Cisco Nexus 5000 シリーズ NX-OS コマンド リファレンス Cisco NX-OS Release 4.1(3)N1(1)、4.1(3)N1(1a)、4.1(3)N2(1)、4.2(1)N1(1)、4.2(1)N2(1)

 

構文の説明

 

コマンド デフォルト

ローカル データベースがデフォルトです。

 

コマンド履歴

 

使用上のガイドライン

group group-list メソッドは、以前に定義された一連の RADIUS サーバまたは TACACS+ サーバを参照します。ホスト サーバを設定するには、 radius server-host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。

group 方式または local 方式を指定した場合にその方式が失敗すると、アカウンティング認証は失敗する可能性があります。

例

次に、AAA アカウンティングに任意の RADIUS サーバを設定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

ローカル データベース

 

コマンド履歴

 

使用上のガイドライン

group radius、group tacacs+ 、および group group-list の各方式は、以前に定義された一連の RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドまたは tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。

group 方式または local 方式を指定した場合にその方式が失敗すると、認証は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。

例

次に、コンソール ログインの AAA 認証方式を設定する例を示します。

次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

ローカル データベース

 

コマンド履歴

 

使用上のガイドライン

group radius、group tacacs+ 、および group group-list の各方式は、以前に定義された一連の RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドまたは tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。

group 方式または local 方式を指定した場合にその方式が失敗すると、認証は失敗します。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。

例

次に、コンソール ログインの AAA 認証方式を設定する例を示します。

次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

コマンド デフォルト

ディセーブル

 

コマンド履歴

 

使用上のガイドライン

ログイン時にリモート AAA サーバからの応答がない場合には、ローカル ユーザ データベースへのロールオーバーによってログインが処理されます。このような状況では、ログイン失敗メッセージの表示がイネーブルに設定されている場合、次のメッセージが表示されます。

例

次に、AAA 認証失敗メッセージのコンソールへの表示をイネーブルにする例を示します。

次に、AAA 認証失敗メッセージのコンソールへの表示をディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

コマンド デフォルト

ディセーブル

 

コマンド履歴

例

次に、MS-CHAP 認証をイネーブルにする例を示します。

次に、MS-CHAP 認証をディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。

group tacacs+ 方式および group group-list 方式は、以前に定義された一連の TACACS+ サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。

複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local または none を設定済みの場合、local 方式または none 方式だけが使用されます。

group 方式または local 方式を指定した場合にその方式が失敗すると、認可は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認可は常に成功します。

例

次に、EXEC コマンドでデフォルト AAA 認可方式を設定する例を示します。

次に、EXEC コマンドでデフォルト AAA 認可方式に戻す例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。

group tacacs+ 方式および group group-list 方式は、以前に定義された一連の TACACS+ サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。

複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local または none を設定済みの場合、local 方式または none 方式だけが使用されます。

group 方式または local 方式を指定した場合にその方式が失敗すると、認可は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認可は常に成功します。

例

次に、コンフィギュレーション コマンドでデフォルト AAA 認可方式を設定する例を示します。

次に、コンフィギュレーション コマンドでデフォルト AAA 認可方式に戻す例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

例

次に、RADIUS サーバ グループを作成し、RADIUS サーバ コンフィギュレーション モードを開始する例を示します。

次に、RADIUS サーバ グループを削除する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

コマンド デフォルト

Enabled

 

コマンド履歴

例

次に、リモート認証の AAA サーバ管理者により割り当てられるデフォルト ロールをイネーブルにする例を示します。

次に、リモート認証の AAA サーバ管理者により割り当てられるデフォルト ロールをディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

action コマンドでは、 match コマンドによって指定された ACL 内の条件にパケットが一致した場合に、デバイスが実行する処理を指定します。

例

次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

例

次に、すべての IPv4 ACL のカウンタをクリアする例を示します。

次に、acl-ipv4-01 という名前の IPv4 ACL のカウンタをクリアする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

コマンド デフォルト

なし

 

コマンド履歴

例

次に、アカウンティング ログをクリアする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

例

次に、ARP テーブル統計情報をクリアする例を示します。

次に、VRF vlan-vrf を持つ VLAN 10 の ARP テーブル統計情報をクリアする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

0 分

 

コマンド履歴

 

