セキュリティ

(1)

セキュリティ

•aaa accounting dot1x（3ページ）

•aaa accounting identity（5ページ）

•aaa authentication dot1x（7ページ）

•aaa authorization network（8ページ）

•aaa new-model（9ページ）

•authentication host-mode（11ページ）

•authentication logging verbose（13ページ）

•authentication mac-move permit（14ページ）

•authentication priority（15ページ）

•authentication violation（18ページ）

•auto security（20ページ）

•auto security-port（21ページ）

•cisp enable（22ページ）

•clear errdisable interface vlan（24ページ）

•clear mac address-table（26ページ）

•debug ip rip（28ページ）

•deny（MACアクセスリストコンフィギュレーション）（30ページ）

•dot1x critical（グローバルコンフィギュレーション）（34ページ）

•dot1x logging verbose（35ページ）

•dot1x pae（36ページ）

•dot1x supplicant force-multicast（37ページ）

•dot1x test eapol-capable（38ページ）

•dot1x test timeout（39ページ）

•dot1x timeout（40ページ）

•epm access-control open（43ページ）

•ip access-group（44ページ）

•ip admission（46ページ）

•ip admission name（47ページ）

•ip device tracking maximum（50ページ）

(2)

•ip device tracking probe（51ページ）

•ip dhcp snooping database（52ページ）

•ip dhcp snooping information option format remote-id（54ページ）

•ip dhcp snooping verify no-relay-agent-address（55ページ）

•ip source binding（56ページ）

•ip ssh source-interface（58ページ）

•ip verify source（59ページ）

•ipv6 snooping policy（60ページ）

•limit address-count（62ページ）

•mab request format attribute 32（63ページ）

•match（アクセスマップコンフィギュレーション）（65ページ）

•mab logging verbose（67ページ）

•permit（MACアクセスリストコンフィギュレーション）（68ページ）

•radius server（72ページ）

•router rip（74ページ）

•show aaa clients（75ページ）

•show aaa command handler（76ページ）

•show aaa local（77ページ）

•show aaa servers（78ページ）

•show aaa sessions（79ページ）

•show authentication sessions（80ページ）

•show auto security（83ページ）

•show cisp（85ページ）

•show dot1x（87ページ）

•show eap pac peer（89ページ）

•show ip dhcp snooping statistics（90ページ）

•show ip rip database（93ページ）

•show ip ssh（95ページ）

•show radius server-group（97ページ）

•show vlan group（99ページ）

•switchport port-security aging（100ページ）

•switchport port-security mac-address（102ページ）

•switchport port-security maximum（105ページ）

•switchport port-security violation（107ページ）

•trusted-port（109ページ）

•username name masked-secret（110ページ）

•vlan group（111ページ）

セキュリティ

(3)

aaa accounting dot1x

認証、認可、およびアカウンティング（AAA）アカウンティングをイネーブルにして、IEEE 802.1Xセッションの特定のアカウンティング方式を、回線単位またはインターフェイス単位で定義する方式リストを作成するにはaaa accounting dot1xグローバルコンフィギュレーションコマンドを使用します。IEEE 802.1Xアカウンティングをディセーブルにするには、このコマンドのno形式を使用します。

aaa accounting dot1x {name| default} start-stop {broadcast group {name | radius| tacacs+} [group {name | radius | tacacs+} ... ] | group {name | radius | tacacs+}

[group {name | radius | tacacs+}... ]}

no aaa accounting dot1x {name| default}

構文の説明サーバグループ名。これは、broadcast groupおよびgroupキーワードの後に入力する場合に使用するオプションです。

name

デフォルトリストにあるアカウンティング方式を、アカウンティングサービス用に指定します。

default

プロセスの開始時にstart accounting通知を送信し、プロセスの終了時にstop accounting通知を送信します。startアカウンティングレコードはバックグラウンドで送信されます。アカウンティングサーバがstart accounting通知を受け取ったかどうかには関係なく、要求されたユーザプロセスが開始されます。

start-stop

複数のAAAサーバに送信されるアカウンティングレコードをイネーブルにして、

アカウンティングレコードを各グループの最初のサーバに送信します。最初のサーバが利用できない場合、スイッチはバックアップサーバのリストを使用して最初のサーバを識別します。

broadcast

アカウンティングサービスに使用するサーバグループを指定します。有効なサーバグループ名は次のとおりです。

•name：サーバグループの名前。

•radius：すべてのRADIUSホストのリスト。

•tacacs+：すべてのTACACS+ホストのリスト。

broadcast groupおよびgroupキーワードの後に入力する場合、groupキーワードはオプションです。オプションのgroupキーワードより多くの値を入力できます。

group

（任意）RADIUSアカウンティングをイネーブルにします。

radius

（任意）TACACS+アカウンティングをイネーブルにします。

tacacs+

コマンドデフォルト AAAアカウンティングはディセーブルです。

セキュリティ

aaa accounting dot1x

(4)

コマンドモードグローバルコンフィギュレーション

コマンド履歴リリース変更内容

このコマンドが導入されました。

Cisco IOS Release 15.2(7)E3k

使用上のガイドラインこのコマンドは、RADIUSサーバへのアクセスが必要です。

インターフェイスにIEEE 802.1X RADIUSアカウンティングを設定する前に、dot1x

reauthenticationインターフェイスコンフィギュレーションコマンドを入力することを推奨し

ます。

次の例では、IEEE 802.1Xアカウンティングを設定する方法を示します。

Device(config)# aaa new-model

Device(config)# aaa accounting dot1x default start-stop group radius

セキュリティ aaa accounting dot1x

(5)

aaa accounting identity

IEEE 802.1X、MAC認証バイパス（MAB）、およびWeb認証セッションの認証、認可、およびアカウンティング（AAA）アカウンティングをイネーブルにするには、グローバルコンフィギュレーションモードで、aaa accounting identityコマンドを使用します。IEEE 802.1Xアカウンティングをディセーブルにするには、このコマンドのno形式を使用します。

aaa accounting identity {name| default} start-stop {broadcast group {name | radius| tacacs+} [group {name | radius | tacacs+} ... ] | group {name | radius | tacacs+}

