Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 6.x
新機能および変更された機能に関する情報
新機能および変更された機能に関する情報

新機能および変更された機能に関する情報

この章では、『Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド』に記載されている新機能および変更された各機能について、リリース固有の情報を示します。

新機能および変更された機能に関する情報

この章では、『Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド』に記載されている新機能および変更された各機能について、リリース固有の情報を示します。

このマニュアルの最新バージョンは、次のシスコ Web サイトから入手できます。

http:/​/​www.cisco.com/​en/​US/​products/​ps9402/​products_​installation_​and_​configuration_​guides_​list.html

このリリースに関する追加情報をチェックするには、次のシスコ Web サイトから入手可能な『Cisco Nexus 7000 シリーズ NX-OS リリース ノート』を参照してください。

http:/​/​www.cisco.com/​en/​US/​products/​ps9402/​prod_​release_​notes_​list.html

この表では、『Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド』の新機能および変更された機能を要約し、その参照先を示しています。

表 1 新規および変更されたセキュリティ機能

機能

説明

変更されたリリース

参照先

Cisco TrustSec

SGACL プログラミング タスクをバッチするサポートが追加されました。

6.2(6)

Cisco TrustSec の設定

Cisco TrustSec

VLAN を SGT にマップする機能が追加されました。

6.2(2)

Cisco TrustSec の設定

Cisco TrustSec

SAP PMK を暗号化し、実行コンフィギュレーションに暗号化された形式で PMK を表示する機能が追加されました。

6.2(2)

Cisco TrustSec の設定

Cisco TrustSec

設定された PMK の 16 進値を表示するための show cts sap pmk コマンドが追加されました。

6.2(2)

Cisco TrustSec の設定

Cisco TrustSec

インターフェイスの Cisco TrustSec 機能を表示するための show cts capability interface コマンドが追加されました。

6.2(2)

Cisco TrustSec の設定

Cisco TrustSec

10 進値を受け入れるための、cts sgtpolicy static sgt、および clear cts policy sqt コマンドがイネーブルになりました。

6.2(2)

Cisco TrustSec の設定

Cisco TrustSec

ISE から sgname テーブルをダウンロードし、環境データ タイマーが切れると環境データを手動で更新する機能が追加されました。

6.2(2)

Cisco TrustSec の設定

Cisco TrustSec

特定の SXP ピア、VLAN、または VRF に対する SGT マッピングまたは SGT マップ設定のサマリーを表示するためのオプションのキーワードが show cts role-based sgt-map コマンドに追加されました。

6.2(2)

Cisco TrustSec の設定

Cisco TrustSec

すべての CTS 対応インターフェイスに関する概要を表示するための brief キーワードが show cts interface コマンドに追加されました。

6.2(2)

Cisco TrustSec の設定

Cisco TrustSec

F2e および F2 シリーズ モジュールに対する SGT サポートが追加されました。

6.2(2)

Cisco TrustSec の設定

CoPP

各モジュールの各ポリシーに関する 5 分間移動平均と一致および違反したバイト カウントのピーク値を表示するための show policy-map interface control-plane コマンドの出力が更新されました。

6.2(2)

Cisco TrustSec の設定

CoPP

VRRP IPv6 トラフィックをポリシングするための VRRP6 ACL サポートが追加されました。 HSRP ACL は制御パケットの正しい宛先アドレスを反映するよう変更されます。

6.2(2)

コントロール プレーン ポリシングの設定

CoPP

マルチキャスト トラフィックの動作が、異なるクラスにおいて異なるレートでポリシングされることから、3 つのクラス(マルチキャスト ホスト、マルチキャスト ルータ、標準)にグループ化され、一定のレートでポリシングされるように変更されました。

6.2(2)

コントロール プレーン ポリシングの設定

CoPP

SNMP で CoPP をモニタする機能が追加されました。

6.2(2)

コントロール プレーン ポリシングの設定

DHCP

DHCPv6 リレー エージェントのサポートが追加されました。

6.2(2)

DHCP の設定

IP ACL

ACL TCAM バンク マッピングのサポートが追加されました。

6.2(2)

IP ACL の設定

レート制限

レイヤ 3 収集高速パス パケットに対するサポートが追加されました。

6.2(2)

レート制限の設定

VLAN ACL

シーケンス中の拒否 ACE に対するサポートが追加されました。

6.1(3)

VLAN ACL の設定

Cisco TrustSec

Advanced Services ライセンスの要件を削除しました。

6.1(1)

Cisco TrustSec の設定

Cisco TrustSec

40G および 100G M2 シリーズ モジュールの MACsec のサポートが追加されました。

6.1(1)

Cisco TrustSec の設定

CoPP

FCoE に対する新しいクラスが追加されました。LISP、LISP6 および MAC レイヤ 3 IS-IS ACL が重要なクラスに追加されました。fcoe-fib-miss 一致例外が好ましくないクラスに追加されました。MAC レイヤ 2 トンネル ACL がレイヤ 2 非ポリシー クラスに追加されました。「permit icmp any any 143」ルールが acl-icmp6-msgs ACL に追加されました。

