この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ユーザ ロールに対してインターフェイス ポリシー コンフィギュレーション モードを開始するには、 interface policy deny コマンドを使用します。ユーザ ロールのインターフェイス ポリシーをデフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
次に、ユーザ ロールのインターフェイス ポリシー コンフィギュレーション モードを開始する例を示します。
次に、ユーザ ロールのインターフェイス ポリシーをデフォルト設定に戻す例を示します。
|
|
---|---|
仮想端末回線(VTY)の着信または発信トラフィックを制限するために IPv4 アクセス クラスを作成または設定するには、 ip access-class コマンドを使用します。アクセス クラスを削除するには、このコマンドの no 形式を使用します。
ip access-class access-list-name { in | out }
no ip access-class access-list-name { in | out }
|
|
---|---|
次の例では、着信パケットを制限するために VTY 回線の IP アクセス クラスを設定する例を示します。
次の例では、着信パケットを制限する IP アクセス クラスを削除する例を示します。
|
|
---|---|
ルータの ACL としてレイヤ 3 インターフェイスに IPv4 アクセス コントロール リスト(ACL)を適用するには、 ip access-group コマンドを使用します。インターフェイスから IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip access-group access-list-name { in | out }
no ip access-group access-list-name { in | out }
インターフェイス コンフィギュレーション モード
サブインターフェイス コンフィギュレーション モード
|
|
---|---|
デフォルトでは、IPv4 ACL はレイヤ 3 ルーテッド インターフェイスには適用されません。
ip access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をルータ ACL として適用できます。
• レイヤ 3 イーサネット ポート チャネル インターフェイスおよびサブインターフェイス
また、 ip access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をルータ ACL として適用できます。
• レイヤ 2 イーサネット ポート チャネル インターフェイス
ただし、 ip access-group コマンドを使用してレイヤ 2 に適用した ACL は、ポート モードをルーテッド(レイヤ 3)モードに変更しない限り、アクティブになりません。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
次に、レイヤ 3 イーサネット インターフェイス 1/2 に対して、ip-acl-01 という IPv4 ACL を適用する例を示します。
次に、イーサネット インターフェイス 2/1 から、ip-acl-01 という IPv4 ACL を削除する例を示します。
|
|
---|---|
仮想端末回線(VTY)の着信または発信トラフィックを制限するために IPv6 アクセス クラスを作成または設定するには、 ipv6 access-class コマンドを使用します。アクセス クラスを削除するには、このコマンドの no 形式を使用します。
ipv6 access-class access-list-name { in | out }
no ipv6 access-class access-list-name { in | out }
|
|
---|---|
次に、着信パケットを制限するために VTY 回線の IPv6 アクセス クラスを設定する例を示します。
次に、着信パケットの数を制限する IPv6 アクセス クラスを削除する例を示します。
|
|
---|---|
IPv4 アクセス コントロール リスト(ACL)を作成して、特定の ACL の IP アクセス リスト コンフィギュレーション モードを開始するには、 ip access-list コマンドを使用します。IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip access-list access-list-name
no ip access-list access-list-name
|
|
IPv4 トラフィックをフィルタリングするには、IPv4 ACL を使用します。
ip access-list コマンドを使用すると、スイッチで IP アクセス リスト コンフィギュレーション モードが開始されます。このモードで、IPv4 deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合、このコマンドの入力時にスイッチで新しい ACL が作成されます。
ACL をインターフェイスに適用するには、 ip access-group コマンドを使用します。
すべての IPv4 ACL は、最終ルールとして、次の暗黙ルールが設定されます。
この暗黙のルールによって、どの条件にも一致しない IP トラフィックは拒否されます。
IPv4 ACL には、ネイバー探索プロセスをイネーブルにする暗黙ルールは追加されません。IPv4 では、IPv6 ネイバー探索プロセスと同等の Address Resolution Protocol(ARP; アドレス解決プロトコル)は、別のデータリンク層プロトコルを使用します。デフォルトでは、IPv4 ACL は、インターフェイス上での ARP パケットの送受信を暗黙で許可します。
次に、ip-acl-01 という IPv4 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
イベント履歴バッファにアドレス解決プロトコル(ARP)のデバッグ イベントをログに記録するには、 ip arp event-history errors コマンドを使用します。
ip arp event-history errors size { disabled | large | medium | small }
no ip arp event-history errors size { disabled | large | medium | small }
|
|
---|---|
次に、サイズが「中」の ARP イベント履歴バッファを設定する例を示します。
次に、ARP イベント履歴バッファをデフォルトに設定する例を示します。
|
