コマンド ライン インタフェース リファレンス ガイド

HP BladeSystem PC Bladeス イ ッ チ

製品番号 ：413354-292

Adobe、Acrobat、およびReaderは、Adobe Systems Incorporated（アドビシステムズ社）の米国ならびに他の国における登録商標 または商標です。 その他、本書に掲載されている会社名、製品名はそれぞれ各社の商標または登録商標です。 HP製品およびサービスに対する保証は、当該製品およびサービスに付属の保証規定に明示的に記載されているものに限られま す。本書のいかなる内容も、当該保証に新たに保証を追加するものではありません。本書の内容につきましては万全を期してお りますが、本書の技術的あるいは校正上の誤り、省略に対しては、責任を負いかねますのでご了承ください。 本書には、著作権によって保護された所有権に関する情報が掲載されています。本書のいかなる部分も、Hewlett-Packard Company の書面による承諾なしに複写、複製、あるいは他言語へ翻訳することはできません。 本製品は、日本国内で使用するための仕様になっており、日本国外で使用される場合は、仕様の変更を必要とすることがありま す。 本書に記載されている製品情報は、日本国内で販売されていないものも含まれている場合があります。 以下の記号は、本文中で安全上重要な注意事項を示します。

Å

警告 ： その指示に従わないと、人体への傷害や生命の危険を引き起こす恐れがあるという警告事項を表します。

Ä

注意 ： その指示に従わないと、装置の損傷やデータの損失を引き起こす恐れがあるという注意事項を表します。 コ マン ド ラ イ ン イ ン タ フ ェ ース リ フ ァ レ ンス ガ イ ド HP BladeSystem PC Bladeス イ ッ チ 改訂第1版 2006年6月 初版 2005年12月 製品番号 ：413354-292 日本 ヒ ュ ーレ ッ ト ・ パ ッ カ ー ド 株式会社

コ マ ン ド ラ イ ン イ ン タ フ ェ ース

コマンド ライン インタフェース（CLI）の使用 . . . 1–1 コマンドの入力 . . . 1–3 コマンド グループ . . . 1–7 802.1xコ マン ド

aaa authentication dot1x . . . 2–1 dot1x system-auth-control . . . 2–2 dot1x port-control . . . 2–2 dot1x re-authentication . . . 2–3 dot1x timeout re-authperiod . . . 2–4 dot1x re-authenticate. . . 2–4 dot1x timeout quiet-period . . . 2–5 dot1x timeout tx-period . . . 2–6 dot1x max-req . . . 2–7 dot1x timeout supp-timeout . . . 2–8 dot1x timeout server-timeout . . . 2–9 show dot1x . . . 2–9 show dot1x users. . . 2–12 show dot1x statistics . . . 2–13 拡張機能 . . . 2–15 dot1x auth-not-req. . . 2–15 dot1x multiple-hosts . . . 2–16 dot1x single-host-violation . . . 2–17 dot1x guest-vlan . . . 2–18 dot1x guest-vlan enable . . . 2–19 show dot1x advanced . . . 2–20

AAAコ マン ド

aaa authentication login . . . 3–1 aaa authentication enable . . . 3–2 login authentication. . . 3–3 enable authentication . . . 3–4 ip http authentication . . . 3–5 ip https authentication . . . 3–6 show authentication methods . . . 3–7 password . . . 3–8 enable password . . . 3–9 username . . . 3–10 ACLコ マン ド ip access-list . . . 4–1 permit（IP） . . . 4–2 deny（IP）. . . 4–5 mac access-list . . . 4–7 permit（MAC）. . . 4–8 deny（MAC） . . . 4–9

ア ド レ ス テーブル コ マン ド

bridge address . . . 5–1 bridge multicast filtering. . . 5–2 bridge multicast address . . . 5–3 bridge multicast forbidden address . . . 5–4 bridge multicast forward-all . . . 5–5 bridge multicast forbidden forward-all . . . 5–6 bridge aging-time . . . 5–7 clear bridge . . . 5–7 port security . . . 5–8 port security mode . . . 5–9 port security max . . . 5–9 port security routed secure-address. . . 5–10 show bridge address-table. . . 5–11 show bridge address-table static . . . 5–12 show bridge address-table count. . . 5–12 show bridge multicast address-table . . . 5–13 show bridge multicast filtering . . . 5–15 show ports security . . . 5–16 show ports security addresses . . . 5–17

ク ロ ッ ク コ マン ド clock set . . . 6–1 clock source . . . 6–2 clock timezone . . . 6–2 clock summer-time . . . 6–3 sntp authentication-key . . . 6–4 sntp authenticate . . . 6–5 sntp trusted-key. . . 6–6 sntp client poll timer . . . 6–7 sntp broadcast client enable . . . 6–7 sntp anycast client enable . . . 6–8 sntp client enable（インタフェース） . . . 6–9 sntp unicast client enable . . . 6–10 sntp unicast client poll . . . 6–10 sntp server . . . 6–11 show clock . . . 6–12 show sntp configuration . . . 6–13 show sntp status . . . 6–14 設定および イ メ ージ フ ァ イル コ マン ド copy. . . 7–1 delete. . . 7–4 boot system . . . 7–4 show running-config . . . 7–5 show startup-config. . . 7–6 show bootvar. . . 7–7

Ethernet設定コ マン ド

interface ethernet. . . 8–1 interface range ethernet. . . 8–1 shutdown. . . 8–2 description. . . 8–3 speed . . . 8–3 duplex . . . 8–4 negotiation . . . 8–5 flowcontrol . . . 8–5 mdix . . . 8–6 back-pressure . . . 8–7 clear counters . . . 8–7 set interface active . . . 8–8 show interfaces advertise . . . 8–9 show interfaces configuration. . . 8–10 show interfaces status . . . 8–11 show interfaces description. . . 8–12 show interfaces counters. . . 8–13 port storm-control include-multicast（IC） . . . 8–15 port storm-control broadcast enable . . . 8–15 port storm-control broadcast rate . . . 8–16 show ports storm-control . . . 8–17

GVRPコ マン ド gvrp enable（グローバル） . . . 9–1 gvrp enable（インタフェース） . . . 9–2 garp timer . . . 9–2 gvrp vlan-creation-forbid . . . 9–3 gvrp registration-forbid. . . 9–4 clear gvrp statistics . . . 9–4 show gvrp configuration . . . 9–5 show gvrp statistics. . . 9–6 show gvrp error-statistics . . . 9–7 IGMPス ヌーピ ング コ マン ド ip igmp snooping（グローバル） . . . 10–1 ip igmp snooping（インタフェース） . . . 10–1 nip igmp snooping host-time-out . . . 10–2 ip igmp snooping mrouter-time-out . . . 10–3 ip igmp snooping mrouter learn-pim-dvmrp . . . 10–3 ip igmp snooping leave-time-out . . . 10–4 show ip igmp snooping mrouter . . . 10–5 show ip igmp snooping interface . . . 10–6 show ip igmp snooping groups . . . 10–7

IPア ド レス指定コ マン ド ip address . . . 11–1 ip address dhcp . . . 11–2 ip default-gateway. . . 11–3 show ip interface. . . 11–4 arp . . . 11–5 arp timeout . . . 11–6 clear arp-cache . . . 11–6 show arp . . . 11–7 ip domain-lookup . . . 11–7

ip name-server. . . 11–9 ip host . . . 11–9 clear host . . . 11–10 clear host dhcp . . . 11–11 show hosts. . . 11–11 LACPコ マン ド lacp system-priority . . . 12–1 lacp port-priority . . . 12–1 lacp timeout. . . 12–2 show lacp ethernet . . . 12–3 show lacp port-channel . . . 12–5

ラ イ ン コ マン ド line . . . 13–1 speed . . . 13–2 autobaud . . . 13–2 exec-timeout . . . 13–3 history . . . 13–4 history size . . . 13–4 terminal history . . . 13–5 terminal history size . . . 13–6 show line . . . 13–7 管理ACLコ マン ド management access-list. . . 14–1 permit（管理） . . . 14–2 deny（管理）. . . 14–3 management access-class . . . 14–4 show management access-list . . . 14–5 show management access-class . . . 14–6