使用上のガイドライン

TACACS を設定する前に、 feature tacacs+ コマンドを使用する必要があります。

例

次に、RADIUS サーバ グループのデッド タイム間隔を 2 分に設定する例を示します。

次に、TACACS+ サーバ グループのデッド タイム間隔を 5 分に設定する例を示します。

次に、デッド タイム間隔をデフォルト値に戻す例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

新しく作成した IPv4 ACL には、ルールは含まれていません。

シーケンス番号を指定しない場合は、スイッチによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます。

 

コマンド履歴

 

使用上のガイドライン

スイッチは、パケットに IPv4 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。

送信元と宛先

source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。

• アドレスおよびネットワーク ワイルドカード：IPv4 アドレスおよびネットワーク ワイルドカードを使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は、次のとおりです。

次に、192.168.67.0 サブネットの IPv4 アドレスおよびネットワーク ワイルドカードを使用して、 source 引数を指定する例を示します。

• アドレスおよび Variable-Length Subnet Mask（VLSM; 可変長サブネット マスク）：IPv4 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は、次のとおりです。

次に、192.168.67.0 サブネットの IPv4 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。

• ホスト アドレス： host キーワードおよび IPv4 アドレスを使用して、送信元または宛先とするホストを指定できます。構文は、次のとおりです。

この構文は、 IPv4-address /32 および IPv4-address 0.0.0.0 と同じです。

次に、 host キーワードおよび 192.168.67.132 IPv4 アドレスを使用して、 source 引数を指定する例を示します。

• 任意のアドレス： any キーワードを使用して、送信元または宛先として任意の IPv4 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。

ICMP メッセージ タイプ

igmp-message 引数には、0 ～ 255 の整数である ICMP メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。

• administratively-prohibited ：管理上の禁止

• alternate-address ：代替アドレス

• conversion-error ：データグラム変換

• dod-host-prohibited ：ホスト禁止

• dod-net-prohibited ：ネット禁止

• echo ：エコー（ping）

• echo-reply ：エコー応答

• general-parameter-problem ：パラメータの問題

• host-isolated ：ホスト分離

• host-precedence-unreachable ：優先順位のホスト到達不能

• host-redirect ：ホスト リダイレクト

• host-tos-redirect ：ToS ホスト リダイレクト

• host-tos-unreachable ：ToS ホスト到達不能

• host-unknown ：ホスト未知

• host-unreachable ：ホスト到達不能

• information-reply ：情報応答

• information-request ：情報要求

• mask-reply ：マスク応答

• mask-request ：マスク要求

• mobile-redirect ：モバイル ホスト リダイレクト

• net-redirect ：ネットワーク リダイレクト

• net-tos-redirect ：ToS ネット リダイレクト

• net-tos-unreachable ：ToS ネット到達不能

• net-unreachable ：ネット到達不能

• network-unknown ：ネットワーク未知

• no-room-for-option ：パラメータが必要だが空きなし

• option-missing ：パラメータが必要だが存在しない

• packet-too-big ：フラグメンテーションが必要、DF 設定

• parameter-problem ：すべてのパラメータの問題

• port-unreachable ：ポート到達不能

• precedence-unreachable ：優先順位カットオフ

• protocol-unreachable ：プロトコル到達不能

• reassembly-timeout ：再構成タイムアウト

• redirect ：すべてのリダイレクト

• router-advertisement ：ルータ ディスカバリ アドバタイズメント

• router-solicitation ：ルータ ディスカバリ要求

• source-quench ：送信元抑制

• source-route-failed ：送信元ルート障害

• time-exceeded ：すべての時間超過メッセージ

• timestamp-reply ：タイム スタンプ付きの応答

• timestamp-request ：タイム スタンプ付きの要求

• traceroute ：トレースルート

• ttl-exceeded ：TTL 超過

• unreachable ：すべての到達不能

TCP ポート名

protocol 引数に tcp を指定した場合、 port 引数として 0 ～ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。