|
---|---|
ダイナミック ARP インスペクション(DAI)ロギング バッファ サイズを設定するには、 ip arp inspection log-buffer コマンドを使用します。DAI ロギング バッファをデフォルトのサイズに戻すには、このコマンドの no 形式を使用します。
ip arp inspection log-buffer entries number
no ip arp inspection log-buffer entries number
|
|
このコマンドを使用する前に、 feature dhcp コマンドを使用して、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングをイネーブルにしてください。
次に、DAI ロギング バッファのサイズを設定する例を示します。
|
|
---|---|
追加の Dynamic ARP Inspection(DAI)検証をイネーブルにするには、 ip arp inspection validate コマンドを使用します。追加の DAI をディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection validate { dst-mac [ ip ] [ src-mac ]}
ip arp inspection validate { ip [ dst-mac ] [ src-mac ]}
ip arp inspection validate { src-mac [ dst-mac ] [ ip ]}
no ip arp inspection validate { dst-mac [ ip ] [ src-mac ]}
no ip arp inspection validate { ip [ dst-mac ] [ src-mac ]}
no ip arp inspection validate { src-mac [ dst-mac ] [ ip ]}
|
|
このコマンドを使用する前に、 feature dhcp コマンドを使用して、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングをイネーブルにしてください。
最小限、1 つのキーワードを指定する必要があります。複数のキーワードを指定する場合、順序は影響しません。
送信元 MAC 検証をイネーブルにすると、ARP パケットはパケット本体の送信側イーサネット アドレスが ARP フレーム ヘッダーの送信側イーサネット アドレスと同じである場合にだけ有効と見なされます。宛先 MAC 検証をイネーブルにすると、ARP 要求フレームはターゲット イーサネット アドレスが ARP フレーム ヘッダーの宛先イーサネット アドレスと同じである場合にだけ有効と見なされます。
次に、追加の DAI 検証をディセーブルにする例を示します。
|
|
---|---|
VLAN リストに対して Dynamic ARP Inspection(DAI)をイネーブルにするには、 ip arp inspection vlan コマンドを使用します。VLAN リストの DAI をディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection vlan vlan-list [ logging dhcp-bindings { permit | all | none }]
no ip arp inspection vlan vlan-list [ logging dhcp-bindings { permit | all | none }]
|
|
---|---|
次に、VLAN 13、15、および 17 ~ 23 で DAI をイネーブルにする例を示します。
|
|
---|---|
レイヤ 2 インターフェイスを信頼できる ARP インターフェイスとして設定するには、 ip arp inspection trust コマンドを使用します。レイヤ 2 インターフェイスを信頼できない ARP インターフェイスとして設定するには、このコマンドの no 形式を使用します。
|
|
---|---|
次に、レイヤ 2 インターフェイスを信頼できる ARP インターフェイスとして設定する例を示します。
|
|
---|---|
DHCP スヌーピング機能によるダイナミック ホスト コンフィギュレーション プロトコル(DHCP)パケットの厳密な検証をイネーブルにするには、 ip dhcp packet strict-validation コマンドを使用します。DHCP パケットの厳密な検証をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp packet strict-validation
no ip dhcp packet strict-validation
|
|
---|---|
ip dhcp packet strict-validation コマンドを使用する前に、DHCP スヌーピングをイネーブルにする必要があります。
DHCP パケットの厳密な検証では、DHCP パケットの DHCP オプション フィールドの先頭 4 バイトの「magic cookie」値を含め、このオプション フィールドが有効であるかをチェックします。DHCP パケットの厳密な検証がイネーブルにされている場合、デバイスは検証に失敗した DHCP パケットをドロップします。
次に、DHCP パケットの厳密な検証をイネーブルにする例を示します。
|
|
---|---|
デバイスでダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングをグローバルにイネーブルにするには、 ip dhcp snooping コマンドを使用します。DHCP スヌーピングをグローバルでディセーブルにするには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
no ip dhcp snooping コマンドを使用して DHCP スヌーピングをディセーブルにすると、デバイスの DHCP スヌーピング設定が保持されます。
次に、DHCP スヌーピングをグローバルにイネーブルにする例を示します。
|
|
---|---|
DHCP リレー エージェントを使用しないで転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにします。 |
|
ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)パケットの option-82 情報の挿入および削除をイネーブルにするには、 ip dhcp snooping information option コマンドを使用します。option-82 情報の挿入および削除をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping information option