PHY診断コ マン ド

test copper-port tdr . . . 15–1 show copper-ports tdr . . . 15–2 show copper-ports cable-length . . . 15–3 show fiber-ports optical-transceiver . . . 15–4

ポー ト チ ャ ネル コ マン ド

interface port-channel . . . 16–1 interface range port-channel . . . 16–1 channel-group . . . 16–2 show interfaces port-channel . . . 16–3

QoSコ マン ド qos. . . 18–1 show qos . . . 18–2 class-map . . . 18–3 show class-map . . . 18–4 match. . . 18–4 policy-map . . . 18–5 class. . . 18–6 show policy-map. . . 18–7 trust cos-dscp . . . 18–8 set . . . 18–9 police. . . 18–10 service-policy . . . 18–11 qos aggregate-policer . . . 18–11 show qos aggregate-policer . . . 18–12 police aggregate . . . 18–13 wrr-queue cos-map . . . 18–14 priority-queue out num-of-queues . . . 18–15 traffic-shape . . . 18–15 show qos interface . . . 18–16 wrr-queue threshold . . . 18–18 qos map dscp-dp . . . 18–19 qos map policed-dscp . . . 18–19 qos map dscp-queue . . . 18–20 qos trust（グローバル）. . . 18–21 qos cos. . . 18–22 qos dscp-mutation . . . 18–22 qos map dscp-mutation . . . 18–23

RADIUSコ マン ド radius-server host . . . 19–1 radius-server key. . . 19–2 radius-server retransmit . . . 19–3 radius-server source-ip . . . 19–3 radius-server timeout . . . 19–4 radius-server deadtime . . . 19–5 show radius-servers. . . 19–6 RMONコ マン ド

show rmon statistics . . . 20–1 rmon collection history . . . 20–3 show rmon collection history . . . 20–4 show rmon history . . . 20–5 rmon alarm . . . 20–7 show rmon alarm-table . . . 20–8 show rmon alarm . . . 20–9 rmon event . . . 20–11 show rmon events . . . 20–12 show rmon log . . . 20–13 rmon table-size . . . 20–14

SNMPコ マン ド

snmp-server community . . . 21–1 snmp-server view . . . 21–2 snmp-server group . . . 21–3 snmp-server user . . . 21–4 snmp-server engineid local . . . 21–5 snmp-server enable traps . . . 21–7 snmp-server filter . . . 21–7 snmp-server host . . . 21–8 snmp-server v3-host . . . 21–10 snmp-server trap authentication . . . 21–11 snmp-server contact . . . 21–11 snmp-server location. . . 21–12 snmp-server set . . . 21–13 show snmp . . . 21–13 show snmp engineid . . . 21–15 show snmp views . . . 21–15 show snmp groups . . . 21–16 show snmp filters . . . 21–17 show snmp users . . . 21–18 スパニ ング ツ リ ー コ マン ド spanning-tree. . . 22–1 spanning-tree mode. . . 22–2 spanning-tree forward-time. . . 22–2 spanning-tree hello-time . . . 22–3 spanning-tree max-age . . . 22–4 spanning-tree priority . . . 22–4 spanning-tree disable . . . 22–5 spanning-tree cost . . . 22–6 spanning-tree port-priority . . . 22–7 spanning-tree portfast . . . 22–8 spanning-tree link-type . . . 22–9 spanning-tree pathcost method . . . 22–9 spanning-tree bpdu . . . 22–10 clear spanning-tree detected-protocols . . . 22–11 spanning-tree mst priority. . . 22–11 spanning-tree mst max-hops . . . 22–12 spanning-tree mst port-priority . . . 22–13 spanning-tree mst cost . . . 22–14 spanning-tree mst configuration . . . 22–15 instance（mst） . . . 22–15 name（mst） . . . 22–16 revision（mst） . . . 22–17 show（mst） . . . 22–17 exit（mst）. . . 22–18 abort（mst） . . . 22–19 spanning-tree guard root . . . 22–19

SSHコ マン ド

ip ssh port . . . 23–1 ip ssh server . . . 23–1 crypto key generate dsa. . . 23–2 crypto key generate rsa . . . 23–3 ip ssh pubkey-auth . . . 23–3 crypto key pubkey-chain ssh. . . 23–4 user-key. . . 23–5 key-string . . . 23–5 show ip ssh . . . 23–7 Syslogコ マン ド logging on . . . 24–1 logging . . . 24–2 logging console . . . 24–3 logging buffered . . . 24–3 logging buffered size . . . 24–4 clear logging . . . 24–5 logging file . . . 24–5 clear logging file . . . 24–6 aaa logging . . . 24–6 file-system logging . . . 24–7 management logging. . . 24–8 show logging. . . 24–8 show logging file . . . 24–9

システム管理 コ マ ン ド ping . . . 25–1 traceroute . . . 25–3 telnet . . . 25–5 resume. . . 25–8 reload . . . 25–8 hostname . . . 25–9 show users. . . 25–9 show sessions . . . 25–10 show system . . . 25–11 show version . . . 25–12 service cpu-utilization. . . 25–12 show cpu utilization . . . 25–13

TACACS+コ マン ド tacacs-server host . . . 26–1 tacacs-server key. . . 26–2 tacacs-server timeout . . . 26–3 tacacs-server source-ip . . . 26–3 show tacacs . . . 26–4

ユーザ イ ン タ フ ェ ース コ マン ド do . . . 27–1 enable . . . 27–2 disable . . . 27–2 login . . . 27–3 configure . . . 27–3 exit（設定） . . . 27–4 exit . . . 27–5 end. . . 27–5 help . . . 27–6 terminal data-dump . . . 27–7 show history . . . 27–8 show privilege. . . 27–9 VLANコ マン ド vlan database. . . 28–1 vlan . . . 28–1 interface vlan. . . 28–2 interface range vlan. . . 28–3 name . . . 28–3 switchport mode . . . 28–4 switchport access vlan . . . 28–5 switchport trunk allowed vlan. . . 28–5 switchport trunk native vlan . . . 28–6 switchport general allowed vlan . . . 28–7 switchport general pvid. . . 28–8 switchport general ingress-filtering disable . . . 28–8 switchport general acceptable-frame-type tagged-only . . . 28–9 switchport forbidden vlan . . . 28–10 ip internal-usage-vlan . . . 28–11 show vlan . . . 28–12 show vlan internal usage. . . 28–13 show interfaces switchport . . . 28–13

Webサーバ コ マン ド

ip http server . . . 29–1 ip http port. . . 29–1 ip https server . . . 29–2 ip https port . . . 29–3 crypto certificate generate. . . 29–3 crypto certificate request. . . 29–5 crypto certificate import . . . 29–7 ip https certificate . . . 29–8 show crypto certificate mycertificate . . . 29–9 show ip http. . . 29–10 show ip https . . . 29–11

1

コ マン ド ラ イ ン イ ン タ フ ェ ース

コ マン ド ラ イ ン イ ン タ フ ェ ース （CLI） の使用

CLIへのア ク セス サーバのコンソール ポートへの直接接続によって、またはTelnet 接続を介してスイッチの管理インタ フェースにアクセスしている場合、プロンプトにコマンドのキーワードとパラメータを入力することに よってスイッチの管理を行えます。スイッチのコマンド ライン インタフェース（CLI）は、UNIXシステム でのコマンドの入力と非常に似ています。 コ ン ソ ールの接続 コンソール ポートを介してスイッチにアクセスするには、以下の手順で操作します。 1. コンソール プロンプトで、ユーザ名とパスワードを入力します。管理者のユーザ名とパスワードを入 力すると、「Console#」プロンプトが表示され、CLI は特権アクセス モード（Privileged（特権）Exec） になります。ゲストのユーザ名とパスワードを入力すると、「Console>」プロンプトが表示され、CLI は通常のアクセス モード（Normal（通常）Exec）になります。 2. 作業を完了するために必要なコマンドを入力します。 3. 作業が終了したら、「quit」コマンドまたは「exit」コマンドを入力してセッションを終了します。 コンソール ポートを介してシステムに接続した後に、以下のログイン画面が表示されます。 Telnet接続 TelnetはIP転送プロトコルで動作します。この環境では、管理ステーションおよびネットワークを介して管 理するすべてのネットワーク デバイスに、有効なIPアドレスが必要です。有効なIPアドレスは、ピリオド で区切られた0～255の4つの数値で構成されています。各アドレスは、ネットワーク部分とホスト部分から 構成されます。 たとえば、このスイッチに割り当てられているIPアドレス「10.1.0.1」は、ネットワーク部分「10.1.0」と、 ホスト部分「1」から構成されています。

✎

デフォルトでは、このスイッチにIPアドレスは割り当てられていません。

User Access Verification Username: admin Password:

CLI session with the PC Blade Switch is opened. To end the CLI session, enter [Exit].

