Catalyst 4500 シリーズ スイッチ Cisco IOS コマンド リファレンス リリース IOS XE 3.4.0SG/IOS 15.1(2)SG

 

構文の説明

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

マクロの必須キーワードを指定しない場合、マクロは無効と見なされ、適用しようとすると失敗します。 # macro keywords コマンドを入力すると、構文を有効にするために指定する必要があるものを示すメッセージが表示されます。

例

次の例では、test という名前のマクロに関連付けられているキーワードのヘルプ ストリングを指定する方法を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

アカウンティングはディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

802.1X アカウンティングには、RADIUS サーバが必要です。

このコマンドは、認証、許可、アカウンティング（AAA）クライアントのアカウンティング機能をイネーブルにして、802.1X サプリカント（ワークステーション クライアント）から認証（RADIUS）サーバに 802.1X 更新およびウォッチドッグ パケットを転送できるようにします。（ウォッチドッグ パケットは EAPOL-LOGON、EAPOL-LOGOFF、EAPOL-INTERIM メッセージのことです）。これらのパケットが有効と見なされ、転送される前に、認証サーバによるサプリカントの正常な認証および許可が必要です。クライアントが再認証されると、暫定アップデート アカウンティング通知がアカウンティング サーバに送信されます。

例

次の例では、802.1X アカウンティングを設定する方法を示します。

（注） RADIUS 認証サーバは、AAA クライアントから更新パケットやウォッチドッグ パケットを受け入れて記録するよう、適切に設定する必要があります。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

アカウンティングはディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

802.1X アカウンティングには、RADIUS サーバが必要です。

このコマンドは、AAA クライアントのアカウンティング機能をイネーブルにして、802.1X サプリカント（ワークステーション クライアント）から認証（RADIUS）サーバに 802.1X 更新およびウォッチドッグ パケットを転送できるようにします。（ウォッチドッグ パケットは EAPOL-LOGON、EAPOL-LOGOFF、EAPOL-INTERIM メッセージのことです）。これらのパケットが有効と見なされ、転送される前に、認証サーバによるサプリカントの正常な認証および許可が必要です。クライアントが再認証されると、暫定アップデート アカウンティング通知がアカウンティング サーバに送信されます。

例

次の例では、スイッチの再起動後にログオフを生成する方法を示します。

（注） RADIUS 認証サーバは、AAA クライアントから更新パケットやウォッチドッグ パケットを受け入れて記録するよう、適切に設定する必要があります。

 

関連コマンド

 

構文の説明

 

デフォルト

PACL 優先モード

 

コマンド履歴

 

使用上のガイドライン

レイヤ 2 インターフェイスでは、prefer port、prefer VLAN、および merge の各モードがサポートされています。レイヤ 2 インターフェイスには、どちらの方向（受信側に 1 つおよび発信側に 1 つ）にも適用される 1 つの IP ACL を設定できます。

例

次の例では、スイッチで PACL モードを有効にする方法を示します。

次の例では、適用可能な ACL 機能を統合する方法を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

制御パケットはグローバルにキャプチャされます。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、Supervisor Engine 6-E および Catalyst 4900M シャーシではサポートされません。

キャプチャ モードを設定する前に、設定を確認し変更して、グローバルに DHCP スヌーピングまたは IGMP スヌーピングなどの機能をディセーブルにし、代わりに特定の VLAN でこれらの機能をイネーブルにすることを推奨します。

パス管理モードに変更すると、VLAN ごとに CAM エントリがハードウェアにプログラミングされるまで、制御トラフィックは最初にハードウェアでブリッジングされるか、またはドロップされる可能性があることに注意してください。

VLAN でイネーブルになっている機能のために、メンバ ポートまたは VLAN のアクセス コントロール設定によって、CPU への制御パケットの転送が拒否されたりドロップされたりしないようにする必要があります。制御パケットが許可されていない場合、特定の機能は機能しません。

例

次の例では、制御パケットのキャプチャをイネーブルにするように設定されている VLAN で制御パケットをキャプチャするようにスイッチを設定する方法を示します。

次の例では、（スタティック ACL を使用して）すべての VLAN 上でグローバルに制御パケットをキャプチャするようにスイッチを設定する方法を示します。

次の例では、すべての VLAN で制御パケットをグローバルにキャプチャするようにスイッチを設定するもう 1 つの方法を示します。

 

構文の説明

 

デフォルト

ACL は packed としてプログラムされます。

 

コマンド履歴

 

使用上のガイドライン

ACL をプログラムすると、エントリおよびマスクの 2 種類のハードウェア リソースが使用されます。これらのリソースの 1 つが消費されると、新たな ACL をハードウェアにプログラミングすることはできません。マスクは消費されるが、エントリが使用できる場合は、マスクを使用可能にするためにプログラミング アルゴリズムを packed から scattered に変更します。この操作により、新たな ACL をハードウェアにプログラムできるようになります。

目的は、TCAM リソースをより効率的に使用すること、つまり、ACL エントリごとのマスク数を最小化することです。 scattered アルゴリズムまたは packed アルゴリズムを使用している場合の TCAM 使用率を比較するには、 show platform hardware acl statistics utilization brief コマンドを使用します。アルゴリズムを packed から scattered に変更するには、 access-list hardware entries コマンドを使用します。

例

次の例では、ACL を packed としてハードウェアにプログラムする方法を示します。プログラミング後、ACL エントリの 49% だけをプログラムするためにマスクの 89% が必要になります。

 

構文の説明

 

デフォルト

各 TCAM のデフォルトの領域バランスは 50 です。

 

コマンド履歴

 

使用上のガイドライン

PandV は、フロー ラベルのポート部分および VLAN タグ部分の両方をマスクするエントリを含む TCAM 領域です。

PorV は、フロー ラベルのポート部分または VLAN タグ部分のどちらか一方だけをマスクするエントリを含む TCAM 領域です。

バランスを 1 にすると、割り当てられる PandV 領域のエントリ数が最小になり、PorV 領域のエントリ数が最大になります。バランスを 99 にすると、割り当てられる PandV 領域のエントリ数が最大になり、PorV 領域のエントリ数が最小になります。バランスを 50 にすると、指定した TCAM 内の PandV 領域および PorV 領域に割り当てられるエントリ数が同じになります。

4 つの TCAM のバランスは別々に変更できます。

例

次の例では、MAC アドレスがポートに追加されたときに MAC 通知トラップをイネーブルにする方法を示します。

 