no ip dhcp snooping information option
|
|
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
次に、DHCP スヌーピングをグローバルにイネーブルにする例を示します。
|
|
---|---|
ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)メッセージの信頼できる送信元としてインターフェイスを設定するには、 ip dhcp snooping trust コマンドを使用します。インターフェイスを DHCP メッセージの信頼できない送信元として設定するには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
DHCP の信頼状態は、次のタイプのインターフェイスに設定できます。
次に、インターフェイスを DHCP メッセージの信頼できる送信元として設定する例を示します。
|
|
---|---|
MAC アドレス検証のダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングをイネーブルにするには ip dhcp snooping verify mac-address コマンドを使用します。DHCP スヌーピングの MAC アドレス検証をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping verify mac-address
no ip dhcp snooping verify mac-address
|
|
デフォルトでは、DHCP スヌーピングでの MAC アドレス検証はディセーブルです。
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合、アドレス検証によってデバイスはパケットをドロップします。
次の例では、DHCP スヌーピングを MAC アドレス検証でイネーブルにする方法を示します。
|
|
---|---|
1 つ以上の VLAN でダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングをイネーブルにするには ip dhcp snooping vlan コマンドを使用します。1 つまたは複数の VLAN 上で DHCP スヌーピングをディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping vlan vlan-list
no ip dhcp snooping vlan vlan-list
|
|
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
次に、VLAN 100、200、および 250 ~ 252 で DHCP スヌーピングをイネーブルにする例を示します。
|
|
---|---|
IPv4 アクセス コントロール リスト(ACL)をインターフェイスのポート ACL として適用するには、 ip port access-group コマンドを使用します。インターフェイスから IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip port access-group access-list-name in
no ip port access-group access-list-name in
インターフェイス コンフィギュレーション モード
仮想イーサネット インターフェイス コンフィギュレーション モード
|
|
デフォルトでは、インターフェイスに IPv4 ACL は適用されません。
ip port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をポート ACL として適用できます。
IPv4 ACL を VLAN ACL として適用することもできます。詳細については、 match コマンドを参照してください。
スイッチでポート ACL が適用されるのは、着信トラフィックだけです。着信パケットは、スイッチ上で ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットはスイッチで引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはスイッチで廃棄され、ICMP ホスト到達不能メッセージが戻されます。
スイッチから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
次に、イーサネット インターフェイス 1/2 に対して、ip-acl-01 という IPv4 ACL をポート ACL として適用する例を示します。
次に、イーサネット インターフェイス 1/2 から、ip-acl-01 という IPv4 ACL を削除する例を示します。
次に、仮想イーサネット インターフェイス 1 に対して、ip-acl-03 という IPv4 ACL をポート ACL として適用する例を示します。
|
|
---|---|
レイヤ 2 イーサネット インターフェイス用の固定 IP ソース エントリを作成するには、 ip source binding コマンドを使用します。固定 IP ソース エントリをディセーブルにするには、このコマンドの no 形式を使用します。
ip source binding IP-address MAC-address vlan vlan-id { interface ethernet slot / port | port-channel channel-no }
no ip source binding IP-address MAC-address vlan vlan-id { interface ethernet slot / port | port-channel channel-no }
固定 IP エントリに関連付けるレイヤ 2 イーサネット インターフェイスを指定します。スロット番号には 1 ~ 255、ポート番号には 1 ~ 128 を指定できます。 |
|
|
|
デフォルトでは、固定 IP ソース エントリは作成されません。
このコマンドを使用するには、 feature dhcp コマンドを使用してダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピング機能をイネーブルにする必要があります。
次に、イーサネット インターフェイス 2/3 上に、VLAN 100 に関連付ける固定 IP ソース エントリを作成する例を示します。
|
|
---|---|
レイヤ 2 イーサネット インターフェイス上で IP ソース ガードをイネーブルにするには、 ip verify source dhcp-snooping-vlan コマンドを使用します。レイヤ 2 イーサネット インターフェイス上で IP ソース ガードをディセーブルにするには、このコマンドの no 形式を使用します。
