『Cisco Identity Services Engine CLI Reference Guide, Release 2.0』
コンフィギュレーション モードの Cisco ISE CLI コマンド
コンフィギュレーション モードの Cisco ISE CLI コマンド

目次

コンフィギュレーション モードの Cisco ISE CLI コマンド

この章では、Cisco ISE コマンドライン インターフェイス(CLI)のコンフィギュレーション(config)モードで使用するコマンドについて説明します。この章では、コマンドごとに、その使用方法の簡単な説明、コマンドの構文、使用上のガイドライン、および使用例を示します。

EXEC モードでのコンフィギュレーション モードへの切り替え

EXEC モードで configure または configure terminal (conf t) コマンドを実行すると、コンフィギュレーション モードを開始できます。

Cisco ISE CLI から EXEC モードでコンフィギュレーション コマンドを直接入力することはできません。一部のコンフィギュレーション コマンドでは、コマンド コンフィギュレーションを完了するために、コンフィギュレーション サブモードを開始する必要があります。

コンフィギュレーション モードを終了するには、exit または end コマンドを入力するか、Ctrl+z コマンドを押します。

コンフィギュレーション コマンドには、interfacePolicy Listrepository などがあります。

コンフィギュレーション モードで設定作業を実行できます。コンフィギュレーションの変更内容を保存して、システムのリロードや停電時に変更内容が失われないようにする必要があります。

コンフィギュレーションを保存すると、これらのコマンドは、次のいずれかのコマンドを実行した場合に限り、Cisco ISE サーバのリブート後もそのまま有効です。

  • copy running-config startup-config

  • write memory

コンフィギュレーション モードでの Cisco ISE の設定

コンフィギュレーション コマンドおよびコンフィギュレーション サブモード コマンドを入力して、Cisco ISE サーバの実際の設定をコンフィギュレーション モードで変更できます。


    ステップ 1   configure terminal を入力して、コンフィギュレーション モードを開始します。
    
    ise/admin# configure terminal
    Enter configuration commands, one per line. End with CNTL-Z.
    ise/admin(config)# (configuration mode)
    
    ステップ 2   疑問符(?)を入力して、コンフィギュレーション モードのコマンドの一覧を表示します。
    
    ise/admin(config)# ?
    Configure commands:
    cdp               CDP Configuration parameters
    clock             Configure timezone
    conn-limit        Configure a TCP connection limit from source IP
    do                EXEC command
    end               Exit from configure mode
    exit              Exit from configure mode
    hostname          Configure hostname
    icmp              Configure icmp echo requests
    interface         Configure interface
    ip                Configure IP features
    kron              Configure command scheduler
    logging           Configure system logging
    max-ssh-sessions  Configure number of concurrent SSH sessions
    no                Negate a command or set its defaults
    ntp               Specify NTP configuration
    password-policy   Password Policy Configuration
    rate-limit        Configure a TCP/UDP/ICMP packet rate limit from source IP
    repository        Configure Repository
    service           Specify service to manage
    snmp-server       Configure snmp server
    synflood-limit    Configure a TCP SYN packet rate limit
    username          User creation
    
    ステップ 3   コンフィギュレーション サブモードを開始します。コンフィギュレーション モードには数種類のコンフィギュレーション サブモードがあります。各サブモードに入ると、プロンプト階層のさらに深いレベルで操作できます。このレベルから、Cisco ISE コンフィギュレーションに直接コマンドを入力できます。
    
    ise/admin(config)# interface GigabitEthernet 0
    ise/admin(config-GigabitEthernet)#
    
    ステップ 4   コンフィギュレーション モードと EXEC モードの両方を終了するには、コマンド プロンプトで exit を順に入力します。exit と入力すると、Cisco ISE はユーザのレベルを 1 段階戻し、前のレベルに戻します。もう一度 exit と入力すると、Cisco ISE はユーザを EXEC レベルに戻します。
    ise/admin(config)# exit
    ise/admin# exit
    

    コンフィギュレーション サブモードでの Cisco ISE の設定

    コンフィギュレーション サブモードで特定の設定のコマンドを入力できます。このプロンプトを終了してコンフィギュレーション プロンプトに戻る場合は、exit コマンドまたは end コマンドを使用できます。


      ステップ 1   configure terminal を入力して、コンフィギュレーション モードを開始します。
      
      ise/admin# configure terminal
      Enter configuration commands, one per line. End with CNTL-Z.
      ise/admin(config)# (configuration mode)
      
      ステップ 2   コンフィギュレーション サブモードを開始します。
      
      ise/admin# configure terminal
      ise/admin(config)# interface GigabitEthernet 0
      ise/admin(config-GigabitEthernet)# ?
      Configure ethernet interface:
        do        EXEC command
        end       Exit from configure mode
        exit      Exit from this submode
        ip        Configure IP features
        ipv6      Configure IPv6 features
        no        Negate a command or set its defaults
        shutdown  Shutdown the interface
      ise/admin(config-GigabitEthernet)# ip ?
      address  Configure IP address
      
      ステップ 3   コマンド プロンプトで exit を入力して、コンフィギュレーション サブモードとコンフィギュレーション モードの両方を終了します。
      
      ise/admin(config-GigabitEthernet)# exit
      ise/admin(config)# exit
      ise/admin#
      

      CLI コンフィギュレーション コマンドのデフォルト設定

      CLI コンフィギュレーション コマンドには、default 形式があることがあります。この形式は、コマンド設定をデフォルト値に戻します。ほとんどのコマンドはデフォルトでディセーブルに設定されているため、この場合はコマンドで default 形式を使用しても no 形式を使用しても同じ結果になります。

      ただし、デフォルトでイネーブルに設定されていて、なおかつ変数が特定のデフォルト値に設定されているコマンドもあります。そのような場合に default 形式のコマンドを使用すると、コマンドがイネーブルになり、変数がデフォルト値に設定されます。

      cdp holdtime

      受信デバイスが Cisco ISE サーバからの Cisco Discovery Protocol パケットを廃棄するまでの保持時間を指定するには、コンフィギュレーション モードで cdp holdtime コマンドを使用します。

      cdp holdtimeseconds

      デフォルト設定に戻すには、このコマンドの no 形式を使用します。

      no cdp holdtime

      構文の説明

      holdtime

      アドバタイズされた Cisco Discovery Protocol の保持時間を指定します。

      秒単位のアドバタイズされた保持時間値。値の範囲は、10 ~ 255 秒です。

      コマンド デフォルト

      CDP 保持時間のデフォルト値は、180 秒です。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      Cisco Discovery Protocol パケットを存続可能時間、つまり保持時間の値とともに送信します。受信デバイスは、保持時間の経過後に、Cisco Discovery Protocol パケットの Cisco Discovery Protocol 情報を廃棄します。

      cdp holdtime コマンドに指定できる引数は 1 つだけです。複数指定した場合は、エラーが発生します。

      
      ise/admin(config)# cdp holdtime 60
      ise/admin(config)#
      

      cdp run

      すべてのインターフェイスで Cisco Discovery Protocol をイネーブルにするには、コンフィギュレーション モードで cdp run コマンドを使用します。

      cdp runGigabitEthernet

      Cisco Discovery Protocol をディセーブルにするには、このコマンドの no 形式を使用します。

      no cdp run

      構文の説明

      run

      Cisco Discovery Protocol をイネーブルにします。cdp run コマンドの no 形式を使用した場合は、Cisco Discovery Protocol がディセーブルになります。

      GigabitEthernet

      (任意)。Cisco Discovery Protocol をイネーブルにする GigabitEthernet インターフェイスを指定します。

      0-3

      Cisco Discovery Protocol をイネーブルにする GigabitEthernet インターフェイス番号を指定します。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      このコマンドでは、1 つのオプションの引数(インターフェイス名)を指定します。オプションのインターフェイス名を指定しない場合、このコマンドは、すべてのインターフェイス上で Cisco Discovery Protocol をイネーブルにします。


      (注)  


      このコマンドのデフォルトでは、すでに実行されているインターフェイスで動作します。インターフェイスの起動時に、最初に Cisco Discovery Protocol を停止します。次に、Cisco Discovery Protocol を起動します。


      
      ise/admin(config)# cdp run GigabitEthernet 0
      ise/admin(config)#
      

      cdp timer

      Cisco ISE サーバが Cisco Discovery Protocol アップデートを送信する頻度を指定するには、コンフィギュレーション モードで cdp timer コマンドを使用します。

      cdp timerseconds

      デフォルト設定に戻すには、このコマンドの no 形式を使用します。

      no cdp timer

      構文の説明

      timer

      指定した間隔で更新されます。

      Cisco ISE サーバが Cisco Discovery Protocol 更新を送信する頻度を秒単位で指定します。値の範囲は、5 ~ 254 秒です。

      コマンド デフォルト

      更新間隔値のデフォルトは 60 秒です。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      Cisco Discovery Protocol パケットを存続可能時間、つまり保持時間の値とともに送信します。受信デバイスは、保持時間の経過後に、Cisco Discovery Protocol パケットの Cisco Discovery Protocol 情報を廃棄します。

      cdp timer コマンドに指定できる引数は 1 つだけです。複数指定した場合は、エラーが発生します。

      
      ise/admin(config)# cdp timer 60
      ise/admin(config)#
      

      clock timezone

      時間帯を設定するには、コンフィギュレーション モードで clock timezone コマンドを実行します。

      clock timezonetimezone

      時間帯をディセーブルにするには、このコマンドの no 形式を使用します。

      no clock timezone

      構文の説明

      タイムゾーン

      システムの時間帯を設定します。

      タイムゾーン

      標準時に表示する時間帯の名前。最大 64 文字の英数字をサポートします。

      プライマリ管理ノード(PAN)の自動フェールオーバー設定をイネーブルにしている場合は、時間帯を設定する前にディセーブルにしてください。時間帯を設定した後でイネーブルに戻すことができます。

      コマンド デフォルト

      協定世界時(UTC)

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      システムの内部的には、UTC での時刻が保持されます。特定の時間帯がわからない場合は、地域、国、都市を入力できます(システムに入力する共通の時間帯およびオーストラリアとアジアの時間帯については、表 4-1、4-2、4-3 を参照)。


      (注)  


      これ以外にも使用可能な時間帯がいくつかあります。show timezones を入力すると、使用可能なすべての時間帯のリストが Cisco ISE サーバに表示されます。該当地域の時間帯に最も適した時間帯を選択します。


      展開内で PAN の自動フェールオーバー設定がイネーブルになっていると、次のメッセージが表示されます。

      PAN Auto Failover is enabled, this operation is not
      allowed! Please disable PAN Auto-failover first.

      
      ise/admin(config)# clock timezone EST
      ise/admin(config)# exit
      ise/admin# show timezone
      EST
      ise/admin#
      

      Cisco ISE ノードの時間帯の復元

      警告 インストール後に Cisco ISE アプライアンス上で時間帯を変更すると、そのノード上で Cisco ISE アプリケーションを使用できなくなります。ただし、初期設定ウィザードで時間帯の設定を求めるプロンプトが表示されたら、優先する時間帯(デフォルト UTC)をインストール中に設定できます。

      時間帯の変更は、導入の異なる Cisco ISE ノード タイプに影響を与えます。

      影響から回復するには、次の手順を使用します。

      スタンドアロンまたはプライマリ ISE ノード

      インストールの後の時間帯の変更は、スタンドアロンまたはプライマリ ISE ノードでサポートされていません。

      誤って時間帯を変更した場合は、次の手順を実行します。

      • 時間帯に戻ります。(変更される前の時間帯)。

      • そのノードの CLI から application reset-config ise コマンドを実行します。

      • そのノードで時間帯が変更される前の、正常な既知の最終バックアップから復元します。

      セカンダリ ISE ノード

      セカンダリ ノードで時間帯を変更すると、導入に使用できなくなります。

      プライマリ ノードの時間帯と同じになるようにセカンダリ ノードの時間帯を変更する場合、次の手順を実行します。

      • セカンダリ ノードの登録を解除します。

      • プライマリ ノードと同じになるように時間帯を修正します。

      • そのノードの CLI から application reset-config ise コマンドを実行します。

      • プライマリ ノードにセカンダリ ノードとしてノードを再登録します。

      共通の時間帯

      表 1 表 4-1 共通の時間帯(続き)

