Cisco NX-OS Security コマンド レファレンス Release 4.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: P コマンド
P コマンド
password strength-check
パスワード長のチェックをイネーブルにするには、 password strength-check コマンドを使用します。パスワード長のチェックをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
パスワード長のチェックをイネーブルにした場合、NX-OS ソフトウェアで作成できるのは強化パスワードだけです。強化パスワードの特性は、次のとおりです。
例
次に、パスワード長のチェックをイネーブルにする例を示します。
次に、パスワード長のチェックをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
periodic
1 週間に 1 回以上アクティブにする時間範囲を指定するには、 periodic コマンドを使用します。定期的な時間範囲を削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] periodic weekday time to [ weekday ] time
no { sequence-number | periodic weekday time to [ weekday ] time }
[ sequence-number ] periodic list-of-weekdays time to time
no { sequence-number | periodic list-of-weekdays time to time }
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、weekend-remote-access-times という時間範囲を作成し、土曜と日曜の午前 4 時から午後 10 時までの間、トラフィックを許可する定期ルールを設定する例を示します。
次に、nwf-evening という時間範囲を作成し、月曜、水曜、金曜の午後 6 時から午後 10 時までの間、トラフィックを許可する定期ルールを設定する例を示します。
関連コマンド
|
|
|
|---|---|
permit(ARP)
条件と一致する ARP トラフィックを許可する ARP ACL ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
[ sequence-number ] permit request ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
[ sequence-number ] permit response ip { any | host sender-IP | sender-IP sender-IP-mask } { any | host target-IP | target-IP target-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ any | host target-MAC | target-MAC target-MAC-mask ] [ log ]
no permit ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
no permit request ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
no permit response ip { any | host sender-IP | sender-IP sender-IP-mask } { any | host target-IP | target-IP target-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ any | host target-MAC | target-MAC target-MAC-mask ] [ log ]
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
新しく作成した ARP ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号が割り当てられます。
パケットに ARP ACL が適用されると、ACL 内のすべてのルールに対してパケットが評価されます。パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、シーケンス番号が最も低いルールが施行されます。
response または request のキーワードをどちらも指定しないと、任意の ARP メッセージを含むパケットにルールが適用されます。
例
次に、arp-acl-o1 という ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始し、10.32.143.0 サブネット内の送信元 IP アドレスを含む ARP 要求メッセージを許可するルールを追加する例を示します。
関連コマンド
|
|
|
|---|---|
permit(IPv4)
条件と一致するトラフィックを許可する IPv4 Access Control List(ACL; アクセス コントロール リスト)ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit protocol source destination [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
no permit protocol source destination [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)
[ sequence-number ] permit icmp source destination [ icmp-message ] [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)
[ sequence-number ] permit igmp source destination [ igmp-message ] [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
Internet Protocol v4(IPv4; インターネット プロトコル v4)
[ sequence-number ] permit ip source destination [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
Transmission Control Protocol(TCP)
[ sequence-number ] permit tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ] [ flags ] [established]
User Datagram Protocol(UDP; ユーザ データグラム プロトコル)
[ sequence-number ] permit udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
シンタックスの説明
デフォルト
新しく作成した IPv4 ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号が割り当てられます。
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
パケットに IPv4 ACL が適用されると、ACL 内のすべてのルールに対してパケットが評価されます。パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、シーケンス番号が最も低いルールが施行されます。
source および destination 引数は、次のいずれかの方法で指定できます。どのルールも、一方の引数の指定方法によって、他方の引数の指定方法が決まることはありません。ルールの設定時に使用できる source および destination 引数の指定方法は、次のとおりです。
