Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
V コマンド
V コマンド
発行日;2012/04/10 | 英語版ドキュメント(2011/11/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

V コマンド

vlan access-map

vlan filter

vlan policy deny

vrf policy deny

V コマンド

この章では、V で始まる Cisco NX-OS セキュリティ コマンドについて説明します。

vlan access-map

新規の VLAN アクセス マップ エントリを作成したり、既存の VLAN アクセスマップ エントリを設定したりするには、 vlan access-map コマンドを使用します。VLAN アクセス マップ エントリを削除するには、このコマンドの no 形式を使用します。

vlan access-map map-name [ sequence-number ]

no vlan access-map map-name [ sequence-number ]

 
構文の説明

sequence-number

(任意)作成中または編集中の VLAN アクセス マップ エントリのシーケンス番号。

シーケンス番号には、1 ~ 4294967295 の間の整数を指定できます。

デフォルトでは、VLAN アクセス マップの最初のエントリに、シーケンス番号 10 が割り当てられます。

シーケンス番号を指定しないと、VLAN アクセス マップの最後にルールが追加され、1 つ前のエントリのシーケンス番号に 10 を加算した値が、シーケンス番号として割り当てられます。

このコマンドの no 形式を使用する場合、 sequence-number 引数を使用して、削除するエントリを指定します。VLAN アクセス マップ全体を削除する場合は、 sequence-number 引数を省略します。

map-name

作成または設定する VLAN アクセス マップ名。 map-name 引数は、最大で 64 文字の英数字を使用でき、大文字と小文字が区別されます。

 
デフォルト

なし

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更箇所

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

それぞれの VLAN アクセス マップ エントリには、1 つの action コマンドと 1 つまたは複数の match コマンドを含めることができます。

VLAN アクセス マップ エントリの統計情報を記録するようデバイスを設定するには、 statistics per-entry コマンドを使用します。

このコマンドには、ライセンスは必要ありません。

次の例では、vlan-map-01 という名前の VLAN アクセス マップを作成し、それぞれに 2 つの match コマンドと 1 つの action コマンドがある 2 つのエントリを追加し、2 番目のエントリに一致するパケットの統計情報をイネーブルにする方法を示します。

 
switch(config)# vlan access-map vlan-map-01
switch(config-access-map)# match ip address ip-acl-01
switch(config-access-map)# action forward
switch(config-access-map)# match mac address mac-acl-00f
 
switch(config-access-map)# vlan access-map vlan-map-01
switch(config-access-map)# match ip address ip-acl-320
switch(config-access-map)# match mac address mac-acl-00e
switch(config-access-map)# action drop
switch(config-access-map)# statistics per-entry
 
switch(config-access-map)# show vlan access-map
 
Vlan access-map vlan-map-01 10
match ip: ip-acl-01
match mac: mac-acl-00f
action: forward
Vlan access-map vlan-map-01 20
match ip: ip-acl-320
match mac: mac-acl-00e
action: drop
statistics per-entry
 

 
関連コマンド

コマンド
説明

action

VLAN アクセス マップにトラフィック フィルタリングのアクションを指定します。

match

VLAN アクセス マップにトラフィック フィルタリングの ACL を指定します。

show vlan access-map

すべての VLAN アクセス マップまたは 1 つの VLAN アクセス マップを表示します。

show vlan filter

VLAN アクセス マップが適用されている方法に関する情報を表示します。

statistics per-entry

ACL の各エントリの統計情報の収集をイネーブルにします。

vlan filter

1 つ以上の VLAN に VLAN アクセス マップを適用します。

vlan filter

VLAN アクセス マップを 1 つ以上の VLAN に適用するには、 vlan filter コマンドを使用します。VLAN アクセス マップの適用を解除するには、このコマンドの no 形式を使用します。

