この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco TrustSec セキュリティ グループ アクセス コントロール リスト(SGACL)ポリシーをクリアするには、 clear cts policy コマンドを使用します。
clear cts policy { all | peer device-id | sgt sgt-value }
ローカル デバイス上のセキュリティ グループ タグ(SGT)に対する Cisco TrustSec SGACL ポリシーをクリアします。 |
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
SGACL ポリシーをクリアすると、動作は、インターフェイスがフラップするまで有効になりません。インターフェイスがスタティック SGT のインターフェイスである場合、SGT 値はフラッピングのあとにゼロ(0)に設定されます。この操作を取り消すには、次のコマンドを使用します。
インターフェイスがダイナミック SGT のインターフェイスである場合、SGT はフラッピングのあとに、RADIUS サーバから再ダウンロードされます。
次に、デバイスのすべての Cisco TrustSec SGACL ポリシーをクリアする例を示します。
|
|
---|---|
ロールベース アクセス コントロール リスト(RBACL)統計情報をすべてのカウンタが 0 にリセットされるようにクリアするには、 clear cts role-based counters コマンドを使用します。
|
|
|
|
---|---|
Cisco TrustSec デバイス ID を設定するには、 cts device-id コマンドを使用します。
cts device-id device-id password [ 7 ] password
Cisco TrustSec デバイス ID 名。名前には英数字を使用します。大文字と小文字が区別され、 最大長は 32 文字です。 |
|
Cisco TrustSec デバイスのパスワード。最大で 32 文字の英数字を使用でき、大文字と小文字が区別されます。 |
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、Cisco TrustSec デバイス ID を設定する例を示します。
|
|
---|---|
インターフェイスの Cisco TrustSec 手動設定を開始するには、 cts manual コマンドを使用します。手動設定を削除するには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、設定を有効にするには、 shutdown と no shutdown コマンド シーケンスを使用することによってインターフェイスをイネーブルおよびディセーブルにする必要があります。
次に、インターフェイスの Cisco TrustSec 手動コンフィギュレーション モードを開始する例を示します。
次に、インターフェイスから Cisco TrustSec 手動設定を削除する例を示します。
|
|
---|---|
Cisco TrustSec セキュリティ グループ アクセス コントロール リスト(SGACL)を作成または指定して、ロールベース アクセス コントロール リスト コンフィギュレーション モードを開始するには、 cts role-based access-list コマンドを使用します。SGACL を削除するには、このコマンドの no 形式を使用します。
cts role-based access-list list-name
no cts role-based access-list list-name
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、Cisco TrustSec SGACL を作成して、ロールベース アクセス リスト コンフィギュレーション モードを開始する例を示します。
次に、Cisco TrustSec SGACL を削除する例を示します。
|
|
---|---|
ロールベース アクセス コントロール リスト(RBACL)統計情報をイネーブルにするには、 cts role-based counters enable コマンドを使用します。RBACL 統計情報をディセーブルにするには、このコマンドの no 形式を使用します。
cts role-based counters enable
no cts role-based counters enable
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用するには、VLAN での RBACL ポリシーの強制をイネーブルにする必要があります。
RBACL 統計情報をイネーブルにするには、ハードウェアのエントリが各ポリシーに 1 つずつ必要です。ハードウェアに十分な領域がない場合、エラー メッセージが表示され、統計情報をイネーブルにできません。
RBACL 統計情報は、ISSU 時またはアクセス コントロール エントリを RBACL に追加するか削除すると、失われます。
次に、RBACL 統計情報をディセーブルにする例を示します。
|
|
---|---|
VLAN のロールベース アクセス コントロール リスト(RBACL)の強制をイネーブルにするには、 cts role-based enforcement コマンドを使用します。VLAN での RBACL の強制をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
RBACL の強制は VLAN 単位でイネーブルになります。RBACL の強制は、ルーテッド VLAN またはインターフェイスでイネーブルにできません。RBACL の強制の変更を有効にするには、VLAN コンフィギュレーション モードを終了する必要があります。
次に、VLAN での RBACL の強制をイネーブルにし、ステータスを確認する例を示します。
次に、VLAN での RBACL の強制をディセーブルにする例を示します。
|
|
---|---|
セキュリティ グループ アクセス コントロール リスト(SGACL)と Cisco TrustSec Security Group Tag(SGT; セキュリティ グループ タグ)のマッピングを手動で設定するには、 cts role-based sgt コマンドを使用します。SGACL と SGT のマッピングを削除するには、このコマンドの no 形式を使用します。
cts role-based sgt { sgt-value | any | unknown } dgt { dgt-value | any | unknown } access-list list-name
no cts role-based sgt { sgt-value | any | unknown } dgt { dgt-value | any | unknown }
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、SGACL の SGT マッピングを設定する例を示します。
次に、宛先 SGT への SGT マッピングを設定する例を示します。
