間を設定します。
4-320
ip pim max-graft-retries
ACK （肯定応答）がない場合に、グラフトメッセージ IC
を再送信する最大回数を構成します。
4-320
show router pim
グローバルな PIM コンフィギュレーション設定を表 NE、 PE 4-321
示します。
show ip pim interface
PIM を構成したインターフェースに関する情報を表 NE、 PE 4-321
示します。
show ip pim neighbor
PIM 隣接ルータに関する情報を表示します。
NE、 PE 4-322
router pim
このコマンドでは、このルータで PIM-DM (Protocol-Independent Multicast - Dense Mode) を
グローバルに有効にし、ルータコンフィギュレーションモードに入ります。 no 形式を使用
すると、 PIM-DM マルチキャストルーティングが無効になります。
構文
[no] router pim
デフォルト設定
無効
コマンドモード
グローバルコンフィギュレーション
コマンドの使用
このコマンドは、ルータで PIM-DM をグローバルに有効にします。 ip pim dense-mode
コマンド（4-317 ページ）を使用して、マルチキャストルーティングをサポートする各
インターフェースで PIM-DM を有効にする必要があります。また、マルチキャストプ
ロトコルパラメータを必要に応じて変更します。
例
Console(config)#router pim
Console#show router pim
Admin Status: Enabled
Console#
4-316
マルチキャストルーティングコマンド
4
ip pim dense-mode
このコマンドでは、指定インターフェースで PIM-DM を有効にします。 no 形式を使用する
と、インターフェースの PIM-DM が無効になります。
構文
[no] ip pim dense-mode
デフォルト設定
無効
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
• PIM-DM を完全に有効にするには、 ip multicast-routing コマンド（4-305 ページ）で
ルータのマルチキャストルーティングをグローバルに有効にし、router pim コマンド
（4-316 ページ）でルータの PIM-DM をグローバルに有効にし、さらに ip pim
dense-mode コマンドで、マルチキャストルーティングに参加する各インターフェー
スの PIM-DM を有効にする必要があります。
• インターフェース上で PIM を有効にした場合、そのインターフェースでは IGMP も有
効にする必要があります。
• デンスモードのインターフェースは、デフォルトでマルチキャストフラッディングの
対象となります。これらのインターフェースがマルチキャストルーティングテーブ
ルから削除されるのは、グループメンバーか下流ルータが存在しないとルータが判断
した時か、下流ルータからのプルーンメッセージが受信された時のみです。
例
Console(config)#interface vlan 1
Console(config-if)#ip pim dense-mode
Console#show ip pim interface
Vlan 1 is up
PIM is enabled, mode is Dense.
Internet address is 10.1.0.253.
Hello time interval is 30 sec, trigger hello time interval is 5 sec.
Hello holdtime is 105 sec.
Join/Prune holdtime is 210 sec.
Graft retry interval is 3 sec, max graft retries is 2.
DR Internet address is 10.1.0.253, neighbor count is 0.
Console#
ip pim hello-interval
このコマンドでは、 PIM Hello メッセージが送信される頻度を構成します。 no 形式を使用す
ると、デフォルト値に戻ります。
構文
ip pim hello-interval seconds
no pim hello-interval
seconds - PIM Hello メッセージを送信する間隔です（範囲 : 1 ～ 65535）。
4-317
4
コマンドラインインターフェース
デフォルト設定
30 秒
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
Hello メッセージは、デバイスが受信したプローブの送信元である隣接 PIM ルータへ送
信されるもので、これらの隣接ルータがまだマルチキャストツリーのアクティブなメン
バーであるかどうかを検証するために使用されます。
例
Console(config-if)#ip pim hello-interval 60
Console(config-if)#
ip pim hello-holdtime
このコマンドでは、隣接する PIM ルータが使用不能であると宣言する前に、このルータから
の Hello メッセージを待機する間隔を設定します。 no 形式を使用すると、デフォルト値に戻
ります。
構文
ip pim hello-holdtime seconds
no ip pim hello-interval
seconds - PIM Hello メッセージのホールドタイムです（範囲 : 1 ～ 65535）。
デフォルト設定
105 秒
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
ip pim hello-holdtime は、 ip pim hello-interval （4-317 ページ）の値の 3.5 倍に設定
する必要があります。
例
Console(config-if)#ip pim hello-holdtime 210
Console(config-if)#
4-318
4
マルチキャストルーティングコマンド
ip pim trigger-hello-interval
このコマンドでは、ルータをリブートした後や、インターフェースで PIM を有効にした後に、
トリガーされる PIM Hello メッセージを送信するまでの最大時間を構成します。 no 形式を使
用すると、デフォルト値に戻ります。
構文
ip pim triggerr-hello-interval seconds
no ip pim triggerr-hello-interval
seconds - トリガーされる PIM Hello メッセージを送信するまでの最大時間です
（範囲 : 0 ～ 65535）。
デフォルト設定
5秒
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
• ルータを初めて起動する時や、インターフェースで PIM を有効にした時、hello-interval
の値は、 0 から trigger-hello-interval までの範囲でランダムな数値に設定されます。こ
れにより、複数のルータを同時に電源オンにした場合に、マルチアクセスリンク上の
Hello メッセージが同期するのを回避します。
• また、新規の隣接ルータから Hello メッセージを受信した場合、受信ルータは、 0 から
trigger-hello-interval までの範囲のランダムな値だけ遅延して、自身の Hello メッセー
ジを送信します。
例
Console(config-if)#ip pim triggerr-hello-interval 10
Console(config-if)#
ip pim join-prune-holdtime
このコマンドでは、プルーン状態のホールドタイムを構成します。 no 形式を使用すると、デ
フォルト値に戻ります。
構文
ip pim join-prune-holdtime seconds
no ip pim join-prune-holdtime
seconds - プルーン状態のホールドタイムです（範囲 : 0 ～ 65535）。
デフォルト設定
210 秒
コマンドモード
インターフェースコンフィギュレーション（VLAN）
4-319
4
コマンドラインインターフェース
コマンドの使用
特定の送信元からマルチキャストストリームを最初に受信するマルチキャストイン
ターフェースは、ルータ上の他のすべての PIM インターフェースにこのトラフィックを
転送します。要求しているグループが該当インターフェース上に存在しない場合、葉ノー
ドは、上流にプルーンメッセージを送信し、このマルチキャストストリームに対して
プルーン状態に入ります。このプルーン状態は、 join-prune-holdtime のタイマーが満了
するか、フォワーディングエントリに対するグラフトメッセージが受信されるまで維
持されます。
例
Console(config-if)#ip pim join-prune-holdtime 60
Console(config-if)#
ip pim graft-retry-interval
このコマンドでは、グラフトを再送信する前に、グラフト ACK （肯定応答）を待機する時間
を設定します。 no 形式を使用すると、デフォルト値に戻ります。
構文
ip pim graft-retry-interval seconds
no ip pim graft-retry-interval
seconds - グラフトを再送信するまでの時間です（範囲 : 0 ～ 65535）。
デフォルト設定
3秒
コマンドモード
インターフェースコンフィギュレーション（VLAN）
コマンドの使用
グラフトメッセージは、プルーン状態を取り消すために、ルータによって送信されるも
のです。グラフトメッセージを受信したルータは、グラフト ACK （肯定応答）メッセー
ジで応答する必要があります。この ACK （肯定応答）が失われた場合、グラフトメッ
セージを送信したルータは、（ip pim max-graft-retries コマンドで定義された）回数だ
け再送信します。
例
Console(config-if)#ip pim graft-retry-interval 9
Console(config-if)#
ip pim max-graft-retries
このコマンドでは、グラフトメッセージに対して ACK （肯定応答）がない場合に、グラフトメッ
セージを再送信する最大回数を構成します。no 形式を使用すると、デフォルト値に戻ります。
構文
ip pim max-graft-retries retries
no ip pim graft-retry-interval
retries - グラフトを再送信する最大回数です（範囲 : 0 ～ 65535）。
4-320
マルチキャストルーティングコマンド
4
デフォルト設定
2
コマンドモード
インターフェースコンフィギュレーション（VLAN）
例
Console(config-if)#ip pim max-graft-retries 5
Console(config-if)#
show router pim
このコマンドでは、グローバルな PIM コンフィギュレーション設定を表示します。
コマンドモード
Normal Exec、 Privileged Exec
例
Console#show router pim
Admin Status: Enabled
Console#
show ip pim interface
このコマンドでは、 PIM を構成したインターフェースに関する情報を表示します。
構文
show ip pim interface vlan-id
vlan-id - VLAN ID です（範囲 : 1 ～ 4094）。
コマンドモード
Normal Exec、 Privileged Exec
コマンドの使用
このコマンドは、前述した指定インターフェースの PIM 設定を表示します。指定 PIM
ルータのアドレスと、隣接 PIM ルータの数も表示されます。
例
Console#show ip pim interface 1
Vlan 1 is up
PIM is enabled, mode is Dense.
