この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定するには、 class コマンドを使用します。コントロール プレーン ポリシー マップからコントロール プレーン クラス マップを削除するには、このコマンドの no 形式を使用します。
class { class-map-name [ insert-before class-map-name2 ] | class-default }
(任意)コントロール プレーン ポリシー マップの別のコントロール プレーン クラス マップの前にコントロール プレーン クラス マップを挿入します。 |
|
|
|
このコマンドは、デフォルトの Virtual Device Context(VDC; 仮想デバイス コンテキスト)でだけ使用できます。
次に、コントロール プレーン ポリシー マップのクラス マップを設定する例を示します。
次に、コントロール プレーン ポリシー マップからクラス マップを削除する例を示します。
|
|
---|---|
コントロール プレーン クラス マップを作成または指定して、クラス マップ コンフィギュレーション モードを開始するには、 class-map type control-plane コマンドを使用します。コントロール プレーン クラス マップを削除するには、このコマンドの no 形式を使用します。
class-map type control-plane [ match-all | match-any ] class-map-name
no class-map type control-plane [ match-all | match-any ] class-map-name
|
|
コントロール プレーン クラス マップの名前として、match-all、match-any、または class-default は使用できません。
次に、コントロール プレーン クラス マップを指定して、クラス マップ コンフィギュレーション モードを開始する例を示します。
次に、コントロール プレーン クラス マップを削除する例を示します。
|
|
---|---|
すべての IPv4 Access Control List(ACL; アクセス コントロール リスト)、IPv6 ACL、および MAC ACL、または単一の ACL のカウンタをクリアするには、 clear access-list counters コマンドを使用します。
clear access-list counters [ access-list-name ]
(任意)デバイスがそのカウンタをクリアする ACL の名前。最大で 64 文字の英数字を使用でき、大文字と小文字が区別されます。 |
|
|
次に、すべての IPv4 ACL、IPv6 ACL、および MAC ACL のカウンタをクリアする例を示します。
次に、acl-ipv4-01 という名前の IPv4 ACL のカウンタをクリアする例を示します。
|
|
---|---|
アカウンティング ログをクリアするには、 clear accounting log コマンドを使用します。
clear accounting log [logflash]
|
|
clear accounting log コマンドは、デフォルトの仮想デバイス コンテキスト(VDC 1)でだけ機能します。
|
|
---|---|
Control Plane Policing(CoPP; コントロール プレーン ポリシング)統計情報をクリアするには、 clear copp statistics コマンドを使用します。
|
|
次に、コントロール プレーン クラス マップを指定して、クラス マップ コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
ロールベース アクセス コントロール リスト(RBACL)統計情報をすべてのカウンタが 0 にリセットされるようにクリアするには、 clear cts role-based counters コマンドを使用します。
|
|
|
|
---|---|
802.1X オーセンティケータ インスタンスをクリアするには、 clear dot1x コマンドを使用します。
clear dot1x { all | interface ethernet slot / port }
|
|
次に、すべての 802.1X オーセンティケータ インスタンスをクリアする例を示します。
次に、インターフェイスの 802.1X オーセンティケータ インスタンスをクリアする例を示します。
|
|
---|---|
Extensible Authentication Protocol over User Datagram Protocol(EAPoUDP)セッションをクリアするには、 clear eou コマンドを使用します。
clear eou { all | authentication { clientless | eap | static } | interface ethernet slot / port | ip-address ipv4-address | mac-address mac-address | posturetoken type }
|
|
feature eou コマンドを使用して EAPoUDP をイネーブルにしてから、 clear eou コマンドを使用する必要があります。
次に、すべての EAPoUDP セッションをクリアする例を示します。
次に、静的に認証された EAPoUDP セッションをクリアする例を示します。
次に、インターフェイスの EAPoUDP セッションをクリアする例を示します。
次に、IP アドレスの EAPoUDP セッションをクリアする例を示します。
次に、MAC アドレスの EAPoUDP セッションをクリアする例を示します。
次に、ポスチャ トークンのタイプが Checkup である EAPoUDP セッションをクリアする例を示します。
|
|
---|---|
レート制限統計情報をクリアするには、 clear hardware rate-limiter コマンドを使用します。
clear rate-limiter { access-list-log | all | copy | layer-2 { l2pt | mcast-snooping | port-security | storm-control | vpc-low } | layer-3 { control | glean | mtu | multicast { directly-connected | local-groups | rpf-leak } | ttl } | receive }
