この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
アカウンティングの Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)方式を設定するには、 aaa accounting default コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa accounting default {group group-list | local}
no aaa accounting default {group group-list | local}
サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 • radius ― 設定済みのすべての RADIUS サーバ。 |
|
|
|
group group-list 方式は、以前に定義された一連のサーバを指します。ホスト サーバを設定するには、 radius-server host および tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
group 方式、 local 方式、または両方を指定した場合にそれらの方式が失敗すると、アカウンティング認証は失敗します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
次に、AAA アカウンティングに任意の RADIUS サーバを設定する例を示します。
|
|
---|---|
802.1X 認証の AAA アカウンティング方式を設定するには、 aaa accounting dot1x コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa accounting dot1x {group group-list | local}
no aaa accounting dot1x {group group-list | local}
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
|
|
|
group group-list 方式は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
group 方式、 local 方式、または両方を指定した場合にそれらの方式が失敗すると、アカウンティング認証は失敗します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
次に、AAA アカウンティングに任意の RADIUS サーバを設定する例を示します。
|
|
---|---|
Cisco TrustSec 認証のデフォルト AAA RADIUS サーバ グループを設定するには、 aaa authentication cts default group コマンドを使用します。デフォルト AAA 認証サーバ グループ リストからサーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa authentication cts default group group-list
no aaa authentication cts default group group-list
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
次に、Cisco TrustSec のデフォルト AAA 認証 RADIUS サーバ グループを設定する例を示します。
|
|
---|---|
802.1X の AAA 認証方式を設定するには、 aaa authentication dot1x default group コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication dot1x default group group-list
no aaa authentication dot1x default group group-list
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
|
|
802.1X を設定する前に feature dot1x コマンドを使用する必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
次に、デフォルトの 802.1X 認証方式に戻す例を示します。
|
|
---|---|
EAP over UDP(EoU)の AAA 認証方式を設定するには、 aaa authentication eou default group コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication eou default group group-list
no aaa authentication eou default group group-list
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
|
|
デフォルト EAPoUDP 認証方式を設定する前に、 feature eou コマンドを使用して EAPoUDP をイネーブルにする必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
次に、デフォルトの EAPoUDP 認証方式に戻す例を示します。
|
|
---|---|
コンソール ログインの AAA 認証方式を設定するには、 aaa authentication login console コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login console {group group-list } [none] | local | none}
no aaa authentication login console {group group-list [none] | local | none}
サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 • radius ― 設定済みのすべての RADIUS サーバ |
|
|
|
group radius、group tacacs+ 、および group group-list 方式は、以前に定義された RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host または tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
group 方式または local 方式を指定した場合にそれらの方式が失敗すると、認証は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。
次に、コンソール ログインの AAA 認証方式を設定する例を示します。
次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。
|
|
---|---|
デフォルト AAA 認証方式を設定するには、 aaa authentication login default コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login default {group group-list } [none] | local | none}
no aaa authentication login default {group group-list [none] | local | none}
サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 • radius ― 設定済みのすべての RADIUS サーバ |
|
|
|
group radius、group tacacs+ 、および group group-list 方式は、以前に定義された RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host または tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
group 方式または local 方式を指定した場合にそれらの方式が失敗すると、認証は失敗します。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。
次に、コンソール ログインの AAA 認証方式を設定する例を示します。
次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。
|
|
---|---|
コンソールに AAA 認証失敗メッセージが表示されるように設定するには、 aaa authentication login error-enable コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login error-enable
no aaa authentication login error-enable
|
|
ログイン時にリモート AAA サーバからの応答がない場合には、ローカル ユーザ データベースへのロールオーバーによってログインが続行されます。そのような場合に、ログイン失敗メッセージの表示がイネーブルになっていると、ユーザ端末に次のメッセージが表示されます。
次に、AAA 認証失敗メッセージのコンソールへの表示をイネーブルにする例を示します。
次に、AAA 認証失敗メッセージのコンソールへの表示をディセーブルにする例を示します。
|
|
---|---|
ログイン時の Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)認証をイネーブルにするには、 aaa authentication login mschap コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login mschap
no aaa authentication login mschap
|
|
|
|
---|---|
Cisco TrustSec 認可のデフォルト AAA RADIUS サーバ グループを設定するには、 aaa authorization cts default group コマンドを使用します。デフォルト AAA 認可サーバ グループ リストからサーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa authorization cts default group group-list
no aaa authorization cts default group group-list
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
次に、Cisco TrustSec のデフォルト AAA 認可 RADIUS サーバ グループを設定する例を示します。
|
|
---|---|
RADIUS サーバ グループを作成して、RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。RADIUS サーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa group server radius group-name
no aaa group server radius group-name
|
|
次に、RADIUS サーバ グループを作成し、RADIUS サーバ設定モードを開始する例を示します。
次に、RADIUS サーバ グループを削除する例を示します。
|
|
---|---|
TACACS+ サーバ グループを作成して、TACACS+ サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server tacacs+ コマンドを使用します。TACACS+ サーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa group server tacacs+ group-name
no aaa group server tacacs+ group-name
TACACS+ サーバ グループ名。名前には英数字を使用します。大文字と小文字が区別され、最大 64 文字まで可能です。 |
|
|
次に、TACACS+ サーバ グループを作成し、TACACS+ サーバ設定モードを開始する例を示します。
次に、TACACS+ サーバ グループを削除する例を示します。
|
|
---|---|
ユーザ ロールを持たないリモート ユーザが、RADIUS または TACACS+ 経由でデフォルト ユーザ ロールを使用してデバイスにログインできるようにするには、 aaa user default-role コマンドを使用します。リモート ユーザのデフォルト ユーザ ロールをディセーブルにするには、このコマンドの no 形式を使用します。
|
|
Virtual Device Context(VDC; バーチャル デバイス コンテキスト)のこの機能は、必要に応じてイネーブルまたはディセーブルにできます。デフォルト VDC の場合、デフォルト ロールは network-operator です。非デフォルト VDC の場合、デフォルト VDC は vdc-operator です。AAA デフォルト ユーザ ロール機能がディセーブルの場合は、ユーザ ロールを持たないリモート ユーザはデバイスにログインできません。
次に、リモート ユーザの AAA 認証のデフォルト ユーザ ロールをイネーブルにする例を示します。
次に、リモート ユーザの AAA 認証のデフォルト ユーザ ロールをディセーブルにする例を示します。
|
|
---|---|
特定の開始日時、特定の終了日時、またはその両方が指定された時間範囲を指定するには、 absolute コマンドを使用します。絶対時間範囲を削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] absolute [start time date ] [end time date ]
no { sequence-number | absolute [start time date ] [end time date ]}
|
|
start キーワードおよび end キーワードの両方を省略すると、デバイスは絶対時間範囲が常にアクティブであるとみなします。
time 引数は、 hours : minutes または hours : minutes : seconds の形式で 24 時間表記で指定します。たとえば、24 時間表記では 8:00 a.m. は 8:00、8:00 p.m. は 20:00 になります。
date 引数は、 day month year の形式で指定します。最小有効開始日時は 00:00:00 1 January 1970、最大有効開始日時は 23:59:59 31 December 2037 です。
次に、2007 年 9 月 17 日の午前 7 時に開始され、2007 年 9 月 19 日の午後 11 時 59 分 59 秒に終了する絶対時間ルールを作成する例を示します。
|
|
---|---|
別のデバイスとのキー交換時にデバイスがそのキーを受け入れる期間を指定するには、 accept-lifetime コマンドを使用します。期間を削除するには、このコマンドの no 形式を使用します。
accept-lifetime [local] start-time [duration duration-value | infinite | end-time ]
no accept-lifetime [local] start-time [duration duration-value | infinite | end-time ]
(任意)デバイスが設定された時間を現地時間として扱うように指定します。デフォルトでは、デバイスは start-time 引数および end-time 引数を UTC として扱います。 |
|
time of day 引数と date 引数の値についての詳細は、「使用上のガイドライン」セクションを参照してください。 |
|
|
デフォルトで、デバイスはすべての時間範囲ルールを UTC で解釈します。
デフォルトでは、別のデバイスとのキー交換時にデバイスがキーを受け入れる期間(受け入れライフタイム)は infinite です。つまり、キーは永久に有効です。
start-time 引数および end-time 引数の両方に、次の形式で時間と日付の要素が必要です。
hour [: minute [: second ]] month day year
24 時間表記で指定します。たとえば、24 時間表記では 8:00 a.m. は 8:00、8:00 p.m. は 20:00 になります。最小有効 start-time は 00:00:00 Jan 1 1970 であり、最大有効 start-time は 23:59:59 Dec 31 2037 です。
次に、2008 年 6 月 13 日の午前零時に開始され、2008 年 8 月 12 日の午後 11 時 59 分 59 秒に終了する受け入れライフタイムを作成する例を示します。
|
|
---|---|
パケットが VLAN Access Control List(VACL; VLAN アクセス コントロール リスト)の permit コマンドと一致した場合にデバイスが実行する処理を指定するには、 action コマンドを使用します。 action コマンドを削除するには、このコマンドの no 形式を使用します。
action redirect {ethernet slot / port | port-channel channel-number . subinterface-number }
no action redirect {ethernet slot / port | port-channel channel-number . subinterface-number }
(任意)デバイスが、パケットの宛先ポートに加え、キャプチャ機能がイネーブルになっているポートにパケットを転送するように指定します。 |
|
デバイスがパケットをリダイレクトするポート チャネル インターフェイスを指定します。 (注) channel-number 引数と subinterface-number 引数間には、ドット区切り文字が必要です。 |
|
|
action コマンドでは、パケットが match コマンドによって指定された ACL 内の条件に一致した場合にデバイスが実行する処理を指定します。
次に、vlan-map-01 という名前の VLAN アクセス マップを作成し、ip-acl-01 という名前の IPv4 ACL をマップに割り当て、デバイスが ACL と一致したパケットを転送するように指定し、マップと一致するトラフィックの統計情報をイネーブルにする例を示します。
|
|
---|---|
Access Control List(ACL; アクセス コントロール リスト)または VLAN アクセス マップの統計情報をイネーブルにします。 |
|
Address Resolution Protocol(ARP; アドレス解決プロトコル)ACL を作成するか、特定の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始するには、 arp access-list コマンドを使用します。ARP ACL を削除するには、このコマンドの no 形式を使用します。
arp access-list access-list-name
no arp access-list access-list-name
ARP ACL の名前。最大で 64 文字の英数字を使用でき、大文字と小文字が区別されます。名前にはスペースまたは引用符を含めることはできません。 |
|
|
DHCP スヌーピングを使用できない場合は、ARP ACL を使用して ARP トラフィックをフィルタリングします。
arp access-list コマンドを使用すると、デバイスによって ARP アクセス リスト コンフィギュレーション モードが開始されます。このモードでは、ARP deny コマンドおよび permit コマンドを使用して、ACL のルールを設定できます。指定の ACL が存在しない場合は、このコマンドを入力した時点でデバイスによって作成されます。
ARP ACL を VLAN に適用するには、 ip arp inspection filter コマンドを使用します。
次に、arp-acl-01 という名前の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始する例を示します。
|
|
---|---|