bgp ：Border Gateway Protocol（BGP; ボーダー ゲートウェイ プロトコル）（179）

chargen ：キャラクタ ジェネレータ（19）

cmd ：リモート コマンド（rcmd、514）

daytime ：デイタイム（13）

discard ：廃棄（9）

domain ：Domain Name Service（DNS; ドメイン ネーム サービス）（53）

drip ：Dynamic Routing Information Protocol（DRIP; ダイナミック ルーティング情報プロトコル）（3949）

echo ：エコー（7）

exec ：EXEC（rsh、512）

finger ：フィンガー（79）

ftp ：File Transfer Protocol（FTP; ファイル転送プロトコル）（21）

ftp-data ：FTP データ接続（2）

gopher ：Gopher（7）

hostname ：NIC ホストネーム サーバ（11）

ident ：Ident プロトコル（113）

irc ：Internet Relay Chat（IRC; インターネット リレー チャット）（194）

klogin ：Kerberos ログイン（543）

kshell ：Kerberos シェル（544）

login ：ログイン（rlogin、513）

lpd ：プリンタ サービス（515）

nntp ：Network News Transport Protocol（NNTP）（119）

pim-auto-rp ：PIM Auto-RP（496）

pop2 ：Post Office Protocol v2（POP2）（19）

pop3 ：Post Office Protocol v3（POP3）（11）

smtp ：Simple Mail Transport Protocol（SMTP; シンプル メール転送プロトコル）（25）

sunrpc ：Sun Remote Procedure Call（RPC; リモート プロシージャ コール）（111）

tacacs ：TAC Access Control System（49）

talk ：Talk（517）

telnet ：Telnet（23）

time ：Time（37）

uucp ：UNIX-to-UNIX Copy Program（UUCP; UNIX 間コピー プログラム）（54）

whois ：WHOIS/NICNAME（43）

www ：World Wide Web（HTTP、8）

UDP ポート名

protocol 引数に udp を指定した場合、 port 引数として 0 ～ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。

biff ：BIFF（メール通知、comsat、512）

bootpc ：Bootstrap Protocol（BOOTP; ブートストラップ プロトコル）クライアント（68）

bootps ：ブートストラップ プロトコル（BOOTP）サーバ（67）

discard ：廃棄（9）

dnsix ：DNSIX セキュリティ プロトコル監査（195）

domain ：Domain Name Service（DNS; ドメイン ネーム サービス）（53）

echo ：エコー（7）

isakmp ：Internet Security Association and Key Management Protocol（ISAKMP）（5）

mobile-ip ：モバイル IP レジストレーション（434）

nameserver ：IEN116 ネーム サービス（旧式、42）

netbios-dgm ：NetBIOS データグラム サービス（138）

netbios-ns ：NetBIOS ネーム サービス（137）

netbios-ss ：NetBIOS セッション サービス（139）

non500-isakmp ：Internet Security Association and Key Management Protocol（ISAKMP）（45）

ntp ：Network Time Protocol（NTP; ネットワーク タイム プロトコル）（123）

pim-auto-rp ：PIM Auto-RP（496）

rip ：Routing Information Protocol（RIP）（ルータ、in.routed、52）

snmp ：Simple Network Management Protocol（SNMP; 簡易ネットワーク管理プロトコル）（161）

snmptrap ：SNMP トラップ（162）

sunrpc ：Sun Remote Procedure Call（RPC; リモート プロシージャ コール）（111）

syslog ：システム ロギング（514）

tacacs ：TAC Access Control System（49）

talk ：Talk（517）

tftp ：Trivial File Transfer Protocol（TFTP; 簡易ファイル転送プロトコル）（69）

time ：Time（37）

who ：Who サービス（rwho、513）

xdmcp ：X Display Manager Control Protocol（XDMCP）（177）

例

次に、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP と UDP のトラフィックを拒否するルール、およびその他のすべての IPv4 トラフィックを許可する最後のルールを持つ、acl-lab-01 という名前の IPv4 ACL を設定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

新しく作成した IPv6 ACL には、ルールは含まれていません。

デバイスは、パケットに IPv6 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。デバイスで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。

送信元と宛先

source 引数および destination 引数は、次のいずれかの方法で指定できます。どのルールも、1 つの引数の指定方法によって、他の引数の指定方法が決まることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。

• アドレスおよび Variable-Length Subnet Mask（VLSM; 可変長サブネット マスク）IPv6 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は、次のとおりです。

次に、2001:0db8:85a3:: ネットワークの IPv6 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。

• ホスト アドレス： host キーワードおよび IPv6 アドレスを使用して、送信元または宛先とするホストを指定できます。構文は、次のとおりです。

この構文は、 IPv6-address /128 と同じです。

次に、 host キーワードおよび 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 IPv6 アドレスを使用して、 source 引数を指定する例を示します。

• 任意のアドレス： any キーワードを使用して、送信元または宛先として任意の IPv6 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。

ICMPv6 メッセージ タイプ

igmp-message 引数には、0 ～ 255 の整数である ICMPv6 メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。

• beyond-scope ：範囲外の宛先

• destination-unreachable ：宛先アドレスに到達不能

• echo-reply ：エコー応答

• echo-request ：エコー要求（ping）

• header ：パラメータ ヘッダーの問題

• hop-limit ：中継時にホップ制限を超過

• mld-query ：マルチキャスト リスナー ディスカバリ クエリー

• mld-reduction ：マルチキャスト リスナー ディスカバリ リダクション

• mld-reduction ：マルチキャスト リスナー ディスカバリ レポート

• nd-na ：ネイバー探索のネイバー アドバタイズメント

• nd-ns ：ネイバー探索のネイバー送信要求

• next-header ：パラメータの次のヘッダーの問題

• no-admin ：管理者が宛先を禁止

• no-route ：宛先へのルートなし

• packet-too-big ：パケット サイズ超過

• parameter-option ：パラメータ オプションの問題

• parameter-problem ：すべてのパラメータの問題

• port-unreachable ：ポート到達不能

• reassembly-timeout ：再構成タイムアウト

• redirect ：ネイバーのリダイレクト

• renum-command ：ルータの番号付けコマンド

• renum-result ：ルータの番号付けの結果

• renum-seq-number ：ルータの番号付けのシーケンス番号リセット

• router-advertisement ：ネイバー探索のルータ アドバタイズメント

• router-renumbering ：すべてのルータの再番号付け

• router-solicitation ：ネイバー探索のルータ送信要求

• time-exceeded ：すべてのタイム超過メッセージ

• unreachable ：すべての到達不能

TCP ポート名

protocol 引数に tcp を指定した場合、 port 引数として 0 ～ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。

bgp ：Border Gateway Protocol（BGP; ボーダー ゲートウェイ プロトコル）（179）

chargen ：キャラクタ ジェネレータ（19）

cmd ：リモート コマンド（rcmd、514）

daytime ：デイタイム（13）

discard ：廃棄（9）

domain ：Domain Name Service（DNS; ドメイン ネーム サービス）（53）

drip ：Dynamic Routing Information Protocol（DRIP; ダイナミック ルーティング情報プロトコル）（3949）

echo ：エコー（7）

exec ：Exec（rsh、512）

finger ：フィンガー（79）

ftp ：File Transfer Protocol（FTP; ファイル転送プロトコル）（21）

ftp-data ：FTP データ接続（2）

gopher ：Gopher（7）

hostname ：NIC ホストネーム サーバ（11）

ident ：Ident プロトコル（113）

irc ：Internet Relay Chat（IRC; インターネット リレー チャット）（194）

klogin ：Kerberos ログイン（543）

kshell ：Kerberos シェル（544）

login ：ログイン（rlogin、513）

lpd ：プリンタ サービス（515）

nntp ：Network News Transport Protocol（NNTP）（119）

pim-auto-rp ：PIM Auto-RP（496）

pop2 ：Post Office Protocol v2（POP2）（19）

pop3 ：Post Office Protocol v3（POP3）（11）

smtp ：Simple Mail Transport Protocol（SMTP; シンプル メール転送プロトコル）（25）

sunrpc ：Sun Remote Procedure Call（RPC; リモート プロシージャ コール）（111）

tacacs ：TAC Access Control System（49）

talk ：Talk（517）

telnet ：Telnet（23）

time ：Time（37）

uucp ：UNIX-to-UNIX Copy Program（UUCP; UNIX 間コピー プログラム）（54）

whois ：WHOIS/NICNAME（43）

www ：World Wide Web（HTTP、8）

UDP ポート名

protocol 引数に udp を指定した場合、 port 引数として 0 ～ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。

biff ：BIFF（メール通知、comsat、512）

bootpc ：Bootstrap Protocol（BOOTP; ブートストラップ プロトコル）クライアント（68）

bootps ：ブートストラップ プロトコル（BOOTP）サーバ（67）

discard ：廃棄（9）

dnsix ：DNSIX セキュリティ プロトコル監査（195）

domain ：Domain Name Service（DNS; ドメイン ネーム サービス）（53）

echo ：エコー（7）

isakmp ：Internet Security Association and Key Management Protocol（ISAKMP）（5）

mobile-ip ：モバイル IP レジストレーション（434）

nameserver ：IEN116 ネーム サービス（旧式、42）

netbios-dgm ：NetBIOS データグラム サービス（138）

netbios-ns ：NetBIOS ネーム サービス（137）

netbios-ss ：NetBIOS セッション サービス（139）

non500-isakmp ：Internet Security Association and Key Management Protocol（ISAKMP）（45）