レイヤ 3 Maximum Transmission Unit(MTU; 最大伝送ユニット)パケットのレート制限統計情報をクリアします。 |
|
レイヤ 3 マルチキャスト Reverse Path Forwarding(RPF; リバース パス転送)リーク パケットのレート制限統計情報をクリアします。 |
|
|
|
次に、アクセス リスト ログ パケットのレート制限統計情報をクリアする例を示します。
次に、レイヤ 2 ストーム制御パケットのレート制限統計情報をクリアする例を示します。
次に、レイヤ 3 グリーニング パケットのレート制限統計情報をクリアする例を示します。
次に、レイヤ 3 マルチキャスト直接接続パケットのレート制限統計情報をクリアする例を示します。
次に、受信パケットのレート制限統計情報をクリアする例を示します。
|
|
---|---|
すべてまたは 1 つの IPv4 アクセス コントロール リスト(ACL)のカウンタをクリアするには、 clear ip access-list counters コマンドを使用します。
clear ip access-list counters [ access-list-name ]
(任意)デバイスがそのカウンタをクリアする IPv4 ACL の名前。最大で 64 文字の英数字を使用でき、大文字と小文字が区別されます。 |
|
|
次に、すべての IPv4 ACL のカウンタをクリアする例を示します。
次に、acl-ipv4-101 という名前の IP ACL のカウンタをクリアする例を示します。
|
|
---|---|
Dynamic ARP Inspection(DAI; ダイナミック ARP 検査)ログ バッファをクリアするには、 clear ip arp inspection log コマンドを使用します。
|
|
|
|
---|---|
指定の VLAN のダイナミック ARP 検査(DAI)統計情報をクリアするには、 clear ip arp inspection statistics vlan コマンドを使用します。
clear ip arp inspection statistics vlan vlan-list
このコマンドによってその DAI 統計情報がクリアされる VLAN を指定します。 vlan-list 引数を使用すると、単一の VLAN ID、VLAN ID の範囲、またはカンマで区別された ID および範囲を指定できます(「例」を参照)。有効な VLAN ID は、1 ~ 4094 です。 |
|
|
次に、VLAN 2 の DAI 統計情報をクリアする例を示します。
次に、VLAN 5 ~ 12 の DAI 統計情報をクリアする例を示します。
次に、VLAN 2 および VLAN 5 ~ 12 の DAI 統計情報をクリアする例を示します。
|
|
---|---|
IP デバイス トラッキング情報をクリアするには、 clear ip device tracking コマンドを使用します。
clear ip device tracking { all | interface ethernet slot / port | ip-address ipv4-address | mac-address mac-address }
|
|
次に、すべての IP デバイス トラッキング情報をクリアする例を示します。
次に、インターフェイスの IP デバイス トラッキング情報をクリアする例を示します。
次に、IP アドレスの IP デバイス トラッキング情報をクリアする例を示します。
次に、MAC アドレスの IP デバイス トラッキング情報をクリアする例を示します。
|
|
---|---|
DHCP スヌーピング バインディング データベースをクリアするには、 clear ip dhcp snooping binding コマンドを使用します。
clear ip dhcp snooping binding
clear ip dhcp snooping binding [ vlan vlan-id mac mac-address ip ip-address interface ethernet slot / port [ . subinterface-number ]]
clear ip dhcp snooping binding [ vlan vlan-id mac mac-address ip ip-address interface port-channel channel-number [ . subchannel-number ]]
|
|
このコマンドは、特定のバインディング データベース エントリのクリアをサポートするように変更されました。オプションの vlan キーワードおよびそれに続く引数とキーワードが追加されました。 |
|
次に、DHCP スヌーピング バインディング データベースをクリアする例を示します。
次に、DHCP スヌーピング バインディング データベースの特定のエントリをクリアする例を示します。
|
|
---|---|
すべてまたは 1 つの IPv6 アクセス コントロール リスト(ACL)のカウンタをクリアするには、 clear ipv6 access-list counters コマンドを使用します。
clear ipv6 access-list counters [ access-list-name ]
(任意)デバイスがそのカウンタをクリアする IPv6 ACL の名前。最大で 64 文字の英数字を使用でき、大文字と小文字が区別されます。 |
|
|
次に、すべての IPv6 ACL のカウンタをクリアする例を示します。
次に、acl-ipv6-3A という名前の IPv6 ACL のカウンタをクリアする例を示します。
|
|
---|---|
LDAP サーバの統計情報をクリアするには、 clear ldap-server statistics コマンドを使用します。
clear ldap-server statistics { ipv4-address | ipv6-address | host-name }
|
|
|
|
---|---|
すべてまたは 1 つの MAC アクセス コントロール リスト(ACL)のカウンタをクリアするには、 clear mac access-list counters コマンドを使用します。
clear mac access-list counters [ access-list-name ]
(任意)デバイスがそのカウンタをクリアする MAC ACL の名前。最大で 64 文字の英数字を使用でき、大文字と小文字が区別されます。 |
|
|
次に、すべての MAC ACL のカウンタをクリアする例を示します。
次に、acl-mac-0060 という名前の MAC ACL のカウンタをクリアする例を示します。
|
|
---|---|
動的に学習された単一のセキュア MAC アドレス、または特定のインターフェイスの動的に学習されたすべてのセキュア MAC アドレスをクリアするには、 clear port-security を使用します。
clear port-security dynamic interface ethernet slot / port [ vlan vlan-id ]
clear port-security dynamic interface port-channel channel-number [ vlan vlan-id ]
clear port-security dynamic address address [ vlan vlan-id ]
(任意)クリアするセキュア MAC アドレスの VLAN を指定します。有効な VLAN ID は、1 ~ 4096 です。 |
|
クリアする単一の MAC アドレスを指定します。 address は、ドット付き 16 進表記の MAC アドレスです。 |
|
|
feature port-security コマンドを使用してポート セキュリティをイネーブルにしてから、 clear port-security コマンドを使用する必要があります。
次に、イーサネット 2/1 インターフェイスから動的に学習されたセキュア MAC アドレスを削除する例を示します。
次に、動的に学習されたセキュア MAC アドレス 0019.D2D0.00AE を削除する例を示します。
|
|
---|---|
RADIUS サーバ ホストの統計情報をクリアするには、 clear radius-server statistics コマンドを使用します。
clear radius-server statistics { ipv4-address | ipv6-address | server-name }
|
|
次に、RADIUS サーバの統計情報をクリアする例を示します。
|
|
---|---|
仮想デバイス コンテキスト(VDC)の Secure Shell(SSH; セキュア シェル)ホスト セッションおよび既知のホスト ファイルをクリアするには、 clear ssh hosts コマンドを使用します。
|
|
次に、すべての SSH ホスト セッションおよび既知のホスト ファイルをクリアする例を示します。
|
|
---|---|
TACACS+ サーバ ホストの統計情報をクリアするには、 clear tacacs-server statistics コマンドを使用します。
clear tacacs-server statistics { ipv4-address | ipv6-address | server-name }
|
|
次に、TACACS+ サーバの統計情報をクリアする例を示します。
|
|
---|---|
仮想デバイス コンテキスト(VDC)のユーザ セッションをクリアするには、 clear user コマンドを使用します。
|
|
次に、すべての SSH ホスト セッションをクリアする例を示します。
|
|
---|---|
すべてまたは 1 つの VLAN アクセス コントロール リスト(VACL)のカウンタをクリアするには、 clear vlan access-list counters コマンドを使用します。
clear vlan access-list counters [ access-map-name ]
(任意)デバイスがそのカウンタをクリアする VLAN アクセス マップの名前。最大で 64 文字の英数字を使用でき、大文字と小文字が区別されます。 |
|
|
次に、すべての VACL のカウンタをクリアする例を示します。
次に、vlan-map-101 という名前の VACL のカウンタをクリアする例を示します。
|
|
---|---|
検索クエリーを LDAP サーバに送信するために、証明書失効リスト(CRL)検索操作のアトリビュート名、検索フィルタ、ベース DN を設定するには、 CRLLookup コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。
CRLLookup attribute-name attribute-name search-filter filter base-DN base-DN-name
LDAP 検索マップのアトリビュート名。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。 |
|
|
|
次に、検索クエリーを LDAP サーバに送信するために、CRL 検索操作のアトリビュート名、検索フィルタ、ベース DN を設定する例を示します。
|
|
---|---|
Certificate Authority(CA; 認証局)を関連付けて認証し、その CA 証明書(または証明書チェーン)を設定するには、 crypto ca authenticate コマンドを使用します。関連付けと認証を削除するには、このコマンドの no 形式を使用します。
crypto ca authenticate trustpoint-label
no crypto ca authenticate trustpoint-label
|
|
---|---|
このコマンドを使用すると、CA の公開鍵に含まれる CA の自己署名証明書を取得することによって、Cisco NX-OS デバイスに対して CA を認証できます。CA では、証明書が自己署名されるため、このコマンドを実行するときは、CA 管理者に問い合わせて、CA の公開鍵を手作業で認証する必要があります。CA 証明書または証明書チェーンは、Privacy Enhanced Mail(PEM; プライバシー エンハンスト メール)(base-64)暗号化形式で使用可能である必要があります。
このコマンドは、デバイスで認証局を初期設定するときに、使用します。まず、CA によって発行された CA 証明書フィンガープリントを使用し、 crypto ca trustpoint コマンドを使用して、トラストポイントを作成します。CA によって発行された証明書フィンガープリントでの認証中に、表示される証明書フィンガープリントを比較する必要があり、一致する場合だけ、CA 証明書が受け付けられます。
認証する CA が下位認証局(自己署名ではない)の場合は、自己署名証明書が存在するまで、別の CA がそれを証明し、それがまた、別の CA によって代わりに証明されることがあります。この場合、下位証明書には、CA 証明書チェーンが存在します。CA 認証中は、チェーン全体を入力する必要があります。CA 証明書チェーンがサポートする最大長は、10 です。
トラストポイント CA は、信頼済み CA としてデバイスに設定する認証局です。デバイスでは、ローカルに信頼済みの CA またはその下位 CA によって、ピア証明書が署名されている場合に、受け付けられます。
(注) crypto ca trustpoint コマンドで作成するトラストポイント設定は、copy running-config startup-config コマンドを使用して明示的に保存する場合だけ、デバイスがリブートしても設定が引き継がれます。トラストポイントに関連付けられている証明書および CRL は、起動時の設定でトラストポイントを設定する場合には、自動的に引き継がれます。起動時の設定でトラストポイントを保存しない場合、関連付けられている証明書および CRL は、デバイスのリブート後に対応するトラストポイントなしでは終了できないため、自動的には引き継がれません。
設定された証明書、CRL、キー ペアが引き継がれるようにするには、起動時の設定で実行設定を常に保存する必要があります。
次の例では、myCA という名前の CA 証明書を認証する方法を示します。
|
|
---|---|
認証局(CA)からダウンロードされた新規の証明書失効リスト(CRL)を設定するには、 crypto ca crl request コマンドを使用します。
crypto ca crl request trustpoint-label source-file
|
|
---|---|
crypto ca crl request コマンドを使用すると、トラストポイントに対して CRL を事前ダウンロードし、証明書(cert)ストアに CRL をキャッシュ保存できます。指定した CRL ファイルは、プライバシー エンハンスト メール(PEM)形式または Distinguished Encoding Rules(DER)形式のいずれかで最新の CRL を含める必要があります。
(注) crypto ca trustpoint コマンドで作成するトラストポイント設定は、copy running-config startup-config コマンドを使用して明示的に保存する場合だけ、デバイスがリブートしても設定が引き継がれます。トラストポイントに関連付けられている証明書および CRL は、起動時の設定でトラストポイントを設定する場合には、自動的に引き継がれます。起動時の設定でトラストポイントを保存しない場合、関連付けられている証明書および CRL は、デバイスのリブート後に対応するトラストポイントなしでは終了できないため、自動的には引き継がれません。
設定された証明書、CRL、キー ペアが引き継がれるようにするには、起動時の設定で実行設定を常に保存する必要があります。
次の例では、トラストポイントで CRL を設定するか、または現在の CRL を置き換える方法を示します。
|
|
---|---|
このトラストポイント CA 用に作成されるデバイス RSA キー ペアの認証を要求するには、 crypto ca enroll コマンドを使用します。
crypto ca enroll trustpoint-label
|
|
---|---|
Cisco NX-OS デバイスは、トラストポイント CA とともに登録され、アイデンティティ証明書が取得されます。複数のトラストポイントとともにデバイスを登録し、各トラストポイントから別のアイデンティティ証明書を取得できます。
トラストポイントを登録するときには、認証する RSA キー ペアを指定する必要があります。登録要求を生成する前に、キー ペアを生成し、トラストポイントに関連付ける必要があります。
crypto ca enroll コマンドを使用すると、認証済みの CA に対応する各トラストポイントから、アイデンティティ証明書を取得する要求を生成できます。生成される Certificate Signing Request(CSR; 証明書署名要求)は、Public-Key Cryptography Standards(PKCS; 公開鍵暗号化規格)の規格 #10 に準拠し、PEM 形式で表示されます。証明書をカット アンド ペーストし、電子メールを介してか、または CA Web サイトで、対応する CA に送信します。CA 管理者は、証明書を発行し、Web サイトを介してか、電子メールで送信して、その証明書を使用可能にします。トラストポイントに対応する、取得済みのアイデンティティ証明書は、 crypto ca import trustpoint-label certificate コマンドを使用してインポートする必要があります。
(注) デバイスの設定では、チャレンジ パスワードは保存されません。証明書を破棄する場合に必要な場合に指定できるよう、このパスワードを記録します。
次の例では、認証済み CA に対する証明書の要求を生成する方法を示します。
|
|
---|---|
RSA キー ペアと、公開鍵暗号化規格(PKCS)の規格 #12 形式のファイル内のトラストポイントの関連付け済み証明書(アイデンティティおよび CA)を、指定する場所へエクスポートするには、 crypto ca export コマンドを使用します。
crypto ca export trustpoint-label pkcs12 destination-file-url pkcs12 - password
bootflash : filename の形式で、宛先ファイルを指定します。ファイル名は、英数字で指定します。大文字と小文字が区別され、最大文字数は 512 です。 |
|
エクスポートされるファイルで RSA プライベート キーを保護するために使用するパスワード。パスワードは、英数字で指定します。大文字と小文字が区別され、最大文字数は 64 です。 |
|
|
---|---|
