Cisco Nexus 5000 シリーズ コマンド リファレンス Release 4.0
Cisco Nexus 5000 シリーズ セキュリティ コマンド
Cisco Nexus 5000 シリーズ セキュリティ コマンド
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

Cisco Nexus 5000 シリーズ セキュリティ コマンド

aaa accounting default

aaa authentication login console

aaa authentication login default

aaa authentication login error-enable

aaa authentication login mschap enable

aaa group server radius

action

clear access-list counters

clear accounting log

deadtime

deny(IPv4)

deny(MAC)

description(ユーザ ロール)

feature

feature tacacs+

interface policy deny

ip access-list

ip port access-group

mac access-list

mac port access-group

match

permit(IPv4)

permit(MAC)

permit interface

permit vlan

permit vrf

radius-server deadtime

radius-server directed-request

radius-server host

radius-server key

radius-server retransmit

radius-server timeout

remark

resequence

role feature-group name

role name

rule

server

show aaa accounting

show aaa authentication

show aaa groups

show access-lists

show accounting log

show ip access-lists

show mac access-lists

show radius-server

show role

show role feature

show role feature-group

show running-config aaa

show running-config radius

show running-config security

show ssh key

show ssh server

show startup-config aaa

show startup-config radius

show startup-config security

show tacacs-server

show telnet server

show user-account

show users

show vlan access-list

show vlan access-map

show vlan filter

ssh

ssh key

ssh server enable

storm-control level

tacacs-server deadtime

tacacs-server directed-request

tacacs-server host

tacacs-server key

tacacs-server timeout

telnet

telnet server enable

use-vrf

username

vlan access-map

vlan filter

vlan policy deny

vrf policy deny

Cisco Nexus 5000 シリーズ セキュリティ コマンド

この章では、Cisco Nexus 5000 シリーズ スイッチで使用できるセキュリティ コマンドについて説明します。

aaa accounting default

アカウンティングの Authentication, Authorization, and Accounting(AAA;認証、認可、アカウンティング)メソッドを設定するには、 aaa accounting default コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

aaa accounting default {group { group-list } | local}

no aaa accounting default {group { group-list } | local}

 
シンタックスの説明

group

サーバ グループをアカウンティングで使用するよう指定します。

group-list

1 つまたは複数の RADIUS サーバ グループを指定する空白で区切られたリストです。

local

ローカル データベースをアカウンティングで使用するよう指定します。

 
コマンドのデフォルト設定

ローカル データベース

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

group group-list メソッドは、RADIUS サーバまたは TACACS+ サーバの既定のセットを参照します。 radius-server host コマンドを使用してホスト サーバを設定します。 aaa group server コマンドを使用して、指定したサーバのグループを作成します。

group メソッドか local メソッドまたはその両方を指定すると、アカウンティング認証に失敗します。

次に、AAA アカウンティングの RADIUS サーバを設定する例を示します。

switch(config)# aaa accounting default group

 
関連コマンド

コマンド
説明

aaa group server radius

AAA RADIUS サーバ グループを設定します。

radius-server host

RADIUS サーバを設定します。

show aaa accounting

AAA アカウンティング ステータス情報を表示します。

tacacs-server host

TACACS+ サーバを設定します。

aaa authentication login console

コンソール ログインのAAA 認証メソッドを設定するには、 aaa authentication login console コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

aaa authentication login console {group group-list } [none] | local | none}

no aaa authentication login console {group group-list [none] | local | none}

 
シンタックスの説明

group

認証のサーバ グループを指定するのに使用します。

group-list

RADIUS サーバまたは TACACS+ サーバ グループのスペースで区切られたリストを指定します。リストには次の内容が含まれます。

設定されたすべての RADIUS サーバの radius

設定されたすべての TACACS+ サーバの tacacs+

設定された RADIUS サーバまたは TACACS+ サーバ グループ名

none

(任意)認証でユーザ名を使用するよう指定します。

local

(任意)認証でローカル データベースを使用するよう指定します。

 
コマンドのデフォルト設定

ローカル データベース

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

The group radius, group tacacs+ 、および group group-list メソッドは、RADIUS サーバまたは TACACS+ サーバの既定のセットを参照します。 radius-server host コマンドまたは tacacs-server host コマンドを使用してホスト サーバを設定します。 aaa group server コマンドを使用して、指定したサーバのグループを作成します。

group メソッドまたは local メソッドを指定してそれが失敗した場合は、認証も失敗します。 none メソッドのみを指定、または group メソッドの後に指定すると、認証は常に成功します。

次に、AAA 認証コンソール ログイン メソッドを設定する例を示します。

switch(config)# aaa authentication login console group radius

次に、デフォルトの AAA 認証コンソール ログイン メソッドに戻す例を示します。

switch(config)# no aaa authentication login console group radius

 
関連コマンド

コマンド
説明

aaa group server

AAA サーバ グループを設定します。

radius-server host

RADIUS サーバを設定します。

show aaa authentication

AAA 認証情報を表示します。

tacacs-server host

TACACS+ サーバを設定します。

aaa authentication login default

デフォルトのAAA 認証メソッドを設定するには、 aaa authentication login default コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

aaa authentication login default {group group-list } [none] | local | none}

no aaa authentication login default {group group-list } [none] | local | none}

 
シンタックスの説明

group

サーバ グループをアカウンティングで使用するよう指定します。

group-list

次の内容を含む RADIUS サーバまたは TACACS+ サーバ グループのスペースで区切られたリストを指定します。

設定されたすべての RADIUS サーバの radius

設定されたすべての TACACS+ サーバの tacacs+

設定された RADIUS サーバまたは TACACS+ サーバ グループ名

none

(任意)認証でユーザ名を使用するよう指定します。

local

(任意)認証でローカル データベースを使用するよう指定します。

 
コマンドのデフォルト設定

ローカル データベース

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

group radius, group tacacs+ 、および group group-list メソッドは、RADIUS サーバまたは TACACS+ サーバの既定のセットを参照します。 radius-server host コマンドまたは tacacs-server host コマンドを使用してホスト サーバを設定します。 aaa group server コマンドを使用して、指定したサーバのグループを作成します。

group メソッドまたは local メソッドを指定してそれが失敗した場合は、認証も失敗します。 none メソッドのみを指定、または group メソッドの後に指定すると、認証は常に成功します。

次に、AAA 認証コンソール ログイン メソッドを設定する例を示します。

switch(config)# aaa authentication login default group radius

次に、デフォルトの AAA 認証コンソール ログイン メソッドに戻す例を示します。

switch(config)# aaa authentication login default group radius

 
関連コマンド

コマンド
説明

aaa group server

AAA サーバ グループを設定します。

radius-server host

RADIUS サーバを設定します。

show aaa authentication

AAA 認証情報を表示します。

tacacs-server host

TACACS+ サーバを設定します。

aaa authentication login error-enable

AAA 認証失敗メッセージをコンソールに表示するよう設定するには、 aaa authentication login error-enable コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

aaa authentication login error-enable

no aaa authentication login error-enable

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

ディセーブル

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

ログイン時に、リモート AAA サーバが応答しない場合は、ログインが処理されてローカル ユーザ データベースにロール オーバーされます。このような状況では、ログイン失敗メッセージの表示がイネーブルに設定されている場合、次のメッセージが表示されます。

Remote AAA servers unreachable; local authentication done.
Remote AAA servers unreachable; local authentication failed.

次に、AAA 認証失敗メッセージのコンソールでの表示をイネーブルにする例を示します。

switch(config)# aaa authentication login error-enable

次に、AAA 認証失敗メッセージのコンソールでの表示をディセーブルにする例を示します。

switch(config)# no aaa authentication login error-enable

 
関連コマンド

コマンド
説明

show aaa authentication

AAA 認証失敗メッセージ表示のステータスを表示します。

aaa authentication login mschap enable

ログイン時に Microsoft Challenge Handshake Authentication Protocol(MSCHAP)をイネーブルにするには、 aaa authentication login mschap enable コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

aaa authentication login mschap enable

no aaa authentication login mschap enable

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

ディセーブル

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、MSCHAP 認証をイネーブルにする例を示します。

switch(config)# aaa authentication login mschap enable

次に、MSCHAP 認証をディセーブルにする例を示します。

switch(config)# no aaa authentication login mschap enable

 
関連コマンド

コマンド
説明

show aaa authentication

MSCHAP 認証のステータスを表示します。

aaa group server radius

RADIUS サーバ グループを作成して RADIUS サーバ グループ コンフィギュレーション モードを入力するには、 aaa group server radius コマンドを使用します。RADIUS サーバ グループを削除するには、このコマンドの no 形式を使用します。

aaa group server radius group-name

no aaa group server radius group-name

 
シンタックスの説明

group-name

RADIUS サーバ グループ名です。

 
コマンドのデフォルト設定

なし

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、RADIUS サーバ グループを作成して RADIUS サーバ グループ コンフィギュレーション モードを入力する例を示します。

switch(config)# aaa group server radius RadServer
switch(config-radius)#
 

次に、RADIUS サーバ グループを削除する例を示します。

switch(config)# no aaa group server radius RadServer

 
関連コマンド

コマンド
説明

show aaa groups

サーバ グループ情報を表示します。

action

パケットが VLAN アクセス コントロール リスト(VACL) の permit コマンドに一致するときのスイッチの動作を指定するには、 action コマンドを使用します。 action コマンドを削除するには、このコマンドの no 形式を使用します。

action {drop forward}

no action {drop forward}

 
シンタックスの説明

drop

スイッチがパケットをドロップするよう指定します。

forward

スイッチがパケットを宛先ポートに転送するよう指定します。

 
コマンドのデフォルト設定

なし

 
コマンド モード

VLAN アクセス マップ コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

action コマンドは、パケットが match コマンドで指定された ACL の条件に一致する場合に、デバイスが実行するアクションを指定します。

次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。

switch(config)# vlan access-map vlan-map-01
switch(config-access-map)# match ip address ip-acl-01
switch(config-access-map)# action forward
switch(config-access-map)# statistics

 
関連コマンド

コマンド
説明

match

VLAN アクセス マップでトラフィックのフィルタリングを行う ACL を指定します。

show vlan access-map

すべての VLAN アクセス マップまたは VLAN アクセス マップを表示します。

show vlan filter

VLAN アクセス マップの適用方法に関する情報を表示します。

statistics

アクセス コントロール リストまたは VLAN アクセス マップの統計情報をイネーブルにします。

vlan access-map

VLAN アクセス マップを設定します。

vlan filter

VLAN アクセス マップを 1 つまたは複数の VLAN に適用します。

clear access-list counters

すべての IPv4 アクセス コントロール リスト(ACL)または単独の IPv4 ACL のカウンタを消去するには、 clear access-list counters コマンドを使用します。

clear access-list counters [ access-list-name ]

 
シンタックスの説明

access-list-name

(任意)スイッチがカウンタを消去する IPv4 ACL の名前です。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、すべての IPv4 ACL のカウンタを消去する例を示します。

switch# clear access-list counters

次に、acl-ipv4-01 という名前の IPv4 ACL のカウンタを消去する例を示します。

switch# clear access-list counters acl-ipv4-01

 
関連コマンド

コマンド
説明

access-list

VTY 行に IPv4 ACL を適用します。

ip access-group

インターフェイスに IPv4 ACL を適用します。

ip access-list

IPv4 ACL を設定します。

show access-lists

1 つまたはすべての IPv4、IPv6、MAC ACL に関する情報を表示します。

show ip access-lists

1 つまたはすべての IPv4 に関する情報を表示します。

clear accounting log

アカウンティング ログを消去するには、 clear accounting log コマンドを使用します。

clear accounting log

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、アカウンティング ログを消去する例を示します。

switch# clear accounting log

 
関連コマンド

コマンド
説明

show accounting log

アカウンティング ログの内容を表示します。

deadtime

RADIUS または TACACS+ サーバ グループのデッド タイムの時間間隔を設定するには、 deadtime コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

deadtime minutes

no deadtime minutes

 
シンタックスの説明

minutes

時間間隔の分です。有効範囲は 0 ~ 1440 分です。デッド タイムの設定をゼロにすると、タイマーがディセーブルになります。

 
コマンドのデフォルト設定

0 分

 
コマンド モード

RADlUS サーバ グループ設定
TACACS+ サーバ グループ設定

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。

次に、RADIUS サーバ グループのデッド タイムを 2 分に設定する例を示します。

switch(config)# aaa group server radius RadServer
switch(config-radius)# deadtime 2
 

次に、TACACS+ サーバ グループのデッド タイムを 5 分に設定する例を示します。

switch(config)# aaa group server tacacs+ TacServer
switch(config-tacacs+)# deadtime 5
 

次に、デッド タイムの時間間隔をデフォルトに戻す例を示します。

switch(config)# aaa group server tacacs+ TacServer
switch(config-tacacs+)# no deadtime 5
 

 
関連コマンド

コマンド
説明

aaa group server

AAA サーバ グループを設定します。

feature tacacs+

TACACS+ をイネーブルにします。

radius-server host

RADIUS サーバを設定します。

show radius-server groups

RADIUS サーバ グループ情報を表示します。

show tacacs-server groups

TACACS+ サーバ グループ情報を表示します。

tacacs-server host

TACACS+ サーバを設定します。

deny(IPv4)

条件に一致するトラフィックを拒否する IPv4 ACL ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。

一般的な構文

[ sequence-number ] deny protocol source destination {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

no deny protocol source destination {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

no sequence-number

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)

[ sequence-number ] deny icmp source destination [ icmp-message ] {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)

[ sequence-number ] deny igmp source destination [ igmp-message ] {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

Internet Protocol v4(IPv4)

[ sequence-number ] deny ip source destination {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

Transmission Control Protocol(TCP)

[ sequence-number ] deny tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ] [ flags ] [established]

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)

[ sequence-number ] deny udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

 
シンタックスの説明

sequence-number

(任意)スイッチにアクセス リストの番号ポジションにコマンドを挿入させる deny コマンドのシーケンス番号です。シーケンス番号は、ACL 内のルールの順番を維持します。

シーケンス番号の有効範囲は、1 から 4294967295 までの整数です。

デフォルトでは、ACL の最初のルールのシーケンス番号が 10 です。

シーケンス番号を指定しない場合は、スイッチがルールを ACL の最後に追加して、その前のルールのシーケンス番号に 10 を足したシーケンス番号を割り当てます。

ルールにシーケンス番号を再度割り当てるには、 resequence コマンドを使用します。

protocol

ルールが一致するパケットのプロトコルの名前または番号です。有効な番号の範囲は 0 から 255 です。有効なプロトコル名は、次のキーワードです。

icmp ― ICMP トラフィックにのみ適用されるルールを指定します。このキーワードを使用すると、 protocol 引数で使用できるすべての有効値で、キーワード以外に icmp-message 引数も使用できるようになります。

igmp ― IGMP トラフィックにのみ適用されるルールを指定します。このキーワードを使用する場合は、 protocol 引数の有効値で使用できるキーワード以外に、 igmp-type 引数も使用できます。

ic ― すべての IPv4 トラフィックに適用されるルールを指定します。このキーワードを使用する場合は、すべての IPv4 に適用される他のキーワードと引数を使用できます。使用できるキーワードと引数には次のものがあります。

dscp

fragments

log

precedence

time-range

tcp ― tcp トラフィックにのみ適用されるルールを指定します。このキーワードを使用する場合は、 protocol 引数の有効なすべての値で利用できるキーワード以外に、 flags および operator 引数、 portgroup および established キーワードを使用できます。

udp ― udp トラフィックにのみ適用されるルールを指定します。このキーワードを使用する場合は、 protocol 引数のすべての有効値で使用できるキーワード以外に、 operator 引数も使用できます。

source

ルールに一致する送信元 IPv4 アドレスです。この引数の指定に使用できるメソッドの詳細については、「使用方法ガイドライン」セクションの「Source と Destination」を参照してください。

destination

ルールに一致する宛先 IPv4 アドレスです。この引数の指定に使用できるメソッドの詳細については、「使用方法ガイドライン」セクションの「Source と Destination」を参照してください。

dscp dscp

(任意)IP ヘッダー DSCP フィールドにある指定した 6 ビットのディファレンシエーティッド サービス値を持つパケットにのみ一致するように、ルールを指定します。 dscp 引数には、次のキーワードを指定できます。

0-63 ― DSCP フィールドの 6 ビットに相当する小数値です。たとえば、10 を指定した場合、ルールは DSCP フィールドに 001010 ビットを持つパケットにのみ一致します。

af11 ― Assured Forwarding(AF)クラス 1、低ドロップ確率(001010)

af12 ― AF クラス 1、中程度ドロップ確率(001100)

af13 ― AF クラス 1、高ドロップ確率(001110)

af21 ― AF クラス 2、低ドロップ確率(010010)

af22 ― AF クラス 2、中程度ドロップ確率(010100)

af23 ― AF クラス 2、高ドロップ確率(010110)

af31 ― AF クラス 3、低ドロップ確率(011010)

af32 ― AF クラス 3、中程度ドロップ確率(011100)

af33 ― AF クラス 3、高ドロップ確率(011110)

af41 ― AF クラス 4、低ドロップ確率(100010)

af42 ― AF クラス 4、中程度ドロップ確率(100100)

af43 ― AF クラス 4、高ドロップ確率(100110)

cs1 ― クラス セレクタ(CS)1、プレシデンス 1(001000)

cs2 ― CS2、プレシデンス 2(010000)

cs3 ― CS3、プレシデンス 3(011000)

cs4 ― CS4、プレシデンス 4(100000)

cs5 ― CS5、プレシデンス 5(101000)

cs6 ― CS6、プレシデンス 6(110000)

cs7 ― CS7、プレシデンス 7(111000)

default ― デフォルト DSCP 値(000000)

ef ― Expedited Forwarding(101110)

precedence precedence

(任意) precedence 引数によって指定された値を伴う IP プレシデンス フィールドを持つパケットのみに一致するようルールを指定します。 precedence 引数には、次の数値またはキーワードを指定できます。