Telnet セッションを介してスイッチにアクセスするには、まずスイッチにIP アドレスを設定する必要があ り、別のIPサブネットからスイッチを管理している場合はデフォルト ゲートウェイを設定する必要もあり ます。 たとえば、次のように入力します。 使用している企業ネットワークが、オフィスの外部にある別のネットワークやインターネットに接続され ている場合は、登録済みのIPアドレスを適用する必要があります。ただし、分離されたネットワークに接 続されている場合は、接続されているネットワーク セグメントに適合する任意のIPアドレスを使用できま す。 IPアドレスをスイッチに設定した後は、以下の手順に従ってTelnetセッションを開始できます。 1. リモート ホストから、Telnetコマンドとアクセス先デバイスのIPアドレスを入力します。 2. プロンプトで、ユーザ名とシステム パスワードを入力します。CLIに、特権アクセス モード（Privileged Exec）を使用していることを示す管理者用の「Console#」プロンプト、または通常のアクセス モード （Normal Exec）を使用していることを示すゲスト用の「Console」プロンプトが表示されます。 3. 作業を完了するために必要なコマンドを入力します。 4. 作業が終了したら、「quit」コマンドまたは「exit」コマンドを入力してセッションを終了します。 Telnetコマンドを入力すると、以下のログイン画面が表示されます。

✎

Telnet経由の場合、デバイスに対して最大4つのセッションを開くことができます。 Console(config)#interface vlan 1 Console(config-if)#ip address 10.1.0.1 255.255.255.0 Console(config-if)#exit Console(config)#ip default-gateway 10.1.0.254 Username: admin Password:

CLI session with the PC Blade Switch is opened. To end the CLI session, enter [Exit].

コ マン ド の入力

ここでは、CLIコマンドの入力方法について説明します。

キーワー ド と 引数

CLIコマンドは一連のキーワードと引数で構成されます。キーワードはコマンドを識別し、引数は設定パラ メータを指定します。たとえば「show interfaces status ethernet 1/e5」というコマンドでは、「show interfaces」

と「status」はキーワードです。「ethernet」はインタフェースの種類を指定する引数であり、「1/e5」はポー

トを指定します。 以下のようにコマンドを入力できます。 ■ 簡単なコマンドを入力するには、コマンド キーワードを入力します。 ■ 複数のコマンドを入力するには、各コマンドを必要な順序で入力します。たとえば、Privileged Execコ マンド モードを有効にして起動時の設定を表示するには、以下のように入力します。 ■ パラメータを必要とするコマンドを入力するには、コマンド キーワードに続けて必要なパラメータを 入力します。たとえば、管理者のパスワードを設定するには、以下のように入力します。 短縮形 CLIでは、コマンドを一意に識別する最小の文字数での入力ができます。たとえば、「configure」コマンド を「con」と入力できます。入力文字が不足していてコマンドを特定できない場合、システムはさらなる入 力を要求します。 コ マ ン ド の補完 入力の最後に[Tab]キーを押すと、CLIに部分的に入力されたキーワード文字の残りの部分が表示されます。 たとえば「logging history」の場合、「log」と入力して[Tab]キーを押すと、「logging」と表示されます。 コ マ ン ド に関するヘルプの表示 「help」コマンドを入力すると、ヘルプ システムによって簡単な説明を表示できます。また、「?」文字を使 用してコマンドの構文を表示し、キーワードとパラメータのリストを表示できます。 コ マ ン ド の表示

コマンド プロンプトで「?」と入力すると、現在のコマンド クラス（Normal ExecまたはPrivileged Exec）ま たはConfigurationクラス（Global、ACL、DHCP、Interface、Line、VLAN Database、またはMSTP）の第1レ ベルのキーワードが表示されます。また、特定のコマンドについて有効なキーワードのリストを表示する こともできます。たとえば、「show ?」というコマンドでは、実行できるshowコマンドのリストが表示され

ます。

Console> enable

Console# show startup-config

「show interfaces ?」コマンドでは、以下の情報が表示されます。 部分的なキーワー ド によ る検索 キーワードを途中まで入力して疑問符を入力すると、先頭部分が一致するキーワードの候補が表示されま す。（コマンドと疑問符の間にスペースを入れないでください。） たとえば、「s?」と入力すると、以下のよ うに「s」で始まるすべてのキーワードが表示されます。 コ マ ン ド 効果の打ち消 し 多くの設定コマンドでは、先頭に「no」というキーワードを入力して、コマンドの効果を取り消したり、 設定をデフォルト値にリセットしたりできます。たとえば、「logging」コマンドは、システム メッセージ をホスト サーバに記録します。システムメッセージを記録する動作を無効にするには、「no logging」コマ ンドを指定します。このガイドでは、適用可能なすべてのコマンドに対する打ち消し効果について説明し ています。 コ マ ン ド 履歴の使用 CLIは、入力されたコマンドの履歴を保持しています。上向き矢印キーを押すことで、コマンドの履歴を逆 にたどれます。履歴リストに表示されるコマンドは、どれでも再実行できます。また、それらを変更して から実行することもできます。 show historyコマンドを使用すると、最近実行したコマンドについて、さらに長いリストが表示されます。 コ マ ン ド モー ド について コマンド セットは、ExecクラスとConfigurationクラスに分類されます。通常、Execクラスのコマンドは、シ ステ ム のス テー タ スに 関 する 情報 を 表示 した り、統 計的 な カウ ンタ 類 を消 去し た りし ます。一 方、 Configurationクラスのコマンドは、インタフェース パラメータを変更したり、特定のスイッチ機能を有効 にしたりします。これらのクラスは、さらに異なるモードに分類されます。使用可能なコマンドは、選択 したモードによって異なります。いつでも好きなときに、プロンプトで疑問符「?」を入力して現在のモー ドで使用可能なコマンドのリストを表示することができます。

Console# show interfaces ? counters protocol-vlan status s switchport Console# インタフェース カウンタの情報 プロトコル-VLANの情報 インタフェース ステータスの情報 インタフェース スイッチポートの情報 Console# show s? snmp sntp spanning-tree ssh startup-config system Console#

Privileged Exec モードにアクセスするには、「admin」というユーザ名とパスワードを使用して新しいコン ソール セッションを開始します。その場合、システムは「Console#」コマンド プロンプトを表示します。 Normal ExecモードからPrivileged Execモードに入ることもできます。Privileged Execモードに入るには、以 下のようにユーザ名とパスワードを入力します。

設定 コ マ ン ド

設定コマンドは特権レベルのコマンドで、スイッチの設定を変更するために使用されます。これらのコマ ンドによる変更は実行時の設定に対してのみ実行され、スイッチの再起動時には保存されません。実行時 の設定を不揮発性の記憶領域に保存するには、copy running-config startup-configコマンドを使用します。

設定コマンドは、さまざまなモードに分類されます。

■ Global Configuration（グローバル設定）：これらのコマンドはシステム レベルの設定を変更します。

hostnameやsnmp-server communityなどのコマンドがあります。

■ Access Control List Configuration（アクセス制御リスト設定）：これらのコマンドはパケットのフィルタ リングに使用します。

■ DHCP Configuration（DHCP設定）：これらのコマンドはDHCPサーバの設定に使用します。

■ Interface Configuration（インタフェース設定）：これらのコマンドはポート設定を変更します。speed-duplex

やnegotiationなどのコマンドがあります。

■ Line Configuration（回線設定）：これらのコマンドはコンソール ポートとTelnetの設定を変更します。

parityやdatabitsなどのコマンドがあります。

■ Router Configuration（ルータ設定）：これらのコマンドはユニキャストとマルチキャストのルーティン グ プロトコルをグローバルに設定します。

■ VLAN Configuration（VLAN設定）：VLANグループを作成するコマンドがあります。

■ Multiple Spanning Tree Configuration（マルチプル スパニング ツリー設定）：これらのコマンドは、選択 された複数のスパニング ツリー インスタンスを設定します。

Username: admin

Password: [管理者のログイン パスワード]

CLI session with the PC Blade Switch is opened. To end the CLI session, enter [Exit].

