Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス リリース 5.x
H コマンド
H コマンド
発行日;2012/02/01 | 英語版ドキュメント(2011/07/31 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

H コマンド

hardware access-list resource pooling

hardware access-list update

hardware rate-limiter

host(IPv4)

host(IPv6)

H コマンド

この章では、H で始まる Cisco NX-OS セキュリティ コマンドについて説明します。

hardware access-list resource pooling

1 つまたは複数の I/O モジュールで、ACL ベースの機能によって複数の TCAM バンクを使用できるようにするには、 hardware access-list resource pooling コマンドを使用します。ある I/O モジュールで、ACL ベースの機能によって 1 つの TCAM バンクの使用を制限するには、このコマンドの no 形式を使用します。

hardware access-list resource pooling module slot-number-list

no hardware access-list resource pooling module slot-number-list

 
構文の説明

module slot-number-list

I/O モジュールを指定します。 slot-number-list 引数を使用すると、占有しているスロット番号によってモジュールを指定できます。単一の I/O モジュール、スロット番号の範囲、カンマで区切ったスロット番号と範囲を指定できます。

 
デフォルト

なし

 
コマンド モード

グローバル コンフィギュレーション

サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更内容

4.2(1)

resource キーワードと pooling キーワードとの間のハイフンが削除されました。

4.1(2)

このコマンドが追加されました。

 
使用上のガイドライン

ACL ベースの各機能では、デフォルトで、1 つの I/O モジュールで 1 つの TCAM バンクを使用できます。このデフォルト動作では、各機能が、16,000 TCAM エントリに制限されます。非常に大きなセキュリティ ACL の場合、この制限が検出される可能性があります。 hardware access-list resource pooling コマンドを使用すると、ACL ベースの機能で、16,000 より多い TCAM エントリを使用できます。

このコマンドには、ライセンスは不要です。

次の例では、スロット 1 にある I/O モジュールの TCAM バンク中で ACL プログラミングをイネーブルにする方法を示します。

switch# config t
switch(config)# hardware access-list resource pooling module 1
 

 
関連コマンド

コマンド
説明

hardware access-list update

スーパーバイザ モジュールが、ACL に対する変更により、I/O モジュールをアップデートする方法を設定します。

show running-config all

デフォルト設定を含む、実行コンフィギュレーションを表示します。

hardware access-list update

スーパーバイザ モジュールが、アクセス コントロール リスト(ACL)に対する変更により、I/O モジュールをアップデートする方法を設定するには、デフォルトの Virtual Device Context(VDC; 仮想デバイス コンテキスト)で hardware access-list update コマンドを使用します。アトミック アップデートをディセーブルにするには、このコマンドの no 形式を使用します。

hardware access-list update { atomic | default-result permit }

no hardware access-list update { atomic | default-result permit }

 
構文の説明

atomic

トラフィックを中断しないでアップデートを実行する、アトミック アップデートを指定します。Cisco Nexus 7000 シリーズ デバイスは、デフォルトで、アトミック ACL アップデートを実行します。

default-result permit

非アトミック アップデートの実行中に、アップデートした ACL が適用されるトラフィックを許可します。

 
デフォルト

atomic

 
コマンド モード

グローバル コンフィギュレーション

サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更内容

4.1(4)

このコマンドを使用できるのは、デフォルトの VDC だけです。

4.1(2)

このコマンドは、 platform access-list update コマンドを置き換える目的で導入されました。

 
使用上のガイドライン

Cisco NX-OS Release 4.1(4) およびそれ以降のリリースでは、デフォルトの VDC で hardware access-list update コマンドを使用でき、すべての VDC に影響が及ぼされます。

Cisco Nexus 7000 シリーズ デバイスのスーパーバイザ モジュールが、ACL への変更を伴って I/O モジュールをアップデートするときには、アトミック ACL アップデートが実行されます。アトミック アップデートでは、アップデートされた ACL が適用されるトラフィックは中断されません。ただし、アトミック アップデートでは、ACL アップデートを受信する I/O モジュールで、影響を受ける ACL で前から存在するすべてのエントリに加え、アップデートされる各 ACL エントリを保存するために使用可能な十分なリソースが必要です。アップデートが完了すると、アップデートに使用された追加リソースは解放されます。I/O モジュールのリソースが不足している場合、エラー メッセージが表示され、I/O モジュールの ACL アップデートは失敗します。