0-7 ― IP プレシデンス フィールドの 3 ビットに相当する小数値です。たとえば、3 を指定した場合、ルールは DSCP フィールドに 011 ビットを持つパケットにのみ一致します。

critical ― プレシデンス 5(101)

flash ― プレシデンス 3(011)

flash-override ― プレシデンス 4(100)

immediate ― プレシデンス 2(010)

internet ― プレシデンス 6(110)

network ― プレシデンス 7(111)

priority ― プレシデンス 1(001)

routine ― プレシデンス 0(000)

fragments

(任意)非先頭フラグメントであるパケットにのみ一致するようルールを指定します。このキーワードを、TCP ポート番号などのレイヤ 4 オプションを指定した同じルールに指定することはできません。これらのオプションを評価するためにスイッチが必要とする情報は、先頭フラグメントにのみ含まれているためです。

log

(任意)スイッチが、ルールに一致する各パケットに関する情報メッセージを生成するように指定します。メッセージは、次の内容で構成されています。

ACL 名

パケットが許可されたか拒否されたか

プロトコルが TCP、UDP、ICMP または数値であるか

発信元アドレスと宛先アドレス、必要に応じて発信元および宛先ポート番号

time-range time-range-name

(任意)このルールに適用される時間の範囲を指定します。 time-range コマンドを使用すると、時間の範囲を設定できます。

icmp-message

(任意、ICMP のみ)指定した ICMP メッセージ タイプのパケットにのみ一致するルールです。この引数は、0 から 255 までの整数、または「使用方法ガイドライン」セクションの「ICMP メッセージ タイプ」の一覧に含まれるキーワードのうち 1 つを指定できます。

igmp-message

(任意、IGMP のみ)指定した IGMP メッセージ タイプのパケットにのみ一致するルールです。 igmp-message 引数は、0 から 15 の範囲の IGMP メッセージ番号です。次のキーワードも指定できます。

dvmrp ― Distance Vector Multicast Routing Protocol(DVMRP)

host-query ― ホスト クエリ

host-report ― ホスト レポート

pim ― Protocol Independent Multicast(PIM)

trace ― マルチキャスト トレース

operator port [ port ]

(任意、TCP および UDP のみ)送信元ポートからのパケット、または operator および port 引数の条件を満たす宛先ポートに送られるパケットにのみ一致するルールです。これらの引数は、その後に source 引数を指定するか、または destination 引数を指定するかによって、送信元ポートまたは宛先ポートに適用されます。

port 引数は、名前、または TCP ポートか UDP ポートの番号です。有効な値は、0 から 65535 までの整数です。有効なポート名のリストについては、「使用方法ガイドライン」セクションの「TCP ポート名」または「UDP ポート名」を参照してください。

2 番めの port 引数は、 operator 引数が範囲となっている場合のみ必要となります。

operator 引数は、次のキーワードのうち 1 つにする必要があります。

eq ― パケットのポートが port 引数と等しい場合のみ一致します。

gt ― パケットのポートが port 引数より大きい場合のみ一致します。

lt ― パケットのポートが port 引数より小さい場合のみ一致します。

eq ― パケットのポートが port 引数と等しくない場合のみ一致します。

range ― 2 つの port 引数が必要で、パケットのポートが最初の port 引数以上、2 番めの port 引数以下の場合のみ一致します。

portgroup portgroup

(任意、TCP および UDP のみ) portgroup 引数によって指定された IP ポート グループ オブジェクトのメンバーである送信元ポートからのパケット、または同メンバーである宛先ポートへのパケットにのみ一致するよう指定します。その後、 source 引数を指定するか、または destination 引数を指定するかによって、ポート グループ オブジェクトが送信元ポートまたは宛先ポートに適用されます。

object-group ip port コマンドを使用して、IP ポート グループの作成と変更を行います。

flags

(任意、TCP のみ)指定した TCP コントロール ビット フラグ セットを持つパケットにのみ一致するルールです。 operator 引数の値は、次の1 つまたは複数のキーワードにする必要があります。

ack

fin

psh

rst

syn

urg

established

(任意、TCPのみ)ルールが確立された TCP 接続に属するパケットにのみ一致するよう指定します。スイッチは、ACK ビットまたは RST ビットを持っている TCP パケットが確立された接続に属するよう設定されているとみなします。

 
コマンドのデフォルト設定

新しく作成された IPv4 ACL にはルールは含まれません。

シーケンス番号を指定しない場合は、スイッチにより ACL の最後のルールのシーケンス番号に 10 を足したシーケンス番号がルールに割り当てられます。

 
コマンド モード

IPv4 ACL コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

スイッチが IPv4 ACL をパケットに適用する場合、ACL のすべてのルールについてパケットを評価します。スイッチは、パケットによって満たされた最初の条件を採用します。複数の条件が満たされる場合は、スイッチは最も小さいシーケンス番号のルールを採用します。

Source と Destination

source 引数と destination 引数はいくつかの方法で指定できます。それぞれのルールで、これらの引数の 1 つを指定するのに使用するメソッドは、他の引数の指定方法には影響しません。ルールを設定する場合は、次のメソッドを使用して source 引数と destination 引数を指定します。

IP アドレス グループ オブジェクト ― IPv4 アドレス グループ オブジェクトを使用して、 source 引数または destination 引数を指定できます。 object-group ip address コマンドを使用して、IPv4 ポート グループの作成と変更を行います。構文は次のようになります。

addrgroup address-group-name

次に、lab-gateway-svrs という名前の IPv4 アドレス オブジェクト グループを使用して、 destination 引数を指定する例を示します。

switch(config-acl)# deny ip any addrgroup lab-gateway-svrs

アドレスおよびネットワーク ワイルドカード ― IPv4 アドレスの後にネットワーク ワイルドカードを使用して、ホストまたはネットワークを送信元または宛先として指定できます。構文は次のようになります。

IPv4-address network-wildcard

次に、IPv4 アドレスとサブネット 192.168.67.0 のネットワーク ワイルドカードを持つ source 引数を指定する例を示します。

switch(config-acl)# deny tcp 192.168.67.0 0.0.0.255 any

アドレスおよび Variable-Length Subnet Mask(VLSM) ― IPv4 アドレスの後に VLSM を使用して、ホストまたはネットワークを送信元または宛先として指定できます。構文は次のようになります。

IPv4-address/prefix-len

次に、IPv4 アドレスとサブネット 192.168.67.0 の VLSM を持つ source 引数を指定する例を示します。

switch(config-acl)# deny udp 192.168.67.0/24 any

ホスト アドレス ― host キーワードと IPv4 アドレスを使用して、送信元および宛先としてホストを指定できます。構文は次のようになります。

host IPv4-address

これは、 IPv4-address /32、および IPv4-address 0.0.0.0 と等しい構文です。

次に、 host キーワードと 192.168.67.132 の IPv4 アドレス を持つ source 引数を指定する例を示します。

switch(config-acl)# deny icmp host 192.168.67.132 any

すべてのアドレス ― any キーワードを使用して、IPv4 アドレスである送信元または宛先を指定できます。 any キーワードを使用する例については、このセクションの例を参照してください。それぞれの例で、 any キーワードを使用して送信元または宛先を指定する方法が示されています。

ICMP メッセージ タイプ

icmp-message 引数には、0 から 255 までの整数の ICMP メッセージ番号を指定できます。次のキーワードも指定できます。

administratively-prohibited ― 管理上禁止

alternate-address ― 代替アドレス

conversion-error ― データグラム変換

dod-host-prohibited ― 禁止ホスト

dod-net-prohibited ― 禁止されていない

echo ― エコー(ping)

echo-reply ― エコー応答

general-parameter-problem ― パラメータの問題

host-isolated ― 分離ホスト

host-precedence-unreachable ― プレシデンスが到達不能なホスト

host-redirect ― ホスト リダイレクト

host-tos-redirect ― ToS ホスト リダイレクト

host-tos-unreachable ― ToS が到達不能なホスト

host-unknown ― 不明ホスト

host-unreachable ― 到達不能なホスト

information-reply ― 情報応答

information-request ― 情報要求

mask-reply ― マスク応答

mask-request ― マスク要求

mobile-redirect ― モバイル ホスト リダイレクト

net-redirect ― ネットワーク リダイレクト

net-tos-redirect ― ネット リダイレクト ホスト

net-tos-unreachable ― ToS が到達不能なネットワーク

net-unreachable ― 到達不能なネット

network-unknown ― 不明ネットワーク

no-room-for-option ― パラメータが必要であるが空きスペースがない

option-missing ― パラメータが必要であるが存在しない

packet-too-big ― フラグメント化と DF セットが必要

parameter-problem ― すべてのパラメータの問題

port-unreachable ― 到達不能なポート

precedence-unreachable ― プレシデンス カットオフ

protocol-unreachable ― 到達不能なプロトコル

reassembly-timeout ― 再アセンブリ タイムアウト

redirect ― すべてのリダイレクト

router-advertisement ― ルータ ディスカバリ アドバタイズメント

router-solicitation ― ルータ ディスカバリ要求

source-quench ― 送信元クエンチ

source-route-failed ― 送信元ルート失敗

time-exceeded ― すべての time-exceeded メッセージ

timestamp-reply ― タイムスタンプ応答

timestamp-reply ― タイムスタンプ応答

traceroute ― Traceroute

ttl-exceeded ― TTL 超過

redirect ― すべての到達不能

TCP ポート名

tcp として protocol 引数を指定すると、 tcp 引数には 0 から 65535 までの整数の TCP 番号を指定できます。次のキーワードも指定できます。

bgp ― ボーダー ゲートウェイ プロトコル(179)

chargen ― 文字ジェネレータ(19)

cmd ― リモート コマンド(rcmd、514)

daytime ― Daytime(13)

discard ― 廃棄(9)

domain ― ドメイン ネーム サーバ(53)

drip ― ダイナミック ルーティング情報プロトコル(3949)

echo ― エコー(7)

exec ― EXEC(rsh、512)

finger ― フィンガー(79)

ftp ― FTP(21)

ftp-data ― FTP データ接続(2)

gopher ― Gopher(7)

hostname ― NIC ホスト名サーバ(11)

ident ― Ident プロトコル(113)

irc ― インターネット リレー チャット(194)

klogin ― Kerberos ログイン(543)

kshell ― Kerberos シェル(544)

login ― ログイン(rlogin、513)

lpd ― プリンタ サービス(515)

nntp ― Network News Transport Protocol(119)

pim-auto-rp ― PIM Auto-RP(496)

pop2 ― Post Office Protocol v2(19)

pop3 ― Post Office Protocol v3(11)

smtp ― Simple Mail Transport Protocol(25)

sunrpc ― Sun Remote Procedure Call(111)

tacacs ― TAC Access Control System(49)

talk ― Talk(517)

telnet ― Telnet(23)

time ― Time(37)

uucp ― Unix-to-Unix Copy Program(54)

whois ― WHOIS/NICNAME(43)

www ― World Wide Web(HTTP、8)

UDP ポート名

udp として protocol 引数を指定すると、 tcp 引数には 0 から 65535 までの整数の UDP 番号を指定できます。次のキーワードも指定できます。

biff ― Biff(メール通知、comsat、512)

bootpc ― Bootstrap Protocol(BOOTP)クライアント(68)

bootpc ― Bootstrap Protocol(BOOTP)クライアント(67)

discard ― 廃棄(9)

dnsix ― DNSIX セキュリティ プロトコル監査(195)

domain ― ドメイン ネーム サーバ(DNS、53)

echo ― エコー(7)

isakmp ― Internet Security Association および Key Management Protocol(5)

mobile-ip ― モバイル IP 登録(434)

nameserver ― IEN116 ネーム サービス(廃止、42)

netbios-dgm ― NetBIOS データグラム サービ(138)

netbios-ns ― NetBIOS ネーム サービス(137)

netbios-ss ― NetBIOS セッション サービス(139)

non500-isakmp ― Internet Security Association および Key Management Protocol(45)

ntp ― Network Time Protocol(123)

pim-auto-rp ― PIM Auto-RP(496)

rip ― ルーティング情報プロトコル(ルータ、in.routed、52)

snmp ― Simple Network Management Protocol(161)

snmptrap ― SNMP トラップ(162)

sunrpc ― Sun Remote Procedure Call(111)

syslog ― システム ロガー(514)

tacacs ― TAC Access Control System(49)

talk ― Talk(517)

tftp ― Trivial File Transfer Protocol(69)

time ― Time(37)

who ― Who サービス(rwho、513)

xdmcp ― X Display Manager Control Protocol(177)

次に、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP および UDP トラフィックを拒否するルールと、他のすべての IPv4 トラフィックを許可する最終ルールを使用して、acl-lab-01 という名前で IPv4 ACL を設定する例を示します。

switch(config)# ip access-list acl-lab-01
switch(config-acl)# deny tcp 10.23.0.0/16 10.176.0.0/16
switch(config-acl)# deny udp 10.23.0.0/16 10.176.0.0/16
switch(config-acl)# deny tcp 192.168.37.0/16 10.176.0.0/16
switch(config-acl)# deny udp 192.168.37.0/16 10.176.0.0/16
switch(config-acl)# permit ip any any

 
関連コマンド

コマンド
説明

ip access-list

IPv4 ACL を設定します。

permit(IPv4)

IPv4 ACL に許可ルールを設定します。

remark

IPv4 ACL にリマークを設定します。

show ip access-list

すべての IPv4 ACL または 1 つの IPv4 ACL を表示します。

deny(MAC)

条件に一致するトラフィックを定義する Media Access Control(MAC)アクセス コントロール リスト(ACL)を作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。

[ sequence-number ] deny source destination [ protocol ] [cos cos-value ] [vlan vlan_id ]

no deny source destination [ protocol ] [cos cos-value ] [vlan vlan_id ]

no sequence-number

 
シンタックスの説明

sequence-number

(任意)スイッチにアクセス リストの番号ポジションへコマンドを挿入させる deny コマンドのシーケンス番号です。シーケンス番号は、ACL 内のルールの順番を維持します。

シーケンス番号の有効範囲は、1 から 4294967295 までの整数です。

デフォルトでは、ACL の最初のルールのシーケンス番号が 10となります。

シーケンス番号を指定しない場合は、スイッチがルールを ACL の最後に追加して、その前のルールのシーケンス番号に 10 を足したシーケンス番号を割り当てます。

ルールにシーケンス番号を再度割り当てるには、 resequence コマンドを使用します。

source

ルールに一致する送信元 MAC アドレスです。この引数を指定するのに使用できるメソッドの詳細については、「使用方法ガイドライン」セクションの「Source と Destination」を参照してください。

destination

ルールに一致する宛先 MAC アドレスです。この引数を指定するのに使用できるメソッドの詳細については、「使用方法ガイドライン」セクションの「Source と Destination」を参照してください。

protocol

(任意)ルールに一致するプロトコル番号です。有効なプロトコル番号の範囲は 0x0 から 0xffff です。有効なプロトコル名のリストについては、「使用方法ガイドライン」セクションの「MAC プロトコル」を参照してください。

cos cos-value

(任意)IEEE 802.1Q ヘッダーに cos-value 引数で指定されたClass of Service(CoS; サービス クラス)値が含まれるパケットのみに一致するように、ルールを指定します。 cos-value 引数は、0 から 7 までの整数です。

vlan vlan_id

(任意)IEEE 802.1Q ヘッダーに指定された VLAN ID が含まれるパケットのみに一致するように、ルールを指定します。 vlan_id 引数は、1 から 4094 までの整数です。

 
コマンドのデフォルト設定

新しく作成された MAC ACL にはルールは含まれません。

シーケンス番号を指定しない場合は、スイッチにより ACL の最後のルールのシーケンス番号に 10 を足したシーケンス番号がルールに割り当てられます。

 
コマンド モード

MAC ACL コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

スイッチが MAC ACL をパケットに適用する場合、ACL のすべてのルールについてパケットを評価します。スイッチは、パケットによって満たされた最初の条件を採用します。複数の条件が満たされる場合は、スイッチは最も小さいシーケンス番号のルールを採用します。

Source と Destination

source 引数と destination 引数は 2 つの方法で指定できます。それぞれのルールで、これらの引数の 1 つを指定するのに使用するメソッドは、他の引数の指定方法には影響しません。ルールを設定する場合は、次のメソッドを使用して source 引数と destination 引数を指定します。

アドレスとマスク ― MAC アドレスの後にマスクを使用して、1 つのアドレスまたはアドレスのグループを指定できます。構文は次のようになります。

MAC-address MAC-mask

次に、MAC アドレス 00c0.4f03.0a72 を持つ source 引数を指定する例を示します。

switch(config-acl)# deny 00c0.4f03.0a72 0000.0000.0000 any

次に、MAC ベンダー コードが00603e のすべての MAC アドレスを持つ destination 引数を指定する例を示します。

switch(config-acl)# deny any 0060.3e00.0000 0000.0000.0000

すべてのアドレス ― any キーワードを使用して、MAC アドレスである送信元または宛先を指定できます。 any キーワードを使用する例については、このセクションの例を参照してください。それぞれの例で、 any キーワードを使用して送信元または宛先を指定する方法が示されています。

MAC プロトコル

protocol 引数は、MAC プロトコル番号またはキーワードを指定します。プロトコル番号は、先頭に 0x が付く 4 バイトの 16 進数です。有効なプロトコル番号の範囲は 0x0 から 0xffff です。有効なキーワードは、次のとおりです。

aarp ― Appletalk ARP(0x80f3)

appletalk ― Appletalk(0x809b)

decnet-iv ― DECnet Phase IV(0x6003)

diagnostic ― DEC Diagnostic Protocol(0x6005)

etype-6000 ― EtherType 0x6000(0x6000)

etype-8042 ― EtherType 0x8042(0x8042)

ip ― Internet Protocol v4(0x0800)

lat ― DEC LAT(0x6004)

lavc-sca ― DEC LAVC、SCA(0x6007)

mop-console ― DEC MOP リモート コンソール(0x6002)

mop-dump ― DEC MOP ダンプ(0x6001)

vines-echo ― VINES エコー(0x0baf)

次に、mac-ip-filter という名前で、2 つの MAC アドレスのグループ間ですべての非 IPv4 トラフィックを許可する MAC ACL を設定する例を示します。

switch(config)# mac access-list mac-ip-filter
switch(config-mac-acl)# deny 00c0.4f00.0000 0000.00ff.ffff 0060.3e00.0000 0000.00ff.ffff ip
switch(config-mac-acl)# permit any any

 
関連コマンド

コマンド
説明

mac access-list

MAC ACL を設定します。

permit(MAC)

MAC ACL に拒否ルールを設定します。

remark

ACL にリマークを設定します。

show mac access-list

すべての MAC ACL または 1 つの MAC ACL を表示します。

description(ユーザ ロール)

ユーザ ロールの説明を設定するには、 description コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

description text

no description

 
シンタックスの説明

text

ユーザ ロールを説明するテキスト ストリングです。最大 128 文字まで可能です。

 
コマンドのデフォルト設定

なし

 
コマンド モード

ユーザ ロール コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

ユーザ ロールを説明するテキストに、ブランクのスペースを含めることができます。

次に、ユーザ ロールの説明を設定する例を示します。

switch(config)# role name MyRole
switch(config-role)# description User role for my user account.