Internet address is 10.1.0.253.
Hello time interval is 30 sec, trigger hello time interval is 5 sec.
Hello holdtime is 105 sec.
Join/Prune holdtime is 210 sec.
Graft retry interval is 3 sec, max graft retries is 2.
DR Internet address is 10.1.0.254, neighbor count is 1.
Console#
4-321
4
コマンドラインインターフェース
show ip pim neighbor
このコマンドでは、 PIM 隣接ルータに関する情報を表示します。
構文
show ip pim neighbor [ip-address]
ip-address - PIM 隣接ルータの IP アドレスです。
デフォルト設定
すべての既知の PIM 隣接ルータに関する情報を表示します。
コマンドモード
Normal Exec、 Privileged Exec
例
Console#show ip pim neighbor
Address
VLAN Interface
Uptime
Expire
Mode
--------------- ---------------- -------- -------- ------10.1.0.254
1
17:38:16 00:01:25
Dense
Console#
表 4-110. show ip pim neighbor - フィールドの説明
フィールド
説明
Address
ネクストホップルータの IP アドレスです。
VLAN Interface
この隣接ルータに接続されているインターフェースの番号です。
Uptime
このエントリがアクティブになってからの経過時間です。
Expire
このエントリが削除されるまでの残り時間です。
モード
このインターフェースで使用される PIM モードです（デンスモードのみサポー
トされています）。
4-322
ルータ冗長性コマンド
4
ルータ冗長性コマンド
ルータ冗長性プロトコルは、プライマリルータおよび複数のバックアップルータをサポート
するために、仮想 IP アドレスを使用します。マスタールータに障害が発生した時にワーク
ロードを引き継ぐように、バックアップルータを構成することができます。また、トラフィッ
クロードを共有するように構成することもできます。ルータ冗長性の主な目的は、プライマ
リゲートウェイの障害発生時に、固定ゲートウェイで構成されたホストデバイスがネット
ワークコネクティビティを保持できるようにすることです。
表 4-111. ルータ冗長性コマンド
コマンドグループ
機能
ページ
仮想ルータ冗長性
プロトコル（VRRP）
VRRP のインターフェース設定を構成します。
4-323
仮想ルータ冗長性プロトコル（VRRP）コマンド
VRRP を構成するには、グループ内でマスター仮想ルータとして機能する 1 つのルータ上の
インターフェースを選択します。この物理インターフェースは、ルータグループの仮想アド
レスとして使用されます。ここで、バックアップルータに同じ仮想アドレスとプライオリティ
を設定し、認証ストリングを構成します。また、オンラインになった時にマスタールータと
して処理を引き継ぐことを可能にするプリエンプト機能を、ルータで有効にすることもでき
ます。
表 4-112. VRRP コマンド
コマンド
機能
vrrp ip
VRRP を有効にし、仮想ルータの IP アドレスを設定し IC
ます。
モードページ
4-324
vrrp authentication key
他のルータから受信した VRRP パケットの認証に使用 IC
されるキーを構成します。
4-325
vrrp priority
VRRP グループ内でのこのルータのプライオリティを IC
設定します。
4-325
vrrp timers advertise
マスター仮想ルータの連続するアドバタイズメントの IC
間隔を設定します。
4-326
vrrp preempt
現在のマスター仮想ルータよりも高いプライオリティ IC
を持つルータが VRRP グループに参加した時、この
ルータがマスター仮想ルータとして処理を引き継ぐよ
うに構成します。
4-327
show vrrp
VRRP ステータス情報を表示します。
PE
4-328
show vrrp interface
指定インターフェースの VRRP ステータス情報を表示 PE
します。
4-329
show vrrp router
counters
VRRP 統計情報を表示します。
PE
4-330
show vrrp interface
counters
指定インターフェースの VRRP 統計情報を表示しま PE
す。
4-330
clear vrrp router
counters
VRRP ルータの統計情報をクリアします。
PE
4-331
clear vrrp interface
counters
VRRP インターフェースの統計情報をクリアします。
PE
4-331
4-323
4
コマンドラインインターフェース
vrrp ip
このコマンドでは、インターフェース上の仮想ルータ冗長性プロトコル（VRRP）を有効に
し、仮想ルータの IP アドレスを指定します。 no 形式を使用すると、インターフェース上の
VRRP が無効になり、 IP アドレスが仮想ルータから削除されます。
構文
[no] vrrp group ip ip-address [secondary]
• group - 仮想ルータグループを識別します（範囲 : 1 ～ 255）。
• ip-address - 仮想ルータの IP アドレスです。
• secondary - この VRRP グループがサポートする現在の VLAN インターフェース
に割り当てられた追加のセカンダリ IP アドレスを指定します。
デフォルト設定
仮想ルータグループは構成されていません。
コマンドモード
インターフェース（VLAN）
コマンドの使用
• 仮想ルータグループに参加しているすべてのルータのインターフェースは、同じ IP
サブネットに属する必要があります。
• 仮想ルータに割り当てられる IP アドレスは、オーナーになるルータ上で予め構成され
ている必要があります。すなわち、このコマンドで指定された IP アドレスは、仮想
ルータグループの 1 台の、かつ唯一のルータ上にすでに存在している必要がありま
す。また、仮想ルータアドレスのネットワークマスクはオーナーから派生します。ま
た、オーナーは、グループ内のマスター仮想ルータとしての役割も果たします。
• 現在の VLAN インターフェース上で複数のセカンダリアドレスを構成した場合、この
コマンドを secondary キーワードとともに使用することで、仮想ルータによってサ
ポートされる任意のセカンダリアドレスを追加することができます。
• このコマンドを入力すると、 VRRP は即座に有効になります。 VRRP の他のパラメー
タ（認証、プライオリティ、アドバタイズメント間隔てなど）をカスタマイズする必
要がある場合、最初にこれらのパラメータを構成してから、 VRRP を有効にしてくだ
さい。
例
このコマンドでは、 VRRP グループのオーナーとして VLAN 1 のプライマリインターフェー
スを使用して、 VRRP グループ 1 を作成し、グループのメンバーとしてセカンダリインター
フェースを追加します。
Console(config)#interface vlan 1
Console(config-if)#vrrp 1 ip 192.168.1.6
Console(config-if)#vrrp 1 ip 192.168.2.6 secondary
Console(config-if)#
4-324
ルータ冗長性コマンド
4
vrrp authentication
このコマンドでは、他のルータから受信した VRRP パケットの認証に使用されるキーを指定
します。 no 形式を使用すると、認証が無効になります。
構文
vrrp group authentication key
no vrrp group authentication
• group - 仮想ルータグループを識別します（範囲 : 1 ～ 255）。
• key - 認証ストリングです（範囲 : 1 ～ 8 英数字文字）。
デフォルト設定
定義されているキーはありません。
コマンドモード
インターフェース（VLAN）
コマンドの使用
• 同じ VRRP グループ内のすべてのルータは、同じ認証キーで構成されている必要があ
ります。
• グループ内の別のルータから VRRP パケットが受信されると、その認証キーは、この
ルータ上で構成されたストリングと比較されます。キーが合致すれば、メッセージは
受理されます。合致しない場合、パケットは廃棄されます。
• プレーンテキスト認証では、現実的なセキュリティは何も提供されません。プレーン
テキストは、誤設定されたルータが VRRP に参加することを防ぐためにのみサポート
されています。
例
Console(config-if)#vrrp 1 authentication bluebird
Console(config-if)#
vrrp priority
このコマンドでは、 VRRP グループ内でのこのルータのプライオリティを設定します。 no 形
式を使用すると、デフォルト設定に戻ります。
構文
vrrp group priority level
no vrrp group priority
• group - VRRP グループを識別します（範囲 : 1 ～ 255）。
• level - VRRP グループ内でのこのルータのプライオリティを設定します
（範囲 : 1 ～ 254）。
デフォルト設定
100
コマンドモード
