この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
アイデンティティ ポリシーを作成または指定して、アイデンティティ ポリシー コンフィギュレーション モードを開始するには、 identity policy コマンドを使用します。アイデンティティ ポリシーを削除するには、このコマンドの no 形式を使用します。
no identity policy policy-name
|
|
次に、アイデンティティ ポリシーを作成して、アイデンティティ ポリシー コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
Extensible Authentication Protocol over User Datagram Protocol(EAPoUDP)アイデンティティ プロファイルを作成して、アイデンティティ プロファイル コンフィギュレーション モードを開始するには、 identity profile eapoudp コマンドを使用します。EAPoUPD アイデンティティ プロファイル設定を削除するには、このコマンドの no 形式を使用します。
|
|
次に、EAPoUDP アイデンティティ プロファイルを作成して、アイデンティティ プロファイル コンフィギュレーション モードを開始する例を示します。
次に、EAPoUDP アイデンティティ プロファイル設定を削除する例を示します。
|
|
---|---|
ユーザ ロールに対してインターフェイス ポリシー コンフィギュレーション モードを開始するには、 interface policy deny コマンドを使用します。ユーザ ロールのインターフェイス ポリシーをデフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用すると、ユーザ ロール インターフェイス ポリシー コンフィギュレーション モードで permit interface コマンドを使用して許可したインターフェイスを除き、ユーザ ロールへのすべてのインターフェイスが拒否されます。
次に、ユーザ ロールに対して、ユーザ ロール インターフェイス ポリシー コンフィギュレーション モードを開始する例を示します。
次に、ユーザ ロールのインターフェイス ポリシーをデフォルト設定に戻す例を示します。
|
|
---|---|
IPv4 Access Control List(ACL; アクセス コントロール リスト)をインターフェイスのルータ ACL として適用するには、 ip access-group コマンドを使用します。インターフェイスから IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip access-group access-list-name { in | out }
no ip access-group access-list-name { in | out }
|
|
デフォルトでは、インターフェイスに IPv4 ACL は適用されません。
ip access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をルータ ACL として適用できます。
(注) VLAN インターフェイスを設定する前に、VLAN インターフェイスをグローバルでイネーブルにする必要があります。詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Command Reference, Release 5.x』の feature interface-vlan コマンドを参照してください。
• レイヤ 3 イーサネット ポートチャネル インターフェイスおよびサブインターフェイス
また、 ip access-group コマンドを使用して、次のインターフェイス タイプに対しても、IPv4 ACL をルータ ACL として適用できます。
• レイヤ 2 イーサネット ポートチャネル インターフェイス
ただし、 ip access-group コマンドを使用してレイヤ 2 に適用した ACL は、ポート モードをルーテッド(レイヤ 3)モードに変更しない限り、アクティブになりません。IPv4 ACL をポート ACL として適用するには、 ip port access-group コマンドを使用します。
IPv4 ACL を VLAN ACL として適用することもできます。詳細については、 match(VLAN アクセス マップ)の match(VLAN アクセス マップ) コマンドを参照してください。
ルータ ACL は、アウトバウンドまたはインバウンドのどちらかのトラフィックに適用されます。ACL がインバウンド トラフィックに適用されると、インバウンド パケットが ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットは引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはドロップされ、ICMP ホスト到達不能メッセージが戻されます。
アウトバウンド アクセス リストの場合は、受信したパケットはインターフェイスにルーティングされたあとで、ACL に対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットは指定された宛先に送信されます。最初の一致ルールによってパケットが拒否されると、そのパケットはドロップされ、ICMP ホスト到達不能メッセージが戻されます。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
次に、イーサネット インターフェイス 2/1 に対して、ip-acl-01 という IPv4 ACL を適用する例を示します。
