Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
新機能および変更された機能に関する情報
新機能および変更された機能に関する情報
発行日;2012/04/10 | 英語版ドキュメント(2011/11/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

新機能および変更された機能に関する情報

新機能および変更された機能に関する情報

この章では、『 Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス』 の新機能および変更された機能に関するリリース固有の情報を示します。このマニュアルの最新バージョンは、次のシスコ Web サイトから入手できます。
http://www.cisco.com/en/US/products/ps9402/prod_command_reference_list.html

Cisco NX-OS リリース 6.0 に関するその他の情報については、 Cisco Nexus 7000 Series NX-OS Release Notes, Release 6.0』 を参照してください。このマニュアルは次のシスコ Web サイトで入手できます。
http://www.cisco.com/en/US/products/ps9402/tsd_products_support_series_home.html

次の表に、『 Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス』 の新機能および変更された機能の要約と参照先を示します。

表 1 リリース 6.0 の新機能と変更点

機能
説明
変更されたリリース
参照先

Cisco TrustSec 認証

F1 よび f2 シリーズ モジュールで cts dot1x コマンドのサポートが追加されました。

6.0

「C コマンド」

Cisco TrustSec 認証

F1 よび f2 シリーズ モジュールで replay protection コマンドのサポートが追加されました。

6.0

「R コマンド」

Cisco TrustSec 認証

F1 よび f2 シリーズ モジュールで sap pmk コマンドのサポートが追加されました。

6.0

「F コマンド」

ACL キャプチャ

インターフェイスまたは VLAN 上のトラフィックを選択的にモニタするため、ACL キャプチャを設定する機能が追加されました。また、M1 シリーズ モジュールでの ACL キャプチャのサポートが追加されました。

5.2(1)

「D コマンド」 「H コマンド」 「M コマンド」 「P コマンド」 、および 「show コマンド」

AES パスワード暗号化

AES パスワード暗号化をサポートする機能が追加されました。

5.2(1)

「E コマンド」 「F コマンド」 「K コマンド」 、および 「show コマンド」

コントロール プレーン ポリシー

設定ユーティリティを再度実行しないでデフォルト CoPP ポリシーを変更または再適用する機能が追加されました。

5.2(1)

「C コマンド」

CoPP のベスト プラクティス ポリシーを読み取り専用の CoPP に変更し、ポリシーを修正するためにコピーする機能が追加されました。

5.2(1)

「C コマンド」

CoPP ベスト プラクティス ポリシーと、適用されているデフォルト ポリシーと最新または以前のポリシーの違いを表示するために、それぞれ show copp profile コマンドと show copp diff profile コマンドが追加されました。

5.2(1)

「show コマンド」

実行コンフィギュレーションとスタートアップ コンフィギュレーションのユーザ設定 ACL(デフォルトの CoPP で設定された ACL 以外)を表示するために、show running-config aclmgr コマンドと show startup-config aclmgr コマンドが追加されました。

5.2(1)

「show コマンド」

DHCP の機能拡張

DHCP のスマート リレーのサポートが追加されました。

5.2(1)

「I コマンド」

DHCP リレー エージェントで、サブネットのブロードキャストのサポートが追加されました。

5.2(1)

「I コマンド」

ポーズ フレームの暗号化

インターフェイスでポーズ フレームの暗号化および復号化をサポートする機能が追加されました。

5.2(1)

「E コマンド」

コントロール プレーン ポリシー

コントロール プレーン ポリシング(CoPP)マップで廃棄されたパケットのしきい値を指定し、ドロップ数が設定したしきい値を超えた場合に Syslog を生成する機能が追加されました。

5.1(1)

「L コマンド」

SCP および SFTP サーバ

リモート デバイスとの間でファイルをコピーするために、次のコマンドを使用して Cisco NX-OS デバイスの SCP および SFTP サーバを設定する機能が追加されました。

feature scp-server

feature sftp-server

5.1(1)

「F コマンド」

ユーザ ロール

次のコマンドを実行して、network-admin および network-operator ロールが使用できるコマンドの構文を表示する機能が追加されました。

show cli syntax roles network-admin

show cli syntax roles network-operator

5.1(1)