バックアップの目的で、関連付けられている RSA キー ペアと CA 証明書(または証明書チェーン)とともに、アイデンティティ証明書を PKCS #12 形式のファイルにエクスポートできます。あとで証明書と RSA キー ペアをインポートして、デバイスのシステム障害から回復できます。
次に、PKCS #12 形式で証明書とキー ペアをエクスポートする例を示します。
|
|
---|---|
アイデンティティ証明書、関連付けられている RSA キー ペア、CA 証明書(チェーン)を、トラストポイントへインポートします。 |
|
PEM 形式のアイデンティティ証明書、または公開鍵暗号化規格(PKCS)の規格 #12 形式のアイデンティティ証明書、関連付けられている RSA キー ペア、および CA 証明書(または証明書チェーン)をインポートするには、 crypto ca import コマンドを使用します。
crypto ca import trustpoint-label { certificate | pkcs12 source-file-url pkcs12-password }
bootflash : filename の形式で、トラストポイント証明書が含まれている発信元ファイルを指定します。ファイル名では、大文字と小文字が区別されます。 |
|
インポートされる PKCS#12 ファイルで RSA プライベート キーを保護するために使用するパスワード。パスワードでは大文字と小文字が区別されます。 |
|
|
---|---|
トラストポイントで前に生成された登録要求に対応し、CA に送信された、CA から取得されたアイデンティティ証明書を(カット アンド ペーストする方法で)インポートするには、 certificate キーワードを使用します。
完全なアイデンティティ情報を空のトラストポイントにインポートするには、 pkcs12 source-file-url pkcs12-password キーワードと引数を使用します。これには、アイデンティティ証明書、関連付けられている RSA キー ペア、および、CA 証明書または証明書チェーンが含まれます。この方法を使用すると、システム障害の発生後に、設定を復元することができます。
(注) crypto ca trustpoint コマンドで作成するトラストポイント設定は、copy running-config startup-config コマンドを使用して明示的に保存する場合だけ、デバイスがリブートしても設定が引き継がれます。トラストポイントに関連付けられている証明書および CRL は、起動時の設定でトラストポイントを設定する場合には、自動的に引き継がれます。起動時の設定でトラストポイントを保存しない場合、関連付けられている証明書および CRL は、デバイスのリブート後に対応するトラストポイントなしでは終了できないため、自動的には引き継がれません。
設定された証明書、CRL、キー ペアが引き継がれるようにするには、起動時の設定で実行設定を常に保存する必要があります。
次に、行われた登録要求に対応し、前に送信された CA から取得されたアイデンティティ証明書をインストールする例を示します。
次の例では、公開鍵暗号化規格(PKCS) #12 形式のファイルに証明書とキー ペアをインポートする例を示します。
|
|
---|---|
証明書認証に使用する証明書ストアを指定するには、 crypto ca lookup コマンドを使用します。
crypto ca lookup {local | remote | both}
証明書認証にローカル証明書ストアを指定しますが、認証が失敗するか、CA 証明書が見つからない場合は、リモート証明書ストアを使用します。 |
|
|
---|---|
リモート証明書ストアを設定する場合は、リモート デバイスに LDAP サーバを設定し、認証に使用する CA 証明書が Active Directory にロードされていることを確認する必要があります。
次に、証明書認証にリモート証明書ストアを指定する例を示します。
|
|
---|---|
リモート証明書ストアから証明書失効リスト(CRL)を更新するリフレッシュ時間を設定するには、 crypto ca remote ldap crl-refresh-time コマンドを使用します。
crypto ca remote ldap crl-refresh-tim e hours
時間単位でのリフレッシュ時間。範囲は 0 ~ 744 時間です。0 を入力した場合、リフレッシュ ルーチンは 1 回だけ実行されます。 |
|
|
---|---|
次に、リモート証明書ストアから CRL を更新するリフレッシュ時間を設定する例を示します。
|
|
---|---|
LDAP との通信中に使用する LDAP サーバ グループを設定するには、 crypto ca remote ldap server-group コマンドを使用します。
crypto ca remote ldap server-group group-name
|
|
---|---|
次の例に、LDAP との通信中に使用する LDAP サーバ グループを設定する例を示します。
|
|
---|---|
証明書ファイルを確認するには、 crypto ca test verify コマンドを使用します。
crypto ca test verify certificate-file
bootflash : filename の形式でファイル名を認証します。ファイル名では、大文字と小文字が区別されます。 |
|
|
---|---|
このコマンドを使用すると、設定されている信頼済みの CA を使用して、また、必要に応じて、失効チェック設定で示されているとおりに証明書失効リスト(CRL)に問い合せることによって、PEM 形式で指定されている証明書を確認できます。
(注) 確認ステータス コードの値 0 は、確認が正常終了したことを示します。
|
|
---|---|
デバイスが信頼し、トラストポイント コンフィギュレーション モードに入る必要があるトラストポイント認証局(CA)を作成するには、 crypto ca trustpoint コマンドを使用します。トラストポイントを削除するには、このコマンドの no 形式を使用します。
crypto ca trustpoint trustpoint-label
no crypto ca trustpoint trustpoint-label
|
|
---|---|
• 1 つのトラストポイントは、単一の CA に対応します。Cisco NX-OS デバイスは、任意のアプリケーションに対するピア証明書確認のために、CA を信頼します。