次に、イーサネット インターフェイス 2/1 から、ip-acl-01 という IPv4 ACL を削除する例を示します。
|
|
---|---|
IPv4 Access Control List(ACL; アクセス コントロール リスト)を作成して、特定の ACL の IP アクセス リスト コンフィギュレーション モードを開始するには、 ip access-list コマンドを使用します。IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip access-list access-list-name
no ip access-list access-list-name
IPv4 ACL の名前。名前は最大 64 文字で、大文字と小文字を区別した英数字で指定します。スペースまたは引用符は使用できません。 |
|
|
IPv4 トラフィックをフィルタリングするには、IPv4 ACL を使用します。
ip access-list コマンドを使用すると、IP アクセス リスト コンフィギュレーション モードが開始されます。このモードで、IPv4 deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合は、このコマンドの入力時に新しい ACL が作成されます。
ACL をルータ ACL としてインターフェイスに適用するには、 ip access-group コマンドを使用します。ACL をポート ACL としてインターフェイスに適用するには、 ip port access-group コマンドを使用します。
すべての IPv4 ACL は、最終ルールとして、次の暗黙ルールが設定されます。
この暗黙ルールにより、一致しなかった IP トラフィックはすべて拒否されます。
IPv6 ACL と異なり、IPv4 ACL には、ネイバー探索プロセスをイネーブルにする暗黙ルールは追加されません。IPv4 では、IPv6 ネイバー探索プロセスと同等のアドレス解決プロトコル(ARP)は、別のデータリンク レイヤ プロトコルを使用します。デフォルトでは、IPv4 ACL は、インターフェイス上での ARP パケットの送受信を暗黙で許可します。
IPv4 ACL の各ルールの統計情報を記録するには、 statistics per-entry コマンドを使用します。デバイスは、暗黙ルールの統計情報を記録しません。暗黙の deny ip any any ルールに一致したパケットの統計情報を記録するには、まったく同じルールを明示的に設定する必要があります。
次に、ip-acl-01 という IPv4 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
ARP Access Control List(ACL; アクセス コントロール リスト)を VLAN リストに適用するには、 ip arp inspection filter コマンドを使用します。VLAN リストから ARP ACL を削除するには、このコマンドの no 形式を使用します。
ip arp inspection filter acl-name vlan vlan-list
no ip arp inspection filter acl-name vlan vlan-list
ARP ACL でフィルタリングする VLAN を指定します。 vlan-list 引数を使用すると、単一の VLAN ID、VLAN ID の範囲、またはカンマで区別された ID および範囲を指定できます(「例」を参照)。有効な VLAN ID は、1 ~ 4096 です。 |
|
|
次に、VLAN 15 および 37 ~ 48 に対して、arp-acl-01 という ARP ACL を適用する例を示します。
|
|
---|---|
VLAN の指定されたリストの Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)をイネーブルにします。 |
|
Dynamic ARP Inspection(DAI)ロギング バッファのサイズを設定するには、 ip arp inspection log-buffer コマンドを使用します。DAI ロギング バッファをデフォルトのサイズに戻すには、このコマンドの no 形式を使用します。
ip arp inspection log-buffer entries number
no ip arp inspection log-buffer entries number
|
|
次に、DAI ロギング バッファのサイズを設定する例を示します。
|
|
---|---|
レイヤ 2 インターフェイスを信頼できる ARP インターフェイスとして設定するには、 ip arp inspection trust コマンドを使用します。レイヤ 2 インターフェイスを信頼できない ARP インターフェイスとして設定するには、このコマンドの no 形式を使用します。
|
|
次に、レイヤ 2 インターフェイスを信頼できる ARP インターフェイスとして設定する例を示します。
|
|
---|---|
追加の Dynamic ARP Inspection(DAI)検証をイネーブルにするには、 ip arp inspection validate コマンドを使用します。追加の DAI をディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection validate { dst-mac [ ip ] [ src-mac ]}
ip arp inspection validate {[ dst-mac ] ip [ src-mac ]}