[group {name | radius | tacacs+}... ]}

no aaa accounting identity {name| default}

構文の説明サーバグループ名。これは、broadcast groupおよびgroupキーワードの後に入力する場合に使用するオプションです。

name

デフォルトリストにあるアカウンティング方式を、アカウンティングサービス用に使用します。

default

プロセスの開始時にstart accounting通知を送信し、プロセスの終了時にstop accounting通知を送信します。startアカウンティングレコードはバックグラウンドで送信されます。アカウンティングサーバがstartアカウンティング通知を受け取ったかどうかには関係なく、要求されたユーザプロセスが開始されます。

start-stop

複数のAAAサーバに送信されるアカウンティングレコードをイネーブルにして、

アカウンティングレコードを各グループの最初のサーバに送信します。最初のサーバが利用できない場合、スイッチはバックアップサーバのリストを使用して最初のサーバを識別します。

broadcast

アカウンティングサービスに使用するサーバグループを指定します。有効なサーバグループ名は次のとおりです。

•name：サーバグループの名前。

•radius：すべてのRADIUSホストのリスト。

•tacacs+：すべてのTACACS+ホストのリスト。

broadcast groupおよびgroupキーワードの後に入力する場合、groupキーワードはオプションです。オプションのgroupキーワードより多くの値を入力できます。

group

（任意）RADIUS認証をイネーブルにします。

radius

（任意）TACACS+アカウンティングをイネーブルにします。

tacacs+

コマンドデフォルト AAAアカウンティングはディセーブルです。

セキュリティ

aaa accounting identity

(6)

使用上のガイドライン AAAアカウンティングアイデンティティをイネーブルにするには、ポリシーモードをイネーブルにする必要があります。ポリシーモードを有効にするには、特権EXECモードで

authentication display new-styleコマンドを入力します。

次の例では、IEEE 802.1Xアカウンティングアイデンティティを設定する方法を示します。

Device# authentication display new-style

Please note that while you can revert to legacy style configuration at any time unless you have explicitly entered new-style configuration, the following caveats should be carefully read and understood.

(1) If you save the config in this mode, it will be written to NVRAM in NEW-style config, and if you subsequently reload the router without reverting to legacy config and saving that, you will no longer be able to revert.

(2) In this and legacy mode, Webauth is not IPv6-capable. It will only become IPv6-capable once you have entered new- style config manually, or have reloaded with config saved in 'authentication display new' mode.

Device# configure terminal

Device(config)# aaa accounting identity default start-stop group radius

セキュリティ aaa accounting identity

(7)

aaa authentication dot1x

IEEE 802.1x認証に準拠するポートで使用する認証、認可、およびアカウンティング（AAA）

方式を指定するには、スイッチスタックまたはスタンドアロンスイッチ上のグローバルコンフィギュレーションモードでaaa authentication dot1xコマンドを使用します。認証を無効にするには、このコマンドのno形式を使用します。

aaa authentication dot1x {default} method1 no aaa authentication dot1x {default} method1

構文の説明ユーザがログインするときのデフォルトの方法。この引数に続いてリストされた認証方式が使用されます。

default

サーバ認証を指定します。認証用にすべてのRADIUSサーバの一覧を使用するに

は、group radiusキーワードを入力します。

コマンドラインのヘルプストリングには他のキーワードも表示されますが、サポートされるのはdefaultおよびgroup radiusキーワードのみです。

（注）

method1

コマンドデフォルト認証は実行されません。

使用上のガイドライン method引数には、認証アルゴリズムがクライアントからのパスワードを確認するために特定の順序で試みる方式を指定します。IEEE 802.1Xに準拠している唯一の方式は、クライアントデータがRADIUS認証サーバに対して確認されるgroup radius方式です。

group radiusを指定した場合、radius-server hostグローバルコンフィギュレーションコマンドを入力してRADIUSサーバを設定する必要があります。

設定された認証方式の一覧を表示するには、show running-config特権EXECコマンドを使用します。

次の例ではAAAをイネーブルにしてIEEE 802.1X準拠の認証リストを作成する方法を示します。この認証は、最初にRADIUSサーバとの交信を試みます。この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。

Device(config)# aaa new-model

Device(config)# aaa authentication dot1x default group radius セキュリティ

aaa authentication dot1x

(8)

aaa authorization network

IEEE 802.1x VLAN割り当てなどのすべてのネットワーク関連サービス要求に対してユーザ

RADIUS認証を使用するようにスイッチを設定するには、グローバルコンフィギュレーション

モードでaaa authorization networkコマンドを使用します。RADIUSユーザ認証をディセーブルにするには、このコマンドのno形式を使用します。

aaa authorization network default group radius no aaa authorization network default

構文の説明デフォルトの認証リストとして、サーバグループ内のすべてのRADIUS ホストのリストを使用します。

default group radius

コマンドデフォルト認証はディセーブルです。

使用上のガイドラインスイッチが、デフォルトの認証リスト内にあるRADIUSサーバからIEEE 802.1x認証パラメータをダウンロードできるようにするには、aaa authorization network default group radiusグローバルコンフィギュレーションコマンドを使用します。認証パラメータは、VLAN割り当てなど、RADIUSサーバからパラメータを取得する機能で使用されます。

