Cisco Nexus 5000 シリーズ NX-OS セキュリティ コマンド リファレンス Cisco NX-OS Release 4.x、5.x

 

構文の説明

 

コマンド デフォルト

ローカル データベースがデフォルトです。

 

コマンド履歴

 

使用上のガイドライン

group group-list メソッドは、以前に定義された一連の RADIUS サーバまたは TACACS+ サーバを参照します。ホスト サーバを設定するには、 radius server-host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。

group 方式または local 方式を指定した場合にその方式が失敗すると、アカウンティング認証は失敗する可能性があります。

例

次に、AAA アカウンティングに任意の RADIUS サーバを設定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

ローカル データベース

 

コマンド履歴

 

使用上のガイドライン

group radius、group tacacs+ 、および group group-list の各方式は、以前に定義された一連の RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドまたは tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。

group 方式または local 方式を指定した場合にその方式が失敗すると、認証は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。

例

次に、コンソール ログインの AAA 認証方式を設定する例を示します。

次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

ローカル データベース

 

コマンド履歴

 

使用上のガイドライン

group radius、group tacacs+ 、および group group-list の各方式は、以前に定義された一連の RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドまたは tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。

group 方式または local 方式を指定した場合にその方式が失敗すると、認証は失敗します。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。

例

次に、コンソール ログインの AAA 認証方式を設定する例を示します。

次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

コマンド デフォルト

ディセーブル

 

コマンド履歴

 

使用上のガイドライン

ログイン時にリモート AAA サーバからの応答がない場合には、ローカル ユーザ データベースへのロールオーバーによってログインが処理されます。このような状況では、ログイン失敗メッセージの表示がイネーブルに設定されている場合、次のメッセージが表示されます。

例

次に、AAA 認証失敗メッセージのコンソールへの表示をイネーブルにする例を示します。

次に、AAA 認証失敗メッセージのコンソールへの表示をディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

コマンド デフォルト

ディセーブル

 

コマンド履歴

例

次に、MS-CHAP 認証をイネーブルにする例を示します。

次に、MS-CHAP 認証をディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。

group tacacs+ 方式および group group-list 方式は、以前に定義された一連の TACACS+ サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。

複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local または none を設定済みの場合、local 方式または none 方式だけが使用されます。

group 方式または local 方式を指定した場合にその方式が失敗すると、認可は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認可は常に成功します。

例

次に、EXEC コマンドでデフォルト AAA 認可方式を設定する例を示します。

次に、EXEC コマンドでデフォルト AAA 認可方式に戻す例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。

group tacacs+ 方式および group group-list 方式は、以前に定義された一連の TACACS+ サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。

複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local または none を設定済みの場合、local 方式または none 方式だけが使用されます。

group 方式または local 方式を指定した場合にその方式が失敗すると、認可は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認可は常に成功します。

例

次に、コンフィギュレーション コマンドでデフォルト AAA 認可方式を設定する例を示します。

次に、コンフィギュレーション コマンドでデフォルト AAA 認可方式に戻す例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

local

 

コマンド履歴

 

使用上のガイドライン

このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。

group tacacs+ 方式および group group-list 方式は、以前に定義された一連の TACACS+ サーバおよび LDAP サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。

複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local を設定済みの場合、 local 方式だけが使用されます。

group 方式または local 方式を指定した場合にそれらの方式が失敗すると、認可は失敗する可能性があります。TACACS+ または LDAP サーバ グループ方式の後に、フォールバック方式を設定していない場合、すべてのサーバ グループが応答に失敗すると、認可が失敗します。

このコマンドには、ライセンスは必要ありません。

例

次に、デフォルトの AAA 認可方式として、証明書認証を使用してローカル データベースを設定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

local

 

コマンド履歴

 

使用上のガイドライン

複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local を設定済みの場合、 local 方式だけが使用されます。

group 方式または local 方式を指定した場合にそれらの方式が失敗すると、認可は失敗する可能性があります。サーバ グループの方式のあとにフォールバック方式を設定していないと、すべてのサーバ グループから応答が得られなかった場合は認可が失敗します。

このコマンドには、ライセンスは必要ありません。

例

次に、デフォルトの AAA 認可方式として、SSH 公開キーを使用したローカル認可を設定する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

例

次に、RADIUS サーバ グループを作成し、RADIUS サーバ コンフィギュレーション モードを開始する例を示します。

次に、RADIUS サーバ グループを削除する例を示します。

 

関連コマンド

 

構文の説明

このコマンドには、引数またはキーワードはありません。

 

コマンド デフォルト

イネーブル

 

コマンド履歴

例

次に、リモート認証の AAA サーバ管理者により割り当てられるデフォルト ロールをイネーブルにする例を示します。

次に、リモート認証の AAA サーバ管理者により割り当てられるデフォルト ロールをディセーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

シスコ デバイスに対する Telnet または SSH を受け入れると、アクセス クラスを VTY にバインドしてデバイスへのアクセスを確保できます。

特定の端末ラインのアクセス リストを表示するには、 show line コマンドを使用します。

例

次の例では、着信パケットを制限するために VTY 回線のアクセス クラスを設定する例を示します。

次の例では、着信パケットを制限するアクセス クラスを削除する例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

action コマンドでは、 match コマンドによって指定された ACL 内の条件にパケットが一致した場合に、デバイスが実行する処理を指定します。

例

次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。

 

関連コマンド

 

構文の説明

 

コマンド デフォルト

なし

 

コマンド履歴

 

使用上のガイドライン

（注） Cisco NX-OS Release 5.1(3)N1(1) 以降、ARP アクセス リストは、Control Plane Policing（CoPP）に対してだけサポートされます。

DHCP スヌーピングを使用できない場合は、ARP ACL を使用して ARP トラフィックをフィルタリングします。

デフォルトでは、ARP ACL は定義されていません。

例

次に、copp-arp-acl という名前の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始する例を示します。

 

関連コマンド