ntp ：Network Time Protocol（NTP; ネットワーク タイム プロトコル）（123）

pim-auto-rp ：PIM Auto-RP（496）

rip ：Routing Information Protocol（RIP）（ルータ、in.routed、52）

snmp ：Simple Network Management Protocol（SNMP; 簡易ネットワーク管理プロトコル）（161）

snmptrap ：SNMP トラップ（162）

sunrpc ：Sun Remote Procedure Call（RPC; リモート プロシージャ コール）（111）

syslog ：システム ロギング（514）

tacacs ：TAC Access Control System（49）

talk ：Talk（517）

tftp ：Trivial File Transfer Protocol（TFTP; 簡易ファイル転送プロトコル）（69）

time ：Time（37）

who ：Who サービス（rwho、513）

xdmcp ：X Display Manager Control Protocol（XDMCP）（177）

例

次に、acl-lab13-ipv6 という IPv6 ACL を作成し、2001:0db8:85a3:: ネットワークおよび 2001:0db8:69f2:: ネットワークから 2001:0db8:be03:2112:: ネットワークへのすべての TCP トラフィックおよび UDP トラフィックを拒否するルールを設定する例を示します。

次に、ipv6-eng-to-marketing という IPv6 ACL を作成し、eng_ipv6 という IPv6 アドレス オブジェクト グループから marketing_group という IPv6 アドレス オブジェクト グループへのすべての IPv6 トラフィックを拒否するルールを設定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

新しく作成した MAC ACL には、ルールは含まれていません。

シーケンス番号を指定しない場合は、スイッチによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます。

 

コマンド履歴

 

使用上のガイドライン

スイッチは、パケットに MAC ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。

送信元と宛先

source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。

• アドレスおよびマスク：MAC アドレスの後にマスクを指定して、1 つのアドレスまたはアドレス グループを指定できます。構文は、次のとおりです。

次に、MAC アドレス 00c0.4f03.0a72 を持つ source 引数を指定する例を示します。

次に、 destination 引数に、MAC ベンダー コードが 00603e のすべてのホストの MAC アドレスを指定する例を示します。

• 任意のアドレス： any キーワードを使用して、送信元または宛先として任意の MAC アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。

MAC プロトコル

protocol 引数には、MAC プロトコルの番号またはキーワードを指定します。プロトコル番号は、先頭に 0x が付く 4 バイトの 16 進数です。有効なプロトコル番号は 0x0 ～ 0xffff です。有効なキーワードは、次のとおりです。

• aarp ：Appletalk ARP（0x80f3）

• appletalk ：Appletalk（0x809b）

• decnet-iv ：DECnet Phase IV（0x6003）

• diagnostic ：DEC 診断プロトコル（0x6005）

• etype-6000 ：Ethertype 0x6000（0x6000）

• etype-8042 ：Ethertype 0x8042（0x8042）

• ip ：インターネット プロトコル v4（0x0800）

• lat ：DEC LAT（0x6004）

• lavc-sca ：DEC LAVC、SCA（0x6007）

• mop-console ：DEC MOP リモート コンソール（0x6002）

• mop-dump ：DEC MOP ダンプ（0x6001）

• vines-echo ：VINES エコー（0x0baf）

例

次に、2 つの MAC アドレス グループ間で非 IPv4 トラフィックを許可するルールが含まれる mac-ip-filter という名前の MAC ACL を設定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

ユーザ ロールの説明テキストには、空白スペースを使用できます。

例

次に、ユーザ ロールの説明を設定する例を示します。

次に、ユーザ ロールから説明を削除する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

このコマンドで使用できる有効な機能名を表示するには、 show role feature コマンドを使用します。

例

次に、ユーザ ロール機能グループに機能を追加する例を示します。

次に、ユーザ ロール機能グループから機能を削除する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

コマンド デフォルト

すべてのインターフェイス

 

コマンド履歴

例

次に、ユーザ ロールのインターフェイス ポリシー コンフィギュレーション モードを開始する例を示します。

次に、ユーザ ロールのインターフェイス ポリシーをデフォルト設定に戻す例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトでは、IPv4 ACL は定義されません。

 

コマンド履歴

 