設定された認証方式リストを表示するには、show running-config特権EXECコマンドを使用します。

この例では、すべてのネットワーク関連サービス要求に対してユーザRADIUS認証を行うようスイッチを設定する方法を示します。

Device(config)# aaa authorization network default group radius

セキュリティ aaa authorization network

(9)

aaa new-model

認証、認可、およびアカウンティング（AAA）アクセス制御モデルを有効にするには、グローバルコンフィギュレーションモードで aaa new-modelコマンドを使用します。AAAアクセス制御モデルを無効にするには、このコマンドのno形式を使用します。

aaa new-model no aaa new-model

構文の説明このコマンドには引数またはキーワードはありません。

コマンドデフォルト AAAが有効になっていません。

コマンドモードグローバルコンフィギュレーション（config）

使用上のガイドラインこのコマンドにより、AAAアクセス制御システムが有効になります。

仮想端末回線（VTY）に関して login local コマンドが設定されている場合、aaa new-model コマンドを削除するときは、スイッチをリロードしてデフォルト設定またはloginコマンドを取得する必要があります。スイッチをリロードしない場合、スイッチは、VTYではデフォル

トで login local コマンドに設定されます。

aaa new-model コマンドを削除することは推奨されません。

（注）

次に、この制限の例を示します。

Device(config)# aaa new-model Device(config)# line vty 0 15 Device(config-line)# login local Device(config-line)# exit Device(config)# no aaa new-model Device(config)# exit

Device# show running-config | b line vty line vty 0 4

login local !<=== Login local instead of "login"

line vty 5 15 login local

!

例次に、AAAを初期化する例を示します。

Device(config)# aaa new-model セキュリティ

aaa new-model

(10)

Device(config)#

関連コマンド Command Description

課金またはセキュリティ目的のために、要求されたサービスのAAAアカウンティングをイネーブルにします。

aaa accounting

TACACS+を使用するARAPのAAA認証方式を有効にします。

aaa authentication arap

ユーザが特権コマンドレベルにアクセスできるかどうかを決定するAAA認証を有効にします。

aaa authentication enable default

ログイン時のAAA認証を設定します。

aaa authentication login

PPPを実行しているシリアルインターフェイス上で使用する 1つまたは複数のAAA認証方式を指定します。

aaa authentication ppp

ネットワークへのユーザアクセスを制限するパラメータを設定します。

aaa authorization

セキュリティ aaa new-model

(11)

authentication host-mode

ポートで認証マネージャモードを設定するには、インターフェイスコンフィギュレーション

モードでauthentication host-modeコマンドを使用します。デフォルト設定に戻すには、この

コマンドのno形式を使用します。

authentication host-mode {multi-auth |multi-domain |multi-host |single-host}

no authentication host-mode

構文の説明ポートのマルチ認証モード（multi-authモード）をイネーブルにします。

multi-auth

ポートのマルチドメインモードをイネーブルにします。

multi-domain

ポートのマルチホストモードをイネーブルにします。

multi-host

ポートのシングルホストモードをイネーブルにします。

single-host

コマンドデフォルトシングルホストモードがイネーブルにされています。

コマンドモードインターフェイスコンフィギュレーション

使用上のガイドライン接続されているデータホストが1つだけの場合は、シングルホストモードを設定する必要があります。シングルホストポートでの認証のために音声デバイスを接続しないでください。ポートで音声VLANが設定されていないと、音声デバイスの許可が失敗します。

データホストがIPフォン経由でポートに接続されている場合は、マルチドメインモードを設定する必要があります。音声デバイスを認証する必要がある場合は、マルチドメインモードを設定する必要があります。

ハブの背後にデバイスを配置し、それぞれを認証してポートアクセスのセキュリティを確保できるようにするには、マルチ認証モードに設定する必要があります。音声VLANが設定されている場合は、このモードで認証できる音声デバイスは1つだけです。

マルチホストモードでも、ハブ越しの複数ホストのためのポートアクセスが提供されますが、

マルチホストモードでは、最初のユーザが認証された後でデバイスに対して無制限のポートアクセスが与えられます。

次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。

セキュリティ

authentication host-mode

(12)

Device(config-if)# authentication host-mode multi-auth

次の例では、ポートのマルチドメインモードをイネーブルにする方法を示します。

Device(config-if)# authentication host-mode multi-domain

次の例では、ポートのマルチホストモードをイネーブルにする方法を示します。

Device(config-if)# authentication host-mode multi-host

次の例では、ポートのシングルホストモードをイネーブルにする方法を示します。

Device(config-if)# authentication host-mode single-host

設定を確認するには、show authentication sessions interface interface details特権EXEC コマンドを入力します。

セキュリティ authentication host-mode

(13)

authentication logging verbose

認証システムメッセージから詳細情報をフィルタリングするには、スイッチスタックまたはスタンドアロンスイッチ上でauthentication logging verboseコマンドをグローバルコンフィギュレーションモードで使用します。

authentication logging verbose no authentication logging verbose

コマンドデフォルトシステムメッセージの詳細ログは有効になっていません。

使用上のガイドラインこのコマンドにより、認証システムメッセージから、予測される成功などの詳細情報がフィルタリングされます。失敗メッセージはフィルタリングされません。

verbose認証システムメッセージをフィルタリングするには、次の手順に従います。

Device(config)# authentication logging verbose

設定を確認するには、show running-config特権EXECコマンドを入力します。

authentication mac-move permit

デバイス上でのMAC移動をイネーブルにするには、グローバルコンフィギュレーションモー

ドでauthentication mac-move permitコマンドを使用します。MAC移動をディセーブルにす

るには、このコマンドのno形式を使用します。

authentication mac-move permit no authentication mac-move permit

コマンドデフォルト MAC移動は無効になっています。

使用上のガイドラインこのコマンドを使用すると、デバイスの802.1x対応ポート間で認証ホストを移動できます。たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。