      略語または名前

      時間帯名

      欧州

      GMT、GMT0、GMT-0、GMT+0、UTC、Greenwich、Universal、Zulu

      グリニッジ標準時(UTC)

      GB

      英国

      GB-Eire、Eire

      アイルランド

      WET

      西ヨーロッパ時間(UTC)

      CET

      中央ヨーロッパ標準時(UTC + 1 時間)

      EET

      東ヨーロッパ時間(UTC + 2 時間)

      米国とカナダ

      EST、EST5EDT

      東部標準時、UTC - 5 時間

      CST、CST6CDT

      中央標準時、UTC - 6 時間

      MST、MST7MDT

      山岳部標準時、UTC - 7 時間

      PST、PST8PDT

      太平洋標準時、UTC - 8 時間

      HST

      ハワイ標準時、UTC - 10 時間

      オーストラリアのタイム ゾーン


      (注)  


      オーストラリアの時間帯では、国と都市をスラッシュ(/)で区切って入力します(例:Australia/Currie)。


      表 2 表 4-2 オーストラリアの時間帯(続き)

      オーストラリア

      オーストラリア首都特別地域(ACT)

      Adelaide

      Brisbane

      Broken_Hill

      Canberra

      Currie

      Darwin

      Hobart

      Lord_Howe

      Lindeman

      Lord Howe Island(LHI)

      Melbourne

      North

      New South Wales(NSW)

      Perth

      Queensland

      South

      Sydney

      Tasmania

      Victoria

      West

      Yancowinna

         

      アジアのタイム ゾーン


      (注)  


      アジアの時間帯には、東アジア、南アジア、東南アジア、西アジア、および中央アジアがあります。地域と都市または国をスラッシュ(/)で区切って入力します(例:Asia/Aden)。


      表 3 表 4-3 アジアの時間帯(続き)

      Asia

      Aden

      Almaty

      Amman

      Anadyr

      Aqtau

      Aqtobe

      Ashgabat

      Ashkhabad

      Baghdad

      Bahrain

      Baku

      Bangkok

      Beirut

      Bishkek

      Brunei

      Calcutta

      Choibalsan

      Chongqing

      Colombo

      Damascus

      Dhakar

      Dili

      Dubai

      Dushanbe

      Gaza

      Harbin

      Hong_Kong

      Hovd

      Irkutsk

      Istanbul

      Jakarta

      Jayapura

      Jerusalem

      Kabul

      Kamchatka

      Karachi

      Kashgar

      Katmandu

      Kuala_Lumpur

      Kuching

      クウェート

      Krasnoyarsk

         

      conn-limit

      送信元 IP アドレスからの着信 TCP 接続の制限を設定するには、コンフィギュレーション モードで conn-limit コマンドを使用します。この機能を削除するには、このコマンドの no 形式を使用します。

      構文の説明

      <1-2147483647>

      TCP 接続の数。

      ip

      (任意)。TCP 接続制限を適用する送信元 IP アドレス。

      mask

      (任意)。TCP 接続制限を適用する送信元 IP マスク。

      ポート

      (任意)。TCP 接続制限を適用する宛先ポート番号。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      この conn-limit コマンドは、TCP 接続が 99 を超える場合に使用します。100 未満の接続の場合は、次の警告が表示されます。

      % Warning: Setting a small conn-limit may adversely affect system performance
      

      
      ise/admin(config)# conn-limit 25000 ip 77.10.122.133 port 22
      ise/admin(config)# end
      ise/admin
      

      do

      コンフィギュレーション モードまたは任意のコンフィギュレーション サブモードから EXEC システム レベルのコマンドを実行するには、いずれかのコンフィギュレーション モードで do コマンドを使用します。

      doEXEC commands

      構文の説明

      EXEC commands

      EXEC システム レベルのコマンドを実行することを指定します(表 4-4 を参照)。

      表 4 表 4-4 do コマンドのコマンド オプション(続き)

      コマンド(Command)

      説明

      application configure

      特定のアプリケーションを設定します。

      application install

      特定のアプリケーションをインストールします。

      application remove

      特定のアプリケーションを削除します。

      application reset-config

      アプリケーション コンフィギュレーションを工場出荷時のデフォルト設定にリセットします。

      application reset-passwd

      指定したユーザのアプリケーション パスワードをリセットします。

      application start

      特定のアプリケーションを起動またはイネーブルにします。

      application stop

      特定のアプリケーションを停止またはディセーブルにします。

      アプリケーションのアップグレード

      特定のアプリケーションをアップグレードします。

      backup

      バックアップ(Cisco ISE と Cisco ADE OS)を実行して、そのバックアップをリポジトリに保存します。

      backup-logs

      Cisco ISE サーバに記録されているすべてのログをリモートの場所にバックアップします。

      clock

      Cisco ISE サーバのシステム クロックを設定します。

      configure

      設定モードを開始します。

      copy

      コピー元からコピー先に任意のファイルをコピーします。

      debug

      さまざまなコマンド状況(たとえば、バックアップと復元、コンフィギュレーション、コピー、リソースのロック、ファイル転送、ユーザ管理など)で、エラーまたはイベントを表示します。

      削除

      Cisco ISE サーバ上のファイルを削除します。

      dir

      Cisco ISE サーバのファイルを一覧表示します。

      forceout

      特定の Cisco ISE ノード ユーザのすべてのセッションを強制的にログアウトします。

      halt

      Cisco ISE サーバをディセーブルにするか、シャットダウンします。

      mkdir

      新しいディレクトリを作成します。

      nslookup

      リモート システムの IPv4 または IPv6 アドレス、あるいはホスト名を問い合わせます。

      password

      CLI アカウント パスワードを更新します。

      patch

      パッチ バンドルをインストールする、またはアプリケーションのパッチをアンインストールします。

      ping

      リモート システムの IPv4 アドレスまたはホスト名を特定します。

      ping6

      リモート システムの IPv6 アドレスを特定します。

      reload

      Cisco ISE サーバを再起動します。

      restore

      復元を実行して、リポジトリからバックアップを取得します。

      rmdir

      既存のディレクトリを削除します。

      show

      Cisco ISE サーバに関する情報を提供します。

      ssh

      リモート システムとの暗号化されたセッションを開始します。

      tech

      Technical Assistance Center(TAC)コマンドを提供します。

      telnet

      リモート システムへの Telnet 接続を確立します。

      terminal length

      端末回線のパラメータを設定します。

      terminal session-timeout

      すべてのターミナル セッションに対して、無活動タイムアウトを設定します。

      terminal session-welcome

      すべてのターミナル セッションで表示される初期メッセージをシステムに設定します。

      terminal terminal-type

      現在のセッションの現在の回線に接続されている端末のタイプを指定します。

      traceroute

      リモート IP アドレスのルートをトレースします。

      undebug

      さまざまなコマンド状況(たとえば、バックアップと復元、コンフィギュレーション、コピー、リソースのロック、ファイル転送、ユーザ管理など)で、debug コマンドの出力(エラーまたはイベントの表示)をディセーブルにします。

      write

      強制的にセットアップ ユーティリティを実行してネットワーク コンフィギュレーションをプロンプトするスタートアップ コンフィギュレーションを消去し、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーし、コンソールに実行コンフィギュレーションを表示します。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)# または任意のコンフィギュレーション サブモード(config-GigabitEthernet)# と(config-Repository)#

      使用上のガイドライン

      この do コマンドは、Cisco ISE サーバの設定中に、EXEC コマンド(showcleardebug コマンドなど)を実行する場合に使用します。EXEC コマンドの実行後、システムは使用していたコンフィギュレーション モードに戻ります。

      
      ise/admin(config)# do show run
      Generating configuration...
      !
      hostname ise
      !
      ip domain-name cisco.com
      !
      interface GigabitEthernet 0
        ip address 172.23.90.113 255.255.255.0
        ipv6 address autoconfig
      !
      ip name-server 171.70.168.183
      !
      ip default-gateway 172.23.90.1
      !
      clock timezone EST
      !
      ntp server time.nist.gov
      !
      username admin password hash $1$JbbHvKVG$xMZ/XL4tH15Knf.FfcZZr. role admin
      !
      service sshd
      !
      backup-staging-url nfs://loc-filer02a:/vol/local1/private1/jdoe
      !
      password-policy
        lower-case-required
        upper-case-required
        digit-required
        no-username
        disable-cisco-passwords
        min-password-length 6
      !
      logging localhost
      logging loglevel 6
      !
      --More--
      ise/admin(config)#
      

      終了

      現在のコンフィギュレーション セッションを終了して、EXEC モードに戻るには、コンフィギュレーション モードで end コマンドを使用します。

      このコマンドには、キーワードおよび引数はありません。

      終了

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      このコマンドは、現在のコンフィギュレーション モードやサブモードにかかわらず、EXEC モードに移行します。

      このコマンドは、システム設定を終了し、EXEC モードに戻って、検証手順を実行する場合に使用します。

      
      ise/admin(config)# end
      ise/admin#
      

      exit

      コンフィギュレーション モードを終了して、CLI モード階層で次に高いモードに移行するには、コンフィギュレーション モードで exit コマンドを使用します。

      exit

      このコマンドには、キーワードおよび引数はありません。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      exit コマンドは、Cisco ISE サーバで現在のコマンド モードを終了して、CLI モード階層の次に高いコマンド モードに移行する場合に使用します。

      たとえば、EXEC モードに戻るには、コンフィギュレーション モードで exit コマンドを使用します。コンフィギュレーション サブモードで exit コマンドを使用すると、コンフィギュレーション モードに戻ります。最上位の EXEC モードで exit コマンドを使用すると、EXEC モードを終了して、Cisco ISE サーバから接続解除されます。

      
      ise/admin(config)# exit
      ise/admin#
      

      hostname

      システムのホスト名を設定するには、コンフィギュレーション モードで hostname コマンドを使用します。

      hostnamehostname

      構文の説明

      hostname

      ホストの名前。19 文字までの英数字と下線(_)をサポートします。ホスト名はスペース以外の文字で始める必要があります。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン


      (注)  


      「hostname」コマンドの CLI 設定変更中に「Ctrl+C」を発行すると、ホスト名を変更する場合、一部のアプリケーション コンポーネントは古いホスト名を持ち、他のコンポーネントは新しいホスト名を使用する状態になる可能性があります。これにより、Cisco ISE ノードは機能していない状態になります。

      これを回避するには、別の「hostname」コンフィギュレーション CLI を発行して、ホスト名を目的の値に設定します。


      現在のホスト名を変更するには、hostname コマンドを使用します。シングル インスタンス タイプのコマンドである hostname は、システムの設定時に一度だけ実行します。ホスト名には 1 つの引数を含める必要があります。引数がない場合、エラーが発生します。

      このコマンドによって Cisco ISE サーバのホスト名を更新すると、次の警告メッセージが表示されます。

       % Warning:  Updating the hostname will cause any certificate using the old
      %           hostname to become invalid. Therefore, a new self-signed 
      %           certificate using the new hostname will be generated now for
      %           use with HTTPs/EAP.  If CA-signed certs were used on this node,
      %           please import them with the correct hostname. In addition, if
      %           this ISE node will be joining a new Active Directory domain,
      %           please leave your current Active Directory domain before
      %           proceeding. If this ISE node is already joined to 
      %           an Active Directory domain, then it is strongly advised 
      %           to rejoin all currently joined join-points in order to
      %           avoid possible mismatch between current and previous
      %           hostname and joined machine account name.
      

      
      ise/admin(config)# hostname new-hostname
      % Changing the hostname will cause ISE services to restart 
      Continue with hostname change?  Y/N [N]: y
      Stopping ISE Monitoring & Troubleshooting Log Collector...
      Stopping ISE Monitoring & Troubleshooting Log Processor...
      ISE Identity Mapping Service is disabled
      ISE pxGrid processes are disabled
      Stopping ISE Application Server...
      Stopping ISE Certificate Authority Service...
      Stopping ISE Profiler Database...
      Stopping ISE Monitoring & Troubleshooting Session Database...
      Stopping ISE AD Connector...
      Stopping ISE Database processes...
      ISE Database processes already running, PID: 9651
      Starting ISE Monitoring & Troubleshooting Session Database...
      Starting ISE Profiler Database...
      Starting ISE Application Server...
      Starting ISE Certificate Authority Service...
      Starting ISE Monitoring & Troubleshooting Log Processor...
      Starting ISE Monitoring & Troubleshooting Log Collector...
      Starting ISE AD Connector...
      Note: ISE Processes are initializing. Use 'show application status ise'
            CLI to verify all processes are in running state.
      ise-1/admin#
      

      icmp echo

      インターネット制御メッセージ プロトコル(ICMP)のエコー応答を設定するには、コンフィギュレーション モードで icmp echo コマンドを使用します。

      icmp echo {off | on}

      構文の説明

      エコー

      ICMP エコー応答を設定します。

      off

      ICMP エコー応答をディセーブルにします。

      on

      ICMP エコー応答をイネーブルにします。

      コマンド デフォルト

      システムは ICMP エコー応答がオン(イネーブル)の場合と同様に動作します。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      この icmp echo は、ICMP エコー応答をオンまたはオフにする場合に使用します。

      
      ise/admin(config)# icmp echo off
      ise/admin(config)#
      

      interface

      インターフェイス タイプを設定してインターフェイス コンフィギュレーション モードを開始するには、コンフィギュレーション モードで interface コマンドを使用します。このコマンドには no 形式はありません。


      (注)  


      VMware 仮想マシンで使用可能なインターフェイスの数は、仮想マシンに追加されるネットワーク インターフェイス(NIC)の数によって異なることがあります。

      interface GigabitEthernet {0 | 1 | 2 | 3}


      構文の説明

      GigabitEthernet

      ギガビット イーサネット インターフェイスを設定します。

      0 ~ 3

      設定するギガビット イーサネット ポートの数。


      (注)  


      interface コマンドでギガビット イーサネット ポートの数を入力すると、config-GigabitEthernet コンフィギュレーション サブモードが開始されます(次の「構文の説明」を参照)。


      構文の説明

      do

      EXEC コマンド。このモードで EXEC コマンドを実行できます。

      終了

      config-GigabitEthernet サブモードを終了し、EXEC モードに戻ります。

      exit

      config-GigabitEthernet コンフィギュレーション サブモードを終了します。

      ip

      ギガビット イーサネット インターフェイスの IP アドレスとネットマスクを設定します。

      ipv6

      DHCPv6 サーバから IPv6 アドレス自動設定および IPv6 アドレスを設定します。

      No

      このモードのコマンドを否定します。2 つのキーワードを使用できます。

      • ip:インターフェイスの IP アドレスとネットマスクを設定します。

      • ipv6:インターフェイスの IPv6 アドレスを設定します。

      • shutdown:インターフェイスをシャットダウンします。

      shutdown

      インターフェイスをシャットダウンします。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      インターフェイス コンフィギュレーション(config-GigabitEthernet)#

      使用上のガイドライン

      interface コマンドは、さまざまな要件をサポートするサブインターフェイスを設定するために使用できます。

      
      ise/admin(config)# interface GigabitEthernet 0
      ise/admin(config-GigabitEthernet)#
      

      ipv6 address autoconfig

      インターフェイスのステートレス自動設定を使用した IPv6 アドレスの自動設定をイネーブルにし、インターフェイスで IPv6 処理をイネーブルにするには、インターフェイス コンフィギュレーション モードで ipv6 address autoconfig コマンドを使用します。

      IPv6 アドレス自動設定は、Linux ではデフォルトでイネーブルです。Cisco ADE 2.0 は、イネーブルになっている任意のインターフェイスの実行コンフィギュレーションで IPv6 アドレス自動設定を示します。

      ipv6 address autoconfig

      インターフェイスで IPv6 アドレスの自動設定をディセーブルにするには、このコマンドの no 形式を使用します。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      インターフェイス コンフィギュレーション(config-GigabitEthernet)#

      使用上のガイドライン

      IPv6 ステートレス自動設定には、予測可能な IP アドレスを持つというセキュリティ面の落とし穴があります。この落とし穴は、プライバシーの拡張によって解決されます。show interface コマンドを使用すると、プライバシー拡張機能がイネーブルになっていることを確認できます。

      ise/admin(config-GigabitEthernet)# ipv6 address autoconfig
      ise/admin(config)#

      IPv6 自動設定の設定

      IPv6 ステートレス自動設定をイネーブルにするには、インターフェイス コンフィギュレーション モードで interface GigabitEthernet 0 コマンドを使用します。
      
      ise/admin# configure terminal
      Enter configuration commands, one per line.  End with CNTL/Z.
      ise/admin(config)# interface GigabitEthernet 0
      ise/admin(config)# (config-GigabitEthernet)# ipv6 address autoconfig
      ise/admin(config)# (config-GigabitEthernet)# end
      ise/admin#
      
      IPv6 自動設定がイネーブルの場合、実行コンフィギュレーションは次のようなインターフェイス設定を表示します。
      
      !
      interface GigabitEthernet 0
        ip address 172.23.90.116 255.255.255.0
        ipv6 address autoconfig
      !
      

      インターフェイス設定を表示するには、show interface GigabitEthernet 0 コマンドを使用できます。次の例では、インターフェイスに 3 個の IPv6 アドレスが設定されていることがわかります。最初のアドレス(3ffe で始まるアドレス)は、ステートレス自動設定を使用して取得されます。

      ステートレス自動設定が機能するには、そのサブネットで IPv6 ルート アドバタイズメントがイネーブルになっている必要があります。次のアドレス(fe80 以降)は、ホストの外部にスコープが存在しないリンクローカル アドレスです。

      IPv6 自動設定または DHCPv6 設定に関係なくリンクローカル アドレスが常に表示されます。最後のアドレス(2001 以降)は、IPv6 DHCP サーバから取得されます。

      
      ise/admin# show interface GigabitEthernet 0
      eth0      Link encap:Ethernet  HWaddr 00:0C:29:AF:DA:05
                inet addr:172.23.90.116  Bcast:172.23.90.255  Mask:255.255.255.0
                inet6 addr: 3ffe:302:11:2:20c:29ff:feaf:da05/64 Scope:Global
                inet6 addr: fe80::20c:29ff:feaf:da05/64 Scope:Link
                inet6 addr: 2001:558:ff10:870:8000:29ff:fe36:200/64 Scope:Global
                UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                RX packets:77848 errors:0 dropped:0 overruns:0 frame:0
                TX packets:23131 errors:0 dropped:0 overruns:0 carrier:0
                collisions:0 txqueuelen:1000
                RX bytes:10699801 (10.2 MiB)  TX bytes:3448374 (3.2 MiB)
                Interrupt:59 Base address:0x2000
      ise/admin#
      

      プライバシー拡張機能の確認

      プライバシーの拡張機能がイネーブルであることを確認するには、show interface GigabitEthernet 0 コマンドを使用できます。2 つの自動設定アドレスが表示されます。1 つのアドレスはプライバシー拡張なしで、もう 1 つはプライバシー拡張ありです。

      次の例では MAC は 3ffe:302:11:2:20c:29ff:feaf:da05/64 で、非 RFC3041 アドレスには MAC が含まれています。プライバシー拡張アドレスは 302:11:2:9d65:e608:59a9:d4b9/64 です。

      出力は次のように表示されます。

      
      ise/admin# show interface GigabitEthernet 0
      eth0      Link encap:Ethernet  HWaddr 00:0C:29:AF:DA:05
                inet addr:172.23.90.116  Bcast:172.23.90.255  Mask:255.255.255.0
                inet6 addr: 3ffe:302:11:2:9d65:e608:59a9:d4b9/64 Scope:Global
                inet6 addr: 3ffe:302:11:2:20c:29ff:feaf:da05/64 Scope:Global
                inet6 addr: fe80::20c:29ff:feaf:da05/64 Scope:Link
                UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                RX packets:60606 errors:0 dropped:0 overruns:0 frame:0
                TX packets:2771 errors:0 dropped:0 overruns:0 carrier:0
                collisions:0 txqueuelen:1000
                RX bytes:9430102 (8.9 MiB)  TX bytes:466204 (455.2 KiB)
                Interrupt:59 Base address:0x2000
      ise/admin#
      

      ipv6 address dhcp

      IPv6(DHCPv6)サーバの Dynamic Host Configuration Protocol からインターフェイス上に IPv6 アドレスを取得するには、インターフェイス コンフィギュレーション モードで ipv6 address dhcp コマンドを使用します。インターフェイスからアドレスを削除するには、このコマンドの no 形式を使用します。

      ipv6 address dhcp

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      インターフェイス コンフィギュレーション(config-GigabitEthernet)#

      使用上のガイドライン

      
      ise/admin# configure terminal
      Enter configuration commands, one per line.  End with CNTL/Z.
      ise/admin(config)# interface GigabitEthernet 1
      ise/admin(config-GigabitEthernet)# ipv6 address dhcp
      ise/admin(config-GigabitEthernet)# end
      ise/admin#
      
      IPv6 DHCP がイネーブルの場合、実行コンフィギュレーションは次のようなインターフェイス設定を表示します。
      
      !
      interface GigabitEthernet 1
        ipv6 address dhcp
      		ipv6 enable
      !
      

      (注)  


      IPv6 ステートレス自動設定および IPv6 アドレス DHCP は相互に排他的ではありません。同じインターフェイスに IPv6 ステートレス自動設定および IPv6 アドレス DHCP の両方を指定できます。

      どの IPv6 アドレスが特定のインターフェイスで使用されているかを表示するには、show interface コマンドを使用します。


      IPv6 ステートレス自動設定および IPv6 アドレス DHCP の両方がイネーブルの場合、実行コンフィギュレーションは次のようなインターフェイス設定を表示します。
      
      !
      interface GigabitEthernet 1
          ipv6 address dhcp
      				ipv6 address autoconfig
      				ipv6 enable     
      !
      

      ip address

      GigabitEthernet インターフェイスの IP アドレスとネットマスクを設定するには、インターフェイス コンフィギュレーション モードで ip address コマンドを使用します。

      ip addressip-address network mask

      IP アドレスを削除するか、IP プロセシングをディセーブルにするには、このコマンドの no 形式を使用します。

      no ip address


      (注)  


      複数のインターフェイスで、同じ IP アドレスを設定できます。この設定により、2 つのインターフェイス間の切り替えに必要なコンフィギュレーション手順を制限できます。


      構文の説明

      ip-address

      IPv4 アドレス。

      network mask

      関連付けられた IP サブネットのマスク。

      プライマリ管理ノード(PAN)の自動フェールオーバー設定をイネーブルにしている場合は、IP アドレスを設定する前にディセーブルにしてください。IP アドレスの設定後に PAN の自動フェールオーバー設定をイネーブルに戻すことができます。

      コマンド デフォルト

      イネーブル。

      コマンド モード

      インターフェイス コンフィギュレーション(config-GigabitEthernet)#

      使用上のガイドライン


      (注)  


      「ip address」コマンドの CLI 設定変更中に「Ctrl+C」を発行すると、IP アドレスを変更する場合、一部のアプリケーション コンポーネントは古い IP アドレスを使用し、他のコンポーネントは新しい IP アドレスを使用する状態になる可能性があります。

      これにより、Cisco ISE ノードは機能していない状態になります。これを回避するには、別の「ip address」コンフィギュレーション CLI を発行して、IP アドレスを目的の値に設定します。