インターフェース（VLAN）
4-325
4
コマンドラインインターフェース
コマンドの使用
• 仮想ルータに使用されるのと同じ IP アドレスの物理インターフェースを持つルータ
が、マスター仮想ルータになります。現在のマスターが故障した時には、最も高いプ
ライオリティを持つバックアップルータがマスタールータになります。元のマスター
ルータが障害から回復すると、アクティブなマスタールータとして再び処理を引き継
ぎます。
• 2 つまたはそれ以上のルータが同じ VRRP プライオリティで構成されている場合、現
在のマスターの故障時には、最も高い IP アドレスを持つルータが、新規マスタールー
タとして選出されます。
• vrrp preempt コマンドによりバックアッププリエンプト機能が有効になっており、現
在マスターとして動作しているルータよりも高いプライオリティを持つバックアップ
ルータがオンラインになった場合、このバックアップルータが新規マスターとして処
理を引き継ぎます。ただし、元のマスター（VRRP IP アドレスのオーナー）がオンラ
インに戻ると、常にマスターとしての制御を再開します。
例
Console(config-if)#vrrp 1 priority 1
Console(config-if)#
関連コマンド
vrrp preempt （4-327）
vrrp timers advertise
このコマンドでは、マスター仮想ルータが、マスターとしてのその状態を通信するためのア
ドバタイズメントを送信する間隔を設定します。 no 形式を使用すると、デフォルトの間隔に
戻ります。
構文
vrrp group timers advertise interval
no vrrp group timers advertise
• group - VRRP グループを識別します（範囲 : 1 ～ 255）。
• interval - マスター仮想ルータがアドバタイズメントを行う間隔です
（範囲 : 1 ～ 255 秒）。
デフォルト設定
1秒
コマンドモード
インターフェース（VLAN）
コマンドの使用
• 現在のマスター仮想ルータからの VRRP アドバタイズメントには、そのプライオリ
ティとマスターとしての現在の状態に関する情報が含まれています。
• VRRP アドバタイズメントは、マルチキャストアドレス 224.0.0.8 へ送信されます。
マルチキャストアドレスを使用すると、指定 VRRP グループに参加していないネッ
トワークデバイスによって処理される必要のあるトラフィックの量を削減できます。
4-326
ルータ冗長性コマンド
4
• マスタールータがアドバタイズメントの送信を停止すると、バックアップルータは、
プライオリティに基づいてマスタールータの候補となります。マスターとして処理を
引き継ごうとする前の dead 間隔の値は、 hello 間隔の 3 倍に 0.5 秒を加えたものにな
ります。
例
Console(config-if)#vrrp 1 timers advertise 5
Console(config-if)#
vrrp preempt
このコマンドでは、現在マスターとして動作しているルータよりも高いプライオリティを持
つルータが VRRP グループに参加した時、このルータがマスター仮想ルータとして処理を引
き継ぐように構成します。 no 形式を使用すると、プリエンプションが無効になります。
構文
vrrp group preempt [delay seconds]
no vrrp group preempt
• group - VRRP グループを識別します（範囲 : 1 ～ 255）。
• seconds - マスターになる宣言を発行するまでの待機時間です（範囲 : 0 ～ 120 秒）。
デフォルト設定
プリエンプション : 有効
待機時間 : 0 秒
コマンドモード
インターフェース（VLAN）
コマンドの使用
• プリエンプト機能が有効になっており、このバックアップルータが現在マスターとし
て動作しているルータよりも高いプライオリティを持つ場合、新規マスターとして処
理を引き継ぎます。ただし、元のマスター（VRRP IP アドレスのオーナー）がオンラ
インに戻ると、常にマスターとしての制御を再開します。
• この遅延を設定することにより、新規ルータが制御を引き継ぐ前に、現在のマスター
からアドバタイズメントメッセージを受信するための追加の時間を与えることがで
きます。マスターになろうとしているルータがオンラインになった時、（新規ルータ
が）現在のアクティブルータを実際にプリエンプトする前に、この遅延時間により、
ルーティングテーブルの情報を収集する時間が与えられます。
例
Console(config-if)#vrrp 1 preempt delay 10
Console(config-if)#
関連コマンド
vrrp priority （4-325）
4-327
4
コマンドラインインターフェース
show vrrp
このコマンドでは、 VRRP のステータス情報を表示します。
構文
show vrrp [brief | group]
• brief - このルータ上のすべての VRRP グループに関するサマリー情報を表示します。
• group - VRRP グループを識別します（範囲 : 1 ～ 255）。
デフォルト
なし
コマンドモード
Privileged Exec
コマンドの使用
• キーワードを指定せずに、このコマンドを使用すると、このルータ上で構成されたす
べての VRRP グループのステータス情報が完全にリスト表示されます。
• このコマンドを brief キーワードとともに使用すると、このルータ上で構成されたす
べての VRRP グループのステータスに関する要約情報が表示されます。
• 特定のグループに関するステータス情報を表示するには、グループ番号を指定します。
例
この例では、すべてのグループに関するステータス情報を完全にリスト表示します。
Console#show vrrp
Vlan 1 - Group 1,
state
Virtual IP address
Virtual MAC address
Advertisement interval
Preemption
Min delay
Priority
Authentication
Authentication key
Master Router
Master priority
Master Advertisement interval
Master down interval
Console#
Master
192.168.1.6
00-00-5E-00-01-01
5 sec
enabled
10 sec
1
SimpleText
bluebird
192.168.1.6
255
5 sec
15
表 4-113. show vrrp - フィールドの説明
フィールド
説明
State
このインターフェースの VRRP 役割（マスターまたはバックアップ）です。
Virtual IP address
この VRRP グループを識別する仮想アドレスです。
Virtual MAC address 仮想 IP アドレスのオーナーから派生する仮想 MAC アドレスです。
Advertisement
interval
マスター仮想ルータが、マスターとしての自身の役割をアドバタイズする間
隔です。
Preemption
より高いプライオリティのルータが、現在マスターとして動作しているルー
タをプリエンプトできるか表示します。
4-328
4
ルータ冗長性コマンド
表 4-113. show vrrp - フィールドの説明（続き）
フィールド
説明
Min delay
より高いプライオリティのルータが、現在マスターとして動作しているルー
タをプリエンプトするまでの遅延時間です。
Priority
このルータのプライオリティです。
Authentication
VRRP パケットの検証に使用される認証モードです。
Authentication key
他のルータから受信した VRRP パケットの認証に使用されるキーです。
Master Router
VRRP グループマスターとして現在動作しているルータの IP アドレスです。
Master priority
VRRP グループマスターとして現在動作しているルータのプライオリティ
です。
Master Advertisement VRRP マスター上で構成されるアドバタイズメント間隔です。
interval
Master down
interval
VRRP マスター上で構成される、ダウン間隔です（この間隔は、ローカル設
定に関わらず、グループ内のすべてのルータで使用されます）。
この例では、すべてのグループに関するステータス情報を簡潔にリスト表示します。
Console#show vrrp brief
Interface
Grp
State
Virtual addr
Int
Pre
Prio
---------------------------------------------------------------vlan 1
1
Master
192.168.1.6
5
E
1
Console#
表 4-114. show vrrp brief - フィールドの説明
フィールド
説明
Interface
VLAN インターフェースです。
Grp
VRRP グループです。
State
このインターフェースの VRRP 役割（マスターまたはバックアップ）です。
Virtual addr
この VRRP グループを識別する仮想アドレスです。
Int
マスター仮想ルータが、マスターとしての自身の役割をアドバタイズする間隔です。
Pre
より高いプライオリティのルータが、現在マスターとして動作しているルータを
プリエンプトできるか表示します。
Prio
このルータのプライオリティです。
show vrrp interface
このコマンドでは、指定した VRRP インターフェースのステータス情報を表示します。