構文の説明

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

VLAN アクセス マップでは、特定のパケット タイプ（IP または MAC）に ACL が 1 つ以上設定されている場合、そのパケット タイプのデフォルト アクションは drop （拒否）です。

特定のパケット タイプに ACL が設定されていない場合、そのパケット タイプのデフォルト アクションは forward （許可）です。

特定のパケット タイプに ACL が設定されていて、その ACL が空または未定義の場合、設定されたアクションがこのパケット タイプに適用されます。

例

次の例では、ドロップ アクションを定義する方法を示します。

次の例では、転送アクションを定義する方法を示します。

 

構文の説明

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、プロファイルは作成時にイネーブルになります。

例

次の例では、宛先プロファイルをイネーブルにする方法を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

ANCP サーバは、DHCP オプション 82 回線 ID またはこのコマンドで作成された ID を使用してポートを識別します。2 つの方法のいずれかだけを使用します。交互に使用しないでください。DHCP オプション 82 を使用すると、ANCP サーバによって使用されるポート ID（16 進数）は 0x01060004[vlan][intf] になります。たとえば、VLAN 19 およびファスト イーサネット インターフェイス 2/3 は 0x0106000400130203 になります。ただし、ポート ID を使用する場合は、CLI で出力される文字列と同じ文字列を使用します。

（注） このコマンドを使用できるのは、ANCP クライアント モードで ancp mode client コンフィギュレーション コマンドを使ってボックスを設定した場合だけです。

例

次の例では、文字列 NArmstrong で VLAN 10 にあるファスト イーサネット インターフェイス 7/3 を識別する方法を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

複数のインターフェイスをサーバへの接続に使用でき、適切なルーティングが設定されている場合、インターフェイスには ANCP サーバに対して接続されたダイレクト インターフェイス（1 つだけの場合）またはループバック インターフェイスを指定できます。（IP アドレスがこのインターフェイスで設定されている必要があり、シャットダウン ステートにしないでください）。ANCP クライアントをアクティブにするには、ancp mode client コマンドとともに ancp client server コマンドが必要です。このコマンドを入力すると、ANCP クライアントはリモート サーバへの接続を試行します。

例

次の例では、ANCP クライアントが接続する必要がある ANCP サーバの IP アドレスを ANCP クライアントに示す方法を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

完全に ANCP をアクティブにするには、管理者は、ANCP クライアントが接続する必要がある ANCP サーバの IP アドレスも設定する必要があります。

例

次の例では、ANCP クライアントになるようにルータを設定する方法を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

apply コマンドは、VLAN データベース モードを開始したあとに行った設定変更を適用し、この設定変更を実行コンフィギュレーションに使用します。このコマンドを実行しても、VLAN データベース モードのまま変更はありません。

スイッチが VTP クライアント モードの場合は、このコマンドを使用できません。

VLAN データベースが変更されたことを確認するには、特権 EXEC モードから show vlan コマンドを入力します。

例

次の例では、新しく設定中の VLAN データベースを実装し、これを現在のデータベースとして認識させる方法を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

例

次の例では、static-hosts という名前の ARP アクセス リストを定義する方法を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドが適用されるのは、Catalyst 4500 シリーズ スイッチのアクセス ゲートウェイ モジュールのみです。

mod に指定できる値は、使用するシャーシによって異なります。たとえば、Catalyst 4506 シャーシを使用する場合、モジュールに指定できる値は 2 ～ 6 です。4507R シャーシを使用する場合、有効値の範囲は 3 ～ 7 です。

attach module mod コマンドを実行すると、プロンプトが Gateway# に変化します。

このコマンドは、 session module mod コマンドおよび remote login module mod コマンドで実行されるアクションと同じです。

例

次の例では、アクセス ゲートウェイ モジュールにリモートからログインする方法を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

both

 

コマンド履歴

 

使用上のガイドライン

authentication control-direction コマンドは、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースで推奨されなくなった、次の dot1x コマンドに替わるコマンドです。

dot1x control-direction { both | in }

IEEE 802.1X 標準では、認証されていないデバイスが一般的にアクセス可能なポートを介して LAN に接続することを制限する、クライアント/サーバベースのアクセス コントロールと認証プロトコルが定義されています。

IEEE 802.1X は、ポートごとに 2 つの異なる仮想アクセス ポイントを作成してネットワーク アクセスを制御します。一方のアクセス ポイントが未制御ポート、もう一方は制御ポートです。単一のポートを通過するすべてのトラフィックは、両方のアクセス ポイントを利用できます。IEEE 802.1X では、スイッチ ポートに接続している各ユーザ デバイスを認証し、VLAN にポートを割り当ててから、スイッチまたは LAN で提供されるサービスを利用できるようにします。802.1X アクセス コントロールでは、デバイスが認証されるまで、そのデバイスが接続しているポートを介して Extensible Authentication Protocol（EAP）over LAN（EAPOL）トラフィックだけを許可します。認証が成功すると、通常のトラフィックがポートを通過できるようになります。

• 単方向状態： dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用してポートを単方向に設定した場合、そのポートのスパニングツリーはフォワーディング ステートに変化します。

単方向制御ポートがイネーブルになると、接続したホストはスリーピング モードまたは電源切断状態になります。ホストはそのネットワークの他の装置とトラフィックを交換しません。ホストがネットワークにトラフィックを送信できない単方向ポートに接続されている場合、ホストはネットワークの他の装置からのトラフィックだけを受信します。

• 双方向状態：dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用してポートを双方向に設定した場合、そのポートは双方向でアクセス コントロールされます。この状態のスイッチ ポートが送信できるのは EAPOL のみです。

both キーワードを使用するか、またはこのコマンドの no 形式を使用すると、ポートはデフォルト設定の双方向モードに変更されます。

ポートを双方向に設定すると、Wake-on-LAN（WoL）による 802.1X 認証がイネーブルになります。

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

例

次の例では、単方向制御をイネーブルにする方法を示します。

次の例では、双方向制御をイネーブルにする方法を示します。

次の例では、デフォルト設定に戻す方法を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

10000 ミリ秒

 

コマンド履歴

 

使用上のガイドライン

authentication critical recovery delay コマンドは、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースで推奨されなくなった、次の dot1x コマンドに替わるコマンドです。

dot1x critical recovery delay milliseconds

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

例

次の例では、使用不能になっていた RADIUS サーバが使用可能になったときに、クリティカルなポートの再初期化をスイッチが待機するリカバリ遅延期間を設定する方法を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルト設定は、次のとおりです。

• デフォルトの count は 2 です。

• 現在の認証方式は、AAA サーバが到達可能になるまで無制限に再試行されます（常に失敗します）。

 

コマンド履歴

 

使用上のガイドライン

authentication event fail コマンドは、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースで推奨されなくなった、次の 802.1X コマンドに替わるコマンドです。

• [ no ] dot1x auth-fail max-attempts count

• [ no ] dot1x auth-fail vlan vlan

authentication event fail コマンドがサポートされている唯一の目的は、802.1X で認証エラーを伝えることです。デフォルトでは、この障害タイプでは認証方式が再試行されます。設定された VLAN のポートを許可するか、または次の認証方式にフェールオーバーするように設定できます。任意で、このアクションを実行する前に認証のリトライ回数を指定できます。

authentication event server コマンドは、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースで推奨されなくなった、次の 802.1X コマンドに替わるコマンドです。

• [ no ] dot1x critical

• [ no ] dot1x critical vlan vlan

• [ no ] dot1x critical recover action initialize

authentication event server コマンドは、AAA サーバが到達不能になり、指定した VLAN でポートを許可する場合の動作を指定します。

authentication server alive action コマンドは、AAA サーバが再び到達可能になったときに実行されるアクションを指定します。

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

authentication event no-response コマンドは、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースで推奨されなくなった、次の 802.1X コマンドに替わるコマンドです。

• [no] dot1x guest-vlan vlan

authentication event no-response コマンドは、クライアントが 802.1X をサポートしていない場合に実行するアクションを指定します。

例

次の例では、間違ったユーザ資格情報によって認証が失敗した場合に、次の認証方式に処理を進めるように指定する方法を示します。

次の例では、認証イベントで許可されたすべてのクライアントを再初期化するように AAA サーバのアライブ アクションを指定する方法を示します。

次の例では、認証イベントでポートを許可するように AAA サーバのデッド アクションを指定する方法を示します。

次の例では、クライアントが 802.1X をサポートしていない場合に、認証イベントでポートを許可する条件を指定する方法を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

ディセーブル

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、802.1X がタイムアウトし、MAB が失敗すると、WebAuth がイネーブルになります。

authentication fallback コマンドは、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースで推奨されなくなった、次の dot1x コマンドに替わるコマンドです。

[no] dot1x fallback profile

WebAuth フォール バック機能では、802.1X サプリカントが存在せず、WebAuth 方式にフォール バックする管理対象デバイスでないクライアントの使用が可能になります。

show authentication 特権 EXEC コマンドを使用して設定を確認できます。

例

次の例では、WebAuth フォール バックをイネーブルにして、WebAuth にフェールオーバーする場合に使用するフォール バック プロファイルを指定する方法を示します。

次の例では、WebAuth フォールバックをディセーブルにする方法を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

single-host モードでは、セッションがインターフェイス セッションとして分類されます（インターフェイスごとに 1 つの MAC アドレスなど）。ポートではクライアントが 1 つだけ許可され、クライアントにダウンロードされたポリシーはポート全体に適用されます。複数のクライアントが検出された場合は、セキュリティ違反がトリガーされます。

multi-host モードでは、セッションがインターフェイス セッションとして分類されますが、single-host モードと異なり、複数のクライアントをポートに適用できます。ポートで最初に検出されたクライアントだけが認証され、残りのクライアントは最初のクライアントと同じアクセス権を継承します。最初のクライアントにダウンロードされたポリシーは、ポート全体に適用されます。

multi-domain モードでは、MAC アドレスとドメインの組み合わせに基づいてセッションを分類します。ドメイン単位で許可される MAC アドレスは 1 つだけという制限があります。スイッチング環境のドメインは VLAN を示し、データ ドメインと音声ドメインの 2 つのドメインがサポートされます。特定のドメインで許可されるクライアントは 1 つだけです。したがって、サポートされるクライアント（MAC）はポート 1 つに対して 2 つだけです。各クライアントは個別に認証する必要があります。クライアントにダウンロードされたポリシーは、そのクライアントの MAC/IP だけに適用されるので、同じポート上のもう一方のクライアントには影響しません。クライアントは、別の方法を使用して認証できます（PC の 802.1X、IP 電話の MAB など、またはその逆）。認証の順序に制限はありません。

上記の説明に関して 1 つだけ注意する点は、Web ベースの認証を使用できるのはデータ デバイスだけだということです。これは、データ デバイスを操作するのがほとんどの場合にユーザであることと、HTTP 機能を持つためです。また、Web ベースの認証が MDA モードに設定されている場合、デバイスの種類を問わず実行できるのは、Downloadable ACL（dACL; ダウンロード可能 ACL）形式だけです。Web ベースの認証は VLAN 割り当てをサポートしていないため、制限が適用されます。さらに、データ デバイスに dACL を使用し、音声デバイスには使用していない場合、ユーザのデータが WebAuth にフォール バックすると、音声トラフィックはフォールバック ポリシーに基づいて適用される ACL の影響を受けます。したがって、MDA 対応ポートのフォールバックとして WebAuth を設定した場合、サポートされる実行方式は dACL だけです。

multi-auth モードでは、セッションが MAC-based として分類されます。ポート データ ドメインで許可されるクライアント数に制限はありません。音声ドメインで許可されるクライアントは 1 つだけです。各クライアントは個別に認証する必要があります。クライアントにダウンロードされたポリシーは、そのクライアントの MAC または IP だけに適用されるので、同じポートに接続する他のクライアントには影響しません。

オプションである認証前オープン アクセス モードを使用すると、認証の実行前にネットワークにアクセスできます。このモードが必要なのは主に PXE ブートの場合ですが、この他にも使用例が考えられます。PXE ブートの場合は、PXE がタイムアウトして、サプリカントを含む可能性のあるブート イメージをダウンロードする前に、デバイスがネットワークにアクセスする必要があります。