ip verify source dhcp-snooping-vlan
no ip verify source dhcp-snooping-vlan
|
|
---|---|
このコマンドを使用する前に、 feature dhcp コマンドを使用して、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングをイネーブルにしてください。
IP ソース ガードは、インターフェイス上の IP トラフィックを、IP-MAC アドレス バインディング テーブル エントリまたはスタティック IP ソース エントリに送信元が含まれているトラフィックだけに制限します。
IP ソース ガードの機能は、DHCP スヌーピング(IP-MAC アドレス バインディング テーブルの構築および維持に関して)、またはスタティック IP ソース エントリの手動での維持に依存しています。
次に、レイヤ 2 インターフェイスの IP ソース ガードをイネーブルにする例を示します。
次に、レイヤ 2 インターフェイスの IP ソース ガードをディセーブルにする例を示します。
|
|
---|---|
インターフェイス上でユニキャスト リバース パス転送(ユニキャスト RPF)を設定するには、 ip verify unicast source reachable-via コマンドを使用します。インターフェイスからユニキャスト RPF を削除するには、このコマンドの no 形式を使用します。
ip verify unicast source reachable-via { any [ allow-default ] | rx }
no ip verify unicast source reachable-via { any [ allow-default ] | rx }
|
|
---|---|
入力インターフェイスに次のいずれかのユニキャスト RPF モードを設定できます。
• ストリクト ユニキャスト RPF モード:ストリクト モード チェックは、次の一致が検出された場合に成功します。
– ユニキャスト RPF が、Forwarding Information Base(FIB; 転送情報ベース)でパケット送信元アドレスの一致を検出。
– パケットを受信した入力側インターフェイスが、FIB 一致のユニキャスト PRF インターフェイスの 1 つと一致。
これらのチェックに失敗すると、パケットは廃棄されます。このタイプのユニキャスト RPF チェックは、パケット フローが対称であると予想される場合に使用できます。
• ルーズ ユニキャスト RPF モード:ルーズ モード チェックは、FIB でのパケット送信元アドレスの検索が一致し、最低 1 つの実インターフェイスを経由して送信元に到達可能であるという FIB 結果が示された場合に成功します。パケットを受信した入力インターフェイスが FIB 内のインターフェイスのいずれかと一致する必要はありません。
次に、インターフェイス上にルーズ ユニキャスト RPF チェックを設定する例を示します。
次に、インターフェイス上にストリクト ユニキャスト RPF チェックを設定する例を示します。
|
|
---|---|
IPv6 アクセス コントロール リスト(ACL)を作成して、特定の ACL の IP アクセス リスト コンフィギュレーション モードを開始するには、 ipv6 access-list コマンドを使用します。IPv6 ACL を削除するには、このコマンドの no 形式を使用します。
ipv6 access-list access-list-name
no ipv6 access-list access-list-name
|
|
IPv6 トラフィックをフィルタリングするには、IPv6 ACL を使用します。
ipv6 access-list コマンドを使用すると、スイッチで IP アクセス リスト コンフィギュレーション モードが開始されます。このモードで、IPv6 の deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合、このコマンドの入力時にスイッチで新しい ACL が作成されます。
すべての IPv6 ACL は、最終ルールとして、次の暗黙ルールが設定されます。
次に、ipv6-acl-01 という名前の IPv6 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
IPv6 アクセス コントロール リスト(ACL)をインターフェイスのポート ACL として適用するには、 ipv6 port traffic-filter コマンドを使用します。インターフェイスから IPv6 ACL を削除するには、このコマンドの no 形式を使用します。
ipv6 port traffic-filter access-list-name in
no ipv6 port traffic-filter access-list-name in
インターフェイス コンフィギュレーション モード
仮想イーサネット インターフェイス コンフィギュレーション モード
|
|
デフォルトでは、インターフェイスに IPv6 ACL は適用されません。
ipv6 port traffic-filter コマンドを使用することにより、次のインターフェイス タイプに対して、IPv6 ACL をポート ACL として適用できます。
ipv6 port traffic-filter コマンドを使用することにより、次のインターフェイス タイプに対して、IPv6 ACL をポート ACL として適用もできます。
(注) VLAN インターフェイスを設定する前に、VLAN インターフェイスをグローバルでイネーブルにする必要があります。詳細については、feature interface-vlan コマンドを参照してください。
スイッチでポート ACL が適用されるのは、着信トラフィックだけです。着信パケットは、スイッチ上で ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットはスイッチで引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはスイッチで廃棄され、ICMP ホスト到達不能メッセージが戻されます。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
次に、イーサネット インターフェイス 1/3 に対して、ipv6-acl という IPv6 ACL を適用する例を示します。
次に、イーサネット インターフェイス 1/3 から、ipv6-acl という IPv6 ACL を削除する例を示します。
次に、特定の仮想イーサネット インターフェイスに対して、ipv6-acl-03 という名前の IPv6 ACL を適用する例を示します。
|
|
---|---|