• CA は、 crypto ca authenticate コマンドを使用して、トラストポイントに明示的に関連付けられる必要があります。
• Cisco NX-OS デバイスでは、デバイス上に多くのトラストポイントを置くことができ、デバイス上のすべてのアプリケーションは、任意のトラストポイント CA によって発行されたピア証明書を信頼できます。
• トラストポイントは、特定のアプリケーションによる制限は受けません。
• Cisco NX-OS デバイスは、オプションで、トラストポイント CA とともに登録し、そのデバイスそのものに対する保障証明書を取得できます。
アプリケーションに対して、1 つまたは複数のトラストポイントを指定する必要はありません。証明書がアプリケーションの要件を満たしている限り、アプリケーションでは、トランスポイントによって発行されたどの証明書も使用できます。
トランスポイントからは、2 つ以上のアイデンティティ証明書も、トランスポイントに関連付けられている 2 つ以上のキー ペアも、必要ではありません。CA 証明書は、付与されたアイデンティティ(の名前)を一度だけ使用し、同じサブジェクト名で複数の証明書は発行しません。CA で複数のアイデンティティ証明書が必要な場合、CA で同じサブジェクト名の複数の証明書が認められる場合には、同じ CA に対して別のトラストポイントを定義し、それに別のキー ペアを関連付け、それを認証します。
(注) no crypto ca trustpoint コマンドを使用してトランスポイントを削除する前に、まず、アイデンティティ証明書と CA 証明書(または証明書チェーン)を削除し、次に、トラストポイントから RSA キー ペアの関連付けを解除する必要があります。デバイスでは、このアクションのシーケンスを実行することにより、証明書でトラストポイントを誤って削除することを防ぎます。
次に、デバイスが信頼し、トラストポイント コンフィギュレーション モードに入る必要があるトラストポイント CA を宣言する例を示します。
switch#
configure terminal
switch#
configure terminal
|
|
---|---|
フィルタ マップを作成するには、 crypto certificatemap mapname コマンドを使用します。
crypto certificatemap mapname map-name
|
|
---|---|
|
|
---|---|
SSH プロトコルの証明書マッピング フィルタを設定するには、 crypto cert ssh-authorize コマンドを使用します。
crypto cert ssh-authorize [default | issuer-CAname ] [map map-name1 [ map-name2 ]]
|
|
---|---|
次に、SSH プロトコルの証明書マッピング フィルタを設定する例を示します。
|
|
---|---|
認証局の証明書を削除するには、 delete ca-certificate コマンドを使用してください。
|
|
---|---|
このコマンドは、トラストポイント CA に対応する CA 証明書または証明書チェーンを削除します。その結果、トラストポイント CA は信頼されなくなります。CA からのアイデンティティ証明書がある場合、これを削除してから、CA 証明書を削除する必要があります。これによって、CA から取得したアイデンティティ証明書をまだ削除していない場合に、CA 証明書を誤って削除することを防げます。CA の状況が悪化したか、または CA 証明書の期限が切れたため、CA の信頼を継続しない場合は、CA 証明書を削除する必要が生じる場合があります。
(注) トラストポイント設定、証明書、およびキー ペアの設定は、スタートアップ コンフィギュレーションの保存後だけ、永続的に有効になります。実行中の設定をスタートアップ コンフィギュレーションに保存後だけ、削除は永続的に有効になります。
証明書とキー ペアの削除を永続的に有効にするには、 copy running-config startup-config コマンドを入力します。
|
|
---|---|
Cisco TrustSec デバイス ID を設定するには、 cts device-id コマンドを使用します。
cts device-id device-id password [ 7 ] password
Cisco TrustSec デバイス ID 名。名前には英数字を使用します。大文字と小文字が区別され、最大 32 文字まで指定可能です。 |
|
EAP-FAST 処理中に使用するパスワードを指定します。名前には英数字を使用します。大文字と小文字が区別され、最大 32 文字まで指定可能です。 |
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
Cisco TrustSec デバイス ID 名は、Cisco TrustSec ネットワーク クラウド内で一意でなければなりません。
次に、Cisco TrustSec デバイス ID を設定する例を示します。
|
|
---|---|
インターフェイスで Cisco TrustSec 認証をイネーブルにして、Cisco TrustSec 802.1X コンフィギュレーション モードを開始するには、 cts dot1x コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、設定を有効にするには、 shutdown / no shutdown コマンド シーケンスを使用することによってインターフェイスをイネーブルおよびディセーブルにする必要があります。
次に、インターフェイスで Cisco TrustSec 認証をイネーブルにする例を示します。
次に、インターフェイスで Cisco TrustSec 認証をディセーブルにする例を示します。
|
|
---|---|
インターフェイスの Cisco TrustSec 手動設定を開始するには、 cts manual コマンドを使用します。手動設定を削除するには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、設定を有効にするには、 shutdown / no shutdown コマンド シーケンスを使用することによってインターフェイスをイネーブルおよびディセーブルにする必要があります。