      アドレスとネットマスクを必ず 1 つずつ指定する必要があります。指定しない場合、エラーが発生します。

      展開内で PAN の自動フェールオーバー設定がイネーブルになっていると、次のメッセージが表示されます。

      PAN Auto Failover is enabled, this operation is not
      allowed! Please disable PAN Auto-failover first.

      
      ise/admin(config)# interface GigabitEthernet 1
      ise/admin(config-GigabitEthernet)# ip address 209.165.200.227 255.255.255.224
      Changing the hostname or IP may result in undesired side effects,
      such as installed application(s) being restarted.
      ........
      To verify that ISE processes are running, use the
      'show application status ise' command.
      ise/admin(config-GigabitEthernet)#
      

      ipv6 address

      IPv6 の一般的なプレフィックスに基づいてスタティック IPv6 アドレスを設定し、インターフェイスで IPv6 処理をイネーブルにするには、インターフェイス コンフィギュレーション モードで ipv6 address コマンドを使用します。

      ipv6 addressipv6-address/prefix-length

      IPv6 アドレスを削除するか、IPv6 処理をディセーブルにするには、このコマンドの no 形式を使用します。

      no ipv6 addressipv6-address/prefix-length

      構文の説明

      ipv6-address

      IPv6 アドレス。

      prefix-length

      IPv6 プレフィックスの長さ。プレフィックス(アドレスのネットワーク部分)を構成するアドレスの上位連続ビット数を示す 0 ~ 128 の 10 進数値です。10 進値の前にスラッシュ記号を付ける必要があります。

      プライマリ管理ノード(PAN)の自動フェールオーバー設定をイネーブルにしている場合は、IPv6 アドレスを設定する前にディセーブルにしてください。IPv6 アドレスの設定後に PAN の自動フェールオーバー設定をイネーブルに戻すことができます。

      展開内で PAN の自動フェールオーバー設定がイネーブルになっていると、次のメッセージが表示されます。

      PAN Auto Failover is enabled, this operation is not
      allowed! Please disable PAN Auto-failover first.

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      インターフェイス コンフィギュレーション(config-GigabitEthernet)#

      使用上のガイドライン

      サポートされている IPv6 アドレス形式は次のとおりです。

      • 完全表記:コロンで区切られた 8 グループの 4 桁 16 進数字。例:2001:0db8:85a3:0000:0000:8a2e:0370:7334

      • 短縮表記:グループ内の先行ゼロを省略します(一連のゼロを連続する 2 つのコロンで置き換えます)。例:2001:db8:85a3::8a2e:370:7334

      • ドット区切り表記(IPv4 マッピングおよび IPv4 互換の IPv6 アドレス):::ffff:192.0.2.128 など

      fe80 プレフィックスを使用してリンクローカル アドレスを割り当てます。インターフェイスにグローバル アドレスを割り当てると、リンクローカル アドレスが自動的に作成されます。


      (注)  


      IPv6 アドレスを変更する場合、ipv6 address コマンドでの CLI 設定変更中に Ctrl+C を押すと、システムの一部のアプリケーション コンポーネントは古い IPv6 アドレスを使用し、他のコンポーネントは新しい IPv6 アドレスを使用する状態になる可能性があります。

      これにより、Cisco ISE ノードは機能していない状態になります。これを回避するには、別の ipv6 address コマンドを実行して IPv6 アドレスを目的の値に設定します。


      例 1

      
      ise/admin(config)# interface GigabitEthernet 1
      ise/admin(config-GigabitEthernet)# ipv6 address 2001:DB8:0:1::/64
      Changing the IPv6 address may result in undesired side effects on any installed application(s).
      Are you sure you want to proceed? Y/N[N]: y
      ........
      Note: ISE Processes are initializing. Use 'show application status ise' CLI to verify all processes are in running state.
      ise/admin(config-GigabitEthernet)#
      

      例 2

      ise/admin(config)# interface GigabitEthernet 1
      ise/admin(config-GigabitEthernet)# ipv6 address fe80::250:56ff:fe87:4763/64
      ise/admin(config-GigabitEthernet)#
      

      ipv6 enable

      インターフェイスで IPv6 をイネーブルにするには、インターフェイス コンフィギュレーション モードで ipv6 enable コマンドを使用します。

      ipv6 enable

      インターフェイスで IPv6 をディセーブルにするには、このコマンドの no 形式を使用します。

      no ipv6 enable

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      インターフェイス コンフィギュレーション(config-GigabitEthernet)#

      使用上のガイドライン

      ipv6 enable コマンドは、インターフェイスで IPv6 をイネーブルにし、インターフェイス MAC アドレスに基づいてリンクローカル アドレスを自動生成する場合に使用します。

      
      ise/admin(config)# interface GigabitEthernet 1
      ise/admin(config-GigabitEthernet)# ipv6 enable
      ise/admin(config-GigabitEthernet)#
      

      ip default-gateway

      IP アドレスを指定してデフォルト ゲートウェイを定義または設定するには、コンフィギュレーション モードで ip default-gateway コマンドを使用します。

      ip default-gatewayip-address

      この機能を無効にするには、このコマンドの no 形式を使用します。

      no ip default-gateway

      構文の説明

      default-gateway

      IP アドレスを指定してデフォルト ゲートウェイを定義します。

      ip-address

      デフォルト ゲートウェイの IP アドレス。

      コマンド デフォルト

      ディセーブル。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      複数の引数を指定した場合、または引数を指定していない場合はエラーが発生します。

      
      ise/admin(config)# ip default-gateway 209.165.202.129
      ise/admin(config)#
      

      ip domain-name

      Cisco ISE サーバがホスト名を完成させるために使用するデフォルトのドメイン名を定義するには、コンフィギュレーション モードで ip domain-name コマンドを使用します。

      ip domain-namedomain-name

      この機能を無効にするには、このコマンドの no 形式を使用します。

      no ip domain-name

      構文の説明

      domain-name

      デフォルトのドメイン名を定義します。

      domain-name

      ホスト名を完成させるために使用するデフォルトのドメイン名。2 ~ 64 文字の英数字で指定します。

      コマンド デフォルト

      イネーブル。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン


      (注)  


      「ip domain-name」コマンドの CLI 設定変更中に「Ctrl+C」を発行すると、IP ドメイン名を変更する場合、一部のアプリケーション コンポーネントは古いドメイン名を持ち、他のコンポーネントは新しいドメイン名を使用する状態になる可能性があります。

      これにより、Cisco ISE ノードは機能していない状態になります。これを回避するには、別の「ip domain-name」コンフィギュレーション CLI を発行して、ドメイン名を目的の値に設定します。


      入力した引数が多すぎる場合または不足している場合、エラーが発生します。

      このコマンドで Cisco ISE サーバのドメイン名を更新する場合は、次の警告メッセージが表示されます。
      Warning: Updating the domain name will cause any certificate using the old
      domain name to become invalid. Therefore, a new self-signed certificate using the new domain 
      name will be generated now for use with HTTPs/EAP.  If CA-signed certificates were used on this
      node, please import them with the correct domain name. In addition, if this ISE node will be 
      joining a new Active Directory domain, please leave your current Active Directory domain before 
      proceeding.
      

      
      ise/admin(config)# ip domain-name cisco.com
      ise/admin(config)#
      

      ip host

      eth1、eth2、eth3 など eth0 以外のイーサネット インターフェイスにホスト エイリアスと完全修飾ドメイン名(FQDN)文字列を関連付けるには、グローバル コンフィギュレーション モードで ip host コマンドを使用します。

      Cisco ISE は認証プロファイルのリダイレクト URL を処理するときに、その IP アドレスを Cisco ISE ノードの FQDN に置き換えます。

      ip host [ipv4-address | ipv6-address] [host-alias | FQDN-string]

      ホスト エイリアスと FQDN の関連付けを削除するには、このコマンドの no 形式を使用します。

      no ip host [ipv4-address | ipv6-address] [host-alias | FQDN-string]

      構文の説明

      ipv4-address

      ネットワーク インターフェイスの IPv4 アドレス。

      ipv6-address

      ネットワーク インターフェイスの IPv6 アドレス。

      host-alias

      ホストのエイリアスは、ネットワーク インターフェイスに割り当てる名前です。

      FQDN-string

      ネットワーク インターフェイスの完全修飾ドメイン名(FQDN)。

      プライマリ管理ノード(PAN)の自動フェールオーバー設定をイネーブルにしている場合は、イーサネット インターフェイスのホスト エイリアスおよび FQDN を変更する前にディセーブルにしてください。ホスト エイリアスおよび FQDN の設定完了後に PAN の自動フェールオーバー設定をイネーブルに戻すことができます。

      展開内で PAN の自動フェールオーバー設定がイネーブルになっていると、次のメッセージが表示されます。

      PAN Auto Failover is enabled, this operation is 
      not allowed! Please disable PAN Auto-failover first.

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      サポートされている IPv6 アドレス形式は次のとおりです。

      • 完全表記:コロンで区切られた 8 グループの 4 桁 16 進数字。例:2001:0db8:85a3:0000:0000:8a2e:0370:7334

      • 短縮表記:グループ内の先行ゼロを省略します(一連のゼロを連続する 2 つのコロンで置き換えます)。例:2001:db8:85a3::8a2e:370:7334

      • ドット区切り表記(IPv4 マッピングおよび IPv4 互換の IPv6 アドレス):::ffff:192.0.2.128 など

      ip host コマンドを使用して、IP アドレス マッピング用にホスト エイリアスと完全修飾ドメイン名(FQDN)文字列を追加します。eth1、eth2、eth3 などのイーサネット インターフェイスに一致する FQDN を検索する場合に使用します。ホスト エイリアスの定義を表示するには、show running-config コマンドを使用します。

      ホスト エイリアスか FQDN 文字列、またはその両方を指定できます。両方の値を指定する場合は、ホスト エイリアスと FQDN 文字列の最初のコンポーネントが一致している必要があります。FQDN 文字列のみを指定すると、Cisco ISE は URL 内の IP アドレスを FQDN に置き換えます。ホスト エイリアスのみを指定すると、Cisco ISE はホスト エイリアスと設定されている IP ドメイン名を組み合わせて完全な FQDN を形成し、URL 内のネットワーク インターフェイスの IP アドレスを FQDN に置き換えます。

      例 1

      ise/admin(config)# ip host 172.21.79.96 ise1 ise1.cisco.com
      Host alias was modified. You must restart ISE for change to take effect.
      Do you want to restart ISE now? (yes/no) yes
      Stopping ISE Monitoring & Troubleshooting Log Processor...
      Stopping ISE Monitoring & Troubleshooting Log Collector...
      Stopping ISE Application Server...
      Stopping ISE Profiler DB...
      Stopping ISE Monitoring & Troubleshooting Session Database...
      Stopping ISE Database processes...
      Starting ISE Database processes...
      Stopping ISE Database processes...
      Starting ISE Database processes...
      Starting ISE Monitoring & Troubleshooting Session Database...
      Starting ISE Profiler DB...
      Starting ISE Application Server...
      Starting ISE Monitoring & Troubleshooting Log Collector...
      Starting ISE Monitoring & Troubleshooting Log Processor...
      Note: ISE Processes are initializing. Use 'show application status ise'
            CLI to verify all processes are in running state.
      ise/admin(config)#
      

      例 2

      
      ise/admin(config)# ipv6 host 2001:db8:cc00:1::1 ise1 ise1.cisco.com
      Host alias was modified. You must restart ISE for change to take effect.
      Do you want to restart ISE now? (yes/no) yes
      Stopping ISE Monitoring & Troubleshooting Log Processor...
      Stopping ISE Monitoring & Troubleshooting Log Collector...
      Stopping ISE Application Server...
      Stopping ISE Profiler DB...
      Stopping ISE Monitoring & Troubleshooting Session Database...
      Stopping ISE Database processes...
      Starting ISE Database processes...
      Stopping ISE Database processes...
      Starting ISE Database processes...
      Starting ISE Monitoring & Troubleshooting Session Database...
      Starting ISE Profiler DB...
      Starting ISE Application Server...
      Starting ISE Monitoring & Troubleshooting Log Collector...
      Starting ISE Monitoring & Troubleshooting Log Processor...
      Note: ISE Processes are initializing. Use 'show application status ise'
            CLI to verify all processes are in running state.
      ise/admin(config)#
      

      ip name-server

      ドメイン ネーム サーバ(DNS)クエリーの実行時に使用する DNS を設定するには、コンフィギュレーション モードで ip name-server コマンドを使用します。1 ~ 4 台の DNS サーバを設定できます。

      ip name-serverip-address {ip-address*}

      この機能を無効にするには、このコマンドの no 形式を使用します。

      no ip name-serverip-address{ip-address*}


      (注)  


      このコマンドの no 形式を使用すると、コンフィギュレーションからすべてのネーム サーバが削除されます。このコマンドの no 形式と IP 名の 1 つを使用すると、そのネーム サーバだけが削除されます。


      構文の説明

      name-server

      使用するネーム サーバの IP アドレスを設定します。

      ip-address

      ネーム サーバのアドレス。

      ip-address*

      (任意)。追加のネーム サーバの IP アドレス。

      (注)     

      ネーム サーバに 3 つの IPv4 アドレスと 1 つの IPv6 アドレスを設定できます。

      展開内でプライマリ管理ノード(PAN)の自動フェールオーバー設定をイネーブルにしている場合は、ip name-server コマンドを実行する前にディセーブルにし、DNS サーバを設定した後でイネーブルに戻してください。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      ip name-server コマンドを使用して追加された最初のネーム サーバは最初の位置に配置されます。システムはそのサーバを最初に使用して、IP アドレスを解決します。

      IPv4 または IPv6 アドレスを使用してシステムにネーム サーバを追加できます。1 つのコマンドで、1 ~ 3 つの IPv4 アドレスを設定できます。システムにすでに 3 台のネーム サーバが設定されている場合、少なくとも 1 台を削除するまでネーム サーバを追加できません。

      1 台のネーム サーバを最初の位置に配置して、サブシステムがまずそのサーバを使用するようにするには、このコマンドの no 形式を使用してすべてのネーム サーバを削除してから処理を進める必要があります。

      Cisco ISE サーバを再起動しないように選択できますが、それでも変更は有効になります。

      展開内で PAN の自動フェールオーバー設定がイネーブルになっていると、次のメッセージが表示されます。

      PAN Auto Failover is enabled, this operation is not
      allowed! Please disable PAN Auto-failover first.

      例 1

      ise/admin(config)# ip name-server ?
      <A.B.C.D>   Primary DNS server IP address
      <A.B.C.D>   DNS server 2 IP address
      <A.B.C.D>   DNS server 3 IP address
      <X:X:X::X>  IPv6 DNS server address 	
      ise/admin(config)# ip name-server
      

      例 2

      IP ネーム サーバを設定した後に、次の出力が表示されます。

      
      ise/admin# show run | in name-server
      ip name-server 171.70.168.183 171.68.226.120 64.102.6.247
      ip name-server 3201:db8:0:20:f41d:eee:7e66:4eba
      ise/admin# 
      

      例 3

      ise/admin(config)# ip name-server ?
      ip name-server 10.126.107.120 10.126.107.107 10.106.230.244
      DNS Server was modified. If you modified this setting for AD connectivity, you must restart ISE for the change to take effect.
      Do you want to restart ISE now? (yes/no) 

      ip route

      スタティック ルートを設定するには、コンフィギュレーション モードで ip route コマンドを使用します。スタティック ルートを削除するには、このコマンドの no 形式を使用します。

      ip routeprefix maskgatewayip-address

      no ip routeprefix mask

      構文の説明

      prefix

      宛先の IP ルート プレフィクス。

      mask

      宛先のプレフィクス マスク。

      ip-address

      ネットワークに到達するために使用可能なネクスト ホップの IP アドレス。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      スタティック ルートは手動で設定されます。これによって、柔軟性が低くなります(ネットワーク トポロジの変更に動的に適応できません)が、安定性は非常に高くなります。スタティック ルートでは、維持するためにルーティングの更新を送信される必要がないため、帯域幅使用率が最適化されます。また、ルーティング ポリシーの実施が容易になります。

      ip route コマンドは個々の Cisco ISE ノードでのスタティック ルートの定義に使用できるだけでなく、各インターフェイスのデフォルト ルートを定義して、マルチインターフェイス IP ノードに固有の非対称 IP 転送の影響を軽減するために拡張されます。

      単一のデフォルト ルートがマルチインターフェイス ノードに設定されている場合、ノードのいずれかの IP インターフェイスから受信したすべての IP トラフィックは、非対称 IP 転送を生成するデフォルト ゲートウェイのネクストホップにルーティングされます。Cisco ISE ノードに複数のデフォルト ルートを設定すると、非対称転送の影響がなくなります。

      次の例に、複数のデフォルト ルートを設定する方法を示します。

      Cisco ISE ノード eth0、eth1、eth2、および eth3 インターフェイスの次のインターフェイス設定についてそれぞれ考えてみてください。

      ISE InterfaceIPNetworkGateway
      192.168.114.10 192.168.114.0 192.168.114.1
      192.168.115.10 192.168.115.0 192.168.115.1
      192.168.116.10 192.168.116.0 192.168.116.1
      192.168.117.10 192.168.117.0 192.168.117.1
      
      
      
      ここで ip route コマンドを使用して、各インターフェイスのデフォルト ルートを定義します。
      ise/admin(config)# ip route 0.0.0.0 0.0.0.0 192.168.114.1
      ise/admin(config)# ip route 0.0.0.0 0.0.0.0 192.168.115.1
      ise/admin(config)# ip route 0.0.0.0 0.0.0.0 192.168.116.1
      ise/admin(config)# ip route 0.0.0.0 0.0.0.0 192.168.117.1
      ise/admin(config)# ip default-gateway 192.168.114.1
      

      (注)  


      上記の「ip default-gateway」は、すべてのインターフェイスのラスト リゾートのルートです。


      show route コマンドでは、ip route コマンドを使用して作成したスタティック ルート(デフォルト ルートとデフォルト以外のルート)、および「ip default gateway」コマンドの使用により設定されたルートを含むシステム作成のルートの出力が表示されます。これは、各ルートの発信インターフェイスを表示します。


      (注)  


      インターフェイスの IP アドレスを変更した場合、到達不能なゲートウェイのためにいずれかのスタティック ルートが到達不能になると、そのスタティック ルートは実行コンフィギュレーションから削除されます。到達不能になったルートはコンソールに表示されます。


      例 2

      
      ise/admin(config)# ip route 192.168.0.0 255.255.0.0 gateway 172.23.90.2
      ise/admin(config)#
      

      ipv6 route

      IPv6 スタティック ルートを手動で設定し、2 台のネットワーキング デバイス間の明示的なパスを定義するには、グローバル コンフィギュレーション モードで ipv6 route コマンドを使用します。スタティック ルートは自動的に更新されないので、ネットワーク トポロジが変化した場合は手動でスタティック ルートを再設定する必要があります。

      ipv6 routeipv6-address/prefix-length gateway route-specific gateway

      IPv6 スタティック ルートを削除するには、このコマンドの no 形式を使用します。

      no ipv6 routeipv6-address/prefix-length gateway route-specific gateway

      IPv6 アドレスを指定してデフォルト スタティック ルートを設定するには、グローバル コンフィギュレーション モードで ipv6 route ::/0 gatewayroute-specific gateway コマンドを使用します。IPv6 アドレスを指定してデフォルト スタティック ルートをディセーブルにするには、このコマンドの no 形式を使用します。

      構文の説明

      ipv6-address

      IPv6 アドレス。

      prefix-length

      IPv6 プレフィックスの長さ。プレフィックス(アドレスのネットワーク部分)を構成するアドレスの上位連続ビット数を示す 0 ~ 128 の 10 進数値です。10 進値の前にスラッシュ記号を付ける必要があります。

      route-specific gateway

      そのネットワークに到達するために使用できるネクスト ホップの IPv6 アドレス。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      グローバル コンフィギュレーション(config)#

      使用上のガイドライン

      サポートされている IPv6 アドレス形式は次のとおりです。

      • 完全表記:コロンで区切られた 8 グループの 4 桁 16 進数字。例:2001:0db8:85a3:0000:0000:8a2e:0370:7334

      • 短縮表記:グループ内の先行ゼロを省略します(一連のゼロを連続する 2 つのコロンで置き換えます)。例:2001:db8:85a3::8a2e:370:7334

      • ドット区切り表記(IPv4 マッピングおよび IPv4 互換の IPv6 アドレス):::ffff:192.0.2.128 など

      show ipv6 route コマンドは、設定済みの IPv6 ルートを表示する場合に使用します。

      例 1

      
      ise/admin(config)# ipv6 route 2001:DB8:cc00:1::/64 gateway 2001:DB8::cc00:1::1
      
      

      例 2

      ise/admin(config)# ipv6 route ::/0 gateway 2001:db::5
      
      

      ::/0 はデフォルト ルート プレフィックスを示します。

      kron occurrence

      1 つ以上のコマンド スケジューラ コマンドが特定の日時または一定間隔で実行されるようにスケジューリングするには、コンフィギュレーション モードで kron occurrence コマンドを使用します。このスケジュールを削除するには、このコマンドの no 形式を使用します。

      kron occurrenceoccurrence-name

      構文の説明

      occurrence

      コマンド スケジューラ コマンドをスケジューリングします。

      occurrence-name

      オカレンスの名前。最大 80 文字の英数字をサポートします。(次の「注」と「構文の説明」を参照)。


      (注)  


      kron occurrence コマンドで occurrence-name を入力すると、config-Occurrence コンフィギュレーション サブモードが開始されます(次の「構文の説明」を参照)。


      構文の説明

      at

      指定した日時にオカレンスが実行されるように指定します。使用方法:at [hh:mm] [day-of-week | day-of-month | month day-of-month]

      do

      EXEC コマンド。このモードで EXEC コマンドを実行できます。

      終了

      kron-occurrence コンフィギュレーション サブモードを終了し、EXEC モードに戻ります。

      exit

      kron-occurrence コンフィギュレーション モードを終了します。

      No

      このモードのコマンドを否定します。

      3 つのキーワードを使用できます。

      • at:使用方法:at [hh:mm] [day-of-week | day-of-month | month day-of-month]

      • policy-list:オカレンスによって実行されるポリシー リストを指定します。最大 80 文字の英数字をサポートします。

      • recurring:ポリシー リストの実行を繰り返します。

      policy-list

      オカレンスによって実行されるコマンド スケジューラ ポリシー リストを指定します。

      recurring

      繰り返して実行するオカレンスを指定します。

      (注)     

      kron オカレンスが繰り返されない場合、スケジュール バックアップの kron オカレンスの設定が実行後に削除されます。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config-Occurance)#

      使用上のガイドライン

      kron occurrence コマンドおよび policy-list コマンドを使用して、1 つ以上のポリシー リストが同じ時間または間隔で実行されるようにスケジューリングします。

      EXEC CLI コマンドを含むコマンド スケジューラ ポリシーを作成して、指定した時刻に Cisco ISE サーバで実行されるようにスケジューリングするには、kron policy-list コマンドとともに cli コマンドを使用します。


      (注)  


      kron コマンドを実行すると、一意の名前(タイム スタンプの追加により)でバックアップ バンドルが作成されるため、ファイルが互いに上書きされることはありません。



      (注)  


      GUI の [管理(Administration)] > [システム(System)] > [バックアップと復元(Backup and Restore)] ページを使用して、設定またはモニタリングのバックアップをスケジューリングすることを推奨します。