MAC移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認証されず、違反エラーが発生します。

MAC移動は、ポートセキュリティ対応の802.1xポートではサポートされません。MAC移動がスイッチ上でグローバルに設定され、ポートセキュリティ対応ホストが802.1x対応ポートに移動した場合、違反エラーが発生します。

次の例では、デバイス上でMAC移動をイネーブルにする方法を示します。

Device(config)# authentication mac-move permit

セキュリティ authentication mac-move permit

(15)

authentication priority

プライオリティリストに認証方式を追加するには、インターフェイスコンフィギュレーション

モードでauthentication priorityコマンドを使用します。デフォルトに戻るには、no形式のコ

マンドを使用します。

authentication priority [dot1x | mab] {webauth}

no authentication priority [dot1x | mab] {webauth}

構文の説明（任意）認証方式の順序に802.1Xを追加しま

す。

dot1x

（任意）認証方式の順序にMAC認証バイパス

（MAB）を追加します。

mab

認証方式の順序にWeb認証を追加します。

webauth

コマンドデフォルトデフォルトのプライオリティは、802.1X認証、MAC認証バイパス、Web認証の順です。

使用上のガイドライン順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行する方式の順序を設定します。

ポートにフォールバック方式を複数設定するときは、Web認証（webauth）を最後に設定してください。

異なる認証方式にプライオリティを割り当てることにより、プライオリティの高い方式を、プライオリティの低い進行中の認証方式に割り込ませることができます。

クライアントがすでに認証されている場合に、プライオリティの高い方式の割り込みが発生すると、再認証されることがあります。

（注）

認証方式のデフォルトのプライオリティは、実行リストの順序におけるその位置と同じで、

802.1X認証、MAC認証バイパス（MAB）、Web認証の順です。このデフォルトの順序を変更

するには、キーワードdot1x、mab、およびwebauthを使用します。

次の例では、802.1Xを最初の認証方式、Web認証を2番めの認証方式として設定する方法を示します。

セキュリティ

authentication priority

(16)

Device(config-if)# authentication priority dotx webauth

次の例では、MABを最初の認証方式、Web認証を2番めの認証方式として設定する方法を示します。

Device(config-if)# authentication priority mab webauth

ポートモードを単一方向または双方向に設定します。

authentication control-direction

認証マネージャが認証エラーを認識されないユーザクレデンシャルの結果として処理する方法を指定します。

authentication event fail

認証マネージャが認証エラーを応答のないホストの結果として処理する方法を指定します。

authentication event no-response action

以前に到達不能であった認証、許可、アカウンティングサーバが使用可能になったときに認証マネージャセッションを再初期化します。

authentication event server alive action reinitialize

認証、許可、アカウンティングサーバが到達不能になったときに認証マネージャセッションを許可します。

authentication event server dead action authorize

Web認証のフォールバック方式をイネーブルにします。

authentication fallback

ホストの制御ポートへのアクセスを許可します。

authentication host-mode

ポートでオープンアクセスをイネーブルにします。

authentication open

認証マネージャがポート上のクライアントの認証を試みる順序を指定します。

authentication order

ポートの自動再認証をイネーブルにします。

authentication periodic

制御ポートの許可ステートを設定します。

authentication port-control

機能しない認証マネージャセッションを強制終了するまでの時間を設定します。

authentication timer inactivity

セキュリティ authentication priority

(17)

説明コマンド

認証マネージャが許可ポートの再認証を試みる間隔を指定します。

authentication timer reauthenticate

認証マネージャが無許可ポートの認証を試みる間隔を指定します。

authentication timer restart

ポート上でセキュリティ違反が生じた場合に取るアクションを指定します。

authentication violation

ポートのMAC認証バイパスをイネーブルにします。

mab

認証マネージャに登録されている認証方式に関する情報を表示します。

show authentication registrations

現在の認証マネージャセッションに関する情報を表示します。

show authentication sessions

特定のインターフェイスの認証マネージャに関する情報を表示します。

show authentication sessions interface

セキュリティ

authentication priority

(18)

authentication violation

新しいデバイスがポートに接続されたとき、または最大数のデバイスがポートに接続されている状態で新しいデバイスがポートに接続されたときに発生する違反モードを設定するには、インターフェイスコンフィギュレーションモードでauthentication violationコマンドを使用します。

authentication violation{ protect|replace|restrict|shutdown } no authentication violation{ protect|replace|restrict|shutdown }

構文の説明予期しない着信MACアドレスをドロップします。syslog エラーは生成されません。

protect

現在のセッションを削除し、新しいホストによる認証を開始します。

replace

違反エラーの発生時にSyslogエラーを生成します。

restrict

エラーによって、予期しないMACアドレスが発生するポートまたは仮想ポートがディセーブルになります。

shutdown

コマンドデフォルト Authentication violation shutdownモードがイネーブルにされています。

使用上のガイドラインポート上でセキュリティ違反が発生したときに実行するアクションを指定するには、

authentication violationコマンドを使用します。

次の例では、新しいデバイスがポートに接続する場合に、errdisableになり、シャットダウンするようにIEEE 802.1X対応ポートを設定する方法を示します。