6.1(1)

コントロール プレーン ポリシングの設定

FIPS

スーパーバイザ 2 モジュールを含むスイッチのデジタル イメージ署名に対するサポートが追加されました。

6.1(1)

FIPS の設定

FIPS

M2 シリーズ モジュールに関する FIPS の注意事項が更新されました。

6.1(1)

FIPS の設定

IP ACL および MAC ACL

M2 シリーズ モジュールが更新されました。

6.1(1)

IP ACL の設定およびMAC ACL の設定

Cisco TrustSec

F2 シリーズ モジュールが更新されました。

6.0(1)

Cisco TrustSec の設定

CoPP

デンス デフォルト CoPP ポリシーが追加されました。

6.0(1)

コントロール プレーン ポリシングの設定

CoPP

ラインカードごとに CoPP のスケール ファクタを設定する機能が追加されました。

6.0(1)

コントロール プレーン ポリシングの設定

FIPS

F2 シリーズ モジュールに関する FIPS の注意事項が更新されました。

6.0(1)

FIPS の設定

IP ACL、MAC ACL、および VACL

F2 シリーズ モジュールが更新されました。

6.0(1)

IP ACL の設定MAC ACL の設定、およびVLAN ACL の設定

レート制限

F2 シリーズ モジュールのサポートが追加されました。

6.0(1)

レート制限の設定

RBAC

F2 シリーズ モジュールのサポートが追加されました。

6.0(1)

ユーザ アカウントと RBAC の設定

TACACS+

コンソール セッションのコマンド許可を設定する機能が追加されました。

6.0(1)

TACACS+ の設定

ユーザ アカウントおよび RBAC

SNMP OID に読み取り専用ルールまたは読み取り/書き込みルールを設定する機能が追加されました。

6.0(1)

ユーザ アカウントと RBAC の設定

ACL と CoPP

実行コンフィギュレーションとスタートアップ コンフィギュレーションでユーザ設定 ACL だけを表示する(およびデフォルトの CoPP 設定 ACL を表示しない)ように、show running-config aclmgr コマンドと show startup-config aclmgr コマンドが変更されました。

5.2(1)

IP ACL の設定MAC ACL の設定VLAN ACL の設定、およびコントロール プレーン ポリシングの設定

Cisco TrustSec

インターフェイスでのポーズ フレームの暗号化と復号化のサポートが追加されました。

5.2(1)

Cisco TrustSec の設定

CoPP

設定ユーティリティを再度実行しないでデフォルト CoPP ポリシーを変更または再適用する機能が追加されました。

5.2(1)

コントロール プレーン ポリシングの設定

CoPP

CoPP ベスト プラクティス ポリシーを読み取り専用に変更し、ポリシーを修正するためにコピーする機能が追加されました。

5.2(1)

コントロール プレーン ポリシングの設定

CoPP

CoPP ベスト プラクティス ポリシーの詳細を表示する show copp profile コマンドと、ポリシー間の違いを表示する show copp diff profile コマンドが追加されました。

5.2(1)

コントロール プレーン ポリシングの設定

CoPP

show copp status コマンドが変更され、CoPP ベスト プラクティス ポリシーのどの部分がコントロール プレーンにアタッチされているかを表示するようになりました。

5.2(1)

コントロール プレーン ポリシングの設定

CoPP

セットアップ ユーティリティで、ベスト プラクティス CoPP プロファイルの none オプションの名前が skip に変更されました。

5.2(1)

コントロール プレーン ポリシングの設定

CoPP

デフォルトのクラス マップが更新され、MPLS LDP、MPLS OAM、MPLS RSVP、DHCP リレー、および OTV-AS のサポートが含まれました。

5.2(1)

コントロール プレーン ポリシングの設定

DHCP

DHCP リレー エージェントに対するサブネットのブロードキャストのサポートと、DHCP スマート リレーのサポートが追加されました。

5.2(1)

DHCP の設定

FCoE ACL

F1 シリーズ モジュールに FCoE ACL のサポートが追加されました。

5.2(1)

IP ACL の設定

IP ACL

M1 シリーズ モジュールに ACL キャプチャのサポートが追加されました。

5.2(1)

IP ACL の設定

LDAP

ldap-server port コマンドが非推奨になりました。

5.2(1)

LDAP の設定

パスワードの暗号化

AES パスワード暗号化と設定可能なマスター暗号キーのサポートが追加されました。

5.2(1)

パスワード暗号化の設定

RADIUS

RADIUS サーバ キーのタイプ 6 暗号化のサポートが追加されました。

5.2(1)

RADIUS の設定

TACACS+

TACACS+ サーバ キーのタイプ 6 暗号化のサポートが追加されました。

5.2(1)

TACACS+ の設定

コントロール プレーン ポリシー マップ

ドロップされるパケットのしきい値を指定し、設定したしきい値をドロップ数が超えた場合に syslog を生成する機能が追加されました。

5.1(1)

コントロール プレーン ポリシングの設定

CoPP

デフォルトのポリシーが更新され、802.1Q サービス クラス(cos)の値が含まれました。

5.1(1)