「show コマンド」

レート制限

スーパーバイザ モジュールに到達するパケットのレート制限を設定し、レート制限を超えた場合にシステム メッセージを記録する機能が追加されました。この機能により、次のコマンドが追加されました。

rate-limit

show system internal pktmgr internal control sw-rate-limit

5.1(1)

「R コマンド」 「S コマンド」

RSA キー サイズ範囲

Cisco NX-OS Release 5.1 から、RSA キー サイズの範囲は 1024 ~ 2048 ビットになりました。

5.1(1)

「S コマンド」 「U コマンド」

AAA アカウンティング

現在の VDC のログフラッシュに保存されているアカウンティング ログをクリアするため、次のコマンドに logflash キーワードが追加されました。

clear accounting log

5.0(2)

「C コマンド」

AAA 認証

リモート認証が設定されており、すべての AAA サーバが到達不能である場合、コンソールまたはデフォルト ログインのローカル認証へのフォールバックをサポートするため、 fallback error local キーワードが追加されました。

aaa authentication login console

aaa authentication login default

5.0(2)

「A コマンド」

AAA 許可

次のコマンドの none キーワードが廃止されました。

aaa authorization commands default

aaa authorization config-commands default

TACACS+ サーバまたは LDAP サーバのデフォルト AAA 認可方式を設定するため、次のコマンドが追加されました。

aaa authorization ssh-certificate default

LDAP サーバのデフォルト AAA 認可方式として、SSH 公開キーを使用した LDAP 認可またはローカル認可を設定するため、次のコマンドが追加されました。

aaa authorization ssh-publickey default

5.0(2)

「A コマンド」

CHAP 認証

CHAP 認証をサポートするため、次のコマンドが追加されました。

aaa authentication login chap enable

show aaa authentication login

5.0(2)

「A コマンド」 「show コマンド」

DHCP スヌーピング

Virtual Routing and Forwarding(VRF)をサポートするため、次のコマンドが追加または変更されました。

ip dhcp relay address

ip dhcp relay information option vpn

show dhcp relay address

show ip dhcp relay

DHCP で、link selection(リンク選択)、server ID override(サーバ ID 上書き)、VRF name/VPN ID(VRF 名/VPN ID)リレー エージェント option-82 サブオプションに、Cisco 専用の番号 150、152、および 151 を使用できるようにするため、次のコマンドが追加されました。

ip dhcp relay sub-option type cisco

DHCP スヌーピングをサポートするため、次のコマンドが追加されました。

ip dhcp packet strict-validation

5.0(2)

「I コマンド」 「show コマンド」

LDAP 認証

LDAP サーバ グループをサポートするため、次のコマンドが変更されました。

aaa authentication login console

aaa authentication login default

LDAP サーバ グループの作成をサポートするため、次のコマンドが追加されました

aaa group server ldap

LDAP 認証でバインド(bind)方式または比較(compare)方式を使用するように設定するため、次のコマンドが追加されました

authentication {bind-first [append-with-baseDN DNstring ] | compare [password-attribute password ]}

LDAP サーバ統計情報をクリアするため、次のコマンドが追加されました。

clear ldap-server statistics

LDAP サーバへの検索クエリーの送信をサポートするため、次のコマンドが追加されました。

CRLLookup

LDAP ユーザのユーザ プロファイルに、ログインが認可されているものとして、ユーザ証明書のサブジェクト DN が一覧表示されている場合にのみ、そのユーザがログインできるようにするため、次のコマンドが追加されました。

enable Cert-DN-match

LDAP サーバ グループのグループ検証をイネーブルにするため、次のコマンドが追加されました。

enable user-server-group

LDAP をイネーブルにするため、次のコマンドが追加されました。

feature ldap

すべての LDAP サーバのデッド タイム間隔を設定するため、次のコマンドが追加されました。

ldap-server deadtime

LDAP サーバ ホスト パラメータを設定するため、次のコマンドが追加されました。

ldap-server host

5.0(2)

「A コマンド」 「C コマンド」 「E コマンド」 「F コマンド」 「L コマンド」

LDAP(続き)