I/O モジュールで、アトミック アップデートに必要なリソースが不足している場合は、 no hardware access-list update atomic コマンドを使用して、デフォルト VDC で アトミック アップデートをディセーブルにできます。ただし、ACL をアップデートして前から存在している ACL を削除するまでの短い処理時間中、ACL が適用されるトラフィックはデフォルトでドロップされます。

非アトミック アップデートの受信中に、ACL が適用されるすべてのトラフィックを許可したい場合は、デフォルト VDC で hardware access-list update default-result permit コマンドを使用します。

このコマンドには、ライセンスは不要です。


) Cisco NX-OS Release 4.1(4) およびそれ以降のリリースでは、デフォルトの VDC でだけ、hardware access-list update コマンドを使用できます。現在の VDC が VDC 1(デフォルト VDC)であることを確認するには、show vdc current-vdc コマンドを使用します。


次に、ACL のアトミック アップデートをディセーブルにする例を示します。

switch# config t
switch(config)# no hardware access-list update atomic
 

次に、ACL の非アトミック アップデート中に、対象トラフィックが許可されるように設定する例を示します。

switch# config t
switch(config)# hardware access-list update default-result permit
 

次に、再びアトミック アップデートが実行されるように設定する例を示します。

switch# config t
switch(config)# no hardware access-list update default-result permit
switch(config)# hardware access-list update atomic
 

 
関連コマンド

コマンド
説明

hardware access-list resource pooling

ACL ベースの機能で、複数の TCAM バンクを使用できます。

show running-config all

デフォルト設定を含む、実行コンフィギュレーションを表示します。

hardware rate-limiter

出力トラフィックのレート制限をパケット/秒単位で設定するには、 hardware rate-limiter コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

hardware rate-limiter { access-list-log | copy | layer-2 { l2pt | mcast-snooping | port-security | storm-control | vpc-low } | layer-3 { control | glean | mtu | multicast { directly-connect | local-groups | rpf-leak } | ttl } | receive } packets

no hardware rate-limiter { access-list-log | copy | layer-2 { l2pt | mcast-snooping | port-security | storm-control | vpc-low } | layer-3 { control | glean | mtu | multicast { directly-connect | local-groups | rpf-leak } | ttl } | receive } packets

 
構文の説明

access-list-log

アクセス リスト ロギングのためにスーパーバイザ モジュールにコピーされるパケットを指定します。デフォルトのレートは 100 パケット/秒です。

copy

スーパーバイザ モジュールにコピーされるデータ パケットと制御パケットを指定します。デフォルトのレートは 30000 パケット/秒です。

layer-2

レイヤ 2 パケットのレート制限を指定します。

l2pt

レイヤ 2 トンネル プロトコル(L2TP)パケットを指定します。デフォルトのレートは 4096 パケット/秒です。

mcast-snooping

レイヤ 2 マルチキャストスヌーピング パケットを指定します。デフォルトのレートは 10000 パケット/秒です。

port-security

ポート セキュリティ パケットを指定します。デフォルトはディセーブルです。

storm-control

ブロードキャスト、マルチキャスト、未知のユニキャスト ストーム制御パケットを指定します。デフォルトはディセーブルです。

vpc-low

VPC low キューでのレイヤ 2 制御パケットを指定します。優先度の低い VPC ピア スイッチ間のコントロールプレーン通信を同期化し、vPC ピア スイッチの誤動作や、スイッチ間で過剰なトラフィックが発生した場合に、コントロールプレーンを保護します。デフォルトのレートは 4000 パケット/秒です。

layer-3

レイヤ 3 パケットのレート制限を指定します。

control

レイヤ 3 制御パケットを指定します。デフォルトのレートは 10000 パケット/秒です。

glean

レイヤ 3 グリーニング パケットを指定します。デフォルトのレートは 100 パケット/秒です。

mtu

レイヤ 3 MTU 障害リダイレクト パケットを指定します。デフォルトのレートは 500 パケット/秒です。

multicast

レイヤ 3 マルチキャスト パケット/秒を指定します。

directly-connect

直接接続マルチキャスト パケットを指定します。デフォルトのレートは 10000 パケット/秒です。

local-groups

ローカル グループ マルチキャスト パケットを指定します。デフォルトのレートは 10000 パケット/秒です。

rpf-leak

Reverse Path Forwarding(RPF)リーク パケットを指定します。デフォルトのレートは 500 パケット/秒です。

ttl

レイヤ 3 TTL 障害リダイレクト パケットを指定します。デフォルトのレートは 500 パケット/秒です。

receive

スーパーバイザ モジュールにリダイレクトされるパケットを指定します。デフォルトのレートは 30000 パケット/秒です。

packets

パケット数/秒。範囲は 1 ~ 33554431 です。

 
デフォルト

デフォルトのレート制限は、「構文の説明」を参照してください。

 
コマンド モード

グローバル コンフィギュレーション

サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更内容

5.0(2)

l2pt キーワードが追加されました。

4.1(2)

このコマンドは、 platform rate-limit コマンドを置き換える目的で導入されました。

 
使用上のガイドライン

このコマンドには、ライセンスは不要です。

次に、制御パケットのレート制限を設定する例を示します。

switch# config t
switch(config)# hardware rate-limiter layer-3 control 20000
 

次に、制御パケットのレート制限をデフォルトの設定に戻す例を示します。

switch# config t
switch(config)# no hardware rate-limiter layer-3 control
 

 
関連コマンド

コマンド
説明

clear hardware rate-limiter

レート制限統計情報をクリアします。

show hardware rate-limiter

レート制限情報を表示します。

show running-config

実行コンフィギュレーションを表示します。

host(IPv4)

ホストまたはサブネットを IPv4 アドレス オブジェクト グループのメンバーとして指定するには、 host コマンドを使用します。IPv4 アドレス オブジェクト グループからグループ メンバーを削除するには、このコマンドの no 形式を使用します。

[ sequence-number ] host IPv4-address

no { sequence-number | host IPv4-address }

[ sequence-number ] IPv4-address network-wildcard

no IPv4-address network-wildcard

[ sequence-number ] IPv4-address / prefix-len

no IPv4-address / prefix-len

 
構文の説明

sequence-number

(任意)このグループ メンバーのシーケンス番号。シーケンス番号は、オブジェクト グループ内でグループ メンバーの順序を保ちます。有効なシーケンス番号は 1 ~ 4294967295 です。シーケンス番号を指定しない場合、デバイスは最大シーケンス番号より 10 大きい番号を現在のオブジェクト グループに割り当てます。

host IPv4-address

グループ メンバーを単一 IPv4 アドレスで指定します。 IPv4-address を、ドット付き 10 進表記で入力します。

IPv4-address network-wildcard

IPv4 アドレスおよびネットワーク ワイルドカード。 IPv4-address および network-wildcard を、ドット付き 10 進表記で入力します。 IPv4-address のどのビットがネットワーク部分であるかを指定するには、 network-wildcard を次のように使用します。

switch(config-ipaddr-ogroup)# 10.23.176.0 0.0.0.255
 

network-wildcard 値が 0.0.0.0 の場合、グループ メンバーが特定の IPv4 アドレスであることを示します。

IPv4-address / prefix-len

IPv4 アドレスおよび可変長サブネット マスク。 IPv4-address を、ドット付き 10 進表記で入力します。 IPv4-address のネットワーク部分のビット数を指定するには、 prefix-len を次のように使用します。

switch(config-ipaddr-ogroup)# 10.23.176.0/24
 

prefix-len 値が 32 の場合、グループ メンバーが特定の IPv4 アドレスであることを示します。

 
デフォルト

なし

 
コマンド モード

IPv4 アドレス オブジェクト グループ コンフィギュレーション

サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

グループ メンバーとしてサブネットを指定するには、このコマンドを、次のいずれかの形式で使用します。

[ sequence-number ] IPv4-address network-wildcard

[ sequence-number ] IPv4-address / prefix-len

show object-group コマンドを使用すると、サブネットの指定に使用したコマンド形式に関係なく、グループ メンバーの IP-address / prefix-len 形式が表示されます。

グループ メンバーとして単一 IPv4 アドレスを指定するには、このコマンドを、次のいずれかの形式で使用します。

[ sequence-number ] host IPv4-address

[ sequence-number ] IPv4-address 0.0.0.0

[ sequence-number ] IPv4-address /32

show object-group コマンドを使用すると、単一 IPv4 アドレスの指定に使用したコマンド形式に関係なく、グループ メンバーの host IP-address 形式が表示されます。