•
IP アドレス グループ オブジェクト ― IPv4 アドレス グループ オブジェクトを使用して、 source または destination 引数を指定できます。IPv4 アドレス グループ オブジェクトを作成および変更するには、 object-group ip address コマンドを使用します。シンタックスは、次のとおりです。
次に、lab-gateway-svrs という名前の IPv4 アドレス オブジェクト グループを使用して destination 引数を指定する例を示します。
• アドレスおよびネットワーク ワイルドカード ― IPv4 アドレスおよびネットワーク ワイルドカードを使用して、送信元または宛先とするホストまたはネットワークを指定できます。シンタックスは、次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよびネットワーク ワイルドカードを使用して、 source 引数を指定する例を示します。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク) ― IPv4 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。シンタックスは、次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス ― host キーワードおよび IPv4 アドレスを使用して、送信元または宛先とするホストを指定できます。シンタックスは、次のとおりです。
このシンタックスは、 IPv4-address /32 および IPv4-address 0.0.0.0 と同じです。
次に、 host キーワードおよび 192.168.67.132 IPv4 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス ― any キーワードを使用して、送信元または宛先として任意の IPv4 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
icmp-message 引数には、0 ~ 255 の整数である ICMP メッセージ番号を指定します。また、次のいずれかのキーワードを指定できます。
• administratively-prohibited ― 管理上の禁止
• general-parameter-problem ― パラメータの問題
• host-precedence-unreachable ― 優先順位のホスト到達不能
• host-tos-redirect ― ToS ホスト リダイレクト
• host-tos-unreachable ― ToS ホスト到達不能
• mobile-redirect ― モバイル ホスト リダイレクト
• net-redirect ― ネットワーク リダイレクト
• net-tos-redirect ― ToS ネット リダイレクト
• net-tos-unreachable ― ToS ネット到達不能
• no-room-for-option ― パラメータが必要だが空きなし
• option-missing ― パラメータが必要だが存在しない
• packet-too-big ― フラグメンテーションが必要、DF 設定
• parameter-problem ― すべてのパラメータの問題
• precedence-unreachable ― 優先順位カットオフ
• protocol-unreachable ― プロトコル到達不能
• reassembly-timeout ― 再構成タイムアウト
• router-advertisement ― ルータ ディスカバリ アドバタイズメント
• router-advertisement ― ルータ ディスカバリ アドバタイズメント
• source-route-failed ― 送信元ルート障害
• time-exceeded ― すべてのタイム超過メッセージ
• timestamp-request ― タイムスタンプ要求
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bgp ― Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
domain ― Domain Name Service(DNS; ドメイン ネーム サービス)(53)
drip ― Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
ftp ― File Transfer Protocol(FTP; ファイル転送プロトコル)(21)
irc ― Internet Relay Chat(IRC; インターネット リレー チャット)(194)
nntp ― Network News Transport Protocol(NNTP)(119)
pim-auto-rp ― PIM Auto-RP(496)
pop2 ― Post Office Protocol v2(POP2)(19)
pop3 ― Post Office Protocol v3(POP3)(11)
smtp ― Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
sunrpc ― Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs ― TAC Access Control System(49)
uucp ― UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bootpc ― Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
bootps ― Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)サーバ(67)
dnsix ― DNSIX セキュリティ プロトコル監査(195)
domain ― Domain Name Service(DNS; ドメイン ネーム サービス)(53)
isakmp ― Internet Security Association and Key Management Protocol(ISAKMP)(5)
mobile-ip ― モバイル IP レジストレーション(434)
nameserver ― IEN116 ネーム サービス(旧式、42)
netbios-dgm ― NetBIOS データグラム サービス(138)
netbios-ns ― NetBIOS ネーム サービス(137)
netbios-ss ― NetBIOS セッション サービス(139)
non500-isakmp ― Internet Security Association and Key Management Protocol(ISAKMP)(45)
ntp ― Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
pim-auto-rp ― PIM Auto-RP(496)
rip ― Routing Information Protocol(RIP)(ルータ、in.routed、52)
snmp ― Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
sunrpc ― Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs ― TAC Access Control System(49)
tftp ― Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
例
次に、acl-lab-01 という IPv4 ACL を作成し、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP および UDP トラフィックを許可するルールを設定する例を示します。
次に、acl-eng-to-marketing という IPv4 ACL を作成し、eng_workstations という IP アドレス オブジェクト グループから marketing_group という IP アドレス オブジェクト グループへのすべての IP トラフィックを許可するルールを設定する例を示します。
