Cisco NX-OS Security コマンド レファレンス Release 4.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月15日
章のタイトル: A コマンド
- aaa accounting default
- aaa accounting dot1x
- aaa authentication cts default group
- aaa authentication dot1x default group
- aaa authentication eou default group
- aaa authentication login console
- aaa authentication login default
- aaa authentication login error-enable
- aaa authentication login mschap
- aaa authorization cts default group
- aaa group server radius
- aaa group server tacacs+
- aaa user default-role
- absolute
- accept-lifetime
- action
- arp access-list
A コマンド
aaa accounting default
アカウンティングの Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)方式を設定するには、 aaa accounting default コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa accounting default {group group-list | local}
no aaa accounting default {group group-list | local}
シンタックスの説明
サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 • |
|
radius ― 設定済みのすべての RADIUS サーバ。
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
group group-list 方式は、以前に定義された一連のサーバを指します。ホスト サーバを設定するには、 radius-server host および tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
group 方式、 local 方式、または両方を指定した場合にそれらの方式が失敗すると、アカウンティング認証は失敗します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
例
次に、AAA アカウンティングに任意の RADIUS サーバを設定する例を示します。
関連コマンド
|
|
|
|---|---|
aaa accounting dot1x
802.1X 認証の AAA アカウンティング方式を設定するには、 aaa accounting dot1x コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa accounting dot1x {group group-list | local}
no aaa accounting dot1x {group group-list | local}
シンタックスの説明
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
|
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
group group-list 方式は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
group 方式、 local 方式、または両方を指定した場合にそれらの方式が失敗すると、アカウンティング認証は失敗します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
例
次に、AAA アカウンティングに任意の RADIUS サーバを設定する例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication cts default group
Cisco TrustSec 認証のデフォルト AAA RADIUS サーバ グループを設定するには、 aaa authentication cts default group コマンドを使用します。デフォルト AAA 認証サーバ グループ リストからサーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa authentication cts default group group-list
no aaa authentication cts default group group-list
シンタックスの説明
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
例
次に、Cisco TrustSec のデフォルト AAA 認証 RADIUS サーバ グループを設定する例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication dot1x default group
802.1X の AAA 認証方式を設定するには、 aaa authentication dot1x default group コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication dot1x default group group-list
no aaa authentication dot1x default group group-list
シンタックスの説明
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
802.1X を設定する前に feature dot1x コマンドを使用する必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
例
次に、デフォルトの 802.1X 認証方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication eou default group
EAP over UDP(EoU)の AAA 認証方式を設定するには、 aaa authentication eou default group コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication eou default group group-list
no aaa authentication eou default group group-list
シンタックスの説明
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
デフォルト EAPoUDP 認証方式を設定する前に、 feature eou コマンドを使用して EAPoUDP をイネーブルにする必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
例
次に、デフォルトの EAPoUDP 認証方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login console
コンソール ログインの AAA 認証方式を設定するには、 aaa authentication login console コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login console {group group-list } [none] | local | none}
no aaa authentication login console {group group-list [none] | local | none}
シンタックスの説明
サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 • |
|
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
group radius、group tacacs+ 、および group group-list 方式は、以前に定義された RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host または tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
group 方式または local 方式を指定した場合にそれらの方式が失敗すると、認証は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。
例
次に、コンソール ログインの AAA 認証方式を設定する例を示します。
次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login default
デフォルト AAA 認証方式を設定するには、 aaa authentication login default コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login default {group group-list } [none] | local | none}
no aaa authentication login default {group group-list [none] | local | none}
シンタックスの説明
サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 • |
|
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
group radius、group tacacs+ 、および group group-list 方式は、以前に定義された RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host または tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
group 方式または local 方式を指定した場合にそれらの方式が失敗すると、認証は失敗します。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。
例
次に、コンソール ログインの AAA 認証方式を設定する例を示します。
次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login error-enable
コンソールに AAA 認証失敗メッセージが表示されるように設定するには、 aaa authentication login error-enable コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login error-enable
no aaa authentication login error-enable
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
ログイン時にリモート AAA サーバからの応答がない場合には、ローカル ユーザ データベースへのロールオーバーによってログインが続行されます。そのような場合に、ログイン失敗メッセージの表示がイネーブルになっていると、ユーザ端末に次のメッセージが表示されます。
例
次に、AAA 認証失敗メッセージのコンソールへの表示をイネーブルにする例を示します。
次に、AAA 認証失敗メッセージのコンソールへの表示をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login mschap
ログイン時の Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)認証をイネーブルにするには、 aaa authentication login mschap コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login mschap
no aaa authentication login mschap
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
aaa authorization cts default group
Cisco TrustSec 認可のデフォルト AAA RADIUS サーバ グループを設定するには、 aaa authorization cts default group コマンドを使用します。デフォルト AAA 認可サーバ グループ リストからサーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa authorization cts default group group-list
no aaa authorization cts default group group-list
シンタックスの説明
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに NX-OS ソフトウェアが各グループをチェックします。
例
次に、Cisco TrustSec のデフォルト AAA 認可 RADIUS サーバ グループを設定する例を示します。
関連コマンド
|
|
|
|---|---|
aaa group server radius
RADIUS サーバ グループを作成して、RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。RADIUS サーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa group server radius group-name
no aaa group server radius group-name
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、RADIUS サーバ グループを作成し、RADIUS サーバ設定モードを開始する例を示します。
次に、RADIUS サーバ グループを削除する例を示します。
関連コマンド
|
|
|
|---|---|
aaa group server tacacs+
TACACS+ サーバ グループを作成して、TACACS+ サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server tacacs+ コマンドを使用します。TACACS+ サーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa group server tacacs+ group-name
no aaa group server tacacs+ group-name
シンタックスの説明
TACACS+ サーバ グループ名。名前には英数字を使用します。大文字と小文字が区別され、最大 64 文字まで可能です。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、TACACS+ サーバ グループを作成し、TACACS+ サーバ設定モードを開始する例を示します。
次に、TACACS+ サーバ グループを削除する例を示します。
関連コマンド
|
|
|
|---|---|
aaa user default-role
ユーザ ロールを持たないリモート ユーザが、RADIUS または TACACS+ 経由でデフォルト ユーザ ロールを使用してデバイスにログインできるようにするには、 aaa user default-role コマンドを使用します。リモート ユーザのデフォルト ユーザ ロールをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
