ダウンロード

セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE
（Cisco WLC 5700 シリーズ）
初版：2013 年 01 月 29 日
シスコシステムズ合同会社
〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー
http://www.cisco.com/jp
お問い合わせ先：シスココンタクトセンター
0120-092-255 （フリーコール、携帯・PHS含む）
電話受付時間：平日 10:00～12:00、13:00～17:00
http://www.cisco.com/jp/go/contactcenter/
Text Part Number: OL-28526-01-J
【注意】シスコ製品をご使用になる前に、安全上の注意（ www.cisco.com/jp/go/safety_warning/ ）
をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま
しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更され
ている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容
については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販
売パートナー、または、弊社担当者にご確認ください。
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨
事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用
は、すべてユーザ側の責任になります。
対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡く
ださい。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version
of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコお
よびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証
をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、
間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものと
します。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: http://
www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership
relationship between Cisco and any other company. (1110R)
このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および図は、説明のみを目的として使
用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2013
Cisco Systems, Inc. All rights reserved.
目次
はじめに vii
対象読者 vii
マニュアルの変更履歴 vii
表記法 vii
関連資料 ix
マニュアルの入手方法およびテクニカルサポート x
コマンドラインインターフェイスの使用 1
コマンドラインインターフェイスの使用について 1
コマンドモード 1
ヘルプシステムの使用 5
コマンドの省略形 6
コマンドの no 形式および default 形式 6
CLI のエラーメッセージ 6
コンフィギュレーションロギング 7
CLI を使用して機能を設定する方法 8
コマンド履歴の設定 8
コマンド履歴バッファサイズの変更 8
コマンドの呼び出し 8
コマンド履歴機能のディセーブル化 9
編集機能のイネーブル化およびディセーブル化 10
キーストロークによるコマンドの編集 10
画面幅よりも長いコマンドラインの編集 13
show および more コマンド出力の検索およびフィルタリング 14
CLI へのアクセス 15
コンソール接続または Telnet による CLI アクセス 15
セキュリティコマンド 17
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
iii
目次
aaa accounting dot1x 20
aaa accounting identity 22
aaa authentication dot1x 24
aaa authorization 26
access-session mac-move deny 31
authentication host-mode 33
authentication mac-move permit 35
authentication priority 37
authentication violation 40
cisp enable 42
clear errdisable interface vlan 44
clear mac address-table 46
deny（MAC アクセスリストコンフィギュレーション） 48
device-role（IPv6 スヌーピング） 52
device-role（IPv6 nd インスペクション） 53
dot1x critical（グローバルコンフィギュレーション） 55
dot1x max-start 56
dot1x pae 57
dot1x supplicant controlled transient 59
dot1x supplicant force-multicast 61
dot1x test eapol-capable 63
dot1x test timeout 65
dot1x timeout 67
epm access-control open 70
ip admission 72
ip admission name 73
ip device tracking maximum 76
ip device tracking probe 77
ip dhcp snooping database 79
ip dhcp snooping information option format remote-id 81
ip dhcp snooping verify no-relay-agent-address 83
ip source binding 84
ip verify source 86
ipv6 snooping policy 88
limit address-count 90
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
iv
OL-28526-01-J
目次
mab request format attribute 32 92
no authentication logging verbose 94
no dot1x logging verbose 96
no mab logging verbose 98
permit（MAC アクセスリストコンフィギュレーション） 100
protocol（IPv6 スヌーピング） 104
security level（IPv6 スヌーピング） 106
security passthru 107
show aaa acct-stop-cache 108
show aaa clients 109
show aaa command handler 110
show aaa local 111
show aaa servers 113
show aaa sessions 115
show authentication history 116
show authentication sessions 117
show cisp 120
show dot1x 122
show eap pac peer 124
show ip dhcp snooping statistics 125
show radius server-group 128
switchport port-security aging static 130
tracking（IPv6 スヌーピング） 131
trusted-port 133
wireless dot11-padding 135
wireless security dot1x 136
wireless security lsc 139
wireless security strong-password 141
wireless wps ap-authentication 142
wireless wps auto-immune 143
wireless wps cids-sensor 144
wireless wps client-exclusion 145
wireless wps mfp infrastructure 147
wireless wps rogue 148
wireless wps shun-list re-sync 150
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
v
目次
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
vi
OL-28526-01-J
はじめに
このマニュアルでは、Catalyst 3850 スイッチのセキュリティに関するコマンドリファレンス情報
と例について説明します。
• 対象読者, vii ページ
• マニュアルの変更履歴, vii ページ
• 表記法, vii ページ
• 関連資料, ix ページ
• マニュアルの入手方法およびテクニカルサポート, x ページ
対象読者
このマニュアルでは、Catalyst 3850 スイッチ（以降、スイッチモジュールと記載）を管理するネッ
トワーキングの専門家を対象としています。 Cisco IOS ソフトウェアの使用経験があり、イーサ
ネットおよび LAN の概念や専門用語を十分理解していることが前提です。
マニュアルの変更履歴
この表に、初版後、このマニュアルに加えられた技術的な変更の履歴を示します。
リビジョン
日付
変更点
OL-26847-01
2013 年 1 月
このマニュアルの初版
表記法
このマニュアルでは、次の表記法を使用しています。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
vii
はじめに
表記法
表記法
説明
^ または Ctrl
^ 記号と Ctrl は両方ともキーボードの Control（Ctrl）キーを表し
ます。たとえば、^D または Ctrl+D というキーの組み合わせは、
Ctrl キーを押しながら D キーを押すことを意味します（ここで
はキーを大文字で表記していますが、小文字で入力してもかまい
ません）。
bold フォント
コマンド、キーワード、およびユーザが入力するテキストは、
bold フォントで示しています。
Italic フォント
文書のタイトル、新規用語、強調する用語、およびユーザが値を
指定する引数は、Italic フォントで示しています。
courier フォント
システムが表示する端末セッションおよび情報は、courier フォ
ントで示しています。
太字の courier フォント
太字の courier フォントは、ユーザが入力しなければならないテ
キストを示します。
[x]
角カッコの中の要素は、省略可能です。
...
構文要素の後の省略記号（3 つの連続する太字ではないピリオド
でスペースを含まない）は、その要素を繰り返すことができるこ
とを示します。
|
パイプと呼ばれる縦棒は、一連のキーワードまたは引数の選択肢
であることを示します。
[x | y]
どれか 1 つを選択できる省略可能なキーワードは、角カッコで囲
み、縦棒で区切って示しています。
{x | y}
どれか 1 つを選択しなければならない必須キーワードは、波カッ
コで囲み、縦棒で区切って示しています。
[x {y | z}]
角カッコまたは波カッコが入れ子になっている箇所は、任意また
は必須の要素内の任意または必須の選択肢であることを表しま
す。角カッコ内の波カッコと縦棒は、省略可能な要素内で選択
すべき必須の要素を示しています。
string
引用符を付けない一組の文字。 string の前後には引用符を使用し
ません。引用符を使用すると、その引用符も含めて string とみな
されます。
<>
パスワードのように出力されない文字は、山カッコで囲んで示し
ています。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
viii
OL-28526-01-J
はじめに
関連資料
表記法
説明
[]
システムプロンプトに対するデフォルトの応答は、角カッコで
囲んで示しています。
!、#
コードの先頭に感嘆符（!）またはポンド記号（#）がある場合に
は、コメント行であることを示します。
読者への警告の表記法
このマニュアルでは、読者への警告に次の表記法を使用しています。
（注）
「注釈」です。役立つ情報やこのマニュアルに記載されていない参照資料を紹介しています。
ヒント
「問題解決に役立つ情報」です。
注意
「要注意」の意味です。機器の損傷またはデータ損失を予防するための注意事項が記述され
ています。
ワンポイントアドバイス
時間を節約する方法です。ここに紹介している方法で作業を行うと、時間を短縮できます。
警告
「警告」の意味です。人身事故を予防するための注意事項が記述されています。
関連資料
（注）
コントローラをインストールまたはアップグレードする前に、コントローラのリリースノー
トを参照してください。
• 次の URL にあるCisco 5700 シリーズワイヤレスコントローラのマニュアル
http://www.cisco.com/go/wlc5700_sw
• 次の URL にある『Cisco 5700 Series Wireless Controller Installation Guide』および『Regulatory
Compliance and Safety Information for the Cisco 5700 Series Wireless Controller』
http://www.cisco.com/go/wlc5700_hw
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
ix
はじめに
マニュアルの入手方法およびテクニカルサポート
• 次の URL にある Cisco Validated Design のドキュメント
http://www.cisco.com/go/designzone
マニュアルの入手方法およびテクニカルサポート
マニュアルの入手方法、テクニカルサポート、その他の有用な情報について、次の URL で、毎
月更新される『What's New in Cisco Product Documentation』を参照してください。シスコの新規お
よび改訂版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『What's New in Cisco Product Documentation』は RSS フィードとして購読できます。また、リー
ダーアプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定するこ
ともできます。 RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポー
トしています。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
x
OL-28526-01-J
コマンドラインインターフェイスの使用
この章は、次の内容で構成されています。
• コマンドラインインターフェイスの使用について, 1 ページ
• CLI を使用して機能を設定する方法, 8 ページ
コマンドラインインターフェイスの使用について
ここでは、コマンドラインインターフェイス（CLI）とその使用方法について説明します。
コマンドモード
Cisco IOS ユーザインターフェイスは、いくつかのモードに分かれています。使用できるコマン
ドの種類は、現在のモードによって異なります。システムプロンプトに疑問符（?）を入力する
と、各コマンドモードで使用できるコマンドの一覧が表示されます。
コントローラ上で Telnet、SSH、またはコンソールを使用してセッションを開始すると、ユーザ
モードになります。このモードは、通常、ユーザ EXEC モードと呼ばれます。ユーザ EXEC モー
ドでは、限られた一部のコマンドしか使用できません。たとえばユーザ EXEC コマンドの大部分
は、show コマンド（現在のコンフィギュレーションステータスを表示する）、clear コマンド（カ
ウンタまたはインターフェイスをクリアする）などのように、1 回限りのコマンドです。ユーザ
EXEC コマンドは、コントローラをリブートするときには保存されません。
すべてのコマンドにアクセスするには、特権 EXEC モードを開始する必要があります。特権 EXEC
モードを開始するには、通常、パスワードが必要です。このモードでは、任意の特権 EXEC コマ
ンドを入力でき、また、グローバルコンフィギュレーションモードを開始することもできます。
コンフィギュレーションモード（グローバル、インターフェイス、およびライン）を使用して、
実行コンフィギュレーションを変更できます。設定を保存した場合はこれらのコマンドが保存さ
れ、コントローラをリブートするときに使用されます。各種のコンフィギュレーションモード
にアクセスするには、まずグローバルコンフィギュレーションモードを開始する必要がありま
す。グローバルコンフィギュレーションモードから、インターフェイスコンフィギュレーショ
ンモードおよびラインコンフィギュレーションモードに移行できます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
1
コマンドラインインターフェイスの使用
コマンドモード
以下の表に、主要なコマンドモード、各モードへのアクセス方法、各モードで表示されるプロン
プト、およびモードの終了方法を示します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
2
OL-28526-01-J
コマンドラインインターフェイスの使用
コマンドモード
表 1：コマンドモードの概要
モード
アクセス方法
ユーザ EXEC
Telnet、SSH、ま
たはコンソールを
使用してセッショ
ンを開始します。
プロンプト
Controller>
終了方法
モードの用途
logout または quit このモードを使用
して次の作業を行
を入力します。
います。
• 端末の設定
変更
• 基本テスト
の実行
• システム情
報の表示
特権 EXEC
ユーザ EXEC モー
ドで、enable コマ
ンドを入力しま
す。
グローバルコン特権 EXEC モード
フィギュレーショで、configure コマ
ン
ンドを入力しま
す。
VLAN コンフィ
ギュレーション
グローバルコン
フィギュレーショ
ンモードで、vlan
vlan-id コマンドを
入力します。
Controller#
Controller(config)#
Controller(config-vlan)#
disable を入力してこのモードを使用
して、入力したコ
終了します。
マンドを確認しま
す。パスワードを
使用して、この
モードへのアクセ
スを保護します。
終了して特権
EXEC モードに戻
るには、exit また
は end コマンドを
入力するか、
Ctrl+Z を押しま
す。
このモードは、コ
ントローラ全体に
適用するパラメー
タを設定する場合
に使用します。
グローバルコン
フィギュレーショ
ンモードに戻る場
合は、exit コマン
ドを入力します。
特権 EXEC モード
に戻るには、
Ctrl+Z を押すか、
end を入力しま
す。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
3
コマンドラインインターフェイスの使用
コマンドモード
モード
アクセス方法
プロンプト
終了方法
モードの用途
このモードを使用
して、VLAN（仮
想LAN）パラメー
タを設定します。
VTP モードがトラ
ンスペアレントで
あるときは、拡張
範囲 VLAN
（VLAN ID が
1006 以上）を作成
してコントローラ
のスタートアップ
コンフィギュレー
ションファイルに
設定を保存できま
す。
インターフェイスグローバルコン
コンフィギュレーフィギュレーショ
ション
ンモードで、
interface コマンド
を入力し、イン
ターフェイスを指
定します。
ラインコンフィ
ギュレーション
グローバルコン
フィギュレーショ
ンモードで、
line vty または line
console コマンド
を使用して回線を
指定します。
Controller(config-if)#
終了してグローバ
ルコンフィギュ
レーションモード
に戻るには、exit
を入力します。
このモードを使用
して、イーサネッ
トポートのパラ
メータを設定しま
す。
特権 EXEC モード
に戻るには、
Ctrl+Z を押すか、
end を入力しま
す。
Controller(config-line)#
終了してグローバ
ルコンフィギュ
レーションモード
に戻るには、exit
を入力します。
このモードを使用
して、端末回線の
パラメータを設定
します。
特権 EXEC モード
に戻るには、
Ctrl+Z を押すか、
end を入力しま
す。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
4
OL-28526-01-J
コマンドラインインターフェイスの使用
ヘルプシステムの使用
ヘルプシステムの使用
システムプロンプトで疑問符（?）を入力すると、各コマンドモードに使用できるコマンドのリ
ストが表示されます。また、任意のコマンドについて、関連するキーワードおよび引数の一覧を
表示することもできます。
手順の概要
1. help
2. <コマンドの先頭部分>?
3. <コマンドの先頭部分><Tab>
4. ?
5. <コマンド> ?
6. <コマンドキーワード>?
手順の詳細
ステップ 1
コマンドまたはアクション
目的
help
コマンドモードのヘルプシステムの簡単な説明
を表示します。
例：
Controller# help
ステップ 2
<コマンドの先頭部分>?
特定のストリングで始まるコマンドのリストを
表示します。
例：
Controller# di?
dir disable disconnect
ステップ 3
<コマンドの先頭部分><Tab>
特定のコマンド名を補完します。
例：
Controller# sh conf<tab>
Controller# show configuration
ステップ 4
特定のコマンドモードで使用可能なすべてのコ
マンドをリストします。
?
例：
Controller> ?
ステップ 5
<コマンド> ?
コマンドに関連するキーワードを一覧表示しま
す。
例：
Controller> show ?
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
5
コマンドラインインターフェイスの使用
コマンドの省略形
ステップ 6
コマンドまたはアクション
目的
<コマンドキーワード>?
キーワードに関連する引数を一覧表示します。
例：
Controller(config)# cdp holdtime ?
<10-255> Length of time (in sec) that
receiver must keep this packet
コマンドの省略形
コントローラでコマンドが一意に認識される長さまでコマンドを入力します。
次に、show configuration 特権 EXEC コマンドを省略形で入力する例を示します。
Controller# show conf
コマンドの no 形式および default 形式
大部分のコンフィギュレーションコマンドに、no 形式があります。 no 形式は一般に、特定の機
能または動作をディセーブルにする場合、あるいはコマンドの動作を取り消す場合に使用します。
たとえば、no shutdown インターフェイスコンフィギュレーションコマンドを使用すると、イン
ターフェイスのシャットダウンが取り消されます。 no キーワードなしでコマンドを使用すると、
ディセーブルにされた機能を再度イネーブルにしたり、デフォルトでディセーブルになっている
機能をイネーブルにすることができます。
コンフィギュレーションコマンドには、default 形式もあります。コマンドの default 形式は、コ
マンドの設定値をデフォルトに戻します。大部分のコマンドはデフォルトでディセーブルに設定
されているので、default 形式は no 形式と同じになります。ただし、デフォルトでイネーブルに
設定されていて、なおかつ変数が特定のデフォルト値に設定されているコマンドもあります。こ
れらのコマンドについては、default コマンドを使用すると、コマンドがイネーブルになり、変数
がデフォルト値に設定されます。
CLI のエラーメッセージ
以下の表に、CLI を使用してコントローラを設定する際に、表示される可能性のあるエラーメッ
セージを示します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
6
OL-28526-01-J
コマンドラインインターフェイスの使用
コンフィギュレーションロギング
表 2：CLI の代表的なエラーメッセージ
エラーメッセージ
意味
ヘルプの表示方法
% Ambiguous command: "show
con"
コントローラがコマンドとして再度コマンドを入力し、続けて
認識できる十分な文字数を入力疑問符（?）を入力します。コ
していません。
マンドと疑問符の間にはスペー
スを 1 つ入れます。
コマンドとともに使用できる
キーワードが表示されます。
% Incomplete command.
コマンドに必須のキーワードま再度コマンドを入力し、続けて
たは値が、一部入力されていま疑問符（?）を入力します。コ
せん。
マンドと疑問符の間にはスペー
スを 1 つ入れます。
コマンドとともに使用できる
キーワードが表示されます。
% Invalid input detected at
‘^’ marker.
コマンドの入力ミスです。間
違っている箇所をキャレット
（^）記号で示しています。
疑問符（?）を入力すると、そ
のコマンドモードで使用でき
るすべてのコマンドが表示され
ます。
コマンドとともに使用できる
キーワードが表示されます。
コンフィギュレーションロギング
コントローラの設定変更を記録して表示させることができます。 Configuration Change Logging and
Notification 機能を使用することで、セッションまたはユーザベースごとに変更内容をトラッキン
グできます。ログに記録されるのは、適用された各コンフィギュレーションコマンド、コマンド
を入力したユーザ、コマンドの入力時間、コマンドに対するパーサからのリターンコードです。
この機能には、登録しているアプリケーションの設定が変更されるときに通知される非同期通知
方式もあります。 Syslog へこの通知を送信することも選択できます。
（注）
CLI または HTTP の変更のみがログとして記録されます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
7
コマンドラインインターフェイスの使用
CLI を使用して機能を設定する方法
CLI を使用して機能を設定する方法
コマンド履歴の設定
入力したコマンドは、ソフトウェア側にコマンド履歴として残されます。コマンド履歴機能は、
アクセスコントロールリストの設定時など、長い複雑なコマンドまたはエントリを何度も入力し
なければならない場合、特に便利です。この機能はニーズに合わせてカスタマイズできます。
コマンド履歴バッファサイズの変更
デフォルトでは、コントローラは履歴バッファにコマンドライン 10 行を記録します。現在の端
末セッションまたは特定回線のすべてのセッションで、この数を変更できます。これらの手順は
任意です。
手順の概要
1. terminal history [size number-of-lines]
2. history [size number-of-lines]
手順の詳細
ステップ 1
コマンドまたはアクション
目的
terminal history [size number-of-lines]
現在のターミナルセッション中に特権 EXEC モードでコン
トローラが記録するコマンドライン数を変更します。 0 ～
256 のサイズを設定できます。
例：
Controller# terminal history size 200
ステップ 2
history [size number-of-lines]
例：
コンフィギュレーションモードで、特定回線のすべてのセッ
ションに関してコントローラが記録するコマンドラインの
数を設定します。 0 ～ 256 のサイズを設定できます。
Controller(config)# history size 200
コマンドの呼び出し
履歴バッファにあるコマンドを呼び出すには、この表のいずれかの操作を行います。これらの操
作は任意です。
（注）
矢印キーが使用できるのは、VT100 などの ANSI 互換端末に限られます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
8
OL-28526-01-J
コマンドラインインターフェイスの使用
コマンド履歴の設定
手順の概要
1. Ctrl+P キーまたは上矢印キーを使用します
2. Ctrl+N キーまたは下矢印キーを使用します
3. show history
手順の詳細
コマンドまたはアクション
目的
ステップ 1
Ctrl+P キーまたは上矢印キーを履歴バッファ内のコマンドを呼び出します。最後に実行したコマン
ドが最初に呼び出されます。キーを押すたびに、より古いコマンド
使用します
が順次表示されます。
ステップ 2
Ctrl+N キーまたは下矢印キーを Ctrl+P キーまたは上矢印キーでコマンドを呼び出した後に、履歴
使用します
バッファ内のより新しいコマンドに戻ります。キーを押すたびに、
より新しいコマンドが順次表示されます。
ステップ 3
show history
例：
Controller# show history
特権 EXECモードで、最後に入力したいくつかのコマンドを表示し
ます。表示されるコマンドの数は、terminal history グローバルコ
ンフィギュレーションコマンドおよび history ラインコンフィギュ
レーションコマンドの設定値によって指定されます。
コマンド履歴機能のディセーブル化
コマンド履歴機能は、自動的にイネーブルになっています。現在の端末セッションまたはコマン
ドラインでディセーブルにできます。これらの手順は任意です。
手順の概要
1. terminal no history
2. no history
手順の詳細
ステップ 1
コマンドまたはアクション
目的
terminal no history
特権 EXEC モードで、現在のターミナルセッション中
はこの機能をディセーブルにします。
例：
Controller# terminal no history
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
9
コマンドラインインターフェイスの使用
編集機能のイネーブル化およびディセーブル化
ステップ 2
コマンドまたはアクション
目的
no history
コンフィギュレーションモードで、回線に対してコマ
ンド履歴をディセーブルにします。
例：
Controller(config)# no history
編集機能のイネーブル化およびディセーブル化
拡張編集モードは自動的にイネーブルになりますが、ディセーブルにする、再びイネーブルにす
る、または特定の回線で拡張編集機能を使用できるように設定できます。これらの手順は任意で
す。
手順の概要
1. no editing
2. terminal editing
3. editing
手順の詳細
ステップ 1
コマンドまたはアクション
目的
no editing
拡張編集モードをディセーブルにします。
例：
Controller(config)# no editing
ステップ 2
terminal editing
特権 EXEC モードで、現在の端末セッションにおけ
る拡張編集モードを再びイネーブルにします。
例：
Controller# terminal editing
ステップ 3
editing
特定の回線に対して拡張編集モードを再設定します。
例：
Controller(config)# editing
キーストロークによるコマンドの編集
キーストロークでコマンドラインを編集できます。これらのキーストロークは任意です。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
10
OL-28526-01-J
コマンドラインインターフェイスの使用
編集機能のイネーブル化およびディセーブル化
（注）
矢印キーが使用できるのは、VT100 などの ANSI 互換端末に限られます。
手順の概要
1. Ctrl+B キーまたは左矢印キーを使用します。
2. Ctrl+F キーまたは右矢印キーを使用します。
3. Ctrl+A
4. Ctrl+E
5. Esc B
6. Esc F
7. Ctrl+T
8. Ctrl+Y
9. Esc Y
10. Delete キーまたは Backspace キー
11. Ctrl+D
12. Ctrl+K
13. Ctrl+U または Ctrl+X
14. Ctrl+W
15. Esc D
16. Esc C
17. Esc L
18. Esc U
19. Ctrl+V または Esc Q
20. Return キー
21. Space バー
22. Ctrl+L または Ctrl+R
手順の詳細
コマンドまたはアクション目的
ステップ 1
Ctrl+B キーまたは左矢印
キーを使用します。
カーソルを 1 文字後退させます。
ステップ 2
Ctrl+F キーまたは右矢印
キーを使用します。
カーソルを 1 文字前進させます。
ステップ 3
Ctrl+A
コマンドラインの先頭にカーソルを移動します。
ステップ 4
Ctrl+E
カーソルをコマンドラインの末尾に移動します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
11
コマンドラインインターフェイスの使用
編集機能のイネーブル化およびディセーブル化
コマンドまたはアクション目的
ステップ 5
Esc B
カーソルを 1 単語後退させます。
ステップ 6
Esc F
カーソルを 1 単語前進させます。
ステップ 7
Ctrl+T
カーソルの左にある文字を、カーソル位置の文字と置き換えま
す。
ステップ 8
Ctrl+Y
バッファ内の最新のエントリを呼び出します。
バッファからコマンドを呼び出し、コマンドラインにペースト
します。コントローラは、直前に削除された 10 項目をバッファ
に入れます。
ステップ 9
Esc Y
次のバッファエントリを呼び出します。
バッファには、最後に削除またはカットした 10 項目しか保存さ
れません。 Esc+Y を 11 回以上押すと、最初のバッファエント
リに戻って表示されます。
ステップ 10
Delete キーまたは Backspace カーソルの左にある文字を消去します。
キー
ステップ 11
Ctrl+D
カーソル位置にある文字を削除します。
ステップ 12
Ctrl+K
カーソル位置からコマンドラインの末尾までのすべての文字を
削除します。
ステップ 13
Ctrl+U または Ctrl+X
カーソル位置からコマンドラインの先頭までのすべての文字を
削除します。
ステップ 14
Ctrl+W
カーソルの左にある単語を削除します。
ステップ 15
Esc D
カーソルの位置から単語の末尾までを削除します。
ステップ 16
Esc C
カーソル位置の文字を大文字にします。
ステップ 17
Esc L
カーソルの場所にある単語を小文字にします。
ステップ 18
Esc U
カーソルの位置から単語の末尾までを大文字にします。
ステップ 19
Ctrl+V または Esc Q
特定のキーストロークを実行可能なコマンド（通常はショート
カット）として指定します。
ステップ 20
Return キー
1 行または 1 画面下へスクロールして、端末画面に収まりきらな
い表示内容を表示させます。
（注）
show コマンドの出力など、端末画面に一度に表示で
きない長い出力では、More プロンプトが使用されま
す。 More プロンプトが表示された場合は、Return キー
および Space キーを使用してスクロールできます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
12
OL-28526-01-J
コマンドラインインターフェイスの使用
編集機能のイネーブル化およびディセーブル化
コマンドまたはアクション目的
ステップ 21
Space バー
1 画面分下にスクロールします。
ステップ 22
Ctrl+L または Ctrl+R
コントローラから画面に突然メッセージが出力された場合に、
現在のコマンドラインを再表示します。
画面幅よりも長いコマンドラインの編集
画面上で 1 行分を超える長いコマンドラインについては、コマンドのラップアラウンド機能を使
用できます。カーソルが右マージンに達すると、そのコマンドラインは 10 文字分だけ左へシフ
トされます。コマンドラインの先頭から 10 文字までは見えなくなりますが、左へスクロールし
て、コマンドの先頭部分の構文をチェックできます。これらのキー操作は任意です。
コマンドの先頭にスクロールして入力内容をチェックするには、Ctrl+B キーまたは←キーを繰り
返し押します。コマンドラインの先頭に直接移動するには、Ctrl+A を押します。
（注）
矢印キーが使用できるのは、VT100 などの ANSI 互換端末に限られます。
次に、画面上の 1 行を超えるコマンドラインを折り返す例を示します。
手順の概要
1. access-list
2. Ctrl+A
3. Return キー
手順の詳細
ステップ 1
コマンドまたはアクション
目的
access-list
1 行を超えるグローバルコンフィギュレーションコマンド入
力を表示します。
例：
Controller(config)# access-list 101
permit tcp 10.15.22.25 255.255.255.0
10.15.22.35
Controller(config)# $ 101 permit tcp
10.15.22.25 255.255.255.0 10.15.22.35
255.25
Controller(config)# $t tcp 10.15.22.25
255.255.255.0 131.108.1.20
255.255.255.0 eq
Controller(config)# $15.22.25
255.255.255.0 10.15.22.35 255.255.255.0
最初にカーソルが行末に達すると、その行は 10 文字分だけ左
へシフトされ、再表示されます。ドル記号（$）は、その行が
左へスクロールされたことを表します。カーソルが行末に達
するたびに、その行は再び 10 文字分だけ左へシフトされま
す。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
13
コマンドラインインターフェイスの使用
show および more コマンド出力の検索およびフィルタリング
コマンドまたはアクション
目的
eq 45
ステップ 2
Ctrl+A
構文の詳細を確認します。
例：
行末に表示されるドル記号（$）は、その行が右へスクロール
されたことを表します。
Controller(config)# access-list 101
permit tcp 10.15.22.25 255.255.255.0
10.15.2$
ステップ 3
Return キー
コマンドを実行します。
ソフトウェアでは、端末画面は 80 カラム幅であると想定され
ています。幅が異なる場合は、terminal width 特権 EXEC コ
マンドを使用して端末の幅を設定します。
ラップアラウンド機能とコマンド履歴機能を併用すると、前
に入力した複雑なコマンドエントリを呼び出して変更できま
す。
show および more コマンド出力の検索およびフィルタリング
show および more コマンドの出力を検索およびフィルタリングできます。この機能は、大量の出
力をソートする場合や、出力から不要な情報を除外する場合に役立ちます。これらのコマンドの
使用は任意です。
手順の概要
1. {show | more} command | {begin | include | exclude} regular-expression
手順の詳細
ステップ 1
コマンドまたはアクション
目的
{show | more} command | {begin | include | exclude}
regular-expression
出力の検索とフィルタリングを行います。
例：
Controller# show interfaces | include protocol
Vlan1 is up, line protocol is up
Vlan10 is up, line protocol is down
GigabitEthernet1/0/1 is up, line protocol is down
GigabitEthernet1/0/2 is up, line protocol is up
文字列では、大文字と小文字が区別されます。た
とえば、| exclude output と入力した場合、output
を含む行は表示されませんが、Output を含む行は
表示されます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
14
OL-28526-01-J
コマンドラインインターフェイスの使用
CLI へのアクセス
CLI へのアクセス
CLI にはコンソール接続、Telnet、またはブラウザを使用することによってアクセスできます。
コンソール接続または Telnet による CLI アクセス
CLI にアクセスするには、コントローラのハードウェアインストレーションガイドに記載されて
いる手順で、コントローラのコンソールポートに端末または PC を接続するか、または PC をイー
サネット管理ポートに接続して、コントローラの電源をオンにする必要があります。
コントローラがすでに設定されている場合は、ローカルコンソール接続またはリモート Telnet
セッションによって CLI にアクセスできますが、このタイプのアクセスに対応できるように、先
にコントローラを設定しておく必要があります。
次のいずれかの方法で、コントローラとの接続を確立できます。
• コントローラコンソールポートに管理ステーションまたはダイアルアップモデムを接続す
るか、またはイーサネット管理ポートに PC を接続します。コンソールポートまたはイーサ
ネット管理ポートへの接続については、コントローラのハードウェアインストレーション
ガイドを参照してください。
• リモート管理ステーションから任意の Telnet TCP/IP または暗号化セキュアシェル（SSH）
パッケージを使用します。コントローラは Telnet または SSH クライアントとのネットワー
ク接続が可能でなければなりません。また、コントローラにイネーブルシークレットパス
ワードを設定しておくことも必要です。
• コントローラは同時に最大 16 の Telnet セッションをサポートします。 1 人の Telnet ユー
ザによって行われた変更は、他のすべての Telnet セッションに反映されます。
• コントローラは最大 5 つの安全な SSH セッションを同時にサポートします。
コンソールポート、イーサネット管理ポート、Telnet セッション、または SSH セッションを
通じて接続すると、管理ステーション上にユーザ EXEC プロンプトが表示されます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
15
コマンドラインインターフェイスの使用
CLI へのアクセス
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
16
OL-28526-01-J
セキュリティコマンド
• aaa accounting dot1x, 20 ページ
• aaa accounting identity, 22 ページ
• aaa authentication dot1x, 24 ページ
• aaa authorization, 26 ページ
• access-session mac-move deny, 31 ページ
• authentication host-mode, 33 ページ
• authentication mac-move permit, 35 ページ
• authentication priority, 37 ページ
• authentication violation, 40 ページ
• cisp enable, 42 ページ
• clear errdisable interface vlan, 44 ページ
• clear mac address-table, 46 ページ
• deny（MAC アクセスリストコンフィギュレーション）, 48 ページ
• device-role（IPv6 スヌーピング）, 52 ページ
• device-role（IPv6 nd インスペクション）, 53 ページ
• dot1x critical（グローバルコンフィギュレーション）, 55 ページ
• dot1x max-start, 56 ページ
• dot1x pae, 57 ページ
• dot1x supplicant controlled transient, 59 ページ
• dot1x supplicant force-multicast, 61 ページ
• dot1x test eapol-capable, 63 ページ
• dot1x test timeout, 65 ページ
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
17
セキュリティコマンド
• dot1x timeout, 67 ページ
• epm access-control open, 70 ページ
• ip admission, 72 ページ
• ip admission name, 73 ページ
• ip device tracking maximum, 76 ページ
• ip device tracking probe, 77 ページ
• ip dhcp snooping database, 79 ページ
• ip dhcp snooping information option format remote-id, 81 ページ
• ip dhcp snooping verify no-relay-agent-address, 83 ページ
• ip source binding, 84 ページ
• ip verify source, 86 ページ
• ipv6 snooping policy, 88 ページ
• limit address-count, 90 ページ
• mab request format attribute 32, 92 ページ
• no authentication logging verbose, 94 ページ
• no dot1x logging verbose, 96 ページ
• no mab logging verbose, 98 ページ
• permit（MAC アクセスリストコンフィギュレーション）, 100 ページ
• protocol（IPv6 スヌーピング）, 104 ページ
• security level（IPv6 スヌーピング）, 106 ページ
• security passthru, 107 ページ
• show aaa acct-stop-cache, 108 ページ
• show aaa clients, 109 ページ
• show aaa command handler, 110 ページ
• show aaa local, 111 ページ
• show aaa servers, 113 ページ
• show aaa sessions, 115 ページ
• show authentication history, 116 ページ
• show authentication sessions, 117 ページ
• show cisp, 120 ページ
• show dot1x, 122 ページ
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
18
OL-28526-01-J
セキュリティコマンド
• show eap pac peer, 124 ページ
• show ip dhcp snooping statistics, 125 ページ
• show radius server-group, 128 ページ
• switchport port-security aging static, 130 ページ
• tracking（IPv6 スヌーピング）, 131 ページ
• trusted-port, 133 ページ
• wireless dot11-padding, 135 ページ
• wireless security dot1x, 136 ページ
• wireless security lsc, 139 ページ
• wireless security strong-password, 141 ページ
• wireless wps ap-authentication, 142 ページ
• wireless wps auto-immune, 143 ページ
• wireless wps cids-sensor, 144 ページ
• wireless wps client-exclusion, 145 ページ
• wireless wps mfp infrastructure, 147 ページ
• wireless wps rogue, 148 ページ
• wireless wps shun-list re-sync, 150 ページ
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
19
セキュリティコマンド
aaa accounting dot1x
aaa accounting dot1x
認証、許可、アカウンティング（AAA）アカウンティングをイネーブルにして、IEEE 802.1x セッ
ションの特定のアカウンティング方式を、回線単位またはインターフェイス単位で定義する方式
リストを作成するには、aaa accounting dot1x グローバルコンフィギュレーションコマンドを使
用します。 IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を
使用します。
aaa accounting dot1x {name | default } start-stop {broadcast group {name | radius | tacacs+} [group
{name | radius | tacacs+} ... ] | group {name | radius | tacacs+} [group {name | radius | tacacs+}... ]}
no aaa accounting dot1x {name | default }
___________________
構文の説明
name
サーバグループ名。これは、broadcast group および group キーワードの後に入
力する場合に使用するオプションです。
default
デフォルトリストにあるアカウンティング方式を、アカウンティングサービス
用に指定します。
start-stop
プロセスの開始時に start アカウンティング通知を送信し、プロセスの終了時に
stop アカウンティング通知を送信します。 start アカウンティングレコードはバッ
クグラウンドで送信されます。アカウンティングサーバが start アカウンティン
グ通知を受け取ったかどうかには関係なく、要求されたユーザプロセスが開始
されます。
broadcast
複数の AAA サーバに送信されるアカウンティングレコードをイネーブルにし
て、アカウンティングレコードを各グループの最初のサーバに送信します。最
初のサーバが利用できない場合、スイッチはバックアップサーバのリストを使
用して最初のサーバを識別します。
group
アカウンティングサービスに使用するサーバグループを指定します。有効な
サーバグループ名は次のとおりです。
• name：サーバグループ名。
• radius：全 RADIUS ホストのリスト。
• tacacs+：全 TACACS+ ホストのリスト。
broadcast group および group キーワードの後に入力する場合、group キーワー
ドはオプションです。オプションの group キーワードより多くのキーワードを
入力できます。
radius
（任意）RADIUS アカウンティングをイネーブルにします。
tacacs+
（任意）TACACS+ アカウンティングをイネーブルにします。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
20
OL-28526-01-J
セキュリティコマンド
aaa accounting dot1x
___________________
コマンドデフォルト
AAA アカウンティングはディセーブルです。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインこのコマンドは、RADIUS サーバへのアクセスが必要です。
インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、dot1x reauthentication
インターフェイスコンフィギュレーションコマンドを入力することを推奨します。
___________________
例
次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。
Controller(config)# aaa new-model
Controller(config)# aaa accounting dot1x default start-stop group radius
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
21
セキュリティコマンド
aaa accounting identity
aaa accounting identity
IEEE 802.1x、MAC 認証バイパス（MAB）、および Web 認証セッションの認証、許可、アカウン
ティング（AAA）アカウンティングをイネーブルにするには、aaa accounting identity グローバル
コンフィギュレーションコマンドを使用します。 IEEE 802.1x アカウンティングをディセーブル
にするには、このコマンドの no 形式を使用します。
aaa accounting identity {name | default } start-stop {broadcast group {name | radius | tacacs+} [group
{name | radius | tacacs+} ... ] | group {name | radius | tacacs+} [group {name | radius | tacacs+}... ]}
no aaa accounting identity {name | default }
___________________
構文の説明
name
サーバグループ名。これは、broadcast group および group キーワードの後に入
力する場合に使用するオプションです。
default
デフォルトリストにあるアカウンティング方式を、アカウンティングサービス
用に使用します。
start-stop
プロセスの開始時に start アカウンティング通知を送信し、プロセスの終了時に
stop アカウンティング通知を送信します。 start アカウンティングレコードは
バックグラウンドで送信されます。アカウンティングサーバが start アカウン
ティング通知を受け取ったかどうかには関係なく、要求されたユーザプロセス
が開始されます。
broadcast
複数の AAA サーバに送信されるアカウンティングレコードをイネーブルにし
て、アカウンティングレコードを各グループの最初のサーバに送信します。最
初のサーバが利用できない場合、スイッチはバックアップサーバのリストを使
用して最初のサーバを識別します。
group
アカウンティングサービスに使用するサーバグループを指定します。有効な
サーバグループ名は次のとおりです。
• name：サーバグループ名。
• radius：全 RADIUS ホストのリスト。
• tacacs+：全 TACACS+ ホストのリスト。
broadcast group および group キーワードの後に入力する場合、group キーワー
ドはオプションです。オプションの group キーワードより多くのキーワードを
入力できます。
radius
___________________
コマンドモード
デフォルト
（任意）RADIUS 認証をイネーブルにします。
tacacs+
（任意）TACACS+ アカウンティングをイネーブルにします。
グローバル
AAA
アカウンティングはディセーブルです。
コンフィギュレーション
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
22
OL-28526-01-J
セキュリティコマンド
aaa accounting identity
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン AAA アカウンティング識別をイネーブルにするには、ポリシーモードをイネーブルにする必要が
あります。ポリシーモードをイネーブルにするには、特権 EXEC モードで authentication display
new-style コマンドを入力します。
___________________
例
次の例では、IEEE 802.1x アカウンティング識別を設定する方法を示します。
Controller# authentication display new-style
Please note that while you can revert to legacy style
configuration at any time unless you have explicitly
entered new-style configuration, the following caveats
should be carefully read and understood.
(1) If you save the config in this mode, it will be written
to NVRAM in NEW-style config, and if you subsequently
reload the router without reverting to legacy config and
saving that, you will no longer be able to revert.
(2) In this and legacy mode, Webauth is not IPv6-capable. It
will only become IPv6-capable once you have entered newstyle config manually, or have reloaded with config saved
in 'authentication display new' mode.
Controller# configure terminal
Controller(config)# aaa accounting identity default start-stop group radius
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
23
セキュリティコマンド
aaa authentication dot1x
aaa authentication dot1x
認証、許可、アカウンティング（AAA）方式を指定して IEEE 802.1x 認証に準拠するポートで使
用するには、スイッチスタックまたはスタンドアロンスイッチで aaa authentication dot1x グロー
バルコンフィギュレーションコマンドを使用します。認証をディセーブルにするには、このコ
マンドの no 形式を使用します。
aaa authentication dot1x {default} method1
no aaa authentication dot1x {default} method1
___________________
構文の説明
default
ユーザがログインするときのデフォルトの方式。この引数に続くリストされた
認証方式を使用します。
method1
サーバ認証を指定します。認証用にすべての RADIUS サーバのリストを使用す
るには、group radius キーワードを入力します。
（注）
他のキーワードがコマンドラインのヘルプストリングに表示されま
すが、サポートされているのは default および group radius キーワー
ドだけです。
___________________
コマンドデフォルト
認証は実行されません。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために一定の順
序で試みる方式を指定します。 IEEE 802.1x に準拠している唯一の方式は、クライアントデータ
が RADIUS 認証サーバに対して確認される group radius 方式です。
group radius を指定した場合、radius-server host グローバルコンフィギュレーションコマンドを
使用して RADIUS サーバを設定する必要があります。
設定された認証方式のリストを表示するには、show running-config 特権 EXEC コマンドを使用し
ます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
24
OL-28526-01-J
セキュリティコマンド
aaa authentication dot1x
___________________
例
次の例では AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。
この認証は、最初に RADIUS サーバとの交信を試みます。この動作でエラーが返信された場合、
ユーザはネットワークへのアクセスが許可されません。
Controller(config)# aaa new-model
Controller(config)# aaa authentication dot1x default group radius
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
25
セキュリティコマンド
aaa authorization
aaa authorization
ネットワークへのユーザアクセスを制限するパラメータを設定するには、グローバルコンフィ
ギュレーションモードで aaa authorization コマンドを使用します。パラメータを削除するには、
このコマンドの no 形式を使用します。
aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console |
credential-download | exec | multicast | network | onep | policy-if | prepaid | radius-proxy | reverse-access
| subscriber-service | template} {default | list_name } [method1 [ method2 ...]]
aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console |
credential-download | exec | multicast | network | reverse-access |template} {default | list_name } [method1
[ method2 ...]]
no aaa authorization { auth-proxy | cache | commands level | config-commands | configuration | console
| credential-download | exec | multicast | network | reverse-access |template} {default | list_name }
[method1 [ method2 ...]]
___________________
構文の説明
auth-proxy
認証プロキシサービスの認証を実行します。
cache
認証、許可、およびアカウンティング（AAA）サーバを設定します。
commands
指定した特権レベルですべてのコマンドの許可を実行します。
level
承認が必要な特定のコマンドレベル。有効な値は 0 ～ 15 です。
config-commands
許可を実行して、コンフィギュレーションモードで入力したコマンド
が許可されるかどうかを判別します。
configuration
AAA サーバから設定をダウンロードします。
console
AAA サーバのコンソール許可をイネーブルにします。
credential-download
Local/RADIUS/LDAP から EAP クレデンシャルをダウンロードします。
exec
AAA サーバのコンソール許可をイネーブルにします。
multicast
AAA サーバからマルチキャスト設定をダウンロードします。
network
シリアルラインインターネットプロトコル（SLIP）、PPP（ポイント
ツーポイントプロトコル）、PPP ネットワークコントロールプログラ
ム（NCP）、AppleTalk Remote Access（ARA）など、すべてのネット
ワーク関連サービス要求について許可を実行します。
onep
ONEP サービスの許可を実行します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
26
OL-28526-01-J
セキュリティコマンド
aaa authorization
policy-if
直径ポリシーインターフェイスアプリケーションの許可を実行しま
す。
prepaid
直径プリペイドサービスの許可を実行します。
radius-proxy
プロキシサービスの許可を実行します。
reverse-access
リバース Telnet などのリバースアクセス接続の許可を実行します。
subscriber-service
バーチャルプライベートダイヤルアップネットワーク（VPDN）など
の iEdge 加入者サービスの許可を実行します。
template
AAA サーバのテンプレート許可をイネーブルにします。
default
このキーワードに続く許可方式のリストを許可のデフォルト方式リス
トとして使用します。
list_name
許可方式リストの名前の指定に使用する文字列。
method1 [method2...]
（任意）許可に使用する許可方式（複数可）。方式は、次の表に示す
キーワードのいずれかです。
___________________
コマンドデフォルト
すべてのアクションに対する許可がディセーブルになります（none method キーワードと同等）。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン aaa authorization コマンドを使用して許可をイネーブルにし、ユーザが特定の機能にアクセスし
た際に使用できる許可方式を定義する名前付きの方式リストを作成します。許可方式リストに
よって、許可の実行方法とこれらの方式の実行順序が定義されます。方式リストは、シーケンス
で使用する必要がある許可方式（RADIUS、TACACS+ など）を記述する名前付きリストです。
方式リストを使用すると、許可に使用するセキュリティプロトコルを 1 つ以上指定できるため、
最初の方式が失敗した場合のバックアップシステムを確保できます。 Cisco IOS ソフトウェアで
は、特定のネットワークサービスについてユーザを許可するために最初の方式が使用されます。
その方式が応答しない場合、方式リストの次の方式が選択されます。このプロセスは、リスト内
の許可方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
27
セキュリティコマンド
aaa authorization
（注）
Cisco IOS ソフトウェアでは、前の方式からの応答がない場合にのみ、リストの次の許可方式
が試行されます。このサイクルの任意の時点で許可が失敗した場合（つまり、セキュリティ
サーバまたはローカルユーザ名データベースからユーザサービスの拒否応答が返される場
合）、許可プロセスは停止し、その他の許可方式は試行されません。
特定の許可の種類の aaa authorization コマンドを、名前付き方式リストを指定しないで発行した
場合、名前付き方式リストが明示的に定義されているものを除いて、すべてのインターフェイス
または回線（この許可の種類が適用される）にデフォルトの方式リストが自動的に適用されます
（定義された方式リストによって、デフォルトの方式リストが上書きされます）。デフォルトの
方式リストが定義されていない場合は許可が実行されません。デフォルトの許可方式リストを使
用して、RADIUS サーバからの IP プールのダウンロードの許可などの発信認証を実行する必要が
あります。
aaa authorization コマンドを使用して、list-name 引数および method 引数の値を入力することによっ
てリストを作成します。ここで list-name は、このリスト（すべての方式名を除く）に名前を付け
るために使用される文字列であり、method は指定したシーケンスで試行される許可方法のリスト
を識別します。
（注）
次の表に、以前定義済みの RADIUS サーバまたは TACACS+ サーバのセットを参照する
groupgroup-name 方式、group ldap 方式、group radius 方式、および group tacacs+ 方式を示し
ます。ホストサーバを設定するには、radius-server host コマンドおよび tacacs-server host コ
マンドを使用します。サーバの名前付きグループを作成するには、aaa group server radius コ
マンド、aaa group server ldap コマンド、および aaa group server tacacs+ コマンドを使用しま
す。
この表では、方式キーワードについて説明します。
表 3： aaa authorization 方式
キーワード
説明
cache group-name
キャッシュサーバグループを許可に使用しま
す。
group group-name
server group group-name コマンドで定義される
RADIUS または TACACS+ サーバのサブセット
をアカウンティングに使用します。
group ldap
認証にすべての Lightweight Directory Access
Protocol（LDAP）サーバのリストを使用しま
す。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
28
OL-28526-01-J
セキュリティコマンド
aaa authorization
キーワード
説明
group radius
aaa group server radius コマンドで定義される
すべての RADIUS サーバのリストを認証に使用
します。
grouptacacs+
aaa group server tacacs+ コマンドで定義される
すべての TACACS+ サーバのリストを認証に使
用します。
if-authenticated
ユーザが認証された場合は、ユーザが要求した
機能にアクセスすることを許可します。
（注）
if-authenticated 方式は、終了方式で
す。したがって、方式としてリスト
されている場合、それ以降にリスト
された方式は評価されません。
local
ローカルデータベースを許可に使用します。
none
許可が実行されないことを示します。
Cisco IOS ソフトウェアは許可について次の方式をサポートします。
• Cache Server Groups：ルータは、キャッシュサーバグループに問い合わせて、ユーザの特定
の権限を許可します。
• If-Authenticated：ユーザが認証に成功した場合、ユーザは要求した機能にアクセスできます。
• Local：ルータまたはアクセスサーバは、username コマンドの定義に従って、ローカルデー
タベースに問い合わせて、ユーザに固有の権限を許可します。ローカルデータベースでは
制御できるのは、一部の機能だけです。
• None：ネットワークアクセスサーバは、許可情報を要求しません。この回線やインターフェ
イスで許可は行われません。
• RADIUS：ネットワークアクセスサーバは RADIUS セキュリティサーバグループからの許
可情報を要求します。 RADIUS 許可では、属性を関連付けることでユーザに固有の権限を定
義します。属性は適切なユーザとともに RADIUS サーバ上のデータベースに保存されます。
• TACACS+：ネットワークアクセスサーバは、TACACS+ セキュリティデーモンと許可情報
を交換します。 TACACS+ 許可は、属性値（AV）ペアを関連付けることでユーザに特定の権
限を定義します。属性ペアは適切なユーザとともに TACACS+ セキュリティサーバのデータ
ベースに保存されます。
方式リストは、要求されている許可のタイプによって異なります。 AAA は 5 種類の許可タイプを
サポートしています。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
29
セキュリティコマンド
aaa authorization
• Commands：ユーザが発行する EXEC モードコマンドに適用します。コマンドの許可は、特
定の特権レベルに関連付けられた、グローバルコンフィギュレーションコマンドなどのす
べての EXEC モードコマンドについて、許可を試行します。
• EXEC：ユーザ EXEC ターミナルセッションに関連付けられた属性に適用します。
• Network：ネットワーク接続に適用します。ネットワーク接続には、PPP、SLIP、または ARA
接続を含めることができます。
（注）
aaa authorization config-commands コマンドを設定して、do コマンドによって
先頭に追加された EXEC コマンドを含む、グローバルコンフィギュレーショ
ンコマンドを許可する必要があります。
• Reverse Access：リバース Telnet セッションに適用されます。
• Configuration：AAA サーバからダウンロードされる設定に適用されます。
名前付き方式リストを作成すると、指定した許可タイプに対して特定の許可方式リストが定義さ
れます。
定義されると、方式リストを特定の回線またはインターフェイスに適用してから、定義済み方式
のいずれかを実行する必要があります。
authorization コマンドにより、許可プロセスの一環として、一連の AV のペアを含む要求パケット
が RADIUS または TACACS デーモンに送信されます。デーモンは、次のいずれかのアクション
を実行できます。
• 要求をそのまま受け入れます。
• 要求を変更します。
• 要求と許可を拒否します。
サポートされる RADIUS 属性のリストについては、RADIUS 属性のモジュールを参照してくださ
い。サポートされる TACACS+ AV のペアのリストについては、TACACS+ 属性値のペアのモ
ジュールを参照してください。
（注）
___________________
例
次の 5 つのコマンドが特権レベル 0 に関連付けられています。disable、enable、exit、help、お
よび logout。特権レベルの AAA 許可を 0 よりも大きい値に設定した場合は、これらの 5 つコ
マンドが特権レベルのコマンドセットに含まれなくなります。
次に、PPP を使用してシリアル回線で RADIUS 許可が使用されるように指定する mygroup という
ネットワーク許可方式リストを定義する例を示します。 RADIUS サーバが応答に失敗すると、
ローカルネットワークの許可が実行されます。
Controller(config)#
aaa authorization network mygroup group radius local
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
30
OL-28526-01-J
セキュリティコマンド
access-session mac-move deny
access-session mac-move deny
コントローラで MAC 移動をディセーブルにするには、access-session mac-move deny グローバル
コンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの
no 形式を使用します。
access-session mac-move deny
no access-session mac-move deny
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドデフォルト
MAC 移動はイネーブルです。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインこのコマンドの no 形式は、コントローラ上の認証が有効になっているポート（MAC 認証バイパ
ス [MAB]、802.1x、または Web 認証）の間で、認証されたホストの移動をイネーブルにします。
たとえば、認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動し
た場合、認証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されま
す。
MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認
証されず、違反エラーが発生します。
___________________
例
次の例では、コントローラ上で MAC 移動をイネーブルにする方法を示します。
Controller(config)# no access-session mac-move deny
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
31
セキュリティコマンド
access-session mac-move deny
___________________
関連コマンド
コマンド
説明
authentication event
特定の認証イベントのアクションを設定します。
authentication fallback
IEEE 802.1x 認証をサポートしないクライアント用のフォール
バック方式として Web 認証を使用するようポートを設定しま
す。
authentication host-mode
ポートで認証マネージャモードを設定します。
authentication open
ポートでオープンアクセスをイネーブルまたはディセーブル
にします。
authentication order
ポートで使用する認証方式の順序を設定します。
authentication periodic
ポートで再認証をイネーブルまたはディセーブルにします。
authentication port-control
ポートの認証ステートの手動制御をイネーブルにします。
authentication priority
ポートプライオリティリストに認証方式を追加します。
authentication timer
802.1x 対応ポートのタイムアウトパラメータと再認証パラメー
タを設定します。
authentication violation
新しいデバイスがポートに接続するか、ポートにすでに最大数
のデバイスが接続しているときに、新しいデバイスがポートに
接続した場合に発生する違反モードを設定します。
show authentication
スイッチの認証マネージャイベントに関する情報を表示しま
す。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
32
OL-28526-01-J
セキュリティコマンド
authentication host-mode
authentication host-mode
ポートで認証マネージャモードを設定するには、authentication host-mode インターフェイスコン
フィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形
式を使用します。
authentication host-mode {multi-auth | multi-domain | multi-host | single-host}
no authentication host-mode
___________________
構文の説明
multi-auth
ポートで複数の認証モード（multi-authモード）をイネー
ブルにします。
multi-domain
ポートでマルチドメインモードをイネーブルにします。
multi-host
ポートでマルチホストモードをイネーブルにします。
single-host
ポートでシングルホストモードをイネーブルにします。
___________________
コマンドデフォルト
シングルホストモードがイネーブルにされています。
___________________
コマンドモード
インターフェイスコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン接続されているデータホストが 1 つだけの場合は、シングルホストモードを設定する必要があり
ます。シングルホストポートでの認証のために音声デバイスを接続しないでください。ポート
で音声 VLAN が設定されていないと、音声デバイスの許可が失敗します。
データホストが IP Phone 経由でポートに接続されている場合は、マルチドメインモードを設定す
る必要があります。音声デバイスを認証する必要がある場合は、マルチドメインモードを設定す
る必要があります。
ハブの背後にデバイスを配置し、それぞれを認証してポートアクセスのセキュリティを確保でき
るようにするには、マルチ認証モードに設定する必要があります。音声 VLAN が設定されている
場合は、このモードで認証できる音声デバイスは 1 つだけです。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
33
セキュリティコマンド
authentication host-mode
マルチホストモードでも、ハブ越しの複数ホストのためのポートアクセスが提供されますが、マ
ルチホストモードでは、最初のユーザが認証された後でデバイスに対して無制限のポートアクセ
スが与えられます。
___________________
例
次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。
Controller(config-if)# authentication host-mode multi-auth
次の例では、ポートのマルチドメインモードをイネーブルにする方法を示します。
Controller(config-if)# authentication host-mode multi-domain
次の例では、ポートのマルチホストモードをイネーブルにする方法を示します。
Controller(config-if)# authentication host-mode multi-host
次の例では、ポートのシングルホストモードをイネーブルにする方法を示します。
Controller(config-if)# authentication host-mode single-host
show authentication sessions interface interface details 特権 EXEC コマンドを入力することにより、
設定を確認できます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
34
OL-28526-01-J
セキュリティコマンド
authentication mac-move permit
authentication mac-move permit
コントローラ上で MAC 移動をイネーブルにするには、authentication mac-move permit グローバ
ルコンフィギュレーションコマンドを使用します。 MAC 移動をディセーブルにするには、この
コマンドの no 形式を使用します。
authentication mac-move permit
no authentication mac-move permit
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドデフォルト
MAC 移動はイネーブルです。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインこれはレガシーコマンドです。新しいコマンドは、access-session mac-move deny です。
このコマンドは、コントローラ上の認証が有効になっているポート（MAC 認証バイパス [MAB]、
802.1x、または Web 認証）の間で、認証されたホストの移動をイネーブルにします。たとえば、
認証されたホストとポートの間にデバイスがあり、そのホストが別のポートに移動した場合、認
証セッションは最初のポートから削除され、ホストは新しいポート上で再認証されます。
MAC 移動がディセーブルで、認証されたホストが別のポートに移動した場合、そのホストは再認
証されず、違反エラーが発生します。
MAC 移動は、ポートセキュリティ対応の 802.1x ポートではサポートされません。 MAC 移動が
スイッチ上でグローバルに設定され、ポートセキュリティ対応ホストが 802.1x 対応ポートに移動
した場合、違反エラーが発生します。
___________________
例
次の例では、コントローラ上で MAC 移動をイネーブルにする方法を示します。
Controller(config)# authentication mac-move permit
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
35
セキュリティコマンド
authentication mac-move permit
___________________
関連コマンド
コマンド
説明
access-session mac-move deny
コントローラで MAC 移動をディセーブルにします。
authentication event
特定の認証イベントのアクションを設定します。
authentication fallback
IEEE 802.1x 認証をサポートしないクライアント用の
フォールバック方式として Web 認証を使用するようポー
トを設定します。
authentication host-mode
ポートで認証マネージャモードを設定します。
authentication open
ポートでオープンアクセスをイネーブルまたはディセー
ブルにします。
authentication order
ポートで使用する認証方式の順序を設定します。
authentication periodic
ポートの再認証をイネーブルまたはディセーブルにしま
す。
authentication port-control
ポートの認証ステートの手動制御をイネーブルにしま
す。
authentication priority
ポートプライオリティリストに認証方式を追加します。
authentication timer
802.1x 対応ポートのタイムアウトパラメータと再認証パ
ラメータを設定します。
authentication violation
新しいデバイスがポートに接続するか、ポートにすでに
最大数のデバイスが接続しているときに、新しいデバイ
スがポートに接続した場合に発生する違反モードを設定
します。
show authentication
スイッチの認証マネージャイベントに関する情報を表示
します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
36
OL-28526-01-J
セキュリティコマンド
authentication priority
authentication priority
ポートプライオリティリストに認証方式を追加するには、インターフェイスコンフィギュレー
ションモードで authentication priority コマンドを使用します。デフォルトに戻るには、no 形式
のコマンドを使用します。
authentication priority [dot1x | mab] {webauth}
no authentication priority [dot1x | mab] {webauth}
___________________
構文の説明
dot1x
（任意）認証方式の順序に 802.1x を追加します。
mab
（任意）認証方式の順序に MAC 認証バイパス（MAB）を追加し
ます。
webauth
認証方式の順序に Web 認証を追加します。
___________________
コマンドデフォルト
デフォルトのプライオリティは、802.1x 認証、MAC 認証バイパス、Web 認証の順です。
___________________
コマンドモード
インターフェイスコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン順序付けでは、スイッチがポートに接続された新しいデバイスを認証しようとするときに試行す
る方式の順序を設定します。
ポートにフォールバック方式を複数設定するときは、Web 認証（webauth）を最後に設定してくだ
さい。
異なる認証方式にプライオリティを割り当てることにより、プライオリティの高い方式を、プラ
イオリティの低い進行中の認証方式に割り込ませることができます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
37
セキュリティコマンド
authentication priority
（注）
クライアントがすでに認証されている場合に、プライオリティの高い方式の割り込みが発生す
ると、再認証されることがあります。
認証方式のデフォルトのプライオリティは、実行リストの順序におけるその位置と同じで、802.1x
認証、MAC 認証バイパス（MAB）、Web 認証の順です。このデフォルトの順序を変更するには、
キーワード dot1x、mab、および webauth を使用します。
___________________
例
次の例では、802.1x を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示し
ます。
Controller(config-if)# authentication priority dotx webauth
次の例では、MAB を最初の認証方式、Web 認証を 2 番めの認証方式として設定する方法を示しま
す。
Controller(config-if)# authentication priority mab webauth
___________________
関連コマンド
コマンド
説明
authentication
control-direction
ポートモードを単一方向または双方向に設定します。
authentication event fail
認証マネージャが認識されないユーザクレデンシャルの結果とし
て得られた認証エラーを処理する方法を指定します。
authentication event
no-response action
認証マネージャが応答しないホストの結果として得られた認証エ
ラーを処理する方法を指定します。
authentication event server
alive action reinitialize
以前は到達不能の認証、許可、およびアカウンティングサーバが
使用可能になった場合に、許可された認証マネージャセッション
を再初期化します。
authentication event server
dead action authorize
認証、許可、およびアカウンティングサーバが到達不能になった
場合に、認証マネージャセッションを許可します。
authentication fallback
Web 認証のフォールバック方式をイネーブルにします。
authentication host-mode
ホストが制御されたポートへのアクセスを取得できるようにしま
す。
authentication open
ポートでオープンアクセスをイネーブルにします。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
38
OL-28526-01-J
セキュリティコマンド
authentication priority
コマンド
説明
authentication order
認証マネージャがポートでクライアントの認証を試みる順序を指
定します。
authentication periodic
ポートで自動的な再認証をイネーブルにします。
authentication port-control
制御されたポートの許可ステートを設定します。
authentication timer inactivity 非アクティブな認証マネージャセッションが終了される時間を設
定します。
authentication timer
reauthenticate
認証マネージャが許可されたポートの再認証を試行する期間を指
定します。
authentication timer restart
認証マネージャが無許可のポートの認証を試行する期間を指定し
ます。
authentication violation
ポートにセキュリティ違反が発生する場合に実行するアクション
を指定します。
mab
ポートの MAC 認証バイパスをイネーブルにします。
show authentication
registrations
認証マネージャに登録されている認証方式に関する情報を表示し
ます。
show authentication sessions
現在の認証マネージャセッションに関する情報を表示します。
show authentication sessions
interface
特定のインターフェイスの認証マネージャに関する情報を表示し
ます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
39
セキュリティコマンド
authentication violation
authentication violation
新しいデバイスがポートに接続するか、ポートに最大数のデバイスが接続した後で、新しいデバ
イスがポートに接続した場合に発生する違反モードを設定するには、authentication violation イン
ターフェイスコンフィギュレーションコマンドを使用します。
authentication violation{ protect|replace|restrict|shutdown }
no authentication violation{ protect|replace|restrict|shutdown }
___________________
構文の説明
protect
予期しない入力 MAC アドレスをドロップします。 syslog エ
ラーは生成されません。
replace
現在のセッションを削除し、新しいホストによる認証を開始
します。
restrict
違反エラーの発生時に Syslog エラーを生成します。
shutdown
エラーによって、予期しない MAC アドレスが発生するポー
トまたは仮想ポートがディセーブルになります。
___________________
コマンドデフォルト
authentication violation シャットダウンモードはイネーブルです。
___________________
コマンドモード
インターフェイスコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン authentication violation コマンドを使用して、ポートにセキュリティ違反が発生する場合に実行す
るアクションを指定します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
40
OL-28526-01-J
セキュリティコマンド
authentication violation
___________________
例
次の例では、新しいデバイスがポートに接続する場合に、errdisable になり、シャットダウンする
ように IEEE 802.1x 対応ポートを設定する方法を示します。
Controller(config-if)# authentication violation shutdown
次の例では、新しいデバイスがポートに接続する場合に、システムエラーメッセージを生成し
て、ポートを制限モードに変更するように 802.1x 対応ポートを設定する方法を示します。
Controller(config-if)# authentication violation restrict
次の例では、新しいデバイスがポートに接続するときに、そのデバイスを無視するように 802.1x
対応ポートを設定する方法を示します。
Controller(config-if)# authentication violation protect
次の例では、新しいデバイスがポートに接続するときに、現在のセッションを削除し、新しいデ
バイスによる認証を開始するように 802.1x 対応ポートを設定する方法を示します。
Controller(config-if)# authentication violation replace
show authentication 特権 EXEC コマンドを入力することにより、設定を確認できます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
41
セキュリティコマンド
cisp enable
cisp enable
スイッチで Client Information Signalling Protocol（CISP）をイネーブルにすることで、スイッチが
サプリカントスイッチに対するオーセンティケータとして動作するようにするには、cisp enable
グローバルコンフィギュレーションコマンドを使用します。
cisp enable
no cisp enable
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドデフォルト
デフォルト設定はありません。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインオーセンティケータとサプリカントスイッチの間のリンクはトランクです。両方のスイッチで
VTP をイネーブルにする場合は、VTP ドメイン名が同一であり、VTP モードがサーバである必要
があります。
VTP モードを設定する場合に MD5 チェックサムの不一致エラーを回避するには、次を確認しま
す。
• VLAN が異なる 2 台のスイッチに設定されていないこと。同じドメインに VTP サーバが 2 台
存在することがこの状態の原因になることがあります。
• 両方のスイッチで、設定のリビジョン番号が異なっていること。
___________________
例
次の例では、CISP をイネーブルにする方法を示します。
Controller(config)# cisp enable
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
42
OL-28526-01-J
セキュリティコマンド
cisp enable
___________________
関連コマンド
コマンド
説明
dot1x credentialsprofile
プロファイルをサプリカントスイッチに設定し
ます。
dot1x supplicant force-multicast
802.1x サプリカントがマルチキャストパケット
を送信するように強制します。
dot1x supplicant controlled transient
802.1x サプリカントによって制御されたアクセ
スを設定します。
show cisp
指定されたインターフェイスの CISP 情報を表示
します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
43
セキュリティコマンド
clear errdisable interface vlan
clear errdisable interface vlan
errdisable であった VLAN を再びイネーブルにするには、スイッチで clear errdisable interface 特権
EXEC コマンドを使用します。
clear errdisable interface interface-id vlan [vlan-list]
___________________
構文の説明
interface-id
インターフェイスを指定します。
vlan list
（任意）再びイネーブルにする VLAN のリストを指定します。
VLAN リストを指定しない場合は、すべての VLAN が再びイ
ネーブルになります。
___________________
コマンドデフォルト
デフォルトは定義されていません。
___________________
コマンドモード
特権 EXEC
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン shutdown および no shutdown のインターフェイスコンフィギュレーションコマンドを使用して
ポートを再びイネーブルにするか、clear errdisable interface コマンドを使用して VLAN の errdisable
をクリアできます。
___________________
例
次の例では、ギガビットイーサネットポート 4/0/2 で errdisable になっているすべての VLAN を
再びイネーブルにする方法を示します。
Controller# clear errdisable interface gigabitethernet4/0/2 vlan
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
44
OL-28526-01-J
セキュリティコマンド
clear errdisable interface vlan
___________________
関連コマンド
コマンド
説明
errdisable detect cause
特定の原因、またはすべての原因に対して
errdisable 検出をイネーブルにします。
errdisable recovery
回復メカニズム変数を設定します。
show errdisable detect
errdisable 検出ステータスを表示します。
show errdisable recovery
errdisable 回復タイマーの情報を表示します。
show interfaces status err-disabled
errdisable ステートになっているインターフェイ
スのリストのインターフェイスステータスを表
示します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
45
セキュリティコマンド
clear mac address-table
clear mac address-table
MAC アドレステーブルから特定のダイナミックアドレス、特定インターフェイスのすべてのダ
イナミックアドレス、スタックメンバのすべてのダイナミックアドレス、または特定の VLAN
のすべてのダイナミックアドレスを削除するには、特権 EXEC モードで clear mac address-table
コマンドを使用します。このコマンドはまた MAC アドレス通知グローバルカウンタもクリアし
ます。