      例 1:週次バックアップ

      
      ise/admin(config)# kron occurrence WeeklyBackup
      ise/admin(config-Occurrence)# at 14:35 Monday
      ise/admin(config-Occurrence)# policy-list SchedBackupPolicy
      ise/admin(config-Occurrence)# recurring
      ise/admin(config-Occurrence)# exit
      ise/admin(config)#
      

      例 2:日次バックアップ

      
      ise/admin(config)# kron occurrence DailyBackup
      ise/admin(config-Occurrence)# at 02:00
      ise/admin(config-Occurrence)# exit
      ise/admin(config)#
      

      例 3:週次バックアップ

      
      ise/admin(config)# kron occurrence WeeklyBackup
      ise/admin(config-Occurrence)# at 14:35 Monday
      ise/admin(config-Occurrence)# policy-list SchedBackupPolicy
      ise/admin(config-Occurrence)# no recurring
      ise/admin(config-Occurrence)# exit
      ise/admin(config)#
      

      kron policy-list

      コマンド スケジューラ ポリシーの名前を指定し、kron-Policy List コンフィギュレーション サブモードを開始するには、コンフィギュレーション モードで kron policy-list コマンドを使用します。コマンド スケジューラ ポリシーを削除するには、このコマンドの no 形式を使用します。

      kron policy-listlist-name

      構文の説明

      policy-list

      コマンド スケジューラ ポリシーの名前を指定します。

      list-name

      ポリシー リストの名前。最大 80 文字の英数字をサポートします。


      (注)  


      kron policy-list コマンドで list-name を入力すると、config-Policy List コンフィギュレーション サブモードが開始されます(次の「構文の説明」を参照)。


      構文の説明

      cli

      スケジューラによって実行されるコマンド。最大 80 文字の英数字をサポートします。

      do

      EXEC コマンド。このモードで EXEC コマンドを実行できます。

      終了

      config-Policy List コンフィギュレーション サブモードを終了し、EXEC モードに戻ります。

      exit

      このサブモードを終了します。

      No

      このモードのコマンドを否定します。次の 1 つのキーワードを使用できます。

      • cli:スケジューラによって実行されるコマンド。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config-Policy List)#

      使用上のガイドライン

      EXEC CLI コマンドを含むコマンド スケジューラ ポリシーを作成して、指定した時刻に ISE サーバで実行されるようにスケジューリングするには、kron policy-list コマンドとともに cli コマンドを使用します。kron occurrence コマンドおよび policy list コマンドを使用して、1 つ以上のポリシー リストを同じ時間または間隔で実行されるようにスケジュールします。


      (注)  


      kron policy-list コマンドを使用して、CLI から設定および動作データのバックアップをスケジューリングすることはできません。Cisco ISE 管理者ポータルからこれらのバックアップをスケジューリングできます。


      
      ise/admin(config)# kron policy-list BackupLogs
      ise/admin(config-Policy List)# cli backup-logs ScheduledBackupLogs repository SchedBackupRepo encryption-key plain xyzabc
      ise/admin(config-Policy List)# exit
      ise/admin(config)#
      

      logging

      ログ レベルを設定するには、コンフィギュレーション モードで logging コマンドを使用します。

      logging loglevel {0 | 1 | 2 | 3 | 4 | 5 | 6 | 7}

      この機能を無効にするには、このコマンドの no 形式を使用します。

      no logging

      構文の説明

      loglevel

      logging コマンドのログ レベルを設定するコマンド。

      0 ~ 7

      ログ メッセージをセットする目的のプライオリティ レベル。プライオリティ レベルは以下のとおりです(キーワードの番号を入力)。

      • 0-emerg(緊急事態):システムが使用不可。

      • 1-alert(アラート):ただちに処置が必要。

      • 2-crit(クリティカル):クリティカルな状態。

      • 3-err(エラー):エラー状態。

      • 4-warn(警告):警告状態。

      • 5-notif(通知):正常であるが、重要な状態。

      • 6-inform:(デフォルト)情報メッセージ。

      • 7-debug:デバッグ メッセージ。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      このコマンドには loglevel キーワードが必要です。

      
      ise/admin(config)# logging loglevel 0
      ise/admin(config)#
      

      max-ssh-sessions

      分散展開のノードごとにコマンドライン インターフェイス(CLI)の最大同時セッション数を設定するには、コンフィギュレーション モードで max-ssh-sessions コマンドを使用します。

      max-ssh-sessions {0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10}

      構文の説明

      1 ~ 10

      同時 SSH セッションの数。デフォルトは 5 です。

      コマンド デフォルト

      許可される最大同時 CLI セッション数のデフォルトは、Cisco ISE 管理者ポータルから 5 に設定されます。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      max-ssh-sessions パラメータはコマンドライン インターフェイスから設定可能ではありません。アクティブ CLI セッションの最大数は、プライマリ管理 ISE 管理者ポータルから複製されます。

      CLI セッションの最大数を超えると、このセッションを閉じているコマンドライン インターフェイスに「最大アクティブ SSH セッション数に到達(Maximum active ssh sessions reached)」メッセージが表示され、下部に「未接続:続行するには Enter または Space を押します(Not connected - press Enter or Space to connect)」というメッセージが表示されます。

      コンソールから CLI にログインして forceout username コマンドを使用すると、ユーザをログアウトさせてアクティブな SSH セッションの数を削減できます。

      コマンドライン インターフェイス(CLI)セッションの最大数を設定するためのナビゲーション パスは、Cisco ISE 管理者ポータルの [セッション(Session)] タブの次の場所にあります。[管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [設定(Settings)] > [アクセス(Access)]

      ntp

      NTP 設定を指定するには、コンフィギュレーション モードで、authenticate コマンド、authentication-key コマンド、server コマンド、および trusted-key コマンドとともに ntp コマンドを使用します。

      ntp authenticate

      ntp authentication-key<key id> md5hash| plain<key value>

      ntp server{ip-address | hostname}key <peer key number>

      ntp trusted-key<key>

      no ntp server

      構文の説明

      authenticate

      すべての時刻源の認証をイネーブルにします。

      authentication-key

      信頼できる時刻源の認証キーを指定します。

      サーバ

      使用する NTP サーバを指定します。

      trusted-key

      信頼できる時刻源のキー番号を指定します。

      コマンド デフォルト

      なし

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      ntp コマンドは NTP 設定を指定する場合に使用します。

      デバイス上の NTP サービスを終了するには、authenticateauthentication-keyserver、および trusted-key などのキーワードや引数を指定して、no ntp コマンドを入力する必要があります。たとえば、以前に ntp server コマンドを実行した場合は、server とともに no ntp コマンドを使用します。

      
      ise/admin(config)# ntp ?
        authenticate        Authenticate time sources
        authentication-key  Authentication key for trusted time sources
        server              Specify NTP server to use
        trusted-key         Key numbers for trusted time sources
      ise/admin(config)#
      ise/admin(config)# no ntp server
      ise/admin(config)# do show ntp
      % no NTP servers configured
      ise/admin(config)#
      

      ntp authenticate

      すべての時間源の認証をイネーブルにするには、ntp authenticate コマンドを使用します。NTP 認証キーのない時刻源は同期されません。

      この機能を無効にするには、このコマンドの no 形式を使用します。

      ntp authenticate

      構文の説明

      authenticate

      すべての時刻源の認証をイネーブルにします。

      コマンド デフォルト

      なし

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      ntp authenticate コマンドは、すべての時間源の認証をイネーブルにする場合に使用します。このコマンドは任意であり、このコマンドを指定しなくても認証は機能します。

      一部のサーバのみが認証を必要とする混在モードで認証する場合、つまり一部のサーバのみ認証用に設定されているキーが必要な場合は、このコマンドを実行してはなりません。

      
      ise/admin(config)# ntp authenticate
      ise/admin(config)#
      

      ntp authentication-key

      時間源の認証キーを指定する場合は、コンフィギュレーション モードで一意の識別子およびキー値を指定して ntp authentication-key コマンドを使用します。

      ntp authentication-keykey idmd5 hash | plainkey value

      この機能を無効にするには、このコマンドの no 形式を使用します。

      no ntp authentication-key

      構文の説明

      authentication-key

      信頼できる時刻源の認証キーを設定します。

      key id

      このキーに割り当てる ID。1 から 65535 までの数値がサポートされます。

      md5

      認証キーの暗号化タイプ。

      hash

      認証のハッシュされたキー。暗号化タイプに続けて、暗号化された(ハッシュされた)キーを指定します。40 文字までで指定します。

      plain

      認証用のプレーン テキストのキー。暗号化タイプに続けて、暗号化されていないプレーンテキスト キーを指定します。15 文字までで指定します。

      key value

      上記の md5 plain | hash のいずれかに一致する形式のキー値。

      コマンド デフォルト

      なし

      コマンド モード

      コンフィギュレーション(config)#。

      使用上のガイドライン

      ntp authentication-key コマンドは、時刻源に NTP 認証の認証キーを設定し、それに関連するキー ID、キー暗号化タイプ、およびキー値設定を指定する場合に使用します。このキーは信頼できるリストに追加してから、ntp server コマンドに追加してください。

      信頼リストに追加されている NTP 認証キーのない時刻源は同期されません。


      (注)  


      show running-config コマンドは、セキュリティのために、Message Digest 5(MD5)プレーン形式で入力されたキーを常にハッシュ形式に変換して表示します。たとえば、ntp authentication-key 1 md5 hashee18afc7608ac7ecdbeefc5351ad118bc9ce1ef3 です。


      例 1

      
      ise/admin# configure
      ise/admin(config)#
      ise/admin(config)# ntp authentication-key 1 md5 plain SharedWithServe
      ise/admin(config)# ntp authentication-key 2 md5 plain SharedWithServ
      ise/admin(config)# ntp authentication-key 3 md5 plain SharedWithSer
      

      例 2

      
      ise/admin(config)# no ntp authentication-key 3 
      (Removes authentication key 3.)
      

      例 3

      
      ise/admin(config)# no ntp authentication-key
      (Removes all authentication keys.)
      

      ntp server

      NTP サーバによるシステムのソフトウェア クロックの同期を許可するには、コンフィギュレーション モードで ntp server コマンドを使用します。それぞれ別個の行にキーを指定した最大 3 台のサーバを許可します。キーはオプション パラメータですが、NTP 認証にはキーが必要です。

      Cisco ISE には、常に有効で到達可能な NTP サーバが必要です。

      キーはオプション パラメータですが、NTP サーバを認証する必要がある場合は、キーを設定する必要があります。

      この機能を無効にするには、NTP サーバを削除して別のサーバを追加する場合のみ、このコマンドの no 形式を使用します。

      ntp server{ip-address | hostname} key <peer key number>

      構文の説明

      サーバ

      システムによって、指定されたサーバと同期されます。

      ip-address | hostname

      クロックの同期を行うサーバの IPv4 または IPv6 アドレス、またはホスト名。引数は 255 文字までの英数字で指定します。

      key

      (任意)。ピアのキー番号。最大 65535 桁までサポートします。

      このキーは、ntp authentication-key コマンドを使用してキー値で定義する必要があります。また、ntp trusted-key コマンドを使用して、信頼できるキーとして追加する必要があります。

      認証を実行するために、キーとキーの値は実際の NTP サーバに定義されているキーと同じ値にする必要があります。

      コマンド デフォルト

      デフォルトで設定されているサーバはありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      この ntp server コマンドは、システムを指定したサーバと同期させる場合に、信頼できるキーを指定して使用します。

      キーはオプションですが、NTP 認証には必要です。まず、このキーを ntp authentication-key コマンドで定義し、ntp trusted-key コマンドに追加した後、ntp server コマンドに追加します。

      show ntp コマンドは同期の状態を表示します。設定されたいずれの NTP サーバも到達可能ではなく、認証されていない場合(NTP 認証が設定されている場合)、このコマンドによって最小のストラタムを持つローカルへの同期が表示されます。

      NTP サーバが到達可能ではないか、適切に認証されていない場合、このコマンド統計についての到達度はゼロになります。

      Cisco ISE 管理者ポータルに NTP サーバ コンフィギュレーションと認証を定義するには、『Cisco Identity Services Engine Administration Guide』の「System Time and NTP Server Settings」の項を参照してください。


      (注)  


      このコマンドは、同期プロセス時に矛盾した情報を表示します。同期プロセスは、完了までに最大 20 分かかることがあります。


      NTP サーバ認証の信頼キーの設定

      NTP サーバによるシステムのソフトウェア クロックの同期を許可するには、コンフィギュレーション モードで ntp server コマンドを使用します。
      
      ise/admin(config)# ntp server ntp.esl.cisco.com key 1
      % WARNING: Key 1 needs to be defined as a ntp trusted-key.
      ise/admin(config)#
      ise/admin(config)# ntp trusted-key 1
      % WARNING: Key 1 needs to be defined as a ntp authentication-key.
      ise/admin(config)#
      ise/admin(config)# ntp authentication-key 1 md5 plain SharedWithServe
      ise/admin(config)#
      
      ise/admin(config)# ntp server ntp.esl.cisco.com 1
      ise/admin(config)# ntp server 171.68.10.80 2
      ise/admin(config)# ntp server 171.68.10.150 3
      ise/admin(config)#
      ise/admin(config)# do show running-config
      Generating configuration...
      !
      hostname ise
      !
      ip domain-name cisco.com
      !
      interface GigabitEthernet 0
        ip address 172.21.79.246 255.255.255.0
        ipv6 address autoconfig
      !
      ip name-server 171.70.168.183
      !
      ip default-gateway 172.21.79.1
      !
      clock timezone UTC
      !
      ntp authentication-key 1 md5 hash ee18afc7608ac7ecdbeefc5351ad118bc9ce1ef3
      ntp authentication-key 2 md5 hash f1ef7b05c0d1cd4c18c8b70e8c76f37f33c33b59
      ntp authentication-key 3 md5 hash ee18afc7608ac7ec2d7ac6d09226111dce07da37
      ntp trusted-key 1
      ntp trusted-key 2
      ntp trusted-key 3
      ntp authenticate
      ntp server ntp.esl.cisco.com key 1
      ntp server 171.68.10.80 key 2
      ntp server 171.68.10.150 key 3
      !
      --More--
      

      同期化のステータスの確認

      同期のステータスを確認するには、show ntp コマンドを使用します。

      例 1

      
      ise/admin# show ntp
      Primary NTP   : ntp.esl.cisco.com
      Secondary NTP : 171.68.10.80
      Tertiary NTP : 171.68.10.150
      synchronised to local net at stratum 11
         time correct to within 448 ms
         polling server every 64 s
           remote           refid      st t when poll reach   delay   offset  jitter
      ==============================================================================
      *127.127.1.0     .LOCL.          10 l   46   64   37    0.000    0.000   0.001
       171.68.10.80    .RMOT.          16 u   46   64    0    0.000    0.000   0.000
       171.68.10.150   .INIT.          16 u   47   64    0    0.000    0.000   0.000
      Warning: Output results may conflict during periods of changing synchronization.
      ise/admin#
      

      例 2

      
      ise/admin# show ntp
      Primary NTP   : ntp.esl.cisco.com
      Secondary NTP : 171.68.10.150
      Tertiary NTP : 171.68.10.80
      synchronised to NTP server (171.68.10.150) at stratum 3
         time correct to within 16 ms
         polling server every 64 s
           remote           refid      st t when poll reach   delay   offset  jitter
      ==============================================================================
       127.127.1.0     .LOCL.          10 l   35   64  377    0.000    0.000   0.001
      +171.68.10.80    144.254.15.122   2 u   36   64  377    1.474    7.381   2.095
      *171.68.10.150   144.254.15.122   2 u   33   64  377    0.922   10.485   2.198
      Warning: Output results may conflict during periods of changing synchronization.
      ise/admin#
      

      ntp trusted-key

      時間源を信頼できるリストに追加するには、一意の識別子を指定して ntp trusted-key コマンドを使用します。

      ntp trusted-keykey

      この機能を無効にするには、このコマンドの no 形式を使用します。

      no ntp trusted-key

      構文の説明

      trusted-key

      このキーに割り当てる ID。

      key

      信頼できる時刻源にキー番号を指定します。これは、NTP 認証キーとして定義する必要があります。最大 65535 桁までサポートします。

      コマンド デフォルト

      なし

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      このキーを NTP サーバに追加する前に、このキーを NTP 認証キーとして定義し、信頼リストにこのキーを追加します。信頼リストに追加されたキーは、システムで NTP サーバによって同期できるもののみ使用できます。

      例 1

      
      ise/admin# configure
      ise/admin(config)#
      ise/admin(config)# ntp trusted-key 1
      ise/admin(config)# ntp trusted-key 2
      ise/admin(config)# ntp trusted-key 3
      ise/admin(config)# no ntp trusted-key 2
      (Removes key 2 from the trusted list).
      

      例 2

      
      ise/admin(config)# no ntp trusted-key
      (Removes all keys from the trusted list).
      

      rate-limit

      送信元 IP アドレスからの TCP、UDP、または ICMP パケットの制限を設定するには、コンフィギュレーション モードで rate-limit コマンドを使用します。この機能を削除するには、このコマンドの no 形式を使用します。

      rate-limit 250 ip-address net-mask port

      構文の説明

      <1-10000>

      1 秒あたりの平均 TCP/UDP/ICMP パケット数。

      ip-address

      パケット レート制限を適用する送信元 IP アドレス。

      net-mask

      パケット レート制限を適用する送信元 IP マスク。

      ポート

      パケット レート制限を適用する宛先ポート番号。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      なし。

      
      ise49/admin(config)# rate-limit 4000 ip 20.20.20.20 port 443
      % Notice : Actual rate limit rounded up by iptables to 5000 per second
      ise49/admin(config)# do show running-config | incl rate
      rate-limit 5000 ip 20.20.20.20 port 443 
      ise49/admin(config)# 
      ise49/admin(config)# rate-limit 6000 ip 10.10.10.10 port 443
      % Notice : Actual rate limit rounded up by iptables to 10000 per second
      ise49/admin(config)# do show running-config | incl rate
      rate-limit 10000 ip 10.10.10.10 port 443 
      rate-limit 5000 ip 20.20.20.20 port 443 
      ise49/admin(config)# 
      

      password-policy

      システムに対するパスワードをイネーブル化または設定するには、コンフィギュレーション モードで password-policy コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

      password-policyoptions


      (注)  


      password-policy コマンドには、ポリシー オプションが必要です(「構文の説明」を参照)。password-expiration-enabled コマンドは、他の password-expiration コマンドの前に入力する必要があります。



      (注)  


      password-policy コマンドを入力すると、config-password-policy コンフィギュレーション サブモードを開始できます。


      構文の説明

      digit-required

      ユーザ パスワードに数字を含むことを必須にします。

      disable-cisco-password

      パスワードに、「Cisco」や「Cisco」を含む語を使用できないようにします。

      disable-repeat-chars

      同じ文字が 5 つ以上含まれているパスワードをディセーブルにします。

      do

      EXEC コマンド。

      終了

      コンフィギュレーション モードを終了します。

      exit

      このサブモードを終了します。

      lower-case-required

      ユーザ パスワードに小文字が含まれている必要があります。

      min-password-length

      有効なパスワードの最小文字数。40 文字までで指定します。

      No

      コマンドを無効にするか、またはデフォルト値を設定します。

      no-previous-password

      前回のパスワードの一部を再使用できないようにします。

      no-username

      パスワードにユーザ名を含めることを禁止します。

      password-delta

      文字数が古いパスワードと異なるようにします。

      password-expiration-days

      パスワードの有効日数。3650 までの整数をサポートします。

      password-expiration-enabled

      パスワードの有効期限をイネーブルにします。

      (注)     

      password-expiration-enabled コマンドは、他の password-expiration コマンドの前に入力する必要があります。

      password-expiration-warning

      パスワードの期限が迫っていることを通知する警告を開始するまでの日数。3650 までの整数をサポートします。

      password-lock-enabled

      指定した回数の試行が失敗したら、パスワードをロックします。

      password-lock-retry-count

      試行回数を指定します。この回数の試行が失敗するとユーザ パスワードがロックされます。20 までの整数をサポートします。

      password-time-lockout

      アカウント ロックアウトをクリアするまでの時間を設定します(分単位)。5 分から 1440 分までの時間値をサポートします。

      special-required

      ユーザ パスワードに特殊文字が含まれている必要があります。

      upper-case-required

      ユーザ パスワードに大文字が含まれている必要があります。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config-password-policy)#

      使用上のガイドライン

      なし。

      
      ise/admin(config)# password-policy
      ise/admin(config-password-policy)# password-expiration-days 30
      ise/admin(config-password-policy)# exit
      ise/admin(config)#
      

      リポジトリ

      バックアップを設定するためにリポジトリ サブモードを開始するには、コンフィギュレーション モードで repository コマンドを使用します。

      repositoryrepository-name

      構文の説明

      repository-name

      リポジトリの名前。最大 80 文字の英数字をサポートします。


      (注)  


      repository コマンドでリポジトリの名前を入力すると、config-Repository コンフィギュレーション サブモードが開始されます(「構文の説明」を参照)。


      構文の説明

      do

      EXEC コマンド。このモードですべての EXEC コマンドを実行できます。

      終了

      config-Repository サブモードを終了し、EXEC モードに戻ります。

      exit

      このモードを終了します。

      No

      このモードのコマンドを否定します。

      2 つのキーワードを使用できます。

      • url:リポジトリの URL。

      • user:リポジトリにアクセスするためのユーザ名とパスワード。

      URL

      リポジトリの URL。最大 300 文字の英数字をサポートします(表 4-5 を参照)。

      user

      アクセスするためのユーザ名とパスワードを設定します。ユーザ名には最大 30 文字の英数字、パスワードには最大 15 文字の英数字を使用できます。

      パスワードに使用できる文字は、0 ~ 9、a ~ z、A ~ Z、-、.、|、@、#、$、%、^、&、*、(、)、+、および = です。


      (注)  


      server はサーバ名です。path は /subdir/subsubdir を指します。NFS ネットワーク サーバのサーバ名の後には、コロン(:)が必要です。


      表 5 表 4-5 URL キーワード(続き)

      キーワード

      コピー元またはコピー先

      URL

      サーバおよびパス情報を含む、リポジトリの URL を入力します。最大 80 文字の英数字をサポートします。

      cdrom:

      ローカルの CD-ROM ドライブ(読み取り専用)。

      disk:

      ローカル ストレージ。

      ローカル リポジトリ内のすべてのファイルを表示するには、show repository repository_name を実行します。

      (注)     

      すべてのローカル リポジトリは、/localdisk パーティションに作成されます。リポジトリの URL で disk:// を指定すると、システムは、/localdisk に対する相対パスでディレクトリを作成します。たとえば、disk://backup と入力すると、ディレクトリは /localdisk/backup に作成されます。

      ftp:

      FTP ネットワーク サーバのコピー元またはコピー先の URL。ftp://server/path という URL を使用します

      http:

      HTTP ネットワーク サーバのコピー元またはコピー先の URL(読み取り専用)。

      https:

      HTTPS ネットワーク サーバのコピー元またはコピー先の URL(読み取り専用)。

      nfs:

      NFS ネットワーク サーバのコピー元またはコピー先の URL。nfs://server:/path という URL を使用します

      sftp:

      SFTP ネットワーク サーバのコピー元またはコピー先の URL。sftp://server/path という URL を使用します

      tftp:

      TFTP ネットワーク サーバのコピー元またはコピー先の URL。tftp://server/path という URL を使用します

      (注)     

      Cisco ISE アップグレードの実行に、TFTP リポジトリは使用できません。

      コマンドデフォルト

      デフォルトの動作や値はありません。

      コマンドモード

      コンフィギュレーション(config-Repository)#

      使用上のガイドライン

      サブモードで url sftp: を設定する場合は、RSA フィンガープリント(AKA host-key)をターゲット SFTP ホストから ISE にロードする必要があります。これは、CLI で crypto host_key add コマンドを使用して実行できます。