この機能に関連するコンフィギュレーションはホスト モード コンフィギュレーションに適用され、その場合、ホスト モード自体はコントロール プレーンで有効ですが、オープン アクセス コンフィギュレーションはデータ プレーンで有効となります。オープン アクセス コンフィギュレーションは、セッション分類とはまったく関係がありません。セッション分類を制御するのはホスト モード コンフィギュレーションです。single-host モードにオープン アクセスが定義されている場合、ポートでは 1 つの MAC アドレスだけが許可されます。ポートは最初からトラフィックを転送し、ポートに設定されている内容によってのみ制限を受けます。このような設定は 802.1X とは関係がありません。したがって、アクセス制限の no 形式がポートに設定されている場合、クライアント デバイスは設定されている VLAN にフル アクセスできます。

show authentication 特権 EXEC コマンドを使用して設定を確認できます。

例

次の例では、ホスト モード コンフィギュレーションを使用して、アクセス ポリシーの適用に使用するセッションの分類を定義する方法を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

コマンド デフォルト

ディセーブル

 

コマンド履歴

 

使用上のガイドライン

オープン アクセスでは、認証が実行される前にクライアントまたはデバイスがネットワーク アクセスを取得できます。

show authentication 特権 EXEC コマンドを使用して設定を確認できます。

このコマンドは、ポートに対してのみ authentication host-mode session-type open グローバル コンフィギュレーション コマンドよりも優先されます。

このコマンドは、グローバルではなく、ポート単位で動作します。

例

次の例では、ポートに対してオープン アクセスをイネーブルにする方法を示します。

次の例では、ポートに対してオープン アクセスをイネーブルにする方法を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの順序は dot1x、MAB、WebAuth です。

 

コマンド履歴

 

使用上のガイドライン

authentication order コマンドを入力すると、明示的に示されている方式だけが実行されます。実行リストには各方式を 1 回だけ入力でき、 webauth キーワードは最後に指定する必要があります。

認証方式は、設定された（またはデフォルト）順序で認証が成功するまで適用されます。認証が失敗した場合は、（認証イベント処理の設定に従って）次の認証方式にフェールオーバーします。

show authentication 特権 EXEC コマンドを使用して設定を確認できます。

例

次の例では、 インターフェイスでクライアントの認証方式を試行する順序を指定する方法を示します 。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

コマンド デフォルト

ディセーブル

 

コマンド履歴

 

使用上のガイドライン

authentication periodic コマンドは、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースで推奨されなくなった、次の dot1x コマンドに替わるコマンドです。

[ no ] dot1x reauthentication

再認証の間隔は、 authentication timer コマンドを使用して設定できます。

show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。

例

次の例では、このポートの再認証をイネーブルにする方法を 示します 。

次の例では、このポートの再認証をディセーブルにする方法を 示します 。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

force-authorized

 

コマンド履歴

 

使用上のガイドライン

authentication port-control コマンドは、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースで推奨されなくなった、次の dot1x コマンドに替わるコマンドです。

[no] dot1x port-control [ auto | force-authorized | force-unauthorized ]

イーサネット スイッチ ネットワーク モジュールには、次の注意事項が適用されます。

• 802.1X プロトコルは、レイヤ 2 スタティック アクセス ポートでサポートされます。

• ポートが、次のタイプの 1 つとして設定されていない場合にかぎり、 auto キーワードを使用できます。

– トランク ポート：トランク ポートで 802.1X をイネーブルにしようとすると、エラー メッセージが表示され、802.1X はイネーブルになりません。802.1X をイネーブルにしたポートをトランク モードに変更しようとしても、ポートのモードは変更されません。

– EtherChannel ポート：ポート上で 802.1X をイネーブルにする前に、EtherChannel から 802.1X を削除する必要があります。EtherChannel または EtherChannel 内のアクティブなポート上で 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、802.1x はイネーブルになりません。まだアクティブになっていない EtherChannel のポートで 802.1X をイネーブルにしても、そのポートが EtherChannel に加入することはありません。

– スイッチド ポート アナライザ（SPAN）宛先ポート：SPAN 宛先ポートで 802.1X をイネーブルにできますが、SPAN 宛先としてこのポートを削除するまで、802.1X はディセーブルに設定されます。SPAN 送信元ポートでは 802.1X をイネーブルにすることができます。

デバイスで 802.1X をグローバルにディセーブルにするには、各ポートで 802.1X をディセーブルにする必要があります。このタスクのグローバル コンフィギュレーション コマンドはありません。

show authentication 特権 EXEC コマンドを使用して設定を確認できます。

auto キーワードを使用すると、ポートで Extensible Authentication Protocol over LAN（EAPOL）フレームだけを送受信できます。ポートのリンク ステートがダウンからアップに移行するか、または EAPOL-Start フレームを受信すると、認証プロセスが開始されます。システムはクライアントの識別情報を要求して、クライアントと認証サーバ間で認証メッセージのリレーを開始します。クライアントの MAC アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

例

次の例では、クライアント PC の認証ステータスが認証プロセスによって決定されることを示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトの順序は dot1x、MAB、WebAuth です。

 

コマンド履歴

 

使用上のガイドライン

認証方式にプライオリティを設定すると、（現在実行されていない）プライオリティの高い方式が、プライオリティの低い方式を使用して進行している認証に割り込むことができます。また、クライアントが認証済みの場合は、プライオリティの高い方式による割り込みによって、プライオリティの低い方式を使用してすでに認証されているクライアントを再認証できます。

ある方式のデフォルト プライオリティは、実行順序リストの位置と同じプライオリティになります。プライオリティを設定しない場合の相対プライオリティは、（プライオリティの高い順に）dot1x、MAB、WebAuth です。 authentication order コマンドを入力した場合、デフォルトのプライオリティは、設定された順序と同じです。

show authentication 特権 EXEC コマンドを使用して設定を確認できます。

例

次の例では、 インターフェイスでクライアントの認証方式を試行するプライオリティを指定する方法を示します 。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルト設定は、次のとおりです。

• inactivity value ： オフ

• reauthenticate value ：3600

• restart value ：オフ

 

コマンド履歴

 

使用上のガイドライン

再認証は、インターフェイスで再認証がイネーブルである場合にのみ実行されます。

authentication timer reauthenticate value コマンドは、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースで推奨されなくなった、次の dot1x コマンドに替わるコマンドです。

[ no ] dot1x timeout { reauth-period seconds | quiet-period seconds | tx-period seconds | supp-timeout seconds | server-timeout seconds }

（注） このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

非アクティブ期間中は、イーサネット スイッチ ネットワーク モジュールは認証要求を受け入れまたは開始しなくなります。デフォルトよりも小さい数を入力することによって、ユーザへの応答時間を短縮できます。

reauthenticate キーワードは、authentication reauthentication グローバル コンフィギュレーション コマンドを使用して定期的な再認証をイネーブルにしてある場合にのみ、イーサネット スイッチ ネットワーク モジュールの動作に影響します。