Device(config-if)# authentication violation shutdown

次の例では、新しいデバイスがポートに接続する場合に、システムエラーメッセージを生成して、ポートを制限モードに変更するように802.1X対応ポートを設定する方法を示します。

Device(config-if)# authentication violation restrict

セキュリティ authentication violation

(19)

次の例では、新しいデバイスがポートに接続するときに、そのデバイスを無視するよ

うに802.1X対応ポートを設定する方法を示します。

Device(config-if)# authentication violation protect

次の例では、新しいデバイスがポートに接続するときに、現在のセッションを削除し、

新しいデバイスによる認証を開始するように802.1X対応ポートを設定する方法を示します。

Device(config-if)# authentication violation replace セキュリティ

authentication violation

(20)

auto security

グローバルな自動セキュリティを設定するには、グローバルコンフィギュレーションモード

でauto security コマンドを使用します。自動セキュリティをディセーブルにするには、この

コマンドのno 形式を使用します。

auto security no auto security

このコマンドには、引数およびキーワードはありません。

コマンドデフォルト自動セキュリティがグローバルに有効化されました。

このコマンドは、Cisco IOS Release 15.2(5)Eよりも前のリリースで導入されました。

使用上のガイドライングローバルコンフィギュレーションモードで自動セキュリティを設定すると、すべてのインターフェイスで自動セキュリティが有効になります。自動セキュリティを無効にすると、すべてのインターフェイスで無効になります。

特定のインターフェイスで自動セキュリティを有効にするには、インターフェイスコンフィギュレーションモードでauto security-port コマンドを使用します。

Cisco IOSリリース15.2(5)Eでは、グローバルコンフィギュレーションモードでauto security コマンドが設定されると、インターフェイス上で自動セキュリティが有効になります。ただし、auto security-port{host|uplink}コマンドはインターフェイスの設定には明示的に保存されません。自動セキュリティがあるインターフェイス上で設定され、auto security-port{host

|uplink}コマンドがインターフェイスから削除されると、no auto security-port{host|uplink}コマンドはインターフェイスの設定に保存されます。

（注）

次に、自動セキュリティをグローバルで有効にする例を示します。

Device(config)# auto security

インターフェイス上で自動セキュリティを設定します。

auto security-port

自動セキュリティステータスを表示します。

show auto security

セキュリティ auto security

(21)

auto security-port

インターフェイスで自動セキュリティを設定にするには、インターフェイスコンフィギュレーションモードでauto security-port コマンドを使用します。インターフェイスで自動セキュリティを無効にするには、このコマンドのno 形式を使用します。

auto security {host |uplink}

no auto security

構文の説明 host ホストポートの自動セキュリティを設定します。

アップリンクポートの自動セキュリティを設定します。

uplink

コマンドデフォルト自動セキュリティはすべてのインターフェイス上で無効です。

コマンドモードインターフェイスコンフィギュレーション（config-if）

使用上のガイドライングローバルコンフィギュレーションモードでauto security コマンドを使用して、自動セキュリティをグローバルに有効にできます。

Cisco IOSリリース15.2(5)Eでは、グローバルコンフィギュレーションモードでauto security コマンドが設定されると、インターフェイス上で自動セキュリティが有効になります。ただし、auto security-port{host|uplink}コマンドはインターフェイスの設定には明示的に保存されません。自動セキュリティがあるインターフェイス上で設定され、auto security-port{host

|uplink}コマンドがインターフェイスから削除されると、no auto security-port{host|uplink}コマンドはインターフェイスの設定に保存されます。

（注）

次に、インターフェイスで自動セキュリティを設定する例を示します。

Switch(config)# interface gigabitethernet 1/0/2 Switch(config-if)# auto security-port host

グローバルな自動セキュリティを設定します。

auto security

自動セキュリティステータスを表示します。

show auto security

セキュリティ

auto security-port

(22)

cisp enable

スイッチ上でClient Information Signalling Protocol（CISP）を有効にして、サプリカントスイッチのオーセンティケータとして機能し、オーセンティケータスイッチのサプリカントとして機能するようにするには、cisp enableグローバルコンフィギュレーションコマンドを使用します。

cisp enable no cisp enable

コマンドデフォルトデフォルトの動作や値はありません。

使用上のガイドラインオーセンティケータとサプリカントスイッチの間のリンクはトランクです。両方のスイッチで VTPをイネーブルにする場合は、VTPドメイン名が同一であり、VTPモードがサーバである必要があります。

VTPモードを設定する場合にMD5チェックサムの不一致エラーにならないようにするために、

次の点を確認してください。

• VLANが異なる2台のスイッチに設定されていないこと。同じドメインにVTPサーバが

2台存在することがこの状態の原因になることがあります。

•両方のスイッチで、設定のリビジョン番号が異なっていること。

次の例では、CISPをイネーブルにする方法を示します。

Device(config)# cisp enable

プロファイルをサプリカントスイッチに設定します。

dot1x credentialsプロファイル

802.1Xサプリカントがマルチキャストパケッ

トを送信するように強制します。

dot1x supplicant force-multicast

セキュリティ cisp enable

(23)

説明コマンド

802.1Xサプリカントによる制御アクセスを設

定します。

dot1x supplicant controlled transient

指定されたインターフェイスのCISP情報を表示します。

show cisp

セキュリティ

cisp enable

(24)

clear errdisable interface vlan

error-disabled状態になっていたVLANを再びイネーブルにするには、特権EXECモードでclear errdisable interfaceコマンドを使用します。

clear errdisable interface interface-id vlan [vlan-list]