ip arp inspection validate {[ dst-mac ] [ ip ] src-mac }
no ip arp inspection validate { dst-mac [ ip ] [ src-mac ]}
no ip arp inspection validate {[ dst-mac ] ip [ src-mac ]}
no ip arp inspection validate {[ dst-mac ] [ ip ] src-mac }
|
|
|
|
---|---|
VLAN リストに対して Dynamic ARP Inspection(DAI)をイネーブルにするには、 ip arp inspection vlan コマンドを使用します。VLAN リストの DAI をディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection vlan vlan-list [ logging dhcp-bindings { permit | all | none }]
no ip arp inspection vlan vlan-list [ logging dhcp-bindings { permit | all | none }]
|
|
次に、VLAN 13、15、および 17 ~ 23 で DAI をイネーブルにする例を示します。
|
|
---|---|
DHCP スヌーピング機能による DHCP パケットの厳密な検証をイネーブルにするには、 ip dhcp packet strict-validation コマンドを使用します。DHCP パケットの厳密な検証をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
ip dhcp packet strict-validation コマンドを使用する前に、DHCP スヌーピングをイネーブルにする必要があります。
DHCP パケットの厳密な検証では、DCHP パケットの DHCP オプション フィールドの先頭 4 バイトの「magic cookie」値を含め、このオプション フィールドが有効であるかをチェックします。DHCP パケットの厳密な検証がイネーブルにされている場合、デバイスは検証に失敗した DHCP パケットをドロップします。
次に、DHCP パケットの厳密な検証をイネーブルにする例を示します。
|
|
---|---|
DHCP リレー エージェントによって転送される DHCP パケットの option-82 情報の挿入および削除をイネーブルにします。 |
|
DHCP リレー エージェントをイネーブルにするには、 ip dhcp relay コマンドを使用します。DHCP リレー エージェントをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
次に、DHCP スヌーピングをグローバルにイネーブルにする例を示します。
インターフェイス上に DHCP サーバの IP アドレスを設定するには、 ip dhcp relay address コマンドを使用します。DHCP サーバの IP アドレスを削除するには、このコマンドの no 形式を使用します。
ip dhcp relay address IP-address [use-vrf vrf-name ]
no ip dhcp relay address IP-address [use-vrf vrf-name ]
DHCP サーバが含まれる Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)インスタンスを指定します。 vrf-name 引数は VRF の名前です。DHCP サーバに接続されているインターフェイスの VRF メンバシップによって、DHCP が含まれる VRF が決まります。 |
|
|
レイヤ 3 イーサネット インターフェイスまたはサブインターフェイスの設定に、最大 4 つの ip dhcp relay address コマンドを追加できるようにりました。 |
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
レイヤ 3 イーサネット インターフェイスおよびサブインターフェイス、VLAN インターフェイス、およびレイヤ 3 ポート チャネルに、それぞれ最大 4 つの DHCP サーバ IP アドレスを設定できます。Cisco NX-OS Release 4.0.2 以前のリリースでは、1 つのインターフェイスに設定できる DHCP サーバ IP アドレスは 1 つだけです。
インターフェイス上にインバウンド DHCP BOOTREQUEST パケットが到達すると、リレー エージェントによって、そのインターフェイスに設定されているすべての DHCP サーバ IP アドレスに、パケットが転送されます。また、リレー エージェントにより、すべての DHCP サーバからの応答が、要求を送信したホストに戻されます。
次に、特定のレイヤ 3 イーサネット インターフェイス上で受信した BOOTREQUEST がリレー エージェントによって転送されるように、インターフェイスに 2 つの DHCP サーバ IP アドレスを設定する例を示します。
次に、VLAN インターフェイス上に DHCP サーバのIP アドレスを設定する例を示します。
次に、レイヤ 3 ポートチャネル インターフェイス上に DHCP サーバの IP アドレスを設定する例を示します。
リレー エージェントによって転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにするには、 ip dhcp relay information option コマンドを使用します。option-82 情報の挿入および削除をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp relay information option