次に、ユーザ ロールから説明を削除する例を示します。

switch(config)# role name MyRole
switch(config-role)# no description

feature

ユーザ ロール機能グループの機能を設定するには、 feature コマンドを使用します。ユーザ ロール機能グループの機能を削除するには、このコマンドの no 形式を使用します。

feature feature-name

no feature feature-name

 
シンタックスの説明

feature-name

スイッチは、 show role feature コマンド出力に一覧されている名前を採用します。

 
コマンドのデフォルト設定

なし

 
コマンド モード

ユーザ ロール機能グループ コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

show role 機能コマンドを使用して、有効な機能名を一覧して、このコマンドで使用します。

次に、機能をユーザ ロール機能グループに追加する例を示します。

switch(config)# role feature-group name SecGroup
switch(config-role-featuregrp)# feature aaa
switch(config-role-featuregrp)# feature radius
switch(config-role-featuregrp)# feature tacacs

次に、ユーザ ロール機能グループから機能を削除する例を示します。

switch(config)# role feature-group name MyGroup
switch(config-role-featuregrp)# no feature callhome

 
関連コマンド

コマンド
説明

role feature-group name

ユーザ ロール機能グループを作成または設定します。

show role feature-group

ユーザ ロール機能グループを表示します。

feature tacacs+

TACACS+ を有効にするには、 feature tacacs+ コマンドを使用します。TACACS+ をディセーブルにするには、このコマンドの no 形式を使用します。

feature tacacs+

no feature tacacs+

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

ディセーブル

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。


) TACACS+ をディセーブルにすると、Cisco NX-OS ソフトウェアが TACACS+ コンフィギュレーションを削除します。


次に、TACACS+ をイネーブルにする例を示します。

switch(config)# feature tacacs+

次に、TACACS+ をディセーブルにする例を示します。

switch(config)# no feature tacacs+

 
関連コマンド

コマンド
説明

show tacacs+

TACACS+ 情報を表示します。

interface policy deny

ユーザ ロールのインターフェイス ポリシー コンフィギュレーション モードを入力するには、 interface policy deny コマンドを使用します。ユーザ ロールのインターフェイス ポリシーをデフォルトに戻すには、このコマンドの no 形式を使用します。

interface policy deny

no interface policy deny

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

すべてのインターフェイス

 
コマンド モード

ユーザ ロール コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、ユーザ ロールのインターフェイス ポリシー コンフィギュレーション モードを入力する例を示します。

switch(config)# role name MyRole
switch(config-role)# interface policy deny
switch(config-role-interface)#

次に、ユーザ ロールのインターフェイス ポリシーをデフォルトに戻す例を示します。

switch(config)# role name MyRole
switch(config-role)# no interface policy deny

 
関連コマンド

コマンド
説明

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを入力します。

show role

ユーザ ロール情報を表示します。

ip access-list

IPv4 ACL を作成するか、特定の ACL の IP アクセス リスト コンフィギュレーション モードを入力するには、 ip access-list コマンドを使用します。IPv4 ACL を削除するには、このコマンドの no 形式を使用します。

ip access-list access-list-name

no ip access-list access-list-name

 
シンタックスの説明

access-list-name

IPv4 ACL の名前です。最大 64 文字まで使用できます。名前にはスペースまたは引用符は使用できません。

 
コマンドのデフォルト設定

IPv4 ACL はデフォルトでは定義されていません。

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

IPv4 ACL を使用して IPv4 トラフィックのフィルタリングを行います。

ip access-list コマンドを使用すると、スイッチは IP アクセス リスト コンフィギュレーション モードを入力します。そこで IPv4 deny コマンドおよび permit コマンドを使用して ACL のルールを設定できます。指定された ACL が存在しない場合は、このコマンドを入力したときにスイッチが ACL を作成します。

ip access-group コマンドは インターフェイスに ACL を適用します。

すべての IPv4 ACL には、最後のルールとして次の明示的ルールがあります。

deny ip any any

この明示的ルールにより、スイッチは一致しない IP トラフィックを確実に拒否します。

IPv4 ACL には、ネイバー ディスカバリ プロセスを可能にする追加の明示的ルールは含まれていません。IPv6 ネイバー ディスカバリ プロセスに相当する IPv4 のプロセスである Address Resolution Protocol(ARP; アドレス解決プロトコル)は、個別のデータ リンク レイヤ プロトコルを使用します。デフォルトでは、IPv4 ACL はインターフェイス上での ARP パケットの送受信を暗黙的に許可します。

次に、ip-acl-01 という名前の IPv4 ACL の IP アクセス リスト コンフィギュレーション モードを入力する例を示します。

switch(config)# ip access-list ip-acl-01
switch(config-acl)#

 
関連コマンド

コマンド
説明

access-list

VTY 行に IPv4 ACL を適用します。

deny(IPv4

IPv4 ACL に拒否ルールを設定します。

ip access-group

インターフェイスに IPv4 ACL を適用します。

permit(IPv4)

IPv4 ACL に許可ルールを設定します。

show ip access-lists

すべての IPv4 ACL または特定の IPv4 ACL を表示します。

ip port access-group

IPv4 ACL をポート ACL としてインターフェイスに適用するには、 ip port access-group コマンドを使用します。IPv4 ACL をインターフェイスから削除するには、このコマンドの no 形式を使用します。

ip port access-group access-list-name in

no ip port access-group access-list-name in

 
シンタックスの説明

access-list-name

IPv4 ACL の名前で、最大 64 文字の英数字を使用できます。大文字小文字が区別されます。

in

ACL が着信トラフィックに適用されるよう指定します。

 
コマンドのデフォルト設定

in

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

デフォルトでは、インターフェイスには IPv4 ACL は適用されません。

ip port access-group コマンドを使用して、IPv4 ACL をポート ACL として次のインターフェイス タイプに適用できます。

レイヤ 2 イーサネット インターフェイス

レイヤ 2 イーサネット ポート チャンネル インターフェイス

ip port access-group コマンドを使用して、IPv4 ACL をポート ACL として次のインターフェイス タイプに適用することもできます。

トンネル

ループバック インターフェイス

管理インターフェイス

IPv4 ACL を VLAN ACL として適用することもできます。詳細については、 match コマンドを参照してください。

スイッチは、ポート ACL を着信トラフィックにのみ適用します。スイッチは、着信パケットを ACL のルールに対してチェックします。最初の一致ルールによりパケットが許可された場合は、スイッチがパケットの処理を継続します。最初の一致ルールによりパケットが拒否された場合、スイッチはそのパケットをドロップし、ICMP ホスト到達不能メッセージを返します。

インターフェイスから ACL を削除せずに スイッチから ACL を削除した場合は、削除された ACL はインターフェイスのトラフィックには影響を与えません。

次に、ip-acl-01 という名前の IPv4 ACL をポート ACL としてイーサネット インターフェイス 1/2 に適用する例を示します。

switch(config)# interface ethernet 1/2
switch(config-if)# ip port access-group ip-acl-01 in

次に、ip-acl-01 という名前の IPv4 ACL をイーサネット インターフェイス 1/2 から削除する例を示します。

switch(config)# interface ethernet 1/2
switch(config-if)# no ip port access-group ip-acl-01 in

 
関連コマンド

コマンド
説明

ip access-list

IPv4 ACL を設定します。

show access-lists

すべての ACL を表示します。

show ip access-lists

特定の IPv4 ACL またはすべての IPv4 ACL を表示します。

show running-config interface

すべてのインターフェイスまたは特定のインターフェイスの実行コンフィギュレーションを表示します。

mac access-list

MAC ACL を作成するか、特定の ACL の MAC アクセス リスト コンフィギュレーション モードを入力するには、 mac access-list コマンドを使用します。MAC ACL を削除するには、このコマンドの no 形式を使用します。

mac access-list access-list-name

no mac access-list access-list-name

 
シンタックスの説明

access-list-name

MAC ACL の名前です。

 
コマンドのデフォルト設定

デフォルトでは MAC ACL 定義されていません。

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

MAC ACL を使用して、非 IP トラフィックのフィルタリングを行います。パケット分類をディセーブルにしている場合は、MAC ACL を使用してすべてのトラフィックのフィルタリングを行うことができます。

mac access-list コマンドを使用すると、スイッチは MAC アクセス リスト コンフィギュレーション モードを入力します。そこで MAC deny コマンドおよび permit コマンドを使用して ACL のルールを設定できます。指定された ACL が存在しない場合は、このコマンドを入力したときにスイッチが ACL を作成します。

mac access-group コマンドは インターフェイスに ACL を適用します。

すべての MAC ACL には、最後のルールとして次の明示的ルールがあります。

deny any any protocol

この明示的ルールにより、トラフィックのレイヤ 2 ヘッダーにある指定されたプロトコルに関係なく、スイッチは一致しないパケットを確実に拒否します。

次に、mac-acl-01 という名前の MAC ACL の MAC アクセス リスト コンフィギュレーション モードを入力する例を示します。

switch(config)# mac access-list mac-acl-01
switch(config-acl)#

 
関連コマンド

コマンド
説明

deny(MAC)

MAC ACL に拒否ルールを設定します。

mac access-group

インターフェイスに MAC ACL を適用します。

permit(MAC)

MAC ACL に許可ルールを設定します。

show mac access-lists

すべての MAC ACL または特定の MAC ACL を表示します。

mac port access-group

MAC ACL をインターフェイスに適用するには、 mac port access-group コマンドを使用します。MAC ACL をインターフェイスから削除するには、このコマンドの no 形式を使用します。

mac port access-group access-list-name

no mac port access-group access-list-name

 
シンタックスの説明

access-list-name

MAC ACL の名前で、最大 64 文字の英数字を使用できます。大文字小文字が区別されます。

 
コマンドのデフォルト設定

なし

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

デフォルトでは、インターフェイスには MAC ACL は適用されません。

MAC ACL を非 IP トラフィックに適用します。パケット分類がディセーブルの場合、MAC ACL はすべてのトラフィックに適用されます。

mac port access-group コマンドを使用して、MAC ACL をポート ACL として次のインターフェイス タイプに適用できます。

レイヤ 2 インターフェイス

レイヤ 2 イーサネット ポート チャンネル インターフェイス

MAC ACL を VLAN ACL として適用することもできます。詳細については、「match」 を参照してください。

スイッチは、MAC ACL を着信トラフィックにのみ適用します。スイッチが MAC ACL を適用する場合、ACL のルールについてパケットを評価します。最初の一致ルールによりパケットが許可され、スイッチがパケットの処理を継続します。最初の一致ルールによりパケットが拒否された場合、スイッチはそのパケットをドロップし、ICMP ホスト到達不能メッセージを返します。

インターフェイスから ACL を削除せずに スイッチから ACL を削除した場合は、削除された ACL はインターフェイスのトラフィックには影響を与えません。

次に、mac-acl-01 という名前の MAC ACL をイーサネット インターフェイス 1/2 に適用する例を示します。

switch(config)# interface ethernet 1/2
switch(config-if)# mac port access-group mac-acl-01

次に、mac-acl-01 という名前の MAC ACL をイーサネット インターフェイス 1/2 から削除する例を示します。

switch(config)# interface ethernet 1/2
switch(config-if)# no mac port access-group mac-acl-01

 
関連コマンド

コマンド
説明

mac access-list

MAC ACL を設定します。

show access-lists

すべての ACL を表示します。

show mac access-lists

特定の MAC ACL またはすべての MAC ACL を表示します。

show running-config interface

すべてのインターフェイスまたは特定のインターフェイスの実行コンフィギュレーションを表示します。

match

VLAN アクセス マップのトラフィック フィルタリングに ACLを指定するには、 match コマンドを使用します。VLAN アクセス マップから match コマンドを削除するには、このコマンドの no 形式を使用します。

match {ip | ipv6 | mac} address access-list-name

no match {ip | ipv6 | mac} address access-list-name

 
シンタックスの説明

ip

指定されている ACL は IPv4 ACL です。

ipv6

IPv6 機能を設定します。

mac

指定されている ACL は MAC ACL です。

address access-list-name

ACL を指定します。

 
コマンドのデフォルト設定

デフォルトでは、スイッチはトラフィックを分類して、IPv4 ACL を IPv4 トラフィックに、MAC ACL を他のすべてのトラフィックに適用します。

 
コマンド モード

VLAN アクセス マップ コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

指定できる match コマンドは、アクセス マップごとに 1 つだけです。

次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。

switch(config)# vlan access-map vlan-map-01
switch(config-access-map)# match ip address ip-acl-01
switch(config-access-map)# action forward
switch(config-access-map)# statistics

 
関連コマンド

コマンド
説明

action

VLAN アクセス マップでトラフィックのフィルタリングを行うアクションを指定します。

show vlan access-map

すべての VLAN アクセス マップまたは VLAN アクセス マップを表示します。

show vlan filter

VLAN アクセス マップの適用方法に関する情報を表示します。

vlan access-map

VLAN アクセス マップを設定します。

vlan filter

VLAN アクセス マップを 1 つまたは複数の VLAN に適用します。

permit(IPv4)

条件に一致するトラフィックを許可する IPv4 ACL ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。

一般的な構文

[ sequence-number ] permit protocol source destination {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

no permit protocol source destination {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

no sequence-number

Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)

[ sequence-number ] permit icmp source destination [ icmp-message ] {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)

[ sequence-number ] permit igmp source destination [ igmp-message ] {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

Internet Protocol v4(IPv4)

[ sequence-number ] permit ip source destination {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

Transmission Control Protocol(TCP)

[ sequence-number ] permit tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ] [ flags ] [established]

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)

[ sequence-number ] permit udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[dscp dscp ] | [precedence precedence ]} [fragments] [log] [time-range time-range-name ]

 
シンタックスの説明

sequence-number

(任意)スイッチにアクセス リストの番号ポジションにコマンドを挿入させる permit コマンドのシーケンス番号です。シーケンス番号は、ACL 内のルールの順番を維持します。

シーケンス番号の有効範囲は、1 から 4294967295 までの整数です。

デフォルトでは、ACL の最初のルールのシーケンス番号が 10となります。

シーケンス番号を指定しない場合は、スイッチがルールを ACL の最後に追加して、その前のルールのシーケンス番号に 10 を足したシーケンス番号を割り当てます。

ルールにシーケンス番号を再度割り当てるには、 resequence コマンドを使用します。

protocol

ルールが一致するパケットのプロトコルの名前または番号です。有効な番号の範囲は 0 から 255 です。有効なプロトコル名は、次のキーワードです。

icmp ― ICMP トラフィックにのみ適用されるルールを指定します。このキーワードを使用すると、 protocol 引数で使用できるすべての有効値で、キーワード以外に icmp-message 引数も使用できるようになります。

igmp ― IGMP トラフィックにのみ適用されるルールを指定します。このキーワードを使用する場合は、 protocol 引数の有効値で使用できるキーワード以外に、 igmp-type 引数も使用できます。

ic ― すべての IPv4 トラフィックに適用されるルールを指定します。このキーワードを使用する場合は、すべての IPv4 に適用される他のキーワードと引数を使用できます。使用できるキーワードには次のものがあります。

dscp

fragments

log

precedence

time-range

tcp ― tcp トラフィックにのみ適用されるルールを指定します。このキーワードを使用する場合は、 protocol 引数の有効なすべての値で利用できるキーワード以外に、 flags および operator 引数、 portgroup および established キーワードを使用できます。

udp ― udp トラフィックにのみ適用されるルールを指定します。このキーワードを使用する場合は、 protocol 引数のすべての有効値で使用できるキーワード以外に、 operator 引数も使用できます。

source

ルールに一致する送信元 IPv4 アドレスです。この引数の指定に使用できるメソッドの詳細については、「使用方法ガイドライン」セクションの「Source と Destination」を参照してください。

destination

ルールに一致する宛先 IPv4 アドレスです。この引数の指定に使用できるメソッドの詳細については、「使用方法ガイドライン」セクションの「Source と Destination」を参照してください。

dscp dscp

(任意)IP ヘッダー DSCP フィールドにある指定した 6 ビットのディファレンシエーティッド サービス値を持つパケットにのみ一致するように、ルールを指定します。 dscp 引数には、次のキーワードを指定できます。

0-63 ― DSCP フィールドの 6 ビットに相当する小数値です。たとえば、10 を指定した場合、ルールは DSCP フィールドに 001010 ビットを持つパケットにのみ一致します。

af11 ― Assured Forwarding(AF)クラス 1、低ドロップ確率(001010)

af12 ― AF クラス 1、中程度ドロップ確率(001100)

af13 ― AF クラス 1、高ドロップ確率(001110)

af21 ― AF クラス 2、低ドロップ確率(010010)

af22 ― AF クラス 2、中程度ドロップ確率(010100)

af23 ― AF クラス 2、高ドロップ確率(010110)

af31 ― AF クラス 3、低ドロップ確率(011010)

af32 ― AF クラス 3、中程度ドロップ確率(011100)

af33 ― AF クラス 3、高ドロップ確率(011110)

af41 ― AF クラス 4、低ドロップ確率(100010)

af42 ― AF クラス 4、中程度ドロップ確率(100100)

af43 ― AF クラス 4、高ドロップ確率(100110)

cs1 ― クラス セレクタ(CS)1、プレシデンス 1(001000)

cs2 ― CS2、プレシデンス 2(010000)

cs3 ― CS3、プレシデンス 3(011000)

cs4 ― CS4、プレシデンス 4(100000)

cs5 ― CS5、プレシデンス 5(101000)

cs6 ― CS6、プレシデンス 6(110000)

cs7 ― CS7、プレシデンス 7(111000)

default ― デフォルト DSCP 値(000000)

ef ― Expedited Forwarding(101110)

precedence precedence

(任意) precedence 引数によって指定された値を伴う IP プレシデンス フィールドを持つパケットのみに一致するようルールを指定します。 precedence 引数には、次の数値またはキーワードを指定できます。

0-7 ― IP プレシデンス フィールドの 3 ビットに相当する小数値です。たとえば、3 を指定した場合、ルールは DSCP フィールドに 011 ビットを持つパケットにのみ一致します。

critical ― プレシデンス 5(101)

flashl ― プレシデンス 3(011)

flash-override ― プレシデンス 4(100)

immediate ― プレシデンス 2(010)

internet ― プレシデンス 6(110)

network ― プレシデンス 7(111)

priority ― プレシデンス 1(001)

routine ― プレシデンス 0(000)

fragments

(任意)非先頭フラグメントであるパケットにのみ一致するようルールを指定します。このキーワードを、TCP ポート番号などのレイヤ 4 オプションを指定した同じルールに指定することはできません。これらのオプションを評価するためにスイッチが必要とする情報は、先頭フラグメントにのみ含まれているためです。

log

(任意)スイッチが、ルールに一致する各パケットに関する情報メッセージを生成するように指定します。メッセージは、次の内容で構成されてます。

ACL 名

パケットが許可されたか拒否されたか

プロトコルが TCP、UDP、ICMP または数値であるか

発信元アドレスと宛先アドレス、必要に応じて発信元および宛先ポート番号

time-range time-range-name

(任意)このルールに適用される時間の範囲を指定します。 time-range コマンドを使用すると、時間の範囲を設定できます。

icmp-message

(任意、IGMP のみ)指定した ICMP メッセージ タイプのパケットにのみ一致するルールです。この引数は、0 から 255 までの整数、または「使用方法ガイドライン」セクションの「ICMP メッセージ タイプ」に一覧に含まれるキーワードのうち 1 つを指定できます。

igmp-message

(任意、IGMP のみ)指定した IGMP メッセージ タイプのパケットにのみ一致するルールです。 igmp-message 引数は、0 から 15 の範囲の IGMP メッセージ番号です。次のキーワードも指定できます。

dvmrp ― Distance Vector Multicast Routing Protocol(DVMRP)

host-query ― ホスト クエリ

host-report ― ホスト レポート

pim ― Protocol Independent Multicast(PIM)

trace ― マルチキャスト トレース

operator port [ port ]

(任意、TCP および UDP のみ)送信元ポートからのパケット、または operator および port 引数の条件を満たす宛先ポートに送られるパケットにのみ一致するルールです。これらの引数は、その後に source 引数を指定するか、または destination 引数を指定するかによって、送信元ポートまたは宛先ポートに適用されます。

port 引数は、名前、または TCP ポートか UDP ポートの番号です。有効な値は、0 から 65535 までの整数です。有効なポート名のリストについては、「使用方法ガイドライン」セクションの「TCP ポート名」または「UDP ポート名」を参照してください。

2 番めの port 引数は、 operator 引数が範囲となっている場合のみ必要となります。

operator 引数は、次のキーワードのうち 1 つにする必要があります。

eq ― パケットのポートが port 引数と等しい場合のみ一致します。

gt ― パケットのポートが port 引数より大きい場合のみ一致します。

lt ― ポートが port 引数より小さい場合のみ一致します。

eq ― パケットのポートが port 引数と等しくない場合のみ一致します。

range ― 2 つの port 引数が必要で、パケットのポートが最初の port 引数以上、2 番めの port 引数以下の場合のみ一致します。

portgroup portgroup

(任意、TCP および UDP のみ) portgroup 引数によって指定された IP ポート グループ オブジェクトのメンバーである送信元ポートからのパケット、または同メンバーである宛先ポートへのパケットにのみ一致するよう指定します。その後、 source 引数を指定するか、または destination 引数を指定するかによって、ポート グループ オブジェクトが送信元ポートまたは宛先ポートに適用されます。

object-group ip port コマンドを使用して、IP ポート グループの作成と変更を行います。

flags

(任意、TCP のみ)指定した TCP コントロール ビット フラグ セットを持つパケットにのみ一致するルールです。 operator 引数の値は、次の1 つまたは複数のキーワードにする必要があります。

ack

fin

psh

rst

syn

urg

established

(任意、TCPのみ)ルールが確立された TCP 接続に属するパケットにのみ一致するよう指定します。スイッチは、ACK ビットまたは RST ビットを持っている TCP パケットが確立された接続に属するよう設定されているとみなします。

 
コマンドのデフォルト設定

新しく作成された IPv4 ACL にはルールは含まれません。

シーケンス番号を指定しない場合は、デバイスにより ACL の最後のルールのシーケンス番号に 10 を足したシーケンス番号がルールに割り当てられます。

 
コマンド モード

IPv4 ACL コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

スイッチが IPv4 ACL をパケットに適用する場合、ACL のすべてのルールについてパケットを評価します。スイッチは、パケットによって満たされた最初の条件を採用します。複数の条件が満たされる場合は、スイッチは最も小さいシーケンス番号のルールを採用します。

Source と Destination

source 引数と destination 引数はいくつかの方法で指定できます。それぞれのルールで、これらの引数の 1 つを指定するのに使用するメソッドは、他の引数の指定方法には影響しません。ルールを設定する場合は、次のメソッドを使用して source 引数と destination 引数を指定します。

IP アドレス グループ オブジェクト ― IPv4 アドレス グループ オブジェクトを使用して、 source 引数または destination 引数を指定できます。 object-group ip address コマンドを使用して、IPv4 ポート グループの作成と変更を行います。構文は次のようになります。

addrgroup address-group-name

次に、lab-gateway-svrs という名前の IPv4 アドレス オブジェクト グループを使用して、 destination 引数を指定する例を示します。

switch(config-acl)# permit ip any addrgroup lab-gateway-svrs

アドレスおよびネットワーク ワイルドカード ― IPv4 アドレスの後にネットワーク ワイルドカードを使用して、ホストまたはネットワークを送信元または宛先として指定できます。構文は次のようになります。

IPv4-address network-wildcard

次に、IPv4 アドレスとサブネット 192.168.67.0 のネットワーク ワイルドカードを持つ source 引数を指定する例を示します。

switch(config-acl)# permit tcp 192.168.67.0 0.0.0.255 any

アドレスおよび Variable-Length Subnet Mask(VLSM) ― IPv4 アドレスの後に VLSM を使用して、ホストまたはネットワークを送信元または宛先として指定できます。構文は次のようになります。

IPv4-address/prefix-len

次に、IPv4 アドレスとサブネット 192.168.67.0 の VLSM を持つ source 引数を指定する例を示します。

switch(config-acl)# permit udp 192.168.67.0/24 any

ホスト アドレス ― host キーワードと IPv4 アドレスを使用して、送信元および宛先としてホストを指定できます。構文は次のようになります。

host IPv4-address

これは、 IPv4-address /32、および IPv4-address 0.0.0.0 と等しい構文です。

次に、 host キーワードと 192.168.67.132 の IPv4 アドレス を持つ source 引数を指定する例を示します。

switch(config-acl)# permit icmp host 192.168.67.132 any

すべてのアドレス ― any キーワードを使用して、IPv4 アドレスである送信元または宛先を指定できます。 any キーワードを使用する例については、このセクションの例を参照してください。それぞれの例で、 any キーワードを使用して送信元または宛先を指定する方法が示されています。

ICMP メッセージ タイプ

icmp-message 引数には、0 から 255 までの整数の ICMP メッセージ番号を指定できます。次のキーワードも指定できます。

administratively-prohibited ― 管理上禁止

alternate-address ― 代替アドレス

conversion-error ― データグラム変換

dod-host-prohibited ― 禁止ホスト

dod-net-prohibited ― 禁止されていない

echo ― エコー(ping)

echo-reply ― エコー応答

general-parameter-problem ― パラメータの問題

host-isolated ― 分離ホスト

host-precedence-unreachable ― プレシデンスが到達不可能なホスト

host-redirect ― ホスト リダイレクト

host-tos-redirect ― ToS ホスト リダイレクト

host-tos-unreachable ― ToS が到達不可能なホスト

host-unknown ― 不明ホスト

host-unreachable ― 到達不可能なホスト

information-reply ― 情報応答

information-request ― 情報要求

mask-reply ― マスク応答

mask-request ― マスク要求

mobile-redirect ― モバイル ホスト リダイレクト

net-redirect ― ネットワーク リダイレクト

net-tos-redirect ― ネット リダイレクト ホスト

net-tos-unreachable ― ToS が到達不可能なネットワーク

net-unreachable ― 到達不可能なネット

network-unknown ― 不明ネットワーク

no-room-for-option ― パラメータが必要であるが空きスペースがない

option-missing ― パラメータが必要であるが存在しない

packet-too-big ― フラグメント化と DF セットが必要

parameter-problem ― すべてのパラメータの問題

port-unreachable ― 到達不可能なポート

precedence-unreachable ― プレシデンス カットオフ

protocol-unreachable ― 到達不可能なプロトコル

reassembly-timeout ― 再アセンブリ タイムアウト

redirect ― すべてのリダイレクト

router-advertisement ― ルータ ディスカバリ アドバタイズメント

router-solicitation ― ルータ ディスカバリ要求

source-quench ― 送信元クエンチ

source-route-failed ― 送信元ルート失敗

time-exceeded ― すべての time-exceeded メッセージ

timestamp-reply ― タイムスタンプ応答

timestamp-reply ― タイムスタンプ応答

traceroute ― Traceroute

ttl-exceeded ― TTL 超過

redirect ― すべての到達不能

TCP ポート名

tcp として protocol 引数を指定すると、 tcp 引数には 0 から 65535 までの整数の TCP 番号を指定できます。次のキーワードも可能です。

bgp ― ボーダー ゲートウェイ プロトコル(179)

chargen ― 文字ジェネレータ(19)

cmd ― リモート コマンド(rcmd、514)

daytime ― Daytime(13)

discard ― 廃棄(9)

domain ― ドメイン ネーム サーバ(53)

drip ― ダイナミック ルーティング情報プロトコル(3949)

echo ― エコー(7)

exec ― EXEC(rsh、512)

finger ― フィンガー(79)

ftp ― FTP(21)

ftp-data ― FTP データ接続(2)

gopher ― Gopher(7)

hostname ― NIC ホスト名サーバ(11)

ident ― Ident プロトコル(113)

irc ― インターネット リレー チャット(194)

klogin ― Kerberos ログイン(543)

kshell ― Kerberos シェル(544)

login ― ログイン(rlogin、513)

lpd ― プリンタ サービス(515)

nntp ― Network News Transport Protocol(119)

pim-auto-rp ― PIM Auto-RP(496)

pop2 ― Post Office Protocol v2(19)

pop3 ― Post Office Protocol v3(11)

smtp ― Simple Mail Transport Protocol(25)

sunrpc ― Sun Remote Procedure Call(111)

tacacs ― TAC Access Control System(49)

talk ― Talk(517)

telnet ― Telnet(23)

time ― Time(37)

uucp ― Unix-to-Unix Copy Program(54)

whois ― WHOIS/NICNAME(43)

www ― World Wide Web(HTTP、8)

UDP ポート名

udp として protocol 引数を指定すると、 tcp 引数には、0 から 65535 までの整数の UDP 番号を指定できます。次のキーワードも可能です。

biff ― Biff(メール通知、comsat、512)

bootpc ― Bootstrap Protocol(BOOTP)クライアント(68)

bootpc ― Bootstrap Protocol(BOOTP)クライアント(67)

discard ― 廃棄(9)

dnsix ― DNSIX セキュリティ プロトコル監査(195)

domain ― ドメイン ネーム サーバ(DNS、53)

echo ― エコー(7)

isakmp ― Internet Security Association および Key Management Protocol(5)

mobile-ip ― モバイル IP 登録(434)

nameserver ― IEN116 ネーム サービス(廃止、42)

netbios-dgm ― NetBIOS データグラム サービス(138)

netbios-ns ― NetBIOS ネーム サービス(137)

netbios-ss ― NetBIOS セッション サービス(139)

non500-isakmp ― Internet Security Association および Key Management Protocol(45)

ntp ― Network Time Protocol(123)

pim-auto-rp ― PIM Auto-RP(496)

rip ― ルーティング情報プロトコル(ルータ、in.routed、52)

snmp ― Simple Network Management Protocol(161)

snmptrap ― SNMP トラップ(162)

sunrpc ― Sun Remote Procedure Call(111)

syslog ― システム ロガー(514)

tacacs ― TAC Access Control System(49)

talk ― Talk(517)

tftp ― Trivial File Transfer Protocol(69)

time ― Time(37)

who ― Who サービス(rwho、513)

xdmcp ― X Display Manager Control Protocol(177)

次に、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP および UDP トラフィックを許可するルールを使用して、acl-lab-01 という名前で IPv4 ACL を設定する例を示します。

switch(config)# ip access-list acl-lab-01
switch(config-acl)# permit tcp 10.23.0.0/16 10.176.0.0/16
switch(config-acl)# permit udp 10.23.0.0/16 10.176.0.0/16
switch(config-acl)# permit tcp 192.168.37.0/16 10.176.0.0/16
switch(config-acl)# permit udp 192.168.37.0/16 10.176.0.0/16

 
関連コマンド

コマンド
説明

deny(IPv4)

IPv4 ACL に拒否ルールを設定します。

ip access-list

IPv4 ACL を設定します。

remark

ACL にリマークを設定します。

show ip access-lists

すべての IPv4 ACL または 1 つの IPv4 ACL を表示します。

permit(MAC)

条件に一致するトラフィックを許可する MAC ACL ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。

[ sequence-number ] permit source destination [ protocol ] [cos cos-value ] [vlan vlan_id]

no permit source destination [ protocol ] [cos cos-value ] [vlan vlan_id ]

no sequence-number

 
シンタックスの説明

sequence-number

(任意)スイッチにアクセス リストの番号ポジションへコマンドを挿入させる permit コマンドのシーケンス番号です。シーケンス番号は、ACL 内のルールの順番を維持します。