使用上のガイドライン

IPv4 トラフィックをフィルタリングするには、IPv4 ACL を使用します。

ip access-list コマンドを使用すると、スイッチで IP アクセス リスト コンフィギュレーション モードが開始されます。このモードで、IPv4 deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合、このコマンドの入力時にスイッチで新しい ACL が作成されます。

ACL をインターフェイスに適用するには、 ip access-group コマンドを使用します。

すべての IPv4 ACL は、最終ルールとして、次の暗黙ルールが設定されます。

この暗黙のルールによって、どの条件にも一致しない IP トラフィックは拒否されます。

IPv4 ACL には、ネイバー探索プロセスをイネーブルにする暗黙ルールは追加されません。IPv4 では、IPv6 ネイバー探索プロセスと同等の Address Resolution Protocol（ARP; アドレス解決プロトコル）は、別のデータリンク レイヤ プロトコルを使用します。デフォルトでは、IPv4 ACL は、インターフェイス上での ARP パケットの送受信を暗黙で許可します。

例

次に、ip-acl-01 という IPv4 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、インターフェイスに IPv4 ACL は適用されません。

ip port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をポート ACL として適用できます。

• レイヤ 2 イーサネット インターフェイス

• レイヤ 2 EtherChannel インターフェイス

IPv4 ACL を VLAN ACL として適用することもできます。詳細については、 match コマンドを参照してください。

スイッチでポート ACL が適用されるのは、着信トラフィックだけです。着信パケットは、スイッチ上で ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットはスイッチで引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはスイッチで廃棄され、ICMP ホスト到達不能メッセージが戻されます。

スイッチから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。

例

次に、イーサネット インターフェイス 1/2 に対して、ip-acl-01 という IPv4 ACL をポート ACL として適用する例を示します。

次に、イーサネット インターフェイス 1/2 から、ip-acl-01 という IPv4 ACL を削除する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトでは、IPv6 ACL は定義されません。

 

コマンド履歴

 

使用上のガイドライン

IPv6 トラフィックをフィルタリングするには、IPv6 ACL を使用します。

ipv6 access-list コマンドを使用すると、スイッチで IP アクセス リスト コンフィギュレーション モードが開始されます。このモードで、IPv6 の deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合、このコマンドの入力時にスイッチで新しい ACL が作成されます。

すべての IPv6 ACL は、最終ルールとして、次の暗黙ルールが設定されます。

この暗黙のルールによって、どの条件にも一致しない IP トラフィックは拒否されます。

例

次に、ipv6-acl-01 という名前の IPv6 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、インターフェイスに IPv6 ACL は適用されません。

ipv6 port traffic-filter コマンドを使用することにより、次のインターフェイス タイプに対して、IPv6 ACL をポート ACL として適用できます。

• イーサネット インターフェイス

• EtherChannel インターフェイス

ipv6 port traffic-filter コマンドを使用することにより、次のインターフェイス タイプに対して、IPv6 ACL をポート ACL として適用もできます。

• VLAN インターフェイス

（注） VLAN インターフェイスを設定する前に、VLAN インターフェイスをグローバルでイネーブルにする必要があります。詳細については、 feature interface-vlan コマンドを参照してください。

スイッチでポート ACL が適用されるのは、着信トラフィックだけです。着信パケットは、スイッチ上で ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットはスイッチで引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはスイッチで廃棄され、ICMP ホスト到達不能メッセージが戻されます。

デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。

例

次に、イーサネット インターフェイス 1/3 に対して、ipv6-acl という IPv6 ACL を適用する例を示します。

次に、イーサネット インターフェイス 1/3 から、ipv6-acl という IPv6 ACL を削除する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトでは、MAC ACL は定義されません。

 

コマンド履歴

 

使用上のガイドライン

非 IP トラフィックをフィルタリングするには、MAC ACL を使用します。

mac access-list コマンドを使用すると、スイッチで MAC アクセス リスト コンフィギュレーション モードが開始されます。このモードで、MAC deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合は、このコマンドの入力時にスイッチで新しい ACL が作成されます。

ACL をインターフェイスに適用するには、 mac access-group コマンドを使用します。

すべての MAC ACL は、最終ルールとして、次の暗黙ルールが設定されます。

この暗黙のルールにより、トラフィックのレイヤ 2 ヘッダーに指定されたプロトコルに関係なく、一致しないトラフィックがスイッチによって確実に拒否されます。

例

次に、mac-acl-01 という MAC ACL の MAC アクセス リスト コンフィギュレーション モードを開始する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