no ip dhcp relay information option
デフォルトでは、リレー エージェントによって転送された DHCP パケットでの option-82 情報の挿入および削除は実行されません。
|
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
次に、DHCP リレー エージェントによって転送されるパケットでの option-82 情報の挿入および削除をイネーブルにする例を示します。
DHCP リレー エージェントの VRF サポートをイネーブルにするには、 ip dhcp relay information option vpn コマンドを使用します。VRF サポートをディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp relay information option vpn
no ip dhcp relay information option vpn
デフォルトで、デバイスは、DHCP クライアントが属する VRF 以外の別の VRF 内の DHCP サーバへの DHCP 要求の転送をサポートしていません。
|
|
このコマンドを使用するには、DHCP リレー エージェントの Option-82 情報の挿入をイネーブルにする必要があります( ip dhcp relay information option コマンドを参照してください)。
ある VRF 内のクライアントから、別の VRF 内の DHCP サーバに、DHCP ブロードキャスト メッセージを転送するように、DHCP リレー エージェントを設定できます。単一の DHCP サーバを使用して、複数の VRF 内のクライアントに DHCP サポートを提供することにより、VRF ごとに 1 つずつではなく、単一の IP アドレス プールを使用することで、IP アドレスを節約できます。
DHCP リレー アドレスおよび VRF 情報を使用して設定したインターフェイスに DHCP 要求が到着し、その DCHP サーバのアドレスが別の VRF のメンバーであるインターフェイス上のネットワークに属する場合、デバイスは要求に Option-82 情報を挿入し、それをサーバ VRF 内の DHCP サーバに転送します。別の VRF にリレーされる DHCP 要求にデバイスが追加する Option-82 情報には、次の内容が含まれます。
• VPN identifier(VPN ID):DHCP 要求を受信するインターフェイスがメンバーである VRF の名前を格納します。
• Link selection(リンク選択):DHCP 要求を受信するインターフェイスのサブネット アドレスを格納します。
• Server identifier override(サーバ ID 上書き):DHCP 要求を受信するインターフェイスの IP アドレスを格納します。
デバイスが DHCP 応答メッセージを受信すると、Option-82 情報を削除し、クライアント VRF 内の DHCP クライアントに応答を転送します。
次に、DHCP リレー エージェントの VRF サポートをイネーブルにする例を示します。これは DHCP リレー エージェントの Option-82 サポートのイネーブル化に依存します。さらに、DHCP サーバが SiteA という VRF にある場合に、レイヤ 3 インターフェイス上に DHCP サーバ アドレスを設定する例を示します。
DHCP で、link selection(リンク選択)、server ID override(サーバ ID 上書き)、VRF name/VPN ID(VRF 名/VPN ID)リレー エージェント option-82 サブオプションの入力時に、シスコ専用の番号 150、152、および 151 を使用できるようにするには、 ip dhcp relay sub-option type cisco コマンドを使用します。DHCP のこれらの専用の番号の使用をディセーブルにするには、コマンドの no 形式を使用します。
ip dhcp relay sub-option type cisco
no ip dhcp relay sub-option type cisco
ディセーブル。DHCP は link selection(リンク選択)、server ID override(サーバ ID 上書き)、VRF name/VPN ID(VRF 名/VPN ID)サブオプションに、それぞれ RFC 5 番、11 番、151 番を使用します。
|
|
次に、DHCP で、link selection(リンク選択)、server ID override(サーバ ID 上書き)、VRF name/VPN ID(VRF 名/VPN ID)リレー エージェント option-82 サブオプションの入力時に、シスコ専用の番号 150、152、および 151 を使用できるようにする例を示します。
|
|
---|---|
DHCP リレー エージェントによって転送される DHCP パケットの option-82 情報の挿入および削除をイネーブルにします。 |
|
デバイス上で DHCP スヌーピングをグローバルでイネーブルにするには、 ip dhcp snooping コマンドを使用します。DHCP スヌーピングをグローバルでディセーブルにするには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
no ip dhcp snooping コマンドを使用して DHCP スヌーピングをディセーブルにすると、デバイスの DHCP スヌーピング設定が保持されます。