構文
show vrrp interface vlan vlan-id [brief]
• vlan-id - 構成された VLAN インターフェースの識別子です（範囲 : 1 ～ 4093）。
• brief - このルータ上のすべての VRRP グループに関するサマリー情報を表示します。
デフォルト
なし
4-329
4
コマンドラインインターフェース
コマンドモード
Privileged Exec
例
この例では、 VLAN 1 に関するステータス情報を完全にリスト表示します。
Console#show vrrp interface vlan 1
Vlan 1 - Group 1,
state
Master
Virtual IP address
192.168.1.6
Virtual MAC address
00-00-5E-00-01-01
Advertisement interval
5 sec
Preemption
enabled
Min delay
10 sec
Priority
1
Authentication
SimpleText
Authentication key
bluebird
Master Router
192.168.1.6
Master priority
1
Master Advertisement interval
5 sec
Master down interval
15
Console#
* 表示される項目に関する説明は、 4-328 ページの「show vrrp」を参照してください。
show vrrp router counters
このコマンドでは、 VRRP プロトコルパケット内のエラーに対するカウンタを表示します。
コマンドモード
Privileged Exec
例
未知のエラーは、未知または非サポート対象のバージョン番号で受信された VRRP パケット
を示すことに注意してください。
Console#show vrrp router counters
Total Number of VRRP Packets with Invalid Checksum : 0
Total Number of VRRP Packets with Unknown Error
: 0
Total Number of VRRP Packets with Invalid VRID
: 0
Console#
show vrrp interface counters
このコマンドでは、指定グループまたはインターフェースで発生した VRRP プロトコルイベ
ントとエラーのカウンタを表示します。
show vrrp group interface vlan interface counters
• group - VRRP グループを識別します（範囲 : 1 ～ 255）。
• interface - 構成された VLAN インターフェースの識別子です（範囲 : 1 ～ 4093）。
デフォルト
なし
コマンドモード
Privileged Exec
4-330
ルータ冗長性コマンド
4
例
Console#show vrrp 1 interface vlan 1 counters
Total Number of Times Transitioned to MASTER
Total Number of Received Advertisements Packets
Total Number of Received Error Advertisement Interval Packets
Total Number of Received Authentication Failures Packets
Total Number of Received Error IP TTL VRRP Packets
Total Number of Received Priority 0 VRRP Packets
Total Number of Sent Priority 0 VRRP Packets
Total Number of Received Invalid Type VRRP Packets
Total Number of Received Error Address List VRRP Packets
Total Number of Received Invalid Authentication Type VRRP Packets
Total Number of Received Mismatch Authentication Type VRRP Packets
Total Number of Received Error Packet Length VRRP Packets
Console#
:
:
:
:
:
:
:
:
:
:
:
:
6
0
0
0
0
0
5
0
0
0
0
0
* 表示される項目に関する説明は、 3-202 ページの「VRRP グループ統計情報の表示」を参照してく
ださい。
clear vrrp router counters
このコマンドでは、 VRRP システムの統計情報をクリアします。
コマンドモード
Privileged Exec
例
Console#clear vrrp router counters
Console#
clear vrrp interface counters
このコマンドでは、指定したグループおよびインターフェースの VRRP システム統計情報を
クリアします。
clear vrrp group interface interface counters
• group - VRRP グループを識別します（範囲 : 1 ～ 255）。
• interface - 構成された VLAN インターフェースの識別子です（範囲 : 1 ～ 4093）。
デフォルト
なし
コマンドモード
Privileged Exec
例
Console#clear vrrp 1 interface 1 counters
Console#
4-331
4
4-332
コマンドラインインターフェース
付録Ａ : ソフトウェア仕様
ソフトウェア機能
認証
ローカル、 RADIUS、 TACACS+、ポート（802.1X）、 HTTPS、 SSH、ポートセキュリティ
ACL （アクセス制御リスト）
IP、 MAC ( 最大 32 リスト )
DHCP クライアント、リレー、サーバー
DNS クライアント、プロキシ
ポートコンフィギュレーション
1000BASE-T: 10/100 Mbps 半二重 / 全二重、 1000 Mbps 全二重
1000BASE-SX/LX/LH - 1000 Mbps 全二重（SFP）
10GBASE-LR - 10 Gbps 全二重（モジュール )
ブロードキャストストーム制御
クリティカルしきい値超過トラフィックを抑制
ポートミラーリング
複数の送信元ポート、 1 つの宛先ポート
レートリミット
入力制限
出力制限
範囲（ポートごとに構成）
ポートトランキング
スタティックトランク（Cisco EtherChannel 準拠）
ダイナミックトランク（リンクアグレゲーション制御プロトコル）
スパニングツリーアルゴリズム
スパニングツリープロトコル（STP、 IEEE 802.1D）
高速スパニングツリープロトコル（RSTP、 IEEE 802.1w）
複数スパニングツリープロトコル（MSTP、 IEEE 802.1s）
VLAN サポート
最大 255 グループのポートベース、プロトコルベース、またはタグ付き（802.1Q）
GVRP による自動 VLAN 学習、プライベート VLAN
CoS （サービスクラス）
8 個のプライオリティレベルおよび WRR（加重ラウンドロビン）キューイングをサポート
（VLAN タグまたはポートにより構成可能）
レイヤー 3/4 プライオリティマッピング :IP ポート、 IP 優先度、 IP DSCP
サービス品質
DiffServ によりクラスマップ、ポリシーマップ、およびサービスポリシーをサポート
Ａ -1
Ａ
ソフトウェア仕様
マルチキャストフィルタリング
IGMP スヌーピング（レイヤー 2）
IGMP （レイヤー 3）
マルチキャストルーティング
DVMRP、 PIM-DM
IP ルーティング
ARP、プロキシ ARP
スタティックルート
RIP、 RIPv2 、および OSPFv2 ダイナミックルーティング
VRRP （バーチャルルータ冗長プロトコル）
その他の機能
BOOTP クライアント
CIDR （クラスレスドメイン間ルーティング）
SNTP （簡易ネットワークタイムプロトコル）
SNMP （簡易ネットワーク管理プロトコル）
RMON （リモートモニタリング、グループ 1、 2、 3、 9）
SMTP 電子メールアラート
管理機能
帯域内管理
Telnet、ウェブベースの HTTP または HTTPS、SNMP マネージャ、またはセキュアシェル
帯域外管理
RS-232 DB-9 コンソールポート
ソフトウェアのロード
TFTP 帯域内または XModem 帯域外
SNMP
MIB データベースによる管理アクセス
指定ホストに対するトラップ管理
RMON
グループ 1、 2、 3、 9 （統計情報、ヒストリ、アラーム、イベント）
Ａ -2
規格
Ａ
規格
IEEE 802.1D スパニングツリープロトコルおよびトラフィックプライオリティ
IEEE 802.1p プライオリティタグ
IEEE 802.1Q VLAN
IEEE 802.1v プロトコルベース VLAN
IEEE 802.1s 複数スパニングツリープロトコル
IEEE 802.1w 高速スパニングツリープロトコル
IEEE 802.1X ポート認証
IEEE 802.3-2002
イーサネット、ファーストイーサネット、ギガビットイーサネット
リンクアグレゲーション制御プロトコル（LACP）
IEEE 802.3ac VLAN タギング
ARP (RFC 826)
DHCP クライアント（RFC 1541）
