この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Nexus 5000 シリーズ スイッチで使用できる Cisco NX-OS セキュリティ コマンドについて説明します。
アカウンティングの Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)方式を設定するには、 aaa accounting default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa accounting default { group { group-list } | local }
no aaa accounting default { group { group-list } | local }
|
|
group group-list メソッドは、以前に定義された一連の RADIUS サーバまたは TACACS+ サーバを参照します。ホスト サーバを設定するには、 radius server-host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
group 方式または local 方式を指定した場合にその方式が失敗すると、アカウンティング認証は失敗する可能性があります。
次に、AAA アカウンティングに任意の RADIUS サーバを設定する例を示します。
|
|
---|---|
コンソール ログインの認証、認可、アカウンティング(AAA)認証メソッドを設定するには、 aaa authentication login console コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login console { group group-list } [ none ] | local | none }
no aaa authentication login console { group group-list [ none ] | local | none }
RADIUS サーバ グループまたは TACACS+ サーバ グループのスペースで区切られたリストを指定します。リストには、次のようなサーバ グループを含めることができます。 • radius :設定済みのすべての RADIUS サーバ |
|
|
|
group radius、group tacacs+ 、および group group-list の各方式は、以前に定義された一連の RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドまたは tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
group 方式または local 方式を指定した場合にその方式が失敗すると、認証は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。
次に、コンソール ログインの AAA 認証方式を設定する例を示します。
次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。
|
|
---|---|
デフォルトの認証、認可、アカウンティング(AAA)認証メソッドを設定するには、 aaa authentication login default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login default { group group-list } [ none ] | local | none }
no aaa authentication login default { group group-list } [ none ] | local | none }
RADIUS サーバ グループまたは TACACS+ サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 • radius :設定済みのすべての RADIUS サーバ |
|
|
|
group radius、group tacacs+ 、および group group-list の各方式は、以前に定義された一連の RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドまたは tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
group 方式または local 方式を指定した場合にその方式が失敗すると、認証は失敗します。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。
次に、コンソール ログインの AAA 認証方式を設定する例を示します。
次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。
|
|
---|---|
コンソールに認証、認可、アカウンティング(AAA)認証失敗メッセージが表示されるように設定するには、 aaa authentication login error-enable コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login error-enable
no aaa authentication login error-enable
|
|
ログイン時にリモート AAA サーバからの応答がない場合には、ローカル ユーザ データベースへのロールオーバーによってログインが処理されます。このような状況では、ログイン失敗メッセージの表示がイネーブルに設定されている場合、次のメッセージが表示されます。
次に、AAA 認証失敗メッセージのコンソールへの表示をイネーブルにする例を示します。
次に、AAA 認証失敗メッセージのコンソールへの表示をディセーブルにする例を示します。
|
|
---|---|
ログイン時の Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)認証をイネーブルにするには、 aaa authentication login mschap enable コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login mschap enable
no aaa authentication login mschap enable
|
|
次に、MS-CHAP 認証をディセーブルにする例を示します。
|
|
---|---|
すべての EXEC コマンドでデフォルトの認証、認可、アカウンティング(AAA)認可方式を設定するには、 aaa authorization commands default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authorization commands default [ group group-list ] [ local | none ]
no aaa authorization commands default [ group group-list ] [ local | none ]
リストには、次のようなサーバ グループを含めることができます。 |
|
|
|
---|---|
このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。
group tacacs+ 方式および group group-list 方式は、以前に定義された一連の TACACS+ サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local または none を設定済みの場合、local 方式または none 方式だけが使用されます。
group 方式または local 方式を指定した場合にその方式が失敗すると、認可は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認可は常に成功します。
次に、EXEC コマンドでデフォルト AAA 認可方式を設定する例を示します。
次に、EXEC コマンドでデフォルト AAA 認可方式に戻す例を示します。
|
|
---|---|
すべてのコンフィギュレーション コマンドでデフォルトの認証、認可、アカウンティング(AAA)認可方式を設定するには、 aaa authorization config-commands default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authorization config-commands default [ group group-list ] [ local | none ]
no aaa authorization config-commands default [ group group-list ] [ local | none ]
リストには、次のようなサーバ グループを含めることができます。 |
|
|
|
---|---|
このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。
group tacacs+ 方式および group group-list 方式は、以前に定義された一連の TACACS+ サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local または none を設定済みの場合、local 方式または none 方式だけが使用されます。
group 方式または local 方式を指定した場合にその方式が失敗すると、認可は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認可は常に成功します。
次に、設定コマンドでデフォルト AAA 認可方式を設定する例を示します。
次に、設定コマンドでデフォルト AAA 認可方式に戻す例を示します。
|
|
---|---|
RADIUS サーバ グループを作成して、RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。RADIUS サーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa group server radius group-name
no aaa group server radius group-name
|
|
次に、RADIUS サーバ グループを作成し、RADIUS サーバ コンフィギュレーション モードを開始する例を示します。
次に、RADIUS サーバ グループを削除する例を示します。
|
|
---|---|
パケットが VLAN Access Control List(VACL; VLAN アクセス コントロール リスト)の permit コマンドと一致した場合にスイッチが実行する処理を指定するには、 action コマンドを使用します。 action コマンドを削除するには、このコマンドの no 形式を使用します。
|
|
action コマンドでは、 match コマンドによって指定された ACL 内の条件にパケットが一致した場合に、デバイスが実行する処理を指定します。
次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。
|
|
---|---|
Access Control List(ACL; アクセス コントロール リスト)または VLAN アクセス マップの統計情報をイネーブルにします。 |
|
すべてまたは 1 つの IPv4 アクセス コントロール リスト(ACL)のカウンタをクリアするには、 clear access-list counters コマンドを使用します。
clear access-list counters [ access-list-name ]
(任意)スイッチがそのカウンタをクリアする IPv4 ACL の名前です。この名前には最大 64 文字までの英数字を指定できます。 |
|
|
次に、すべての IPv4 ACL のカウンタをクリアする例を示します。
次に、acl-ipv4-01 という名前の IPv4 ACL のカウンタをクリアする例を示します。
|
|
---|---|
アカウンティング ログをクリアするには、 clear accounting log コマンドを使用します。
|
|
|
|
---|---|
RADIUS または TACACS+ サーバ グループのデッド タイム間隔を設定するには、 deadtime コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
間隔の分数です。有効な範囲は 0 ~ 1440 分です。デッド タイム間隔をゼロ(0)に設定すると、タイマーがディセーブルになります。 |
|
|
次に、RADIUS サーバ グループのデッド タイム間隔を 2 分に設定する例を示します。
次に、TACACS+ サーバ グループのデッド タイム間隔を 5 分に設定する例を示します。
|
|
---|---|
条件と一致するトラフィックを拒否する IPv4 アクセス コントロール リスト(ACL)ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
no deny protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)
[ sequence-number ] deny icmp source destination [ icmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)
[ sequence-number ] deny igmp source destination [ igmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
Internet Protocol v4(IPv4; インターネット プロトコル v4)
[ sequence-number ] deny ip source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
Transmission Control Protocol(TCP; 伝送制御プロトコル)
[ sequence-number ] deny tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ] [ flags ] [ established ]
User Datagram Protocol(UDP; ユーザ データグラム プロトコル)
[ sequence-number ] deny udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
新しく作成した IPv4 ACL には、ルールは含まれていません。
シーケンス番号を指定しない場合は、スイッチによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます。
|
|
スイッチは、パケットに IPv4 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• IP アドレス グループ オブジェクト:IPv4 アドレス グループ オブジェクトを使用して、 source 引数または destination 引数を指定できます。IPv4 アドレス グループ オブジェクトを作成または変更するには、 object-group ip address コマンドを使用します。シンタックスは、次のとおりです。
次に、lab-gateway-svrs という名前の IPv4 アドレス オブジェクト グループを使用して destination 引数を指定する例を示します。
• アドレスおよびネットワーク ワイルドカード:IPv4 アドレスおよびネットワーク ワイルドカードを使用して、送信元または宛先とするホストまたはネットワークを指定できます。シンタックスは、次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよびネットワーク ワイルドカードを使用して、 source 引数を指定する例を示します。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク):IPv4 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。シンタックスは、次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv4 アドレスを使用して、送信元または宛先とするホストを指定できます。シンタックスは、次のとおりです。
このシンタックスは、 IPv4-address /32 および IPv4-address 0.0.0.0 と同じです。
次に、 host キーワードおよび 192.168.67.132 IPv4 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv4 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
igmp-message 引数には、0 ~ 255 の整数である ICMP メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。
• administratively-prohibited :管理上の禁止
• general-parameter-problem :パラメータの問題
• host-precedence-unreachable :優先順位のホスト到達不能
• host-tos-redirect :ToS ホスト リダイレクト
• host-tos-unreachable :ToS ホスト到達不能
• mobile-redirect :モバイル ホスト リダイレクト
• net-tos-redirect :ToS ネット リダイレクト
• net-tos-unreachable :ToS ネット到達不能
• no-room-for-option :パラメータが必要だが空きなし
• option-missing :パラメータが必要だが存在しない
• packet-too-big :フラグメンテーションが必要、DF 設定
• parameter-problem :すべてのパラメータの問題
• precedence-unreachable :優先順位カットオフ
• protocol-unreachable :プロトコル到達不能
• reassembly-timeout :再構成タイムアウト
• router-advertisement :ルータ ディスカバリ アドバタイズメント
• router-solicitation :ルータ ディスカバリ要求
• source-route-failed :送信元ルート障害
• time-exceeded :すべての時間超過メッセージ
• timestamp-reply :タイム スタンプ付きの応答
• timestamp-request :タイム スタンプ付きの要求
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bgp :Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
ftp :File Transfer Protocol(FTP; ファイル転送プロトコル)(21)
irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
nntp :Network News Transport Protocol(NNTP)(119)
pop2 :Post Office Protocol v2(POP2)(19)
pop3 :Post Office Protocol v3(POP3)(11)
smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
dnsix :DNSIX セキュリティ プロトコル監査(195)
domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
mobile-ip :モバイル IP レジストレーション(434)
nameserver :IEN116 ネーム サービス(旧式、42)
netbios-dgm :NetBIOS データグラム サービス(138)
netbios-ns :NetBIOS ネーム サービス(137)
netbios-ss :NetBIOS セッション サービス(139)
non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
ntp :Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
snmp :Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
次に、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP と UDP のトラフィックを拒否するルール、およびその他のすべての IPv4 トラフィックを許可する最後のルールを持つ、acl-lab-01 という名前の IPv4 ACL を設定する例を示します。
|
|
---|---|
条件と一致するトラフィックを拒否する IPv6 アクセス コントロール リスト(ACL)ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。条件と一致するトラフィックを拒否する IPv6 ACL ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny protocol source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
no deny protocol source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)
[ sequence-number | no ] deny icmp source destination [ icmp-message ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
Internet Protocol v6(IPv6; インターネット プロトコル v6)
[ sequence-number ] deny ipv6 source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
Stream Control Transmission Protocol(SCTP)
[ sequence-number | no ] deny sctp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
Transmission Control Protocol(TCP; 伝送制御プロトコル)
[ sequence-number ] deny tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ] [ flags ] [ established ]
User Datagram Protocol(UDP; ユーザ データグラム プロトコル)
[ sequence-number | no ] deny udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
|
|
新しく作成した IPv6 ACL には、ルールは含まれていません。
デバイスは、パケットに IPv6 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。デバイスで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。どのルールも、1 つの引数の指定方法によって、他の引数の指定方法が決まることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• IPv6 アドレス グループ オブジェクト:IPv6 アドレス グループ オブジェクトを使用して、 source 引数または destination 引数を指定できます。IPv6 アドレス グループ オブジェクトを作成または変更するには、 object-group ipv6 address コマンドを使用します。シンタックスは、次のとおりです。
次に、lab-svrs-1301 という名前の IPv6 アドレス オブジェクト グループを使用して destination 引数を指定する例を示します。
• アドレスおよび可変長サブネット マスク(VLSM):IPv6 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。シンタックスは、次のとおりです。
次に、2001:0db8:85a3:: ネットワークの IPv6 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv6 アドレスを使用して、送信元または宛先とするホストを指定できます。シンタックスは、次のとおりです。
このシンタックスは、 IPv6-address /128 と同じです。
次に、 host キーワードおよび 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 IPv6 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv6 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
igmp-message 引数には、0 ~ 255 の整数である ICMPv6 メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。
• destination-unreachable :宛先アドレスに到達不能
• mld-query :マルチキャスト リスナー ディスカバリ クエリー
• mld-reduction :マルチキャスト リスナー ディスカバリ リダクション
• mld-reduction :マルチキャスト リスナー ディスカバリ レポート
• next-header :パラメータの次のヘッダーの問題
• parameter-option :パラメータ オプションの問題
• parameter-problem :すべてのパラメータの問題
• reassembly-timeout :再構成タイムアウト
• renum-seq-number :ルータの番号付けのシーケンス番号リセット
• router-advertisement :近隣探索とルータ アドバタイズメント
• router-renumbering :すべてのルータの再番号付け
• router-solicitation :近隣探索とルータ送信要求
• time-exceeded :すべてのタイム超過メッセージ
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bgp :Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
ftp :File Transfer Protocol(FTP; ファイル転送プロトコル)(21)
irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
nntp :Network News Transport Protocol(NNTP)(119)
pop2 :Post Office Protocol v2(POP2)(19)
pop3 :Post Office Protocol v3(POP3)(11)
smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
dnsix :DNSIX セキュリティ プロトコル監査(195)
domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
mobile-ip :モバイル IP レジストレーション(434)
nameserver :IEN116 ネーム サービス(旧式、42)
netbios-dgm :NetBIOS データグラム サービス(138)
netbios-ns :NetBIOS ネーム サービス(137)
netbios-ss :NetBIOS セッション サービス(139)
non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
ntp :Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
snmp :Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
次に、acl-lab13-ipv6 という IPv6 ACL を作成し、2001:0db8:85a3:: ネットワークおよび 2001:0db8:69f2:: ネットワークから 2001:0db8:be03:2112:: ネットワークへのすべての TCP トラフィックおよび UDP トラフィックを拒否するルールを設定する例を示します。
次に、ipv6-eng-to-marketing という IPv6 ACL を作成し、eng_ipv6 という IPv6 アドレス オブジェクト グループから marketing_group という IPv6 アドレス オブジェクト グループへのすべての IPv6 トラフィックを拒否するルールを設定する例を示します。
|
|
---|---|
条件に一致するトラフィックを拒否する Media Access Control(MAC; メディア アクセス制御)アクセス コントロール リスト(ACL)+ ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny source destination [ protocol ] [ cos cos-value ] [ vlan vlan-id ]
no deny source destination [ protocol ] [ cos cos-value ] [ vlan vlan-id ]
新しく作成した MAC ACL には、ルールは含まれていません。
シーケンス番号を指定しない場合は、スイッチによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます。
|
|
スイッチは、パケットに MAC ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• アドレスおよびマスク:MAC アドレスの後にマスクを指定して、1 つのアドレスまたはアドレス グループを指定できます。シンタックスは、次のとおりです。
次に、MAC アドレス 00c0.4f03.0a72 を持つ source 引数を指定する例を示します。
次に、 destination 引数に、MAC ベンダー コードが 00603e のすべてのホストの MAC アドレスを指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の MAC アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
protocol 引数には、MAC プロトコルの番号またはキーワードを指定します。プロトコル番号は、先頭に 0x が付く 4 バイトの 16 進数です。有効なプロトコル番号は 0x0 ~ 0xffff です。有効なキーワードは、次のとおりです。
• appletalk :Appletalk(0x809b)
• decnet-iv :DECnet Phase IV(0x6003)
• diagnostic :DEC 診断プロトコル(0x6005)
• etype-6000 :Ethertype 0x6000(0x6000)
• etype-8042 :Ethertype 0x8042(0x8042)
• ip :インターネット プロトコル v4(0x0800)
• lavc-sca :DEC LAVC、SCA(0x6007)
• mop-console :DEC MOP リモート コンソール(0x6002)
次に、2 つの MAC アドレス グループ間で非 IPv4 トラフィックを許可するルールが含まれる mac-ip-filter という名前の MAC ACL を設定する例を示します。
|
|
---|---|
ユーザ ロールの説明を設定するには、 description コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
ユーザ ロール機能グループに機能を設定するには、 feature コマンドを使用します。ユーザ ロール機能グループから機能を削除するには、このコマンドの no 形式を使用します。
|
|
次に、ユーザ ロール機能グループに機能を追加する例を示します。
次に、ユーザ ロール機能グループから機能を削除する例を示します。
|
|
---|---|
ユーザ ロールに対してインターフェイス ポリシー コンフィギュレーション モードを開始するには、 interface policy deny コマンドを使用します。ユーザ ロールのインターフェイス ポリシーをデフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
次に、ユーザ ロールのインターフェイス ポリシー コンフィギュレーション モードを開始する例を示します。
次に、ユーザ ロールのインターフェイス ポリシーをデフォルト設定に戻す例を示します。
|
|
---|---|
IPv4 アクセス コントロール リスト(ACL)を作成して、特定の ACL の IP アクセス リスト コンフィギュレーション モードを開始するには、 ip access-list コマンドを使用します。IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip access-list access-list-name
no ip access-list access-list-name
|
|
IPv4 トラフィックをフィルタリングするには、IPv4 ACL を使用します。
ip access-list コマンドを使用すると、スイッチで IP アクセス リスト コンフィギュレーション モードが開始されます。このモードで、IPv4 deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合、このコマンドの入力時にスイッチで新しい ACL が作成されます。
ACL をインターフェイスに適用するには、 ip access-group コマンドを使用します。
すべての IPv4 ACL は、最終ルールとして、次の暗黙ルールが設定されます。
この暗黙のルールによって、どの条件にも一致しない IP トラフィックは拒否されます。
IPv4 ACL には、近隣探索プロセスをイネーブルにする暗黙ルールは追加されません。IPv4 では、IPv6 近隣探索プロセスと同等の Address Resolution Protocol(ARP; アドレス解決プロトコル)は、別のデータリンク レイヤ プロトコルを使用します。デフォルトでは、IPv4 ACL は、インターフェイス上での ARP パケットの送受信を暗黙で許可します。
次に、ip-acl-01 という IPv4 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
IPv4 アクセス コントロール リスト(ACL)をインターフェイスのポート ACL として適用するには、 ip port access-group コマンドを使用します。インターフェイスから IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip port access-group access-list-name in
no ip port access-group access-list-name in
|
|
デフォルトでは、インターフェイスに IPv4 ACL は適用されません。
ip port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をポート ACL として適用できます。
IPv4 ACL を VLAN ACL として適用することもできます。詳細については、 match コマンドを参照してください。
スイッチでポート ACL が適用されるのは、インバウンド トラフィックだけです。インバウンド パケットは、スイッチ上で ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットはスイッチで引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはスイッチで廃棄され、ICMP ホスト到達不能メッセージが戻されます。
スイッチから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
次に、イーサネット インターフェイス 1/2 に対して、ip-acl-01 という IPv4 ACL をポート ACL として適用する例を示します。
次に、イーサネット インターフェイス 1/2 から、ip-acl-01 という IPv4 ACL を削除する例を示します。
|
|
---|---|
IPv6 アクセス コントロール リスト(ACL)を作成して、特定の ACL の IP アクセス リスト コンフィギュレーション モードを開始するには、 ipv6 access-list コマンドを使用します。IPv6 ACL を削除するには、このコマンドの no 形式を使用します。
ipv6 access-list access-list-name
no ipv6 access-list access-list-name
|
|
IPv6 トラフィックをフィルタリングするには、IPv6 ACL を使用します。
ipv6 access-list コマンドを使用すると、スイッチで IP アクセス リスト コンフィギュレーション モードが開始されます。このモードで、IPv6 の deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合、このコマンドの入力時にスイッチで新しい ACL が作成されます。
すべての IPv6 ACL は、最終ルールとして、次の暗黙ルールが設定されます。
次に、ipv6-acl-01 という名前の IPv6 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
IPv6 アクセス コントロール リスト(ACL)をインターフェイスのポート ACL として適用するには、 ipv6 port traffic-filter コマンドを使用します。インターフェイスから IPv6 ACL を削除するには、このコマンドの no 形式を使用します。
ipv6 port traffic-filter access-list-name in
no ipv6 port traffic-filter access-list-name in
|
|
デフォルトでは、インターフェイスに IPv6 ACL は適用されません。
ipv6 port traffic-filter コマンドを使用することにより、次のインターフェイス タイプに対して、IPv6 ACL をポート ACL として適用できます。
ipv6 port traffic-filter コマンドを使用することにより、次のインターフェイス タイプに対して、IPv6 ACL をポート ACL として適用もできます。
(注) VLAN インターフェイスを設定する前に、VLAN インターフェイスをグローバルでイネーブルにする必要があります。詳細については、feature interface-vlan コマンドを参照してください。
スイッチでポート ACL が適用されるのは、インバウンド トラフィックだけです。インバウンド パケットは、スイッチ上で ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットはスイッチで引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはスイッチで廃棄され、ICMP ホスト到達不能メッセージが戻されます。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
次に、イーサネット インターフェイス 1/3 に対して、ipv6-acl という IPv6 ACL を適用する例を示します。
次に、イーサネット インターフェイス 1/3 から、ipv6-acl という IPv6 ACL を削除する例を示します。
|
|
---|---|
メディア アクセス制御(MAC)アクセス コントロール リスト(ACL)を作成するか、または特定の ACL の MAC アクセス リスト コンフィギュレーション モードを開始するには、 mac access-list コマンドを使用します。MAC ACL を削除するには、このコマンドの no 形式を使用します。
mac access-list access-list-name
no mac access-list access-list-name
|
|
非 IP トラフィックをフィルタリングするには、MAC ACL を使用します。パケットの分類をディセーブルにした場合は、MAC ACL を使用して、すべてのトラフィックをフィルタリングできます。