シーケンス番号の有効範囲は、1 から 4294967295 までの整数です。

デフォルトでは、ACL の最初のルールのシーケンス番号が 10となります。

シーケンス番号を指定しない場合は、スイッチがルールを ACL の最後に追加して、その前のルールのシーケンス番号に 10 を足したシーケンス番号を割り当てます。

ルールにシーケンス番号を再度割り当てるには、 resequence コマンドを使用します。

source

ルールに一致する送信元 MAC アドレスです。この引数を指定するのに使用できるメソッドの詳細については、「使用方法ガイドライン」セクションの「Source と Destination」を参照してください。

destination

ルールに一致する宛先 MAC アドレスです。この引数を指定するのに使用できるメソッドの詳細については、「使用方法ガイドライン」セクションの「Source と Destination」を参照してください。

protocol

(任意)ルールに一致するプロトコル番号です。有効なプロトコル番号の範囲は 0x0 から 0xffff です。有効なプロトコル名のリストについては、「使用方法ガイドライン」セクションの「MAC プロトコル」を参照してください。

cos cos-value

(任意)IEEE 802.1Q ヘッダーに cos-value 引数で指定されたClass of Service(CoS; サービス クラス)値が含まれるパケットのみに一致するように、ルールを指定します。 cos-value 引数は、0 から 7 までの整数となります。

vlan vlan_id

(任意)IEEE 802.1Q ヘッダーに指定された VLAN ID が含まれるパケットのみに一致するように、ルールを指定します。 vlan_id 引数は、1 から 4094 までの整数となります。

 
コマンドのデフォルト設定

新しく作成された MAC ACL にはルールは含まれません。

シーケンス番号を指定しない場合は、スイッチにより ACL の最後のルールのシーケンス番号に 10 を足したシーケンス番号がルールに割り当てられます。

 
コマンド モード

MAC ACL コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

スイッチが MAC ACL をパケットに適用する場合、ACL のすべてのルールについてパケットを評価します。スイッチは、パケットによって満たされた最初の条件を採用します。複数の条件が満たされる場合は、スイッチは最も小さいシーケンス番号のルールを採用します。

Source と Destination

source 引数と destination 引数は 2 つの方法で指定できます。それぞれのルールで、これらの引数の 1 つを指定するのに使用するメソッドは、他の引数の指定方法には影響しません。ルールを設定する場合は、次のメソッドを使用して source 引数と destination 引数を指定します。

アドレスとマスク ― MAC アドレスの後にマスクを使用して、1 つのアドレスまたはアドレスのグループを指定できます。構文は次のようになります。

MAC-address MAC-mask

次に、MAC アドレス 00c0.4f03.0a72 を持つ source 引数を指定する例を示します。

switch(config-acl)# permit 00c0.4f03.0a72 0000.0000.0000 any

次に、MAC ベンダー コードが00603e のすべての MAC アドレスを持つ destination 引数を指定する例を示します。

switch(config-acl)# permit any 0060.3e00.0000 0000.0000.0000

すべてのアドレス ― any キーワードを使用して、MAC アドレスである送信元または宛先を指定できます。 any キーワードを使用する例については、このセクションの例を参照してください。それぞれの例で、 any キーワードを使用して送信元または宛先を指定する方法が示されています。

MAC プロトコル

protocol 引数は、MAC プロトコル番号またはキーワードを指定します。プロトコル番号は、先頭に 0x が付く 4 バイトの 16 進数です。有効なプロトコル番号の範囲は 0x0 から 0xffff です。有効なキーワードは、次のとおりです。

aarp ― Appletalk ARP(0x80f3)

appletalk ― Appletalk(0x809b)

decnet-iv ― DECnet Phase IV(0x6003)

diagnostic ― DEC Diagnostic Protocol(0x6005)

etype-6000 ― Ethertype 0x6000(0x6000)

etype-8042 ― Ethertype 0x8042(0x8042)

ip ― Internet Protocol v4(0x0800)

lat ― DEC LAT(0x6004)

lavc-sca ― DEC LAVC、SCA(0x6007)

mop-console ― DEC MOP リモート コンソール(0x6002)

mop-dump ― DEC MOP ダンプ(0x6001)

vines-echo ― VINES エコー(0x0baf)

次に、mac-ip-filter という名前で、2 つの MAC アドレスのグループ間ですべての非 IPv4 トラフィックを許可する MAC ACL を設定する例を示します。

switch(config)# mac access-list mac-ip-filter
switch(config-mac-acl)# permit 00c0.4f00.0000 0000.00ff.ffff 0060.3e00.0000 0000.00ff.ffff ip

 
関連コマンド

コマンド
説明

deny(MAC)

MAC ACL に拒否ルールを設定します。

mac access-list

MAC ACL を設定します。

remark

ACL にリマークを設定します。

show mac access-list

すべての MAC ACL または 1 つの MAC ACL を表示します。

permit interface

ユーザ ロールのインターフェイス ポリシー のインターフェイスを追加するには、 permit interface コマンドを使用します。インターフェイスを削除するには、このコマンドの no 形式を使用します。

permit interface interface-list

no permit interface

 
シンタックスの説明

interface-list

ユーザ ロールがアクセスを許可されているインターフェイスのリストです。

 
コマンドのデフォルト設定

すべてのインターフェイス

 
コマンド モード

インターフェイス ポリシー コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

permit interface 文を機能させるには、次の例にあるように、コマンド ルールを設定してインターフェイス アクセスを許可する必要があります。

switch(config-role)# rule number permit command configure terminal ; interface *

次に、ユーザ ロール インターフェイス ポリシーのインターフェイスの範囲を設定する例を示します。

switch(config)# role name MyRole
switch(config-role)# interface policy deny
switch(config-role-interface)# permit interface ethernet 1/2 - 8

次に、ユーザ ロール インターフェイス ポリシーのリストを設定する例を示します。

switch(config)# role name MyRole
switch(config-role)# interface policy deny
switch(config-role-interface)# permit interface ethernet 1/1, ethernet 1/3, ethernet 1/5

次に、ユーザ ロール インターフェイス ポリシーからインターフェイスを削除する例を示します。

switch(config)# role name MyRole
switch(config-role)# interface policy deny
switch(config-role-interface)# no permit interface ethernet 1/2

 
関連コマンド

コマンド
説明

interface policy deny

ユーザ ロールのインターフェイス ポリシー コンフィギュレーション モードを入力します。

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを入力します。

show role

ユーザ ロール情報を表示します。

permit vlan

ユーザ ロール VLAN ポリシー に VLAN を追加するには、 permit vlan コマンドを使用します。VLAN を削除するには、このコマンドの no 形式を使用します。

permit vlan vlan-list

no permit vlan

 
シンタックスの説明

vlan-list

ユーザ ロールがアクセスを許可されている VLAN のリストです。

 
コマンドのデフォルト設定

すべての VLAN

 
コマンド モード

VLAN ポリシー コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

permit vlan 文を機能させるには、次の例にあるように、コマンド ルール を設定して VLAN アクセスを許可すある必要があります。

switch(config-role)# rule number permit command configure terminal ; vlan *

次に、ユーザ ロール VLAN ポリシーの VLAN の範囲を設定する例を示します。

switch(config)# role name MyRole
switch(config-role)# vlan policy deny
switch(config-role-vlan)# permit vlan 1-8

次に、ユーザ ロール VLAN ポリシーの VLAN のリストを設定する例を示します。

switch(config)# role name MyRole
switch(config-role)# vlan policy deny
switch(config-role-vlan)# permit vlan 1, 10, 12, 20

次に、VLAN ポリシーから VLAN を削除する例を示します。

switch(config)# role name MyRole
switch(config-role)# vlan policy deny
switch(config-role-vlan)# no permit vlan 2

 
関連コマンド

コマンド
説明

vlan policy deny

ユーザ ロールの VLAN ポリシー コンフィギュレーション モードを入力します。

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを入力します。

show role

ユーザ ロール情報を表示します。

permit vrf

ユーザ ロール VRF ポリシーに仮想ルーティングと転送インターフェイス(VRF)を追加するには、 permit vrf コマンドを使用します。VRF を削除するには、このコマンドの no 形式を使用します。

permit vrf vrf-list

no permit vrf

 
シンタックスの説明

vrf-list

ユーザ ロールがアクセスを許可されている VRF のリストです。

 
コマンドのデフォルト設定

すべての VRF

 
コマンド モード

VRF ポリシー コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、ユーザ ロール VRF ポリシーの VRF 範囲を設定する例を示します。

switch(config)# role name MyRole
switch(config-role)# vrf policy deny
switch(config-role-vrf)# permit vrf management

 
関連コマンド

コマンド
説明

vrf policy deny

ユーザ ロールの VRF ポリシー コンフィギュレーション モードを入力します。

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを入力します。

show role

ユーザ ロール情報を表示します。

radius-server deadtime

Cisco Nexus 5000 シリーズ スイッチですべての RADIUS サーバのデッド タイム インターバルを設定するには、 radius-server deadtime コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

radius-server deadtime minutes

no radius-server deadtime minutes

 
シンタックスの説明

minutes

デッドタイム インターバルの分数です。有効範囲は 1 ~ 1440 分です。

 
コマンドのデフォルト設定

0 分

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

デッドタイム インターバルは、以前応答しなかった RADIUS サーバをスイッチがチェックする前の分数です。


) アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。


次に、すべての RADIUS サーバのグローバル デッドタイム インターバルを設定して、定期的なモニタリングを実行する例を示します。

switch(config)# radius-server deadtime 5

次に、すべての RADIUS サーバのグローバル デッドタイム インターバルを設定して、定期的なサーバ モニタリングをディセーブルにする例を示します。

switch(config)# no radius-server deadtime 5

 
関連コマンド

コマンド
説明

show radius-server

RADIUS サーバ情報を表示します。

radius-server directed-request

ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにするには、 radius-server directed request コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

radius-server directed-request

no radius-server directed-request

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

設定された RADIUS サーバ グループに認証要求を送信します。

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

ログイン中に username @ vrfname : hostname を指定できます。vrfname は使用する VRF、hostname は設定された RADIUS サーバです。ユーザ名が認証用に RADIUS サーバに送信されます。

次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにする例を示します。

switch(config)# radius-server directed-request

次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できないようにする例を示します。

switch(config)# no radius-server directed-request

 
関連コマンド

コマンド
説明

show radius-server directed-request

転送された要求 RADIUS サーバ設定を表示します。

radius-server host

RADIUS サーバ パラメータを設定するには、 radius-server host コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

radius-server host { hostname | ipv4-address | ipv6-address }
[key [0 | 7] shared-secret [pac]] [accounting]
[acct-port port-number ] [auth-port port-number ] [authentication] [retransmit count ]
[test {idle-time time | password password | username name }]
[timeout seconds [retransmit count ]]

no radius-server host { hostname | ipv4-address | ipv6-address }
[key [0 | 7] shared-secret [pac]] [accounting]
[acct-port port-number ] [auth-port port-number ] [authentication] [retransmit count ]
[test {idle-time time | password password | username name }]
[timeout seconds [retransmit count ]]

 
シンタックスの説明

hostname

RADIUS サーバ Domain Name Server(DNS)名です。最大 256 文字まで可能です。

ipv4-address

A . B . C . D 形式の RADIUS サーバ IPv4 アドレスです。

ipv6-address

X : X : X : X 形式の RADIUS サーバ IPv6 アドレスです。

key

(任意)RADIUS サーバ事前共有秘密鍵を設定します。

0

(任意)RADIUS クライアントおよびサーバ間の通信を認証する、平文で指定された事前共有鍵を設定します。これがデフォルトです。

7

(任意)RADIUS クライアントおよびサーバ間の通信を認証する、暗号文で指定された事前共有鍵(7 で表示)を設定します。

shared-secret

RADIUS クライアントおよびサーバ間の通信を認証する事前共有鍵を設定します。最大 63 文字まで可能です。

pac

(任意)Cisco TrustSec と共に使用する RADIUS Cisco ACS サーバの保護されたアクセス資格情報の生成をイネーブルにします。

accounting

(任意)アカウンティングを設定します。

acct-port port-number

(任意)アカウンティング用の RADIUS サーバのポートを設定します。有効値は 0 ~ 65535 です。

auth-port port-number

(任意)認証用の RADIUS サーバのポートを設定します。有効値は 0 ~ 65535 です。

authentication

(任意)認証を設定します。

retransmit count

(任意)スイッチがローカル認証に戻る前に RADIUS サーバ(複数可)への接続試行を行う回数を設定します。有効範囲は 1 ~ 5 回で、デフォルトは 1 回です。

test

(任意)RADIUS サーバにテスト パケットを送信するようパラメータを設定します。

idle-time time

サーバをモニタリングするための時間間隔を分で指定します。有効範囲は 1 ~ 1440 分です。

password password

テスト パケット内のユーザ パスワードを指定します。最大文字サイズは 32 です。

username name

テスト パケット内のユーザ名を指定します。最大文字サイズは 32 です。

timeout seconds

RADIUS サーバへの再送信タイムアウト(秒単位)を設定します。デフォルトは 1 秒で、有効な範囲は 1 ~ 60 秒です。

 
コマンドのデフォルト設定

アカウンティング ポート: 1813

認証ポート: 1812

アカウンティング:イネーブル

認証:イネーブル

再送信回数: 1

アイドル時間: 0

サーバ モニタリング:ディセーブル

タイムアウト:5 秒

テスト ユーザ名:test

テスト パスワード:test

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。

次に、RADIUS サーバ認証とアカウンティング パラメータを設定する例を示します。

switch(config)# radius-server host 10.10.2.3 key HostKey
switch(config)# radius-server host 10.10.2.3 auth-port 2003
switch(config)# radius-server host 10.10.2.3 acct-port 2004
switch(config)# radius-server host 10.10.2.3 accounting
switch(config)# radius-server host radius2 key 0 abcd
switch(config)# radius-server host radius3 key 7 1234
switch(config)# radius-server host 10.10.2.3 test idle-time 10
switch(config)# radius-server host 10.10.2.3 test username tester
switch(config)# radius-server host 10.10.2.3 test password 2B9ka5

 
関連コマンド

コマンド
説明

show radius-server

RADIUS サーバ情報を表示します。

radius-server key

RADIUS 共有秘密鍵を設定するには、 radius-server key コマンドを使用します。共有秘密鍵を削除するには、このコマンドの no 形式を使用します。

radius-server key [0 | 7] shared-secret

no radius-server key [0 | 7] shared-secret

 
シンタックスの説明

0

(任意)RADIUS クライアントおよびサーバ間の通信を認証する、平文で指定された事前共有鍵を設定します。

7

(任意)RADIUS クライアントおよびサーバ間の通信を認証する、暗号文で指定された事前共有鍵を設定します。

shared-secret

RADIUS クライアントおよびサーバ間の通信を認証するのに使用する事前共有鍵を設定します。最大 63 文字まで可能です。

 
コマンドのデフォルト設定

平文認証

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

RADIUS 事前共有鍵を設定して、RADIUS サーバに対してスイッチを認証する必要があります。鍵の長さは 65 文字に制限されており、出力可能な ASCII 文字の使用が可能です(空白文字は使用できません)。グローバル鍵は、スイッチにあるすべての RADIUS サーバ コンフィギュレーションで使用するよう設定できます。 radius-server host コマンドで key キーワードを使用することでこのグローバル鍵の割り当てを上書きできます。

次に、さまざまなシナリオを提供して RADIUS 認証を設定する例を示します。

switch(config)# radius-server key AnyWord
switch(config)# radius-server key 0 AnyWord
switch(config)# radius-server key 7 public pac

 
関連コマンド

コマンド
説明

show radius-server

RADIUS サーバ情報を表示します。

radius-server retransmit

スイッチが RADIUS サーバで要求を試行する回数を指定するには、 radius-server retransmit コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

radius-server retransmit count

no radius-server retransmit count

 
シンタックスの説明

count

スイッチがローカル認証に戻る前に RADIUS サーバ(複数可)への接続試行を行う回数です。有効値は 1 ~ 5 回です。

 
コマンドのデフォルト設定

再送信 1 回

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、RADIUS サーバへの再送信回数を設定する例を示します。

switch(config)# radius-server retransmit 3

次に、RADIUS サーバへの再送信回数をデフォルトに戻す例を示します。

switch(config)# no radius-server retransmit 3

 
関連コマンド

コマンド
説明

show radius-server

RADIUS サーバ情報を表示します。

radius-server timeout

RADIUS サーバへの再送信間隔を指定するには、 radius-server timeout コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

radius-server timeout seconds

no radius-server timeout seconds

 
シンタックスの説明

seconds

RADIUS サーバに再送信する間隔の秒数です。有効範囲は 1 ~ 60 秒です。

 
コマンドのデフォルト設定

1 秒

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、タイムアウト インターバルを設定する例を示します。

switch(config)# radius-server timeout 30

次に、時間間隔をデフォルトに戻す例を示します。

switch(config)# no radius-server timeout 30

 
関連コマンド

コマンド
説明

show radius-server

RADIUS サーバ情報を表示します。

remark

コマンドを IPv4 または MAC ACL に入力するには、 remark コマンドを使用します。remark コマンドを削除するには、このコマンドの no 形式を使用します。

[ sequence-number ] remark remark

no { sequence-number | remark remark }

 
シンタックスの説明

sequence-number

(任意)スイッチにアクセス リストの番号ポジションにコマンドを挿入させる remark コマンドのシーケンス番号です。シーケンス番号は、ACL 内のルールの順番を維持します。

シーケンス番号の有効範囲は、1 から 4294967295 までの整数です。

デフォルトでは、ACL の最初のルールのシーケンス番号が 10となります。

シーケンス番号を指定しない場合は、スイッチがルールを ACL の最後に追加して、その前のルールのシーケンス番号に 10 を足したシーケンス番号を割り当てます。

resequence コマンドを使用して、リマークとルールにシーケンス番号を再度割り当てます。

remark

リマークのテキストです。この引数は、最大 100 文字まで可能です。

 
コマンドのデフォルト設定

デフォルトでは、リマークは ACL に含まれません。

 
コマンド モード

IPv4 ACL コンフィギュレーション
MAC ACL コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

remark 引数は、最大 100 文字まで可能です。 remark 引数に 100 文字以上を入力した場合、スイッチは最初の 100 文字を受け入れ、それ以外の文字はドロップします。

次に、IPv4 ACL でリマークを作成して結果を表示する例を示します。

switch(config)# ip access-list acl-ipv4-01
switch(config-acl)# 100 remark this ACL denies the marketing department access to the lab
switch(config-acl)# show access-list acl-ipv4-01

 
関連コマンド

コマンド
説明

ip access-list

IPv4 ACL を設定します。

mac access-list

MAC ACL を設定します。

show access-list

すべての ACL または 1 つの ACL を表示します。

resequence

シーケンス番号を ACL またはタイム レンジのすべてのルールに再割り当てするには、 resequence コマンドを使用します。

resequence access-list-type access-list access-list-name starting-number increment

resequence time-range time-range-name starting-number increment

 
シンタックスの説明

access-list-type

ACL のタイプです。この引数の有効な値は、次のキーワードとなります。

arp

ip

mac

access-list access-list-name

ACL 名を指定します。

time-range time-range-name

タイム レンジ名を指定します。

starting-number

ACL またはタイム レンジの最初のルールのシーケンス番号です。

increment

後続の各シーケンス番号にスイッチが追加する番号です。

 
コマンドのデフォルト設定

なし

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

resequence コマンドを使用すると、ACL のルールまたはタイム レンジにシーケンス番号を再割り当てすることができます。再祖のルールの新しいシーケンス番号は、 starting-number 引数によって決定されます。追加される各ルールは、 increment 引数が決定する新しいシーケンス番号を受け取ります。最も大きいシーケンス番号が使用可能な最大シーケンス番号を超える場合は、シーケンシングが発生せず、次のメッセージが表示されます。

ERROR: Exceeded maximum sequence number.