DHCP リレー（RFC 951）
DHCP サーバー（RFC 2131）
DVMRP (RFC 1075)
HTTPS
ICMP (RFC 792)
IGMP (RFC 1112)
IGMPv2 (RFC 2236)
OSPF (RFC 2328、 1587)
PIM-DM (draft-ietf-idmr-pim-dm-06)
RADIUS+ (RFC 2618)
RIP (RFC 1058)
RIPv2 (RFC 2453)
RMON （RFC 1757 グループ 1、 2、 3、 9）
SNMP (RFC 1157)
SNMPv2c (RFC 2571)
SNMPv3 (RFC RAFT 3414、 2570、 2273、 3411、 3415)
SNTP (RFC 2030)
SSH （バージョン 2.0）
TFTP (RFC 1350)
VRRP (RFC 2338)
Ａ -3
Ａ
ソフトウェア仕様
MIB （管理情報ベース）
ブリッジ MIB (RFC 1493)
DNS リゾルバ MIB （RFC 1612）
DVMRP MIB
エンティティ MIB (RFC 2737)
イーサライク MIB (RFC 2665)
拡張ブリッジ MIB (RFC 2674)
SNMP 拡張エージェント MIB (RFC 2742)
IP フォワーディングテーブル MIB (RFC 2096)
IGMP MIB (RFC 2933)
インターフェースグループ MIB (RFC 2233)
インターフェース拡張 MIB (RFC 2863)
IP マルチキャスティング関連 MIB
MAU MIB (RFC 3636)
MIB II (RFC 1213)
OSPF MIB (RFC 1850)
PIM MIB (RFC 2934)
ポートアクセスエンティティ MIB (IEEE 802.1X)
ポートアクセスエンティティ装置 MIB
プライベート MIB
サービス品質 MIB
RADIUS 認証クライアント MIB (RFC 2621)
RIP1 MIB (RFC 1058)
RIP2 MIB (RFC 2453)
RMON MIB (RFC 2819)
RMON II プローブコンフィギュレーショングループ（RFC 2021、一部実装）
SNMPv2 IP MIB (RFC 2011)
SNMP フレームワーク MIB (RFC 3411)
SNMP-MPD MIB (RFC 3412)
SNMP ターゲット MIB、 SNMP 通知 MIB (RFC 3413)
SNMP ユーザーベース SM MIB (RFC 3414)
SNMP ビューベース ACM MIB (RFC 3415)
SNMP コミュニティ MIB (RFC 2576)
TACACS+ 認証クライアント MIB
TCP MIB (RFC 2013)
トラップ（RFC 1215）
UDP MIB (RFC 2012)
VRRP MIB (RFC 2787)
Ａ -4
付録Ｂ : トラブルシューティング
管理インターフェースへのアクセスに関する問題
表Ｂ -1. トラブルシューティング一覧表
症状
アクション
Telnet、ウェブブラウ •
ザ、または SNMP ソフト •
ウェアを使用して接続
できない
•
•
•
•
•
セキュアシェルを使用 •
して接続できない
•
•
•
•
シリアルポート接続で •
オンボードの構成プロ
グラムにアクセスでき
ない
•
パスワードを忘れた
•
スイッチの電源がオンになっているか確認します。
管理ステーションとスイッチ間のネットワークケーブル接続
を確認します。
スイッチに対して有効なネットワーク接続が確立されている
か、使用しているポートが無効にされていないか確認します。
管理ステーションが接続されている VLAN インターフェース
に有効な IP アドレス、サブネットマスク、デフォルトゲート
ウェイが構成されているか確認します。
管理ステーションの IP アドレスが、接続先のスイッチの IP イ
ンターフェースと同じサブネットに属しているか確認します。
タグ付き VLAN グループの IP アドレスを使用してスイッチに
接続しようとしている場合、管理ステーション、およびネット
ワーク内の中継スイッチを接続するポートには適切なタグが
構成されている必要があります。
Telnet を使用して接続できない場合、 Telnet/SSH 同時セッ
ションの許容最大数を超えている可能性があります。しばらく
してから接続を再試行してください。
SSH を使用して接続できない場合、 Telnet/SSH 同時セッショ
ンの許容最大数を超えている可能性があります。しばらくして
から接続を再試行してください。
スイッチで SSH サーバーの制御パラメータが正しく構成され
ているか、また管理ステーションで SSH クライアントソフト
ウェアが正しく構成されているか確認します。
スイッチで公開キーが作成されているか、またこのキーが SSH
クライアントにエクスポートされているか確認します。
スイッチで各 SSH ユーザーのアカウント（ユーザー名、認証
レベル、パスワードを含む）が設定されているか確認します。
クライアントの公開キーがスイッチにインポートされている
か確認します（公開キー認証方式を使用する場合）。
端末エミュレーションプログラムが VT100 互換、 8 データ
ビット、 1 ストップビット、パリティなしに設定され、ボー
レートが 9600、 19200、 38400、 57600、 115200 bps のいず
れかに設定されているか確認します。
ヌルモデムシリアルケーブルが、『インストールガイド』に
記載されているピンアウト接続に適合しているか確認します。
お近くの販売店にご連絡ください。
Ｂ -1
Ｂ
トラブルシューティング
システムログの使用
障害が発生した場合、『インストールガイド』を参照して、その問題が実際にスイッチによっ
て引き起こされているかどうかを確認してください。問題の原因がスイッチであることが判
明したら、次の手順を実行します。
1.
ロギングを有効にします。
2.
すべてのカテゴリのエラーメッセージが報告されるよう設定します。
3.
エラーメッセージを受信する SNMP ホストを指定します。
4.
エラーを引き起こしたコマンドシーケンスまたはその他のアクションを繰り返します。
5.
障害が発生したコマンドまたは状況のリストを作成します。表示されたエラーメッセー
ジのリストも作成します。
6.
お近くの販売店のサービスエンジニアにご連絡ください。
例:
Console(config)#logging on
Console(config)#logging history flash 7
Console(config)#snmp-server host 192.168.1.23
.
.
.
Ｂ -2
用語集
アクセス制御リスト（ACL）
ACL では、各パケットの特定の IP 情報または MAC （レイヤー 2）情報をチェックすること
により、ネットワークトラフィックを制限したり、特定のユーザーまたはデバイスへのアク
セスを制限することができます。
アドレス解決プロトコル（ARP）
ARP では、 IP アドレスと MAC （ハードウェア）アドレス間の変換が行われます。 ARP は、
特定の IP アドレスに対応する MAC アドレスを見つけるために使用されます。これにより、
スイッチは IP アドレスによってルーティングを決定し、それに対応する MAC アドレスに
よってパケットをホップ間で転送することができます。
ブートプロトコル（BOOTP）
BOOTP は、ネットワークデバイスのブートアップ情報（IP アドレス情報、デバイスのシス
テムファイルが保持されている TFTP サーバーのアドレス、ブートファイルの名前など）を
供給するために使用されます。
サービスクラス（CoS）
CoS は、要求されるサービスレベルに基づいてパケットにプライオリティを設定し、適切な
出力キューに振り分けることによって実現されます。データは WRR （加重ラウンドロビン）
サービスによってキューから送信されます。 WRR によりプライオリティサービスが実行さ
れ、低レベルキューのブロックが防止されます。プライオリティの設定は、ポートデフォル
ト、パケットのプライオリティビット（VLAN タグ内）、 TCP/UDP ポート番号、 IP 優先度
ビット、または DSCP プライオリティビットに基づいて行われます。
差別化サービス（DiffServ）
DiffServ は、様々なアグレゲート転送動作を作成可能な、明確に定義された一連のビルディン
グブロックを採用することにより、大規模ネットワークにおいてサービス品質を実現します。
各パケットには、各ネットワークノードにおいてそのパケットに特定の転送処理を行うため
に各ホップで使用される情報（DS バイト）、すなわちホップごとの動作が含まれます。DiffServ
により、ネットワーク境界においてトラフィックメーター、シェーパー / ドロッパ、パケッ
トメーカーなどのメカニズムによって、ネットワーク上のユーザーに様々なサービスレベル
が割り当てられます。
差別化サービスコードポイントサービス（DSCP）
DSCP では、 6 ビットのタグによって最大 64 種類の転送動作が提供されます。ネットワーク
ポリシーに基づき、トラフィックの種類に応じてマークを付けることにより、異なる種類の
転送を行うことができます。 DSCP ビットは CoS （サービスクラス）カテゴリにマップされ、
次に出力キューに配置されます。
ドメインネームサービス（DNS）
ネットワークノードのホスト名を IP アドレスに変換するシステム。
用語集 -1
用語集
距離ベクトルマルチキャストルーティングプロトコル（DVMRP）
インターネットを介したマルチキャストデータグラムのルーティングに使用される距離ベク
トル型ルーティングプロトコル。DVMRP には、RIP の多くの機能とリバースパス転送（RPF）