      この機能を無効にするには、サブモードで host-key host コマンドの no 形式を使用します。

      Cisco ISE 管理者ポータルの [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [リポジトリ(Repository)] > [リポジトリの追加(Add Repository)] でセキュアな FTP リポジトリを設定すると Cisco ISE は常に次の警告を表示します。

      このリポジトリを使用できるようにするには、SFTP サーバのホスト キーをホスト キー オプションを使用して CLI を介して追加する必要があります。

      ホスト キーを設定せずに、セキュアな FTP リポジトリにバックアップしようとすると、対応するエラーが Cisco ADE のログにスローされます。

      例 1

      
      ise/admin# configure terminal
      ise/admin(config)# repository myrepository
      ise/admin(config-Repository)# url sftp://ise-pap
      ise/admin(config-Repository)# host-key host ise-pap
      host key fingerprint added
      # Host ise-pap found: line 1 type RSA
      2048 f2:e0:95:d7:58:f2:02:ba:d0:b8:cf:d5:42:76:1f:c6 ise-pap (RSA)
      ise/admin(config-Repository)# exit
      ise/admin(config)# exit
      ise/admin#
      

      例 2

      
      ise/admin# configure terminal
      ise/admin(config)# repository myrepository
      ise/admin(config-Repository)# url sftp://ise-pap
      ise/admin(config-Repository)# no host-key host ise-pap
      ise/admin(config-Repository)# exit
      ise/admin(config)# exit
      ise/admin#		
      

      service

      管理するサービスを指定するには、コンフィギュレーション モードで service コマンドを使用します。

      service sshd

      この機能を無効にするには、このコマンドの no 形式を使用します。

      no service

      構文の説明

      sshd

      Secure Shell Daemon。SSH のデーモン プログラムです。

      enable

      sshd サービスをイネーブルにします。

      key-exchange-algorithm

      sshd サービスで許可するキー交換アルゴリズムを指定します。

      diffie-hellman-group14-sha1

      キー交換アルゴリズムを diffie-hellman-group14-sha1 に制限します

      logLevel

      sshd からセキュア システム ログに対するメッセージのログ レベルを指定します。

      • 1:抑止

      • 2:致命的

      • 3:エラー

      • 4:情報(デフォルト)

      • 5:冗長

      • 6:デバッグ

      • 7:デバッグ 1

      • 8:デバッグ 2

      • 9:デバッグ 3

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      なし。

      
      ise/admin(config)# service sshd
      ise/admin(config)# service sshd enable
      ise/admin(config)# service sshd key-exchange-algorithm diffie-hellman-group14-sha1
      ise/admin(config)# service sshd loglevel 4
      ise/admin(config)#
      

      shutdown

      インターフェイスをシャットダウンするには、インターフェイス コンフィギュレーション モードで shutdown コマンドを使用します。この機能を無効にするには、このコマンドの no 形式を使用します。

      このコマンドには、キーワードおよび引数はありません。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config-GigabitEthernet)#

      使用上のガイドライン

      このコマンドを使用してインターフェイスをシャットダウンすると、そのインターフェイスを経由した Cisco ISE アプライアンスへの接続性が失われます。これは、アプライアンスの電源が投入されていても変わりません。

      ただし、アプライアンス上に別の IP を使用して 2 番目のインターフェイスを設定し、そのインターフェイスがシャットダウンされていなければ、その 2 番目のインターフェイス経由でアプライアンスに接続できます。

      インターフェイスをシャットダウンする別の方法として、ONBOOT パラメータを使用して、/etc/sysconfig/network-scripts にある ifcfg-eth[0,1] ファイルを変更することもできます。

      • インターフェイスをディセーブルにするには、ONBOOT="no" と設定します。

      • インターフェイスをイネーブルにするには、ONBOOT="yes" と設定します。

        no shutdown コマンドを使用して、インターフェイスをイネーブルにすることもできます。

      
      ise/admin(config)# interface GigabitEthernet 0
      ise/admin(config-GigabitEthernet)# shutdown
      

      snmp-server community

      簡易ネットワーク管理プロトコル(SNMP)へのアクセスを許可するコミュニティ アクセス ストリングを設定するには、コンフィギュレーション モードで snmp-server community コマンドを使用します。

      snmp-server communitycommunity-stringro

      この機能を無効にするには、このコマンドの no 形式を使用します。

      no snmp-server

      構文の説明

      community

      SNMP コミュニティ ストリングを設定します。

      community-string

      パスワードのように機能するアクセス文字列。これによって SNMP へのアクセスが許可されます。空白は使用できません。最大 255 文字の英数字をサポートします。

      ro

      読み取り専用アクセスを指定します。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      snmp-server community コマンドでは、コミュニティ ストリングと引数 ro を指定する必要があります。指定しない場合、エラーが発生します。

      Cisco ISE の SNMP エージェントは、読み取り専用の SNMP v1 アクセスと SNMP v2c アクセスを次の MIB に提供します。
      • SNMPv2-MIB
      • RFC1213-MIB
      • IF-MIB
      • IP-MIB
      • IP-FORWARD-MIB
      • TCP-MIB
      • UDP-MIB
      • HOST-RESOURCES-MIB
      • ENTITY-MIB:次の 3 つの MIB 変数のみが ENTITY-MIB でサポートされます。
        • 製品 ID:entPhysicalModelName
        • バージョン ID:entPhysicalHardwareRev
        • シリアル番号:entPhysicalSerialNumber
      • DISMAN-EVENT-MIB
      • NOTIFICATION-LOG-MIB
      • CISCO-CDP-MIB

      
      ise/admin(config)# snmp-server community new ro
      ise/admin(config)#
      

      snmp-server contact

      SNMP 接続の管理情報ベース(MIB)値をシステムに設定するには、コンフィギュレーション モードで snmp-server contact コマンドを使用します。システム連絡先情報を削除するには、このコマンドの no 形式を使用します。

      snmp-server contactcontact-name

      構文の説明

      連絡先

      この管理対象ノードの担当者を指定します。最大 255 文字の英数字をサポートします。

      contact-name

      ノードのシステム連絡先情報を表す文字列。最大 255 文字の英数字をサポートします。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      なし。

      
      ise/admin(config)# snmp-server contact Luke
      ise/admin(config)#
      

      snmp-server host

      SNMP トラップをリモート ユーザに送信するには、コンフィギュレーション モードで snmp-server host コマンドを使用します。

      snmp-server host {ip-address | hostname} version {1 | 2c} community

      トラップ転送を削除するには、このコマンドの no 形式を使用します。

      構文の説明

      ホスト

      SNMP 通知を受信するホストを設定します。

      ip-address

      SNMP 通知ホストの IP アドレス。最大 32 文字の英数字をサポートします。

      hostname

      SNMP 通知ホストの名前。最大 32 文字の英数字をサポートします。

      version {1 | 2c}

      (任意)。トラップの送信に使用する SNMP のバージョン。デフォルトは 1 です。

      version キーワードを使用する場合は、次のキーワードのいずれかを指定します。

      • 1:SNMPv1。

      • 2c:SNMPv2C。

      community

      通知処理で送信されるパスワードに類似のコミュニティ ストリング。

      コマンド デフォルト

      ディセーブル。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      SNMP がすでに設定されている場合、Cisco ISE ではアプライアンスの起動(リロード)時に「coldStart(0)」トラップを送信します。Cisco ISE では、最初に起動するときは「coldStart(0)」トラップを送信する Net-SNMP クライアントを使用し、停止するときは企業固有のトラップ「nsNotifyShutdown」を使用します。

      snmp-server host コマンドを使用して SNMP を再設定した後は、通常の場合、標準の「coldStart(0)」トラップでも「warmStart(1)」トラップでもなく、企業固有のトラップ「nsNotifyShutdown」を生成します。

      
      ise/admin(config)# snmp-server host ise1 version 2c public
      ise/admin(config)# snmp-server community public ro
      2012-09-24T18:37:59.263276+00:00 ise1 snmptrapd[29534]: ise1.cisco.com [UDP: [192.168.118.108]:44474]: Trap , 
      DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (29) 0:00:00.29, SNMPv2-MIB::snmpTrapOID.0 = OID: SNMPv2-MIB::coldStart, 
      SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
      ise/admin(config)# snmp-server contact admin@cisco.com
      2012-09-24T18:43:32.094128+00:00 ise1 snmptrapd[29534]: ise1.cisco.com [UDP: [192.168.118.108]:53816]: Trap ,
      DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (33311) 0:05:33.11, SNMPv2-MIB::snmpTrapOID.0 = OID: NET-SNMP-AGENT-MIB::nsNotifyRestart, SNMPv2-MIB::snmpTrapEnterprise.0 = OID: NET-SNMP-MIB::netSnmpNotificationPrefix
      
      
      ise/admin(config)# snmp-server community new ro
      ise/admin(config)# snmp-server host 209.165.202.129 version 1 password
      ise/admin(config)#
      

      snmp-server location

      SNMP ロケーションの MIB 値をシステムに設定するには、コンフィギュレーション モードで snmp-server location コマンドを使用します。システム ロケーション情報を削除するには、このコマンドの no 形式を使用します。

      snmp-server locationlocation

      構文の説明

      場所

      この管理対象ノードの物理的な場所を設定します。最大 255 文字の英数字をサポートします。

      場所

      システムの物理ロケーション情報を表す文字列。最大 255 文字の英数字をサポートします。

      コマンド デフォルト

      デフォルトの動作や値はありません。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      word 文字列では、単語の間にアンダスコア(_)またはハイフン(-)を使用することをお勧めします。word 文字列で単語の間に空白を使用する場合、文字列を二重引用符(")で囲む必要があります。

      例 1

      
      ise/admin(config)# snmp-server location Building_3/Room_214
      ise/admin(config)#
      

      例 2

      
      ise/admin(config)# snmp-server location “Building 3/Room 214”
      ise/admin(config)#
      

      username

      SSH を使用して Cisco ISE アプライアンスにアクセスできるユーザを追加するには、コンフィギュレーション モードで username コマンドを使用します。ユーザがすでに存在する場合は、このコマンドを使用してパスワード、特権レベル、または両方を変更します。システムからユーザを削除するには、このコマンドの no 形式を使用します。

      usernameusernamepassword hash | plain{password} role admin | user email{email-address}

      既存のユーザに対しては、次のコマンド オプションを使用します。

      usernameusernamepassword role admin | user {password}

      構文の説明

      username

      引数 username には 1 つの単語のみを指定できます。空白や二重引用符(")は使用できません。最大 31 文字の英数字をサポートします。

      password

      パスワードを指定します。

      password

      パスワード。40 文字までの英数字で指定します。パスワードは、すべての新規ユーザに指定する必要があります。

      hash | plain

      パスワードのタイプ。最大 34 文字の英数字をサポートします。

      role admin | user

      ユーザのユーザ ロールと特権レベルを設定します。

      無効

      ユーザの電子メール アドレスに従って、ユーザをディセーブルにします。

      email

      ユーザの電子メール アドレスを設定します。

      email-address

      ユーザの電子メール アドレスを指定します。たとえば、user1@mydomain.com のように指定します。

      コマンド デフォルト

      設定時の初期ユーザです。

      コマンド モード

      コンフィギュレーション(config)#

      使用上のガイドライン

      username コマンドでは、username および password キーワードの後に、hash|plain および admin |user オプションを指定する必要があります。

      例 1

      
      ise/admin(config)# username admin password hash ###### role admin
      ise/admin(config)#
      

      例 2

      
      ise/admin(config)# username admin password plain Secr3tp@swd role admin
      ise/admin(config)#
      

      例 3

      
      ise/admin(config)# username admin password plain Secr3tp@swd role admin email admin123@mydomain.com
      ise/admin(config)#