Console# Username: guest

Password: [ゲストのログイン パスワード]

CLI session with the PC Blade Switch is opened. To end the CLI session, enter [Exit].

Console#enable

Password: [特権レベルのパスワード] Console#

Global Configurationモードに変更するには、Privileged Execモードでconfigureコマンドを入力します。シス テム プロンプトが「Console(config)#」に変わり、すべてのGlobal Configurationコマンドへのアクセス権限 が与えられます。

他のモードに変更するには、設定プロンプトで以下のコマンドのどれかを入力します。Privileged Execモー ドに戻るには、exit コマンドまたはend コマンドを使用します。たとえば、以下のコマンドを使用すると、 Interface Configurationモードになり、その後Privileged Execモードに戻ります。

コ マ ン ド ラ イ ンの処理 コマンドでは大文字と小文字は区別されません。その時点で使用可能な他のコマンドまたはパラメータと の区別に十分な文字を含んでいれば、コマンドとパラメータを短縮できます。[Tab]キーを使用して、部分 的に入力したコマンドを補完できます。また、コマンドの一部と「?」文字を入力すると、一致するコマン ドのリストを表示できます。さらに、コマンド ライン処理には以下の編集キーストロークを使用できます。 キース ト ロー ク コ マン ド Console# configure Console(config)#

Console(config)#interface ethernet 1/e5 Console(config-if)#exit Console(config)# キース ト ロー ク 機能 上向き矢印キー 最近使用 し た も のから 順に、 履歴バ ッ フ ァ 内の コ マ ン ド を再度呼び出 し ます。 キー を繰 り 返 し て押す と 、 よ り 古い コ マ ン ド が再度呼び出 さ れます 下向き矢印キー 上向き矢印キーによ っ て コ マ ン ド を再度呼び出 し た後、履歴バ ッ フ ァ 内の最新の コ マ ン ド に向けて戻 り ます。 キーを繰 り 返 し て押す と 、 連続 し て よ り 新 し い コ マ ン ド が再度呼び出 さ れます [Ctrl]+[A]キー カ ー ソルを コ マ ン ド ラ イ ンの先頭に移動し ます [Ctrl]+[E]キー カ ー ソルを コ マ ン ド ラ イ ンの末尾に移動し ます

コ マン ド グループ

システム コマンドは、以下に示す機能グループに分類できます。

コ マン ド グループ

コ マ ン ド グループ 説明 ページ

802.1xコ マン ド IEEE 802.1xを実行し ている イ ン タ フ ェ ースでAAA （Authentication, Authorization and Accounting） 方式を指定し、 802.1xをグローバル に有効に し ます

2-1

AAAコ マン ド サーバの認証方法の リ ス ト を定義 し ます 3-1

ACLコ マン ド デバイ スで定義 さ れているACL （Access Control List） を表示し ます 4-1 ア ド レ ス テーブル コ マン ド MAC層のマルチキャ ス ト ア ド レスを登録し、 ルーテ ィ ング された

ポー ト へのMAC層のセキュ リ テ ィ 保護されたア ド レ ス を処理 し ま す

5-1

ク ロ ッ ク コ マン ド SNTP （Simple Network Time Protocol） の設定やステー タ スを表示し ます 6-1 設定 お よ び イ メ ー ジ フ ァ イ ル コ マ ン ド 現在実行中の設定 フ ァ イ ルの内容を表示 し 、 イ メ ージ フ ァ イルの 内容を指定 し ます 7-1 Ethernet設定コ マン ド 複数種類のEthernetのイ ン タ フ ェ ースを設定し ます 8-1 GVRPコ マン ド GVRP（GARP VLAN Registration Protocol）の設定情報を表示し、GVRP

を グローバルまたは特定のイ ン タ フ ェ ースで有効に し ます

9-1 IGMPス ヌーピ ング コ マン ド IGMP （Internet Group Management Protocol） ス ヌ ーピ ン グ を有効

に し ます

10-1 IPア ド レス指定コ マン ド デ フ ォル ト ゲー ト ウ ェ イの定義、 イ ン タ フ ェ ースへのIPア ド レスの

設定、 ホス ト か らのエ ン ト リ の削除を行います

11-1 LACPコ マン ド LACP （Link Aggregation Control Protocol） を使用し て、 システムま

たはポー ト の優先度を設定 し ます 12-1 ラ イ ン コ マン ド ラ イ ン パラ メ ー タ の表示、 コ マ ン ド 履歴機能の有効化、 またはコ マ ン ド 履歴のバ ッ フ ァ サイズの設定を行います 13-1 管理ACLコ マン ド 許可ルールま たは拒否ルールの定義、 ま たは管理ACL （ア ク セス リ ス ト ） の設定を行います 14-1 PHY診断コ マン ド オプ テ ィ カル ト ラ ンシーバの診断を表示し ます 15-1 ポー ト チ ャ ネル コ マン ド 特定のポー ト チ ャ ネルまたは複数のポー ト チ ャ ネルを設定するた めのInterface Configurationモー ド に入り ます 16-1 ポー ト 監視 コ マ ン ド ポー ト 監視セ ッ シ ョ ンの開始、 ま たはポー ト 監視のス テー タ スの表 示を行います 17-1 QoSコ マン ド デバイ ス上のQoS （Quality of Service） の有効化、 ポ リ シ マ ッ プの

作成、 および ト ラ フ ィ ッ クの分類の定義を行います

18-1 RADIUSコ マン ド RADIUS （Remote Authentication Dial-in User Service） サーバ との通

信に使用する送信元IPア ド レスを指定し、RADIUSサーバの設定を表 示 し ます

19-1

RMONコ マン ド RMON （Remote Network Monitoring） Ethernetの履歴統計値、ア ラー ム テーブル、 および設定を表示し ます

20-1 SNMPコ マン ド SNMP （Simple Network Management Protocol） サーバへのア ク セ

ス を許可す る ための コ ミ ュ ニ テ ィ ア ク セス文字列の設定、 SNMP サーバ エン ト リ の作成または更新、 およびSNMPエンジンIDの指定

スパニ ング ツ リ ー コ マン ド スパニ ング ツ リ ー機能を設定し ます 22-1 SSHコ マン ド デバイ ス上のSSH （Secure Socket Shell） 公開キー、 SSHサーバの設

定、 またはどのSSH公開キーが手動で設定されているかを表示し ま す

23-1

Syslogコ マン ド syslogサーバへの メ ッ セージの記録、またはsyslogサーバに記録する ログ メ ッ セージの制限を行います

24-1 シ ス テム管理コ マ ン ド シ ス テム、 バージ ョ ン、 ま たはTelnet セ ッ シ ョ ンに関する情報を表

示または一覧表示 し ます

25-1 TACACS+コ マン ド TACACS+（Terminal Access Controller Access Control System）サーバ

に関する設定 と 統計情報の表示、 ま たはTACACS+ ホス ト の指定を 行います 26-1 ユーザ イ ン タ フ ェ ース コ マ ン ド シ ス テム、 バージ ョ ン、 ま たはTelnet セ ッ シ ョ ンに関する情報を表 示または一覧表示 し ます 27-1 VLANコ マン ド VLAN （仮想ローカル エ リ ア ネ ッ ト ワーク） 設定モー ド への切り替 え、 複数VLANの同時設定、 またはVLANの追加または削除を行いま す 28-1 Webサーバ コ マン ド ブ ラ ウザからのデバイ ス設定の有効化、ま たはHTTPサーバの設定の 表示を行います 29-1 コ マ ン ド グループ 説明 ページ