最大シーケンシング番号は 4294967295 です。

次に、 show ip access-lists コマンドを使用して、開始シーケンシング番号が 100 で番号が 10 ずつ増えていく ip-acl-01 という名前の IPv4 ACL のリシーケンスを行い、 resequence コマンド使用の前後でシーケンシング番号を確認する例を示します。

switch(config)# show ip access-lists ip-acl-01

IP access list ip-acl-01
7 permit tcp 128.0.0/16 any eq www
10 permit udp 128.0.0/16 any
13 permit icmp 128.0.0/16 any eq echo
17 deny igmp any any
switch(config)# resequence ip access-list ip-acl-01 100 10
switch(config)# show ip access-lists ip-acl-01

IP access list ip-acl-01
100 permit tcp 128.0.0/16 any eq www
110 permit udp 128.0.0/16 any
120 permit icmp 128.0.0/16 any eq echo
130 deny igmp any any

 
関連コマンド

コマンド
説明

ip access-list

IPv4 ACL を設定します。

mac access-list

MAC ACL を設定します。

show access-lists

すべての ACL または特定の ACL を表示します。

role feature-group name

ユーザ ロール機能グループを作成または指定して、ユーザ ロール機能グループ コンフィギュレーション モードを入力するには、 role feature-group name コマンドを使用します。ユーザ ロール機能グループを削除するには、このコマンドの no 形式を使用します。

role feature-group name group-name

no role feature-group name group-name

 
シンタックスの説明

group-name

ユーザ ロール機能グループ名です。 group-name は最大 32 文字までの英数字が可能で、大文字小文字が区別されます。

 
コマンドのデフォルト設定

なし

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、ユーザ ロール機能グループを作成してユーザ ロール機能グループ コンフィギュレーション モードを入力する例を示します。

switch(config)# role feature-group name MyGroup
switch(config-role-featuregrp)#

次に、ユーザ ロール機能グループを削除する例を示します。

switch(config)# no role feature-group name MyGroup

 
関連コマンド

コマンド
説明

feature-group name

ユーザ ロール機能グループを作成または指定して、ユーザ ロール機能グループ コンフィギュレーション モードを入力します。

show role feature-group

ユーザ ロール機能グループを表示します。

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを入力するには、 role name コマンドを使用します。ユーザ ロールを削除するには、このコマンドの no 形式を使用します。

role name role-name

no role name role-name

 
シンタックスの説明

role name

ユーザ ロール名です。 role-name は最大 16 文字までの英数字が可能で、大文字小文字が区別されます。

 
コマンドのデフォルト設定

なし

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

Cisco Nexus 5000 シリーズ スイッチは、次のデフォルト ユーザ ロールを提供します。

ネットワーク管理者 ― スイッチ全体のリード/ライト アクセスを完了します。

スイッチ全体のリード アクセスを完了します。

デフォルトのユーザ ロールを変更または削除することはできません。

次に、ユーザ ロールを作成してユーザ ロール コンフィギュレーション モードを入力する例を示します。

switch(config)# role MyRole
switch(config-role)#

次に、ユーザ ロールを削除する例を示します。

switch(config)# no role name MyRole

 
関連コマンド

コマンド
説明

show role

ユーザロールを表示します。

rule

ユーザ ロールのルールを設定するには、 rule コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。

rule number {deny | permit} {command command-string | {read | read-write} [feature feature-name | feature-group group-name ]}

no rule number

 
シンタックスの説明

number

ルールのシーケンシング番号です。スイッチは、最も大きい値を持つルールを最初に適用し、次に降順で適用していきます。

deny

コマンドまたは機能へのアクセスを拒否します。

permit

コマンドまたは機能へのアクセスを許可します。

command command-string

コマンド ストリングを指定します。

read

リード アクセスを指定します。

read-write

リード/ライト アクセスを指定します。

feature feature-name

(任意)機能名を指定します。 show role feature コマンドを使用して、スイッチの機能名を一覧します。

feature-group group-name

(任意)機能グループを指定します。

 
コマンドのデフォルト設定

なし

 
コマンド モード

ユーザ ロール コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

各ロールに最大 256 のルールを設定できます。

指定したルール番号は、ルールが適用される順番を決定します。ルールは降順で適用されます。たとえば、ロールに 3 つのルールがある場合、ルール 2 の前にルール 3 が適用され、ルール 2 がルール 1 の前に適用されます。

次に、ユーザ ロールにルールを追加する例を示します。

switch(config)# role MyRole
switch(config-role)# rule 1 deny command clear users
switch(config-role)# rule 1 permit read-write feature-group L3

次に、ユーザ ロールからルールを削除する例を示します。

switch(config)# role MyRole
switch(config-role)# no rule 10

 
関連コマンド

コマンド
説明

role name

ユーザ ロール名を作成または指定して、ユーザ ロール コンフィギュレーション モードを入力します。

show role

ユーザロールを表示します。

server

RADIUS または TACACS+ サーバ グループを追加するには、 server コマンドを使用します。サーバ グループからサーバを削除するには、このコマンドの no 形式を使用します。

server { ipv4-address | ipv6-address | hostname }

no server { ipv4-address | ipv6-address | hostname }

 
シンタックスの説明

ipv4-address

A.B.C.D 形式のサーバ IPv4 アドレスです。

ipv6-address

X : X : X :: X 形式のサーバ IPv6 アドレスです。

hostname

Server name.最大 256 文字まで可能です。

 
コマンドのデフォルト設定

なし

 
コマンド モード

RADlUS サーバ グループ設定
TACACS+ サーバ グループ設定

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

サーバ グループに最大 64 のサーバを設定できます。

aaa group server radius コマンドを使用して RADIUS サーバ グループ コンフィギュレーション モードを入力するか、または aaa group server tacacs+ コマンドを使用して TACACS+ サーバ グループ コンフィギュレーション モードを入力します。

サーバが見つからない場合は、 radius-server host コマンドまたは tacacs-server host コマンドを使用してサーバを設定します。


) TACACS+ を設定する前に、feature tacacs+ コマンドを使用する必要があります。


次に、RADIUS サーバ グループにサーバを追加する例を示します。

switch(config)# aaa group server radius RadServer
switch(config-radius)# server 10.10.1.1

次に、RADIUS サーバ グループからサーバを削除する例を示します。

switch(config)# aaa group server radius RadServer
switch(config-radius)# no server 10.10.1.1

次に、TACACS+ サーバ グループにサーバを追加する例を示します。

switch(config)# feature tacacs+
switch(config)# aaa group server tacacs+ TacServer
switch(config-tacacs+)# server 10.10.2.2

次に、TACACS+ サーバ グループからサーバを削除する例を示します。

switch(config)# feature tacacs+
switch(config)# aaa group server tacacs+ TacServer
switch(config-tacacs+)# no server 10.10.2.2

 
関連コマンド

コマンド
説明

aaa group server

AAA サーバ グループを設定します。

feature tacacs+

TACACS+ をイネーブルにします。

radius-server host

RADIUS サーバを設定します。

show radius-server groups

RADIUS サーバ グループ情報を表示します。

show tacacs-server groups

TACACS+ サーバ グループ情報を表示します。

tacacs-server host

TACACS+ サーバを設定します。

show aaa accounting

AAA アカウンティング コンフィギュレーションを表示するには、 show aaa accounting コマンドを使用します。

show aaa accounting

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、アカウンティング ログの設定を表示する例を示します。

switch# show aaa accounting

show aaa authentication

AAA 認証コンフィギュレーョン情報を表示するには、 show aaa authentication コマンドを使用します。

show aaa authentication login [error-enable | mschap]

 
シンタックスの説明

error-enable

(任意)認証ログイン エラー メッセージ イネーブル コンフィギュレーションを表示します。

mschap

(任意)認証ログイン MS-CHAP イネーブル コンフィギュレーションを表示します。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、設定されている認証パラメータを表示する例を示します。

switch# show aaa authentication

次に、認証ログイン エラー イネーブル コンフィギュレーションを表示する例を示します。

switch# show aaa authentication login error-enable

次に、認証ログイン MSCHAP コンフィギュレーションを表示する例を示します。

switch# show aaa authentication login mschap

show aaa groups

AAA サーバ グループ コンフィギュレーションを表示するには、 show aaa groups コマンドを使用します。

show aaa groups

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、AAA グループ情報を表示する例を示します。

switch# show aaa groups

show access-lists

すべての IPv4 および MAC ACL または特定の ACL を表示するには、 show access-lists コマンドを使用します。

show access-lists [ access-list-name ]

 
シンタックスの説明

access-list-name

(任意)表示する ACL の名前です。

 
コマンドのデフォルト設定

access-list-name 引数を使用して ACL を指定しないかぎり、スイッチはすべての ACL を表示します。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、スイッチのすべての IPv4 および MAC ACL を表示する例を示します。

switch# show access-lists

 
関連コマンド

コマンド
説明

ip access-list

IPv4 ACL を設定します。

mac access-list

MAC ACL を設定します。

show ip access-lists

すべての IPv4 ACL または特定の IPv4 ACL を表示します。

show mac access-lists

すべての MAC ACL または特定の MAC ACL を表示します。

show accounting log

アカウンティングのログ内容を表示するには、 show accounting log コマンドを使用します。

show accounting log [ size ] [start-time year month day HH : MM : SS ] [end-time year month day HH : MM : SS ]

 
シンタックスの説明

size

(任意)表示するログのバイト単位のサイズです。有効値は 0 ~ 250000 です。

start-time year month day HH : MM : SS

(任意)開始時刻を指定します。 year 引数は yyyy 形式です。 month は 3 文字の語略称の月名です。 day 引数の有効範囲は 1 から 31 です。 HH : MM : SS 引数は標準的な 24 時間形式です。

end-time year month day HH : MM : SS

(任意)終了時刻を指定します。 year 引数は yyyy 形式です。 month は 3 文字の語略称の月名です。 day 引数の有効範囲は 1 から 31 です。 HH : MM : SS 引数は標準的な 24 時間形式です。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、アカウンティング ログ全体を表示する例を示します。

switch# show accounting log

次に、400 バイトのアカウンティング ログを表示する例を示します。

switch# show accounting log 400

次に、2008 年 2 月 16 日 16:00:00 に開始するアカウンティング ログを表示する例を示します。

switch# show accounting log start-time 2008 Feb 16 16:00:00

次に、2008 年 2 月 1 日 15:59:59 に開始し、2008 年 2 月 29 日 16:00:00 に終了するアカウンティング ログを表示する例を示します。

switch# show accounting log start-time 2008 Feb 1 15:59:59 end-time 2008 Feb 29 16:00:00

 
関連コマンド

コマンド
説明

clear accounting log

アカウンティング ログを消去します。

show ip access-lists

すべての IPv4 ACL または特定の IPv4 ACL を表示するには、 show ip access-lists コマンドを使用します。

show ip access-lists [ access-list-name ]

 
シンタックスの説明

access-list-name

(任意)表示する IPv4 ACL の名前です。

 
コマンドのデフォルト設定

access-list-name 引数を使用して ACL を指定しないかぎり、スイッチはすべての IPv4 ACL を表示します。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、スイッチのすべての IPv4 ACL を表示する例を示します。

switch# show ip access-lists

 
関連コマンド

コマンド
説明

ip access-list

IPv4 ACL を設定します。

show access-lists

すべての ACL または特定の ACL を表示します。

show mac access-lists

すべての MAC ACL または特定の MAC ACL を表示します。

show mac access-lists

すべての MAC ACL または特定の MAC ACL を表示するには、 show access-lists コマンドを使用します。

show mac access-lists [ access-list-name ]

 
シンタックスの説明

access-list-name

(任意)表示する MAC ACL の名前です。

 
コマンドのデフォルト設定

access-list-name 引数を使用して ACL を指定しないかぎり、スイッチはすべての MAC ACL を表示します。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、スイッチのすべての MAC ACL を表示する例を示します。

switch# show mac access-lists

 
関連コマンド

コマンド
説明

mac access-list

MAC ACL を設定します。

show access-lists

すべての ACL または特定の ACL を表示します。

show ip access-lists

すべての IPv4 ACL または特定の IPv4 ACL を表示します。

show radius-server

RADIUS サーバ情報を表示するには、 show radius-server コマンドを表示します。

show radius-server [ hostname | ipv4-address | ipv6-address ] [ directed-request | groups [ group-name ] | sorted | statistics hostname | ipv4-address | ipv6-address ]

 
シンタックスの説明

hostname

(任意)RADIUS サーバ DNS 名です。最大文字サイズは 256 です。

ipv4-address

(任意) A . B . C . D 形式の RADIUS サーバ IPv4 アドレスです。

ipv6-address

(任意) X : X :: X : X 形式の RADIUS サーバ IPv6 アドレスです。

directed-request

(任意)指定された要求設定を表示します。

groups [ group-name ]

(任意)設定されている RADIUS サーバ グループに関する情報を表示します。 group-name を入力して、特定の RADIUS サーバ グループに関する情報を表示します。

sorted

(任意)RADIUS サーバ に関する情報を名前によるソート順に表示します。

statistics

(任意)RADIUS サーバの RADIUS 統計情報を表示します。ホスト名または IP アドレスが必要です。

 
コマンドのデフォルト設定

グローバル RADIUS サーバ設定を表示します。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

RADIUS 事前共有鍵は、 show radius-server コマンド出力には表示されません。 show running-config radius コマンドを使用して RADIUS 事前共有鍵を表示します。

次に、すべての RADIUS サーバの情報を表示する例を示します。

switch# show radius-server
 

次に、指定した RADIUS サーバの情報を表示する例を示します。

switch# show radius-server 10.10.1.1

RADIUS 要求設定を表示する例を示します。

switch# show radius-server directed-request

次に、RADIUS サーバ グループの情報を表示する例を示します。

switch# show radius-server groups

次に、指定した RADIUS サーバ グループの情報を表示する例を示します。

switch# show radius-server groups RadServer

次に、ソートされたすべての RADIUS サーバの情報を表示する例を示します。

switch# show radius-server sorted

次に、指定した RADIUS サーバの統計情報を表示する例を示します。

switch# show radius-server statistics 10.10.1.1

 
関連コマンド

コマンド
説明

show running-config radius

実行コンフィギュレーション ファイルの RADIUS 情報を表示します。

show role

ユーザ ロール コンフィギュレーションを表示するには、 show role コマンドを使用します。

show role [name role-name ]

 
シンタックスの説明

name role-name

(任意)特定のユーザ ロール名の情報を表示します。

 
コマンドのデフォルト設定

すべてのユーザ ロールの情報を表示します。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、特定のユーザ ロールの情報を表示する例を示します。

switch# show role name MyRole

次に、すべてのユーザ ロールの情報を表示する例を示します。

switch# show role

 
関連コマンド

コマンド
説明

role name

ユーザ役割を設定します。

show role feature

ユーザ ロール機能を表示するには、 show role feature コマンドを使用します。

show role feature [detail | name feature-name ]

 
シンタックスの説明

detail

(任意)すべての機能の詳細情報を表示します。

name feature-name

(任意)特定の機能の詳細情報を表示します。

 
コマンドのデフォルト設定

ユーザ ロール機能名のリストを表示します。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、ユーザ ロール機能を表示する例を示します。

switch# show role feature

次に、すべてのユーザ ロール機能の詳細情報を表示する例を示します。

switch# show role feature detail

次に、特定のユーザ ロール機能の詳細情報を表示する例を示します。

switch# show role feature name boot-variable

 
関連コマンド

コマンド
説明

role feature-group

ユーザ ロールの機能グループを設定します。

rule

ユーザ ロールのルールを設定します。

show role feature-group

ユーザ ロール機能グループを表示するには、 show role feature-group コマンドを使用します。

show role feature-group [detail | name group-name ]