次に、SGACL の SGT マッピングを削除する例を示します。
|
|
---|---|
IP アドレスと Cisco TrustSec セキュリティ グループ タグ(SGT)のマッピングを手動で設定するには、 cts role-based sgt-map コマンドを使用します。SGT を削除するには、このコマンドの no 形式を使用します。
cts role-based sgt-map ipv4-address sgt-value
no cts role-based sgt-map ipv4-address
グローバル コンフィギュレーション モード
VLAN コンフィギュレーション モード
VRF コンフィギュレーション モード
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、Cisco TrustSec SGT のマッピングを設定する例を示します。
次に、Cisco TrustSec SGT のマッピングを削除する例を示します。
|
|
---|---|
Cisco TrustSec セキュリティ グループ タグ(SGT)を設定するには、 cts sgt コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、デバイスの Cisco TrustSec SGT を設定する例を示します。
|
|
---|---|
Cisco TrustSec の SGT Exchange Protocol(SXP)ピア接続を設定するには、 cts sxp connection peer コマンドを使用します。SXP 接続を削除するには、このコマンドの no 形式を使用します。
cts sxp connection peer peer-ipv4-addr [ source src-ipv4-addr ] password { default | none | required { password | 7 encrypted-password }} mode listener [ vrf vrf-name ]
no cts sxp connection peer peer-ipv4-addr [ source src-ipv4-addr ] password { default | none | required { password | 7 encrypted-password }} mode listener [ vrf vrf-name ]
テキスト パスワードをクリアします。パスワードには英数字を使用します。大文字と小文字が区別され、 最大長は 32 文字です。 |
|
(任意)ピアの仮想ルーティングおよび転送(VRF)インスタンスを指定します。この VRF の名前には最大 32 文字までの英数字を指定できます。 |
デバイスに設定されたデフォルト SXP パスワード
デバイスに設定されたデフォルト SXP 送信元 IPv4 アドレス
デフォルト VRF
|
|
---|---|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
Cisco TrustSec では、IPv4 アドレッシングだけを使用できます。
送信元 IPv4 アドレスを指定しない場合は、 cts sxp default source-ip コマンドを使用してデフォルト SXP 送信元 IPv4 アドレスを設定する必要があります。
デフォルトをパスワード モードで指定する場合は、 cts sxp default password コマンドを使用してデフォルト SXP パスワードを設定する必要があります。
|
|
---|---|
デバイスのデフォルト SGT Exchange Protocol(SXP)パスワードを設定するには、 cts sxp default password コマンドを使用します。デフォルトを削除するには、このコマンドの no 形式を使用します。
cts sxp default password { password | 7 encrypted-password }
テキスト パスワードをクリアします。パスワードには英数字を使用します。大文字と小文字が区別され、 最大長は 32 文字です。 |
|
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、デバイスのデフォルト SXP パスワードを設定する例を示します。
次に、デフォルト SXP パスワードを削除する例を示します。
|
|
---|---|
デバイスのデフォルト SGT Exchange Protocol(SXP)送信元 IPv4 アドレスを設定するには、 cts sxp default source-ip コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cts sxp default source-ip ipv4-address
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、デバイスのデフォルト SXP 送信元 IP アドレスを設定する例を示します。
次に、デフォルト SXP 送信元 IP アドレスを削除する例を示します。
|
|
---|---|
デバイス上の SGT Exchange Protocol(SXP)ピアをイネーブルにするには、 cts sxp enable コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
|
|
---|---|
SGT Exchange Protocol(SXP)復帰期間タイマーを設定するには、 cts sxp reconcile-period コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cts sxp reconcile-period seconds
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
ピアが SXP 接続を終了すると、内部ホールドダウン タイマーが開始されます。内部ホールドダウン タイマーが終了する前にピアが再接続すると、SXP 復帰期間タイマーが開始されます。
(注) SXP 復帰期間を 0 秒に設定すると、タイマーがディセーブルになります。
|
|
---|---|
SGT Exchange Protocol(SXP)リトライ期間タイマーを設定するには、 cts sxp retry-period コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、まず feature dot1x コマンドを使用して 802.1X 機能をイネーブルにしてから、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
SXP リトライ期間によって、Cisco NX-OS ソフトウェアが SXP 接続を再試行する頻度が決まります。SXP 接続が正常に確立されなかった場合、Cisco NX-OS ソフトウェアは SXP リトライ期間タイマーの終了後に、新たな接続の確立を試行します。
(注) SXP リトライ期間を 0 秒に設定すると、タイマーがディセーブルになり、再試行は実行されません。
次に、SXP リトライ期間をデフォルト値に戻す例を示します。
|
|
---|---|