2

802.1xコ マン ド

aaa authentication dot1x

aaa authentication dot1x Global Configurationモード コマンドは、IEEE 802.1xを実行しているインタフェー

スで使用する1 つまたは複数のAAA（Authentication, Authorization, and Accounting）方式を指定します。デ フォルトの設定に戻すには、このコマンドのno形式を使用します。

構文

aaa authentication dot1x default 方法1 [方法2...] no aaa authentication dot1x default

パラ メ ー タ ■ 方法1 [方法2...] ：以下の表に示すキーワードを1つ以上指定します。 デ フ ォ ル ト 設定 認証方法は定義されていません。 コ マン ド モー ド Global Configurationモード コ マン ド の使用法 認証の要求が拒否されるのではなく前の認証方法がエラーを返す場合のみ、さらなる認証方法が使用され ます。すべての認証方法がエラーを返す場合でも認証を正常に実行するには、コマンド ラインに最後の認 証方法として「none」を指定します。

RADIUSサーバがMD-5 ChallengeおよびEAP typeのフレームをサポートしている必要があります。

例

以下のコマンドは認証なしでaaa authentication dot1x defaultを使用します。

キーワー ド 説明

radius すべてのRADIUSサーバのリ ス ト を認証に使用し ます

none 認証を使用 し ません

dot1x system-auth-control

dot1x system-auth-control Global Configuration モード コマンドは802.1x をグローバルに有効にします。デ

フォルトの設定に戻すには、このコマンドのno形式を使用します。 構文 dot1x system-auth-control no dot1x system-auth-control パラ メ ー タ このコマンドのパラメータはありません。 デ フ ォ ル ト 設定 802.1xはグローバルに無効です。 コ マン ド モー ド Global Configurationモード コ マン ド の使用法 このコマンドに関するユーザ ガイドラインはありません。 例 以下のコマンドは、802.1xをグローバルに有効にします。

dot1x port-control

dot1x port-control Interface Configurationモード コマンドは、ポートの承認状態の手動制御を有効にします。

デフォルトの設定に戻すには、このコマンドのno形式を使用します。

構文

dot1x port-control {auto | force-authorized | force-unauthorized} no dot1x port-control パラ メ ー タ ■ auto：インタフェースでの802.1x認証を有効にします。また、ポートとクライアント間の802.1x認証交 換に基づいて、承認された状態または承認されていない状態にポートを遷移させます。 ■ force-authorized：インタフェースでの 802.1x 認証を無効にします。また、認証交換なしで、承認され た状態または承認されていない状態にポートを遷移させます。ポートは、クライアントの802.1xベー スの認証なしで、通常のトラフィックの再送と受信をします。

コ マン ド の使用法 認証の成功後にすぐに転送状態になるように、802.1xエッジ ポート（エンド ステーションに接続されてい る「auto」の状態にあるポート）でスパニング ツリーを無効にすること、またはスパニング ツリー PortFast モードを有効にすることをおすすめします。 例 以下のコマンドは、Ethernetポート1/e16で802.1x認証を有効にします。

dot1x re-authentication

dot1x re-authentication Interface Configurationモード コマンドは、クライアントの定期的な再認証を有効に

します。デフォルトの設定に戻すには、このコマンドのno形式を使用します。 構文 dot1x re-authentication no dot1x re-authentication パラ メ ー タ このコマンドのパラメータはありません。 デ フ ォ ル ト 設定 定期的な再認証は無効です。 コ マン ド モー ド Interface Configuration（Ethernet）モード コ マン ド の使用法 このコマンドに関するユーザ ガイドラインはありません。 例 以下のコマンドは、クライアントの定期的な再認証を有効にします。

Console(config)# interface ethernet 1/e16 Console(config-if)# dot1x port-control auto

Console(config)# interface ethernet 1/e16 Console(config-if)# dot1x re-authentication

dot1x timeout re-authperiod

dot1x timeout re-authperiod Interface Configuration（Ethernet）モード コマンドは、再認証の試行間隔を秒単

位で設定します。デフォルトの設定に戻すには、このコマンドのno形式を使用します。

構文

dot1x timeout re-authperiod 秒数 no dot1x timeout re-authperiod

パラ メ ー タ ■ 秒数：再認証の試行間隔（秒）。（範囲：300～4294967295） デ フ ォ ル ト 設定 再認証の試行間隔は3600秒です。 コ マン ド モー ド Interface Configuration（Ethernet）モード コ マン ド の使用法 このコマンドに関するユーザ ガイドラインはありません。 例 以下のコマンドは、再認証の試行間隔を300秒に設定します。

dot1x re-authenticate

dot1x re-authenticate Privileged Execモード コマンドは、すべての802.1x対応ポートまたは特定の802.1x対応

ポートの再認証を手動で開始します。 構文

dot1x re-authenticate [ethernet インタフェース]

パラ メ ー タ

■ インタフェース：有効なEthernetポート。（完全な構文：ポート） デ フ ォ ル ト 設定

このコマンドにデフォルトの設定はありません。 コ マン ド モー ド

Console(config)# interface ethernet 1/e16

dot1x timeout quiet-period

dot1x timeout quiet-period Interface Configurationモード コマンドは、認証交換の失敗後（クライアントから

無効なパスワードが与えられた場合など）、デバイスが静止状態にある秒数を設定します。デフォルトの設 定に戻すには、このコマンドのno形式を使用します。

構文

dot1x timeout quiet-period 秒数 no dot1x timeout quiet-period

パラ メ ー タ ■ 秒数：クライアントとの認証交換の失敗後に、デバイスが静止状態にある秒数を指定します。 （範囲：0～65535） デ フ ォ ル ト 設定 デフォルトの静止状態の時間は60秒です。 コ マン ド モー ド Interface Configuration（Ethernet）モード コ マン ド の使用法 静止状態の間、デバイスは認証要求の受け入れ、または開始を行いません。 一部のクライアントや認証サーバとの間の信頼できないリンクや特定の動作に関する問題など、例外的な 状況に対して調整をする場合のみ、このコマンドのデフォルト値を変更してください。 ユーザへの応答時間を短縮するには、デフォルト値よりも小さい値を入力してください。 例 以下の例では、認証交換の失敗後にデバイスが静止状態にある秒数を3600に指定します。

Console(config)# interface ethernet 1/e16

dot1x timeout tx-period

dot1x timeout tx-period Interface Configurationモード コマンドは、要求を再送するまでにデバイスがクライ

アントからのEAP（Extensible Authentication Protocol）-request/identityフレームへの応答を待機する秒数を設 定します。デフォルトの設定に戻すには、このコマンドのno形式を使用します。

構文

dot1x timeout tx-period 秒数 no dot1x timeout tx-period

パラ メ ー タ ■ 秒数：要求を再送するまでにデバイスがクライアントからのEAP-request/identityフレームへの応答を待 機する秒数を指定します。（範囲：1～65535） デ フ ォ ル ト 設定 タイムアウト時間は30秒です。 コ マン ド モー ド Interface Configuration（Ethernet）モード コ マン ド の使用法 一部のクライアントや認証サーバとの間の信頼できないリンクや特定の動作に関する問題など、例外的な 状況に対して調整をする場合のみ、このコマンドのデフォルト値を変更してください。 例 以下のコマンドは、デバイスがクライアントからのEAP-request/identityフレームへの応答を待機する秒数を 3600秒に設定します。