mac access-list コマンドを使用すると、スイッチで MAC アクセス リスト コンフィギュレーション モードが開始されます。このモードで、MAC deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合は、このコマンドの入力時にスイッチで新しい ACL が作成されます。
ACL をインターフェイスに適用するには、 mac access-group コマンドを使用します。
すべての MAC ACL は、最終ルールとして、次の暗黙ルールが設定されます。
この暗黙のルールにより、トラフィックのレイヤ 2 ヘッダーに指定されたプロトコルに関係なく、一致しないトラフィックがスイッチによって確実に拒否されます。
次に、mac-acl-01 という MAC ACL の MAC アクセス リスト コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
MAC アクセス コントロール リスト(ACL)をインターフェイスに適用するには、 mac port access-group コマンドを使用します。インターフェイスから MAC ACL を削除するには、このコマンドの no 形式を使用します。
mac port access-group access-list-name
no mac port access-group access-list-name
|
|
デフォルトでは、インターフェイスに MAC ACL は適用されません。
MAC ACL を非 IP トラフィックに適用します。パケット分類がディセーブルの場合は、MAC ACL がすべてのトラフィックに適用されます。
mac port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、MAC ACL をポート ACL として適用できます。
MAC ACL を VLAN ACL として適用することもできます。詳細については、 match コマンドを参照してください。
スイッチで MAC ACL が適用されるのは、インバウンド トラフィックだけです。スイッチは、MAC ACL を適用すると、パケットを ACL のルールに対してチェックします。最初の一致ルールによってパケットが許可されると、そのパケットはスイッチで引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはスイッチで廃棄され、ICMP ホスト到達不能メッセージが戻されます。
スイッチから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
次に、イーサネット インターフェイス 1/2 に対して、mac-acl-01 という MAC ACL を適用する例を示します。
次に、イーサネット インターフェイス 1/2 から、mac-acl-01 という MAC ACL を削除する例を示します。
|
|
---|---|
VLAN アクセス マップ内のトラフィック フィルタリング用としてアクセス コントロール リスト(ACL)を指定するには、 match コマンドを使用します。VLAN アクセス マップから match コマンドを削除するには、このコマンドの no 形式を使用します。
match {ip | ipv6 | mac} address access-list-name
no match {ip | ipv6 | mac} address access-list-name
IPv4 アドレス、IPv6 アドレス、または MAC アドレス、およびアクセス リスト名を指定します。名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。 |
デフォルトでは、スイッチによりトラフィックが分類され、IPv4 トラフィックには IPv4 ACL が、その他のすべてのトラフィックには MAC ACL が適用されます。
|
|
次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。
|
|
---|---|
条件と一致するトラフィックを許可する IPv4 アクセス コントロール リスト(ACL)ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
no permit protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)
[ sequence-number ] permit icmp source destination [ icmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)
[ sequence-number ] permit igmp source destination [ igmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
Internet Protocol v4(IPv4; インターネット プロトコル v4)
[ sequence-number ] permit ip source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
Transmission Control Protocol(TCP; 伝送制御プロトコル)
[ sequence-number ] permit tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ] [ flags ] [ established ]
User Datagram Protocol(UDP; ユーザ データグラム プロトコル)
[ sequence-number ] permit udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ log ] [ time-range time-range-name ]
新しく作成した IPv4 ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、デバイスは ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号を割り当てます。
|
|
スイッチは、パケットに IPv4 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• IP アドレス グループ オブジェクト:IPv4 アドレス グループ オブジェクトを使用して、 source 引数または destination 引数を指定できます。IPv4 アドレス グループ オブジェクトを作成または変更するには、 object-group ip address コマンドを使用します。シンタックスは、次のとおりです。
次に、lab-gateway-svrs という名前の IPv4 アドレス オブジェクト グループを使用して destination 引数を指定する例を示します。
• アドレスおよびネットワーク ワイルドカード:IPv4 アドレスおよびネットワーク ワイルドカードを使用して、送信元または宛先とするホストまたはネットワークを指定できます。シンタックスは、次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよびネットワーク ワイルドカードを使用して、 source 引数を指定する例を示します。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク):IPv4 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。シンタックスは、次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv4 アドレスを使用して、送信元または宛先とするホストを指定できます。シンタックスは、次のとおりです。
このシンタックスは、 IPv4-address /32 および IPv4-address 0.0.0.0 と同じです。
次に、 host キーワードおよび 192.168.67.132 IPv4 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv4 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
igmp-message 引数には、0 ~ 255 の整数である ICMP メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。
• administratively-prohibited :管理上の禁止
• general-parameter-problem :パラメータの問題
• host-precedence-unreachable :優先順位のホスト到達不能
• host-tos-redirect :ToS ホスト リダイレクト
• host-tos-unreachable :ToS ホスト到達不能
• mobile-redirect :モバイル ホスト リダイレクト
• net-tos-redirect :ToS ネット リダイレクト
• net-tos-unreachable :ToS ネット到達不能
• no-room-for-option :パラメータが必要だが空きなし
• option-missing :パラメータが必要だが存在しない
• packet-too-big :フラグメンテーションが必要、DF 設定
• parameter-problem :すべてのパラメータの問題
• precedence-unreachable :優先順位カットオフ
• protocol-unreachable :プロトコル到達不能
• reassembly-timeout :再構成タイムアウト
• router-advertisement :ルータ ディスカバリ アドバタイズメント
• router-solicitation :ルータ ディスカバリ要求
• source-route-failed :送信元ルート障害
• time-exceeded :すべての時間超過メッセージ
• timestamp-reply :タイム スタンプ付きの応答
• timestamp-request :タイム スタンプ付きの要求
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bgp :Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
ftp :File Transfer Protocol(FTP; ファイル転送プロトコル)(21)
irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
nntp :Network News Transport Protocol(NNTP)(119)
pop2 :Post Office Protocol v2(POP2)(19)
pop3 :Post Office Protocol v3(POP3)(11)
smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
dnsix :DNSIX セキュリティ プロトコル監査(195)
domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
mobile-ip :モバイル IP レジストレーション(434)
nameserver :IEN116 ネーム サービス(旧式、42)
netbios-dgm :NetBIOS データグラム サービス(138)
netbios-ns :NetBIOS ネーム サービス(137)
netbios-ss :NetBIOS セッション サービス(139)
non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
ntp :Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
snmp :Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
次に、acl-lab-01 という IPv4 ACL を作成し、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP および UDP トラフィックを許可するルールを設定する例を示します。
|
|
---|---|
条件と一致するトラフィックを許可する IPv6 アクセス コントロール リスト(ACL)ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit protocol source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
no permit protocol source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)
[ sequence-number | no ] permit icmp source destination [ icmp-message ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
Internet Protocol v6(IPv6; インターネット プロトコル v6)
[ sequence-number ] permit ipv6 source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
Stream Control Transmission Protocol(SCTP)
[ sequence-number | no ] permit sctp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
Transmission Control Protocol(TCP; 伝送制御プロトコル)