例

次の例では、クライアントの再認証期間値を認証、許可、アカウンティング（AAA）サーバからセッション タイムアウト（RADIUS 属性 27）として取得することを指定する方法 を示します 。

 

関連コマンド

 

構文の説明

 

デフォルト

ポートをシャット ダウンします。restrict キーワードが設定されている場合、ポートはシャットダウンしません。

 

コマンド履歴

 

使用上のガイドライン

新しいホストが 1 つまたは複数ドメインのモードで確認されると、replace モードは古いセッションを破棄し、新しいホストを認証します。

例

次の例では、違反モードをスイッチでシャットダウンするように設定する方法を示します。

シャットダウン モードでセキュリティ違反が発生すると、ポートは errordisable になります。次の syslog メッセージが表示されます。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、信頼できないインターフェイスの QoS 設定を生成します。信頼できないデスクトップまたはデバイスからのトラフィックを分類するためのサービス ポリシーを配置して、それを適宜示します。生成されたサービス ポリシーは、ポリシングしません。

生成されたグローバル レベル コマンド

グローバルなテンプレートは A、B、C で定義されます。

A.ACL および auto qos classify コマンドで使用されるアプリケーション クラスのテンプレート。

インターフェイスに IP 電話を接続し、そのインターフェイス上で auto qos voip cisco-phone コマンドを呼び出す場合に対処するために AutoQos-4.0-VoIP-Data-Cos と AutoQos-4.0-VoIP-Signal-Cos が必要です。この場合は、インターフェイスの入力サービス ポリシーは CoS マーキングで VoIP およびシグナリング パケットにだけ一致する必要があります。これは、Cisco IP Phone のスイッチング ASIC が VoIP およびシグナリング トラフィックの CoS ビットの再マーキングのみに限定されるためです。スイッチに接続された IP 電話に PC が接続されたユーザは、PC の NIC を使用してその PC から dscp ef へのトラフィックの DSCP マーキングを再マーキングできるため、DSCP マーキングが一致するとセキュリティの脆弱性の原因になります。これにより、出力方向のプライオリティ キューに非リアルタイム トラフィックが誤って配置されます。

B.auto qos classify コマンドの入力サービス ポリシーのテンプレート。

C.8 個のキューを割り当てるために出力クラスを使用する SRND4 出力ポリシーおよび出力キュー クラスのテンプレート。このテンプレートはすべての SRND4 コマンドに必要です。

ポリシー マップ コンフィギュレーション モードで実行される police コマンドは、定義されているレート制限を超えたトラフィック フローの qos-group の再マーキングを許可しないため、qos-group 7 または dscp af11 と一致するように AutoQos-4.0-Scavenger-Queue を設定する必要があります。auto qos classify police コマンドを入力すると、定義されているレート制限に違反したトラフィック フローは cs1 に再マーキングされますが、qos-group を超過アクションとして再マーキングできないため、元の qos-group 分類を保持します。ただし、AutoQos-4.0-Scavenger-Queue は出力ポリシー マップ内の他のすべてのキューより先に定義されるため、元の qos-group ラベルを保持しているにもかかわらず、再マーキングされたパケットはこのキューに分類されます。

生成されたインターフェイス レベル コマンド

Fa/Gig ポート:

例

次の例では、信頼できないインターフェイス gigabitethernet1/1 の QoS 設定を生成する方法を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、信頼できないインターフェイスの QoS 設定を生成します。これらの信頼できないデスクトップまたはデバイスから着信するトラフィックを分類するためのサービス ポリシーを配置して、それを適宜示します。生成されたサービス ポリシーは、パケットをポリシングし、マークダウンまたはドロップします。

生成されたグローバル レベル コマンド

Auto QoS srn4 コマンドは、インターフェイスに適用されると、グローバル コンフィギュレーション レベルで次のテンプレート（A、B、および C）を 1 つ以上生成します。通常、コマンドは、アプリケーション クラスにトラフィックを分類するために ACL または DSCP 値もしくは CoS 値に一致する一連のクラス マップを生成します。生成されたクラスと一致し、クラスで qos-group を設定し、場合によっては設定された帯域幅にクラスをポリシングする入力ポリシーが生成されます。（qos-group は、異なるアプリケーション クラスが 1 つの単位として扱われるようにする数値のタグにすぎません。スイッチのコンテキスト外では重要ではありません）。さらに、入力ポリシーで設定された qos-group と一致する 8 個の出力キュー クラス マップが生成されます。実際の出力ポリシーは、この 8 個の出力キューのクラス マップそれぞれにキューを割り当てます。

コマンドは、必要に応じて次のテンプレートを生成します。たとえば、新しいコマンドを最初に使用するときに、8 個のキューの出力サービス ポリシーを定義するグローバル設定が生成されます（下記のテンプレート C）。その後、他のインターフェイスに適用された auto qos コマンドは出力キューイング用のテンプレートを生成しません。これは、すべての auto qos コマンドが移行後も同じ 8 個のキューのモデルに依存し、コマンドを最初に使用した時点からすでに生成されているためです。

グローバルなテンプレートは A、B、C で定義されます。

A.ACL および auto qos classify police コマンドで使用されるアプリケーション クラスのテンプレート

AutoQos-4.0-VoIP-Data-Cos および AutoQos-4.0-VoIP-Signal-Cos は、インターフェイスに IP 電話を接続し、そのインターフェイス上で auto qos voip cisco-phone コマンドを呼び出す場合に対処するために必要です。この場合は、インターフェイスの入力サービス ポリシーは、CoS マーキングで VoIP およびシグナリング パケットにだけ一致する必要があります。これは、Cisco IP Phone のスイッチング ASIC が VoIP およびシグナリング トラフィックの CoS ビットの再マーキングのみに限定されるためです。スイッチに接続された IP 電話に PC が接続されたユーザは、PC の NIC を使用してその PC から dscp ef へのトラフィックの DSCP マーキングを再マーキングできるため、DSCP マーキングが一致するとセキュリティの脆弱性の原因になります。これにより、出力方向のプライオリティ キューに非リアルタイム トラフィックが配置されます。

B.auto qos classify police コマンドの入力サービス ポリシーのテンプレート

C.8 個のキューを割り当てるために出力クラスを使用する SRND4 出力ポリシーおよび出力キュー クラスのテンプレート。このテンプレートは 4 つの SRND4 コマンドに必要です。