が統合されています。
ダイナミックホスト制御プロトコル（DHCP）
TCP/IP ネットワーク上のホストにコンフィギュレーション情報を渡すためのフレームワー
クを提供します。 DHCP は BOOTP（ブートストラッププロトコル）に基づいており、再利用
可能なネットワークアドレスの自動割当て機能と追加の構成オプションが追加されています。
Extensible Authentication Protocol over LAN (EAPOL)
EAPOL はこのスイッチで採用されているクライアント認証プロトコルであり、スイッチにプ
ラグインされるあらゆるデバイスのネットワークアクセス権を検証します。スイッチが要求
したユーザー名とパスワードは、確認のため RADIUS などの認証サーバーに転送されます。
EAPOL は IEEE 802.1X ポート認証規格の一部として実装されます。
GARP VLAN 登録プロトコル（GVRP）
必要な VLAN メンバーをスパニングツリー上のポートに登録するために、スイッチ間で
VLAN 情報を交換する方法を定義しています。これにより、各スイッチで定義された VLAN
は、スパニングツリーネットワークを介して自動的に機能することができます。
汎用属性登録プロトコル（GARP）
GARP はエンドステーションやスイッチで使用されるプロトコルです。スイッチド環境でマ
ルチキャストグループメンバーシップ情報の登録および伝搬を行い、マルチキャストデータ
フレームが、スイッチド LAN の中の登録エンドステーションを含む部分にのみ伝搬されるよ
うにします。旧称はグループアドレス登録プロトコル。
汎用マルチキャスト登録プロトコル（GMRP）
GMRP により、ネットワークデバイスはエンドステーションをマルチキャストグループに
登録できます。 GMRP を使用するには、参加ネットワークデバイスまたはエンドステーショ
ンが IEEE 802.1p 規格に準拠していることが必須条件になります。
グループ属性登録プロトコル（GARP）
「汎用属性登録プロトコル」を参照。
IEEE 802.1D
スパニングツリープロトコルを含め、 MAC ブリッジの一般的な運用方法を定義しています。
IEEE 802.1Q
VLAN タギング — VLAN 情報を格納するイーサネットフレームタグを定義します。これによ
り、スイッチは異なるバーチャル LAN にエンドステーションを割り当てることができます。
この規格では、交換ネットワークを介して VLAN が通信を行う標準の方法を定義しています。
用語集 -2
用語集
IEEE 802.1p
イーサネットネットワークにおいて QoS（サービス品質）を実現するための IEEE 規格。IEEE
802.1p では、パケットタグを使用して最大 8 つの異なるトラフィッククラスを定義可能で
す。これにより、スイッチはタグ付けされたプライオリティ値に基づいてパケットを送信で
きます。
IEEE 802.1s
VLAN グループごとに独立したスパニングツリーを提供する複数スパニングツリープロト
コル（MSTP）の IEEE 規格。
IEEE 802.1X
IEEE 802.1X ポート認証では、ユーザーに対して最初に認証のためのユーザー ID とパスワー
ドの入力を求めることで、スイッチポートへのアクセスが制御されます。
IEEE 802.3ac
VLAN タギングのためのフレーム拡張方式を定義しています。
IGMP スヌーピング
IP マルチキャストグループのメンバーを識別するために、 IP マルチキャストルータと IP マ
ルチキャストホストグループとの間で転送される IGMP クエリーおよび IGMP レポートパ
ケットをリスニングすること。
IGMP クエリー
各サブネットワーク上では、 1 台の IGMP 対応デバイスがクエリアとして動作します。クエ
リアは、すべてのホストに対し、参加希望の、またはすでに属している IP マルチキャストグ
ループを報告するよう要求します。クエリアには、サブネットワーク内で最も小さい IP アド
レスを持つデバイスが選択されます。
インターネット制御メッセージプロトコル（ICMP）
IP パケットの処理エラーを報告するネットワークレイヤープロトコル。 ICMP は、より適切な
ルーティングの選択肢に関する情報をフィードバックするためにルータでも使用されます。
インターネットグループマネジメントプロトコル（IGMP）
ホストがマルチキャストサービスを受けるために、それぞれのローカルルータに登録する際
に使用するプロトコル。サブネットワーク内に 2 つ以上のマルチキャストスイッチ / ルータ
が存在する場合、 1 つのデバイスが「クエリア」となり、グループメンバーシップを追跡す
る役割を担います。
帯域内管理
ネットワークに直接接続されたステーションからネットワーク管理を行うこと。
IP マルチキャストフィルタリング
このスイッチが参加ホストにマルチキャストトラフィックを渡すプロセス。
用語集 -3
用語集
IP 優先度
IP ｖ 4 ヘッダーのタイプオブサービス（ToS）オクテットには、ネットワーク制御パケット
用の最高プライオリティから通常のトラフィック用の最低プライオリティまでの 8 つのプラ
イオリティレベルを定義する 3 ビットの優先度ビットが含まれています。デフォルトでは、
8 つのプライオリティ値はサービスクラスカテゴリに 1 対 1 でマップされますが、実際の
ネットワークアプリケーションの要件に応じて個別に構成することもできます。
レイヤー 2
ISO の定める、 7 階層から成るデータ通信プロトコルにおけるデータリンクレイヤー。ネッ
トワークデバイスのハードウェアインターフェースに直接関連付けられ、 MAC アドレスに
基づいてトラフィックを渡します。
レイヤー 3
ISO の定める、 7 階層から成るデータ通信プロトコルにおけるネットワークレイヤー。この
レイヤーでは、データをオープンシステム間で移動するためのルーティング機能が処理され
ます。
リンクアグレゲーション
「ポートトランク」を参照。
リンクアグレゲーション制御プロトコル（LACP）
LACP により、ポートは別のデバイス上の LACP 構成ポートとトランク接続されたリンクの
ネゴシエーションを自動的に行うことができます。
管理情報ベース（MIB）
Management Information Base の頭文字。特定のデバイスに関する情報が保持される一連の
データベースオブジェクトを指します。
MD5 メッセージダイジェストアルゴリズム
電子署名の作成に使用されるアルゴリズム。32 ビットマシンで使用することを前提に設計さ
れており、すでに破られた MD4 アルゴリズムより安全性が向上しています。 MD5 は一方向
型のハッシュ関数で、メッセージを、メッセージダイジェストと呼ばれる固定長の文字列に
変換します。
マルチキャストスイッチング
スイッチが、着信マルチキャストフレームからどの接続ホストも登録していないサービスを
フィルタリングするプロセス、または指定されたマルチキャスト VLAN グループに含まれる
すべてのポートにこれらを転送するプロセス。
ネットワークタイムプロトコル（NTP）
NTP では、ネットワーク全体で時刻を同期させるメカニズムが提供されます。サブネット内
のローカルクロックを有線または無線で同期させ、国内標準時刻に合わるために、タイム
サーバーはマスター / スレーブ階層構成で動作します。
用語集 -4
用語集
オープンショーテストパスファースト（OSPF）
OSPF は、 RIP などの距離ベクトル型ルーティングプロトコルとは対照的に、インターネッ
トなどの大規模ネットワークに適したリンクステートルーティングプロトコルです。無制限
のホップカウント、ルーティング更新の認証、可変長サブネットマスク（VLSM）などの機
能を備えています。
帯域外管理
ネットワークに接続されていないステーションからネットワーク管理を行うこと。
ポート認証
「IEEE 802.1X」を参照。
ポートミラーリング
ターゲットポート上のデータをモニターポートにミラーリングし、ロジックアナライザや
RMON プローブでトラブルシューティングを行う方法。ほかの処理に影響を与えることなく、
ターゲットポートのデータを観察できます。
ポートトランク
ネットワークのリンクアグレゲーションとトランキングの方式を定義するもので、複数の低
速物理リンクを統合して 1 つの高速論理リンクを作成する方法を指定します。
プライベート VLAN
プライベート VLAN では、割り当てられた VLAN 内のポート間でポートベースのセキュリ
ティおよび分割が実現されます。ダウンリンクポートのデータトラフィックは、アップリン
クポートとの間でのみ転送が可能です
サービス品質（QoS）
QoS は、データプライオリティ設定、キューイング、輻輳回避、トラフィックシェーピング
などの機能を使用して、選択されたトラフィックフローに対してより良いサービスを提供す
るネットワークの機能を指します。これらの機能では、フローのプライオリティを高めるか、
別のフローのプライオリティを制限することにより、特定フローに対して効率的に優先処理
を行います。
プロトコル独立型マルチキャスティング（PIM）
このマルチキャストルーティングプロトコルでは、マルチキャストトラフィックをダウンス
トリームにフラッディングし、リバースパス転送によってマルチキャスト送信元ネットワー
クに戻る最短パスが計算されます。 PIM ではルータの IP ルーティングテーブルが使用され、
DVMRP のようにマルチキャストルーティングテーブルが別途維持されません。 PIM 希薄
モードは、マルチキャストクライアントが存在する可能性の低い、ワイドエリアネットワー
クなどのネットワーク用に設計されています。一方、 PIM 稠密モードは、マルチキャストク
ライアントが存在する可能性の高いネットワーク用に設計されており、マルチキャストトラ
フィックの頻繁なフラッディングが可能です。
用語集 -5
用語集
リモート認証ダイヤルインユーザーサービス（RADIUS）
RADIUS は、中央サーバー上で稼働するソフトウェアを使用してネットワーク上の RADIUS
準拠デバイスへのアクセスを制御するログオン認証プロトコルです。
リモートモニタリング（RMON）
RMON では包括的なネットワークモニタリング機能が提供されます。標準 SNMP における
ポーリングの必要性が排除されるだけでなく、特定のエラータイプなど様々なトラフィック
条件でアラームを設定できます。
高速スパニングツリープロトコル（RSTP）
RSTP では、ネットワークトポロジ変更の際のコンバージェンス時間が、従来の IEEE 802.1D
STP 規格の約 10 分の 1 に短縮されます。
ルーティング情報プロトコル（RIP）
RIP プロトコルでは、概算送信コストとして使用される距離ベクトル、すなわちホップカウ
ントが最小になるように、別デバイスへの最短ルートが検索されます。 RIP-2 は RIP がアッ
プグレードされたものであり、 RIP と互換性があります。 RIP-2 にはサブネットルーティン
グ、認証、マルチキャスト送信など便利な機能が付加されています。
セキュアシェル（SSH）
Telnet を初めとするリモートアクセス機能の安全な代替手段です。 SSH では、暗号キーで
ユーザーを認証し、管理クライアントとスイッチ間のデータ接続を暗号化できます。
簡易メール転送プロトコル（SMTP）
TCP ポート 25 で動作する標準のホスト間メール転送プロトコル。
簡易ネットワーク管理プロトコル（SNMP）
インターネットプロトコル群のうち、ネットワーク管理サービスを提供するアプリケーショ
ンプロトコル。
簡易ネットワークタイムプロトコル（SNTP）
SNTP により、デバイスでは NTP （ネットワークタイムプロトコル）サーバーから定期的に
送信される更新に基づいて内部クロックを設定できます。更新は指定の NTP サーバーに要求
することも、 NTP サーバーから送信されるブロードキャストで受信することもできます。
スパニングツリーアルゴリズム（STA）
ネットワーク内にループが発生していないかをチェックするテクノロジ。複雑なネットワー
クシステムやバックアップリンクのあるネットワークシステムでは、ループが発生すること
がよくあります。スパニングツリーでは、検知されたデータは利用可能な最短パスで送信さ
れるため、ネットワークの性能と効率を最大限に高めることができます。
Telnet
TCP/IP ネットワークを介して端末デバイスを操作するためのリモート通信機能を指します。
用語集 -6
用語集
ターミナルアクセスコントローラアクセス制御システムプラス（TACACS+）
TACACS+ は、中央サーバー上で稼働するソフトウェアを使用してネットワーク上の
TACACS 準拠デバイスへのアクセスを制御するログオン認証プロトコルです。
伝送制御プロトコル / インターネットプロトコル（TCP/IP）
TCP を一次的な転送プロトコルとし、 IP をネットワークレイヤープロトコルとしたプロト
コル群。
簡易ファイル転送プロトコル（TFTP）
ソフトウェアのダウンロードに一般的に使用されている TCP/IP プロトコル。
ユーザーデータグラムプロトコル（UDP）
UDP ではパケット交換通信用のデータグラムモードが提供されます。基盤の転送メカニズム
として IP が使用され、 IP 系サービスへのアクセスが提供されます。 UDP パケットは宛先へ
の到達前に廃棄される可能性のあるコネクションレス型データグラムであり、 IP パケットと
同様に配信されます。 TCP が複雑すぎる、遅すぎる、または単に必要ない場合に UDP は便
利です。
バーチャル LAN （VLAN）
バーチャル LAN は、ネットワークにおける物理的位置や接続ポイントに関係なく、同じコリ
ジョンドメインを共有するネットワークノードの集合体です。 VLAN は物理的バリアのない
論理ワークグループとして機能するため、ユーザーは同一 LAN に存在しているかのように情
報やリソースを共有できます。
バーチャルルータ冗長プロトコル（VRRP）
バーチャル IP アドレスを使用することにより、プライマリルータおよび複数のバックアップ
ルータをサポートするプロトコル。バックアップルータは、マスタールータが障害になった
場合に処理を引き継いだり、トラフィック負荷を分散させるよう構成できます。 VRRP の主
な目的は、固定ゲートウェイが構成されているホストデバイスにおいて、プライマリゲート
ウェイが停止した場合にネットワークコネクティビティを維持することです。
XModem
デバイス間のファイル転送に使用されるプロトコル。データは 128 バイト単位のブロックに
分割され、エラーが訂正されます。
用語集 -7
用語集
用語集 -8
索　引
数字
802.1X、ポート認証 3-67, 4-81
A
ACL
MAC 3-76, 4-89, 4-101, 4-101–4-103
拡張 IP 3-76, 4-89, 4-91, 4-93
標準 IP 3-76, 4-89, 4-91, 4-92
ARP
構成 3-211, 4-253
説明 3-210
統計情報 3-215, 4-261
プロキシ 3-210, 4-256
B
BOOTP 3-19, 4-249
BPDU 3-115
C
CLI、コマンドの表示 4-4
CoS
DSCP 3-157, 4-221
IP ポートプライオリティ 3-159, 4-218
IP 優先度 3-156, 4-219
キューへのマップ 3-151, 4-215
キューモード 3-153, 4-213
構成 3-149, 4-212, 4-225
トラフィッククラスの重み 3-153, 4-214
レイヤー 3/4 プライオリティ 3-155,
4-218
D
DHCP 3-19, 4-249
アドレスプール 3-190, 4-131
クライアント 3-17, 4-125, 4-141
サーバー 3-188, 4-129
動的構成 2-8
リレーサービス 3-186, 4-127
DiffServ 3-161, 4-225
インターフェースへのポリシーのバイン
ディング 4-231
インターフェースへのポリシーのバイン
ド 3-167
クラスマップ 3-161, 4-226, 4-229
サービスポリシー 3-167, 4-231
ポリシーマップ 3-164, 4-228
DNS
キャッシュの表示 3-185
スタティックエントリ 3-183
デフォルトドメイン名 3-181, 4-142
ドメイン名リスト 3-181, 4-141
ネームサーバーリスト 3-181, 4-144
ルックアップの有効化 3-181, 4-145
DSCP
プライオリティのマップ 3-157, 4-221
有効 3-155, 4-221
DVMRP
インターフェース設定 3-268,
4-311–4-312
グローバル設定 3-265, 4-307–4-311
構成 3-265, 4-307
隣接ルータ 3-270, 4-315
ルーティングテーブル 3-271, 4-314
G
GARP VLAN 登録プロトコル
「GVRP」を参照
GVRP
インターフェースの構成 3-143, 4-209
グローバル設定 3-136, 4-208
H
HTTPS 3-58, 4-33
HTTPS、セキュアサーバー 3-58, 4-33
I
IEEE 802.1D 3-114, 4-177
IEEE 802.1s 4-177
IEEE 802.1w 3-114, 4-177
IEEE 802.1X 3-67, 4-81
IGMP
クエリー 3-169, 4-238, 4-243
クエリー、レイヤー 2 3-170, 4-237
クエリー、レイヤー 3 3-176, 4-242
グループ、表示 3-174, 4-237, 4-248
索引 -1
索引
サービス、表示 3-179, 4-248
スヌーピング 3-169, 4-234
スヌーピング、構成 3-170, 4-234
プロトコルの説明 3-168
レイヤー 2 3-169, 4-234
レイヤー 3 3-176, 4-242
IP アドレス
BOOTP/DHCP 3-19, 4-126, 4-249
設定 2-7, 3-17, 4-249
IP、統計情報 3-217, 4-261
IP ポートプライオリティ
プライオリティのマップ 3-159, 4-219
有効 3-159, 4-218
IP 優先度
プライオリティのマップ 3-156, 4-220
有効 3-155, 4-219
IP ルーティング 3-204, 4-257
インターフェースの構成 3-208, 4-249
ステータス 3-207, 4-257
有効化または無効化 3-207, 4-257
ユニキャストプロトコル 3-206
L
LACP
構成 4-162
パートナパラメータ 3-102, 4-168
プロトコルパラメータ 3-96, 4-162
プロトコルメッセージ統計情報 4-168
ローカルパラメータ 3-100, 4-168
M
MIB （管理情報ベース）Ａ -4
MSTP 4-177
インターフェース設定 3-125, 4-176
グローバル設定 3-128, 4-176
O
OSPF 3-235, 4-272
AS サマリールート 3-253, 4-278
NSSA 3-239, 4-282
エリア境界ルータ 3-236, 4-277
外部ルートの再配信 3-254, 4-279
仮想リンク 4-283
グローバル設定 4-272
自律システム境界ルータ 3-237, 4-275
スタブ 3-239, 4-281
索引 -2
全般設定 3-236
デフォルト外部ルート 3-237, 4-275
トランジットエリア 3-239, 4-283
ノーマルエリア 3-239, 4-280
バーチャルリンク 3-248