次に、インターフェイスの Cisco TrustSec 手動コンフィギュレーション モードを開始する例を示します。
次に、インターフェイスから Cisco TrustSec 手動設定を削除する例を示します。
|
|
---|---|
Cisco Secure ACS からダウンロードした Cisco TrustSec Security Group Access Control List(SGACL; セキュリティ グループ アクセス コントロール リスト)ポリシーをリフレッシュするには、 cts refresh role-based-policy コマンドを使用します。
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、インターフェイスの Cisco TrustSec 手動コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
Cisco TrustSec ポリシーのインターフェイス キーを再生成するには、 cts rekey コマンドを使用します
cts rekey ethernet slot / port
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、Cisco TrustSec のインターフェイス キーを再生成する例を示します。
|
|
---|---|
Cisco TrustSec セキュリティ グループ アクセス コントロール リスト(SGACL)を作成または指定して、ロールベース アクセス コントロール リスト コンフィギュレーション モードを開始するには、 cts role-based access-list コマンドを使用します。SGACL を削除するには、このコマンドの no 形式を使用します。
cts role-based access-list list-name
no cts role-based access-list list-name
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、Cisco TrustSec SGACL を作成して、ロールベース アクセス リスト コンフィギュレーション モード を開始する例を示します。
次に、Cisco TrustSec SGACL を削除する例を示します。
|
|
---|---|
ロールベース アクセス コントロール リスト(RBACL)統計情報をイネーブルにするには、 cts role-based counters enable コマンドを使用します。RBACL 統計情報をディセーブルにするには、このコマンドの no 形式を使用します。
cts role-based counters enable
no cts role-based counters enable
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用するには、VLAN および VRF への RBACL ポリシーの適用をイネーブルにする必要があります。
RBACL 統計情報をイネーブルにすると、各ポリシーでハードウェアに 1 つのエントリが必要です。ハードウェアに十分な領域がない場合、エラー メッセージが表示され、統計情報をイネーブルにできません。
RBACL ポリシーを変更すると、以前に割り当てられたアクセス コントロール エントリ(ACE)の統計情報が表示され、新しく割り当てられた ACE 統計情報が 0 に初期化されます。
RBACL 統計情報は、Cisco NX-OS デバイスがリロードされるか、ユーザが故意に統計情報とクリアした場合にのみ失われます。
次に、RBACL 統計情報をディセーブルにする例を示します。
|
|
---|---|
VLAN または Virtual Routing and Forwarding(VRF; 仮想ルーティング/転送)インスタンスで Cisco TrustSec セキュリティ グループ アクセス コントロール リスト(SGACL)強制をイネーブルにするには、 cts role-based enforcement コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
グローバル コンフィギュレーション
VLAN コンフィギュレーション
VRF コンフィギュレーション
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、デフォルト VRF で Cisco TrustSec SGACL 強制をイネーブルにする例を示します。
次に、VLAN で Cisco TrustSec SGACL 強制をイネーブルにする例を示します。
次に、非デフォルト VRF で Cisco TrustSec SGACL 強制をイネーブルにする例を示します。
次に、Cisco TrustSec SGACL 強制をディセーブルにする例を示します。
|
|
---|---|
セキュリティ グループ アクセス コントロール リスト(SGACL)と Cisco TrustSec Security Group Tag(SGT; セキュリティ グループ タグ)のマッピングを手動で設定するには、 cts role-based sgt コマンドを使用します。SGACL と SGT のマッピングを削除するには、このコマンドの no 形式を使用します。
cts role-based sgt { sgt-value | any | unknown } dgt { dgt-value | unknown }
access-list list-name
no cts role-based sgt { sgt-value | any | unknown } dgt { dgt-value | unknown }
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、SGACL の SGT マッピングを設定する例を示します。
次に、SGACL の SGT マッピングを削除する例を示します。
|
|
---|---|
IP アドレスと Cisco TrustSec セキュリティ グループ タグ(SGT)のマッピングを手動で設定するには、 cts role-based sgt-map コマンドを使用します。SGT を削除するには、このコマンドの no 形式を使用します。
cts role-based sgt-map ipv4-address sgt-value
no cts role-based sgt-map ipv4-address