次に、DHCP スヌーピングをグローバルにイネーブルにする例を示します。
|
|
---|---|
DHCP リレー エージェントを使用しないで転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにします。 |
|
DHCP パケットの option-82 情報の挿入および削除をイネーブルにするには、 ip dhcp snooping information option コマンドを使用します。option-82 情報の挿入および削除をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping information option
no ip dhcp snooping information option
|
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
次に、DHCP スヌーピングをグローバルにイネーブルにする例を示します。
|
|
---|---|
DHCP リレー エージェントによって転送される DHCP パケットの option-82 情報の挿入および削除をイネーブルにします。 |
|
インターフェイスを DHCP メッセージの信頼できる送信元として設定するには、 ip dhcp snooping trust コマンドを使用します。インターフェイスを DHCP メッセージの信頼できない送信元として設定するには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
DHCP メッセージの信頼できる送信元として設定できるのは、次のタイプのインターフェイスです。
次に、インターフェイスを DHCP メッセージの信頼できる送信元として設定する例を示します。
|
|
---|---|
DHCP リレー エージェントを使用しないで転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにします。 |
|
DHCP スヌーピングの MAC アドレス検証をイネーブルにするには、 ip dhcp snooping verify mac-address コマンドを使用します。DHCP スヌーピングの MAC アドレス検証をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping verify mac-address
no ip dhcp snooping verify mac-address
|
|
デフォルトでは、DHCP スヌーピングでの MAC アドレス検証はディセーブルです。
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
信頼できないインターフェイス上でパケットを受信し、パケットの送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合、そのパケットはアドレス検証によってドロップされます。
次に、DHCP スヌーピングの MAC アドレス検証をイネーブルにする例を示します。
|
|
---|---|
DHCP リレー エージェントを使用しないで転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにします。 |
|
1 つまたは複数の VLAN 上で DHCP スヌーピングをイネーブルにするには、 ip dhcp snooping vlan コマンドを使用します。1 つまたは複数の VLAN 上で DHCP スヌーピングをディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping vlan vlan-list
no ip dhcp snooping vlan vlan-list
DHCP スヌーピングをイネーブルにする VLAN 範囲。 vlan-list 引数を使用すると、単一の VLAN ID、VLAN ID の範囲、またはカンマで区別された ID および範囲を指定できます(「例」を参照)。有効な VLAN ID は、1 ~ 4096 です。 |
|
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
次に、VLAN 100、200、および 250 ~ 252 で DHCP スヌーピングをイネーブルにする例を示します。
|
|
---|---|
DHCP リレー エージェントを使用しないで転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにします。 |
|
IPv4 Access Control List(ACL; アクセス コントロール リスト)をインターフェイスのポート ACL として適用するには、 ip port access-group コマンドを使用します。インターフェイスから IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip port access-group access-list-name in
no ip port access-group access-list-name in
|
|
デフォルトでは、インターフェイスに IPv4 ACL は適用されません。
ip port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をポート ACL として適用できます。
• レイヤ 2 イーサネット ポートチャネル インターフェイス
また、 ip port access-group コマンドを使用して、次のインターフェイス タイプにも、IPv4 ACL をポート ACL として適用できます。
(注) VLAN インターフェイスを設定する前に、VLAN インターフェイスをグローバルでイネーブルにする必要があります。詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Command Reference, Release 5.x』の feature interface-vlan コマンドを参照してください。
• レイヤ 3 イーサネット ポートチャネル インターフェイスおよびサブインターフェイス
ただし、 ip port access-group コマンドを使用してレイヤ 3 インターフェイスに適用した ACL は、ポート モードをアクセスまたはトランク(レイヤ 2)モードに変更しない限り、アクティブになりません。IPv4 ACL をルータ ACL として適用するには、 ip access-group コマンドを使用します。
IPv4 ACL を VLAN ACL として適用することもできます。詳細については、 match(VLAN アクセス マップ)の match(VLAN アクセス マップ) コマンドを参照してください。
ポート ACL が適用されるのは、インバウンド トラフィックだけです。インバウンド パケットは、デバイス上で ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットは引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはドロップされ、ICMP ホスト到達不能メッセージが戻されます。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
レイヤ 2 インターフェイスで MAC パケット分類がイネーブルにされている場合、インターフェイス上では ip port access-group コマンドは使用できません。
次に、イーサネット インターフェイス 2/1 に対して、ip-acl-01 という IPv4 ACL をポート ACL として適用する例を示します。
次に、イーサネット インターフェイス 2/1 から、ip-acl-01 という IPv4 ACL を削除する例を示します。
次に、MAC パケット分類がイネーブルのときに、インターフェイスに IPv4 ポート ACL を適用すると表示される、イーサネット インターフェイスとエラー メッセージの設定を参照する方法を示します。
|
|
---|---|
RADIUS サーバ グループでグローバル ソース インターフェイスを割り当てるには、 ip radius source-interface コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip radius source-interface interface
ソース インターフェイス。サポートされるインターフェイス タイプは、 ethernet 、 loopback 、および mgmt 0 です。 |
|
|
次に、RADIUS サーバ グループのグローバル ソース インターフェイスを設定する例を示します。
次に、RADIUS サーバ グループのグローバル ソース インターフェイスを削除する例を示します。
|
|
---|---|
レイヤ 2 イーサネット インターフェイス用の固定 IP ソース エントリを作成するには、 ip source binding コマンドを使用します。固定 IP ソース エントリをディセーブルにするには、このコマンドの no 形式を使用します。
ip source binding IP-address MAC-address vlan vlan-id interface ethernet slot / port
no ip source binding IP-address MAC-address vlan vlan-id interface ethernet slot / port
|
|
次に、イーサネット インターフェイス 2/3 上に、VLAN 100 に関連付ける固定 IP ソース エントリを作成する例を示します。
|
|
---|---|
TACACS+ サーバ グループでグローバル ソース インターフェイスを割り当てるには、 ip tacacs source-interface コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip tacacs source-interface interface
ソース インターフェイス。サポートされるインターフェイス タイプは、 ethernet 、 loopback 、および mgmt 0 です。 |
|
|
次に、TACACS+ サーバ グループのグローバル ソース インターフェイスを設定する例を示します。
次に、TACACS+ サーバ グループのグローバル ソース インターフェイスを削除する例を示します。
|
|
---|---|
レイヤ 2 イーサネット インターフェイス上で IP ソース ガードをイネーブルにするには、 ip verify source dhcp-snooping-vlan コマンドを使用します。インターフェイス上で IP ソース ガードをディセーブルにするには、このコマンドの no 形式を使用します。
ip verify source dhcp-snooping-vlan
no ip verify source dhcp-snooping-vlan
|
|
次に、インターフェイス上で IP ソース ガードをイネーブルにする例を示します。
|
|
---|---|
インターフェイス上で Unicast Reverse Path Forwarding(ユニキャスト RPF)を設定するには、 ip verify unicast source reachable-via コマンドを使用します。インターフェイスからユニキャスト RPF を削除するには、このコマンドの no 形式を使用します。