[ sequence-number ] permit tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ] [ flags ] [ established ]
User Datagram Protocol(UDP; ユーザ データグラム プロトコル)
[ sequence-number | no ] permit udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ]
|
|
新しく作成した IPv6 ACL には、ルールは含まれていません。
デバイスは、パケットに IPv6 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。デバイスで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。どのルールも、1 つの引数の指定方法によって、他の引数の指定方法が決まることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• IPv6 アドレス グループ オブジェクト:IPv6 アドレス グループ オブジェクトを使用して、 source 引数または destination 引数を指定できます。IPv6 アドレス グループ オブジェクトを作成または変更するには、 object-group ipv6 address コマンドを使用します。シンタックスは、次のとおりです。
次に、lab-svrs-1301 という名前の IPv6 アドレス オブジェクト グループを使用して destination 引数を指定する例を示します。
• アドレスおよび可変長サブネット マスク(VLSM):IPv6 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。シンタックスは、次のとおりです。
次に、2001:0db8:85a3:: ネットワークの IPv6 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv6 アドレスを使用して、送信元または宛先とするホストを指定できます。シンタックスは、次のとおりです。
このシンタックスは、 IPv6-address /128 と同じです。
次に、 host キーワードおよび 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 IPv6 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv6 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
igmp-message 引数には、0 ~ 255 の整数である ICMPv6 メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。
• destination-unreachable :宛先アドレスに到達不能
• mld-query :マルチキャスト リスナー ディスカバリ クエリー
• mld-reduction :マルチキャスト リスナー ディスカバリ リダクション
• mld-reduction :マルチキャスト リスナー ディスカバリ レポート
• next-header :パラメータの次のヘッダーの問題
• parameter-option :パラメータ オプションの問題
• parameter-problem :すべてのパラメータの問題
• reassembly-timeout :再構成タイムアウト
• renum-seq-number :ルータの番号付けのシーケンス番号リセット
• router-advertisement :近隣探索とルータ アドバタイズメント
• router-renumbering :すべてのルータの再番号付け
• router-solicitation :近隣探索とルータ送信要求
• time-exceeded :すべてのタイム超過メッセージ
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bgp :Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
ftp :File Transfer Protocol(FTP; ファイル転送プロトコル)(21)
irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
nntp :Network News Transport Protocol(NNTP)(119)
pop2 :Post Office Protocol v2(POP2)(19)
pop3 :Post Office Protocol v3(POP3)(11)
smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
dnsix :DNSIX セキュリティ プロトコル監査(195)
domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
mobile-ip :モバイル IP レジストレーション(434)
nameserver :IEN116 ネーム サービス(旧式、42)
netbios-dgm :NetBIOS データグラム サービス(138)
netbios-ns :NetBIOS ネーム サービス(137)
netbios-ss :NetBIOS セッション サービス(139)
non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
ntp :Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
snmp :Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
次に、acl-lab13-ipv6 という IPv6 ACL を作成し、2001:0db8:85a3:: ネットワークおよび 2001:0db8:69f2:: ネットワークから 2001:0db8:be03:2112:: ネットワークへのすべての TCP トラフィックおよび UDP トラフィックを許可するルールを設定する例を示します。
次に、ipv6-eng-to-marketing という IPv6 ACL を作成し、eng_ipv6 という IPv6 アドレス オブジェクト グループから marketing_group という IPv6 アドレス オブジェクト グループへのすべての IPv6 トラフィックを許可するルールを設定する例を示します。
|
|
---|---|
条件と一致するトラフィックを許可する MAC アクセス コントロール リスト(ACL)ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit source destination [ protocol ] [ cos cos-value ] [ vlan vlan-id ]
no permit source destination [ protocol ] [ cos cos-value ] [ vlan vlan-id ]
新しく作成した MAC ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、スイッチで ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号が割り当てられます。
|
|
スイッチは、パケットに MAC ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。どのルールも、1 つの引数の指定方法によって、他の引数の指定方法が決まることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
アドレスおよびマスク:MAC アドレスの後にマスクを指定して、1 つのアドレスまたはアドレス グループを指定できます。シンタックスは、次のとおりです。
次に、MAC アドレス 00c0.4f03.0a72 を持つ source 引数を指定する例を示します。
次に、 destination 引数に、MAC ベンダー コードが 00603e のすべてのホストの MAC アドレスを指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の MAC アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
protocol 引数には、MAC プロトコルの番号またはキーワードを指定します。プロトコル番号は、プレフィックスが 0x である 4 バイト 16 進数です。有効なプロトコル番号は 0x0 ~ 0xffff です。有効なキーワードは、次のとおりです。
• appletalk :Appletalk(0x809b)
• decnet-iv :DECnet Phase IV(0x6003)
• diagnostic :DEC 診断プロトコル(0x6005)
• etype-6000 :EtherType 0x6000(0x6000)
• etype-8042 :EtherType 0x8042(0x8042)
• ip :インターネット プロトコル v4(0x0800)
• lavc-sca :DEC LAVC、SCA(0x6007)
• mop-console :DEC MOP リモート コンソール(0x6002)
次に、2 つの MAC アドレス グループ間ですべての IPv4 トラフィックを許可するルールが含まれる mac-ip-filter という名前の MAC ACL を作成する例を示します。
|
|
---|---|
ユーザ ロール インターフェイス ポリシーでインターフェイスを追加するには、 permit interface コマンドを使用します。インターフェイスを削除するには、このコマンドの no 形式を使用します。
permit interface interface-list
|
|
permit interface ステートメントを機能させるには、次の例に示されるように、コマンド ルールを設定してインターフェイス アクセスを許可する必要があります。
次に、ユーザ ロール インターフェイス ポリシーでインターフェイス範囲を設定する例を示します。
次に、ユーザ ロール インターフェイス ポリシーでインターフェイスのリストを設定する例を示します。
次に、ユーザ ロール インターフェイス ポリシーからインターフェイスを削除する例を示します。
|
|
---|---|
ユーザ ロール VLAN ポリシーで VLAN を追加するには、 permit vlan コマンドを使用します。VLAN を削除するには、このコマンドの no 形式を使用します。
|
|
permit vlan ステートメントを機能させるには、次の例に示されるように、コマンド rule を設定して VLAN アクセスを許可する必要があります。
次に、ユーザ ロール VLAN ポリシーで VLAN の範囲を設定する例を示します。
次に、ユーザ ロール VLAN ポリシーで VLAN のリストを設定する例を示します。
次に、ユーザ ロール VLAN ポリシーから VLAN を削除する例を示します。
|
|
---|---|
ユーザ ロール VRF ポリシーで、Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)インスタンスを追加するには、 permit vrf コマンドを使用します。VRF を削除するには、このコマンドの no 形式を使用します。
|
|
次に、ユーザ ロール VRF ポリシーで VRF の範囲を設定する例を示します。
|
|
---|---|
Cisco Nexus 5000 シリーズ スイッチにすべての RADIUS サーバのデッド タイム間隔を設定するには、 radius-server deadtime コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server deadtime minutes
no radius-server deadtime minutes
|
|
デッド タイム間隔は、応答のなかった RADIUS サーバをスイッチが確認するまでの分数です。
(注) アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。
次に、すべての RADIUS サーバの定期的なモニタリングを実行するグローバル デッド タイム間隔を設定する例を示します。
次に、すべての RADIUS サーバのグローバル デッド タイム間隔をデフォルトに戻して、サーバの定期的なモニタリングをディセーブルにする例を示します。
|
|
---|---|
ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにするには、 radius-server directed-request コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server directed-request
no radius-server directed-request
|
|
ログイン時、 username @ vrfname : hostname を指定できます。vrfname は使用する VRF、hostname は設定した RADIUS サーバ名です。ユーザ名が認証用に RADIUS サーバに送信されます。
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにする例を示します。
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できないようにする例を示します。
|
|
---|---|