グローバル コンフィギュレーション
VLAN コンフィギュレーション
VRF コンフィギュレーション
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、Cisco TrustSec SGT のマッピングを設定する例を示します。
次に、Cisco TrustSec SGT のマッピングを削除する例を示します。
|
|
---|---|
Cisco TrustSec セキュリティ グループ タグ(SGT)を設定するには、 cts sgt コマンドを使用します。
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、デバイスの Cisco TrustSec SGT を設定する例を示します。
|
|
---|---|
Cisco TrustSec の SGT Exchange Protocol(SXP)ピア接続を設定するには、 cts sxp connection peer コマンドを使用します。SXP 接続を削除するには、このコマンドの no 形式を使用します。
cts sxp connection peer peer-ipv4-addr [ source src-ipv4-addr ] password { default | none | required { password | 7 encrypted-password }} mode { speaker | listener } [ vrf vrf-name ]
no cts sxp connection peer peer-ipv4-addr [ vrf vrf-name ]
テキスト パスワードをクリアします。パスワードには英数字を使用します。大文字と小文字が区別され、最大 32 文字まで指定可能です。 |
|
デバイスの設定済みデフォルト SXP パスワード
デバイスの設定済みデフォルト SXP 送信元 IPv4 アドレス
デフォルト VRF
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
Cisco TrustSec では、IPv4 アドレッシングだけを使用できます。
送信元 IPv4 アドレスを指定しない場合は、 cts sxp default source-ip コマンドを使用してデフォルト SXP 送信元 IPv4 アドレスを設定する必要があります。
デフォルトをパスワード モードで指定する場合は、 cts sxp default password コマンドを使用してデフォルト SXP パスワードを設定する必要があります。
|
|
---|---|
デバイスのデフォルト SGT Exchange Protocol(SXP)パスワードを設定するには、 cts sxp default password コマンドを使用します。デフォルトを削除するには、このコマンドの no 形式を使用します。
cts sxp default password { password | 7 encrypted-password }
テキスト パスワードをクリアします。パスワードには英数字を使用します。大文字と小文字が区別され、最大 32 文字まで指定可能です。 |
|
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、デバイスのデフォルト SXP パスワードを設定する例を示します。
次に、デフォルト SXP パスワードを削除する例を示します。
|
|
---|---|
デバイスのデフォルト SGT Exchange Protocol(SXP)送信元 IPv4 アドレスを設定するには、 cts sxp default source-ip コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cts sxp default source-ip ipv4-address
no cts sxp default source-ip ipv4-address
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
次に、デバイスのデフォルト SXP 送信元 IP アドレスを設定する例を示します。
次に、デフォルト SXP 送信元 IP アドレスを削除する例を示します。
|
|
---|---|
デバイス上の SGT Exchange Protocol(SXP)ピアをイネーブルにするには、 cts sxp enable コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
|
|
---|---|
SGT Exchange Protocol(SXP)復帰期間タイマーを設定するには、 cts sxp reconcile-period コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cts sxp reconcile-period seconds
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
ピアが SXP 接続を終了すると、内部ホールドダウン タイマーが開始されます。内部ホールドダウン タイマーが終了する前にピアが再接続すると、SXP 復帰期間タイマーが開始されます。SXP 復帰期間タイマーがアクティブな間、Cisco NX-OS ソフトウェアは前回の接続で学習した SGT マッピング エントリを保持し、無効なエントリを削除します。
(注) SXP 復帰期間を 0 秒に設定すると、タイマーがディセーブルになり、前回の接続のすべてのエントリが削除されます。
|
|
---|---|
SGT Exchange Protocol(SXP)リトライ期間タイマーを設定するには、 cts sxp retry-period コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
SXP リトライ期間によって、Cisco NX-OS ソフトウェアが SXP 接続を再試行する頻度が決まります。SXP 接続が正常に確立されなかった場合、Cisco NX-OS ソフトウェアは SXP リトライ期間タイマーの終了後に、新たな接続の確立を試行します。
(注) SXP リトライ期間を 0 秒に設定すると、タイマーがディセーブルになり、再試行は実行されません。
次に、SXP リトライ期間をデフォルト値に戻す例を示します。
|
|
---|---|