クライアントが TCP 接続を開始するために使用するグローバル LDAP サーバ ポートを設定するため、次のコマンドが追加されました。

ldap-server port

LDAP サーバのグローバル タイムアウト間隔を設定するため、次のコマンドが追加されました。

ldap-server timeout

LDAP 検索マップを設定するため、次のコマンドが追加されました。

ldap search-map

LDAP サーバ グループのサポートを追加するため、次のコマンドが変更されました。

server

設定された LDAP 属性マップに関する情報を表示するため、次のコマンドが追加されました。

show ldap-search-map

LDAP サーバ設定を表示するため、次のコマンドが追加されました。

show ldap-server

LDAP サーバ グループ設定を表示するため、次のコマンドが追加されました。

show ldap-server groups

LDAP サーバ統計情報を表示するため、次のコマンドが追加されました。

show ldap-server statistics

実行コンフィギュレーションの LDAP サーバ情報を表示するため、次のコマンドが追加されました。

show running-config ldap

スタートアップ コンフィギュレーションの LDAP サーバ情報を表示するため、次のコマンドが追加されました。

show startup-config ldap

検索クエリーを LDAP サーバに送信するために、信頼される証明書を設定する、次のコマンドが追加されました。

trustedCert attribute-name

LDAP サーバ グループのサポートを追加するため、次のコマンドが変更されました。

use-vrf

5.0(2)

「L コマンド」 「S コマンド」 「show コマンド」 「T コマンド」 「U コマンド」

LDAP(続き)

検索クエリーを LDAP サーバに送信するために、証明書 DN 一致を設定する、次のコマンドが追加されました。

user-certdn-match attribute-name

検索クエリーを LDAP サーバに送信するために、公開キー一致を設定する、次のコマンドが追加されました。

user-pubkey-match attribute-name

検索クエリーを LDAP サーバに送信するために、ユーザスイッチグループを設定する、次のコマンドが追加されました。

user-switch-bind attribute-name

検索クエリーを LDAP サーバに送信するために、ユーザ プロファイルを設定する、次のコマンドが追加されました。

userprofile attribute-name

5.0(2)

「U コマンド」

PKI

証明書認証に使用する証明書ストアを指定するため、次のコマンドが追加されました。

crypto ca lookup {local | remote | both}

リモート証明書ストアから証明書失効リストを更新するリフレッシュ時間を設定するため、次のコマンドが追加されました。

crypto ca remote ldap crl-refresh-tim e

LDAP サーバ グループを設定するため、次のコマンドが追加されました。

crypto ca remote ldap server-group

フィルタ マップの作成をサポートするため、次のコマンドが追加されました。

crypto certificatemap mapname

SSH プロトコルの証明書マッピング フィルタを設定するため、次のコマンドが追加されました。

crypto cert ssh-authorize

フィルタ マップ内に証明書マッピング フィルタを設定するため、次のコマンドが追加されました。

filter

証明書ストア設定を表示するため、次のコマンドが追加されました。

show crypto ca certstore

リモート証明書ストア設定を表示するため、次のコマンドが追加されました。

show crypto ca remote-certstore

5.0(2)

「C コマンド」 「F コマンド」 「show コマンド」

PKI(続き)

証明書マッピング フィルタを表示するため、次のコマンドが追加されました。

show crypto certificatemap

SSH 認証用に設定されたマッピング フィルタを表示するため、次のコマンドが追加されました。

show crypto ssh-auth-map

5.0(2)

「show コマンド」

RADIUS

RADIUS サーバごとに個別にテスト パラメータを設定する必要なく、すべてのサーバの可用性をモニタするため、次のコマンドが追加されました。

radius-server test

5.0(2)

「R コマンド」

レート制限

レイヤ 2 トンネル プロトコル(L2TP)パケットのレート制限統計情報をクリアするため、次のコマンドに l2pt キーワードが追加されました。

clear hardware rate-limiter

L2TP パケットのレート制限を設定するため、次のコマンドに l2pt キーワードが追加されました。

hardware rate-limiter

L2TP パケットのレート制限統計情報を表示するため、次のコマンドに l2pt キーワードが追加されました。

show rate-limiter

5.0(2)

「C コマンド」 「H コマンド」 「show コマンド」

RBACL

RBACL 統計情報をクリアするため、次のコマンドが追加されました。

clear cts role-based counters

RBACL 統計情報をイネーブルにするため、次のコマンドが追加されました。

cts role-based counters enable

RBACL ログのサポートのため、次のコマンドに log キーワードが追加されました。

deny

permit

RBACL 統計情報の設定ステータスを表示し、すべての RBACL ポリシーの統計情報を一覧表示するため、次のコマンドが追加されました。

show cts role-based counters

5.0(2)

「C コマンド」 「D コマンド」 「P コマンド」 「show コマンド」

SSH

ユーザが SSH セッションにログインを試みることができる最大回数を設定するため、次のコマンドが追加されました。

ssh login-attempts

指定したユーザの公開キーを表示するため、次のコマンドが追加されました。

show username username keypair

5.0(2)

「S コマンド」 「show コマンド」

TACACS+

ユーザがシークレット パスワードの入力を求められた後に、高い権限レベルに移行できるようにするため、次のコマンドが追加されました。

enable level

特定の権限レベルのシークレット パスワードをイネーブルにするため、次のコマンドが追加されました。

enable secret

TACACS+ サーバでコマンド認可にロールの累積権限をイネーブルにするため、次のコマンドが追加されました。

feature privilege

ユーザ ロールまたは権限ロールを作成または変更する場合に、権限レベルを指定するため、次のコマンドに priv- n キーワード が追加されました。

role name

現在の権限レベル、ユーザ名、および累積権限サポートのステータスを表示するため、次のコマンドが追加されました。

show privileg e

TACACS+ サーバごとに個別にテスト パラメータを設定する必要なく、すべてのサーバの可用性をモニタするため、次のコマンドが追加されました。

tacacs -server test

Virtual Device Context(VDC; 仮想デバイス コンテキスト)でユーザ アカウントを作成する場合に使用するため、次のコマンドに keypair および priv-lvl キーワードが追加されました。

username user-id

5.0(2)

「E コマンド」 「F コマンド」 「R コマンド」 「show コマンド」 「T コマンド」 「U コマンド」

AAA MSCHAP V2 認証

aaa authentication login default コマンドおよび show authentication コマンドに、 mschapv2 キーワードが追加されました。

4.2(1)

「A コマンド」
「show コマンド」

AAA アカウンティング ログ

show accounting コマンドに、 last-index キーワードおよび start-seqnum キーワードが追加されました。

4.2(1)

「A コマンド」
「show コマンド」

802.1x 認証

dot1x pae authenticator コマンドが追加されました。

4.2(1)

「D コマンド」

RADIUS 統計情報

clear radius-server statistics コマンドが追加されました。

4.2(1)

「C コマンド」

TACACS+ 統計情報

clear tacacs-server statistics コマンドが追加されました。

4.2(1)

「C コマンド」

TACACS+ コマンドの認可

TACACS+ コマンドの認可をサポートするため、次のコマンドが追加されました。

aaa test authorization command-type

show aaa authorization

tacacs-server authorization command login default

tacacs-server authorization config-command login default

terminal verify-only

4.2(1)

「A コマンド」
「show コマンド」
「T コマンド」

Port Security

ポートチャネル インターフェイス上でポート セキュリティをサポートするため、次のコマンドが変更されました。

clear port-security

switchport port-security

switchport port-security aging time

switchport port-security aging type

switchport port-security mac-address

switchport port-security mac-address sticky

switchport port-security maximum

switchport port-security violation

4.2(1)

「C コマンド」
「S コマンド」

IP ACL

IP ACL の処理中にフラグメント処理の最適化をサポートするため、 fragments コマンドが追加されました。

4.2(1)

「F コマンド」

MAC ACL

MAC パケットの分類をサポートするため、次のコマンドが追加または変更されました。

ip port access-group

ipv6 port traffic-filter

mac packet-classify

4.2(1)

「I コマンド」
「M コマンド」

Atomic ACL のアップデート

Cisco NX-OS Release 4.1(4) 以降、デフォルトの仮想デバイス コンテキスト(VDC)のみで使用できることを示すため、 hardware access-list update コマンドが変更されました。

4.1(4)

「H コマンド」

Cisco TrustSec SXP のパスワード

cts sxp default password コマンドと cts sxp connection peer コマンドが、暗号化パスワードを許可するように変更されました。

4.1(3)

「C コマンド」

hardware コマンド

hardware access-list update コマンドと hardware rate-limit コマンドを追加し、 platform access-list update および platform rate-limit コマンドを非推奨にしました。

4.1(2)

「H コマンド」
「P コマンド」

アクセス リストのリソースのプーリング

hardware access-list resource-pooling コマンドが追加されました。

4.1(2)

「H コマンド」

SSH

feature ssh コマンドを追加し、 ssh server enable コマンドを非推奨にしました。

4.1(2)

「F コマンド」
「S コマンド」

Telnet

feature telnet コマンドを追加し、 telnet server enable コマンドを非推奨にしました。

4.1(2)

「F コマンド」
「T コマンド」

IPv6 ACL

ipv6 access-list permit(IPVv6) deny(IPv6) ipv6 traffic-filter 、および ipv6 port traffic-filter コマンドを含む、IPv6 ACL をサポートするコマンドが追加および変更されました。

4.1(2)

「D コマンド」
「I コマンド」
「P コマンド」

パケット長のフィルタリング

deny(IPv4) および permit(IPv4) コマンドに、 packet-length キーワードが追加されました。 permit(IPVv6) コマンドおよび deny (IPv6) コマンドは、 packet-length キーワードもサポートしています。

4.1(2)

「D コマンド」
「P コマンド」

RADIUS

RADIUS 設定の CFS 配信用に、 radius abort radius commit radius distribute および show radius コマンドが追加されました。

4.1(2)

「R コマンド」
「show コマンド」

TACACS+

TACACS+ 設定の CFS 配信用に、 tacacs+ abort tacacs+ commit tacacs+ distribute および show tacacs+ コマンドが追加されました。

4.1(2)

「show コマンド」
「T コマンド」

ユーザ ロール

ユーザ ロール設定の CFS 配信用に、 role abort role commit および role distribute コマンドが追加されました。また、 pending および pending-diff キーワードが show role コマンドに追加されました。

4.1(2)

「R コマンド」
「show コマンド」

AAA

TACACS+ サーバで ASCII 認証のイネーブル化をサポートするために、aaa authentication login ascii-authentication コマンドと show aaa authentication login ascii-authentication コマンドが追加されました。

4.1(2)

「A コマンド」
「show コマンド」

公開キー インフラストラクチャ(PKI)

PKI をサポートするために、 crypto ca trustpoints crypto ca authenticate 、および crypto ca crl request を含むコマンドが追加されました。

4.1(2)

「C コマンド」
「D コマンド」
「E コマンド」
「R コマンド」
「show コマンド」

RADIUS および TACACS+ サーバ グループ

RADIUS または TACACS+ サーバ グループのソース インターフェイスを設定するために、 ip radius source-interface ip tacacs source-interface 、および source-interface コマンドが追加されました。

4.1(2)

「I コマンド」
「S コマンド」

リモート ユーザの AAA 認証のデフォルト ユーザ ロール

aaa user default-role および show aaa default-user role コマンドが追加されました。

4.0(3)

「A コマンド」

「show コマンド」

VLAN ACL のキャプチャ

action コマンドから capture キーワードが削除されました。VLAN ACL によって転送されるトラフィックのキャプチャは、Cisco NX-OS Release 4.0 ではサポートされていません。

4.0(3)

「A コマンド」

レート制限

port-security キーワードが、clear hardware rate-limit、platform rate-limit、および clear hardware rate-limit コマンドに追加されました。

4.0(3)

「C コマンド」

「P コマンド」

「show コマンド」

コントロール プレーン クラス マップの IPv6 パケット ポリシング

match(クラスマップ)コマンドに IPv6 のサポートが追加されました。

4.0(3)

「M コマンド」

パスワードの強度確認

password strength-check および show password strength-check コマンドが追加されました。

4.0(3)

「P コマンド」

「show コマンド」

Cisco TrustSec

propagate-sgt コマンドが追加されました。

4.0(3)

「P コマンド」

IPv6 の Telnet

telnet6 コマンドを追加しました。

4.0(2)

「T コマンド」

コントロール プレーン ポリシング(CoPP)設定のステータス情報

show copp status コマンドが追加されました。

4.0(2)

「show コマンド」