Cisco Nexus 5000 シリーズ NX-OS セキュリティ コマンド リファレンス Cisco NX-OS Release 4.x、5.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月5日
章のタイトル: P コマンド
P コマンド
permit(ARP)
条件と一致する ARP トラフィックを許可する ARP ACL ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit ip { any | host sender-IP | sender-IP sender-IP-mask } mac any
no permit ip { any | host sender-IP | sender-IP sender-IP-mask } mac any
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
(注) Cisco NX-OS Release 5.1(3)N1(1) 以降、ARP アクセス リストは、Control Plane Policing(CoPP)に対してだけサポートされます。permit コマンドは CoPP ARP ACL では無視されます。
新しく作成した ARP ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、デバイスは ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号を割り当てます。
パケットに ARP ACL が適用されると、ACL 内のすべてのルールに対してパケットが評価されます。パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。
例
次に、copp-arp-acl という名前の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始し、192.0.32.14/24 サブネット内にある送信者の IP アドレスを含み、それを copp-arp-acl クラスに関連づける ARP 要求メッセージを許可するルールを追加する例を示します。
関連コマンド
|
|
|
|---|---|
permit(IPv4)
条件と一致するトラフィックを許可する IPv4 アクセス コントロール リスト(ACL)ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
no permit protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
[ sequence-number ] permit icmp source destination [ icmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
[ sequence-number ] permit igmp source destination [ igmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
[ sequence-number ] permit ip source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
[ sequence-number ] permit tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ] [ flags ] [ established ]
[ sequence-number ] permit udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
構文の説明
コマンド デフォルト
新しく作成した IPv4 ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、デバイスは ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号を割り当てます。
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
スイッチは、パケットに IPv4 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
•
アドレスおよびネットワーク ワイルドカード:IPv4 アドレスおよびネットワーク ワイルドカードを使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよびネットワーク ワイルドカードを使用して、 source 引数を指定する例を示します。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク):IPv4 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv4 アドレスを使用して、送信元または宛先とするホストを指定できます。構文は次のとおりです。
この構文は、 IPv4-address /32 および IPv4-address 0.0.0.0 と同じです。
次に、 host キーワードおよび 192.168.67.132 IPv4 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv4 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
igmp-message 引数には、0 ~ 255 の整数である ICMP メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。
• administratively-prohibited :管理上の禁止
• general-parameter-problem :パラメータの問題
• host-precedence-unreachable :優先順位のホスト到達不能
• host-tos-redirect :ToS ホスト リダイレクト
• host-tos-unreachable :ToS ホスト到達不能
• mobile-redirect :モバイル ホスト リダイレクト
• net-tos-redirect :ToS ネット リダイレクト
• net-tos-unreachable :ToS ネット到達不能
• no-room-for-option :パラメータが必要だが空きなし
• option-missing :パラメータが必要だが存在しない
• packet-too-big :フラグメンテーションが必要、DF 設定
• parameter-problem :すべてのパラメータの問題
• precedence-unreachable :優先順位カットオフ
• protocol-unreachable :プロトコル到達不能
• reassembly-timeout :再構成タイムアウト
• router-advertisement :ルータ ディスカバリ アドバタイズメント
• router-solicitation :ルータ ディスカバリ要求
• source-route-failed :送信元ルート障害
• time-exceeded :すべての時間超過メッセージ
• timestamp-reply :タイム スタンプ付きの応答
• timestamp-request :タイム スタンプ付きの要求
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• bgp :Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
• domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
• drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
• ftp :File Transfer Protocol(FTP; ファイル転送プロトコル)(21)
• hostname :NIC ホストネーム サーバ(11)
• irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
• nntp :Network News Transport Protocol(NNTP)(119)
• pim-auto-rp :PIM Auto-RP(496)
• pop2 :Post Office Protocol v2(POP2)(19)