AutoQos-4.0-Scavenger-Queue は、qos-group 7 または dscp af11 と一致するように設定する必要があります。ポリシー マップ コンフィギュレーション モードで実行される police コマンドは、定義されているレート制限を超えたトラフィック フローの qos-group の再マーキングを許可しないためです。auto qos classify police コマンドを入力した後、定義されているレート制限に違反したトラフィック フローは cs1 に再マーキングされますが、qos-group を超過アクションとして再マーキングできないため、元の qos-group 分類を保持します。ただし、AutoQos-4.0-Scavenger-Queue は出力ポリシー マップ内の他のすべてのキューより先に定義されるため、元の qos-group ラベルを保持しているにもかかわらず、再マーキングされたパケットはこのキューに分類されます。

生成されたインターフェイス レベル コマンド

Fa/Gig ポート:

例

次の例では、信頼できないインターフェイス gigabitethernet1/1 からのトラフィックをポリシングする方法を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

このコマンドは、新しい auto-QoS コマンドがインターフェイスに設定されている場合に生成されます。

AutoQos SRND4 コマンドは、インターフェイスに適用されると、グローバル コンフィギュレーション レベルで次のテンプレート（A および B）を 1 つ以上生成します。

通常、コマンドは、アプリケーション クラスにトラフィックを分類するために ACL または DSCP 値および CoS 値に一致する一連のクラス マップを生成します。生成されたクラスと一致し、クラスで qos-group を設定し、場合によっては設定された帯域幅にクラスをポリシングする入力ポリシーも生成されます。（qos-group は、異なるアプリケーション クラスが 1 つの単位として扱われるようにする数値のタグです。qos-group が設定されたスイッチのコンテキスト外では重要ではありません）。さらに、入力ポリシーで設定された qos-group と一致する 8 個の出力キュー クラス マップが生成されます。実際の出力ポリシーは、8 個の出力キュー クラス マップそれぞれにキューを割り当てます。

AutoQos srnd4 コマンドは必要に応じてテンプレートだけを生成します。たとえば、新しい srnd4 コマンドを最初に使用すると、8 個のキューの出力サービス ポリシーを定義するグローバル設定が生成されます（下記のテンプレート B）。その後、他のインターフェイスに適用された auto qos コマンドは出力キューイング用のテンプレートを生成しません。これは、すべての auto-QoS コマンドが移行後も同じ 8 個のキューのモデルに依存し、コマンドを最初に使用した時点からすでに生成されているためです。

auto qos voip trust がイネーブルのインターフェイス

--生成されたグローバル レベル コマンド

グローバルなテンプレートは A および B で定義されます（下記を参照）。

A.アプリケーション クラスのこのテンプレートは、auto-QoS video cts、auto qos video ip-camera、および auto qos trust コマンドで使用されます。このテンプレートのクラスには、auto qos video cts、auto qos video ip-camera、および auto qos trust コマンドの入力サービス ポリシーも含まれます。この 3 つのコマンドは AutoQos-4.0-Input-Policy を使用する唯一のものであるため、前述の 3 つのコマンドが使用するアプリケーション クラスを定義する同じテンプレートにそのポリシーを含めることを推奨します。

AutoQos-4.0-Signaling および AutoQos-4.0-VoIP クラスは、IP 電話がインターフェイスに接続されている場合に対処するために、Cos に一致する必要があります。（Cisco IP Phone は、DSCP ではなく、CoS ビットだけを再マーキングできます）。

B.出力キュー クラスのこのテンプレートは（SRND4 出力ポリシーとともに）8 個のキューを割り当てます。このテンプレートはすべての SRND4 コマンドに必要です。

ポリシー マップ コンフィギュレーション モードで実行される police コマンドは、定義されているレート制限を超えたトラフィック フローの qos-group の再マーキングを許可しないため、qos-group 7 または dscp af11 と一致するように AutoQos-4.0-Scavenger-Queue を設定する必要があります。auto qos classify police コマンドを入力すると、定義されているレート制限に違反したトラフィック フローは cs1 に再マーキングされますが、qos-group を超過アクションとして再マーキングできないため、元の qos-group 分類を保持します。ただし、AutoQos-4.0-Scavenger-Queue は出力ポリシー マップ内の他のすべてのキューより先に定義されるため、元の qos-group ラベルを保持しているにもかかわらず、再マーキングされたパケットはこのキューに分類されます。

--生成されたインターフェイス レベル コマンド

Fa/Gig ポート:

レイヤ 2 インターフェイスの場合

レイヤ 3 インターフェイスの場合

auto qos voip cisco-phone がイネーブルのインターフェイス

--生成されたグローバル レベル コマンド

A および B（上記）で定義されたグローバルなテンプレート。

--生成されたインターフェイス レベル コマンド

Fa/Gig ポート:

例

ソリューション リファレンス ネットワーク デザイン 4.0 に基づいて QoS 設定を生成するには、次のようにします。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

生成されたグローバル レベル コマンド

インターフェイスに auto-QoS srnd4 コマンドを適用すると、コマンドによりグローバル コンフィギュレーション レベルで次のテンプレート（A および B）の 1 つまたは複数が生成されます。通常、コマンドは、アプリケーション クラスにトラフィックを分類するために ACL または DSCP 値もしくは CoS 値に一致する一連のクラス マップを生成します。生成されたクラスと一致し、クラスで qos-group を設定し、場合によっては設定された帯域幅にクラスをポリシングする入力ポリシーが生成されます。（qos-group は、異なるアプリケーション クラスが 1 つの単位として扱われるようにする数値のタグにすぎません。スイッチのコンテキスト外では重要ではありません）。さらに、入力ポリシーで設定された qos-group と一致する 8 個の出力キュー クラス マップが生成されます。実際の出力ポリシーは、この 8 個のクラス マップそれぞれにキューを割り当てます。

コマンドは必要な場合にだけテンプレートを生成します。たとえば、新しいコマンドを初めて使用すると、8 個のキューの出力サービス ポリシーを定義するグローバル設定が生成されます。その後、他のインターフェイスに適用された auto-QoS コマンドは出力キューイングのテンプレートを生成しません。これは、すべての auto-QoS コマンドが移行後も同じ 8 個のキューのモデルに依存し、コマンドの最初の使用時からすでに生成されているためです。