RADIUS サーバ パラメータを設定するには、 radius-server host コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server host { hostname | ipv4-address | ipv6-address }
[ key [ 0 | 7 ] shared-secret [ pac ]] [ accounting ]
[ acct-port port-number ] [ auth-port port-number ] [ authentication ] [ retransmit count ]
[ test { idle-time time | password password | username name }]
[ timeout seconds [ retransmit count ]]
no radius-server host { hostname | ipv4-address | ipv6-address }
[ key [ 0 | 7 ] shared-secret [ pac ]] [ accounting ]
[ acct-port port-number ] [ auth-port port-number ] [ authentication ] [ retransmit count ]
[ test { idle-time time | password password | username name }]
[ timeout seconds [ retransmit count ]]
|
|
次に、RADIUS サーバの認証とアカウンティングのパラメータを設定する例を示します。
|
|
---|---|
RADIUS 共有秘密鍵を設定するには、 radius-server key コマンドを使用します。設定した共有秘密鍵を削除するには、このコマンドの no 形式を使用します。
radius-server key [ 0 | 7 ] shared-secret
no radius-server key [ 0 | 7 ] shared-secret
RADIUS クライアントとサーバ間の通信を認証するために使用される事前共有鍵。事前共有鍵には、出力可能な ASCII 文字の使用が可能です(空白文字は使用できません)。大文字と小文字が区別され、最大文字数は 63 です。 |
|
|
RADIUS 事前共有鍵を設定して、RADIUS サーバに対してスイッチを認証する必要があります。鍵の長さは 65 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。グローバル鍵は、スイッチにあるすべての RADIUS サーバ コンフィギュレーションで使用するよう設定できます。 radius-server host コマンドで key キーワードを使用することでこのグローバル鍵の割り当てを上書きできます。
次に、RADIUS 認証を設定する各種のシナリオを提供する例を示します。
|
|
---|---|
スイッチが RADIUS サーバで要求を試行する回数を指定するには、 radius-server retransmit コマンドを使用する必要があります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server retransmit count
no radius-server retransmit count
|
|
次に、RADIUS サーバに再送信回数を設定する例を示します。
次に、RADIUS サーバに再送信のデフォルト数を設定する例を示します。
|
|
---|---|
RADIUS サーバへの再送信間隔を指定するには、 radius-server timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no radius-server timeout seconds
|
|
|
|
---|---|
IPv4 または MAC アクセス コントロール リスト(ACL)にコメントを入力するには、 remark コマンドを使用します。 remark コマンドを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] remark remark
no { sequence-number | remark remark }
|
|
remark 引数には、最大 100 文字を指定できます。 remark 引数に 100 を超える文字を入力すると、スイッチは最初の 100 文字を受け入れ、後の文字を廃棄します。
次に、IPv4 ACL にリマークを作成して、結果を表示する例を示します。
|
|
---|---|
アクセス コントロール リスト(ACL)のすべてのルールまたは時間の範囲にシーケンス番号を再度割り当てるには、 resequence コマンドを使用します。
resequence access-list-type access-list access-list-name starting-number increment
resequence time-range time-range-name starting-number increment
|
|
resequence コマンドを使用すると、ACL のルールまたは時間の範囲にシーケンス番号を再度割り当てることができます。最初のルールの新しいシーケンス番号は、 starting-number 引数によって決まります。その他の各ルールは、 increment 引数によって決まる新しいシーケンス番号を受け取ります。最大シーケンス番号がシーケンス番号の許容最大値を超えると、シーケンスが実行されず、次のメッセージが表示されます。
次に、 show ip access-lists コマンドを使用して、100 のシーケンス番号で開始し、10 ずつ増える ip-acl-01 という名前の IPv4 ACL のシーケンスを再度実行し、 resequence コマンドの使用の前後のシーケンス番号を確認する例を示します。
|
|
---|---|
ユーザ ロール機能グループを作成または指定し、ユーザ ロール機能グループ コンフィギュレーション モードを開始するには、 role feature-group name コマンドを使用します。ユーザ ロール機能グループを削除するには、このコマンドの no 形式を使用します。
role feature-group name group-name
no role feature-group name group-name
ユーザ ロール機能グループ名。 group-name の最大文字数は 32 で、大文字と小文字が区別され、英数字文字列で指定します。 |
|
|
次に、ユーザ ロール機能グループを作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
ユーザ ロール機能グループを指定または作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始します。 |
|
ユーザ ロールを作成または指定し、ユーザ ロール コンフィギュレーション モードを開始するには、 role name コマンドを使用します。ユーザ ロールを削除するには、このコマンドの no 形式を使用します。
|
|
Cisco Nexus 5000 シリーズ スイッチには、次のデフォルトのユーザ ロールがあります。
次に、ユーザ ロールを作成して、ユーザ ロール コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
ユーザ ロールのルールを設定するには、 rule コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
rule number { deny | permit } { command command-string | { read | read-write } [ feature feature-name | feature-group group-name ]}
(任意)機能名を指定します。スイッチの機能名を表示するには、 show role feature コマンドを使用します。 |
|
|
|
指定するルール番号は、適用したルールの順序を決めます。ルールは降順で適用されます。たとえば、ロールに 3 つのルールがある場合、ルール 3、ルール 2、ルール 1 の順に適用されます。
|
|
---|---|
RADIUS サーバ グループまたは TACACS+ サーバ グループにサーバを追加するには、 server コマンドを使用します。サーバ グループからサーバを削除するには、このコマンドの no 形式を使用します。
server { ipv4-address | ipv6-address | hostname }
no server { ipv4-address | ipv6-address | hostname }
RADlUS サーバ グループ コンフィギュレーション モード
TACACS+ サーバ グループ コンフィギュレーション モード
|
|
RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。TACACS+ サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server tacacs+ コマンドを使用します。
サーバを検索できなかった場合、 radius-server host コマンドまたは tacacs-server host コマンドを使用してサーバを設定します。
(注) TACACS+ を設定する前に、feature tacacs+ コマンドを使用する必要があります。
次に、RADIUS サーバ グループにサーバを追加する例を示します。
次に、RADIUS サーバ グループからサーバを削除する例を示します。
次に、TACACS+ サーバ グループにサーバを追加する例を示します。
次に、TACACS+ サーバ グループからサーバを削除する例を示します。
|
|
---|---|
認証、認可、アカウンティング(AAA)アカウンティング設定を表示するには、 show aaa accounting コマンドを使用します。
|
|
|
|
---|---|
認証、認可、アカウンティング(AAA)の認証設定情報を表示するには、show aaa authentication コマンドを使用します。
show aaa authentication login [ error-enable | mschap ]
(任意)認証ログイン マイクロソフト チャレンジ ハンドシェーク認証プロトコル(MS-CHAP)イネーブル コンフィギュレーションを表示します。 |
|
|
次に、認証ログイン エラー イネーブル コンフィギュレーションを表示する例を示します。
次に、認証ログイン MS-CHAP コンフィギュレーションを表示する例を示します。
|
|
---|---|
AAA 認可設定情報を表示するには、 show aaa authorization コマンドを使用します。
show aaa authorization [ all ]
|
|
---|---|
次に、設定コマンドでデフォルト AAA 認可方式に戻す例を示します。
|
|
---|---|
認証、認可、アカウンティング(AAA)サーバ グループ コンフィギュレーションを表示するには、 show aaa groups コマンドを使用します。
|
|
|
|
---|---|
すべての IPv4 アクセス コントロール リスト(ACL)および MAC ACL、または特定の ACL を表示するには、 show access-lists コマンドを使用します。
show access-lists [ access-list-name ]
access-list-name 引数を使用して ACL を指定する場合を除いて、スイッチはすべての ACL を表示します。
|
|
次に、スイッチ上のすべての IPv4 ACL および MAC ACL を表示する例を示します。
|
|
---|---|
アカウンティングのログ内容を表示するには、 show accounting log コマンドを使用します。
show accounting log [ size ] [ start-time year month day HH : MM : SS ] [ end-time year month day HH : MM : SS ]
|
|
次に、アカウンティング ログの 400 バイトを表示する例を示します。
次に、2008 年 2 月 16 日の 16:00:00 に開始するアカウンティング ログを表示する例を示します。
次に、2008 年 2 月 1 日 15:59:59 に開始し、2008 年 2 月 29 日 16:00:00 に終了するアカウンティング ログを表示する例を示します。
|
|
---|---|
すべての IPv4 アクセス コントロール リスト(ACL)または特定の IPv4 ACL を表示するには、 show ip access-lists コマンドを使用します。
show ip access-lists [ access-list-name ]
access-list-name 引数を使用して ACL を指定する場合を除いて、スイッチはすべての IPv4 ACL を表示します。
|
|
次に、スイッチ上のすべての IPv4 ACL を表示する例を示します。
|
|
---|---|
すべての IPv6 アクセス コントロール リスト(ACL)または特定の IPv6 ACL を表示するには、 show ipv6 access-lists コマンドを使用します。
show ipv6 access-lists [ access-list-name ] [ expanded | summary ]
(任意)オブジェクト グループの名前だけでなく、IPv6 アドレス グループまたはポート グループの内容を表示するように指定します。 |
|
(任意)コマンドが ACL 設定ではなく、ACL に関する情報を表示するように指定します。詳細については、「使用上のガイドライン」のセクションを参照してください。 |