Virtual Device Context(VDC; バーチャル デバイス コンテキスト)のこの機能は、必要に応じてイネーブルまたはディセーブルにできます。デフォルト VDC の場合、デフォルト ロールは network-operator です。非デフォルト VDC の場合、デフォルト VDC は vdc-operator です。AAA デフォルト ユーザ ロール機能がディセーブルの場合は、ユーザ ロールを持たないリモート ユーザはデバイスにログインできません。
例
次に、リモート ユーザの AAA 認証のデフォルト ユーザ ロールをイネーブルにする例を示します。
次に、リモート ユーザの AAA 認証のデフォルト ユーザ ロールをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
absolute
特定の開始日時、特定の終了日時、またはその両方が指定された時間範囲を指定するには、 absolute コマンドを使用します。絶対時間範囲を削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] absolute [start time date ] [end time date ]
no { sequence-number | absolute [start time date ] [end time date ]}
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
start キーワードおよび end キーワードの両方を省略すると、デバイスは絶対時間範囲が常にアクティブであるとみなします。
time 引数は、 hours : minutes または hours : minutes : seconds の形式で 24 時間表記で指定します。たとえば、24 時間表記では 8:00 a.m. は 8:00、8:00 p.m. は 20:00 になります。
date 引数は、 day month year の形式で指定します。最小有効開始日時は 00:00:00 1 January 1970、最大有効開始日時は 23:59:59 31 December 2037 です。
例
次に、2007 年 9 月 17 日の午前 7 時に開始され、2007 年 9 月 19 日の午後 11 時 59 分 59 秒に終了する絶対時間ルールを作成する例を示します。
関連コマンド
|
|
|
|---|---|
accept-lifetime
別のデバイスとのキー交換時にデバイスがそのキーを受け入れる期間を指定するには、 accept-lifetime コマンドを使用します。期間を削除するには、このコマンドの no 形式を使用します。
accept-lifetime [local] start-time [duration duration-value | infinite | end-time ]
no accept-lifetime [local] start-time [duration duration-value | infinite | end-time ]
シンタックスの説明
(任意)デバイスが設定された時間を現地時間として扱うように指定します。デフォルトでは、デバイスは start-time 引数および end-time 引数を UTC として扱います。 |
|
| time of day 引数と date 引数の値についての詳細は、「使用上のガイドライン」セクションを参照してください。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトで、デバイスはすべての時間範囲ルールを UTC で解釈します。
デフォルトでは、別のデバイスとのキー交換時にデバイスがキーを受け入れる期間(受け入れライフタイム)は infinite です。つまり、キーは永久に有効です。
start-time 引数および end-time 引数の両方に、次の形式で時間と日付の要素が必要です。
hour [: minute [: second ]] month day year
24 時間表記で指定します。たとえば、24 時間表記では 8:00 a.m. は 8:00、8:00 p.m. は 20:00 になります。最小有効 start-time は 00:00:00 Jan 1 1970 であり、最大有効 start-time は 23:59:59 Dec 31 2037 です。
例
次に、2008 年 6 月 13 日の午前零時に開始され、2008 年 8 月 12 日の午後 11 時 59 分 59 秒に終了する受け入れライフタイムを作成する例を示します。
関連コマンド
|
|
|
|---|---|
action
パケットが VLAN Access Control List(VACL; VLAN アクセス コントロール リスト)の permit コマンドと一致した場合にデバイスが実行する処理を指定するには、 action コマンドを使用します。 action コマンドを削除するには、このコマンドの no 形式を使用します。
action redirect {ethernet slot / port | port-channel channel-number . subinterface-number }
no action redirect {ethernet slot / port | port-channel channel-number . subinterface-number }
シンタックスの説明
(任意)デバイスが、パケットの宛先ポートに加え、キャプチャ機能がイネーブルになっているポートにパケットを転送するように指定します。 |
|
デバイスがパケットをリダイレクトするポート チャネル インターフェイスを指定します。 
(注) channel-number 引数と subinterface-number 引数間には、ドット区切り文字が必要です。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
action コマンドでは、パケットが match コマンドによって指定された ACL 内の条件に一致した場合にデバイスが実行する処理を指定します。
例
次に、vlan-map-01 という名前の VLAN アクセス マップを作成し、ip-acl-01 という名前の IPv4 ACL をマップに割り当て、デバイスが ACL と一致したパケットを転送するように指定し、マップと一致するトラフィックの統計情報をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
Access Control List(ACL; アクセス コントロール リスト)または VLAN アクセス マップの統計情報をイネーブルにします。 |
|
arp access-list
Address Resolution Protocol(ARP; アドレス解決プロトコル)ACL を作成するか、特定の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始するには、 arp access-list コマンドを使用します。ARP ACL を削除するには、このコマンドの no 形式を使用します。
arp access-list access-list-name
no arp access-list access-list-name
シンタックスの説明
ARP ACL の名前。最大で 64 文字の英数字を使用でき、大文字と小文字が区別されます。名前にはスペースまたは引用符を含めることはできません。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
DHCP スヌーピングを使用できない場合は、ARP ACL を使用して ARP トラフィックをフィルタリングします。
arp access-list コマンドを使用すると、デバイスによって ARP アクセス リスト コンフィギュレーション モードが開始されます。このモードでは、ARP deny コマンドおよび permit コマンドを使用して、ACL のルールを設定できます。指定の ACL が存在しない場合は、このコマンドを入力した時点でデバイスによって作成されます。
ARP ACL を VLAN に適用するには、 ip arp inspection filter コマンドを使用します。
例
次に、arp-acl-01 という名前の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック