verify /md5 bootflash:ios.bin
show startup-config
show interfaces status
show interface transceiver
show interfaces counters
show interfaces counters errors
show interface
show etherchannel summary
show etherchannel detail
show lacp neighbor detail
show vlan
show interface trunk
show spanning-tree summary
show spanning-tree
show ip route
show ip route ospf
show ip ospf neighbor
show ip ospf database
show standby brief
show ip arp
show mac address-table
show ntp status
show ntp association
show version
show license
show flash
show post
show boot
show env all
show inventory raw
show logging
CCNP memo
■ポートセキュリティ設定
switchport mode access
switchport port-security maximum 3
switchport port-security mac-address 0000.0c07.ac11
switchport port-secutiry mac-address sticky
switchport port-security violation restrict
switchport port-security aging time 60
switchport port-security aging type absolute (inactivity)
switchport port-security
■err-disableの自動復旧
err-disable recovery cause udld
channel-misconfig
bpduguard
psecure-violation
■AAAの設定(802.1X)
aaa new-model
aaa authentication dot1x default group radius
dot1x system-auth-control
radius-server host 10.1.1.1 auth-port 1812 key PASSWORD
int gi 0/1
switchport mode access
switchport access vlan 100
dot1x port-control auto (force-authorized | force-unauthorized)
■AAAの設定(802.1X)新コマンド
aaa new-model
aaa authentication dot1x default group GRPNAME
dot1x system-auth-control
radius server SVNAME1
address ipv4 10.1.1.1 auth-port 1812
key PASSWORD
aaa group server radius GRPNAME
server name SVNAME1
server name SVNAME2
■Radiusでベンダー固有情報を使用する際の設定
(config)# radius-server vsa send
■ストームコントロール設定
int gi 0/1
storm-control broadcast level 50 30
storm-control unicast level bps 100m
storm-control multicast level pps 50k 20k
storm-control action trap (shutdown)
■DHCPスヌーピング設定
ip dhcp snooping
ip dhcp snooping vlan 10-20
ip dhcp snooping information option allow-untrused
int gi 0/1
ip dhcp snooping limit rate 50
int gi 0/24
ip dhcp snooping trust
■IPソースガード設定
ip dhcp snooping
ip dhcp snooping vlan 10-20
int gi 0/1
ip verify source port-security
int gi 0/24
ip dhcp snooping trust
■IPソースバインディング手動設定
ip source binding 0000.0c07.ac11 vlan 10 192.168.1.1 interface gi0/1
■DAIが設定可能なポートの種類は
・アクセスポート
・トランクポート
・EtherChannelポート
・プライベートVLANポート
■DAI設定
(config)# ip dhcp snooping
(config)# ip dhcp snooping vlan 10-20
(config)# ip arp inspection vlan 10-20
(config)# ip arp inspection validate ip (src-mac | dst-mac)
(config)# int gi 0/24
(config-if)# ip dhcp snooping trust
(config-if)# ip arp inspection trust
■スイッチスプーフィング対策
・ポートシャットダウン
・アクセスポートにし、未使用VLAN割り当て
・トランクポートで通過VLANを限定
■VLANホッピング対策
・ネイティブVLANを未使用VLANにする
・ネイティブVLANをトランクから除外する(プルーニング)
・ネイティブVLANにタグ付けする
(config)# vlan dot1q tag native
■プライベートVLAN設定
vtp mode transparent
vtp version 3
vlan 101
private-vlan isolated
vlan 102
private-vlan community
vlan 100
private-vlan primary
private-vlan association 101-102
int gi 0/1
switchport private-vlan host-association 100 101
switchport mode private-vlan host
int gi 0/24
switchport private-vlan host-association 100 102
switchport mode private-vlan promiscous
■プライベートVLANのプライマリVLANはいくつ作成できるか
⇒1つだけ
■隔離VLANはいくつ作成できるか
⇒1つだけ
■コミュニティVLANはいくつ作成できるか
⇒複数可能
■VACLの設定
access-list 100 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255
mac access-list extended MACLIST
permit any host 0000.0c07.ac11
vlan access-map NAME 10
match ip address 100
action drop
vlan access-map NAME 20
match mac address MACLIST
action log
vlan access map NAME 30
action forward
vlan filter NAME vlan-list 10-20
show access-list
show vlan access-map
show vlan filter