clear mac address-table {dynamic [address mac-addr | interface interface-id | vlan vlan-id] | move update
| notification}
___________________
構文の説明
dynamic
すべてのダイナミック MAC アドレスを削除します。
address mac-addr
（任意）指定されたダイナミックMACアドレスを削除します。
interface interface-id
（任意）指定された物理ポートまたはポートチャネル上のすべ
てのダイナミック MAC アドレスを削除します。
vlan vlan-id
（任意）指定された VLAN のすべてのダイナミック MAC アド
レスを削除します。指定できる範囲は 1 ～ 4094 です。
move update
MAC アドレステーブルの移行更新カウンタをクリアします。
notification
履歴テーブルの通知をクリアし、カウンタをリセットします。
___________________
コマンドデフォルト
デフォルトは定義されていません。
___________________
コマンドモード
特権 EXEC
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン show mac address-table 特権 EXEC コマンドを入力することにより、情報が削除されたかどうかを
確認できます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
46
OL-28526-01-J
セキュリティコマンド
clear mac address-table
___________________
例
次の例では、ダイナミックアドレステーブルから特定の MAC アドレスを削除する方法を示しま
す。
Controller# clear mac address-table dynamic address 0008.0070.0007
___________________
関連コマンド
コマンド
説明
mac address-table notification
MAC アドレス通知機能をイネーブルにします。
mac address-table move update {receive スイッチ上の MAC アドレステーブル移行更新を設定し
| transmit}
ます。
show mac address-table
MAC アドレステーブルのスタティックエントリおよび
ダイナミックエントリを表示します。
show mac address-table move update
スイッチに MAC アドレステーブル移行更新情報を表示
します。
show mac address-table notification
interface キーワードが追加されると、すべてのインター
フェイスまたは指定されたインターフェイスに対する
MAC アドレス通知設定を表示します。
snmp trap mac-notification change
特定のインターフェイスで SNMP MAC アドレス通知ト
ラップをイネーブルにします。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
47
セキュリティコマンド
deny（MAC アクセスリストコンフィギュレーション）
deny（MAC アクセスリストコンフィギュレーション）
条件が一致した場合に非 IP トラフィックの転送を防止するには、スイッチスタックまたはスタン
ドアロンスイッチ上で deny MAC アクセスリストコンフィギュレーションコマンドを使用しま
す。名前付き MAC アクセスリストから拒否条件を削除するには、このコマンドの no 形式を使
用します。
deny {any | host src-MAC-addr | src-MAC-addr mask} {any | host dst-MAC-addr | dst-MAC-addr mask}
[type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042
| lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip
| xns-idp][cos cos]
no deny {any | host src-MAC-addr | src-MAC-addr mask} {any | host dst-MAC-addr | dst-MAC-addr mask}
[type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042
| lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip
| xns-idp][cos cos]
___________________
構文の説明
any
すべての送信元または宛先 MAC アドレスを拒否しま
す。
host src-MAC-addr | src-MAC-addr mask
ホスト MAC アドレスと任意のサブネットマスクを定
義します。パケットの送信元アドレスが定義されたア
ドレスに一致する場合、そのアドレスからの非 IP トラ
フィックは拒否されます。
host dst-MAC-addr | dst-MAC-addr mask
宛先 MAC アドレスと任意のサブネットマスクを定義
します。パケットの宛先アドレスが定義されたアドレ
スに一致する場合、そのアドレスへの非 IP トラフィッ
クは拒否されます。
type mask
（任意）パケットの Ethertype 番号と、Ethernet II また
は SNAP カプセル化を指定して、パケットのプロトコ
ルを識別します。
type には、0 ～ 65535 の 16 進数を指定できます。
mask は、一致をテストする前に Ethertype に適用され
る don’t care ビットのマスクです。
aarp
（任意）データリンクアドレスをネットワークアド
レスにマッピングする Ethertype AppleTalk Address
Resolution Protocol を指定します。
amber
（任意）EtherType DEC-Amber を指定します。
appletalk
（任意）EtherType AppleTalk/EtherTalk を指定します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
48
OL-28526-01-J
セキュリティコマンド
deny（MAC アクセスリストコンフィギュレーション）
dec-spanning
（任意）EtherType Digital Equipment Corporation（DEC）
スパニングツリーを指定します。
decnet-iv
（任意）EtherType DECnet Phase IV プロトコルを指定
します。
diagnostic
（任意）EtherType DEC-Diagnostic を指定します。
dsm
（任意）EtherType DEC-DSM を指定します。
etype-6000
（任意）EtherType 0x6000 を指定します。
etype-8042
（任意）EtherType 0x8042 を指定します。
lat
（任意）EtherType DEC-LAT を指定します。
lavc-sca
（任意）EtherType DEC-LAVC-SCA を指定します。
lsap lsap-number mask
（任意）パケットの LSAP 番号（0 ～ 65535）と 802.2
カプセル化を指定して、パケットのプロトコルを識別
します。
mask は、一致をテストする前に LSAP 番号に適用され
る don’t care ビットのマスクです。
mop-console
（任意）EtherType DEC-MOP Remote Console を指定し
ます。
mop-dump
（任意）EtherType DEC-MOP Dump を指定します。
msdos
（任意）EtherType DEC-MSDOS を指定します。
mumps
（任意）EtherType DEC-MUMPS を指定します。
netbios
（任意）EtherType DEC-Network Basic Input/Output
System（NETBIOS）を指定します。
vines-echo
（任意）Banyan Systems から EtherType Virtual Integrated
Network Service（VINES）Echo を指定します。
vines-ip
（任意）EtherType VINES IP を指定します。
xns-idp
（任意）10 進数、16 進数、または 8 進数の任意の
Ethertype である EtherType Xerox Network Systems
（XNS）プロトコルスイート（0 ～ 65535）を指定し
ます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
49
セキュリティコマンド
deny（MAC アクセスリストコンフィギュレーション）
cos cos
___________________
コマンドデフォルト
___________________
コマンドモード
___________________
コマンド履歴
（任意）プライオリティを設定するため、0 ～ 7 まで
のサービスクラス（CoS）値を指定します。 CoS に基
づくフィルタリングは、ハードウェアでだけ実行可能
です。 cos オプションが設定されているかどうかを確
認する警告メッセージが表示されます。
このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルトアク
ションは拒否です。
MAC アクセスリストコンフィギュレーション
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン MAC アクセスリストコンフィギュレーションモードを開始するには、mac access-list extended
グローバルコンフィギュレーションコマンドを使用します。
host キーワードを使用した場合、アドレスマスクは入力できません。host キーワードを使用しな
い場合は、アドレスマスクを入力する必要があります。
アクセスコントロールエントリ（ACE）がアクセスコントロールリストに追加された場合、リ
ストの最後には暗黙の deny-any-any 条件が存在します。つまり、一致がない場合にはパケットは
拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可しま
す。
IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、
type mask または lsap lsap mask キーワードを使用します。 Novell 用語と Cisco IOS 用語での IPX カ
プセル化タイプに対応するフィルタ条件を、次の表に一覧表示します。
表 4：IPX フィルタ基準
IPX カプセル化タイプ
フィルタ基準
Cisco IOS 名
Novel 名
arpa
Ethernet II
Ethertype 0x8137
snap
Ethernet-snap
Ethertype 0x8137
sap
Ethernet 802.2
LSAP 0xE0E0
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
50
OL-28526-01-J
セキュリティコマンド
deny（MAC アクセスリストコンフィギュレーション）
IPX カプセル化タイプ
___________________
例
フィルタ基準
Cisco IOS 名
Novel 名
novell-ether
Ethernet 802.3
LSAP 0xFFFF
次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒
否する名前付き MAC 拡張アクセスリストを定義する方法を示します。このリストに一致するト
ラフィックは拒否されます。
Controller(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.
次の例では、名前付き MAC 拡張アクセスリストから拒否条件を削除する方法を示します。
Controller(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.
次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。
Controller(config-ext-macl)# deny any any 0x4321 0
設定を確認するには、show access-lists 特権 EXEC コマンドを入力します。
___________________
関連コマンド
コマンド
説明
mac access-list extended
非 IP トラフィック用に MAC アドレスベースのアクセ
スリストを作成します。
permit
MAC アクセスリストコンフィギュレーションから許
可します。
条件が一致した場合に非 IP トラフィックが転送される
のを許可します。
show access-lists
スイッチに設定されたアクセスコントロールリストを
表示します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
51
セキュリティコマンド
device-role（IPv6 スヌーピング）
device-role（IPv6 スヌーピング）
ポートに接続されているデバイスのロールを指定するには、IPv6 スヌーピングコンフィギュレー
ションモードで device-role コマンドを使用します。
device-role {node | switch}
___________________
構文の説明
node
ノードに接続されているデバイスのロールを設定します。
switch
スイッチに接続されているデバイスのロールを設定します。
___________________
コマンドデフォルト
デバイスロールはノードです。
___________________
コマンドモード
IPv6 スヌーピング設定（config-ipv6-snooping）
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン device-role コマンドは、ポートに接続されているデバイスのロールを指定します。デフォルトで
はデバイスロールはノードです。
switch キーワードは、リモートデバイスがスイッチであり、ローカルスイッチがマルチスイッチ
モードで動作していることを示します。ポートから学習したバインディングエントリは、trunk_port
のプリファレンスレベルでマーク付けされます。ポートが trust-port に設定されている場合、バ
インディングエントリは trunk_trusted_port のプリファレンスレベルでマークされます。
___________________
例
次の例では、IPv6 スヌーピングポリシー名を policy1 として定義し、デバイスを IPv6 スヌーピン
グコンフィギュレーションモードにし、デバイスをノードとして設定する方法を示します。
Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# device-role node
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
52
OL-28526-01-J
セキュリティコマンド
device-role（IPv6 nd インスペクション）
device-role（IPv6 nd インスペクション）
ネイバー探索（ND）インスペクションポリシーコンフィギュレーションモードで device-role を
使用し、ポートに接続されているデバイスのロールを指定します。
device-role {host | monitor | router | switch}
___________________
構文の説明
host
ホストに接続されているデバイスのロールを設定します。
monitor
モニタに接続されているデバイスのロールを設定します。
router
ルータに接続されているデバイスのロールを設定します。
switch
スイッチに接続されているデバイスのロールを設定します。
___________________
コマンドデフォルト
デバイスロールはホストです。
___________________
コマンドモード
ND インスペクションポリシー設定（config-nd-inspection）
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン device-role コマンドは、ポートに接続されているデバイスのロールを指定します。デフォルトで
は、デバイスロールはホストであるため、すべてのインバウンドルータアドバタイズメントお
よびリダイレクトメッセージがブロックされます。 router キーワードを使用してデバイスロー
ルがイネーブルになっている場合、すべてのメッセージ（ルータ送信要求（RS）、ルータアドバ
タイズメント（RA）、またはリダイレクト）がこのポートで許可されます。
router または monitor キーワードが使用されている場合、制限されたブロードキャストがイネー
ブルかどうかに関係なく、マルチキャスト RS メッセージがポートでブリッジされます。ただし、
monitor キーワードでは、インバウンド RA またはリダイレクトメッセージが許可されません。
monitor キーワードを使用すると、これらのメッセージを必要とするデバイスがメッセージを受信
します。
switch キーワードは、リモートデバイスがスイッチであり、ローカルスイッチがマルチスイッチ
モードで動作していることを示します。ポートから学習したバインディングエントリは、trunk_port
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
53
セキュリティコマンド
device-role（IPv6 nd インスペクション）
のプリファレンスレベルでマーク付けされます。ポートが trust-port に設定されている場合、バ
インディングエントリは trunk_trusted_port のプリファレンスレベルでマークされます。
___________________
例
次の例では、ネイバー探索プロトコル（NDP）ポリシー名を policy1 として定義し、デバイスを
ND インスペクションポリシーコンフィギュレーションモードにし、デバイスをホストとして設
定します。
Controller(config)# ipv6 nd inspection policy policy1
Controller(config-nd-inspection)# device-role host
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
54
OL-28526-01-J
セキュリティコマンド
dot1x critical（グローバルコンフィギュレーション）
dot1x critical（グローバルコンフィギュレーション）
IEEE 802.1X クリティカル認証パラメータを設定するには、グローバルコンフィギュレーション
モードで dot1x critical コマンドを使用します。
dot1x critical eapol
___________________
構文の説明
eapol
スイッチがクリティカルポートを正常に認証すると、スイッチが EAPOL 成
功メッセージを送信するように指定します。
___________________
コマンドデフォルト
eapol はディセーブルです。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン
___________________
例
次の例では、スイッチがクリティカルポートを正常に認証すると、スイッチが EAPOL 成功メッ
セージを送信するように指定する方法を示します。
Controller(config)# dot1x critical eapol
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
55
セキュリティコマンド
dot1x max-start
dot1x max-start
一方の端が 802.1X を認識していないと判断する前に、サプリカントがクライアントに送信（応答
が受信されないことを想定）する Extensible Authentication Protocol over LAN（EAPOL）開始フレー
ムの最大数を設定するには、インターフェイスコンフィギュレーションモードで dot1x max-start
コマンドを使用します。最大回数の設定を削除するには、このコマンドの no 形式を使用します。
dot1x max-start number
no dot1x max-start
___________________
構文の説明
number
ルータが EAPOL 開始フレームを送信する最高回数。値は 1 ～ 10 です。
デフォルトは 3 です。
___________________
コマンドデフォルト
デフォルトの最大数の設定は 3 です。
___________________
コマンドモード
インターフェイスコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインこのコマンドを入力する前に、スイッチポートで switchport mode access インターフェイスコン
フィギュレーションコマンドを入力する必要があります。
___________________
例
次の例では、EAPOL 開始要求の最大数が 5 に設定されていることを示しています。
Controller(config)# interface g1/0/3
Controller(config-if)# dot1x max-start 5
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
56
OL-28526-01-J
セキュリティコマンド
dot1x pae
dot1x pae
Port Access Entity（PAE）タイプを設定するには、インターフェイスコンフィギュレーションモー
ドで dot1x pae コマンドを使用します。設定された PAE タイプをディセーブルにするには、この
コマンドの no 形式を使用します。
dot1x pae {supplicant | authenticator}
no dot1x pae {supplicant | authenticator}
___________________
構文の説明
supplicant
インターフェイスはサプリカントとしてだけ機能し、オーセンティケー
タ向けのメッセージに応答しません。
authenticator
インターフェイスはオーセンティケータとしてだけ機能し、サプリカン
ト向けのメッセージに応答しません。
___________________
コマンドデフォルト
PAE タイプは設定されません。
___________________
コマンドモード
インターフェイスコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン IEEE 802.1x 認証をポート上でディセーブルにする場合は、no dot1x pae インターフェイスコン
フィギュレーションコマンドを使用します。
dot1x port-control インターフェイスコンフィギュレーションコマンドを入力するなどしてポート
上で IEEE 802.1x 認証を設定した場合、スイッチは自動的にポートを IEEE 802.1x オーセンティ
ケータとして設定します。オーセンティケータの PAE 動作は、no dot1x pae インターフェイスコ
ンフィギュレーションコマンドを入力した後でディセーブルになります。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
57
セキュリティコマンド
dot1x pae
___________________
例
次の例は、インターフェイスがサプリカントとして機能するように設定されていることを示して
います。
Controller(config)# interface g1/0/3
Controller(config-if)# dot1x pae supplicant
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
58
OL-28526-01-J
セキュリティコマンド
dot1x supplicant controlled transient
dot1x supplicant controlled transient
認証中の 802.1x サプリカントのポートへのアクセスを制御するには、グローバルコンフィギュ
レーションモードで dot1x supplicant controlled transient コマンドを使用します。認証中にサプ
リカントのポートを開くには、このコマンドの no 形式を使用します。
dot1x supplicant controlled transient
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドデフォルト
認証中に 802.1x サプリカントのポートへのアクセスが許可されます。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインデフォルトでは、BPCU ガードがイネーブルにされたオーセンティケータスイッチにサプリカン
トのスイッチを接続する場合、オーセンティケータのポートはサプリカントスイッチが認証する
前にスパニングツリープロトコル（STP）のブリッジプロトコルデータユニット（BPDU）を受
信すると、errdisable 状態になる可能性があります。 Cisco IOS Release 15.0(1) SE 以降では、認証
中にサプリカントのポートから送信されるトラフィックを制御できます。 dot1x supplicant controlled
transient グローバルコンフィギュレーションコマンドを入力すると、認証が完了する前にオーセ
ンティケータポートがシャットダウンしないように、認証中にサプリカントポートを一時的にブ
ロックできます。認証に失敗すると、サプリカントのポートが開きます。 no dot1x supplicant
controlled transient グローバルコンフィギュレーションコマンドを入力すると、認証中にサプリ
カントのポートが開きます。これはデフォルトの動作です。
BPDU ガードが spanning-tree bpduguard enable インターフェイスコンフィギュレーションコマ
ンドによりオーセンティケータのスイッチポートでイネーブルになっている場合、サプリカント
スイッチで dot1x supplicant controlled transient コマンドを使用することを強く推奨します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
59
セキュリティコマンド
dot1x supplicant controlled transient
___________________
例
次に、認証の間にスイッチの 802.1x サプリカントのポートへのアクセスを制御する例を示しま
す。
Controller(config)# dot1x supplicant controlled transient
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
60
OL-28526-01-J
セキュリティコマンド
dot1x supplicant force-multicast
dot1x supplicant force-multicast
マルチキャストまたはユニキャスト EAPOL パケットを受信するたびに、サプリカントスイッチ
がマルチキャスト Extensible Authentication Protocol over LAN（EAPOL）パケットだけを送信する
ように強制するには、dot1x supplicant force-multicast グローバルコンフィギュレーションコマン
ドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x supplicant force-multicast
no dot1x supplicant force-multicast
___________________
構文の説明
___________________
コマンドデフォルト
___________________
コマンドモード
___________________
コマンド履歴
このコマンドには引数またはキーワードはありません。
サプリカントスイッチは、ユニキャスト EAPOL パケットを受信すると、ユニキャスト EAPOL パ
ケットを送信します。同様に、マルチキャスト EAPOL パケットを受信すると、EAPOL パケット
を送信します。
グローバルコンフィギュレーション
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン Network Edge Access Topology（NEAT）がすべてのホストモードで機能するようにするには、サ
プリカントスイッチ上でこのコマンドをイネーブルにします。
___________________
例
次の例では、サプリカントスイッチがオーセンティケータスイッチにマルチキャスト EAPOL パ
ケットを送信するように設定する方法を示します。
Controller(config)# dot1x supplicant force-multicast
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
61
セキュリティコマンド
dot1x supplicant force-multicast
___________________
関連コマンド
コマンド
説明
cisp enable
スイッチの Client Information Signalling Protocol
（CISP）をイネーブルにすることで、スイッチが
サプリカントスイッチに対するオーセンティケー
タとして動作するようにします。
dot1x credentials
ポートに 802.1x サプリカント資格情報を設定しま
す。
dot1x pae supplicant
インターフェイスがサプリカントとしてだけ機能
するように設定します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
62
OL-28526-01-J
セキュリティコマンド
dot1x test eapol-capable
dot1x test eapol-capable
すべてのスイッチポートで IEEE 802.1x アクティビティを監視し、IEEE 802.1x をサポートする
ポートに接続されたデバイスに関する情報を表示するには、スイッチスタックまたはスタンドア
ロンスイッチ上で dot1x test eapol-capable 特権 EXEC コマンドを使用します。
dot1x test eapol-capable [interface interface-id]
___________________
構文の説明
interface interface-id
（任意）クエリー対象のポートです。
___________________
コマンドデフォルト
デフォルト設定はありません。
___________________
コマンドモード
特権 EXEC
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインスイッチ上のすべてのポートまたは特定のポートに接続するデバイスの IEEE 802.1x 機能をテスト
するには、このコマンドを使用します。
このコマンドには、no 形式はありません。
___________________
例
次の例では、スイッチ上で IEEE 802.1x の準備チェックをイネーブルにして、ポートに対してクエ
リーを実行する方法を示します。また、ポートに接続しているデバイスを確認するためのクエ
リーの実行対象ポートから受信した応答が IEEE 802.1x 対応であることを示します。
Controller# dot1x test eapol-capable interface gigabitethernet1/0/13
DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL
capable
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
63
セキュリティコマンド
dot1x test eapol-capable
___________________
関連コマンド
コマンド
説明
dot1x test timeout timeout
IEEE 802.1x 準備クエリーに対する EAPOL 応
答を待機するために使用されるタイムアウト
を設定します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
64
OL-28526-01-J
セキュリティコマンド
dot1x test timeout
dot1x test timeout
IEEE 802.1x 準備に対してクエリーされているポートからの EAPOL 応答を待機するために使用さ
れるタイムアウトを設定するには、スイッチスタックまたはスタンドアロンスイッチ上で dot1x
test timeout グローバルコンフィギュレーションコマンドを使用します。
dot1x test timeout timeout
___________________
構文の説明
timeout
EAPOL 応答を待機する時間（秒）。指定できる範
囲は 1 ～ 65535 秒です。
___________________
コマンドデフォルト
デフォルト設定は 10 秒です。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン EAPOL 応答を待機するために使用されるタイムアウトを設定するには、このコマンドを使用しま
す。
このコマンドには、no 形式はありません。
___________________
例
次の例では、EAPOL 応答を 27 秒間待機するようにスイッチを設定する方法を示します。
Controller# dot1x test timeout 27
タイムアウト設定のステータスを確認するには、show run 特権 EXEC コマンドを入力します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
65
セキュリティコマンド
dot1x test timeout
___________________
関連コマンド
コマンド
説明
dot1x test eapol-capable [interface
interface-id]
すべての、または指定された IEEE 802.1x 対応ポートに
接続するデバイスで IEEE 802.1x の準備が整っているか
を確認します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
66
OL-28526-01-J
セキュリティコマンド
dot1x timeout
dot1x timeout
再試行タイムアウトの値を設定するには、グローバルコンフィギュレーションモードまたはイン
ターフェイスコンフィギュレーションモードで dot1x timeout コマンドを使用します。再試行タ
イムアウトをデフォルト値に戻すには、このコマンドの no 形式を使用します。
dot1x timeout {auth-period seconds | held-period seconds | quiet-period seconds | ratelimit-period seconds
| server-timeout seconds | start-period seconds | supp-timeout seconds | tx-period seconds}
___________________
構文の説明
auth-period seconds
サプリカントで保留ステートが維持される秒数（つまり、サ
プリカントが試行に失敗した場合に再度クレデンシャルを送
信するまでに待機する時間）を設定します。
有効な範囲は 1 ～ 65535 です。デフォルトは 30 です。
held-period seconds
サプリカントで保留ステートが維持される秒数（つまり、サ
プリカントが試行に失敗した場合に再度クレデンシャルを送
信するまでに待機する時間）を設定します。
有効な範囲は 1 ～ 65535 です。デフォルト値は 60 です。
quiet-period seconds
クライアントを再認証する前に、認証情報の交換に失敗した
後、オーセンティケータ（サーバ）が待機状態（保留ステー
ト）を続ける秒数を設定します。
有効な範囲は 1 ～ 65535 です。デフォルト値は 60 です。
ratelimit-period seconds
不正な動作を行うクライアント PC（たとえば、スイッチの
処理能力を無駄にする EAP-START パケットを送信する PC）
から送信される EAP-START パケットを抑制します。
• オーセンティケータはレート制限時間中、認証に成功
したクライアントからの EAPOL-Start パケットを無視
します。
• 有効な範囲は 1 ～ 65535 です。デフォルトでは、レー
ト制限はディセーブルになっています。
server-timeout seconds
連続して送信される 2 つの EAPOL-Start フレーム間の間隔
（秒単位）を設定します。
• 有効な範囲は 1 ～ 65535 です。デフォルトは 30 です。
サーバが指定された期間内に 802.1X パケットへの応答を送
信しない場合、パケットは再度送信されます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
67
セキュリティコマンド
dot1x timeout
start-period seconds
連続して送信される 2 つの EAPOL-Start フレーム間の間隔
（秒単位）を設定します。
有効な範囲は 1 ～ 65535 です。デフォルトは 30 です。
supp-timeout seconds
EAP 要求 ID 以外のすべての EAP メッセージに対して、オー
センティケータからサプリカントへの再送信時間を設定しま
す。
有効な範囲は 1 ～ 65535 です。デフォルトは 30 です。
tx-period seconds
クライアントへの EAP 要求 ID パケットの再送信の間隔（応
答が受信されないことを想定）の秒数を設定します。
• 有効な範囲は 1 ～ 65535 です。デフォルトは 30 です。
• 802.1X パケットがサプリカントに送信され、サプリカ
ントが再試行期間後に応答を送信しない場合、パケッ
トは再度送信されます。
___________________
コマンドデフォルト
定期的な再認証および定期的なレート制限が実行されます。
___________________
コマンドモード
インターフェイスコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインこのコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび
認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限っ
て変更してください。
dot1x reauthentication インターフェイスコンフィギュレーションコマンドを使用して定期的な再
認証をイネーブルにしただけの場合、dot1x timeout reauth-period インターフェイスコンフィギュ
レーションコマンドは、スイッチの動作に影響します。
待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。デフォルトより
も小さい数を入力することによって、ユーザへの応答時間を短縮できます。
ratelimit-period が 0（デフォルト）に設定された場合、スイッチは認証に成功したクライアント
からの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
68
OL-28526-01-J
セキュリティコマンド
dot1x timeout
___________________
例
次の例は、さまざまな 802.1X 再送信およびタイムアウト時間が設定されていることを示していま
す。
Controller(config)# configure terminal
Controller(config)# interface g1/0/3
Controller(config-if)# dot1x port-control auto
Controller(config-if)# dot1x timeout auth-period 2000
Controller(config-if)# dot1x timeout held-period 2400
Controller(config-if)# dot1x timeout quiet-period 600
Controller(config-if)# dot1x timeout start-period 90
Controller(config-if)# dot1x timeout supp-timeout 300
Controller(config-if)# dot1x timeout tx-period 60
Controller(config-if)# dot1x timeout server-timeout 60
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
69
セキュリティコマンド
epm access-control open
epm access-control open
アクセスコントロールリスト（ACL）が設定されていないポートにオープンディレクティブを
設定するには、グローバルコンフィギュレーションモードで epm access-control open コマンドを
使用します。オープンディレクティブをディセーブルにするには、このコマンドの no 形式を使
用します。
epm access-control open
no epm access-control open
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドデフォルト
デフォルトのディレクティブが適用されます。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインスタティック ACL が設定されたアクセスポートに、許可ポリシーのないホストを許可するオー
プンディレクティブを設定するには、このコマンドを使用します。このコマンドを設定しない場
合、ポートは設定された ACL のポリシーをトラフィックに適用します。ポートにスタティック
ACL が設定されていない場合、デフォルトおよびオープンの両方のディレクティブがポートへの
アクセスを許可します。
設定を確認するには、show running-config 特権 EXEC コマンドを入力します。
___________________
例
次の例では、オープンディレクティブを設定する方法を示します。
Controller(config)# epm access-control open
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
70
OL-28526-01-J
セキュリティコマンド
epm access-control open
___________________
関連コマンド
コマンド
説明
show running-config
現在実行されているコンフィギュレーションファ
イルの内容を表示します
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
71
セキュリティコマンド
ip admission
ip admission
Web 認証をイネーブルにするには、ip admission コンフィギュレーションコマンドを使用します。
このコマンドは、fallback-profile モードでも使用できます。 Web 認証をディセーブルにするには、
このコマンドの no 形式を使用します。
ip admission rule
no ip admission rule
___________________
構文の説明
rule
IP アドミッションルールの名前。
___________________
コマンドデフォルト
Web 認証はディセーブルです。
___________________
コマンドモード
インターフェイスコンフィギュレーション
fallback-profile モード
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン ip admission コマンドにより、スイッチポートに Web 認証ルールが適用されます。
___________________
例
次の例では、スイッチポートに Web 認証ルールを適用する方法を示します。
Controller# configure terminal
Controller(config)# interface gigabitethernet1/0/1
Controller(config-if)# ip admission rule1
次の例では、IEEE 802.1x 対応のスイッチポートで使用するフォールバックプロファイルに Web
認証ルールを適用する方法を示します。
Controller# configure terminal
Controller(config)# fallback profile profile1
Controller(config-fallback-profile)# ip admission rule1
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
72
OL-28526-01-J
セキュリティコマンド
ip admission name
ip admission name
Web 認証をイネーブルにするには、グローバルコンフィギュレーションモードで ipadmissionname
コマンドを使用します。 Web 認証をディセーブルにするには、このコマンドの no 形式を使用し
ます。
ip admission name name {consent | proxy http} [absolute timer minutes | inactivity-time minutes | list
{acl | acl-name} | service-policy type tag service-policy-name]
no ip admission name name {consent | proxy http} [absolute timer minutes | inactivity-time minutes | list
{acl | acl-name} | service-policy type tag service-policy-name]
___________________
構文の説明
name
ネットワークアドミッションコントロールルー
ルの名前。
consent
admission-name 引数を使用して指定された IP ア
ドミッションルールと認証プロキシの承諾 Web
ページを関連付けます。
proxy http
Web 認証カスタムページを設定します。
absolute-timer minutes
（任意）外部サーバがタイムアウトするまでの
経過時間（分単位）。
inactivity-time minutes
（任意）外部サーバが到達不能と見なされるま
での経過時間（分単位）。
list
（任意）名前付きルールとアクセスコントロー
ルリスト（ACL）を関連付けます。
acl
名前付きアドミッションコントロールルールに
標準の拡張リストを適用します。値の範囲は 1
～ 199 です。範囲が拡張されている場合は 1300
～ 2699 です。
acl-name
名前付きアクセスリストを名前付きアドミッショ
ンコントロールルールに適用します。
service-policy type tag
（任意）コントロールプレーンサービスポリ
シーを設定します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
73
セキュリティコマンド
ip admission name
service-policy-name
___________________
コマンドデフォルト
Web 認証はディセーブルです。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
policy-map type control tagpolicyname コマンド、
キーワード、および引数を使用して設定された
プレーンタグサービスポリシーを制御します。
タグを受信すると、このポリシーマップを使用
してホストにアクションが適用されます。
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン ip admission name コマンドにより、Web 認証がスイッチ上でグローバルにイネーブルになりま
す。
スイッチで Web 認証をグローバルにイネーブルにしてから、ip access-group in および ip admission
web-rule インターフェイスコンフィギュレーションコマンドを使用して、特定のインターフェイ
スで Web 認証をイネーブルにします。
___________________
例
次に、スイッチポートで Web 認証のみを設定する例を示します。
Controller# configure terminal
Controller(config) ip admission name http-rule proxy http
Controller(config)# interface gigabitethernet1/0/1
Controller(config-if)# ip access-group 101 in
Controller(config-if)# ip admission rule
Controller(config-if)# end
次の例では、スイッチポートでのフォールバックメカニズムとして、Web 認証とともに IEEE
802.1x 認証を設定する方法を示します。
Controller# configure terminal
Controller(config)# ip admission name rule2 proxy http
Controller(config)# fallback profile profile1
Controller(config)# ip access group 101 in
Controller(config)# ip admission name rule2
Controller(config)# interface gigabitethernet1/0/1
Controller(config-if)# dot1x port-control auto
Controller(config-if)# dot1x fallback profile1
Controller(config-if)# end
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
74
OL-28526-01-J
セキュリティコマンド
ip admission name
___________________
関連コマンド
コマンド
説明
dot1x fallback
IEEE 802.1x 認証をサポートし
ないクライアント用のフォール
バック方式として Web 認証を
使用するようポートを設定しま
す。
fallback profile
Web 認証のフォールバックプ
ロファイルを作成します。
ip admission
ポートで Web 認証をイネーブ
ルにします。
show authentication sessions interface interface detail
Web 認証セッションステータ
スに関する情報を表示します。
show ip admission
NAC のキャッシュされたエン
トリまたは NAC 設定について
の情報を表示します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
75
セキュリティコマンド
ip device tracking maximum
ip device tracking maximum
レイヤ 2 ポートで IP ポートセキュリティバインディングのトラッキングをイネーブルにするに
は、インターフェイスコンフィギュレーションモードで ip device tracking maximum コマンドを
使用します。信頼できないレイヤ 2 インターフェイスで IP ポートセキュリティをディセーブル
にするには、このコマンドの no 形式を使用します。
ip device tracking maximum number
no ip device tracking maximum number
___________________
構文の説明
number
ポートの IP デバイストラッキングテーブルに作成するバインディングの
数。範囲は 0 ～ 2048 です。
___________________
コマンドデフォルト
なし
___________________
コマンドモード
インターフェイスコンフィギュレーションモード
___________________
コマンド履歴
___________________
例
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
次の例では、レイヤ 2 アクセスポートで IP-MAC フィルタを使用して IP ポートセキュリティを
イネーブルにする方法を示します。
Controller# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)# ip device tracking
Controller(config)# interface gigabitethernet1/0/3
Controller(config-if)# switchport mode access
Controller(config-if)# switchport access vlan 1
Controller(config-if)# ip device tracking maximum 5
Controller(config-if)# switchport port-security
Controller(config-if)# switchport port-security maximum 5
Controller(config-if)# ip verify source tracking port-security
Controller(config-if)# end
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
76
OL-28526-01-J
セキュリティコマンド
ip device tracking probe
ip device tracking probe
アドレス解決プロトコル（ARP）プローブの IP デバイストラッキングテーブルを設定するには、
グローバルコンフィギュレーションモードで ip device tracking probe コマンドを使用します。
ARP プローブをディセーブルにするには、このコマンドの no 形式を使用します。
ip device tracking probe {count number| interval seconds| use-svi address}
no ip device tracking probe {count number| interval seconds| use-svi address}
___________________
構文の説明
___________________
コマンドデフォルト
count number
コントローラが ARP プローブを送信する回数を設定します。範囲は 1
～ 255 です。
intervalseconds
コントローラが、ARP プローブを再送信するまでに、応答を待機する秒
数を設定します。指定できる範囲は 30 ～ 1814400 秒です。
use-svi
コントローラ仮想インターフェイス（SVI）IP アドレスを ARP プローブ
のソースとして使用します。
カウント番号は 3 です。
30 秒間隔です。
ARP プローブのデフォルトソース IP アドレスはレイヤ 3 インターフェイスで、スイッチポート
では 0.0.0.0 です。
___________________
コマンドモード
___________________
コマンド履歴
グローバルコンフィギュレーション
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインスイッチポートのデフォルトソース IP アドレス 0.0.0.0 が使用され、ARP プローブがドロップす
る場合に、IP デバイストラッキングテーブルが SVI IP アドレスを ARP プローブに使用するよう
に設定するには、use-svi キーワードを使用します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
77
セキュリティコマンド
ip device tracking probe
___________________
例
次の例では、SVI を ARP プローブのソースとして設定する方法を示します。
Controller(config)# ip device tracking probe use-svi
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
78
OL-28526-01-J
セキュリティコマンド
ip dhcp snooping database
ip dhcp snooping database
Dynamic Host Configuration Protocol（DHCP）スヌーピングデータベースを設定するには、グロー
バルコンフィギュレーションモードで ip dhcp snooping database コマンドを使用します。 DHCP
スヌーピングデータベースをディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping database {crashinfo:url | flash:url | ftp:url | http:url | https:url | rcp:url | scp:url | tftp:url
| timeout seconds | usbflash0:url | write-delay seconds}
___________________
構文の説明
___________________
コマンドモード
デフォルト
crashinfo:url
crashinfo を使用して、エントリを格納するためのデータベースの URL を
指定します。
flash:url
フラッシュを使用して、エントリを格納するためのデータベースの URL
を指定します。
ftp:url
FTP を使用して、エントリを格納するためのデータベースの URL を指定
します。
http:url
HTTP を使用して、エントリを格納するためのデータベースの URL を指
定します。
https:url
セキュア HTTP（https）を使用して、エントリを格納するためのデータ
ベースの URL を指定します。
rcp:url
リモートコピー（rcp）を使用して、エントリを格納するためのデータ
ベースの URL を指定します。
scp:url
Secure Copy（SCP）を使用して、エントリを格納するためのデータベー
スの URL を指定します。
tftp:url
TFTP を使用して、エントリを格納するためのデータベースの URL を指
定します。
timeout seconds
中断タイムアウトインターバルを指定します。有効値は 0 ～ 86,400 秒で
す。
usbflash0:url
USB フラッシュを使用して、エントリを格納するためのデータベースの
URL を指定します。
write-delay: seconds
ローカル DHCP スヌーピングデータベースにデータが追加されてから、
DHCP スヌーピングエントリを外部サーバに書き込みするまでの時間を
指定します。有効値は 15 ～ 86,400 秒です。
DHCP スヌーピング
グローバル
コンフィギュレーション
データベースは設定されません。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
79
セキュリティコマンド
ip dhcp snooping database
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインこのコマンドを入力する前に、インターフェイス上で DHCP スヌーピングをイネーブルにする必
要があります。 DHCP スヌーピングをイネーブルにするには、ip dhcp snooping コマンドを使用し
ます。
___________________
例
次に、TFTP を使用してデータベースの URL を指定する例を示します。
Controller(config)#
ip dhcp snooping database tftp://10.90.90.90/snooping-rp2
次に、DHCP スヌーピングエントリを外部サーバに書き込むまでの時間を指定する例を示します。
Controller(config)#
ip dhcp snooping database write-delay 15
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
80
OL-28526-01-J
セキュリティコマンド
ip dhcp snooping information option format remote-id
ip dhcp snooping information option format remote-id
オプション 82 リモート ID サブオプションを設定するには、スイッチ上で ip dhcp snooping
information option format remote-id グローバルコンフィギュレーションコマンドを使用します。
デフォルトのリモート ID サブオプションを設定するには、このコマンドの no 形式を使用します。
ip dhcp snooping information option format remote-id {hostname | string string}
no ip dhcp snooping information option format remote-id {hostname | string string}
___________________
構文の説明
hostname
スイッチのホスト名をリモート ID として指定します。
string string
1 ～ 63 の ASCII 文字（スペースなし）を使用して、リモート ID を
指定します。
___________________
コマンドデフォルト
スイッチの MAC アドレスは、リモート ID です。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン DHCP スヌーピング設定を有効にするには、ip dhcp snooping グローバルコンフィギュレーション
コマンドを使用して DHCP スヌーピングをグローバルにイネーブルにする必要があります。
オプション 82 機能がイネーブルの場合、デフォルトのリモート ID サブオプションはスイッチの
MAC アドレスです。このコマンドを使用すると、スイッチのホスト名または 63 個の ASCII 文字
列（スペースなし）のいずれかをリモート ID として設定できます。
（注）
ホスト名が 63 文字を超える場合、リモート ID 設定では 63 文字以降は省略されます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
81
セキュリティコマンド
ip dhcp snooping information option format remote-id
___________________
例
次の例では、オプション 82 リモート ID サブオプションを設定する方法を示します。
Controller(config)# ip dhcp snooping information option format remote-id hostname
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
82
OL-28526-01-J
セキュリティコマンド
ip dhcp snooping verify no-relay-agent-address
ip dhcp snooping verify no-relay-agent-address
DHCP クライアントメッセージのリレーエージェントアドレス（giaddr）が信頼できないポート
上のクライアントハードウェアアドレスに一致することを確認する DHCP スヌーピング機能を
ディセーブルにするには、グローバルコンフィギュレーションモードで ip dhcp snooping verify
no-relay-agent-address コマンドを使用します。検証をイネーブルにするには、このコマンドの no
形式を使用します。
ip dhcp snooping verify no-relay-agent-address
no ip dhcp snooping verify no-relay-agent-address
___________________
構文の説明
___________________
コマンドデフォルト
___________________
コマンドモード
___________________
コマンド履歴
このコマンドには引数またはキーワードはありません。
DHCP スヌーピング機能は、信頼できないポートの DHCP クライアントメッセージのリレーエー
ジェント IP アドレス（giaddr）フィールドが 0 であることを確認します。
グローバルコンフィギュレーション
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインデフォルトでは、DHCP スヌーピング機能は、信頼できないポートの DHCP クライアントメッ
セージのリレーエージェント IP アドレス（giaddr）フィールドが 0 であることを確認します。
giaddr フィールドが 0 ではない場合は、メッセージがドロップされます。確認をディセーブルに
するには、ip dhcp snooping verify no-relay-agent-address コマンドを使用します。確認を再度イ
ネーブルにするには、no ip dhcp snooping verify no-relay-agent-address を使用します。
___________________
例
次の例では、DHCP クライアントメッセージで giaddr の確認をイネーブルにする方法を示しま
す。
Controller(config)# no ip dhcp snooping verify no-relay-agent-address
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
83
セキュリティコマンド
ip source binding
ip source binding
スタティック IP ソースバインディングエントリを追加するには、ip source binding コマンドを使
用します。スタティック IP ソースバインディングエントリを削除するには、このコマンドの no
形式を使用します。
ip source binding mac-address vlan vlan-id ip-address interface interface-id
no ip source binding mac-address vlan vlan-id ip-address interface interface-id
___________________
構文の説明
mac-address
バインディング対象 MAC アド
レス。
vlan vlan-id
レイヤ 2 VLAN ID を指定しま
す。有効な値は 1 ～ 4094 で
す。
ip-address
バインディング対象 IP アドレ
ス。
interface interface-id
物理インターフェイスの ID。
___________________
コマンドデフォルト
IP 送信元バインディングは設定されていません。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインこのコマンドを使用して、スタティック IP ソースバインディングエントリだけを追加できます。
no 形式は、対応する IP ソースバインディングエントリを削除します。正常に削除するには、す
べての必須パラメータに完全に一致する必要があります。各スタティック IP バインディングエ
ントリは、MAC アドレスおよび VLAN 番号で指定されることに注意してください。コマンドに
既存の MAC アドレスと VLAN 番号が含まれる場合は、別のバインディングエントリを作成する
代わりに、新しいパラメータで既存のバインディングエントリが更新されます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
84
OL-28526-01-J
セキュリティコマンド
ip source binding
___________________
例
次の例では、スタティック IP 送信元バインディングエントリを追加する方法を示します。
Controller# configure terminal
Controllerconfig) ip source binding 0100.0230.0002 vlan 11 10.0.0.4 interface
gigabitethernet1/0/1
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
85
セキュリティコマンド
ip verify source
ip verify source
インターフェイスで IP ソースガードをイネーブルにするには、インターフェイスコンフィギュ
レーションモードで ip verify source コマンドを使用します。 IP ソースガードをディセーブルに
するには、このコマンドの no 形式を使用します。
ip verify source {vlan dhcp-snooping| tracking} [port-security]
no ip verify source {vlan dhcp-snooping| tracking} [port-security]
___________________
構文の説明
vlan dhcp-snooping
信頼できないレイヤ 2 DHCP スヌーピングインターフェイスで IP ソース
ガードをイネーブルにします。
tracking
ポートでスタティック IP アドレスラーニングを学習するために IP ポート
セキュリティをイネーブルにします。
port-security
（任意）IP および MAC アドレスフィルタリングによる IP ソースガード
をイネーブルにします。
port-security キーワードを入力しない場合、IP アドレスフィルタリングに
よる IP ソースガードがイネーブルになります。
___________________
コマンドデフォルト
IP 送信元ガードはディセーブルです。
___________________
コマンドモード
インターフェイスコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン送信元 IP アドレスフィルタリングによる IP ソースガードをイネーブルにするには、ip verify
source インターフェイスコンフィギュレーションコマンドを使用します。
送信元 IP および MAC アドレスフィルタリングによる IP ソースガードをイネーブルにするには、
ip verify source port-security インターフェイスコンフィギュレーションコマンドを使用します。
送信元 IP および MAC アドレスフィルタリングによる IP ソースガードをイネーブルにするには、
インターフェイスのポートセキュリティをイネーブルにする必要があります。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
86
OL-28526-01-J
セキュリティコマンド
ip verify source
___________________
例
次の例では、インターフェイスの送信元 IP アドレスフィルタリングによる IP ソースガードをイ
ネーブルにする方法を示します。
Controller# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)# ip dhcp snooping
Controller(config)# ip dhcp snooping vlan 10 20
Controller(config)# interface gigabitethernet1/0/1
Controller(config-if)# switchport trunk encapsulation dot1q
Controller(config-if)# switchport mode trunk
Controller(config-if)# switchport trunk native vlan 10
Controller(config-if)# switchport trunk allowed vlan 11-20
Controller(config-if)# no ip dhcp snooping trust
Controller(config-if)# ip verify source vlan dhcp-snooping
Controller(config)# end
Controller# show ip verify source interface fastethernet0/1
Interface Filter-type Filter-mode IP-address
Mac-address
--------- ----------- ----------- --------------- ----------------Gi1/0/1
ip-mac
active
10.0.0.1
Gi1/0/1
ip-mac
active
deny-all
Controller#
Vlan
---------10
11-20
次の例では、レイヤ 2 アクセスポートで IP-MAC フィルタを使用して IP ポートセキュリティを
イネーブルにする方法を示します。
Controller# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)# ip device tracking
Controller(config)# interface gigabitethernet1/0/3
Controller(config-if)# switchport mode access
Controller(config-if)# switchport access vlan 1
Controller(config-if)# ip device tracking maximum 5
Controller(config-if)# switchport port-security
Controller(config-if)# switchport port-security maximum 5
Controller(config-if)# ip verify source tracking port-security
Controller(config-if)# end
設定を確認するには、show ip verify source 特権 EXEC コマンドを入力します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
87
セキュリティコマンド
ipv6 snooping policy
ipv6 snooping policy
IPv6 スヌーピングポリシーを設定して IPv6 スヌーピングコンフィギュレーションモードを開始
するには、グローバルコンフィギュレーションモードで ipv6 snooping policy コマンドを使用し
ます。 IPv6 スヌーピングポリシーを削除するには、このコマンドの no 形式を使用します。
ipv6 snooping policy snooping-policy
no ipv6 snooping policy snooping-policy
___________________
構文の説明
snooping-policy
スヌーピングポリシーのユーザ定義名。ポリシー名には、象徴的な文
字列（Engineering など）または整数（0 など）を使用できます。
___________________
コマンドデフォルト
IPv6 スヌーピングポリシーは設定されていません。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン IPv6 スヌーピングポリシーを作成するには、ipv6 snooping policy コマンドを使用します。 ipv6
snooping policy コマンドをイネーブルにすると、コンフィギュレーションモードが IPv6 スヌーピ
ングコンフィギュレーションモードに変わります。このモードでは、管理者は、次の IPv6 ファー
ストホップセキュリティコマンドを設定できます。
• device-role コマンドは、ポートに接続されているデバイスのロールを指定します。
• limit address-count maximum コマンドは、ポートで使用可能な IPv6 アドレスの数を制限しま
す。
• protocol コマンドは、アドレスが Dynamic Host Configuration Protocol（DHCP）またはネイ
バー探索プロトコル（NDP）でアドレスを収集する必要があることを指定します。
• security-level コマンドは、実施されるセキュリティのレベルを指定します。
• tracking コマンドは、ポートのデフォルトのトラッキングポリシーを上書きします。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
88
OL-28526-01-J
セキュリティコマンド
ipv6 snooping policy
• trusted-port コマンドは、信頼できるポートにするポートを設定します。つまり、メッセージ
が受信されると、制限された検証が実行されるか、検証が実行されません。
___________________
例
次の例では、IPv6 スヌーピングポリシーを設定する方法を示します。
Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)#
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
89
セキュリティコマンド
limit address-count
limit address-count
ポートで使用可能な IPv6 アドレスの数を制限するには、ネイバー探索プロトコル（NDP）インス
ペクションポリシーコンフィギュレーションモードまたは IPv6 スヌーピングコンフィギュレー
ションモードで limit address-count コマンドを使用します。デフォルトに戻るには、no 形式のコ
マンドを使用します。
limit address-count maximum
no limit address-count
___________________
構文の説明
maximum
ポートで許可されたアドレスの数。範囲は 1 ～ 10000 です。
___________________
コマンドデフォルト
デフォルト設定は無制限です。
___________________
コマンドモード
ND インスペクションポリシー設定（config-nd-inspection）
IPv6 スヌーピング設定（ipv6-snooping）
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン limit address-count コマンドは、ポリシーが適用されるポートで使用可能な IPv6 アドレスの数を
制限します。ポート上の IPv6 アドレスの数を制限すると、バインディングテーブルサイズの制
限に役立ちます。範囲は 1 ～ 10000 です。
___________________
例
次の例では、NDP ポリシー名を policy1 として定義し、スイッチを NDP インスペクションポリ
シーコンフィギュレーションモードにし、ポートで許可される IPv6 アドレスの数を 25 に制限す
る方法を示します。
Controller(config)# ipv6 nd inspection policy policy1
Controller(config-nd-inspection)# limit address-count 25
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
90
OL-28526-01-J
セキュリティコマンド
limit address-count
次の例では、IPv6 スヌーピングポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピン
グポリシーコンフィギュレーションモードにし、ポートで許可される IPv6 アドレスの数を 25 に
制限する方法を示します。
Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# limit address-count 25
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
91
セキュリティコマンド
mab request format attribute 32
mab request format attribute 32
スイッチで VLAN ID ベースの MAC 認証をイネーブルにするには、mab request format attribute
32 vlan access-vlan グローバルコンフィギュレーションコマンドを使用します。デフォルト設定
に戻すには、このコマンドの no 形式を使用します。
mab request format attribute 32 vlan access-vlan
no mab request format attribute 32 vlan access-vlan
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドデフォルト
VLAN-ID ベースの MAC 認証はディセーブルです。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン RADIUS サーバがホスト MAC アドレスと VLAN に基づいて新しいユーザを認証できるようにす
るには、このコマンドを使用します。
Microsoft IAS RADIUS サーバを使用したネットワークでこの機能を使用します。 Cisco ACS はこ
のコマンドを無視します。
___________________
例
次の例では、スイッチで VLAN-ID ベースの MAC 認証をイネーブルにする方法を示します。
Controller(config)# mab request format attribute 32 vlan access-vlan
___________________
関連コマンド
コマンド
説明
authentication event
特定の認証イベントのアクションを設定します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
92
OL-28526-01-J
セキュリティコマンド
mab request format attribute 32
コマンド
説明
authentication fallback
IEEE 802.1x 認証をサポートしないクライアント用のフォールバッ
ク方式として Web 認証を使用するようポートを設定します。
authentication host-mode
ポートで認証マネージャモードを設定します。
authentication open
ポートでオープンアクセスをイネーブルまたはディセーブルにし
ます。
authentication order
ポートで使用する認証方式の順序を設定します。
authentication periodic
ポートで再認証をイネーブルまたはディセーブルにします。
authentication port-control
ポートの認証ステートの手動制御をイネーブルにします。
authentication priority
ポートプライオリティリストに認証方式を追加します。
authentication timer
802.1x 対応ポートのタイムアウトパラメータと再認証パラメータ
を設定します。
authentication violation
新しいデバイスがポートに接続するか、ポートにすでに最大数のデ
バイスが接続しているときに、新しいデバイスがポートに接続した
場合に発生する違反モードを設定します。
mab
ポートの MAC-based 認証をイネーブルにします。
mab eap
拡張認証プロトコル（EAP）を使用するようポートを設定します。
show authentication
スイッチの認証マネージャイベントに関する情報を表示します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
93
セキュリティコマンド
no authentication logging verbose
no authentication logging verbose
認証システムメッセージから詳細情報をフィルタリングするには、スイッチスタックまたはスタ
ンドアロンスイッチ上で no authentication logging verbose グローバルコンフィギュレーションコ
マンドを使用します。
no authentication logging verbose
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドデフォルト
すべての詳細情報はシステムメッセージに表示されます。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインこのコマンドにより、認証システムメッセージから、予測される成功などの詳細情報がフィルタ
リングされます。エラーメッセージはフィルタリングされません。
___________________
例
verbose 認証システムメッセージをフィルタリングするには、次の手順に従います。
Controller(config)# no authentication logging verbose
設定を確認するには、show running-config 特権 EXEC コマンドを入力します。
___________________
関連コマンド
コマンド
説明
no authentication logging verbose
認証システムメッセージから詳細情報を
フィルタリングします。
no dot1x logging verbose
802.1x システムメッセージから詳細情報
をフィルタリングします。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
94
OL-28526-01-J
セキュリティコマンド
no authentication logging verbose
コマンド
説明
no mab logging verbose
MAC 認証バイパス（MAB）システム
メッセージから詳細情報をフィルタリン
グします。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
95
セキュリティコマンド
no dot1x logging verbose
no dot1x logging verbose
802.1x システムメッセージから詳細情報をフィルタリングするには、スイッチスタックまたはス
タンドアロンスイッチ上で no dot1x logging verbose グローバルコンフィギュレーションコマン
ドを使用します。
no dot1x logging verbose
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドデフォルト
すべての詳細情報はシステムメッセージに表示されます。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインこのコマンドにより、802.1x システムメッセージから、予測される成功などの詳細情報がフィル
タリングされます。エラーメッセージはフィルタリングされません。
___________________
例
verbose 802.1x システムメッセージをフィルタリングするには、次の手順に従います。
Controller(config)# no dot1x logging verbose
設定を確認するには、show running-config 特権 EXEC コマンドを入力します。
___________________
関連コマンド
コマンド
説明
no authentication logging verbose
認証システムメッセージから詳細情報をフィルタリ
ングします。
no dot1x logging verbose
802.1x システムメッセージから詳細情報をフィルタ
リングします。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
96
OL-28526-01-J
セキュリティコマンド
no dot1x logging verbose
コマンド
説明
no mab logging verbose
MAC 認証バイパス（MAB）システムメッセージか
ら詳細情報をフィルタリングします。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
97
セキュリティコマンド
no mab logging verbose
no mab logging verbose
MAC 認証バイパス（MAB）システムメッセージから詳細情報をフィルタリングするには、スイッ
チスタックまたはスタンドアロンスイッチ上で no mab logging verbose グローバルコンフィギュ
レーションコマンドを使用します。
no mab logging verbose
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドデフォルト
すべての詳細情報はシステムメッセージに表示されます。
___________________
コマンドモード
グローバルコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインこのコマンドにより、MAC 認証バイパス（MAB）システムメッセージから、予測される成功な
どの詳細情報がフィルタリングされます。エラーメッセージはフィルタリングされません。
___________________
例
verbose MAB システムメッセージをフィルタリングするには、次の手順に従います。
Controller(config)# no mab logging verbose
設定を確認するには、show running-config 特権 EXEC コマンドを入力します。
___________________
関連コマンド
コマンド
説明
no authentication
logging verbose
認証システムメッセージから詳細情報をフィルタリングします。
no dot1x logging
verbose
802.1x システムメッセージから詳細情報をフィルタリングします。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
98
OL-28526-01-J
セキュリティコマンド
no mab logging verbose
コマンド
説明
no mab logging verbose MAC 認証バイパス（MAB）システムメッセージから詳細情報をフィル
タリングします。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
99
セキュリティコマンド
permit（MAC アクセスリストコンフィギュレーション）
permit（MAC アクセスリストコンフィギュレーション）
条件が一致した場合に非 IP トラフィックが転送されるのを許可するには、スイッチスタックまた
はスタンドアロンスイッチ上で permit MAC アクセスリストコンフィギュレーションコマンドを
使用します。許可条件を拡張 MAC アドレスリストから削除するには、このコマンドの no 形式
を使用します。
{permit {any | hostsrc-MAC-addr | src-MAC-addr mask} {any | hostdst-MAC-addr | dst-MAC-addr mask}
[type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042
| lat | lavc-sca | lsaplsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip
| xns-idp][coscos]
nopermit {any | host src-MAC-addr | src-MAC-addr mask} {any | host dst-MAC-addr | dst-MAC-addr mask}
[type mask | aarp | amber | appletalk | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042
| lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip
| xns-idp][coscos]
___________________
構文の説明
any
すべての送信元または宛先 MAC アドレスを拒否します。
host src-MAC-addr | src-MAC-addr
mask
ホスト MAC アドレスとオプションのサブネットマスクを
指定します。パケットの送信元アドレスが定義されたアド
レスに一致する場合、そのアドレスからの非 IP トラフィッ
クは拒否されます。
host dst-MAC-addr | dst-MAC-addr
mask
宛先 MAC アドレスとオプションのサブネットマスクを指
定します。パケットの宛先アドレスが定義されたアドレス
に一致する場合、そのアドレスへの非 IP トラフィックは拒
否されます。
type mask
（任意）パケットの Ethertype 番号と、Ethernet II または
SNAP カプセル化を指定して、パケットのプロトコルを識
別します。
• type には、0 ～ 65535 の 16 進数を指定できます。
• mask は、照合を行う前に Ethertype に適用される don’t
care ビットのマスクです。
aarp
（任意）データリンクアドレスをネットワークアドレスに
マッピングする Ethertype AppleTalk Address Resolution Protocol
を指定します。
amber
（任意）EtherType DEC-Amber を指定します。
appletalk
（任意）EtherType AppleTalk/EtherTalk を指定します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
100
OL-28526-01-J
セキュリティコマンド
permit（MAC アクセスリストコンフィギュレーション）
dec-spanning
（任意）EtherType Digital Equipment Corporation（DEC）ス
パニングツリーを指定します。
decnet-iv
（任意）EtherType DECnet Phase IV プロトコルを指定しま
す。
diagnostic
（任意）EtherType DEC-Diagnostic を指定します。
dsm
（任意）EtherType DEC-DSM を指定します。
etype-6000
（任意）EtherType 0x6000 を指定します。
etype-8042
（任意）EtherType 0x8042 を指定します。
lat
（任意）EtherType DEC-LAT を指定します。
lavc-sca
（任意）EtherType DEC-LAVC-SCA を指定します。
lsap lsap-number mask
（任意）パケットの LSAP 番号（0 ～ 65535）と 802.2 カプ
セル化を指定して、パケットのプロトコルを識別します。
mask は、照合を行う前に LSAP 番号に適用される don’t care
ビットのマスクです。
mop-console
（任意）EtherType DEC-MOP Remote Console を指定します。
mop-dump
（任意）EtherType DEC-MOP Dump を指定します。
msdos
（任意）EtherType DEC-MSDOS を指定します。
mumps
（任意）EtherType DEC-MUMPS を指定します。
netbios
（任意）EtherType DEC-Network Basic Input/Output System
（NETBIOS）を指定します。
vines-echo
（任意）Banyan Systems から EtherType Virtual Integrated
Network Service（VINES）Echo を指定します。
vines-ip
（任意）EtherType VINES IP を指定します。
xns-idp
（任意）EtherType Xerox Network Systems（XNS）プロトコ
ルスイートを指定します。
cos cos
（任意）プライオリティを設定するため、0 ～ 7 までの任
意の Class of Service（CoS）値を指定します。 CoS に基づく
フィルタリングは、ハードウェアでだけ実行可能です。 cos
オプションが設定されているかどうかを確認する警告メッ
セージが表示されます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
101
セキュリティコマンド
permit（MAC アクセスリストコンフィギュレーション）
___________________
コマンドデフォルト
___________________
コマンドモード
___________________
コマンド履歴
このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルトアク
ションは拒否です。
MAC アクセスリストコンフィギュレーション
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン appletalk は、コマンドラインのヘルプストリングには表示されますが、一致条件としてはサポー
トされていません。
MAC アクセスリストコンフィギュレーションモードを開始するには、mac access-list extended
グローバルコンフィギュレーションコマンドを使用します。
host キーワードを使用した場合、アドレスマスクは入力できません。any キーワードまたは host
キーワードを使用しない場合は、アドレスマスクを入力する必要があります。
アクセスコントロールエントリ（ACE）が ACL に追加された場合、リストの最後には暗黙の
deny-any-any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただ
し、最初の ACE が追加される前に、リストはすべてのパケットを許可します。
IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、
type mask または lsap lsap mask キーワードを使用します。次の表に、Novell 用語と Cisco IOS 用語
での IPX カプセル化タイプに対応するフィルタ条件を一覧表示します。
表 5：IPX フィルタ基準
IPX カプセル化タイプ
フィルタ基準
Cisco IOS 名
Novell 名
arpa
Ethernet II
Ethertype 0x8137
snap
Ethernet-snap
Ethertype 0x8137
sap
Ethernet 802.2
LSAP 0xE0E0
novell-ether
Ethernet 802.3
LSAP 0xFFFF
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
102
OL-28526-01-J
セキュリティコマンド
permit（MAC アクセスリストコンフィギュレーション）
___________________
例
次の例では、あらゆる送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを許
可する名前付き MAC 拡張アクセスリストを定義する方法を示します。このリストに一致するト
ラフィックは許可されます。
Controller(config-ext-macl)# permit any host 00c0.00a0.03fa netbios
次の例では、名前付き MAC 拡張アクセスリストから許可条件を削除する方法を示します。
Controller(config-ext-macl)# no permit any 00c0.00a0.03fa 0000.0000.0000 netbios
次の例では、Ethertype 0x4321 のすべてのパケットを許可します。
Controller(config-ext-macl)# permit any any 0x4321 0
設定を確認するには、show access-lists 特権 EXEC コマンドを入力します。
___________________
関連コマンド
コマンド
説明
deny
MAC アクセスリストコンフィギュ
レーションから拒否します。条件
が一致した場合に非 IP トラフィッ
クが転送されるのを拒否します。
mac access-list extended
非 IP トラフィック用に MAC アド
レスベースのアクセスリストを作
成します。
show access-lists
スイッチに設定されたアクセスコ
ントロールリストを表示します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
103
セキュリティコマンド
protocol（IPv6 スヌーピング）
protocol（IPv6 スヌーピング）
Dynamic Host Configuration Protocol（DHCP）またはネイバー探索プロトコル（NDP）でアドレス
を収集する必要があることを指定する、またはプロトコルを IPv6 プレフィックスリストに関連付
けるには、protocol コマンドを使用します。 DHCP または NDP で収集したアドレスをディセーブ
ルにするには、このコマンドの no 形式を使用します。
protocol { dhcp | ndp }
protocol { dhcp | ndp }
___________________
構文の説明
dhcp
Dynamic Host Configuration Protocol（DHCP）パケットでアドレスを収集する
必要があることを指定します。
ndp
ネイバー探索プロトコル（NDP）パケットでアドレスを収集する必要がある
ことを指定します。
___________________
コマンドデフォルト
スヌーピングと回復は、DHCP と NDP の両方を使用して試行されます。
___________________
コマンドモード
IPv6 スヌーピングコンフィギュレーションモード（config-ipv6-snooping）
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインアドレスが DHCP または NDP に関連付けられたプレフィックスリストに一致しない場合は、制
御パケットがドロップされ、バインディングテーブルエントリの回復がそのプロトコルに対して
試行されません。
• no protocol {dhcp | ndp} コマンドの使用は、プロトコルがスヌーピングまたは収集に使用さ
れないことを示します。
• no protocol dhcp コマンドが使用される場合は、DHCP を引き続きバインディングテーブル
の回復に使用できます。
• 宛先ガードは DHCP を介してのみ回復しますが、データ収集は DHCP と NDP で回復できま
す。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
104
OL-28526-01-J
セキュリティコマンド
protocol（IPv6 スヌーピング）
___________________
例
次の例では、IPv6 スヌーピングポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピン
グポリシーコンフィギュレーションモードにし、アドレスを収集するために DHCP を使用する
ようにポートを設定する方法を示します。
Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# protocol dhcp
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
105
セキュリティコマンド
security level（IPv6 スヌーピング）
security level（IPv6 スヌーピング）
実施されるセキュリティのレベルを指定するには、IPv6 スヌーピングポリシーコンフィギュレー
ションモードで security-level コマンドを使用します。
security level {glean | guard | inspect}
___________________
構文の説明
glean
メッセージからアドレスを抽出し、検証を実行せずにバインディ
ングテーブルにインストールします。
guard
収集と検査の両方を実行します。さらに、信頼されたポートで受
信されなかった場合、または別のポリシーで許可されない場合、
RA および DHCP サーバのメッセージは拒否されます。
inspect
一貫性とコンプライアンスに関するメッセージを検証します。特
に、アドレス所有権が対象となります。無効なメッセージはド
ロップされます。
___________________
コマンドデフォルト
デフォルトのセキュリティレベルはガードです。
___________________
コマンドモード
IPv6 スヌーピング設定（config-ipv6-snooping）
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン
___________________
例
次の例では、IPv6 スヌーピングポリシー名を policy1 として定義し、デバイスを IPv6 スヌーピン
グコンフィギュレーションモードにし、セキュリティレベルを検査として設定する方法を示し
ます。
Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# security-level inspect
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
106
OL-28526-01-J
セキュリティコマンド
security passthru
security passthru
IPSec パススルーを変更するには、security passthru コマンドを使用します。ディセーブルにする
には、このコマンドの no 形式を使用します。
security passthru ip-address
no security passthru
___________________
構文の説明
ip-address
___________________
コマンドデフォルト
なし。
___________________
コマンドモード
wlan
___________________
コマンド履歴
VPN トンネルを終端している IPSec ゲートウェイ（ルータ）の IP ア
ドレス。
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインなし。
___________________
例
次の例では、IPSec パススルーを変更する方法を示します。
Controller#configre terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)#security passthrough 10.1.1.1
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
107
セキュリティコマンド
show aaa acct-stop-cache
show aaa acct-stop-cache
ポイズニングされたセッションのアカウンティングセッション ID を示すには、show aaa
acct-stop-cache コマンドを使用します。
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドモード
ユーザ EXEC
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインポイズニングされたセッションのアカウンティング停止レコードは、スタンバイスイッチでのみ
キャッシュされます。
___________________
例
次の例は、show aaa acct-stop-cache コマンドの出力を示しています。
Controller# show aaa acct-stop-cache
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
108
OL-28526-01-J
セキュリティコマンド
show aaa clients
show aaa clients
AAA クライアント統計情報を示すには、show aaa clients コマンドを使用します。
show aaa clients [detailed]
___________________
構文の説明
___________________
コマンドモード
___________________
コマンド履歴
___________________
例
（任意）詳細な AAA クライアント統計情報を示します。
detailed
ユーザ EXEC
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
次の例は、show aaa clients コマンドの出力を示しています。
Controller# show aaa clients
Dropped request packets: 0
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
109
セキュリティコマンド
show aaa command handler
show aaa command handler
AAA コマンドハンドラ統計情報を示すには、show aaa command handler コマンドを使用します。
show aaa command handler
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドモード
ユーザ EXEC
___________________
コマンド履歴
___________________
例
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
次の例は、show aaa command handler コマンドの出力を示しています。
Controller# show aaa command handler
AAA Command Handler Statistics:
account-logon: 0, account-logoff: 0
account-query: 0, pod: 0
service-logon: 0, service-logoff: 0
user-profile-push: 0, session-state-log: 0
reauthenticate: 0, bounce-host-port: 0
disable-host-port: 0, update-rbacl: 0
update-sgt: 0, update-cts-policies: 0
invalid commands: 0
async message not sent: 0
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
110
OL-28526-01-J
セキュリティコマンド
show aaa local
show aaa local
AAA ローカル方式オプションを示すには、show aaa local コマンドを使用します。
show aaa local {netuser {name | all } | statistics | user lockout}
___________________
構文の説明
___________________
コマンドモード
___________________
コマンド履歴
___________________
例
netuser
AAA ローカルネットワークまたはゲストユーザデータベースを指定
します。
name
ネットワークユーザ名。
all
ネットワークおよびゲストユーザ情報を指定します。
statistics
ローカル認証の統計情報を表示します。
user lockout
AAA ローカルロックアウトユーザを指定します。
ユーザ EXEC
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
次の例は、show aaa local statistics コマンドの出力を示しています。
Controller# show aaa local statistics
Local EAP statistics
EAP Method
Success
Fail
------------------------------------Unknown
0
0
EAP-MD5
0
0
EAP-GTC
0
0
LEAP
0
0
PEAP
0
0
EAP-TLS
0
0
EAP-MSCHAPV2
0
0
EAP-FAST
0
0
Requests received from AAA:
Responses returned from EAP:
Requests dropped (no EAP AVP):
Requests dropped (other reasons):
0
0
0
0
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
111
セキュリティコマンド
show aaa local
Authentication timeouts from EAP:
0
Credential request statistics
Requests sent to backend:
Requests failed (unable to send):
Authorization results received
0
0
Success:
Fail:
0
0
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
112
OL-28526-01-J
セキュリティコマンド
show aaa servers
show aaa servers
AAA サーバ MIB によって認識されるすべての AAA サーバを示すには、show aaa servers コマン
ドを使用します。
show aaa servers [ private|public|[detailed]]
___________________
構文の説明
___________________
コマンドモード
___________________
コマンド履歴
___________________
例
detailed
（任意）AAA サーバ MIB によって認識されるプライベート
AAA サーバを表示します。
public
（任意）AAA サーバ MIB によって認識されるパブリック AAA
サーバを表示します。
detailed
（任意）詳細 AAA サーバ統計情報を表示します。
ユーザ EXEC
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
次の例は、show aaa servers コマンドの出力を示しています。
Controller# show aaa servers
RADIUS: id 1, priority 1, host 172.20.128.2, auth-port 1645, acct-port 1646
State: current UP, duration 9s, previous duration 0s
Dead: total time 0s, count 0
Quarantined: No
Authen: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Author: request 0, timeouts 0, failover 0, retransmission 0
Response: accept 0, reject 0, challenge 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Account: request 0, timeouts 0, failover 0, retransmission 0
Request: start 0, interim 0, stop 0
Response: start 0, interim 0, stop 0
Response: unexpected 0, server error 0, incorrect 0, time 0ms
Transaction: success 0, failure 0
Throttled: transaction 0, timeout 0, failure 0
Elapsed time since counters last cleared: 0m
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
113
セキュリティコマンド
show aaa servers
Estimated Outstanding Access Transactions: 0
Estimated Outstanding Accounting Transactions: 0
Estimated Throttled Access Transactions: 0
Estimated Throttled Accounting Transactions: 0
Maximum Throttled Transactions: access 0, accounting 0
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
114
OL-28526-01-J
セキュリティコマンド
show aaa sessions
show aaa sessions
AAA セッション MIB によって認識される AAA セッションを示すには、show aaa sessions コマン
ドを使用します。
show aaa sessions
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドモード
ユーザ EXEC
___________________
コマンド履歴
___________________
例
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
次の例は、show aaa sessions コマンドの出力を示しています。
Controller# show aaa sessions
Total sessions since last reload: 7
Session Id: 4007
Unique Id: 4025
User Name: *not available*
IP Address: 0.0.0.0
Idle Time: 0
CT Call Handle: 0
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
115
セキュリティコマンド
show authentication history
show authentication history
デバイスの認証されたセッションアライブを表示するには、show authentication history コマンド
を使用します。
show authentication history [min-uptime seconds]
___________________
構文の説明
___________________
コマンドモード
___________________
コマンド履歴
min-uptime seconds
（任意）最小アップタイム内でのセッションを表示します。有効
範囲は 1 ～ 4294967295 秒です。
ユーザ EXEC
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインデバイスの認証されたセッションアライブを表示するには、show authentication history コマンド
を使用します。
___________________
例
次の例は、show authentication history コマンドの出力を示しています。
Controller# show authentication history
Interface MAC Address
Method Domain
Gi3/0/2
0021.d864.07c0 dot1x
DATA
Status
Auth
Uptime
38s
Session count = 1
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
116
OL-28526-01-J
セキュリティコマンド
show authentication sessions
show authentication sessions
現在の認証マネージャセッションに関する情報を表示するには、show authentication sessions コマ
ンドを使用します。
show authentication sessions [database][handle handle-id [details]][interface type number [details][mac
mac-address [interface type number][method method-name [interface type number [details] [session-id
session-id [details]]
___________________
構文の説明
___________________
コマンドモード
___________________
コマンド履歴
database
（任意）セッションデータベースに格納されているデータだけを表
示します。
handle handle-id
（任意）認証マネージャ情報を表示する特定のハンドルを指定しま
す。
details
（任意）詳細情報を表示します。
interface type number
（任意）認証マネージャ情報を表示する特定のインターフェイスタ
イプおよび番号を指定します。
mac mac-address
（任意）情報を表示する特定の MAC アドレスを指定します。
method method-name
（任意）認証マネージャ情報を表示する特定の認証方式を指定しま
す。方式（dot1x、mab、または webauth）を指定する場合は、イン
ターフェイスも指定できます。
session-id session-id
（任意）認証マネージャ情報を表示する特定のセッションを指定し
ます。
ユーザ EXEC
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
117
セキュリティコマンド
show authentication sessions
___________________
使用上のガイドライン現在のすべての認証マネージャセッションに関する情報を表示するには、show authentication
sessions コマンドを使用します。特定の認証マネージャセッションに関する情報を表示するには、
1 つ以上のキーワードを使用します。
このテーブルは、報告された認証セッション用の動作状態を示します。
表 6：認証方式のステート
ステート
説明
Not run
このセッションの方式は実行されていません。
Running
このセッションの方式が実行中です。
Failed over
この方式は失敗しました。次の方式が結果を出
すことが予期されています。
Success
この方式は、セッションの成功した認証結果を
提供しました。
Authc Failed
この方式は、セッションの失敗した認証結果を
提供しました。
次の表に、使用できる認証方式を示します。
表 7：認証方式のステート
___________________
例
ステート
説明
dot1x
802.1X
mab
MAC 認証バイパス
webauth
Web 認証
次の例では、スイッチ上のすべての認証セッションを表示する方法を示します。
Controller# show authentication sessions
Interface
MAC Address
Method
Domain
Gi1/0/48
0015.63b0.f676 dot1x
DATA
Gi1/0/5
000f.23c4.a401 mab
DATA
Gi1/0/5
0014.bf5d.d26d dot1x
DATA
Status
Authz Success
Authz Success
Authz Success
Session ID
0A3462B1000000102983C05C
0A3462B10000000D24F80B58
0A3462B10000000E29811B94
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
118
OL-28526-01-J
セキュリティコマンド
show authentication sessions
次の例では、インターフェイスでのすべての認証セッションを表示する方法を示します。
Controller# show authentication sessions interface gigabitethernet2/0/47
Interface: GigabitEthernet2/0/47
MAC Address: Unknown
IP Address: Unknown
Status: Authz Success
Domain: DATA
Oper host mode: multi-host
Oper control dir: both
Authorized By: Guest Vlan
Vlan Policy: 20
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A3462C8000000000002763C
Acct Session ID: 0x00000002
Handle: 0x25000000
Runnable methods list:
Method
State
mab
Failed over
dot1x
Failed over
---------------------------------------Interface: GigabitEthernet2/0/47
MAC Address: 0005.5e7c.da05
IP Address: Unknown
User-Name: 00055e7cda05
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A3462C8000000010002A238
Acct Session ID: 0x00000003
Handle: 0x91000001
Runnable methods list:
Method
State
mab
Authc Success
dot1x
Not run
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
119
セキュリティコマンド
show cisp
show cisp
指定されたインターフェイスの CISP 情報を表示するには、show cisp 特権 EXEC コマンドを使用
します。
show cisp {[clients | interface interface-id] | registrations | summary}
___________________
構文の説明
clients
（任意）CISP クライアントの詳細を表示します。
interface interface-id
（任意）指定されたインターフェイスの CISP 情報を表示します。
有効なインターフェイスには、物理ポートとポートチャネルが含
まれます。
registrations
CISP 登録を表示します。
summary
（任意）CISP サマリーを表示します。
___________________
コマンドモード
特権 EXEC
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
例
次の例は、show cisp interface コマンドの出力を示しています。
Controller# show cisp interface fast 0
CISP not enabled on specified interface
次の例は、show cisp registration コマンドの出力を示しています。
Controller# show cisp registrations
Interface(s) with CISP registered user(s):
-----------------------------------------Fa1/0/13
Auth Mgr (Authenticator)
Gi2/0/1
Auth Mgr (Authenticator)
Gi2/0/2
Auth Mgr (Authenticator)
Gi2/0/3
Auth Mgr (Authenticator)
Gi2/0/5
Auth Mgr (Authenticator)
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
120
OL-28526-01-J
セキュリティコマンド
show cisp
Gi2/0/9
Auth Mgr (Authenticator)
Gi2/0/11
Auth Mgr (Authenticator)
Gi2/0/13
Auth Mgr (Authenticator)
Gi3/0/3
Gi3/0/5
Gi3/0/23
___________________
関連コマンド
コマンド
説明
cisp enable
Client Information Signalling Protocol（CISP）をイネーブルにし
ます。
dot1x credentials profile
サプリカントスイッチでプロファイルを設定します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
121
セキュリティコマンド
show dot1x
show dot1x
スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータ
スを表示するには、show dot1x ユーザ EXEC コマンドを使用します。
show dot1x [all [count | details | statistics | summary]] [interface type number [details | statistics]] [statistics]
___________________
構文の説明
___________________
コマンドモード
___________________
コマンド履歴
___________________
例
all
（任意）すべてのインターフェイスの IEEE 802.1x 情報を
表示します。
count
（任意）許可されたクライアントと許可されていないク
ライアントの総数を表示します。
details
（任意）IEEE 802.1x インターフェイスの詳細を表示しま
す。
statistics
（任意）すべてのインターフェイスの IEEE 802.1x 統計情
報を表示します。
summary
（任意）すべてのインターフェイスの IEEE 802.1x サマ
リーを表示します。
interface type number
（任意）指定されたポートの IEEE 802.1x ステータスを表
示します。
ユーザ EXEC
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
次の例は、show dot1x all コマンドの出力を示しています。
Controller# show dot1x all
Sysauthcontrol
Dot1x Protocol Version
Enabled
3
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
122
OL-28526-01-J
セキュリティコマンド
show dot1x
次の例は、show dot1x all count コマンドの出力を示しています。
Controller# show dot1x all count
Number of Dot1x sessions
------------------------------Authorized Clients
= 0
UnAuthorized Clients
= 0
Total No of Client
= 0
次の例は、show dot1x all statistics コマンドの出力を示しています。
Controller# show dot1x statistics
Dot1x Global Statistics for
-------------------------------------------RxStart = 0
RxLogoff = 0
RxResp = 0
RxReq = 0
RxInvalid = 0
RxLenErr = 0
RxTotal = 0
TxStart
TxReq =
TxReqID
TxTotal
= 0
0
= 0
= 0
TxLogoff = 0
ReTxReq = 0
ReTxReqID = 0
RxRespID = 0
TxResp = 0
ReTxReqFail = 0
ReTxReqIDFail = 0
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
123
セキュリティコマンド
show eap pac peer
show eap pac peer
拡張認証プロトコル（EAP）Flexible Authentication via Secure Tunneling（FAST）の保存された
Protected Access Credential（PAC）を表示するには、show eap pac peer 特権 EXEC コマンドを使用
します。
show eap pac peer
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドモード
特権 EXEC
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
例
次の例は、show eap pac peers 特権 EXEC コマンドの出力を示しています。
Controller> show eap pac peers
No PACs stored
___________________
関連コマンド
コマンド
説明
clear eap sessions
スイッチまたは指定されたポートの EAP のセッション情報をクリアし
ます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
124
OL-28526-01-J
セキュリティコマンド
show ip dhcp snooping statistics
show ip dhcp snooping statistics
DHCP スヌーピング統計情報をサマリー形式または詳細形式で表示するには、show ip dhcp snooping
statistics ユーザ EXEC コマンドを使用します。
show ip dhcp snooping statistics [detail ]
___________________
構文の説明
___________________
コマンドモード
___________________
コマンド履歴
（任意）詳細な統計情報を表示します。
detail
ユーザ EXEC
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインスイッチスタックでは、すべての統計情報がスタックマスターで生成されます。新しいアクティ
ブスイッチが選出された場合、統計カウンタはリセットされます。
___________________
例
次の例では、show ip dhcp snooping statistics コマンドの出力を示します。
Controller> show ip dhcp snooping statistics
Packets Forwarded
Packets Dropped
Packets Dropped From untrusted ports
= 0
= 0
= 0
次の例では、show ip dhcp snooping statistics detail コマンドの出力を示します。
Controller> show ip dhcp snooping statistics detail
Packets Processed by DHCP Snooping
Packets Dropped Because
IDB not known
Queue full
Interface is in errdisabled
Rate limit exceeded
Received on untrusted ports
Nonzero giaddr
Source mac not equal to chaddr
Binding mismatch
Insertion of opt82 fail
Interface Down
Unknown output interface
= 0
=
=
=
=
=
=
=
=
=
=
=
0
0
0
0
0
0
0
0
0
0
0
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
125
セキュリティコマンド
show ip dhcp snooping statistics
Reply output port equal to input port
Packet denied by platform
= 0
= 0
次の表に、DHCP スヌーピング統計情報およびその説明を示します。
表 8：DHCP スヌーピング統計情報
DHCP スヌーピング統計情報
説明
Packets Processed by DHCP Snooping 転送されたパケットおよびドロップされたパケットも含め
て、DHCP スヌーピングによって処理されたパケットの合
計数。
Packets Dropped Because IDB not
known
パケットの入力インターフェイスを判断できないエラーの
数。
Queue full
パケットの処理に使用される内部キューが満杯であるエラー
の数。非常に高いレートで DHCP パケットを受信し、入力
ポートでレート制限がイネーブルになっていない場合、こ
のエラーが発生することがあります。
Interface is in errdisabled
errdisable としてマークされたポートでパケットを受信した
回数。これが発生する可能性があるのは、ポートが
errdisable ステートである場合にパケットが処理キューに入
り、そのパケットが後で処理される場合です。
Rate limit exceeded
ポートで設定されているレート制限を超えて、インターフェ
イスが errdisable ステートになった回数。
Received on untrusted ports
信頼できないポートで DHCP サーバパケット（OFFER、
ACK、NAK、LEASEQUERY のいずれか）を受信してドロッ
プした回数。
Nonzero giaddr
信頼できないポートで受信した DHCP パケットのリレー
エージェントアドレスフィールド（giaddr）がゼロ以外だっ
た回数。または no ip dhcp snooping information option
allow-untrusted グローバルコンフィギュレーションコマン
ドを設定しておらず、信頼できないポートで受信したパケッ
トにオプション 82 データが含まれていた回数。
Source mac not equal to chaddr
DHCP パケットのクライアント MAC アドレスフィールド
（chaddr）がパケットの送信元 MAC アドレスと一致せず、
ip dhcp snooping verify mac-address グローバルコンフィ
ギュレーションコマンドが設定されている回数。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
126
OL-28526-01-J
セキュリティコマンド
show ip dhcp snooping statistics
DHCP スヌーピング統計情報
説明
Binding mismatch
MAC アドレスと VLAN のペアのバインディングになって
いるポートとは異なるポートで、RELEASE パケットまた
は DECLINE パケットを受信した回数。これは、誰かが本
来のクライアントをスプーフィングしようとしている可能
性があることを示しますが、クライアントがスイッチの別
のポートに移動して RELEASE または DECLINE を実行し
たことを表すこともあります。 MAC アドレスは、イーサ
ネットヘッダーの送信元 MAC アドレスではなく、DHCP
パケットの chaddr フィールドから採用されます。
Insertion of opt82 fail
パケットへのオプション 82 挿入がエラーになった回数。
オプション 82 データを含むパケットがインターネットの単
一物理パケットのサイズを超えた場合、挿入はエラーにな
ることがあります。
Interface Down
パケットが DHCP リレーエージェントへの応答であるが、
リレーエージェントの SVI インターフェイスがダウンして
いる回数。 DHCP サーバへのクライアント要求の送信と応
答の受信の間で SVI がダウンした場合に発生するエラーで
すが、めったに発生しません。
Unknown output interface
オプション 82 データまたは MAC アドレステーブルのルッ
クアップのいずれかで、DHCP応答パケットの出力インター
フェイスを判断できなかった回数。パケットはドロップさ
れます。オプション 82 が使用されておらず、クライアン
ト MAC アドレスが期限切れになった場合に発生すること
があります。ポートセキュリティオプションで IPSG がイ
ネーブルであり、オプション 82 がイネーブルでない場合、
クライアントの MAC アドレスは学習されず、応答パケッ
トはドロップされます。
Reply output port equal to input port
DHCP 応答パケットの出力ポートが入力ポートと同じであ
り、ループの可能性の原因となった回数。ネットワークの
設定の誤り、またはポートの信頼設定の誤用の可能性を示
します。
Packet denied by platform
プラットフォーム固有のレジストリによってパケットが拒
否された回数。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
127
セキュリティコマンド
show radius server-group
show radius server-group
RADIUS サーバグループのプロパティを表示するには、show radius server-group コマンドを使用
します。
show radius server-group {name | all}
___________________
構文の説明
___________________
コマンドモード
name
サーバグループの名前。サーバグループの名前の指定に使用する文字列は、
aaa group server radius コマンドを使用して定義する必要があります。
all
すべてのサーバグループのプロパティを表示します。
ユーザ EXEC
特権 EXEC
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン aaa group server radius コマンドを使用して定義したサーバグループを表示するには、show radius
server-group コマンドを使用します。
___________________
例
次の例は、show radius server-group all コマンドの出力を示しています。
Controller# show radius server-group all
Server group radius
Sharecount = 1 sg_unconfigured = FALSE
Type = standard Memlocks = 1
次の表で、この出力に表示される重要なフィールドを説明します。
表 9： show radius server-group コマンドのフィールドの説明
フィールド
説明
Server group
サーバグループの名前。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
128
OL-28526-01-J
セキュリティコマンド
show radius server-group
フィールド
説明
Sharecount
このサーバグループを共有している方式リスト
の数。たとえば、1 つの方式リストが特定の
サーバグループを使用する場合、sharecount は
1 になります。 2 つの方式リストが同じサーバ
グループを使用する場合、sharecount は 2 にな
ります。
sg_unconfigured
サーバグループが未設定です。
Type
タイプは、標準または非標準のいずれかです。
タイプは、グループ内のサーバが非標準属性を
受け入れるかどうかを示します。グループ内の
すべてのサーバが非標準オプションで設定され
ている場合、タイプは「非標準」として表示さ
れます。
Memlocks
メモリ内にあるサーバグループ構造の内部参照
の数。この数は、このサーバグループへの参
照を保持している内部データ構造パケットまた
はトランザクションの数を表します。 Memlocks
は、ストレージ管理のために内部的に使用され
ます。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
129
セキュリティコマンド
switchport port-security aging static
switchport port-security aging static
設定されたセキュアアドレスのポートセキュリティエージングをイネーブルにするには、イン
ターフェイスコンフィギュレーションモードで switchport port-security aging static コマンドを使
用します。エージングをディセーブルにするには、このコマンドの no 形式を使用します。
switchport port-security aging static
no switchport port-security aging static
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドデフォルト
ディセーブル
___________________
コマンドモード