 
シンタックスの説明

detail

(任意)すべての機能グループの詳細情報を表示します。

name group-name

(任意)特定の機能グループの詳細情報を表示します。

 
コマンドのデフォルト設定

ユーザ ロール機能グループのリストを表示します。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、ユーザ ロール機能グループを表示する例を示します。

switch# show role feature-group

次に、すべてのユーザ ロール機能グループに関する詳細情報を表示する例を示します。

switch# show role feature-group detail

次に、特定のユーザ ロール機能グループの情報を表示する例を示します。

switch# show role feature-group name SecGroup

 
関連コマンド

コマンド
説明

role feature-group

ユーザ ロールの機能グループを設定します。

rule

ユーザ ロールのルールを設定します。

show running-config aaa

実行コンフィギュレーションのアカウンティング(AAA)コンフィギュレーション情報を表示するには、 show running-config aaa コマンドを使用します。

show running-config aaa [all]

 
シンタックスの説明

all

(任意)設定された情報とデフォルト情報を表示します。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、設定された実行コンフィギュレーションの AAA 情報を表示する例を示します。

switch# show running-config aaa

show running-config radius

実行コンフィギュレーションの RADIUS サーバ情報を表示するには、 show running-config radius コマンドを表示します。

show running-config radius [all]

 
シンタックスの説明

all

(任意)デフォルトの RADIUS コンフィギュレーション情報を表示します。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、実行コンフィギュレーションの RADIUS 情報を表示する例を示します。

switch# show running-config radius

 
関連コマンド

コマンド
説明

show radius-server

RADIUS 情報を表示します。

show running-config security

実行コンフィギュレーションのユーザ アカウント、SSH サーバ、Telnet サーバ情報を表示するには、 show running-config security コマンドを表示します。

show running-config security [all]

 
シンタックスの説明

all

(任意)デフォルトのユーザ アカウント、SSH サーバ、Telnet サーバ設定情報を表示します。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、実行コンフィギュレーションのユーザ アカウント、SSH サーバ、Telnet サーバを表示する例を示します。

switch# show running-config security

show ssh key

Secure Shell(SSH)サーバ鍵を表示するには、 show ssh key コマンドを使用します。

show ssh key

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、 ssh server enable コマンドを使用して SSH をイネーブルにしている場合のみ使用できます。

次に、SSH サーバ鍵を表示する例を示します。

switch# show ssh key

 
関連コマンド

コマンド
説明

ssh server key

SSH サーバ鍵を設定します。

show ssh server

Secure Shell(SSH)サーバ ステータスを表示するには、 show ssh server コマンドを使用します。

show ssh server

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、SSH サーバ ステータスを表示する例を示します。

switch# show ssh server

 
関連コマンド

コマンド
説明

ssh server enable

SSH サーバをイネーブルにします。

show startup-config aaa

スタートアップ コンフィギュレーションの認証、認可、アカウンティング(AAA)コンフィギュレーション情報を表示するには、 show startup-config aaa コマンドを使用します。

show startup-config aaa

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、スタートアップ コンフィギュレーションの AAA 情報を表示する例を示します。

switch# show startup-config aaa

show startup-config radius

スタートアップ コンフィギュレーションの RADIUS コンフィギュレーション情報を表示するには、 show show startup-config radius コマンドを表示します。

show startup-config radius

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、スタートアップ コンフィギュレーションの RADIUS 情報を表示する例を示します。

switch# show startup-config radius

show startup-config security

スタートアップ コンフィギュレーションのユーザ アカウント、SSH サーバ、Telnet サーバ設定情報を表示するには、 show startup-config security コマンドを表示します。

show startup-config security

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、スタートアップ コンフィギュレーションのユーザ アカウント、SSH サーバ、Telnet サーバを表示する例を示します。

switch# show startup-config security

show tacacs-server

TACACS+ サーバ情報を表示するには、 show tacacs-server コマンドを表示します。

show tacacs-server [hostname | ip4-address | ip6-address] [directed-request | groups | sorted | statistics]

 
シンタックスの説明

hostname

(任意)TACACS+ サーバ DNS 名です。最大文字サイズは 256 です。

ipv4-address

(任意) A . B . C . D 形式の TACACS+ サーバ IPv4 アドレスです。

ipv6-address

(任意) X : X : X :: X 形式の TACACS+ サーバ IPv6 アドレスです。

directed-request

(任意)指定された要求設定を表示します。

groups

(任意)設定されている TACACS+ サーバ グループに関する情報を表示します。

sorted

(任意)TACACS+ サーバ に関する情報を名前によるソート順に表示します。

statistics

(任意)TACACS+ サーバの TACACS+ 統計情報を表示します。

 
デフォルト

グローバル TACACS+ サーバ設定を表示します。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

TACACS+ 事前共有鍵は、 show tacacs-server コマンド出力には表示されません。 show running-config tacacs+ コマンドを使用して TACACS+ 事前共有鍵を表示します。

TACACS+ 情報を表示する前に、 feature tacacs+ コマンドを使用する必要があります。

次に、すべての TACACS+ サーバの情報を表示する例を示します。

switch# show tacacs-server

次に、指定した TACACS+ サーバの情報を表示する例を示します。

switch# show tacacs-server 10.10.2.2

TACACS+ 要求設定を表示する例を示します。

switch# show tacacs-server directed-request

次に、TACACS+ サーバ グループの情報を表示する例を示します。

switch# show tacacs-server groups

次に、指定した TACACS+ サーバ グループの情報を表示する例を示します。

switch# show tacacs-server groups TacServer

次に、ソートされたすべての TACACS+ サーバの情報を表示する例を示します。

switch# show tacacs-server sorted

次に、指定した TACACS+ サーバの統計情報を表示する例を示します。

switch# show tacacs-server statistics 10.10.2.2

 
関連コマンド

コマンド
説明

show running-config tacacs+

実行コンフィギュレーション ファイルの TACACS+ 情報を表示します。

show telnet server

Telnet サーバ ステータスを表示するには、 show telnet server コマンドを使用します。

show telnet server

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、Telnet サーバ ステータスを表示する例を示します。

switch# show telnet server

 
関連コマンド

コマンド
説明

telnet server enable

Telnet サーバをイネーブルにします。

show user-account

スイッチのユーザ アカウントに関する情報を表示するには、 show user-account コマンドを使用します。

show show user-account [ name ]

 
シンタックスの説明

name

(任意)指定したユーザ アカウントに関する情報のみを表示します。

 
コマンドのデフォルト設定

スイッチで定義されているすべてのユーザ アカウントに関する情報を表示します。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

スイッチで定義されているすべてのユーザ アカウントに関する情報を表示する例を示します。

switch# show user-account

次に、特定のユーザ アカウントに関する情報を表示する例を示します。

switch# show user-account admin

show users

現在スイッチにログオンしているユーザを表示するには、 show users コマンドを使用します。

show users

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

現在スイッチにログオンしているすべてのユーザを表示する例を示します。

switch# show users

 
関連コマンド

コマンド
説明

clear user

特定のユーザをログアウトします。

username

ユーザ アカウントを作成し、設定します。

show vlan access-list

特定の VLAN アクセス マップに関連付けられた IPv4 ACL または MAC ACL を表示するには、 show vlan access-list コマンドを使用します。

show vlan access-list map-name

 
シンタックスの説明

map-name

表示する VLAN アクセス リストです。

 
コマンドのデフォルト設定

なし

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

指定した VLAN アクセス マップについて、スイッチはアクセス マップ名とマップに関連付けられた ACL の内容を表示します。

次に、指定した VLAN アクセス マップに関連付けられた ACL の内容を表示する例を示します。

switch# show vlan access-list vlan1map

 
関連コマンド

コマンド
説明

ip access-list

IPv4 ACL を作成または設定します。

mac access-list

MAC ACL を作成または設定します。

show access-lists

VLAN アクセス マップの適用方法に関する情報を表示します。

show ip access-lists

すべての IPv4 ACL または特定の IPv4 ACL を表示します。

show mac access-lists

すべての MAC ACL または特定の MAC ACL を表示します。

vlan access-map

VLAN アクセス マップを設定します。

show vlan access-map

すべての VLAN アクセス マップまたは 1 つの VLAN アクセス マップを表示するには、 show vlan access-map コマンドを使用します。

show vlan access-map [ map-name ]

 
シンタックスの説明

map-name

(任意)表示する VLAN アクセス マップです。

 
コマンドのデフォルト設定

map-name 引数を使用して特定のアクセス マップを選択しないかぎり、スイッチはすべての VLAN アクセス マップを表示します。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

表示される各 VLAN アクセス マップについて、スイッチはアクセス マップ名、 match コマンドで指定された ACL、 action コマンドで指定されたアクションを表示します。

show vlan filter コマンドを使用して、どの VLAN に VLAN アクセス マップが適用されるかを表示します。

次に、特定の VLAN アクセス マップを表示する例を示します。

switch# show vlan access-map vlan1map

次に、すべての VLAN アクセス マップを表示する例を示します。

switch# show vlan access-map

 
関連コマンド

コマンド
説明

action

VLAN アクセス マップでトラフィックのフィルタリングを行うアクションを指定します。

match

VLAN アクセス マップでトラフィックのフィルタリングを行う ACL を指定します。

show vlan filter

VLAN アクセス マップの適用方法に関する情報を表示します。

vlan access-map

VLAN アクセス マップを設定します。

vlan filter

VLAN アクセス マップを 1 つまたは複数の VLAN に適用します。

show vlan filter

VLAN アクセス マップとコマンドの影響を受ける VLAN ID を含む vlan filter コマンドのインスタンスに関する情報を表示するには、 show vlan filter コマンドを使用します。

show vlan filter [access-map map-name | vlan vlan_id ]

 
シンタックスの説明

access-map map-name

(任意)指定したアクセス マップが適用される VLAN への出力を制限します。

vlan vlan_id

(任意)指定した VLAN のみに適用される アクセス マップへの出力を制限します。

 
コマンドのデフォルト設定

access-map キーワードを使用してアクセス マップを指定するか、 vlan キーワードを使用して VLAN ID を指定しないかぎり、VLAN に適用される VLAN アクセス マップのすべてのインスタンスが表示されます。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、スイッチのすべての VLAN アクセス マップ情報を表示する例を示します。

switch# show vlan filter

 
関連コマンド

コマンド
説明

action

VLAN アクセス マップでトラフィックのフィルタリングを行うアクションを指定します。

match

VLAN アクセス マップでトラフィックのフィルタリングを行う ACL を指定します。

show vlan access-map

すべての VLAN アクセス マップまたは VLAN アクセス マップを表示します。

vlan access-map

VLAN アクセス マップを設定します。

vlan filter

VLAN アクセス マップを 1 つまたは複数の VLAN に適用します。

ssh

Cisco Nexus 5000 シリーズ スイッチで IPv4 Secure Shell(SSH)セッションを作成するには、 ssh コマンドを使用します。

ssh [ username@ ]{ ipv4-address | hostname } [vrf vrf-name ]

 
シンタックスの説明

username

(任意)SSH セッションのユーザ名です。

ipv4-address

リモート スイッチの IPv4 アドレスです。

hostname

リモート スイッチのホスト名です。

vrf vrf-name

(任意)SSH セッションで使用する VRF 名を指定します。

 
コマンドのデフォルト設定

デフォルトの VRF です。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

スイッチは SSH バージョン 2 をサポートしています。

IPv4 を使用して SSH セッションを開始する例を示します。

switch# ssh 10.10.1.1 vrf management

 
関連コマンド

コマンド
説明

clear ssh session

SSH セッションを消去します。

ssh server enable

SSH サーバをイネーブルにします。

ssh key

SSH サーバ鍵を作成するには、 ssh key コマンドを使用します。SSH サーバ鍵を削除するには、このコマンドの no 形式を使用します。

ssh key {dsa [force] | rsa [ length [force]]}

no ssh key [dsa | rsa]

 
シンタックスの説明

dsa

Digital System Algorithm (DSA) SSH サーバ鍵を指定します。

force

(任意)以前のイベントが存在する場合に、DSA SSH 鍵イベントを強制的に生成します。

rsa

Rivest、Shamir、Adelman (RSA) 公開鍵暗号 SSH サーバ鍵を指定します。

length

(任意)SSH サーバ鍵を作成するときに使用するビット数です。有効値は 768 ~ 2048 です。

 
コマンドのデフォルト設定

1024 ビット長

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

Cisco NX-OS ソフトウェアは SSH バージョン 2 をサポートしています。

SSH サーバ鍵を削除または交換する場合は、 no ssh server enable コマンドを使用して最初に SSH サーバ鍵をディセーブルにする必要があります。

次に、デフォルトのキー長を使用して RSA サーバ鍵を作成する例を示します。

switch(config)# ssh key rsa

次に、指定したキー長を使用して RSA サーバ鍵を作成する例を示します。

switch(config)# ssh key rsa 768

次に、強制オプションを使用して RSA サーバ鍵を交換する例を示します。

switch(config)# no ssh server enable
switch(config)# ssh key dsa force
switch(config)# ssh server enable

次に、DSA SSH サーバ鍵を削除する例を示します。

switch(config)# no ssh server enable
switch(config)# no ssh key dsa
switch(config)# ssh server enable

次に、すべての SSH サーバ鍵を削除する例を示します。

switch(config)# no ssh server enable
switch(config)# no ssh key
switch(config)# ssh server enable
 

 
関連コマンド

コマンド
説明

show ssh key

SSH サーバ鍵の情報を表示します。

ssh server enable

SSH サーバをイネーブルにします。

ssh server enable

SSH サーバ ステータスを表示するには、 ssh server enable コマンドを使用します。SSH サーバをディセーブルにするには、このコマンドの no 形式を使用します。

ssh server enable

no ssh server enable

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

イネーブル

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

スイッチは SSH バージョン 2 をサポートしています。

次に、SSH サーバをイネーブルにする例を示します。

switch(config)# ssh server enable

次に、SSH サーバをディセーブルにする例を示します。

switch(config)# no ssh server enable

 
関連コマンド

コマンド
説明

show ssh server

SSH サーバ鍵の情報を表示します。

storm-control level

トラフィック ストーム コントロールの抑制レベルを設定するには、 storm-control level コマンドを使用します。抑制レベルをオフにするかデフォルトの設定に戻すには、このコマンドの no 形式を使用します。

storm-control {broadcast | multicast | unicast} level percentage [. fraction ]

no storm-control {broadcast | multicast | unicast} level

 
シンタックスの説明

broadcast

ブロードキャスト トラフィックを指定します。

multicast

マルチキャスト トラフィックを指定します。

unicast

ユニキャスト トラフィックを指定します。

level percentage

抑制レベルのパーセンテージです。有効値は 0 ~ 100 パーセントです。

fraction

(任意)抑制レベルのフラクションです。有効値は 0 ~ 99 です。

 
コマンドのデフォルト設定

すべてのパケットが渡されます。

 
コマンド モード

インターフェイス コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

storm-control level コマンドを入力して、インターフェイスの抑制レベルをイネーブルにして、トラフィック ストーム コントロール レベルを設定し、インターフェイスでイネーブルにされているすべてのトラフィック ストーム コントロール モードにトラフィック ストーム コントロール レベルを適用します。

フラクショナル抑制レベルを入力する場合には、ピリオド(.)が必要です。

抑制レベルは、総帯域幅のパーセンテージです。100 パーセントのしきい値は、トラフィックに制限がないことを意味します。0 または 0.0(フラクショナル)パーセントのしきい値は、指定したトラフィックがポートでブロックされることを意味します。

show interfaces counters storm-control コマンドを使用して、廃棄カウントを表示します。

次のメソッドの 1 つを使用して、指定したトラフィック タイプの抑制をオフにします。

指定したトラフィック タイプのレベルを 100 パーセントに設定します。

このコマンドの no 形式を使用します。

次に、ブロードキャスト トラフィックの抑制をイネーブルにして、抑制しきい値レベルを設定する例を示します。

switch(config-if)# storm-control broadcast level 30

マルチキャスト トラフィックの抑制モードをディセーブルにする例を示します。

switch(config-if)# no storm-control multicast level

 
関連コマンド

コマンド
説明

show interface

インターフェイスのストーム コントロール抑制カウンタを表示します。

show running-config

インターフェイスの設定を表示します。

tacacs-server deadtime

応答性について到達不能(非応答)TACACS+ サーバを監視する定期的な時間間隔を設定するには、 tacacs-server deadtime コマンドを使用します。非応答 TACACS+ サーバのモニタリングをディセーブルにするには、このコマンドの no 形式を使用します。

tacacs -server deadtime minutes

no tacacs -server deadtime minutes

 
シンタックスの説明

time

時間間隔を分で指定します。有効値は 1 ~ 1440 です。

 
コマンドのデフォルト設定

0 分

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

時間間隔の設定をゼロにすると、タイマーがディセーブルになります。個別の TACACS+ サーバのデッド時間間隔がゼロ(0)よりも大きい場合は、サーバ グループに設定された値よりもその値が優先されます。

デット時間間隔が 0 分の場合、TACACS+ サーバがサーバ グループの一部でグループのデット時間間隔が 0 分を超えていないかぎり、TACACS+ サーバ モニタリングは実行されません。

TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。

次に、デッド タイムの時間間隔を設定し、定期的なモニタリングをイネーブルにする例を示します。

switch(config)# tacacs-server deadtime 10

次に、デッド タイムの時間間隔をデフォルトに戻し、定期的なモニタリングをディセーブルにする例を示します。

switch(config)# no tacacs-server deadtime 10

 
関連コマンド

コマンド
説明

deadtime

非応答 RADIUS サーバ グループまたは TACACS+ サーバ グループをモニタリングする時間間隔を設定します。

feature tacacs+

TACACS+ をイネーブルにします。

show tacacs-server

TACACS+ サーバ情報を表示します。

tacacs-server directed-request

ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できるようにするには、 radius-server directed request コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

tacacs -server directed-request

no tacacs -server directed-request

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

設定された TACACS+ サーバ グループに認証要求を送信します。

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。

ログイン中に username@vrfname : hostname を指定できます。vrfname は使用する VRF、hostname は設定された TACACS+ サーバです。ユーザ名が認証用にサーバに送信されます。

次に、ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できるようにする例を示します。

switch(config)# tacacs-server directed-request

次に、ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できないようにする例を示します。

switch(config)# no tacacs-server directed-request

 
関連コマンド

コマンド
説明

feature tacacs+

TACACS+ をイネーブルにします。

show tacacs-server directed request

指定要求 TACACS+ サーバ コンフィギュレーションを表示します。

tacacs-server host

TACACS+ サーバ ホスト パラメータを設定するには、コンフィギュレーション モードで tacacs-server host コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

tacacs-server host { hostname | ipv4-address | ipv6-address } [key [0 | 7] shared-secret ] [port port-number ] [test {idle-time time | password password | username name }] [timeout seconds ]

no tacacs-server host { hostname | ipv4-address | ipv6-address } [key [0 | 7] shared-secret ] [port port-number ] [test {idle-time time | password password | username name }] [timeout seconds ]

 
シンタックスの説明

hostname

TACACS+ サーバの Domain Name Server(DNS)名です。最大文字サイズは 256 です。

ipv4-address

A . B . C . D 形式の TACACS+ サーバ IPv4 アドレスです。

ipv6-address

X : X : X :: X 形式の TACACS+ サーバ IPv6 アドレスです。

key

(任意)TACACS+ サーバ用の共有秘密鍵を設定します。

0

(任意)TACACS+ クライアントとサーバ間の通信を認証する、平文で指定された事前共有鍵(0 で表示)を設定します。これがデフォルトです。

7

(任意)TACACS+ クライアントおよびサーバ間の通信を認証する、暗号文で指定された事前共有鍵(7 で表示)を設定します。

shared-secret

TACACS+ クライアントとサーバ間の通信を認証する事前共有鍵を設定します。最大 63 文字まで可能です。

port port-number

(任意)認証用の TACACS+ サーバのポートを設定します。有効値は 1 ~ 65535 です。

test

(任意)TACACS+ サーバにテスト パケットを送信するようパラメータを設定します。

idle-time time

(任意)サーバをモニタリングするための時間間隔を分で指定します。時間の範囲は 1 ~ 1440 分です。

password password

(任意)テスト パケット内のユーザ パスワードを指定します。最大文字サイズは 32 です。

username name

(任意)テスト パケット内のユーザ名を指定します。最大文字サイズは 32 です。

timeout seconds

(任意)TACACS+ サーバ間の再送信の サーバ タイムアウト期間(秒単位)を設定します。有効範囲は 1 ~ 60 秒です。

 
コマンドのデフォルト設定

アイドル時間:ディセーブル

サーバ モニタリング:ディセーブル

タイムアウト:1 秒

テスト ユーザ名:test

テスト パスワード:test

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。

アイドル時間間隔が 0 分の場合、TACACS+ サーバの定期モニタリングは実行されません。

次に、TACACS+ サーバ ホスト パラメータを設定する例を示します。

switch(config)# tacacs-server host 10.10.2.3 key HostKey
switch(config)# tacacs-server host tacacs2 key 0 abcd
switch(config)# tacacs-server host tacacs3 key 7 1234
switch(config)# tacacs-server host 10.10.2.3 test idle-time 10
switch(config)# tacacs-server host 10.10.2.3 test username tester
switch(config)# tacacs-server host 10.10.2.3 test password 2B9ka5

 
関連コマンド

コマンド
説明

feature tacacs+

TACACS+ をイネーブルにします。

show tacacs-server

TACACS+ サーバ情報を表示します。

tacacs-server key

グローバル TACACS+ 共有秘密鍵を設定するには、 tacacs-server key コマンドを使用します。共有秘密鍵を削除するには、このコマンドの no 形式を使用します。

tacacs-server key [0 | 7] shared-secret

no tacacs-server key [0 | 7] shared-secret

 
シンタックスの説明

0

(任意)TACACS+ クライアントおよびサーバ間の通信を認証する、平文で指定された事前共有鍵を設定します。これがデフォルトです。

7

(任意)TACACS+ クライアントおよびサーバ間の通信を認証する、暗号文で指定された事前共有鍵を設定します。

shared-secret

TACACS+ クライアントとサーバ間の通信を認証する事前共有鍵です。最大 63 文字まで可能です。

 
コマンドのデフォルト設定

なし

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

TACACS+ 事前共有鍵を設定して TACACS+ サーバに対してスイッチを認証する必要があります。鍵の長さは 65 文字に制限されており、出力可能な ASCII 文字の使用が可能です(空白文字は使用できません)。グローバル鍵を設定して、スイッチにあるすべての TACACS+ サーバ コンフィギュレーションで使用するようにできます。 tacacs-server host コマンドで key キーワードを使用することでこのグローバル鍵の割り当てを上書きできます。

TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。

次に、TACACS+ サーバ共有鍵を設定する例を示します。

switch(config)# tacacs-server key AnyWord
switch(config)# tacacs-server key 0 AnyWord
switch(config)# tacacs-server key 7 public

 
関連コマンド

コマンド
説明

feature tacacs+

TACACS+ をイネーブルにします。

show tacacs-server

TACACS+ サーバ情報を表示します。

tacacs-server timeout

TACACS+ サーバへの再送信間隔を指定するには、 tacacs-server timeout コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

tacacs-server timeout seconds

no tacacs-server timeout seconds

 
シンタックスの説明

seconds

TACACS+ サーバへの再送信間隔の秒です。有効範囲は 1 ~ 60 秒です。

 
コマンドのデフォルト設定

1 秒

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。

次に、TACACS+ サーバ タイムアウト値を設定する例を示します。

switch(config)# tacacs-server timeout 3

次に、TACACS+ サーバ タイムアウト値をデフォルトに戻す例を示します。

switch(config)# no tacacs-server timeout 3

 
関連コマンド

コマンド
説明

feature tacacs+

TACACS+ をイネーブルにします。

show tacacs-server

TACACS+ サーバ情報を表示します。

telnet

Cisco Nexus 5000 シリーズ スイッチで IPv4 を使用して Telnet セッションを作成するには、 telnet コマンドを使用します。

telnet { ipv4-address | hostname } [ port-number ] [vrf vrf-name ]

 
シンタックスの説明

ipv4-address

リモート スイッチの IPv4 アドレスです。

hostname

リモート スイッチのホスト名です。

port-number

(任意)Telnet セッションのポート番号です。有効値は 1 ~ 65535 です。

vrf vrf-name

(任意)Telnet セッションで使用する VRF 名を指定します。

 
コマンドのデフォルト設定

ポート 23 がデフォルト ポートです。

 
コマンド モード

EXEC モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

IPv4 を使用して Telnet セッションを開始する例を示します。

switch# telnet 10.10.1.1 vrf management

 
関連コマンド

コマンド
説明

clear line

Telnet セッションを消去します。

telnet server enable

telnet サーバをイネーブルにします。

telnet server enable

Telnet サーバ をイネーブルにするには、 telnet server enable コマンドを使用します。Telnet サーバをディセーブルにするには、このコマンドの no 形式を使用します。

telnet server enable

no telnet server enable

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

イネーブル

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、Telnet サーバをイネーブルにする例を示します。

switch(config)# telnet server enable

次に、Telnet サーバをディセーブルにする例を示します。

switch(config)# no telnet server enable

 
関連コマンド

コマンド
説明

show telnet server

Telnet サーバ ステータスを表示します。

use-vrf

RADIUS サーバ グループまたは TACACS+ サーバ グループの仮想ルーティングと転送インターフェイス(VRF)を指定するには、 use-vrf コマンドを使用します。VRF インスタンスを削除するには、このコマンドの no 形式を使用します。

use-vrf vrf-name

no use-vrf vrf-name

 
シンタックスの説明

vrf-name

VRF インスタンス名を指定します。

 
コマンドのデフォルト設定

なし

 
コマンド モード

RADlUS サーバ グループ設定
TACACS+ サーバ グループ設定

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

サーバ グループせっていできるのは、1 つのVRF インスタンスのみです。

aaa group server radius コマンドを使用して RADIUS サーバ グループ コンフィギュレーション モードを入力するか、または aaa group server tacacs+ コマンドを使用して TACACS+ サーバ グループ コンフィギュレーション モードを入力します。

サーバが見つからない場合は、 radius-server host コマンドまたは tacacs-server host コマンドを使用してサーバを設定します。

TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。

次に、RADIUS サーバ グループの VRF インスタンスを指定する例を示します。

switch(config)# aaa group server radius RadServer
switch(config-radius)# use-vrf management

次に、TACACS+ サーバ グループの VRF インスタンスを指定する例を示します。

switch(config)# aaa group server tacacs+ TacServer
switch(config-tacacs+)# use-vrf management

次に、TACACS+ サーバ グループから VRF インスタンスを削除する例を示します。

switch(config)# aaa group server tacacs+ TacServer
switch(config-tacacs+)# no use-vrf management

 
関連コマンド

コマンド
説明

aaa group server

AAA サーバ グループを設定します。

feature tacacs+

TACACS+ をイネーブルにします。

radius-server host

RADIUS サーバを設定します。

show radius-server groups

RADIUS サーバ情報を表示します。

show tacacs-server groups

TACACS+ サーバ情報を表示します。

tacacs-server host

TACACS+ サーバを設定します。

vrf

VRF インスタンスを設定します。

username

ユーザ アカウントを作成し設定するには、 username コマンドを使用します。ユーザ アカウントを削除するには、このコマンドの no 形式を使用します。

username user-id [expire date ] [ password password ] [role role-name ]

username user-id sshkey { key | filename filename }

no username user-id

 
シンタックスの説明

user-id

ユーザアカウントのユーザ ID です。 user-id は最大 28 文字までの英数字が可能で、大文字小文字が区別されます。

expire date

(任意)ユーザ アカウントの有効期限を指定します。 date 引数の形式は、YYYY-MM-DD です。

password password

(任意)アカウントのパスワードを指定します。デフォルトは password です。

role role-name

(任意)ユーザに割り当てられるロールを指定します。

sshkey

(任意)ユーザ アカウントの SSH 鍵を指定します。

key

SSH 鍵ストリングです。

filename filename

SSH 鍵ストリングを含むファイル名を指定します。

 
コマンドのデフォルト設定

有効期限、パスワード、SSH 鍵はありません。

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

スイッチは強力なパスワードのみを受け入れます。強力なパスワードの特性には次のものがあります。

最低 8文字。

連続した文字(「abcd」など)がない

繰り返される文字(「aaabbb」など)がない

辞書にある語がない

固有の語がない

大文字と小文字を含む

数字を含む


注意 ユーザ アカウントのパスワードを指定していない場合、ユーザはアカウントにログインできません。

次に、パスワードを使用してユーザ アカウントを作成する例を示します。

switch(config)# username user1 password Ci5co321

次に、ユーザ アカウントの SSH 鍵を設定する例を示します。

switch(config)# username user1 sshkey file bootflash:key_file

 
関連コマンド

コマンド
説明

show user-account

ユーザ アカウントの設定を表示します。

vlan access-map

新しい VLAN アクセス マップを作成するか、または既存の VLAN アクセス マップを設定するには、 vlan access-map コマンドを使用します。VLAN アクセス マップを削除するには、このコマンドの no 形式を使用します。

vlan access-map map-name

no vlan access-map map-name

 
シンタックスの説明

map-name

作成または変更する VLAN アクセス マップの名前です。

 
コマンドのデフォルト設定

なし

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

各 VLAN アクセス マップには、1 つの match コマンドと 1 つの action コマンドを含めることができます。

次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。

switch(config)# vlan access-map vlan-map-01
switch(config-access-map)# match ip address ip-acl-01
switch(config-access-map)# action forward
switch(config-access-map)# statistics

 
関連コマンド

コマンド
説明

action

VLAN アクセス マップでトラフィックのフィルタリングを行うアクションを指定します。

match

VLAN アクセス マップでトラフィックのフィルタリングを行う ACL を指定します。

show vlan access-map

すべての VLAN アクセス マップまたは VLAN アクセス マップを表示します。

show vlan filter

VLAN アクセス マップの適用方法に関する情報を表示します。

vlan filter

VLAN アクセス マップを 1 つまたは複数の VLAN に適用します。

vlan filter

VLAN アクセス マップを 1 つまたは複数の VLAN に適用するには、 vlan filter コマンドを使用します。VLAN アクセス マップの適用を解除するには、このコマンドの no 形式を使用します。

vlan filter map-name vlan-list VLAN-list

no vlan filter map-name [vlan-list VLAN-list ]

 
シンタックスの説明

map-name

作成または変更する VLAN アクセス マップの名前です。

vlan-list VLAN-list

VLAN アクセス マップ フィルタを経由する 1 つまたは複数の VLAN のID を指定します。

ハイフン(-)を使用して、VLAN ID 範囲の開始 ID と終了 ID を区切ります。たとえば、70 ~ 100 を使用します。

カンマ(,)を使用して、個別の VLAN ID と VLAN ID の範囲を区切ります。たとえば、20, 70 ~ 100, 142 を使用します。


) このコマンドの no 形式を使用する場合、VLAN-list 引数は任意となります。この引数を省略すると、スイッチはアクセス マップが適用されているすべての VLAN からアクセス マップを削除します。


 
コマンドのデフォルト設定

なし

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

VLAN アクセス マップを 1 つまたは複数の VLAN に適用できます。

VLAN に 1 つの VLAN アクセス マップのみを適用できます。

このコマンドの no 形式を使用すると、アクセス マップの適用時に指定した VLAN リストのすべてまたは一部に対して、VLAN アクセス マップの適用を解除できます。アクセス マップが適用されているすべての VLAN から適用を解除するには、 VLAN-list 引数を省略します。現在アクセス マップが適用されている VLAN のサブセットに対して、アクセス マップの適用を解除するには、 VLAN-list 引数を使用してアクセス マップを削除する VLAN を指定します。

次に、vlan-map-01 という名前の VLAN アクセス マップを 20 ~ 45 の VLAN に適用する例を示します。

switch(config)# vlan filter vlan-map-01 20-45

 
関連コマンド

コマンド
説明

action

VLAN アクセス マップでトラフィックのフィルタリングを行うアクションを指定します。

match

VLAN アクセス マップでトラフィックのフィルタリングを行う ACL を指定します。

show vlan access-map

すべての VLAN アクセス マップまたは VLAN アクセス マップを表示します。

show vlan filter

VLAN アクセス マップの適用方法に関する情報を表示します。

vlan access-map

VLAN アクセス マップを設定します。

vlan policy deny

ユーザ ロールの VLAN ポリシー コンフィギュレーション モードを入力するには、 vlan policy deny コマンドを使用します。ユーザ ロールの VLAN ポリシーをデフォルトに戻すには、このコマンドの no 形式を使用します。

vlan policy deny

no vlan policy deny

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

すべての VLAN

 
コマンド モード

ユーザ ロール コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、ユーザ ロールの VLAN ポリシー コンフィギュレーション モードを入力する例を示します。

switch(config)# role name MyRole
switch(config-role)# vlan policy deny
switch(config-role-vlan)#

次に、ユーザ ロールの VLAN ポリシーをデフォルトに戻す例を示します。

switch# configure terminal
switch(config)# role name MyRole
switch(config-role)# no vlan policy deny

 
関連コマンド

コマンド
説明

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを入力します。

show role

ユーザ ロール情報を表示します。

vrf policy deny

仮想転送とユーザ ロールのルーティング インターフェイス(VRF)ポリシー コンフィギュレーション モードを入力するには、 vrf policy deny コマンドを使用します。ユーザ ロールの VRF ポリシーをデフォルトに戻すには、このコマンドの no 形式を使用します。

vrf policy deny

no vrf policy deny

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト設定

なし

 
コマンド モード

ユーザ ロール コンフィギュレーション

 
コマンド履歴

リリース
変更内容

4.0(0)N1(1a)

このコマンドが導入されました。

 
使用上のガイドライン

なし

次に、ユーザ ロールの VRF ポリシー コンフィギュレーション モードを入力する例を示します。

switch(config)# role name MyRole
switch(config-role)# vrf policy deny
switch(config-role-vrf)#

次に、ユーザ ロールの VRF ポリシーをデフォルトに戻す例を示します。

switch(config)# role name MyRole
switch(config-role)# no vrf policy deny

 
関連コマンド

コマンド
説明

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを入力します。

show role

ユーザ ロール情報を表示します。