• pop3 :Post Office Protocol v3(POP3)(11)
• smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• biff :BIFF(メール通知、comsat、512)
• bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
• bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
• dnsix :DNSIX セキュリティ プロトコル監査(195)
• domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
• isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
• mobile-ip :モバイル IP レジストレーション(434)
• nameserver :IEN116 ネーム サービス(旧式、42)
• netbios-dgm :NetBIOS データグラム サービス(138)
• netbios-ns :NetBIOS ネーム サービス(137)
• netbios-ss :NetBIOS セッション サービス(139)
• non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
• ntp :Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
• pim-auto-rp :PIM Auto-RP(496)
• rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
• snmp :Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
例
次に、acl-lab-01 という IPv4 ACL を作成し、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP および UDP トラフィックを許可するルールを設定する例を示します。
関連コマンド
|
|
|
|---|---|
permit(IPv6)
条件と一致するトラフィックを許可する IPv6 アクセス コントロール リスト(ACL)ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit protocol source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
no permit protocol source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
[ sequence-number | no ] permit icmp source destination [ icmp-message ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
[ sequence-number ] permit ipv6 source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
Stream Control Transmission Protocol
[ sequence-number | no ] permit sctp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
[ sequence-number ] permit tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ] [ flags ] [ established ]
[ sequence-number | no ] permit udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
新しく作成した IPv6 ACL には、ルールは含まれていません。
デバイスは、パケットに IPv6 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。デバイスで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。どのルールも、1 つの引数の指定方法によって、他の引数の指定方法が決まることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク):IPv6 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は次のとおりです。
次に、2001:0db8:85a3:: ネットワークの IPv6 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv6 アドレスを使用して、送信元または宛先とするホストを指定できます。構文は次のとおりです。
この構文は、 IPv6-address /128 と同じです。
次に、 host キーワードおよび 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 IPv6 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv6 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
igmp-message 引数には、0 ~ 255 の整数である ICMPv6 メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。
• destination-unreachable :宛先アドレスに到達不能
• mld-query :マルチキャスト リスナー ディスカバリ クエリー
• mld-reduction :マルチキャスト リスナー ディスカバリ リダクション
• mld-reduction :マルチキャスト リスナー ディスカバリ レポート
• nd-na :ネイバー探索のネイバー アドバタイズメント
• next-header :パラメータの次のヘッダーの問題
• parameter-option :パラメータ オプションの問題
• parameter-problem :すべてのパラメータの問題
• reassembly-timeout :再構成タイムアウト
• renum-seq-number :ルータの番号付けのシーケンス番号リセット
• router-advertisement :ネイバー探索のルータ アドバタイズメント
• router-renumbering :すべてのルータの再番号付け
• router-solicitation :ネイバー探索のルータ送信要求
• time-exceeded :すべてのタイム超過メッセージ
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• bgp :Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
• domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
• drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
• ftp :File Transfer Protocol(FTP; ファイル転送プロトコル)(21)
• hostname :NIC ホストネーム サーバ(11)
• irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
• nntp :Network News Transport Protocol(NNTP)(119)
• pim-auto-rp :PIM Auto-RP(496)
• pop2 :Post Office Protocol v2(POP2)(19)
• pop3 :Post Office Protocol v3(POP3)(11)
• smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• biff :BIFF(メール通知、comsat、512)
• bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
• bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
• dnsix :DNSIX セキュリティ プロトコル監査(195)
• domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
• isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
• mobile-ip :モバイル IP レジストレーション(434)
• nameserver :IEN116 ネーム サービス(旧式、42)
• netbios-dgm :NetBIOS データグラム サービス(138)
• netbios-ns :NetBIOS ネーム サービス(137)
• netbios-ss :NetBIOS セッション サービス(139)
• non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
• ntp :Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
• pim-auto-rp :PIM Auto-RP(496)
• rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
• snmp :Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
例
次に、acl-lab13-ipv6 という IPv6 ACL を作成し、2001:0db8:85a3:: ネットワークおよび 2001:0db8:69f2:: ネットワークから 2001:0db8:be03:2112:: ネットワークへのすべての TCP トラフィックおよび UDP トラフィックを許可するルールを設定する例を示します。
次に、ipv6-eng-to-marketing という IPv6 ACL を作成し、eng_ipv6 という IPv6 アドレス オブジェクト グループから marketing_group という IPv6 アドレス オブジェクト グループへのすべての IPv6 トラフィックを許可するルールを設定する例を示します。
関連コマンド
|
|
|
|---|---|
permit(MAC)
条件と一致するトラフィックを許可する MAC アクセス コントロール リスト(ACL)ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit source destination [ protocol ] [ cos cos-value ] [ vlan vlan-id ]
no permit source destination [ protocol ] [ cos cos-value ] [ vlan vlan-id ]
構文の説明
コマンド デフォルト
新しく作成した MAC ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、スイッチで ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号が割り当てられます。
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
スイッチは、パケットに MAC ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。どのルールも、1 つの引数の指定方法によって、他の引数の指定方法が決まることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• アドレスおよびマスク:MAC アドレスの後にマスクを指定して、1 つのアドレスまたはアドレス グループを指定できます。構文は次のとおりです。
次に、MAC アドレス 00c0.4f03.0a72 を持つ source 引数を指定する例を示します。
次に、 destination 引数に、MAC ベンダー コードが 00603e のすべてのホストの MAC アドレスを指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の MAC アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
protocol 引数には、MAC プロトコルの番号またはキーワードを指定します。プロトコル番号は、プレフィックスが 0x である 4 バイト 16 進数です。有効なプロトコル番号は 0x0 ~ 0xffff です。有効なキーワードは、次のとおりです。
• appletalk :Appletalk(0x809b)
• decnet-iv :DECnet Phase IV(0x6003)
• diagnostic :DEC 診断プロトコル(0x6005)
• etype-6000 :EtherType 0x6000(0x6000)
• etype-8042 :EtherType 0x8042(0x8042)
• ip :インターネット プロトコル v4(0x0800)
• lavc-sca :DEC LAVC、SCA(0x6007)
• mop-console :DEC MOP リモート コンソール(0x6002)
例
次に、2 つの MAC アドレス グループ間ですべての IPv4 トラフィックを許可するルールが含まれる mac-ip-filter という名前の MAC ACL を作成する例を示します。
関連コマンド
|
|
|
|---|---|
permit interface
ユーザ ロール インターフェイス ポリシーでインターフェイスを追加するには、 permit interface コマンドを使用します。インターフェイスを削除するには、このコマンドの no 形式を使用します。
permit interface interface-list
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
permit interface ステートメントを機能させるには、次の例のように、コマンド ルールを設定してインターフェイス アクセスを許可する必要があります。
例
次に、ユーザ ロール インターフェイス ポリシーでインターフェイス範囲を設定する例を示します。
次に、ユーザ ロール インターフェイス ポリシーでインターフェイスのリストを設定する例を示します。
次に、ユーザ ロール インターフェイス ポリシーからインターフェイスを削除する例を示します。
関連コマンド
|
|
|
|---|---|
permit vlan
ユーザ ロール VLAN ポリシーで VLAN を追加するには、 permit vlan コマンドを使用します。VLAN を削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
permit vlan ステートメントを機能させるには、次の例のように、コマンド rule を設定して VLAN アクセスを許可する必要があります。
例
次に、ユーザ ロール VLAN ポリシーで VLAN の範囲を設定する例を示します。
次に、ユーザ ロール VLAN ポリシーで VLAN のリストを設定する例を示します。
次に、ユーザ ロール VLAN ポリシーから VLAN を削除する例を示します。
関連コマンド
|
|
|
|---|---|
permit vrf
ユーザ ロール VRF ポリシーで、Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)インスタンスを追加するには、 permit vrf コマンドを使用します。VRF を削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、ユーザ ロール VRF ポリシーで VRF の範囲を設定する例を示します。
関連コマンド
|
|
|
|---|---|
permit vsan
ユーザ ロールに VSAN ポリシーへのアクセスを許可するには、 permit vsan コマンドを使用します。ユーザ ロールのデフォルトの VSAN ポリシー設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
ユーザ ロールがアクセスできる VSAN の範囲です。有効な範囲は 1 ~ 4093 です。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、 vsan policy deny コマンドを使用して VSAN ポリシーを拒否した後にのみイネーブルになります。
例
次に、ユーザ ロールに VSAN ポリシーへのアクセスを許可する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック