V コマンド
この章では、V で始まる Cisco NX-OS セキュリティ コマンドについて説明します。
vlan access-map
新規の VLAN アクセス マップ エントリを作成したり、既存の VLAN アクセスマップ エントリを設定したりするには、 vlan access-map コマンドを使用します。VLAN アクセス マップ エントリを削除するには、このコマンドの no 形式を使用します。
vlan access-map map-name [ sequence-number ]
no vlan access-map map-name [ sequence-number ]
構文の説明
sequence-number |
(任意)作成中または編集中の VLAN アクセス マップ エントリのシーケンス番号。 シーケンス番号には、1 ~ 4294967295 の間の整数を指定できます。 デフォルトでは、VLAN アクセス マップの最初のエントリに、シーケンス番号 10 が割り当てられます。 シーケンス番号を指定しないと、VLAN アクセス マップの最後にルールが追加され、1 つ前のエントリのシーケンス番号に 10 を加算した値が、シーケンス番号として割り当てられます。 このコマンドの no 形式を使用する場合、 sequence-number 引数を使用して、削除するエントリを指定します。VLAN アクセス マップ全体を削除する場合は、 sequence-number 引数を省略します。 |
map-name |
作成または設定する VLAN アクセス マップ名。 map-name 引数は、最大で 64 文字の英数字を使用でき、大文字と小文字が区別されます。 |
コマンド モード
グローバル コンフィギュレーション
network-admin
vdc-admin
使用上のガイドライン
それぞれの VLAN アクセス マップ エントリには、1 つの action コマンドと 1 つまたは複数の match コマンドを含めることができます。
VLAN アクセス マップ エントリの統計情報を記録するようデバイスを設定するには、 statistics per-entry コマンドを使用します。
このコマンドには、ライセンスは必要ありません。
例
次の例では、vlan-map-01 という名前の VLAN アクセス マップを作成し、それぞれに 2 つの match コマンドと 1 つの action コマンドがある 2 つのエントリを追加し、2 番目のエントリに一致するパケットの統計情報をイネーブルにする方法を示します。
switch(config)# vlan access-map vlan-map-01
switch(config-access-map)# match ip address ip-acl-01
switch(config-access-map)# action forward
switch(config-access-map)# match mac address mac-acl-00f
switch(config-access-map)# vlan access-map vlan-map-01
switch(config-access-map)# match ip address ip-acl-320
switch(config-access-map)# match mac address mac-acl-00e
switch(config-access-map)# action drop
switch(config-access-map)# statistics per-entry
switch(config-access-map)# show vlan access-map
Vlan access-map vlan-map-01 10
Vlan access-map vlan-map-01 20
関連コマンド
|
|
action |
VLAN アクセス マップにトラフィック フィルタリングのアクションを指定します。 |
match |
VLAN アクセス マップにトラフィック フィルタリングの ACL を指定します。 |
show vlan access-map |
すべての VLAN アクセス マップまたは 1 つの VLAN アクセス マップを表示します。 |
show vlan filter |
VLAN アクセス マップが適用されている方法に関する情報を表示します。 |
statistics per-entry |
ACL の各エントリの統計情報の収集をイネーブルにします。 |
vlan filter |
1 つ以上の VLAN に VLAN アクセス マップを適用します。 |
vlan filter
VLAN アクセス マップを 1 つ以上の VLAN に適用するには、 vlan filter コマンドを使用します。VLAN アクセス マップの適用を解除するには、このコマンドの no 形式を使用します。
vlan filter map-name vlan-list VLAN-list
no vlan filter map-name vlan-list VLAN-list
構文の説明
map-name |
作成または設定する VLAN アクセス マップ名 |
vlan-list VLAN-list |
VLAN アクセス マップがフィルタリングする 1 つまたは複数の VLAN の ID を指定します。有効な VLAN ID は、1 ~ 4096 です。 ハイフン(-)を使用して、VLAN ID の範囲の開始 ID と終了 ID を区別します(たとえば、70-100)。 カンマ(,)を使用して、各 VLAN ID および VLAN ID の範囲を区別します(たとえば、20,70-100,142)。 引数を省略できます。この引数を省略する場合、デバイスはアクセス マップが適用されているすべての VLAN からアクセス マップを削除します。 |
コマンド モード
グローバル コンフィギュレーション
network-admin
vdc-admin
使用上のガイドライン
1 つ以上の VLAN に VLAN アクセス マップを適用できます。
VLAN に適用できるのは、1 つの VLAN アクセス マップだけです。
このコマンドの no 形式を使用すると、アクセス マップを適用したときに指定したすべてまたは一部分の VLAN リストから VLAN アクセス マップの適用を解除できます。適用されたすべての VLAN からアクセス マップの適用を解除する場合、 VLAN-list 引数を省略できます。現在適用されている VLAN のサブセットからアクセス マップの適用を解除する場合、 VLAN-list 引数を使用して、アクセス マップを削除する必要がある VLAN を指定します。
このコマンドには、ライセンスは必要ありません。
例
次に、vlan-map-01 という名前の VLAN アクセス マップを VLAN 20 ~ 45 に適用する例を示します。
switch(config)# vlan filter vlan-map-01 20-45
次に、このコマンドの no 形式を使用して、vlan-map-01 という名前の VLAN アクセス マップの適用を VLAN 30 ~ 32 から解除する例を示します(VLAN 20 ~ 29、33 ~ 45 に適用されたアクセス マップはそのまま残します)。
Configured on VLANs: 20-45
switch(config)# no vlan filter vlan-map-01 30-32
Configured on VLANs: 20-29,33-45
関連コマンド
|
|
action |
VLAN アクセス マップにトラフィック フィルタリングのアクションを指定します。 |
match |
VLAN アクセス マップにトラフィック フィルタリングの ACL を指定します。 |
show vlan access-map |
すべての VLAN アクセス マップまたは 1 つの VLAN アクセス マップを表示します。 |
show vlan filter |
VLAN アクセス マップが適用されている方法に関する情報を表示します。 |
vlan access-map |
VLAN アクセス マップを設定します。 |
vlan policy deny
ユーザ ロールの VLAN ポリシー コンフィギュレーション モードを開始するには、 vlan policy deny コマンドを使用します。ユーザ ロールのデフォルトの VLAN ポリシーに戻すには、このコマンドの no 形式を使用します。
vlan policy deny
no vlan policy deny
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
ユーザ ロール コンフィギュレーション
network-admin
vdc-admin
使用上のガイドライン
このコマンドは、ユーザ ロール VLAN ポリシー コンフィギュレーション モードで permit vlan コマンドを使用して許可する VLAN を除くすべての VLAN を拒否します。
このコマンドには、ライセンスは必要ありません。
例
次に、ユーザ ロールのユーザ ロール VLAN ポリシー コンフィギュレーション モードを開始する例を示します。
switch(config)# role name MyRole
switch(config-role)# vlan policy deny
switch(config-role-vlan)#
次に、ユーザ ロールのデフォルトの VLAN ポリシーに戻す例を示します。
switch(config)# role name MyRole
switch(config-role)# no vlan policy deny
関連コマンド
|
|
permit vlan |
ユーザ ロール VLAN ポリシーの VLAN を許可します。 |
role name |
ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを開始します。 |
show role |
ユーザ ロールの情報を表示します。 |
vrf policy deny
ユーザ ロールの仮想ルーティングおよび転送(VRF)インスタンス ポリシー コンフィギュレーション モードを開始するには、 vrf policy deny コマンドを使用します。ユーザ ロールのデフォルトの VRF ポリシーに戻すには、このコマンドの no 形式を使用します。
vrf policy deny
no vrf policy deny
構文の説明
このコマンドには、引数またはキーワードはありません。
コマンド モード
ユーザ ロール コンフィギュレーション
network-admin
vdc-admin
使用上のガイドライン
このコマンドは、ユーザ ロール VRF ポリシー コンフィギュレーション モードで permit vrf コマンドを使用して許可する VRF を除くすべての VRF を拒否します。
このコマンドには、ライセンスは必要ありません。
例
次に、ユーザ ロールの VRF ポリシー コンフィギュレーション モードを開始する例を示します。
switch(config)# role name MyRole
switch(config-role)# vrf policy deny
次に、ユーザ ロールのデフォルトの VRF ポリシーに戻す例を示します。
switch(config)# role name MyRole
switch(config-role)# no vrf policy deny
関連コマンド
|
|
vrf permit |
ユーザ ロール VRF ポリシーの VRF を許可します。 |
role name |
ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを開始します。 |
show role |
ユーザ ロールの情報を表示します。 |