特権モードで実行コマンド
設定ではないですが、困ったときのコマンドとなります。
| write | 設定の保存 ※推奨はcopyコマンド |
| write erase | 設定の削除 |
| delete vlan.dat | Vlanの設定の削除 |
| boot system flash:**** | ****任意のファイルをSW起動時に読み込みさせる設定。 |
| archive download-sw (送信プロトコル) | 圧縮ファイルをSWに転送する |
| clear arp-cache | ARPテーブルのキャッシュをクリア |
| clock set (hh:mm:ss 日付 月 年) | SWの時刻をセットする |
無効推奨の設定
基本的にOFFにしておいたほうが良い機能となります。
| no service pad | X.25で使用するPAD(Packet Assembler/Disassembler)機能を無効 |
| no setup express | モードボタンを押し続けても初期化&再起動されなくなる |
| no cdp run | CDP(Cisco Discovery Protocol)を無効にする |
| no ip domain-lookup | DNS機能を無効にする。有効だと間違えたコマンドでも毎度DNSに問い合わせてしまう。 |
| no ip http server | HTTPサーバ機能を無効にする |
| no ip http secure-server | HTTPSサーバ機能を無効にする *有効にすると crypto pki trustpoint・・・・・・・と表示される |
| no service dhcp | DHCPサーバ機能を無効にする |
| no ip bootp server | 他のルータがこのルータから起動することを可能にする機能を無効にする |
| no ip finger | リモートからユーザリストを得られるUNIXのユーザ検索機能を無効にする |
| no boot network | ルータがコンフィグをTFTPでロードするように試みる機能を無効にする |
| no ip source-route | 送信元ホストに転送経路上のルータを明示的に指定する機能を無効にする、 有効の場合は送信元ホストは、希望するルータを必ず経由して送信先ホストへ到達するようなIPパケットを発信することが可能になる。 パケットをあたかも信頼できるホストから来るように見せかけられるので, こういうパケットは基本セキュリティの為にnoで無効にします。 |
SW全体設定
| configuration mode exclusive auto | すでにコンフィグレーションモードに入っているユーザがいるとコンフィグレーションモードに入れなくする |
| hostname “任意のホストNAME” | SWの名前を設定 |
| username ****** privilege 15 secret password | TELNET接続するユーザとパスワードを設定。privilege 15は特権モードでSWに入れる。シークレットパスワードは暗号化される |
| username ***** password 7 ****** | TELNETで操作するユーザとパスワードの設定(7はパスワードの暗号化) |
| ip name-server | 参照するDNSサーバの指定を設定する ※6個まで設定可能 ※ip domain-lookupも有効にしましょう |
| ip host “ホストNAME” “A,B,C,D” | アドレスとホスト名をリンクさせる |
| service timestamps debug datetime localtime show-timezone | SWの変更作業かLogの出力時にタイムスタンプを表示させる |
| service timestamps log datetime msec localtime show-timezone | ログメッセージをミリ秒まで表示させるためには「msec」、 機器本体のローカルタイムゾーンを時刻に反映させるためには「localtime」、 タイムゾーンを表示させるためには「show-timezone」の値を入力。 |
| service password-encryption | パスワードの表示を暗号化する |
| service sequence-numbers | ログのメッセージにシーケンス番号を表示させる |
| logging buffered 16384 | SW内に16384バイトの容量分のLogを保存する |
| enable secret ***** | 特権モードに移行するときのパスワード設定 |
| aaa new-model | VTY、TTY、Console、AUXのログインに対するAAA認証が有効になる。 AAAとは 「Authentication 認証」「Authorization 権限を与える」「Accounting アカウンティング」 |
| clock timezone JST 9 | ルータはデフォルトでタイムゾーンがUTC(世界標準)になっているため、日本時間に修正する必要がある。 9というのはUTCに9時間プラスするという意味で必須。 |
| file verify auto | コピー( copy コマンドを使用)またはリロード( reload コマンドを使用)されるすべてのイメージが自動的に検証されます。 3750/3560シリーズだと有効にするとこのエラーメッセージが出る:%SIGNATURE-3-NOT_ABLE_TO_PROCESS: %ERROR: |
| vtp mode [ server | client | transparent ] | VTP(VLAN trunking protocol)のモードをトランスペアレント・モードに設定する デフォルトはサーバモード ・サーバ=VLANの作成・変更・削除が可能。その情報を他のスイッチに通知 ・トランスペアレント=VLANの作成・変更・削除が可能。自分のVLAN情報は通知しない。他のTP情報はスルー。 ・クライアント= VLANの作成・変更・削除はできない。他のスイッチから通知されたVLAN情報を使う。 |
| ip subnet-zero | IPアドレスのクラスを意識せずにアドレスを設定できるようになる デフォルトではON |
| ip routing | マルチレイヤスイッチでルーティング機能を使いたいときに使用 ルータはデフォルトで有効 |
| ip multicast-routing distributed | マルチキャストルーティングを有効にする |
| login on-failure | ロギングオプションを有効にする ユーザがSWにログインが失敗するとLogを生成する |
| login on-success | ロギングオプションを有効にする ユーザがSWにログインが成功するとLogを生成する |
| mls qos | QoSを有効にする |
| port-channel load-balance [dst-ip | dst-mac | src-ip | src-mac src-dst-ip | src-dst-mac] | イーサチャネルのフレームを送信するときの振り分け方法の設定 dst-ip=宛先IPアドレス dst-mac=宛先MACアドレス src-ip=送信元IPアドレス src-mac=送信元MACアドレス src-dst-ip=送信先・元のIPアドレス src-dst-mac=送信先・元のMACアドレス |
| authentication mac-move permit | SW上で MAC 移動をイネーブルにすると認証されたホストをSWのポート間で移動できます。 ポートセキュリティ対応ホストがポートを移動した場合、違反エラーが発生します。 |
| spanning-tree mode [mst | pvst | rapid-pvst ] | STPのモード設定 ※詳細はSTP説明にて |
| spanning-tree extend system-id | 拡張システム ID をイネーブルにする |
| spanning-tree etherchannel guard misconfig | SWと接続したデバイス間での EtherChannel の設定の矛盾を検出できる。 相手SWにポートチャネルを設定して無かった時などに検出する。 デフォルトで有効 |
| spanning-tree vlan *,*,* | スパニングツリーを有効にするVlanの設定 |
| spanning-tree vlan 255 priority 0 | Vlan255のプライオリティを0に設定する。値が小さいほうがルートSWになる プライオリティ値には、4096の倍数を設定する。デフォルトは32768 0→4096→8192・・32768・・61440 |
| vlan *,*,*,* | VLANを作成する(複数作成可能) |
| vlan internal allocation policy ascending | 内部VLANと呼ばれる特殊なVLANをSWが勝手に作るので、内部 VLAN を 1006 から上方向に割り当てるには、ascending ・ 4094 から下方向に割り当てるには、descending キーワードを入力 |
| track (track-ID) interface/IP (指定インターフェース) line-protocol/ip routing | HSRPでtrack指定をできる |
| file verify auto | %SIGNATURE-3-NOT_ABLE_TO_PROCESS: %ERROR: このエラーメッセージが表示されるのは 3750/3560 でのリブート中で、file verify auto コマンドが設定されている場合。その際に無効にする。 |
| power redundancy-mode (combined/redundant) | 電源を冗長化する際に使用。 Combined:シングル redundant:冗長化 |
| service compress-config | コンフィグの圧縮 |
| vrf definition Mgmt-vrf | マネージメント専用ポート用のVRF |
| ip ftp source-interface | FTPコマンドを実行する時にソースインターフェース・ユーザ名・パスワードを指定できる。 copy tftp コマンドで VRF 名を指定するオプションがないため |
インターフェース設定
| interface Loopback0 | 仮想的なインタフェースでルータ自身がダウンしない限りダウンすることがない特殊なインタフェースとなります。 OSPFのルータIDなどに利用される ※インターフェースコンフィグレーションモードへ移行 |
| interface FastEthernet*/* interface GigabitEthernet*/* |
インターフェースの設定 ※インターフェースコンフィグレーションモードへ移行 |
| interface Vlan ** | vlanインターフェースの設定 ※Vlanコンフィグレーションモードへ移行 |
| description “説明文” | 説明分の設定 |
| cdp enable | ポートごとにCDPを有効/無効の設定 |
| switchport mode (access | trunk | dynamic) | ポートのモードを設定 |
| switchport access vlan ** | アクセスポートVlnaを設定 |
| switchport trunk encapsulation (dot1q | isl) | トランクのカプセル化を指定 ほとんどdot1qしか使わない |
| switchport trunk native vlan 901 | naitiveVlan901に設定 nairiveVlanとはVlanタグを付けないで送信するVlanで、トランクポートからもTELNET接続が可能になる。 セキュリティ上は非推奨 |
| switchport trunk allowed vlan *.*.* | ポートで通過させるVlanの設定 |
| switchport trunk allowed vlan add 111 | トランクポートにVlan111を追加する (add)を入れないとVlan111が追加ではなく上書きされてしまうので注意。 |
| switchport trunk allowed vlan remove *** | トランクからVlanを削除 |
| no switchport | ポートをルーテッドポートにする。 ルーテッドポートはスイッチ(L2)機能を無効にし、ルータ(L3)機能のポートになる。 |
| ip address (IPアドレス) (サブネットマスク) | ポートに設定するIPアドレス。 物理ポートに設定する場合はルーテッドポートでなければならない。 |
| switchport nonegotiate | DTPネゴシエートフレームをポートから送信しないようにする。 トランクリンクを確立する為には、隣接ポートを手動でトランクI/Fとして設定する必要があります。 DTPのサポートのない機器と接続する時はこのモードを使用。 |
| ip unreachables | ICMP到達不能通知を有効にする。 転送先のないパケットをルータが受け取ったときに「ICMP unreachable」を送信元に返信する。 |
| ip proxy-arp | アープの要求が来たら自分のMacアドレスを返答する |
| logging event link-status | UP/DOWN および CHANGE メッセージをログに記録する。 |
| storm-control [broadcast | multicast | unicast] {level **% | bps ** | pps **} | 設定したポートで上限・下限しきい値に到達すると、ポートはトラフィックをブロックする。 |
| snmp trap link-status | snmpのトラップを上げるようにする。 |
| port-type (eni | nni | uni) |
Cisco ME スイッチでサポートするコマンド. |
SW全体設定②
| ip classless | 有効にするとデフォルトルートが使用可能になる 無効の場合、デフォルトルートを設定しても、未知の宛先のパケットは廃棄される。 |
|||||||||||||||||||||||||||
| ip http authentication local | HTTP/HTTPSアクセス時にローカル認証を使用するように定義 | |||||||||||||||||||||||||||
| logging source-interface Loopback0 | ログを転送する際の送信元interfaceを指定 | |||||||||||||||||||||||||||
| logging host *.*.*.* | ログの転送先(syslog server)を指定 | |||||||||||||||||||||||||||
| logging facility ファシリティtype | syslogサーバに送信する際のFacility指定 ( local0 ~ local7 のどの値を使用するかはsyslogサーバの管理者に確認 ) |
|||||||||||||||||||||||||||
| logging trap levelキーワード |
logを送信するLEVELを指定。デフォルトはdebugging
|
|||||||||||||||||||||||||||
| process cpu threshold type total rising 80 interval 5 | 全体の CPU 使用率が 5 秒以上 80% を超え続けると、上昇しきい値通知が送信されます | |||||||||||||||||||||||||||
| ntp server 0.0.0.0 (prefer) | NTPサーバの設定 preferはNTPサーバを複数指定した場合、preferを指定したサーバを優先して同期する |
|||||||||||||||||||||||||||
| ntp source I/F | NTPサーバと時刻同期する際に、送信元アドレスを指定したい場合に設定 | |||||||||||||||||||||||||||
| ntp master <stratum 1-15> | NTPサーバとして動作 | |||||||||||||||||||||||||||
| ntp peer <addr> | NTPサーバ同士で同期 |
コメント