|
|
access-list-name 引数を使用して ACL を指定する場合を除いて、デバイスはすべての IPv6 ACL を表示します。
summary キーワードを使用すると、ACL 設定ではなく ACL に関する情報を表示できます。表示される情報には、次の内容が含まれます。
• エントリ単位の統計情報が ACL に対して設定されているかどうか。
• ACL 設定内のルール数。この数は、デバイスがインターフェイスに適用されるときに ACL 内に含まれるエントリ数を反映しません。ACL 内のルールがオブジェクト グループを使用する場合、適用されるときの ACL 内のエントリ数は、ルール数よりはるかに大きくなることがあります。
show ipv6 access-lists コマンドは、次の両方の状態が真の場合に、ACL 内の各エントリの統計情報を表示します。
次に、スイッチ上のすべての IPv6 ACL を表示する例を示します。
|
|
---|---|
すべてのメディア アクセス制御(MAC)アクセス コントロール リスト(ACL)または特定の MAC ACL を表示するには、 show mac access-lists コマンドを使用します。
show mac access-lists [ access-list-name ]
access-list-name 引数を使用して ACL を指定する場合を除いて、スイッチはすべての MAC ACL を表示します。
|
|
次に、スイッチ上のすべての MAC ACL を表示する例を示します。
|
|
---|---|
RADIUS サーバ情報を表示するには、 show radius-server コマンドを表示します。
show radius-server [ hostname | ipv4-address | ipv6-address ] [ directed-request | groups [ group-name ] | sorted | statistics hostname | ipv4-address | ipv6-address ]
(任意)RADIUS サーバのドメイン ネーム サーバ(DNS)名。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 256 です。 |
|
(任意)設定された RADIUS サーバ グループに関する情報を表示します。 group-name を入力して、特定の RADIUS サーバ グループに関する情報を表示します。 |
|
|
|
RADIUS 事前共有鍵は、 show radius-server コマンド出力には表示されません。RADIUS 事前共有鍵を表示するには、 show running-config radius コマンドを使用します。
次に、すべての RADIUS サーバの情報を表示する例を示します。
次に、指定された RADIUS サーバの情報を表示する例を示します。
次に、RADIUS サーバ グループの情報を表示する例を示します。
次に、指定された RADIUS サーバ グループの情報を表示する例を示します。
次に、すべての RADIUS サーバのソートされた情報を表示する例を示します。
次に、指定された RADIUS サーバの統計情報を表示する例を示します。
|
|
---|---|
ユーザ ロール設定を表示するには、 show role コマンドを使用します。
|
|
|
|
---|---|
ユーザ ロール機能を表示するには、 show role feature コマンドを使用します。
show role feature [ detail | name feature-name ]
|
|
次に、すべてのユーザ ロール機能の詳細情報を表示する例を示します。
次に、特定のユーザ ロール機能の詳細情報を表示する例を示します。
|
|
---|---|
ユーザ ロール機能グループを表示するには、 show role feature-group コマンドを使用します。
show role feature-group [ detail | name group-name ]
|
|
次に、すべてのユーザ ロール機能グループに関する詳細情報を表示する例を示します。
次に、特定のユーザ ロール機能グループの情報を表示する例を示します。
|
|
---|---|
実行コンフィギュレーションの認証、認可、アカウンティング(AAA)設定情報を表示するには、 show running-config aaa コマンドを使用します。
show running-config aaa [ all ]
|
|
次に、実行コンフィギュレーションの設定済み AAA 情報を表示する例を示します。
実行コンフィギュレーションの RADIUS サーバ情報を表示するには、 show running-config radius コマンドを使用します。
show running-config radius [ all ]
|
|
次に、実行コンフィギュレーションの RADIUS の情報を表示する例を示します。
|
|
---|---|
実行コンフィギュレーションのユーザ アカウント、Secure Shell(SSH; セキュア シェル)サーバ、および Telnet サーバ情報を表示するには、 show running-config security コマンドを使用します。
show running-config security [ all ]
(任意)デフォルトのユーザ アカウント、SSH サーバ、および Telnet サーバ コンフィギュレーション情報を表示します。 |
|
|
次に、実行コンフィギュレーションのユーザ アカウント、SSH サーバ、および Telnet サーバ情報を表示する例を示します。
セキュア シェル(SSH)サーバ鍵を表示するには、 show ssh key コマンドを使用します。
|
|
|
|
---|---|
セキュア シェル(SSH)サーバ ステータスを表示するには、 sshow ssh server コマンドを使用します。
|
|
|
|
---|---|
スタートアップ コンフィギュレーションの認証、認可、アカウンティング(AAA)設定情報を表示するには、 show startup-config aaa コマンドを使用します。
|
|
次に、スタートアップ コンフィギュレーションの AAA 情報を表示する例を示します。
スタートアップ コンフィギュレーションの RADIUS 設定情報を表示するには、 show startup-config radius コマンドを使用します。
|
|
次に、スタートアップ コンフィギュレーションの RADIUS 情報を表示する例を示します。
スタートアップ コンフィギュレーションのユーザ アカウント、セキュア シェル(SSH)サーバ、および Telnet サーバ コンフィギュレーション情報を表示するには、 show startup-config security コマンドを使用します。
|
|
次に、スタートアップ コンフィギュレーションのユーザ アカウント、SSH サーバ、および Telnet サーバ情報を表示する例を示します。
TACACS+ サーバ情報を表示するには、 show tacacs-server コマンドを表示します。
show tacacs-server [ hostname | ip4-address | ip6-address ] [ directed-request | groups | sorted | statistics ]
|
|
TACACS+ 事前共有鍵は、 show tacacs-server コマンド出力には表示されません。TACACS+ 事前共有鍵を表示するには、 show running-config tacacs+ コマンドを使用します。
次に、すべての TACACS+ サーバの情報を表示する例を示します。
次に、指定された TACACS+ サーバの情報を表示する例を示します。
次に、TACACS+ サーバ グループの情報を表示する例を示します。
次に、指定された TACACS+ サーバ グループの情報を表示する例を示します。
次に、すべての TACACS+ サーバのソートされた情報を表示する例を示します。
次に、指定された TACACS+ サーバの統計情報を表示する例を示します。
|
|
---|---|
Telnet サーバ ステータスを表示するには、 show telnet server コマンドを使用します。
|
|
次に、Telnet サーバ ステータスを表示する例を示します。
|
|
---|---|
スイッチ上のユーザ アカウントに関する情報を表示するには、 show user-account コマンドを使用します。
show show user-account [ name ]
|
|
---|---|
スイッチで定義されているすべてのユーザ アカウントに関する情報を表示する例を示します。
次に、特定のユーザ アカウントに関する情報を表示する例を示します。
現在スイッチにログインしているユーザを表示するには、 show users コマンドを使用します。
|
|
---|---|
次に、現在スイッチにログインしているすべてのユーザを表示する例を示します。
|
|
---|---|
IPv4 アクセス コントロール リスト(ACL)の内容、または特定の VLAN アクセス マップに関連付けられている MAC ACL を表示するには、 show vlan access-list コマンドを使用します。
show vlan access-list map-name
|
|
指定した VLAN アクセス マップについて、スイッチはアクセス マップ名とマップに関連付けられた ACL の内容を表示します。
次に、指定した VLAN アクセス マップに関連付けられた ACL の内容を表示する例を示します。
|
|
---|---|
すべての VLAN アクセス マップまたは 1 つの VLAN アクセス マップを表示するには、 show vlan access-map コマンドを使用します。
show vlan access-map [ map-name ]
map-name 引数を使用して特定のアクセス マップを選択する場合を除いて、スイッチはすべての VLAN アクセス マップを表示します。
|
|
表示される各 VLAN アクセス マップに対して、スイッチはアクセス マップ名、 match コマンドで指定された ACL、および action コマンドで指定された処理を表示します。
VLAN アクセス マップが適用されている VLAN を確認するには、 show vlan filter コマンドを使用します。
次に、特定の VLAN アクセス マップを表示する例を示します。
次に、すべての VLAN アクセス マップを表示する例を示します。
|
|
---|---|
コマンドによって影響される VLAN アクセス マップおよび VLAN ID を含めて、 vlan filter コマンドのインスタンスに関する情報を表示するには、 show vlan filter コマンドを使用します。
show vlan filter [ access-map map-name | vlan vlan-id ]
access-map キーワードを使用してアクセス マップを指定する場合、または vlan キーワードを使用して VLAN ID を指定する場合を除いて、VLAN に適用されている VLAN アクセス マップのすべてのインスタンスが表示されます。
|
|
次に、スイッチのすべての VLAN アクセス マップ情報を表示する例を示します。
|
|
---|---|
IPv4 を使用してセキュア シェル(SSH)セッションを作成するには、 ssh コマンドを使用します。
ssh [ username@ ]{ ipv4-address | hostname } [ vrf vrf-name ]
|
|
次に、IPv4 を使用して SSH セッションを開始する例を示します。
|
|
---|---|
IPv6 を使用してセキュア シェル(SSH)セッションを作成するには、 ssh6 コマンドを使用します。
ssh6 [ username@ ]{ ipv6-address | hostname } [ vrf vrf-name ]
|
|
次に、IPv6 を使用して SSH セッションを開始する例を示します。
|
|
---|---|
セキュア シェル(SSH)サーバ鍵を作成するには、 ssh key コマンドを使用します。SSH サーバ鍵を削除するには、このコマンドの no 形式を使用します。
ssh key { dsa [ force ] | rsa [ length [ force ]]}
|
|
Cisco NX-OS ソフトウェアは SSH バージョン 2 をサポートしています。
SSH サーバ鍵を削除または交換する場合、 no ssh server enable コマンドを使用してまず SSH サーバをディセーブルにする必要があります。
次に、デフォルトの鍵の長さで RSA を使用して SSH サーバ鍵を作成する例を示します。
次に、指定した鍵の長さで RSA を使用して SSH サーバ鍵を作成する例を示します。
次に、force オプションで DSA を使用して SSH サーバ鍵を交換する例を示します。
|
|
---|---|
セキュア シェル(SSH)サーバをイネーブルにするには、 ssh server enable コマンドを使用します。SSH サーバをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
|
|
---|---|
トラフィック ストーム制御の抑制レベルを設定するには、 storm-control level コマンドを使用します。抑制モードをオフにしたり、デフォルトの設定に戻したりするには、このコマンドの no 形式を使用します。
storm-control { broadcast | multicast | unicast } level percentage [ . fraction ]