Console(config)# interface ethernet 1/e16 Console(config-if)# dot1x timeout tx-period 3600

dot1x max-req

dot1x max-req Interface Configurationモード コマンドは、認証プロセスを再起動するまでに（応答を受信し

ないと仮定して）デバイスがEAP（Extensible Authentication Protocol）-request/identityフレームをクライアン トに送信する回数の最大値を設定します。デフォルトの設定に戻すには、このコマンドのno形式を使用し ます。 構文 dot1x max-req 回数 no dot1x max-req パラ メ ー タ ■ 回数：認証プロセスを再起動するまでにデバイスがEAP-request/identityフレームを送信する回数。 （範囲：1～10） デ フ ォ ル ト 設定 デフォルトは2回です。 コ マン ド モー ド Interface Configuration（Ethernet）モード コ マン ド の使用法 一部のクライアントや認証サーバとの間の信頼できないリンクや特定の動作に関する問題など、例外的な 状況に対して調整をする場合のみ、このコマンドのデフォルト値を変更してください。 例 以下のコマンドは、デバイスがEAP-request/identityフレームを送信する回数を6に設定します。

Console(config)# interface ethernet 1/e16 Console(config-if)# dot1x max-req 6

dot1x timeout supp-timeout

dot1x timeout supp-timeout Interface Configurationモード コマンドは、EAP（Extensible Authentication Protocol）

-requestフレームをクライアントへ再送する時間を設定します。デフォルトの設定に戻すには、このコマン ドのno形式を使用します。

構文

dot1x timeout supp-timeout 秒数 no dot1x timeout supp-timeout

パラ メ ー タ ■ 秒数：要求を再送するまでにデバイスがクライアントからのEAP-requestフレームへの応答を待機する 秒数。（範囲：1～65535） デ フ ォ ル ト 設定 デフォルトのタイムアウト時間は30秒です。 コ マン ド モー ド Interface Configuration（Ethernet）モード コ マン ド の使用法 一部のクライアントや認証サーバとの間の信頼できないリンクや特定の動作に関する問題など、例外的な 状況に対して調整をする場合のみ、このコマンドのデフォルト値を変更してください。 例 以下のコマンドは、EAP-requestフレームをクライアントに再送するまでのタイムアウト時間を3600秒に設 定します。

dot1x timeout server-timeout

dot1x timeout server-timeout Interface Configurationモード コマンドは、デバイスが認証サーバからの応答を

待機する時間を設定します。デフォルトの設定に戻すには、このコマンドのno形式を使用します。

構文

dot1x timeout server-timeout 秒数 no dot1x timeout server-timeout

パラ メ ー タ ■ 秒数：デバイスが認証サーバからの応答を待機する時間。（範囲：1～65535） デ フ ォ ル ト 設定 タイムアウト時間は30秒です。 コ マン ド モー ド Interface Configuration（Ethernet）モード コ マン ド の使用法

実際のタイムアウトは、dot1x timeout server-timeoutの値と、radius-server retransmit の値にradius-server timeoutの値を乗算した結果を比較し、これら2つの値の小さい方を選択することによって決定します。

例

以下のコマンドは、認証サーバにパケットを再送する時間を3600秒に設定します。

show dot1x

show dot1x Privileged Execモード コマンドは、デバイスまたは指定したインタフェースの802.1xステータス

を表示します。 構文

show dot1x [ethernet インタフェース]

パラ メ ー タ ■ インタフェース：有効なEthernetポート。（完全な構文：ポート） デ フ ォ ル ト 設定 このコマンドにデフォルトの設定はありません。 コ マン ド モー ド Privileged Execモード コ マン ド の使用法 このコマンドに関するユーザ ガイドラインはありません。

例

以下のコマンドは、802.1x対応のEthernetポートのステータスを表示します。

Console# show dot1x 802.1x is enabled

Port Admin Mode Oper Mode Reauth Control Reauth Period Username ---- --- --- --- ---

---1/e1 Auto Authorized Ena 3600 Bob

1/e2 Auto Authorized Ena 3600 John

1/e3 Auto Unauthorized Ena 3600 Clark 1/e4 Force-auth Authorized Dis 3600 n/a 1/e5 Force-auth Unauthorized* Dis 3600 n/a * Port is down or not present.

Console# show dot1x ethernet 1/e3 802.1x is enabled.

Port Admin Mode Oper Mode Reauth Control Reauth Period Username ---- --- --- --- --- ---1/e3 Auto Unauthorized Ena 3600 Clark Quiet period: 60 Seconds

Tx period:30 Seconds Max req: 2

Supplicant timeout: 30 Seconds Server timeout: 30 Seconds Session Time (HH:MM:SS): 08:19:17 MAC Address: 00:08:78:32:98:78 Authentication Method: Remote Termination Cause: Supplicant logoff Authenticator State Machine State: HELD

Backend State Machine State: IDLE

以下の表で、この例にある重要なフィールドについて説明します。

フ ィ ール ド 説明

Port ポー ト 番号

Admin mode ポー ト の管理モー ド 。 可能な値 ：FoTrce-auth、 Force-unauth、 Auto Oper mode ポー ト の動作モー ド 。 可能な値 ：Authorized、 Unauthorized、 またはDown Reauth Control 再認証の制御

Reauth Period 再認証の試行間隔

Username Supplicantの身元を表すユーザ名。 このフ ィ ール ド は、 ポー ト の制御がauto であ る場合のユーザ名を示 し ます。 ポー ト がAuthorizedの場合、 現在のユーザのユー ザ名が示 さ れます。 ポー ト がUnauthorizedの場合は、 直前に認証に成功し たユー ザが示 さ れます

Quiet period 認証交換の失敗後 （ ク ラ イ ア ン ト から 無効なパスワー ド が与え ら れた場合な ど）、 デバイ スが静止状態にある秒数

Tx period 要求を再送する ま でにデバイ スがク ラ イ ア ン ト か らのEAP （Extensible Authentication Protocol） -request/identityフ レームへの応答を待機する秒数 Max req 認証プ ロ セ ス を再起動する ま でに （応答を受信 し ない と 仮定 し て）デバイ スがEAP

（Extensible Authentication Protocol） -requestフ レームを ク ラ イ アン ト に送信する回 数の最大値

Supplicant timeout 要求を再送す る ま で に ス イ ッ チが ク ラ イ ア ン ト か ら のEAP-request フ レームへの 応答を待機する秒数

Server timeout 要求を再送する ま でにス イ ッ チが認証サーバから の応答を待機する秒数 Session Time ユーザがログ イ ン し ている時間

MAC address SupplicantのMACア ド レス

Authentication Method セ ッ シ ョ ンの確立に使用 さ れる認証方法 Termination Cause セ ッ シ ョ ンの終了理由

State AuthenticatorのPAEステー ト マシンおよびBackendステー ト マシンの現在の値 Authentication success ス テー ト マシンが認証サーバから成功 メ ッ セージを受信し た回数

show dot1x users

show dot1x users Privileged Execモード コマンドは、デバイスでアクティブな802.1x認証済みユーザを表示

します。 構文

show dot1x users [username ユーザ名]

パラ メ ー タ ■ ユーザ名：Supplicantのユーザ名。（範囲：1～160文字） デ フ ォ ル ト 設定 このコマンドにデフォルトの設定はありません。 コ マン ド モー ド Privileged Execモード コ マン ド の使用法 このコマンドに関するユーザ ガイドラインはありません。 例 以下のコマンドは、802.1xユーザを表示します。 以下の表で、この例にある重要なフィールドについて説明します。

Console# show dot1x users

Port Username Session Time Auth Method MAC Address --- --- --- --- ---1/e1 Bob 1d:03:08.58 Remote 0008:3b79:8787

1/e2 John 08:19:17 None 0008:3b89:3127

Console# show dot1x users username Bob Username: Bob

Port Username Session Time Auth Method MAC Address --- --- --- --- ---1/e1 Bob 1d:03:08.58 Remote 0008:3b79:8787

キーワー ド 説明

show dot1x statistics

show dot1x statisticsPrivileged Execモード コマンドは、指定したインタフェースに関する802.1x統計を表示 します。

構文

show dot1x statistics ethernetインタフェース パラ メ ー タ ■ インタフェース：有効なEthernetポート。（完全な構文：ポート） デ フ ォ ル ト 設定 このコマンドにデフォルトの設定はありません。 コ マン ド モー ド Privileged Execモード コ マン ド の使用法 このコマンドに関するユーザ ガイドラインはありません。 例 以下のコマンドは、指定したインタフェースの802.1x統計を表示します。

Console# show dot1x statistics ethernet 1/e1 EapolFramesRx: 11 EapolFramesTx: 12 EapolStartFramesRx: 12 EapolLogoffFramesRx: 1 EapolRespIdFramesRx: 3 EapolRespFramesRx: 6 EapolReqIdFramesTx: 3 EapolReqFramesTx: 6 InvalidEapolFramesRx: 0 EapLengthErrorFramesRx: 0 LastEapolFrameVersion: 1 LastEapolFrameSource: 00:08:78:32:98:78

以下の表で、この例にある重要なフィールドについて説明します。

キーワー ド 説明

EapolFramesRx こ のAuthenticatorが受信し たすべての種類の有効なEAPOLフ レームの数 EapolFramesTx こ のAuthenticatorが送信し たすべての種類のEAPOLフ レームの数 EapolStartFramesRx こ のAuthenticatorが受信し たEAPOL開始フ レームの数

EapolLogoffFramesRx こ のAuthenticatorが受信し たEAPOLログオフ フ レームの数 EapolRespIdFramesRx こ のAuthenticatorが受信し たEAP Resp/Idフ レームの数

EapolRespFramesRx こ のAuthenticatorが受信し た有効なEAP Response フ レーム （Resp/Id フ レーム以外） の数

EapolReqIdFramesTx こ のAuthenticatorが送信し たEAP Req/Idフ レームの数

EapolReqFramesTx こ のAuthenticatorが送信し たEAP Requestフ レーム （Rq/Idフ レーム以外） の数 InvalidEapolFramesRx こ のAuthenticatorが受信し たEAPOL フ レームの う ち、 種類が認識されないフ レーム

の数

EapLengthErrorFramesRx こ のAuthenticatorが受信し たEAPOLフ レームの う ち、 Packet Body Lengthフ ィ ール ド が無効な フ レームの数

LastEapolFrameVersion 最後に受信 し たEAPOLフ レームのプ ロ ト コル バージ ョ ン番号 LastEapolFrameSource 最後に受信 し たEAPOLフ レームの送信元MACア ド レス

拡張機能

dot1x auth-not-req

dot1x auth-not-req Interface Configurationモード コマンドは、承認されていないデバイスのVLANへのアク

セスを有効にします。VLANへのアクセスを無効にするには、このコマンドのno形式を使用します。 構文 dot1x auth-not-req no dot1x auth-not-req パラ メ ー タ このコマンドのパラメータはありません。 デ フ ォ ル ト 設定 アクセスは有効です。 コ マン ド モー ド Interface Configuration（VLAN）モード コ マン ド の使用法 アクセス ポートは、認証されていないVLANではメンバになれません。 トランク ポートのネイティブVLANは、認証されていないVLANであってはいけません。 一般的なポートについては、認証されていない状態ではタグ付きパケットのみ許可されますが、PVIDは認 証されていないVLANになる可能性があります。 例 以下のコマンドは、承認されていないデバイスにVLANへのアクセスを有効にします。

dot1x multiple-hosts

dot1x multiple-hosts Interface Configurationモード コマンドは、承認状態がautoに設定されている802.1xの承

認済みポート上の複数のホスト（クライアント）を有効にします。デフォルトの設定に戻すには、このコ マンドのno形式を使用します。 構文 dot1x multiple-hosts no dot1x multiple-hosts パラ メ ー タ このコマンドのパラメータはありません。 デ フ ォ ル ト 設定 複数のホストは無効です。 コ マン ド モー ド Interface Configuration（Ethernet）モード コ マン ド の使用法 このコマンドは、1つの802.1x対応ポートに対する複数のクライアントの接続を有効にします。このモード では、接続されているホストのうち1つだけが承認されれば、すべてのホストがネットワーク アクセスを 許可されます。ポートが承認されていなければ、接続されているすべてのクライアントはネットワークへ のアクセスを拒否されます。 認証されていないVLANでは、複数のホストが常に有効になっています。 ポート上のポート セキュリティを有効にするには、複数ホストを有効にする必要があります。 例 以下のコマンドは、802.1xの承認済みポート上で複数のホスト（クライアント）を有効にします。

dot1x single-host-violation

dot1x single-host-violation Interface Configurationモード コマンドは、MACアドレスがSupplicantのMACアド

レスと異なるステーションがインタフェースへのアクセスを試みたときに実行される処理を設定します。 デフォルトの設定に戻すには、このコマンドのno形式を使用します。

構文

dot1x single-host-violation {forward | discard | discard-shutdown} [trap 秒数] no port dot1x single-host-violation

パラ メ ー タ ■ forward：Supplicant のアドレスと異なる送信元アドレスを持つフレームを転送しますが、送信元アド レスを記憶しません。 ■ discard：Supplicantのアドレスと異なる送信元アドレスを持つフレームを破棄します。 ■ discard-shutdown：Supplicantのアドレスと異なる送信元アドレスを持つフレームを破棄します。また、 ポートをシャットダウンします。 ■ trap：SNMPトラップの送信を示します。 ■ 秒数：連続的に送信されるトラップの間隔の最小値を秒数で指定します。（範囲：1～1000000） デ フ ォ ル ト 設定 Supplicantのアドレスと異なる送信元アドレスを持つフレームは破棄されます。 トラップは送信されません。 コ マン ド モー ド Interface Configuration（Ethernet）モード コ マン ド の使用法 このコマンドは、複数のホストが無効であり、ユーザが認証に成功している場合に関係します。 例 次のコマンドは、Supplicantのアドレスと異なる送信元アドレスを持つフレームを転送し、100秒の間隔で トラップを連続的に送信します。

dot1x guest-vlan

dot1x guest-vlan Interface Configurationモード コマンドは、ゲストVLANを定義します。デフォルトの設定に

戻すには、このコマンドのno形式を使用します。 構文 dot1x guest-vlan no dot1x guest-vlan パラ メ ー タ このコマンドのパラメータはありません。 デ フ ォ ル ト 設定 ゲストVLANとして定義されているVLANはありません。 コ マン ド モー ド Interface Configuration（VLAN）モード コ マン ド の使用法

dot1x guest-vlan enable Interface Configurationモード コマンドを使用して、インタフェース上で承認されて

いないユーザがゲストVLANにアクセスできるようにします。 ゲストVLANが定義済みで有効な場合、ポートが承認されていないとポートは自動的にゲストVLANに加入 し、ポートが承認されるとゲストVLANから脱退します。ゲストVLANへの加入と脱退を可能にするには、 ポートをゲストVLANの静的メンバにしないでください。 例 以下のコマンドは、VLAN 2をゲストVLANとして定義します。 Console# Console# configure

Console(config)# vlan database Console(config-vlan)# vlan 2 Console(config-vlan)# exit Console(config)#interface vlan 2 Console(config-if)# dot1x guest-vlan

dot1x guest-vlan enable

dot1x vlans guest-vlan enable Interface Configurationモード コマンドは、インタフェース上で承認されていな

いユーザがゲストVLANにアクセスできるようにします。アクセスを無効にするには、このコマンドのno 形式を使用します。

構文

dot1x guest-vlan enable no dot1x guest-vlan enable

パラ メ ー タ このコマンドのパラメータはありません。 デ フ ォ ル ト 設定 無効になっています。 コ マン ド モー ド Interface Configuration（Ethernet）モード コ マン ド の使用法

デバイスはグローバル ゲストVLAN を1 つだけ持つことができます。ゲストVLAN は、dot1x guest-vlan Interface Configurationモード コマンドを使用して定義されます。

例

以下のコマンドは、Ethernetポート1/e1上で承認されていないユーザがゲストVLANにアクセスできるようにし ます。

Console# configure

Console(config)# interface ethernet 1/e1 Console(config-if)# dot1x guest-vlan enable

show dot1x advanced

show dot1x advanced Privileged Execモード コマンドは、デバイスまたは指定したインタフェースの802.1x拡

張機能を表示します。 構文

show dot1x advanced [ethernet インタフェース]