インターフェイスコンフィギュレーション
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン
___________________
例
次の例は、設定されたセキュアアドレスのポートセキュリティエージングをイネーブルにする
方法を示しています。
Controller(config-if)# switchport port-security aging static
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
130
OL-28526-01-J
セキュリティコマンド
tracking（IPv6 スヌーピング）
tracking（IPv6 スヌーピング）
ポートでデフォルトのトラッキングポリシーを上書きするには、IPv6 スヌーピングポリシーコ
ンフィギュレーションモードで tracking コマンドを使用します。
tracking {enable [reachable-lifetime {value | infinite}] | disable [stale-lifetime {value | infinite}
___________________
構文の説明
enable
トラッキングをイネーブルにします。
reachable-lifetime
（任意）到達可能なエントリが到達可能という証明なしで直
接的または間接的に到達可能であると判断される最大時間を
指定します。
• reachable-lifetime キーワードは、enable キーワードでの
み使用可能です。
• reachable-lifetime キーワードを使用すると、ipv6 neighbor
binding reachable-lifetime コマンドによって設定された
グローバル到達可能ライフタイムが上書きされます。
value
ライフタイム値（秒単位）。指定できる範囲は 1 ～ 86400
で、デフォルトは 300 です。
infinite
エントリを永久に到達可能または stale 状態で維持します。
disable
トラッキングをディセーブルにします。
stale-lifetime
（任意）時間エントリを stale 状態で維持します。これによ
り、グローバル stale-lifetime 設定が上書きされます。
• stale ライフタイムは 86,400 秒です。
• stale-lifetime キーワードは、disable キーワードでのみ使
用可能です。
• stale-lifetime キーワードを使用すると、ipv6 neighbor
binding stale-lifetime コマンドによって設定されたグロー
バル stale ライフタイムが上書きされます。
___________________
コマンドデフォルト
___________________
コマンドモード
時間エントリは、到達可能な状態で維持されます。
IPv6 スヌーピング設定（config-ipv6-snooping）
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
131
セキュリティコマンド
tracking（IPv6 スヌーピング）
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン tracking コマンドにより、このポリシーが適用されるポートの ipv6 neighbor tracking コマンドで
設定されたデフォルトのトラッキングポリシーが上書きされます。この機能は、たとえば、エン
トリを追跡しないが、エントリが盗まれないようにするためにエントリをバインディングテーブ
ルで保持する場合に、信頼できるポートで役立ちます。
reachable-lifetime キーワードは、エントリが到達可能という証明なしで、追跡によって直接的ま
たは IPv6 スヌーピングによって間接的に到達可能であると見なされる最大時間です。
reachable-lifetime 値に到達すると、エントリは stale に移行します。トラッキングコマンドで
reachable-lifetime キーワードを使用すると、ipv6 neighbor binding reachable-lifetime コマンドに
よって設定されたグローバル到達可能ライフタイムが上書きされます。
stale-lifetime キーワードは、エントリが直接的または間接的に削除されるまでテーブルで維持さ
れる最大時間、または到達可能であることが証明される最大時間です。 tracking コマンドで
reachable-lifetime キーワードを使用すると、ipv6 neighbor binding stale-lifetime コマンドによって
設定されたグローバル stale ライフタイムが上書きされます。
___________________
例
次の例では、IPv6 スヌーピングポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピン
グポリシーコンフィギュレーションモードにし、エントリがバインディングテーブルで永久に
維持されるように信頼できるポートで設定する方法を示します。
Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# tracking disable stale-lifetime infinite
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
132
OL-28526-01-J
セキュリティコマンド
trusted-port
trusted-port
信頼できるポートにするポートを設定するには、IPv6 スヌーピングポリシーモードまたは ND イ
ンスペクションポリシーコンフィギュレーションモードで trusted-port コマンドを使用します。
この機能をディセーブルにするには、このコマンドの no 形式を使用します。
trusted-port
no trusted-port
___________________
構文の説明
このコマンドには引数またはキーワードはありません。
___________________
コマンドデフォルト
信頼できるポートはありません。
___________________
コマンドモード
ND インスペクションポリシー設定（config-nd-inspection）
IPv6 スヌーピング設定（config-ipv6-snooping）
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン trusted-port コマンドをイネーブルにすると、このポリシーを持つポートでメッセージを受信した
場合に、制限された検証が実行されるか、検証が実行されません。ただし、アドレススプーフィ
ングから保護するため、搬送するバインディング情報を使用してバインディングテーブルを維持
できるようにメッセージが分析されます。これらのポートで検出されたバインディングは、信頼
できるように設定されていないポートから受信したバインディングよりも信頼できると見なされ
ます。
___________________
例
次の例では、NDP ポリシー名を policy1 として定義し、スイッチを NDP インスペクションポリ
シーコンフィギュレーションモードにし、ポートを信頼できるように設定する方法を示します。
Controller(config)# ipv6 nd inspection policy1
Controller(config-nd-inspection)# trusted-port
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
133
セキュリティコマンド
trusted-port
次の例では、IPv6 スヌーピングポリシー名を policy1 として定義し、スイッチを IPv6 スヌーピン
グポリシーコンフィギュレーションモードにし、ポートを信頼できるように設定する方法を示
します。
Controller(config)# ipv6 snooping policy policy1
Controller(config-ipv6-snooping)# trusted-port
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
134
OL-28526-01-J
セキュリティコマンド
wireless dot11-padding
wireless dot11-padding
無線フレームパディングをイネーブルにするには、wireless dot11-padding コマンドを使用しま
す。ディセーブルにするには、このコマンドの no 形式を使用します。
wireless dot11-padding
no wireless dot11-padding
___________________
コマンドデフォルト
ディセーブル
___________________
コマンドモード
config
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインなし。
___________________
例
次の例では、無線フレームパディングをイネーブルにする方法を示します。
Controller#configure terminal
Enter configuration commands, one per line.
Controller(config)#wireless dot11-padding
End with CNTL/Z.
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
135
セキュリティコマンド
wireless security dot1x
wireless security dot1x
IEEE 802.1x グローバルコンフィギュレーションを設定するには、wireless security dot1x コマンド
を使用します。
wireless security dot1x [eapol-key {retries retries| timeout milliseconds}| group-key interval sec|
identity-request {retries retries| timeout seconds}| radius [call-station-id] {ap-macaddress|
ap-macaddress-ssid| ipaddress| macaddress}| request {retries retries| timeout seconds}| wep key {index
0| index 3}]
___________________
構文の説明
eapol-key
eapol-key に関連するパラメータを設定します。
retries retries
（任意）コントローラが無線クライアントに EAPOL（WPA）キー
メッセージを再送信する最大回数（0～4）を指定します。
デフォルト値は 2 です。
timeout milliseconds
（任意）EAP または WPA/WPA-2 PSK を使用して無線クライアントに
EAPOL（WPA）キーメッセージを再送信するまでにコントローラが
待機する時間（200 ～ 5000 ミリ秒）を指定します。
デフォルト値は 1000 ミリ秒です。
group-key interval sec
EAP ブロードキャストキーの更新間隔を秒単位で設定します（120 ～
86400 秒）。
identity-request
EAP ID 要求に関連するパラメータを設定します。
retries retries
（任意）コントローラが EAP ID を要求する回数（0 ～ 4）の最大数を
指定します。
デフォルト値は 2 です。
timeout seconds
（任意）無線クライアントに EAP ID 要求メッセージを再送信するま
でにコントローラが待機する時間（1 ～ 120 秒）を指定します。
デフォルト値は 30 秒です。
radius
RADIUS メッセージを設定します。
call-station-id
（任意）RADIUS メッセージで送信される呼出端末 ID を設定します。
ap-macaddress
呼出端末 ID タイプを AP の MAC アドレスに設定します。
ap-macaddress-ssid
呼出端末 ID タイプを「AP MAC address':'SSID」に設定します。
ipaddress
システムの IP アドレスに呼出端末 ID タイプを設定します。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
136
OL-28526-01-J
セキュリティコマンド
wireless security dot1x
macaddress
呼出端末 ID タイプをシステムの MAC アドレスに設定します。
request
EAP 要求に関連するパラメータを設定します。
retries retries
（任意）ID 要求以外の EAP メッセージまたは EAPOL（WPA）キー
メッセージの場合、コントローラが無線クライアントにメッセージを
再送信する最大回数（0 ～ 20）を指定します。
デフォルト値は 2 です。
timeout seconds
（任意）ID 要求以外の EAP メッセージまたは EAPOL（WPA）キー
メッセージの場合、無線クライアントにメッセージを再送信するまで
にコントローラが待機する時間（1 ～ 120 秒）を指定します。
デフォルト値は 30 秒です。
___________________
コマンドデフォルト
wep key
802.1x WEP に関連するパラメータを設定します。
index 0
WEP キーインデックス値を 0 として指定します
index 3
WEP キーインデックス値を 3 として指定します
eapol-key-timeout のデフォルト値：1 秒。
eapol-key-retries のデフォルト値：2 秒。
___________________
コマンドモード
___________________
コマンド履歴
config
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインなし。
___________________
例
この例では、wireless security dot1x 下のすべてのコマンドを示します。
Controller#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)#wireless security dot1x ?
eapol-key
Configure eapol-key related parameters
group-key
Configures EAP-broadcast key renew interval time in seconds
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
137
セキュリティコマンド
wireless security dot1x
identity-request
radius
request
wep
<cr>
Configure
Configure
Configure
Configure
EAP ID request related parameters
radius messages
EAP request related parameters
802.1x WEP related paramters
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
138
OL-28526-01-J
セキュリティコマンド
wireless security lsc
wireless security lsc
ローカルで有効な証明書を設定するには、wireless security lsc コマンドを使用します。
wireless security lsc {ap-provision [auth-list mac-addr| revert number]| other-params key-size|
subject-params country state city orgn dept email| trustpoint trustpoint}
___________________
構文の説明
ap-provision
アクセスポイントプロビジョンリストの設定を指定します。
auth-list mac-addr
プロビジョニングリスト許可の設定を指定します。
revert number
デフォルトの証明書に戻る前にアクセスポイントが LSC を使
用してコントローラに接続しようとする回数を指定します。最
大試行回数は 255 以下にする必要があります。
other-params key-size
デバイス証明書キーサイズの設定を指定します。
subject-params country state city デバイス証明書の設定を指定します。認証局の国、州、市、組
orgn dept email
織、部門、および電子メール。
trustpoint trustpoint
___________________
コマンドデフォルト
なし
___________________
コマンドモード
config
___________________
コマンド履歴
LSC トラストポイントを指定します。
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン
1 つの CA サーバだけを設定できます。異なる CA サーバを設定するには、config certificate lsc
ca-server delete コマンドを使用して設定された CA サーバを削除し、異なる CA サーバを設定しま
す。
アクセスポイントプロビジョニングリストを設定する場合は、AP プロビジョニングを有効にし
たときに（手順 8）プロビジョニングリストのアクセスポイントだけがプロビジョニングされま
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
139
セキュリティコマンド
wireless security lsc
す。アクセスポイントプロビジョニングリストを設定しない場合は、MIC または SSC 証明書を
持つ、コントローラに接続するすべてのアクセスポイントが LSC プロビジョニングされます。
___________________
例
次に、例を示します。
Controller#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)#wireless security lsc ?
ap-provision
Provisioning the AP's with LSC's
other-params
Configure Other Parameters for Device Certs
subject-params Configure the Subject Parameters for Device Certs
trustpoint
Configure LSC Trustpoint
<cr>
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
140
OL-28526-01-J
セキュリティコマンド
wireless security strong-password
wireless security strong-password
強力なパスワードの施行オプションを設定するには、wireless security strong-password コマンドを
使用します。強力なパスワードをディセーブルにするには、このコマンドの no 形式を使用しま
す。
wireless security strong-password
no wireless security strong-password
___________________
コマンドデフォルト
なし。
___________________
コマンドモード
config
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインなし。
___________________
例
次の例では、ワイヤレスセキュリティに強力なパスワードを設定する方法を示します。
Controller#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)#wireless security strong-password
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
141
セキュリティコマンド
wireless wps ap-authentication
wireless wps ap-authentication
アクセスポイントのネイバー認証を設定するには、wireless wps ap-authentication コマンドを使用
します。アクセスポイントのネイバー認証を削除するには、このコマンドの no 形式を使用しま
す。
wireless wps ap-authentication [threshold value]
no wireless wps ap-authentication [threshold]
___________________
構文の説明
threshold value
___________________
コマンドデフォルト
なし。
___________________
コマンドモード
config
___________________
コマンド履歴
WMM 対応クライアントがワイヤレス LAN 上に存在することを指定
します。しきい値（1 ～ 255）。
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインなし。
___________________
例
次の例では、WMM 対応クライアントのしきい値を設定する方法を示します。
Controller#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)#wireless wps ap-authentication threshold 65
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
142
OL-28526-01-J
セキュリティコマンド
wireless wps auto-immune
wireless wps auto-immune
サービス拒否（DoS）攻撃からの保護をイネーブルにするには、wireless wps auto-immune コマン
ドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。
wireless wps auto-immune
no wireless wps auto-immune
___________________
コマンドデフォルト
ディセーブル
___________________
コマンドモード
config
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドライン
潜在的な攻撃者は特別に作成したパケットを使用し、正規のクライアントを攻撃者として処理す
るように侵入検知システム（IDS）を誘導する場合があります。それによって、コントローラは
この正規のクライアントの接続を解除し、DoS 攻撃が開始されます。自己免疫機能は、有効な場
合にこのような攻撃を防ぐように設計されています。ただし、自己免疫機能を有効にすると、
Cisco 792x フォンを使用した会話が断続的に中断されることがあります。 792x フォンを使用して
いるときに頻繁に中断されるようであれば、この機能を無効にしてください。
___________________
例
次に、例を示します。
Controller#configure terminal
Enter configuration commands, one per line.
Controller(config)#wireless wps auto-immune
End with CNTL/Z.
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
143
セキュリティコマンド
wireless wps cids-sensor
wireless wps cids-sensor
Wireless Protection System（WPS）の侵入検知システム（IDS）センサーを設定するには、wireless
wps cids-sensor コマンドを使用します。 Wireless Protection System（WPS）の侵入検知システム
（IDS）センサーを削除するには、このコマンドの no 形式を使用します。
wireless wps cids-sensor index [ip-address ip-addr username username password password_type password]
no wireless wps cids-sensor index
___________________
構文の説明
index
IDS センサーの内部インデックスを指定します。
ip-address ip-addr username username IDS センサーの IP アドレス、IDS センサーのユーザ名、パ
password password_type password
スワードタイプ、および IDS センサーのパスワードを指
定します。
___________________
コマンドデフォルト
ディセーブル
___________________
コマンドモード
config
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインなし
___________________
例
次の例では、IDS インデックス、IDS センサーの IP アドレス、IDS ユーザ名、および IDS パスワー
ドで侵入検知システムを設定する方法を示します。
Controller#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)#wireless wps cids-sensor 1 10.0.0.51 Sensor_user0doc1 passowrd01
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
144
OL-28526-01-J
セキュリティコマンド
wireless wps client-exclusion
wireless wps client-exclusion
クライアント除外ポリシーを設定するには、wireless wps client-exclusion コマンドを使用します。
クライアント除外ポリシーを削除するには、このコマンドの no 形式を使用します。
wireless wps client-exclusion {all| dot11-assoc| dot11-auth| dot1x-auth| ip-theft| web-auth}
no wireless wps client-exclusion {all| dot11-assoc| dot11-auth| dot1x-auth| ip-theft| web-auth}
___________________
構文の説明
dot11-assoc
802.11 アソシエーションに連続 5 回失敗すると、コントローラがクライア
ントを 6 回目の試行から除外することを指定します。
dot11-auth
802.11 認証に連続 5 回失敗すると、コントローラがクライアントを 6 回目
の試行から除外することを指定します。
dot1x-auth
802.11X 認証に連続 5 回失敗すると、コントローラがクライアントを 6 回
目の試行から除外することを指定します。
ip-theft
IP アドレスがすでに別のデバイスに割り当てられている場合、コントロー
ラがクライアントを除外することを指定します。
web-auth
Web 認証に連続 3 回失敗すると、コントローラがクライアントを 4 回目の
試行から除外することを指定します。
all
コントローラが上記のすべての理由でクライアントを除外することを指定
します。
___________________
コマンドデフォルト
イネーブル
___________________
コマンドモード
config
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインなし。
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
145
セキュリティコマンド
wireless wps client-exclusion
___________________
例
次の例では、5 回連続で失敗した場合に、クライアントに対する 802.11 アソシエーションの試行
をディセーブルにする方法を示します。
Controller#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)#wireless wps client-exclusion dot11-assoc
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
146
OL-28526-01-J
セキュリティコマンド
wireless wps mfp infrastructure
wireless wps mfp infrastructure
管理フレーム保護（MFP）を設定するには、wireless wps mfp infrastructure コマンドを使用しま
す。管理フレーム保護（MFP）を削除するには、このコマンドの no 形式を使用します。
wireless wps mfp infrastructure
no wireless wps mfp infrastructure
___________________
コマンドデフォルト
なし。
___________________
コマンドモード
config
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインなし。
___________________
例
次の例では、インフラストラクチャ MFP をイネーブルにする方法を示します。
Controller#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)#wireless wps mfp infrastructure
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
147
セキュリティコマンド
wireless wps rogue
wireless wps rogue
さまざまな不正なパラメータを設定するには、wireless wps rogue コマンドを使用します。
wireless wps rogue {adhoc| client} [alert mac-addr| contain mac-addr no-of-aps]
___________________
構文の説明
adhoc
独立型基本サービスセット（IBSS またはアドホック）の不正なアクセス
ポイントのステータスを設定します。
client
不正なクライアントを設定します。
alert mac-addr
アドホックの不正なアクセスポイントを検出すると SMNP トラップを生
成し、システム管理者に即座にアラートを発信し、アドホックの不正なア
クセスポイントの MAC アドレスに対する必要な措置を促します。
contain mac-addr
no-of-aps
加害デバイスを阻止し、その信号が正規クライアントを阻害しないように
します。
アドホックの不正なアクセスポイントをアクティブに阻止するために割
り当てられた、シスコのアクセスポイントの最大数（1 ～ 4）。
___________________
コマンドデフォルト
なし。
___________________
コマンドモード
任意のコマンドモード
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインなし。
___________________
例
次の例では、システム管理者に即座にアラートを発信し、アドホックの不正なアクセスポイント
の MAC アドレスに対する必要な措置を促す方法を示します。
Controller#configure terminal
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
148
OL-28526-01-J
セキュリティコマンド
wireless wps rogue
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)#wireless wps rouge adhoc alert mac_addr
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
149
セキュリティコマンド
wireless wps shun-list re-sync
wireless wps shun-list re-sync
回避リストのコントローラをモビリティグループ内の他のコントローラと同期させるには、wireless
wps shun-list re-sync コマンドを使用します。
wireless wps shun-list re-sync
___________________
コマンドデフォルト
なし。
___________________
コマンドモード
任意のコマンドモード
___________________
コマンド履歴
リリース
変更内容
Cisco IOS XE 3.2SE
このコマンドが導入されました。
___________________
使用上のガイドラインなし。
___________________
例
次の例では、コントローラが回避リストの他のコントローラと同期するように設定する方法を示
します。
Controller#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Controller(config)#wireless wps shun-list re-sync
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
150
OL-28526-01-J
索引
A
M
access-session mac-move deny コマンド 31
authentication mac-move permit コマンド 35
authentication priority コマンド 37
mab request format attribute 32 コマンド 92
N
C
cisp enable 42
clear errdisable interface vlan 44
clear mac address-table コマンド 46
no mab logging verbose 98
no authentication logging verbose 94
no dot1x logging verbose 96
P
permit コマンド 100
D
deny コマンド 48
dot1x test timeout 65
dot1x supplicant force-multicast コマンド 61
E
S
security passthru コマンド 107
show cisp コマンド 120
show eap コマンド 124
epm access-control open コマンド 70
W
I
ip admission name コマンド 73
ip device tracking maximum コマンド 76
ip device tracking probe コマンド 77
ip dhcp snooping verify no-relay-agent-address 83
ip verify source コマンド 86
wireless dot11-padding コマンド 135
wireless security dot1x コマンド 136
wireless security lsc コマンド 139
wireless security strong-password コマンド 141
wireless wps ap-authentication コマンド 142
wireless wps auto-immune コマンド 143
wireless wps cids-sensor コマンド 144
wireless wps client-exclusion コマンド 145
wireless wps mfp infrastructure コマンド 147
wireless wps rogue コマンド 148
wireless wps shun-list re-sync コマンド 150
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
OL-28526-01-J
IN-1
索引
セキュリティコマンドリファレンス、Cisco IOS XE Release 3SE（Cisco WLC 5700 シリーズ）
IN-2
OL-28526-01-J

Download Report

ダウンロード

Paperzz.com

Your Paperzz