バックボーン 3-239, 4-280
P
PIM-DM 3-272, 4-316
インターフェース設定 3-273,
4-317–4-320
グローバルコンフィギュレーショ
ン 4-316, 3-273
構成 3-272, 4-316
隣接ルータ 3-276, 4-322
Q
QoS 3-160, 4-225
R
RADIUS、ログオン認証 3-55, 4-74
RIP
インターフェースの指定 3-228, 4-264
インターフェースプロトコル設
定 3-229, 4-264–4-269
グローバル設定 3-226, 4-262–4-263
構成 3-225, 4-262–4-270
説明 3-206
統計情報 3-232, 4-271
RSTP 3-114, 4-177
グローバルコンフィギュレーショ
ン 4-177, 3-115
S
SNMP 3-37
コミュニティストリング 3-39, 4-112
トラップの有効化 3-40, 4-116
トラップマネージャ 3-40, 4-113
SSH、構成 3-60, 4-38, 4-39
STA 3-114, 4-176
インターフェース設定 3-122, 3-131,
3-132, 4-186–4-191, 4-192
エッジポート 3-124, 3-127, 4-188
グローバル設定、構成 3-118,
4-177–4-181
グローバル設定、表示 3-115, 4-192
索引
送信リミット 3-120, 4-181
パスコスト 3-116, 3-123, 4-186
パスコスト方法 3-120, 4-181
プロトコル移行 3-127, 4-191
ポートプライオリティ 3-124, 4-187
リンクタイプ 3-124, 3-126, 4-189
STP 3-118, 4-177
「STA」を参照
T
TACACS+、ログオン認証 3-55, 4-77
い
イベントロギング 4-45
イングレスフィルタリング 3-143, 4-199
う
ウェブインターフェース
アクセス要件 3-1
構成ボタン 3-3
パネル表示 3-3
ホームページ 3-2
メニューリスト 3-4
V
VLAN 3-134–3-146, 4-195–4-204
イグレスモード 3-144, 4-198
インターフェースの構成 3-143,
4-198–4-201
基本情報の表示 3-137, 4-209
構築 3-139, 4-196
スタティックメンバーの追加 3-140,
3-142, 4-200
説明 3-134
プライベート 3-145, 4-203
プロトコル 3-146, 4-204
ポートメンバーの表示 3-138, 4-202
VRRP 3-196, 4-323
仮想アドレス 4-324
グループ統計情報 3-202, 4-328
コンフィギュレーション設定 3-196,
4-323
タイマー 3-198, 4-326
認証 3-198, 4-325
バーチャルアドレス 3-196, 3-198
プライオリティ 3-197, 3-198, 4-325
プリエンプション 4-327
プロトコルメッセージ統計情報 3-201,
4-330
優先使用 3-197, 3-198
あ
アクセス制御リスト
「ACL」を参照
アドレス解決プロトコル
「ARP」を参照
アドレステーブル 3-111, 4-172
エージングタイム 3-114, 4-175
え
エッジポート、 STA 3-124, 3-127, 4-188
き
規格、 IEEE Ａ -3
キューの重み 3-153, 4-214
け
ゲートウェイ、デフォルト 3-17, 3-207,
4-251
こ
コマンドラインインターフェース
CLI を参照
コミュニティストリング 2-9, 3-39, 4-112
コンソールポート、必要な接続 2-2
コンフィギュレーション設定、保存または
復元 2-11, 3-23, 4-66
さ
サービスクラス
「CoS」を参照
サービス品質
「QoS」を参照
差別化コードポイントサービス
「DSCP」を参照
差別化サービス
「DiffServ」を参照
し
時刻、設定 3-35, 4-54
システムクロック、設定 3-35, 4-54
索引 -3
索引
システムソフトウェア、サーバーからのダ
ウンロード 3-21, 4-66
システムの再起動 3-35, 4-23
ジャンボフレーム 4-65
受信可能なフレームタイプ 3-143, 4-198
仕様、ソフトウェアＡ -1
シリアルポート
構成 4-12
す
スタートアップファイル
構築 4-66
作成 3-24
設定 3-21, 4-71
表示 3-21, 4-59
スタティックアドレス、設定 3-111, 4-172
スタティックルート、構成 3-223, 4-258
スパニングツリープロトコル
「STA」を参照
せ
セキュアシェル 3-60, 4-35
セキュアシェルコンフィギュレーショ
ン 4-38, 4-39
セキュアシェルの構成 3-60
そ
ソフトウェア
ダウンロード 3-21, 4-66
バージョンの表示 3-13, 4-64
ソフトウェアのアップグレード 3-21, 4-66
ソフトウェアのダウンロード 3-21, 4-66
た
ダイナミックアドレス、表示 3-112, 4-174
ダイナミックホスト制御プロトコル
DHCP を参照
て
デフォルトゲートウェイ、構成 3-17,
3-207, 4-251
デフォルト設定、システム 1-7
デフォルトプライオリティ、イングレス
ポート 3-149, 4-213
索引 -4
と
統計情報
ARP 3-215, 4-261
ICMP 3-219, 4-261
IP 3-217, 4-261
RIP 3-232, 4-271
TCP 3-222, 4-261
UDP 3-221, 4-261
ポート 3-107, 4-156
ドメインネームサービス
「DNS」を参照
トラップマネージャ 2-10, 3-40, 4-113
トラフィッククラスの重み 3-153, 4-214
トラブルシューティングＢ -1
トランク
LACP 3-95, 4-162, 4-164
構成 3-92, 4-162
スタティック 3-93, 4-163
は
バーチャルルータ冗長プロトコル
「VRRP」を参照
ハードウェアバージョン、表示 3-13, 4-64
パスコスト 3-116, 3-123
STA 3-116, 3-123, 4-181
方法 3-120, 4-181
パスワード 2-7
管理者設定 3-53, 4-28
パスワード、ライン 4-14
ふ
ファームウェア
アップグレード 3-21, 4-66
バージョンの表示 3-13, 4-64
プライオリティ、デフォルトポートイング
レス 3-149, 4-213
ブロードキャストストーム、しきい
値 3-103, 4-154
プロキシ ARP 3-210, 4-256
プロトコル移行 3-127, 4-191
ほ
ポート
speed 4-149
capabilities 4-151
索引
コンボポート上で選択を強制 4-153
自動ネゴシエーション 3-90, 4-150
スピード 3-90
二重モード 3-90, 4-149
能力 3-90
ブロードキャストストームしきい
値 3-103, 4-154
ポート、構成 3-88, 4-148
ポートセキュリティ、構成 3-65, 4-79
ポート、統計情報 3-107, 4-156
ポート認証 3-67, 4-81
ポートのミラーリング、構成 3-105, 4-159
ポートプライオリティ
STA 3-124, 4-187
構成 3-149, 4-212, 4-225
デフォルトイングレス 3-149, 4-213
ポート、ミラーリング 3-105, 4-159
ま
マルチキャストグループ 3-174, 3-179,
4-237
スタティック 3-174, 4-235, 4-237
表示 3-179, 4-237
マルチキャストサービス
構成 3-175, 4-235
表示 3-174, 4-237
マルチキャスト、スタティックルータポー
ト 3-173, 4-241, 4-303
マルチキャストフィルタリング 3-168,
4-234
マルチキャストルーティング 3-261, 4-303
DVMRP 3-265, 4-307
PIM-DM 3-272, 4-316
一般コマンド 4-305
グローバル設定 3-261, 4-305
説明 3-261
有効 3-261, 4-305
ルーティングテーブル 3-262, 4-305
ゆ
ユーザーアカウント 3-53
ユーザーパスワード 3-53, 4-28, 4-29
り
リモートロギング 4-48
リンクアグレゲーション制御プロトコル
「LACP」を参照
リンクタイプ、 STA 3-124, 3-126, 4-189
る
ルータ冗長性
VRRP 3-196, 4-323
プロトコル 3-195, 4-323
ルーティングテーブル、表示 3-224, 4-259,
4-260
れ
レートリミット、設定 3-106, 4-161
ろ
ロギング
syslog サーバー 4-47
syslog トラップ 4-48
ログイン、ウェブインターフェース 3-2
ログオン認証 3-53, 4-72
RADIUS クライアント 3-55, 4-74
RADIUS サーバー 3-55, 4-74
TACACS+ クライアント 3-55, 4-77
TACACS+ サーバー 3-55, 4-77
ログオン認証、順序 3-55, 4-72, 4-73
め
メインメニュー 3-4
も
問題、トラブルシューティングＢ -1
索引 -5
索引
索引 -6
ES4625
ES4649
E062005-R02
149100022900A

www.edge-core.com ES4625 ES4649 24/48 ポート ギガビット

Comments

Description

Transcript

www.edge-core.com ES4625 ES4649 24/48 ポートギガビット