no storm-control { broadcast | multicast | unicast } level
|
|
storm-control level コマンドを入力して、インターフェイス上のトラフィック ストーム制御をイネーブルにし、トラフィック ストーム制御レベルを設定し、インターフェイスでイネーブルにされているすべてのトラフィック ストーム制御モードにトラフィック ストーム制御レベルを適用します。
端数の抑制レベルを入力する場合、ピリオド(.)が必要になります。
抑制レベルは、合計帯域幅の割合です。100% のしきい値は、トラフィックに制限がないことを意味します。0 または 0.0(端数)% のしきい値は、指定されたすべてのトラフィックがポートでブロックされることを意味します。
廃棄カウントを表示するには、 show interfaces counters storm-control コマンドを使用します。
指定したトラフィック タイプの抑制をオフにするには、次のいずれかの方式を使用します。
次に、ブロードキャスト トラフィックの抑制をイネーブルにし、抑制しきい値レベルを設定する例を示します。
次に、マルチキャスト トラフィックの抑制モードをディセーブルにする例を示します。
|
|
---|---|
応答性について到達不能(非応答)TACACS+ サーバを監視する定期的な時間間隔を設定するには、 tacacs-server deadtime コマンドを使用します。非応答 TACACS+ サーバのモニタリングをディセーブルにするには、このコマンドの no 形式を使用します。
tacacs -server deadtime minutes
no tacacs -server deadtime minutes
|
|
時間間隔の設定をゼロにすると、タイマーがディセーブルになります。個別の TACACS+ サーバのデッド タイム間隔がゼロ(0)よりも大きい場合は、サーバ グループに設定された値よりもその値が優先されます。
デッド タイム間隔が 0 分の場合、TACACS+ サーバがサーバ グループの一部でグループのデッド タイム間隔が 0 分を超えていない限り、TACACS+ サーバ モニタリングは実行されません。
次に、デッド タイム間隔を設定して、定期的なモニタリングをイネーブルにする例を示します。
次に、デッド タイム間隔をデフォルトに戻して、定期的なモニタリングをディセーブルにする例を示します。
|
|
---|---|
非応答 RADIUS サーバ グループまたは TACACS+ サーバ グループをモニタリングするデッド タイム間隔を設定します。 |
|
ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できるようにするには、 tacacs-server directed-request コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
tacacs -server directed-request
no tacacs -server directed-request
|
|
TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。
ログイン中に username@vrfname : hostname を指定できます。vrfname は使用する VRF、hostname は設定された TACACS+ サーバ名です。ユーザ名が認証用にサーバ名に送信されます。
次に、ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できるようにする例を示します。
次に、ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できないようにする例を示します。
|
|
---|---|
TACACS+ サーバ ホスト パラメータを設定するには、 tacacs-server host コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
tacacs-server host { hostname | ipv4-address | ipv6-address } [ key [ 0 | 7 ] shared-secret ] [ port port-number ] [ test { idle-time time | password password | username name }] [ timeout seconds ]
no tacacs-server host { hostname | ipv4-address | ipv6-address } [ key [ 0 | 7 ] shared-secret ] [ port port-number ] [ test { idle-time time | password password | username name }] [ timeout seconds ]
|
|
次に、TACACS+ サーバ ホスト パラメータを設定する例を示します。
|
|
---|---|
グローバル TACACS+ 共有秘密鍵を設定するには、 tacacs-server key コマンドを使用します。設定した共有秘密鍵を削除するには、このコマンドの no 形式を使用します。
tacacs-server key [ 0 | 7 ] shared-secret
no tacacs-server key [ 0 | 7 ] shared-secret
(任意)TACACS+ クライアントとサーバ間の通信を認証する、クリア テキストで指定された事前共有鍵を設定します。これはデフォルトです。 |
|
TACACS+ クライアントとサーバ間の通信を認証する事前共有鍵。事前共有鍵は、英数字で指定します。大文字と小文字が区別され、最大文字数は 63 です。 |
|
|
TACACS+ サーバに対してスイッチを認証するには、TACACS+ 事前共有鍵を設定する必要があります。鍵の長さは 65 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。グローバル鍵を設定して、スイッチにあるすべての TACACS+ サーバ コンフィギュレーションで使用するようにできます。 tacacs-server host コマンドで key キーワードを使用することで、このグローバル鍵の割り当てを上書きできます。
次に、TACACS+ サーバ共有鍵を表示および設定する例を示します。
|
|
---|---|
TACACS+ サーバへの再送信間隔を指定するには、 tacacs-server timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no tacacs-server timeout seconds
|
|
次に、TACACS+ サーバのタイムアウト値を設定する例を示します。
次に、デフォルトの TACACS+ サーバのタイムアウト値に戻す例を示します。
|
|
---|---|
Cisco Nexus 5000 シリーズ スイッチで IPv4 を使用して Telnet セッションを作成するには、 telnet コマンドを使用します。
telnet { ipv4-address | hostname } [ port-number ] [ vrf vrf-name ]
(任意)Telnet セッションで使用する VRF 名を指定します。名前は、大文字と小文字が区別され、最大文字数は 32 です。 |
|
|
次に、IPv4 を使用して Telnet セッションを開始する例を示します。
|
|
---|---|
Telnet サーバをイネーブルにするには、 telnet server enable コマンドを使用します。Telnet サーバをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
次に、Telnet サーバをディセーブルにする例を示します。
|
|
---|---|
Cisco NX-OS スイッチで IPv6 を使用して Telnet セッションを作成するには、 telnet6 コマンドを使用します。
telnet6 { ipv6-address | hostname } [ port-number ] [ vrf vrf-name ]
(任意)Telnet セッションで使用する仮想ルーティングおよび転送(VRF)名を指定します。名前では、大文字と小文字が区別されます。 |
|
|
このコマンドを使用するには、 telnet server enable コマンドを使用して Telnet サーバをイネーブルにする必要があります。
次に、IPv6 アドレスで Telnet セッションを開始する例を示します。
|
|
---|---|
RADIUS または TACACS+ サーバ グループの仮想ルーティングおよび転送(VRF)インスタンスを指定するには、 use-vrf コマンドを使用します。VRF インスタンスを削除するには、このコマンドの no 形式を使用します。
RADlUS サーバ グループ コンフィギュレーション モード
TACACS+ サーバ グループ コンフィギュレーション モード
|
|
サーバ グループに設定できるのは、1 つの VRF インスタンスだけです。
RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。あるいは、TACACS+ サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server tacacs+ コマンドを使用します。
サーバを検索できなかった場合、 radius-server host コマンドまたは tacacs-server host コマンドを使用してサーバを設定します。
次に、RADIUS サーバ グループの VRF インスタンスを指定する例を示します。
次に、TACACS+ サーバ グループの VRF インスタンスを指定する例を示します。
次に、TACACS+ サーバ グループから VRF インスタンスを削除する例を示します。
|
|
---|---|
ユーザ アカウントを作成および設定するには、 username コマンドを使用します。ユーザ アカウントを削除するには、このコマンドの no 形式を使用します。
username user-id [ expire date ] [ password password ] [ role role-name ]
username user-id sshkey { key | filename filename }
|
|
スイッチは強力なパスワードだけを受け入れます。強力なパスワードは、次の特性を備えています。
• 複数の同じ文字の繰返し(「aaabbb」など)を含んでいない
次に、パスワードを使用してユーザ アカウントを作成する例を示します。
次に、ユーザ アカウントの SSH 鍵を設定する例を示します。
|
|
---|---|
新規の VLAN アクセス マップを作成したり、既存の VLAN アクセス マップを設定したりするには、 vlan access-map コマンドを使用します。VLAN アクセス マップを削除するには、このコマンドの no 形式を使用します。
作成または設定する VLAN アクセス マップ名。名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。 |
|
|
各 VLAN アクセス マップには、1 つの match コマンドと 1 つの action コマンドを含めることができます。
次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。
|
|
---|---|
VLAN アクセス マップを 1 つ以上の VLAN に適用するには、 vlan filter コマンドを使用します。VLAN アクセス マップの適用を解除するには、このコマンドの no 形式を使用します。
vlan filter map-name vlan-list VLAN-list
no vlan filter map-name [ vlan-list VLAN-list ]
|
|
1 つ以上の VLAN に VLAN アクセス マップを適用できます。
VLAN に適用できるのは、1 つの VLAN アクセス マップだけです。
このコマンドの no 形式を使用すると、アクセス マップを適用したときに指定したすべてまたは一部分の VLAN リストから VLAN アクセス マップの適用を解除できます。適用されたすべての VLAN からアクセス マップの適用を解除する場合、 VLAN-list 引数を省略できます。現在適用されている VLAN のサブセットからアクセス マップの適用を解除する場合、 VLAN-list 引数を使用して、アクセス マップを削除する必要がある VLAN を指定します。
次に、vlan-map-01 という名前の VLAN アクセス マップを VLAN 20 ~ 45 に適用する例を示します。
|
|
---|---|
ユーザ ロールの VLAN ポリシー コンフィギュレーション モードを開始するには、 vlan policy deny コマンドを使用します。ユーザ ロールのデフォルトの VLAN ポリシーに戻すには、このコマンドの no 形式を使用します。
|
|
次に、ユーザ ロールの VLAN ポリシー コンフィギュレーション モードを開始する例を示します。
次に、ユーザ ロールのデフォルトの VLAN ポリシーに戻す例を示します。
|
|
---|---|
ユーザ ロールの仮想ルーティングおよび転送(VRF)インスタンス ポリシー コンフィギュレーション モードを開始するには、 vrf policy deny コマンドを使用します。ユーザ ロールのデフォルトの VRF ポリシーに戻すには、このコマンドの no 形式を使用します。
|
|
次に、ユーザ ロールの VRF ポリシー コンフィギュレーション モードを開始する例を示します。
次に、ユーザ ロールのデフォルトの VRF ポリシーに戻す例を示します。
|
|
---|---|