パラ メ ー タ ■ インタフェース：有効なEthernetポート。（完全な構文：ポート） デ フ ォ ル ト 設定 このコマンドにデフォルトの設定はありません。 コ マン ド モー ド Privileged Execモード コ マン ド の使用法 このコマンドに関するユーザ ガイドラインはありません。 例 以下のコマンドは、デバイスの802.1x拡張機能を表示します。

Console# show dot1x advanced Guest VLAN: 2

Unauthenticated VLANs: 91,92

Interface Multiple Hosts Guest VLAN --- ---

---1/e1 Disabled Enabled

1/e2 Enabled Disabled

Console# show dot1x advanced ethernet 1/e1

Interface Multiple Hosts Guest VLAN --- ---

---1/e1 Disabled Enabled

Single host parameters Violation action: Discard

3

AAAコ マン ド

aaa authentication login

aaa authentication login Global Configurationモード コマンドは、ログイン認証を定義します。デフォルトの

設定に戻すには、このコマンドのno形式を使用します。

構文

aaa authentication login {default |リスト名} 方法1 [方法2...] no aaa authentication login {default |リスト名}

パラ メ ー タ ■ default：ユーザのログイン時に、この引数に続く一覧表示された認証方法を、方法のデフォルトのリ ストとして使用します。 ■ リスト名：ユーザのログイン時にアクティブになる認証方法のリストに名前を付けるために使用する 文字列。（範囲：1～12文字） ■ 方法1 [方法2...] ：次の表から、1つ以上のキーワードを指定します。 デ フ ォ ル ト 設定

ローカルのユーザ データベースをチェックします。これには、コマンド「aaa authentication login リスト名

local」と同じ効果があります。

✎

認証方法が定義されていない場合、コンソールでは、認証チェックなしでログインできます。 コ マン ド モー ド

Global Configurationモード

コ マン ド の使用法

aaa authentication login コマンドで作成した、デフォルトのリスト名とオプションのリスト名は、login authenticationコマンドで使用します。

特定のプロトコルに対して「aaa authentication loginリスト名 方法」コマンドを入力することで、リスト を作成します。ここでリスト名は、このリストに名前を付けるために使用される任意の文字列です。方法 引数は、与えられた手順で、認証アルゴリズムが試す方法のリストを確認します。 キーワー ド 説明 enable 認証に イ ネーブル パスワー ド を使用し ます line 認証に ラ イ ン パスワー ド を使用し ます none 認証を使用 し ません radius すべてのRADIUSサーバの リ ス ト を認証に使用し ます tacacs すべてのTACACS+サーバのリ ス ト を認証に使用し ます

前の認証方法が失敗するのではなくエラーを返す場合のみ、さらなる認証方法が使用されます。すべての 認証方法がエラーを返す場合でも認証を正常に実行するには、コマンド ラインに最後の認証方法として 「none」を指定します。

例

以下のコマンドは、認証ログインを設定します。

aaa authentication enable

aaa authentication enable Global Configurationモード コマンドは、上位の特権レベルにアクセスするための

認証方法のリストを定義します。デフォルトの設定に戻すには、このコマンドのno形式を使用します。

構文

aaa authentication enable {default | リスト名} 方法1 [方法2...] no aaa authentication enable {default | リスト名}

パラ メ ー タ ■ default：上位の特権レベルの使用時に、この引数に続く一覧表示された認証方法を、方法のデフォル トのリストとして使用します。 ■ リスト名：上位の特権レベルの使用時に、アクティブになる認証方法のリストに名前を付けるために 使用する文字列。（範囲：1～12文字） ■ 方法1 [方法2...] ：次の表から、1つ以上のキーワードを指定します。 デ フ ォ ル ト 設定 defaultリストが設定されていない場合は、イネーブル パスワードのみがチェックされます。これには、コ

マンド「aaa authentication enable default enable」と同じ効果があります。

Console(config)# aaa authentication login default radius local enable none

キーワー ド 説明

enable 認証に イ ネーブル パスワー ド を使用し ます line 認証に ラ イ ン パスワー ド を使用し ます

none 認証を使用 し ません

radius すべてのRADIUSサーバのリ ス ト を認証に使用し ます。 ユーザ名$enabx$.を使用し ます。 こ こ で、xは特権レベルです

tacacs すべてのTACACS+サーバのリ ス ト を認証に使用し ます。 ユーザ名 「$enabx$.」 を使用し ます。 こ こ で、xは特権レベルです

コ マン ド の使用法

aaa authentication enableコマンドで作成したデフォルトのリスト名およびオプションのリスト名は、enable authenticationコマンドで使用します。

前の認証方法が失敗するのではなくエラーを返す場合のみ、さらなる認証方法が使用されます。すべての 認証方法がエラーを返す場合でも認証を正常に実行するには、コマンド ラインに最後の認証方法として 「none」を指定します。

デバイスによってRADIUSサーバまたはTACACS+サーバに送信されたすべての「aaa authentication enable

default」要求には、ユーザ名$enabx$.が含まれます。ここで、xは要求された特権レベルです。

例

以下のコマンドは、上位の特権レベルへのアクセス時に、認証のためのイネーブル パスワードを設定しま す。

login authentication

login authentication Line Configurationモード コマンドは、リモートのTelnet用またはコンソール用のログイ

ン認証方法のリストを指定します。aaa authentication loginコマンドで指定したデフォルトの設定に戻すに

は、このコマンドのno形式を使用します。

構文

login authentication {default | リスト名} no login authentication

パラ メ ー タ

■ default：aaa authentication loginコマンドで作成したデフォルトのリストを使用します。

■ リスト名：aaa authentication loginコマンドで作成したリストを、ここで指定して使用します。

デ フ ォ ル ト 設定

aaa authentication loginコマンドで設定したデフォルトを使用します。

コ マン ド モー ド Line Configurationモード コ マン ド の使用法 ログイン認証をデフォルトから他の値へ変更すると、Telnetセッションが切断されることがあります。 例 以下のコマンドは、コンソール用のデフォルトの認証方法を指定します。

Console(config)# aaa authentication enable default enable

Console(config)# line console

enable authentication

enable authentication Line Configurationモード コマンドは、リモートのTelnetまたはコンソールから上位の特 権レベルにアクセスするときの認証方法のリストを指定します。aaa authentication enableコマンドで指定

したデフォルトの設定に戻すには、このコマンドのno形式を使用します。

構文

enable authentication {default | リスト名} no enable authentication

パラ メ ー タ

■ default：aaa authentication enableコマンドで作成したデフォルトのリストを使用します。

■ リスト名：aaa authentication enableコマンドで作成したリストを、ここで指定して使用します。

デ フ ォ ル ト 設定

aaa authentication enableコマンドで設定したデフォルトを使用します。

コ マン ド モー ド Line Configurationモード コ マン ド の使用法 このコマンドに関するユーザ ガイドラインはありません。 例 以下のコマンドは、コンソールから上位の特権レベルにアクセスするときのデフォルトの認証方法を指定 します。

Console(config)# line console

ip http authentication

ip http authentication Global Configurationモード コマンドは、HTTPサーバ ユーザの認証方法を指定します。

デフォルトの設定に戻すには、このコマンドのno形式を使用します。 構文 ip http authentication 方法1 [方法2...] no ip http authentication パラ メ ー タ ■ 方法1 [方法2...] ：次の表から、1つ以上のキーワードを指定します。 デ フ ォ ル ト 設定

ローカルのユーザ データベースをチェックします。これには、コマンド「ip http authenticationlocal」と

同じ効果があります。 コ マン ド モー ド Global Configurationモード コ マン ド の使用法 前の認証方法が失敗するのではなくエラーを返す場合のみ、さらなる認証方法が使用されます。すべての 認証方法がエラーを返す場合でも認証を正常に実行するには、コマンド ラインに最後の認証方法として 「none」を指定します。 例 以下のコマンドは、HTTP認証を設定します。 キーワー ド 説明 local 認証に ロー カルのユーザ名デー タ ベース を使用 し ます none 認証を使用 し ません radius すべてのRADIUSサーバのリ ス ト を認証に使用し ます tacacs すべてのTACACS+サーバのリ ス ト を認証に使用し ます