ip verify unicast source reachable-via { any [ allow-default ] | rx }
no ip verify unicast source reachable-via { any [ allow-default ] | rx }
|
|
入力側インターフェイスで、次のユニキャスト RPFモードの 1 つを設定できます。
ストリクト ユニキャスト RPF モード:ストリクト モード チェックは、次の一致が検出された場合に成功します。
• ユニキャスト RPF が、Forwarding Information Base(FIB; 転送情報ベース)でパケット送信元アドレスの一致を検出。
• パケットを受信した入力側インターフェイスが、FIB 一致のユニキャスト PRF インターフェイスの 1 つと一致。
これらのチェックに失敗すると、パケットは廃棄されます。このタイプのユニキャスト RPF チェックは、パケット フローが対称であると想定される場所で使用できます。
ルーズ ユニキャスト RPF モード:ルーズ モード チェックは、FIB でのパケット送信元アドレスの検索が一致し、最低 1 つの実インターフェイスを経由して送信元に到達可能であるという FIB 結果が示された場合に成功します。パケットを受信した入力側インターフェイスが、FIB 結果のいずれかのインターフェイスと一致する必要はありません。
次に、インターフェイス上にルーズ ユニキャスト RPF チェックを設定する例を示します。
次に、インターフェイス上にストリクト ユニキャスト RPF チェックを設定する例を示します。
|
|
---|---|
IPv6 Access Control List(ACL; アクセス コントロール リスト)を作成して、特定の ACL の IP アクセス リスト コンフィギュレーション モードを開始するには、 ipv6 access-list コマンドを使用します。IPv6 ACL を削除するには、このコマンドの no 形式を使用します。
ipv6 access-list access-list-name
no ipv6 access-list access-list-name
|
|
IPv6 トラフィックをフィルタリングするには、IPv6 ACL を使用します。
ipv6 access-list コマンドを使用すると、IPv6 アクセス リスト コンフィギュレーション モードが開始されます。このモードで、IPv6 の deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合は、このコマンドの入力時に新しい ACL が作成されます。
ACL をルータ ACL としてインターフェイスに適用するには、 ipv6 traffic-filter コマンドを使用します。ACL をポート ACL としてインターフェイスに適用するには、 ipv6 port traffic-filter コマンドを使用します。
すべての IPv6 ACL は、最終ルールとして、次の暗黙ルールが設定されます。
ICMPv6 ネイバー探索メッセージを拒否するルールで IPv6 ACL を設定しなかった場合、最初の 4 つのルールにより、デバイスが、ネイバー探索アドバタイズメントおよび送信要求メッセージを許可します。5 番目のルールでは、一致しなかった IPv6 トラフィックは拒否されます。
IPv6 ACL の各ルールの統計情報を記録するには、 statistics per-entry コマンドを使用します。デバイスは、暗黙ルールの統計情報を記録しません。暗黙のルールに一致するパケットの統計情報を記録するには、各暗黙ルールの一致するルールを明示的に設定する必要があります。
(注) deny ipv6 any any ルールで IPv6 ACL を明示的に設定する場合、暗黙の許可ルールでは、トラフィックは許可されません。deny ipv6 any any ルールを明示的に設定するが、ICMPv6 ネイバー探索メッセージを許可する場合、5 つのすべての暗黙の IPv6 ACL ルールで、明示的にルールを設定します。
次に、ipv6-acl-01 という名前の IPv6 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
IPv6 Access Control List(ACL; アクセス コントロール リスト)をインターフェイスのポート ACL として適用するには、 ipv6 port traffic-filter コマンドを使用します。インターフェイスから IPv6 ACL を削除するには、このコマンドの no 形式を使用します。
ipv6 port traffic-filter access-list-name in
no ipv6 port traffic-filter access-list-name in
|
|
デフォルトでは、インターフェイスに IPv6 ACL は適用されません。
ipv6 port traffic-filter コマンドを使用することにより、次のインターフェイス タイプに対して、IPv6 ACL をポート ACL として適用できます。
• レイヤ 2 イーサネット ポートチャネル インターフェイス
ipv6 port traffic-filter コマンドを使用することにより、次のインターフェイス タイプに対して、IPv6 ACL をポート ACL として適用もできます。
(注) VLAN インターフェイスを設定する前に、VLAN インターフェイスをグローバルでイネーブルにする必要があります。詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Command Reference, Release 5.x』の feature interface-vlan コマンドを参照してください。
• レイヤ 3 イーサネット インターフェイスおよびサブインターフェイス
• レイヤ 3 イーサネット ポートチャネル インターフェイスおよびサブインターフェイス
ただし、 ipv6 port traffic-filter コマンドを使用してレイヤ 3 インターフェイスに適用した ACL は、ポート モードをアクセスまたはトランク(レイヤ 2)モードに変更しない限り、アクティブになりません。IPv6 ACL をルータ ACL として適用するには、 ipv6 traffic-filter コマンドを使用します。
IPv6 ACL を VLAN ACL として適用することもできます。詳細については、 match(VLAN アクセス マップ)の match(VLAN アクセス マップ) コマンドを参照してください。
ポート ACL が適用されるのは、インバウンド トラフィックだけです。インバウンド パケットは、デバイス上で ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットは引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはドロップされ、ICMP ホスト到達不能メッセージが戻されます。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
レイヤ 2 インターフェイスで MAC パケット分類がイネーブルにされている場合、インターフェイス上では ipv6 port traffic-filter コマンドは使用できません。
次に、イーサネット インターフェイス 1/3 に対して、ipv6-acl-L2 という IPv6 ACL を適用する例を示します。
次に、イーサネット インターフェイス 1/3 から、ipv6-acl-L2 という IPv6 ACL を削除する例を示します。
|
|
---|---|
IPv6 Access Control List(ACL; アクセス コントロール リスト)をインターフェイスのルータ ACL として適用するには、 ipv6 traffic-filter コマンドを使用します。インターフェイスから IPv6 ACL を削除するには、このコマンドの no 形式を使用します。
ipv6 traffic-filter access-list-name { in | out }
no ipv6 traffic-filter access-list-name { in | out }
|
|
デフォルトでは、インターフェイスに IPv6 ACL は適用されません。
ipv6 traffic-filter コマンドを使用することにより、次のインターフェイス タイプに対して、IPv6 ACL をルータ ACL として適用できます。
(注) VLAN インターフェイスを設定する前に、VLAN インターフェイスをグローバルでイネーブルにする必要があります。詳細については、『Cisco Nexus 7000 Series NX-OS Interfaces Command Reference, Release 5.x』の feature interface-vlan コマンドを参照してください。
• レイヤ 3 イーサネット インターフェイスおよびサブインターフェイス
• レイヤ 3 イーサネット ポートチャネル インターフェイスおよびサブインターフェイス
ipv6 traffic-filter コマンドを使用することにより、次のインターフェイス タイプに対して、IPv6 ACL をルータ ACL として適用もできます。
• レイヤ 2 イーサネット ポートチャネル インターフェイス
ただし、 ipv6 traffic-filter コマンドを使用してレイヤ 2 に適用した ACL は、ポート モードをルーテッド(レイヤ 3)モードに変更しない限り、アクティブになりません。IPv6 ACL をポート ACL として適用するには、 ipv6 port traffic-filter コマンドを使用します。
IPv6 ACL を VLAN ACL として適用することもできます。詳細については、 match(VLAN アクセス マップ)の match(VLAN アクセス マップ) コマンドを参照してください。
ルータ ACL は、アウトバウンドまたはインバウンドのどちらかのトラフィックに適用されます。ACL がインバウンド トラフィックに適用されると、インバウンド パケットが ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットは引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはドロップされ、ICMP ホスト到達不能メッセージが戻されます。
アウトバウンド アクセス リストの場合は、受信したパケットはインターフェイスにルーティングされたあとで、ACL に対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットは引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはドロップされ、ICMP ホスト到達不能メッセージが戻されます。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
次に、イーサネット インターフェイス 2/1 に対して、ipv6-acl-3A という IPv6 ACL を適用する例を示します。
次に、イーサネット インターフェイス 2/1 から、ipv6-acl-3A という IPv6 ACL を削除する例を示します。
|
|
---|---|