構文の説明 interface-id インターフェイスを指定します。

（任意）再びイネーブルにするVLANのリストを指定します。VLANリストを指定しない場合は、すべてのVLANが再びイネーブルになります。

vlan list

コマンドモード特権EXEC

使用上のガイドライン shutdownおよびno shutdownのインターフェイスコンフィギュレーションコマンドを使用してポートを再びイネーブルにするか、clear errdisableインターフェイスコマンドを使用して VLANのerror-disabledをクリアできます。

次の例では、ギガビットイーサネットポート4/0/2でerrdisableになっているすべての VLANを再びイネーブルにする方法を示します。

Device# clear errdisable interface gigabitethernet4/0/2 vlan

特定の原因、またはすべての原因に対して errdisable検出をイネーブルにします。

errdisable detect cause

回復メカニズム変数を設定します。

errdisable recovery

errdisable検出ステータスを表示します。

show errdisable detect

errdisable回復タイマーの情報を表示します。

show errdisable recovery

セキュリティ clear errdisable interface vlan

(25)

説明コマンド

errdisableステートになっているインターフェイスのリストのインターフェイスステータスを表示します。

show interfaces status err-disabled

セキュリティ

clear errdisable interface vlan

(26)

clear mac address-table

特定のダイナミックアドレス、特定のインターフェイス上のすべてのダイナミックアドレス、

スタックメンバ上のすべてのダイナミックアドレス、または特定のVLAN上のすべてのダイナミックアドレスをMACアドレステーブルから削除するには、clear mac address-tableコマンドを特権EXECモードで使用します。このコマンドはまたMACアドレス通知グローバルカウンタもクリアします。

clear mac address-table {dynamic [address mac-addr | interface interface-id | vlan vlan-id]

| move update | notification}

構文の説明すべてのダイナミックMACアドレスを削除し

ます。

dynamic

（任意）指定されたダイナミックMACアドレスを削除します。

address mac-addr

（任意）指定された物理ポートまたはポートチャネル上のすべてのダイナミックMACアドレスを削除します。

interface interface-id

（任意）指定されたVLANのすべてのダイナミックMACアドレスを削除します。指定できる範囲は1～4094です。

vlan vlan-id

MACアドレステーブルのmove-updateカウンタをクリアします。

move update

履歴テーブルの通知をクリアし、カウンタをリセットします。

notification

コマンドモード特権EXEC

使用上のガイドライン情報が削除されたことを確認するには、show mac address-table特権EXECコマンドを入力します。

次の例では、ダイナミックアドレステーブルから特定のMACアドレスを削除する方法を示します。

セキュリティ clear mac address-table

(27)

Device# clear mac address-table dynamic address 0008.0070.0007

MACアドレス通知機能をイネーブルにします。

mac address-table notification

スイッチ上のMACアドレステーブル移行更新を設定します。

mac address-table move update{receive| transmit}

MACアドレステーブルのスタティックエントリおよびダイナミックエントリを表示します。

show mac address-table

スイッチにMACアドレステーブル移行更新情報を表示します。

show mac address-table move update

interfaceキーワードが追加されると、すべて

のインターフェイスまたは指定されたインターフェイスに対するMACアドレス通知設定を表示します。

show mac address-table notification

特定のインターフェイスのSNMP MACアドレス通知トラップをイネーブルにします。

snmp trap mac-notification change

セキュリティ

clear mac address-table

(28)

debug ip rip

Routing Information Protocol（RIP）ルーティングトランザクションに関する情報を表示するに

は、特権EXECモードでdebug ip ripコマンドを使用します。デバッグ出力をディセーブルに

するには、このコマンドのno形式を使用します。

debug ip rip [{database |events |trigger}]

no debug ip rip [{database |events |trigger}]

構文の説明 database （任意）RIPデータベースイベントに関する情報を表示します。

（任意）RIPプロトコルベースイベントに関する情報を表示します。

events

（任意）RIPトリガー拡張機能に関する情報を表示します。

trigger

コマンドモード特権EXEC（#）

例次の例では、デバッグ対象のルータが送信元アドレス10.89.80.28のルータから更新を受信しました。このシナリオでは、ルーティングテーブルの更新で約5つの宛先に情報が送信されています。更新の4番目の宛先アドレスである172.31.0.0は、更新が送信されたルータから15ホップ以上離れているためアクセスできません。デバッグ対象のルータは、どちらの場合も宛先としてブロードキャストアドレス255.255.255.255に更新を送信します。

Device# debug ip rip

RIP: received update from 10.89.80.28 on GigabitEthernet0/0/0 10.89.95.0 in 1 hops

10.89.81.0 in 1 hops 10.89.66.0 in 2 hops

172.31.0.0 in 16 hops (inaccessible) 0.0.0.0 in 7 hop

RIP: sending update to 255.255.255.255 via GigabitEthernet0/0/0 (10.89.64.31) subnet 10.89.94.0, metric 1

172.31.0.0 in 16 hops (inaccessible)

RIP: sending update to 255.255.255.255 via Serial1 (10.89.94.31) subnet 10.89.64.0, metric 1

subnet 10.89.66.0, metric 3

172.31.0.0 in 16 hops (inaccessible) default 0.0.0.0, metric 8

2行目は、ルーティングテーブルの更新の例です。特定のインターネットアドレスとデバイス間のホップ数が示されています。

セキュリティ debug ip rip

(29)

エントリは、デバイスが同様の更新を送信していることを示しています。ただし、カッコ内の数字はIPヘッダーにカプセル化された送信元アドレスです。

次の例は、起動時、インターフェイス移行イベント中、またはユーザが手動でルーティングテーブルをクリアしたときに表示されるエントリのdebug ip ripコマンドを示しています。