コントロール プレーン ポリシングの設定

CoPP

非 IP トラフィック クラスのサポートが追加されました。

5.1(1)

コントロール プレーン ポリシングの設定

DHCP スヌーピング

vPC 環境で動作する最適化 DHCP スヌーピング。

5.1(1)

DHCP の設定

FIPS

連邦情報処理標準(FIPS)モードを設定する機能が追加されました。

5.1(1)

FIPS の設定

レート制限

F1 シリーズ モジュール パケットのサポートが追加されました。

5.1(1)

レート制限の設定

レート制限

スーパーバイザ モジュールに到達するパケットのレート制限を設定し、レート制限を超えた場合にシステム メッセージを記録する機能が追加されました。

5.1(1)

レート制限の設定

レート制限

レート制限をディセーブルにしたり、特定のモジュールおよびポート範囲のレート制限を設定したりするためのオプションが追加されました。

5.1(1)

レート制限の設定

SCP および SFTP サーバ

リモート デバイスとの間でのファイルのコピーをサポートするために、Cisco NX-OS デバイスで SCP サーバおよび SFTP サーバを設定する機能が追加されました。

5.1(1)

SSH および Telnet の設定

ユーザ ロール

network-admin ロールおよび network-operator ロールが使用できるコマンドの構文を表示する機能が追加されました。

5.1(1)

ユーザ アカウントと RBAC の設定

VTY ACL

VTY 回線で受信したトラフィックに対するアクセス コントロールのサポートが追加されました。

5.1(1)

IP ACL の設定

802.1X

ポート チャネルのメンバ ポートで 802.1X の設定をサポートします。

5.0(2)

802.1X の設定

AAA 許可

TACACS+ サーバ用のデフォルトの AAA 許可方法の設定をサポートします。

5.0(2)

TACACS+ の設定

CHAP 認証

CHAP 認証のイネーブル化またはディセーブル化を許可します。

5.0(2)

AAA の設定

CoPP

デフォルトのポリシーが更新され、ACL HSRP6 のサポートが含まれました。

5.0(2)

コントロール プレーン ポリシングの設定

DHCP

DHCP リレー エージェントの VRF へのサポートを許可します。 また、ip dhcp relay information option vpn コマンドが追加され、ip dhcp relay address コマンドが変更されました。

5.0(2)

DHCP の設定

DHCP

リンク選択、サーバ ID オーバーライド、および VRF 名/VPN ID リレー エージェントの Option 82 サブオプション用のシスコ独自の番号である 150、152、および 151 の DHCP での使用をサポートします。

5.0(2)

DHCP の設定

IP ACL、MAC ACL、および VACL

スケーラブルなサービス ライセンスがインストールされており、XL ラインカードを使用している場合、最大 128K の ACL エントリを許可します。

5.0(2)

IP ACL の設定MAC ACL の設定、およびVLAN ACL の設定

LDAP

Lightweight Directory Access Protocol(LDAP)の設定をサポートします。

5.0(2)

LDAP の設定

ローカル認証

リモート認証が失敗したときに、ローカル認証へのフォールバックをイネーブルにします。

5.0(2)

AAA の設定

ローカル認証

ローカル認証へのフォールバックのディセーブル化を許可します。

5.0(2)

AAA の設定

OTP

ワンタイム パスワードをサポートします。

5.0(2)

RADIUS の設定

定期サーバ モニタリング

グローバルな RADIUS サーバと TACACS+ サーバの定期モニタリングをサポートします。

5.0(2)

RADIUS の設定およびTACACS+ の設定

PKI

リモートの cert-store と証明書マッピングのフィルタをサポートします。

5.0(2)

PKI の設定

権限ロール

権限ロールのユーザ コマンドを許可または拒否できます。

5.0(2)

TACACS+ の設定

レート制限

レイヤ 2 トンネル プロトコル(L2TP)パケットをサポートします。

5.0(2)

レート制限の設定

SGACL ポリシー

RBACL ロギングのイネーブル化またはディセーブル化を許可します。

5.0(2)

Cisco TrustSec の設定

SGACL ポリシー

RBACL 統計情報のイネーブル化、ディセーブル化、モニタリング、およびクリアを許可します。

5.0(2)

Cisco TrustSec の設定

SSH

SSH ログインの最大試行回数の設定をサポートします。

5.0(2)

SSH および Telnet の設定

SSH

リモート デバイスに接続するために、Cisco NX-OS デバイスのブート モードからの SSH セッションの開始をサポートします。

5.0(2)

SSH および Telnet の設定

SSH

パスワードなしで Cisco NX-OS デバイスから SCP サーバまたは SFTP サーバへのファイルのコピーをサポートします。

5.0(2)

SSH および Telnet の設定

TACACS+ の特権レベルの許可

Cisco NX-OS デバイスでローカルに設定されたユーザ ロールに対して、TACACS+ サーバでユーザ用に設定された特権レベルをマッピングできます。

5.0(2)

TACACS+ の設定