このコマンドには、ライセンスは不要です。

次に、ipv4-addr-group-13 という IPv4 アドレス オブジェクト グループに、グループ メンバーとして 2 つの特定の IPv4 アドレスと、1 つのサブネット 10.23.176.0 を設定する例を示します。

switch# config t
switch(config)# object-group ip address ipv4-addr-group-13
switch(config-ipaddr-ogroup)# host 10.121.57.102
switch(config-ipaddr-ogroup)# 10.121.57.234/32
switch(config-ipaddr-ogroup)# 10.23.176.0 0.0.0.255
switch(config-ipaddr-ogroup)# show object-group ipv4-addr-group-13
10 host 10.121.57.102
20 host 10.121.57.234
30 10.23.176.0/24
switch(config-ipaddr-ogroup)#
 

 
関連コマンド

コマンド
説明

object-group ip address

IPv4 アドレス グループを設定します。

show object-group

オブジェクト グループを表示します。

host(IPv6)

ホストまたはサブネットを IPv6 アドレス オブジェクト グループのメンバーとして指定するには、 host コマンドを使用します。IPv6 アドレス オブジェクト グループからグループ メンバーを削除するには、このコマンドの no 形式を使用します。

[ sequence-number ] host IPv6-address

no { sequence-number | host IPv6-address }

[ sequence-number ] IPv6-address / network-prefix

no IPv6-address / network-prefix

 
構文の説明

sequence-number

(任意)このグループ メンバーのシーケンス番号。シーケンス番号は、オブジェクト グループ内でグループ メンバーの順序を保ちます。有効なシーケンス番号は 1 ~ 4294967295 です。シーケンス番号を指定しない場合、デバイスは最大シーケンス番号より 10 大きい番号を現在のオブジェクト グループに割り当てます。

host IPv6-address

グループ メンバーを単一 IPv6 アドレスで指定します。 IPv6-address を、コロンで区切った 16 進表記で入力します。

IPv6-address / network-prefix

IPv6 アドレスおよび可変長サブネット マスク。 IPv6-address を、コロンで区切った 16 進表記で入力します。 IPv6-address のネットワーク部分のビット数を指定するには、 network-prefix を次のように使用します。

switch(config-ipv6addr-ogroup)# 2001:db8:0:3ab7::/96
 

network-prefix 値が 128 の場合、グループ メンバーが特定の IPv6 アドレスであることを示します。

 
デフォルト

なし

 
コマンド モード

IPv6 アドレス オブジェクト グループ コンフィギュレーション

サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更内容

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

グループ メンバーとしてサブネットを指定するには、このコマンドを、次の形式で使用します。

[ sequence-number ] IPv6-address / network-prefix

グループ メンバーとして単一 IPv6 アドレスを指定するには、このコマンドを、次のいずれかの形式で使用します。

[ sequence-number ] host IPv6-address

[ sequence-number ] IPv6-address /128

show object-group コマンドを使用すると、単一 IPv6 アドレスの指定に使用したコマンド形式に関係なく、グループ メンバーの host IPv6-address 形式が表示されます。

このコマンドには、ライセンスは不要です。

次に、ipv6-addr-group-A7 という IPv6 アドレス オブジェクト グループに、グループ メンバーとして 2 つの特定の IPv6 アドレスと、1 つのサブネット 2001:db8:0:3ab7::を設定する例を示します。

switch# config t
switch(config)# object-group ipv6 address ipv6-addr-group-A7
switch(config-ipv6addr-ogroup)# host 2001:db8:0:3ab0::1
switch(config-ipv6addr-ogroup)# 2001:db8:0:3ab0::2/128
switch(config-ipv6addr-ogroup)# 2001:db8:0:3ab7::/96
switch(config-ipv6addr-ogroup)# show object-group ipv6-addr-group-A7
10 host 2001:db8:0:3ab0::1
20 host 2001:db8:0:3ab0::2
30 2001:db8:0:3ab7::/96
switch(config-ipv6addr-ogroup)#
 

 
関連コマンド

コマンド
説明

object-group ipv6 address

IPv6 アドレス グループを設定します。

show object-group

オブジェクト グループを表示します。