vlan filter map-name vlan-list VLAN-list

no vlan filter map-name vlan-list VLAN-list

 
構文の説明

map-name

作成または設定する VLAN アクセス マップ名

vlan-list VLAN-list

VLAN アクセス マップがフィルタリングする 1 つまたは複数の VLAN の ID を指定します。有効な VLAN ID は、1 ~ 4096 です。

ハイフン(-)を使用して、VLAN ID の範囲の開始 ID と終了 ID を区別します(たとえば、70-100)。

カンマ(,)を使用して、各 VLAN ID および VLAN ID の範囲を区別します(たとえば、20,70-100,142)。

引数を省略できます。この引数を省略する場合、デバイスはアクセス マップが適用されているすべての VLAN からアクセス マップを削除します。

 
デフォルト

なし

 
コマンド モード

グローバル コンフィギュレーション

 
サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更箇所

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

1 つ以上の VLAN に VLAN アクセス マップを適用できます。

VLAN に適用できるのは、1 つの VLAN アクセス マップだけです。

このコマンドの no 形式を使用すると、アクセス マップを適用したときに指定したすべてまたは一部分の VLAN リストから VLAN アクセス マップの適用を解除できます。適用されたすべての VLAN からアクセス マップの適用を解除する場合、 VLAN-list 引数を省略できます。現在適用されている VLAN のサブセットからアクセス マップの適用を解除する場合、 VLAN-list 引数を使用して、アクセス マップを削除する必要がある VLAN を指定します。

このコマンドには、ライセンスは必要ありません。

次に、vlan-map-01 という名前の VLAN アクセス マップを VLAN 20 ~ 45 に適用する例を示します。

switch# config t
switch(config)# vlan filter vlan-map-01 20-45
 

次に、このコマンドの no 形式を使用して、vlan-map-01 という名前の VLAN アクセス マップの適用を VLAN 30 ~ 32 から解除する例を示します(VLAN 20 ~ 29、33 ~ 45 に適用されたアクセス マップはそのまま残します)。

switch# show vlan filter
 
vlan map vlan-map-01:
Configured on VLANs: 20-45
switch(config)# no vlan filter vlan-map-01 30-32
switch# show vlan filter
 
vlan map vlan-map-01:
Configured on VLANs: 20-29,33-45
 

 
関連コマンド

コマンド
説明

action

VLAN アクセス マップにトラフィック フィルタリングのアクションを指定します。

match

VLAN アクセス マップにトラフィック フィルタリングの ACL を指定します。

show vlan access-map

すべての VLAN アクセス マップまたは 1 つの VLAN アクセス マップを表示します。

show vlan filter

VLAN アクセス マップが適用されている方法に関する情報を表示します。

vlan access-map

VLAN アクセス マップを設定します。

vlan policy deny

ユーザ ロールの VLAN ポリシー コンフィギュレーション モードを開始するには、 vlan policy deny コマンドを使用します。ユーザ ロールのデフォルトの VLAN ポリシーに戻すには、このコマンドの no 形式を使用します。

vlan policy deny

no vlan policy deny

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

すべての VLAN

 
コマンド モード

ユーザ ロール コンフィギュレーション

 
サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更箇所

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、ユーザ ロール VLAN ポリシー コンフィギュレーション モードで permit vlan コマンドを使用して許可する VLAN を除くすべての VLAN を拒否します。

このコマンドには、ライセンスは必要ありません。

次に、ユーザ ロールのユーザ ロール VLAN ポリシー コンフィギュレーション モードを開始する例を示します。

switch# config t
switch(config)# role name MyRole
switch(config-role)# vlan policy deny
switch(config-role-vlan)#
 

次に、ユーザ ロールのデフォルトの VLAN ポリシーに戻す例を示します。

switch# config t
switch(config)# role name MyRole
switch(config-role)# no vlan policy deny
 

 
関連コマンド

コマンド
説明

permit vlan

ユーザ ロール VLAN ポリシーの VLAN を許可します。

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを開始します。

show role

ユーザ ロールの情報を表示します。

 

vrf policy deny

ユーザ ロールの仮想ルーティングおよび転送(VRF)インスタンス ポリシー コンフィギュレーション モードを開始するには、 vrf policy deny コマンドを使用します。ユーザ ロールのデフォルトの VRF ポリシーに戻すには、このコマンドの no 形式を使用します。

vrf policy deny

no vrf policy deny

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

すべての VRF

 
コマンド モード

ユーザ ロール コンフィギュレーション

 
サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更箇所

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、ユーザ ロール VRF ポリシー コンフィギュレーション モードで permit vrf コマンドを使用して許可する VRF を除くすべての VRF を拒否します。

このコマンドには、ライセンスは必要ありません。

次に、ユーザ ロールの VRF ポリシー コンフィギュレーション モードを開始する例を示します。

switch# config t
switch(config)# role name MyRole
switch(config-role)# vrf policy deny
switch(config-role-vrf)#
 

次に、ユーザ ロールのデフォルトの VRF ポリシーに戻す例を示します。

switch# config t
switch(config)# role name MyRole
switch(config-role)# no vrf policy deny
 

 
関連コマンド

コマンド
説明

vrf permit

ユーザ ロール VRF ポリシーの VRF を許可します。

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを開始します。

show role

ユーザ ロールの情報を表示します。