RIP: broadcasting general request on GigabitEthernet0/0/0 RIP: broadcasting general request on GigabitEthernet1/0/0

次のエントリは、送信者からの不正なパケットが原因である可能性が高いです。

RIP: bad version 128 from 160.89.80.43

サマリーアドレスに基づいて集約されている関連ルートがある場合に、

RIPルーティングデータベースエントリのサマリーアドレスエントリを表示します。

show ip rip database

セキュリティ

debug ip rip

(30)

deny （ MAC アクセスリストコンフィギュレーション）

条件が一致した場合に非IPトラフィックが転送されるのを防止するには、スイッチスタックまたはスタンドアロンスイッチ上でdenyMACアクセスリストコンフィギュレーションコマンドを使用します。名前付きMACアクセスリストから拒否条件を削除するには、このコマンドのno形式を使用します。

deny {any | host src-MAC-addr | src-MAC-addr mask} {any | host dst-MAC-addr | dst-MAC-addr mask} [type mask | aarp | amber | appletalk | dec-spanning | decnet-iv

no deny {any | host src-MAC-addr | src-MAC-addr mask} {any | host dst-MAC-addr | dst-MAC-addr mask} [type mask | aarp | amber | appletalk | dec-spanning | decnet-iv

構文の説明すべての送信元または宛先MACアドレスを拒

否します。

any

ホストMACアドレスと任意のサブネットマスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非IPトラフィックは拒否されます。

host src-MAC-addr | src-MAC-addr mask

宛先MACアドレスと任意のサブネットマスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非IPトラフィックは拒否されます。

host dst-MAC-addr | dst-MAC-addr mask

（任意）パケットのEtherType番号と、Ethernet IIまたはSNAPカプセル化を指定して、パケットのプロトコルを識別します。

typeには、0～65535の16進数を指定できます。

maskは、一致をテストする前にEtherTypeに適用されるdon’t careビットのマスクです。

type mask

（任意）データリンクアドレスをネットワークアドレスにマッピングするEtherType AppleTalk Address Resolution Protocolを指定します。

aarp

セキュリティ

deny（MACアクセスリストコンフィギュレーション）

(31)

（任意）EtherType DEC-Amberを指定します。

amber

（任意）EtherType AppleTalk/EtherTalkを指定します。

appletalk

（任意）EtherType Digital Equipment Corporation

（DEC）スパニングツリーを指定します。

dec-spanning

（任意）EtherType DECnet Phase IVプロトコルを指定します。

decnet-iv

（任意）EtherType DEC-Diagnosticを指定します。

diagnostic

（任意）EtherType DEC-DSMを指定します。

dsm

（任意）EtherType 0x6000を指定します。

etype-6000

（任意）EtherType 0x8042を指定します。

etype-8042

（任意）EtherType DEC-LATを指定します。

lat

（任意）EtherType DEC-LAVC-SCAを指定します。

lavc-sca

（任意）パケットのLSAP番号（0～65535）

と802.2カプセル化を使用して、パケットのプ

ロトコルを指定します。

maskは、一致をテストする前にLSAP番号に適用されるdon’t careビットのマスクです。

lsap lsap-number mask

（任意）EtherType DEC-MOP Remote Console を指定します。

mop-console

（任意）EtherType DEC-MOP Dumpを指定します。

mop-dump

（任意）EtherType DEC-MSDOSを指定します。

msdos

（任意）EtherType DEC-MUMPSを指定します。

mumps

（任意）EtherType DEC-Network Basic

Input/Output System（NetBIOS）を指定します。

netbios

（任意）Banyan SystemsによるEtherType Virtual Integrated Network Service（VINES）Echo を指定します。

vines-echo

セキュリティ

(32)

（任意）EtherType VINES IPを指定します。

vines-ip

（任意）10進数、16進数、または8進数の任意のEthertypeであるEtherType Xerox Network Systems（XNS）プロトコルスイート（0～ 65535）を指定します。

xns-idp

（任意）プライオリティを設定するため、0～

7までのサービスクラス（CoS）値を指定します。CoSに基づくフィルタリングは、ハードウェアでだけ実行可能です。cosオプションが設定されているかどうかを確認する警告メッセージが表示されます。

cos cos

コマンドデフォルトこのコマンドには、デフォルトはありません。ただし、名前付きMAC ACLのデフォルトアクションは拒否です。

コマンドモード MACアクセスリストコンフィギュレーション

使用上のガイドライン mac access-list extendedグローバルコンフィギュレーションコマンドを使用して、MACアクセスリストコンフィギュレーションモードを開始します。

hostキーワードを使用した場合、アドレスマスクは入力できません。hostキーワードを使用しない場合は、アドレスマスクを入力する必要があります。

アクセスコントロールエントリ（ACE）がアクセスコントロールリストに追加された場合、

リストの最後には暗黙のdeny-any-any条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初のACEが追加される前に、リストはすべてのパケットを許可します。

IPXトラフィックをフィルタリングするには、使用されているIPXカプセル化のタイプに応じて、type maskまたはlsap lsap maskキーワードを使用します。Novell用語とCisco IOS用語でのIPXカプセル化タイプに対応するフィルタ条件を表に一覧表示します。

表1 : IPXフィルタ基準

フィルタ基準 IPXカプセル化タイプ

Novel名 Cisco IOS名

EtherType 0x8137 Ethernet II

arpa

EtherType 0x8137 Ethernet-snap

snap

セキュリティ

(33)

フィルタ基準 IPXカプセル化タイプ

Novel名 Cisco IOS名

LSAP 0xE0E0 Ethernet 802.2

sap

LSAP 0xFFFF Ethernet 802.3

novell-ether

次の例では、すべての送信元からMACアドレス00c0.00a0.03faへのNETBIOSトラフィックを拒否する名前付きMAC拡張アクセスリストを定義する方法を示します。

このリストに一致するトラフィックは拒否されます。

Device(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.

次の例では、名前付きMAC拡張アクセスリストから拒否条件を削除する方法を示します。

Device(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.

次の例では、EtherType 0x4321のすべてのパケットを拒否します。

Device(config-ext-macl)# deny any any 0x4321 0

設定を確認するには、show access-lists特権EXECコマンドを入力します。

非IPトラフィック用にMACアドレスベースのアクセスリストを作成します。

mac access-list extended

MACアクセスリストコンフィギュレーションから許可します。

条件が一致した場合に非IPトラフィックが転送されるのを許可します。

permit

スイッチに設定されたアクセスコントロールリストを表示します。

show access-lists

セキュリティ

(34)

dot1x critical （グローバルコンフィギュレーション）

IEEE 802.1Xクリティカル認証パラメータを設定するには、グローバルコンフィギュレーショ

ンモードでdot1x criticalコマンドを使用します。

dot1x critical eapol

構文の説明スイッチがクリティカルポートを正常に認証すると、スイッチがEAPOL成功メッセージを送信するように指定します。

eapol

コマンドデフォルト eapolはディセーブルです

次に、スイッチがクリティカルポートを正常に認証すると、スイッチがEAPOL成功メッセージを送信するよう指定する例を示します。

Device(config)# dot1x critical eapol

セキュリティ dot1x critical（グローバルコンフィギュレーション）

(35)

dot1x logging verbose

802.1xシステムメッセージから詳細情報をフィルタリングするには、スイッチスタックまたは

スタンドアロンスイッチ上でdot1x logging verboseコマンドをグローバルコンフィギュレーションモードで使用します。

dot1x logging verbose no dot1x logging verbose

コマンドデフォルトシステムメッセージの詳細ログは有効になっていません。

使用上のガイドラインこのコマンドにより、802.1Xシステムメッセージから、予測される成功などの詳細情報がフィルタリングされます。失敗メッセージはフィルタリングされません。

verbose 802.1xシステムメッセージをフィルタリングするには、次の手順に従います。

Device(config)# dot1x logging verbose

設定を確認するには、show running-config特権EXECコマンドを入力します。

認証システムメッセージから詳細情報をフィルタリングします。

802.1Xシステムメッセージから詳細情報をフィ

ルタリングします。

MAC認証バイパス（MAB）システムメッセージから詳細情報をフィルタリングします。

mab logging verbose

セキュリティ

(36)

dot1x pae

Port Access Entity（PAE）タイプを設定するには、インターフェイスコンフィギュレーション

モードでdot1x paeコマンドを使用します。設定されたPAEタイプをディセーブルにするに

は、コマンドのno形式を入力します。

dot1x pae {supplicant | authenticator}

no dot1x pae {supplicant | authenticator}

構文の説明インターフェイスはサプリカントとしてだけ機能し、オーセンティケータ向けのメッセージに応答しません。

supplicant

インターフェイスはオーセンティケータとしてだけ動作し、サプリカント向けのメッセージに応答しません。

authenticator

コマンドデフォルト PAEタイプは設定されていません。

使用上のガイドライン IEEE 802.1X認証をポート上でディセーブルにする場合は、no dot1x paeインターフェイスコンフィギュレーションコマンドを使用します。

dot1x port-controlインターフェイスコンフィギュレーションコマンドを入力するなどしてポー

ト上でIEEE 802.1x認証を設定した場合、スイッチは自動的にポートをIEEE 802.1xオーセンティケータとして設定します。オーセンティケータのPAE動作は、no dot1x paeインターフェイスコンフィギュレーションコマンドを入力した後でディセーブルになります。

次に、インターフェイスがサプリカントとして動作するように設定されている例を示します。

Device(config)# interface g1/0/3

Device(config-if)# dot1x pae supplicant

セキュリティ dot1x pae

(37)

dot1x supplicant force-multicast

サプリカントスイッチでマルチキャストまたはユニキャストのExtensible Authentication Protocol

over LAN（EAPOL）パケットを受信した場合に、常にマルチキャストEAPOLパケットのみを

送信するように強制するには、グローバルコンフィギュレーションモードでdot1x supplicant

force-multicastコマンドを使用します。デフォルト設定に戻すには、このコマンドのno形式を

使用します。

dot1x supplicant force-multicast no dot1x supplicant force-multicast

コマンドデフォルトサプリカントスイッチは、ユニキャストEAPOLパケットを受信すると、ユニキャストEAPOL パケットを送信します。同様に、マルチキャストEAPOLパケットを受信すると、EAPOLパケットを送信します。

使用上のガイドライン Network Edge Access Topology（NEAT）がすべてのホストモードで機能するようにするには、

サプリカントスイッチ上でこのコマンドをイネーブルにします。

次の例では、サプリカントスイッチがオーセンティケータスイッチにマルチキャスト

EAPOLパケットを送信するように設定する方法を示します。

Device(config)# dot1x supplicant force-multicast

スイッチのClient Information Signalling Protocol

（CISP）をイネーブルにすることで、スイッチがサプリカントスイッチに対するオーセンティケータとして動作するようにします。

cisp enable

ポートに802.1xサプリカント資格情報を設定

します。

dot1x credentials

インターフェイスがサプリカントとしてだけ機能するように設定します。

dot1x pae supplicant

セキュリティ

dot1x supplicant force-multicast

セキュリティ