デフォルトでは、インターフェイスに MAC ACL は適用されません。

MAC ACL を非 IP トラフィックに適用します。

mac port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、MAC ACL をポート ACL として適用できます。

• レイヤ 2 インターフェイス

• レイヤ 2 EtherChannel インターフェイス

MAC ACL を VLAN ACL として適用することもできます。詳細については、 match コマンドを参照してください。

スイッチで MAC ACL が適用されるのは、着信トラフィックだけです。スイッチは、MAC ACL を適用すると、パケットを ACL のルールに対してチェックします。最初の一致ルールによってパケットが許可されると、そのパケットはスイッチで引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはスイッチで廃棄され、ICMP ホスト到達不能メッセージが戻されます。

スイッチから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。

例

次に、イーサネット インターフェイス 1/2 に対して、mac-acl-01 という MAC ACL を適用する例を示します。

次に、イーサネット インターフェイス 1/2 から、mac-acl-01 という MAC ACL を削除する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

デフォルトでは、スイッチによりトラフィックが分類され、IPv4 トラフィックには IPv4 ACL が、その他のすべてのトラフィックには MAC ACL が適用されます。

 

コマンド履歴

 

使用上のガイドライン

指定できる match コマンドは、アクセス マップごとに 1 つだけです。

例

次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

新しく作成した IPv4 ACL には、ルールは含まれていません。

シーケンス番号を指定しないと、デバイスは ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号を割り当てます。

 

コマンド履歴

 

使用上のガイドライン

スイッチは、パケットに IPv4 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。

送信元と宛先

source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。

• アドレスおよびネットワーク ワイルドカード：IPv4 アドレスおよびネットワーク ワイルドカードを使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は、次のとおりです。

次に、192.168.67.0 サブネットの IPv4 アドレスおよびネットワーク ワイルドカードを使用して、 source 引数を指定する例を示します。

• アドレスおよび Variable-Length Subnet Mask（VLSM; 可変長サブネット マスク）：IPv4 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は、次のとおりです。

次に、192.168.67.0 サブネットの IPv4 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。

• ホスト アドレス： host キーワードおよび IPv4 アドレスを使用して、送信元または宛先とするホストを指定できます。構文は、次のとおりです。

この構文は、 IPv4-address /32 および IPv4-address 0.0.0.0 と同じです。

次に、 host キーワードおよび 192.168.67.132 IPv4 アドレスを使用して、 source 引数を指定する例を示します。

• 任意のアドレス： any キーワードを使用して、送信元または宛先として任意の IPv4 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。

ICMP メッセージ タイプ

igmp-message 引数には、0 ～ 255 の整数である ICMP メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。

• administratively-prohibited ：管理上の禁止

• alternate-address ：代替アドレス

• conversion-error ：データグラム変換

• dod-host-prohibited ：ホスト禁止

• dod-net-prohibited ：ネット禁止

• echo ：エコー（ping）

• echo-reply ：エコー応答

• general-parameter-problem ：パラメータの問題

• host-isolated ：ホスト分離

• host-precedence-unreachable ：優先順位のホスト到達不能

• host-redirect ：ホスト リダイレクト

• host-tos-redirect ：ToS ホスト リダイレクト

• host-tos-unreachable ：ToS ホスト到達不能

• host-unknown ：ホスト未知

• host-unreachable ：ホスト到達不能

• information-reply ：情報応答

• information-request ：情報要求

• mask-reply ：マスク応答

• mask-request ：マスク要求

• mobile-redirect ：モバイル ホスト リダイレクト

• net-redirect ：ネットワーク リダイレクト

• net-tos-redirect ：ToS ネット リダイレクト

• net-tos-unreachable ：ToS ネット到達不能

• net-unreachable ：ネット到達不能

• network-unknown ：ネットワーク未知

• no-room-for-option ：パラメータが必要だが空きなし

• option-missing ：パラメータが必要だが存在しない

• packet-too-big ：フラグメンテーションが必要、DF 設定

• parameter-problem ：すべてのパラメータの問題

• port-unreachable ：ポート到達不能

• precedence-unreachable ：優先順位カットオフ

• protocol-unreachable ：プロトコル到達不能

• reassembly-timeout ：再構成タイムアウト

• redirect ：すべてのリダイレクト

• router-advertisement ：ルータ ディスカバリ アドバタイズメント

• router-solicitation ：ルータ ディスカバリ要求

• source-quench ：送信元抑制

• source-route-failed ：送信元ルート障害

• time-exceeded ：すべての時間超過メッセージ

• timestamp-reply ：タイム スタンプ付きの応答

• timestamp-request ：タイム スタンプ付きの要求

• traceroute ：トレースルート

• ttl-exceeded ：TTL 超過

• unreachable ：すべての到達不能

TCP ポート名

protocol 引数に tcp を指定した場合、 port 引数として 0 ～ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。

bgp ：Border Gateway Protocol（BGP; ボーダー ゲートウェイ プロトコル）（179）

chargen ：キャラクタ ジェネレータ（19）

cmd ：リモート コマンド（rcmd、514）

daytime ：デイタイム（13）

discard ：廃棄（9）

domain ：Domain Name Service（DNS; ドメイン ネーム サービス）（53）

drip ：Dynamic Routing Information Protocol（DRIP; ダイナミック ルーティング情報プロトコル）（3949）

echo ：エコー（7）

exec ：EXEC（rsh、512）

finger ：フィンガー（79）

ftp ：File Transfer Protocol（FTP; ファイル転送プロトコル）（21）

ftp-data ：FTP データ接続（2）

gopher ：Gopher（7）

hostname ：NIC ホストネーム サーバ（11）

ident ：Ident プロトコル（113）

irc ：Internet Relay Chat（IRC; インターネット リレー チャット）（194）

klogin ：Kerberos ログイン（543）

kshell ：Kerberos シェル（544）

login ：ログイン（rlogin、513）

lpd ：プリンタ サービス（515）

nntp ：Network News Transport Protocol（NNTP）（119）

pim-auto-rp ：PIM Auto-RP（496）

pop2 ：Post Office Protocol v2（POP2）（19）

pop3 ：Post Office Protocol v3（POP3）（11）

smtp ：Simple Mail Transport Protocol（SMTP; シンプル メール転送プロトコル）（25）

sunrpc ：Sun Remote Procedure Call（RPC; リモート プロシージャ コール）（111）

tacacs ：TAC Access Control System（49）

talk ：Talk（517）

telnet ：Telnet（23）

time ：Time（37）

uucp ：UNIX-to-UNIX Copy Program（UUCP; UNIX 間コピー プログラム）（54）

whois ：WHOIS/NICNAME（43）

www ：World Wide Web（HTTP、8）

UDP ポート名

protocol 引数に udp を指定した場合、 port 引数として 0 ～ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。

biff ：BIFF（メール通知、comsat、512）

bootpc ：Bootstrap Protocol（BOOTP; ブートストラップ プロトコル）クライアント（68）

bootps ：ブートストラップ プロトコル（BOOTP）サーバ（67）

discard ：廃棄（9）

dnsix ：DNSIX セキュリティ プロトコル監査（195）

domain ：Domain Name Service（DNS; ドメイン ネーム サービス）（53）

echo ：エコー（7）

isakmp ：Internet Security Association and Key Management Protocol（ISAKMP）（5）

mobile-ip ：モバイル IP レジストレーション（434）

nameserver ：IEN116 ネーム サービス（旧式、42）

netbios-dgm ：NetBIOS データグラム サービス（138）

netbios-ns ：NetBIOS ネーム サービス（137）

netbios-ss ：NetBIOS セッション サービス（139）

non500-isakmp ：Internet Security Association and Key Management Protocol（ISAKMP）（45）

ntp ：Network Time Protocol（NTP; ネットワーク タイム プロトコル）（123）

pim-auto-rp ：PIM Auto-RP（496）

rip ：Routing Information Protocol（RIP）（ルータ、in.routed、52）

snmp ：Simple Network Management Protocol（SNMP; 簡易ネットワーク管理プロトコル）（161）

snmptrap ：SNMP トラップ（162）

sunrpc ：Sun Remote Procedure Call（RPC; リモート プロシージャ コール）（111）

syslog ：システム ロギング（514）

tacacs ：TAC Access Control System（49）

talk ：Talk（517）

tftp ：Trivial File Transfer Protocol（TFTP; 簡易ファイル転送プロトコル）（69）

time ：Time（37）

who ：Who サービス（rwho、513）

xdmcp ：X Display Manager Control Protocol（XDMCP）（177）

例

次に、acl-lab-01 という IPv4 ACL を作成し、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP および UDP トラフィックを許可するルールを設定する例を示します。

 

関連コマンド

 

構文の説明