A および B で定義されたグローバルなテンプレート。

A.auto qos trust コマンドで使用されるアプリケーション クラスのテンプレート。

このテンプレートには、auto qos video cts、auto qos video ip-camera、および auto qos trust コマンドの入力サービス ポリシーも含まれます。この 3 つのコマンドは AutoQos-4.0-Input-Policy を使用する唯一のものであるため、コマンドで使用されるアプリケーション クラスを定義するテンプレートにそのポリシーを含める必要があります。

AutoQos-4.0-Signaling および AutoQos-4.0-VoIP クラスは、IP 電話がインターフェイスに接続されている場合に対処するために、Cos に一致する必要もあります。（Cisco IP Phone は、DSCP ではなく、CoS ビットだけを再マーキングできます）。

B.8 個のキューを割り当てるために出力クラスを使用する srnd4 出力ポリシーおよび出力キュー クラスのテンプレート。このテンプレートはすべての srnd4 コマンドに必要です。

ポリシー マップ コンフィギュレーション モードで実行される police コマンドは、定義されているレート制限を超えたトラフィック フローの qos-group の再マーキングを許可しないため、AutoQos-4.0-Scavenger-Queue は qos-group 7 または dscp af11 と一致するように設定する必要があります。auto qos classify police コマンドを実行すると、定義されているレート制限に違反したトラフィック フローは cs1 に再マーキングされますが、元の qos-group 分類を保持します。これは qos-group を超過アクションとして再マーキングすることができないためです。ただし、AutoQos-4.0-Scavenger-Queue は出力ポリシー マップ内の他のすべてのキューより先に定義されるため、元の qos-group ラベルを保持しているにもかかわらず、再マーキングされたパケットはこのキューに分類されます。

生成されたインターフェイス レベル コマンド

Fa/Gig ポート:

例

次の例では、信頼できないインターフェイス gigabitethernet1/1 からのトラフィックをポリシングする方法を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

auto qos video コマンドは Cisco TelePresence が検出された場合だけ、インターフェイスを信頼します。それ以外の場合は、ポートは信頼できない状態です。

生成されたグローバル レベル コマンド

auto-Qos srnd4 コマンドは、インターフェイスに適用されると、グローバル コンフィギュレーション レベルで次のテンプレートの 1 つまたは複数を生成します。通常、コマンドは、アプリケーション クラスにトラフィックを分類するために ACL または DSCP（または CoS）値に一致する一連のクラス マップを生成します。生成されたクラスと一致し、クラスで qos-group を設定し、場合によっては設定された帯域幅にクラスをポリシングする入力ポリシーも生成されます。（qos-group は、異なるアプリケーション クラスが 1 つの単位として扱われるようにする数値のタグにすぎません。スイッチのコンテキスト外では重要ではありません）。さらに、入力ポリシーで設定された qos-group と一致する 8 個の出力キュー クラス マップが生成されます。実際の出力ポリシーは、8 個の出力キュー クラス マップそれぞれにキューを割り当てます。

srnd4 コマンドは必要な場合にだけ、テンプレートを生成します。たとえば、新しいコマンドを初めて使用すると、8 個のキューの出力サービス ポリシーを定義するグローバル設定が生成されます。その後、他のインターフェイスに適用された auto-QoS コマンドは出力キューイングのテンプレートを生成しません。これは、すべての auto-QoS コマンドが移行後も同じ 8 個のキューのモデルに依存し、コマンドの最初の使用時からすでに生成されているためです。

A および B で定義されたグローバルなテンプレート。

A.auto qos video コマンドで使用されるアプリケーション クラスのテンプレート。

このテンプレートには、auto qos video cts、auto qos video ip-camera、および auto qos trust コマンドの入力サービス ポリシーも含まれます。この 3 つのコマンドは AutoQos-4.0-Input-Policy を使用する唯一のものであるため、コマンドで使用されるアプリケーション クラスを定義する同じテンプレートにそのポリシーを含めることを推奨します。

AutoQos-4.0-Signaling および AutoQos-4.0-VoIP クラスは、IP 電話がインターフェイスに接続されている場合に対処するために、Cos に一致する必要もあります。（Cisco IP Phone は、DSCP ではなく、CoS ビットだけを再マーキングできます）。

B.8 個のキューを割り当てるために出力クラスを使用する srnd4 出力ポリシーおよび出力キュー クラスのテンプレート。このテンプレートはすべての srnd コマンドに必要です。

ポリシー マップ コンフィギュレーション モードで実行される police コマンドは、定義されているレート制限を超えたトラフィック フローの qos-group の再マーキングを許可しないため、AutoQos-4.0-Scavenger-Queue は qos-group 7 または dscp af11 と一致するように設定する必要があります。auto qos classify police コマンドが実行された場合、定義されているレート制限に違反したトラフィック フローは cs1 に再マーキングされますが、qos-group を超過アクションとして再マーキングできないため、元の qos-group 分類を保持します。ただし、AutoQos-4.0-Scavenger-Queue は出力ポリシー マップ内の他のすべてのキューより先に定義されるため、元の qos-group ラベルを保持しているにもかかわらず、再マーキングされたパケットはこのキューに分類されます。

生成されたインターフェイス レベル コマンド

Fa/Gig ポート:

例

次の例では、Cisco TelePresence インターフェイス gigabitethernet1/1 に QoS 設定を生成する方法を示します。

次の例では、Cisco カメラのインターフェイス gigabitethernet1/1 の QoS 設定を生成する方法を示します。

 

関連コマンド

 

構文の説明

 

デフォルト

すべてのインターフェイスで auto-QoS はディセーブルです。

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用して、スイッチを含む QoS ドメイン内、ネットワーク内部、および QoS の着信トラフィックを分類できるエッジ デバイスの VoIP トラフィックに適した QoS を設定します。

Cisco IP Phone に接続された（ネットワーク エッジの）ポート上で cisco-phone キーワードを適用します。スイッチは、Cisco Discovery Protocol（CDP）を介して IP Phone を検出し、その IP Phone から受信したパケット内の CoS ラベルを信頼します。

ネットワーク内部に接続されているポート上で trust キーワードを適用します。トラフィックが他のエッジ デバイスによってすでに分類されていると想定します。そのため、これらのパケットの CoS/DSCP ラベルは信頼されます。

指定したインターフェイスで auto-QoS 機能をイネーブルにすると、自動的に次のアクションが行われます。

• QoS がグローバルにイネーブルになります（ qos グローバル コンフィギュレーション コマンド）。

• DBL がグローバルにイネーブルになります（qos dbl グローバル コンフィギュレーション コマンド）。

• auto qos voip cisco-phone インターフェイス コンフィギュレーション コマンドを入力すると、信頼境界機能がイネーブルになります。この機能は、Cisco Discovery Protocol（CDP）を使用して、Cisco IP Phone が存在するかしないかを検出します。Cisco IP Phone が検出されると、特定のインターフェイス上の入力分類は、パケットで受信した CoS ラベルを信頼するように設定されます。これは、一部の古い IP Phone で DSCP がマーキングされないためです。Cisco IP Phone が存在しない場合は、パケットの CoS ラベルを信頼しないように入力分類が設定されます。

• auto qos voip trust インターフェイス コンフィギュレーション コマンドを入力すると、指定したインターフェイスがレイヤ 2 として設定されている場合は、このインターフェイス上の入力分類がパケットで受信した CoS ラベルを信頼するように設定されます（このインターフェイスがレイヤ 3 として設定されている場合は、DSCP を信頼するように設定されます）。

自動 QoS は、スタティック アクセス、ダイナミックアクセス、音声 VLAN アクセス、およびトランク ポートでイネーブルにできます。

auto-QoS がイネーブルのときに自動的に生成される QoS 設定を表示するには、（Auto-QoS をイネーブルにする前に） debug auto qos 特権 EXEC コマンドを使用してデバッグをイネーブルにします。

インターフェイス上で auto-QoS をディセーブルにするには、no auto qos voip インターフェイス コンフィギュレーション コマンドを使用します。このコマンドを入力すると、スイッチは標準 QoS をイネーブルにして、そのインターフェイスの auto-QoS 設定を標準 QoS デフォルト設定に変更します。このアクションは、auto-QoS によって実行されるグローバル設定を変更しません。グローバル設定は同じままです。

例

次の例では、ギガビット イーサネット インターフェイス 1/1 に接続されているスイッチまたはルータが信頼できるデバイスである場合に、auto-QoS をイネーブルにし、着信パケットで受信した CoS および DSCP ラベルを信頼する方法を示します。

次の例では、ファスト イーサネット インターフェイス 2/1 に接続されているデバイスが Cisco IP Phone として検出されたときに、auto-QoS をイネーブルにし、着信パケットで受信した CoS ラベルを信頼する方法を示します。

次の例では、Supervisor Engine 6-E のインターフェイス上で、auto-QoS がイネーブルの場合に自動生成される QoS 設定を表示する方法を示します。

設定を確認するには、 show auto qos interface コマンドを入力します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

デフォルト

このコマンドにはデフォルト設定がありません。

 

コマンド履歴

 

使用上のガイドライン

auto qos voip コマンドで設定されたポートは信頼できないものとされます。

生成されたグローバル レベル コマンド

auto-QoS srnd4 コマンドがインターフェイスに適用されると、グローバル コンフィギュレーション レベルで次のテンプレート（A、B、および C）が 1 つまたは複数生成されます。通常、コマンドは、アプリケーション クラスにトラフィックを分類するために ACL または DSCP（または CoS）値に一致する一連のクラス マップを生成します。生成されたクラスと一致し、クラスで qos-group を設定し、場合によっては設定された帯域幅にクラスをポリシングする入力ポリシーも生成されます。（qos-group は、異なるアプリケーション クラスが 1 つの単位として扱われるようにする数値のタグです。スイッチのコンテキスト外では重要ではありません）。さらに、入力ポリシーで設定された qos-group と一致する 8 個の出力キュー クラス マップが生成されます。実際の出力ポリシーは、この 8 個のクラス マップそれぞれにキューを割り当てます。

コマンドは必要な場合にだけテンプレートを生成します。たとえば、新しいコマンドを初めて使用すると、8 個のキューの出力サービス ポリシーを定義するグローバル設定が生成されます。その後、他のインターフェイスに適用された auto-QoS は出力キューイングのテンプレートを生成しません。これは、すべての auto-Qos コマンドが移行後も同じ 8 個のキューのモデルに依存し、コマンドの最初の使用時からすでに生成されているためです。

グローバルなテンプレートは A、B、および C によって定義されます。

A.ACL および auto qos voip cisco-softphone コマンドで使用されるアプリケーション クラスのテンプレート。

AutoQos-4.0-VoIP-Data-Cos および AutoQos-4.0-VoIP-Signal-Cos は、ユーザがインターフェイスに IP 電話を接続し、そのインターフェイス上で auto qos voip cisco-phone コマンドを入力する場合に対処します。この場合は、インターフェイスの入力サービス ポリシーは、CoS マーキングだけに基づいて VoIP およびシグナリング パケットに一致する必要があります。これは、Cisco IP Phone のスイッチング ASIC が VoIP およびシグナリング トラフィックの CoS ビットの再マーキングのみに限定されるためです。スイッチに接続された IP 電話に PC が接続されたユーザは、PC の NIC を使用してその PC から DSCP ef へのトラフィックの DSCP マーキングを再マーキングできるため、DSCP マーキングが一致するとセキュリティの脆弱性の原因になります。これにより、出力方向のプライオリティ キューに非リアルタイム トラフィックが誤って配置されます。

B.auto qos voip cisco-softphone コマンドの入力サービス ポリシーのテンプレート。

C.8 個のキューを割り当てるために出力クラスを使用する srnd4 出力ポリシーおよび出力キュー クラスのテンプレート。このテンプレートはすべての srnd4 コマンドに必要です。

ポリシー マップ コンフィギュレーション モードで実行される police コマンドは、定義されているレート制限を超えたトラフィック フローの qos-group の再マーキングを許可しないため、AutoQos-4.0-Scavenger-Queue は qos-group 7 または dscp af11 と一致するように設定する必要があります。auto qos classify police コマンドが実行された場合、定義されているレート制限に違反したトラフィック フローは cs1 に再マーキングされますが、qos-group を超過アクションとして再マーキングできないため、元の qos-group 分類を保持します。ただし、AutoQos-4.0-Scavenger-Queue は出力ポリシー マップ内の他のすべてのキューより先に定義されるため、元の qos-group ラベルを保持しているにもかかわらず、再マーキングされたパケットはこのキューに分類されます。

生成されたインターフェイス レベル コマンド

Fa/Gig ポート:

例

次の例では、Cisco IP SoftPhone アプリケーションを実行している PC に接続されているギガビット イーサネット インターフェイス 1/1 の QoS 設定を生成する方法を示します。