関連コマンド
|
|
|
|---|---|
permit(MAC)
条件と一致するトラフィックを許可する MAC ACL ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit source destination [ protocol ] [cos cos-value ] [vlan VLAN-ID ]
no permit source destination [ protocol ] [cos cos-value ] [vlan VLAN-ID ]
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
新しく作成した MAC ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号が割り当てられます。
パケットに MAC ACL が適用されると、ACL 内のすべてのルールに対してパケットが評価されます。パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、シーケンス番号が最も低いルールが施行されます。
source および destination 引数は、次のどちらかの方法で指定できます。どのルールも、一方の引数の指定方法によって、他方の引数の指定方法が決まることはありません。ルールの設定時に使用できる source および destination 引数の指定方法は、次のとおりです。
• アドレスおよびマスク ― MAC アドレスのあとにマスクを指定して、1 つのアドレスまたはアドレス グループを指定できます。シンタックスは、次のとおりです。
次に、 source 引数に、MAC アドレス 00c0.4f03.0a72 を指定する例を示します。
次に、 destination 引数に、MAC ベンダー コードが 00603e のすべてのホストの MAC アドレスを指定する例を示します。
• 任意のアドレス ― any キーワードを使用して、送信元または宛先として任意の MAC アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
protocol 引数には、MAC プロトコルの番号またはキーワードを指定します。プロトコル番号は、プレフィックスが 0x である 4 バイト 16 進値です。有効なプロトコル番号は 0x0 ~ 0xffff です。有効なキーワードは、次のとおりです。
• aarp ― Appletalk ARP(0x80f3)
• appletalk ― Appletalk(0x809b)
• decnet-iv ― DECnet Phase IV(0x6003)
• diagnostic ― DEC Diagnostic Protocol(0x6005)
• etype-6000 ― Ethertype 0x6000(0x6000)
• etype-8042 ― Ethertype 0x8042(0x8042)
• ip ― Internet Protocol v4(0x0800)
• lavc-sca ― DEC LAVC、SCA(0x6007)
• mop-console ― DEC MOP リモート コンソール(0x6002)
例
次に、mac-ip-filter という MAC ACL を作成し、2 つの MAC アドレス グループ間ですべての IPv4 トラフィックを許可するルールを設定する例を示します。
関連コマンド
|
|
|
|---|---|
permit(ロールベース アクセス コントロール リスト)
Security Group Access Control List(SGACL; セキュリティ グループ アクセス コントロール リスト)に許可ルールを設定するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
permit {all | icmp | igmp | ip | {{tcp | udp} [{src | dest} {{eq | gt | lt | neq} port-number } |
range port-number1 port-number2 }]}
no permit {all | icmp | igmp | ip | {{tcp | udp} [{src | dest} {{eq | gt | lt | neq} port-number } |
range port-number1 port-number2 }]}
シンタックスの説明
Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)トラフィックを指定します。 |
|
Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)トラフィックを指定します。 |
|
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
関連コマンド
|
|
|
|---|---|
permit interface
ユーザ ロール インターフェイス ポリシーでインターフェイスを許可するには、 permit interface コマンドを使用します。インターフェイスを拒否するには、このコマンドの no 形式を使用します。
permit interface {ethernet slot / port [ - port2 ]| interface-list }
シンタックスの説明
デフォルト
コマンド モード
ユーザ ロール インターフェイス ポリシー コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
interface policy deny コマンドを使用すると、 permit interface コマンドで許可したインターフェイスを除き、すべてのインターフェイスへのユーザ ロール アクセスが拒否されます。
例
次に、ユーザ ロール インターフェイス ポリシーでインターフェイス範囲を許可する例を示します。
次に、ユーザ ロール インターフェイス ポリシーでインターフェイスのリストを許可する例を示します。
次に、ユーザ ロール インターフェイス ポリシーでインターフェイスを拒否する例を示します。
関連コマンド
|
|
|
|---|---|
permit vlan
ユーザ ロール VLAN ポリシーで VLAN を許可するには、 permit vlan コマンドを使用します。VLAN を削除するには、このコマンドの no 形式を使用します。
permit vlan { vlan-id [- vlan-id2 ] | vlan-list }
シンタックスの説明
範囲の最後の VLAN 識別番号を指定します。この VLAN 識別番号は、範囲の最初の VLAN 識別番号より大きい数値でなければなりません。 |
|
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
vlan policy deny コマンドを使用すると、 permit vlan コマンドで許可した VLAN を除き、すべての VLAN へのユーザ ロール アクセスが拒否されます。
例
次に、ユーザ ロール VLAN ポリシーで VLAN 識別番号を許可する例を示します。
次に、ユーザ ロール VLAN ポリシーで VLAN 識別番号の範囲を許可する例を示します。
次に、ユーザ ロール VLAN ポリシーで VLAN 識別番号のリストを許可する例を示します。
次に、ユーザ ロール VLAN ポリシーから VLAN を削除する例を示します。
関連コマンド
|
|
|
|---|---|
permit vrf
ユーザ ロール VRF ポリシーで、Virtual Routing and Forwarding(VRF)インスタンスを許可するには、 permit vrf コマンドを使用します。VRF を削除するには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
vrf policy deny コマンドを使用すると、 permit vrf コマンドで許可した VRF を除き、すべての VRF へのユーザ ロール アクセスが拒否されます。
例
次に、ユーザ ロール VRF ポリシーで VRF 名を許可する例を示します。
次に、ユーザ ロール VRF ポリシーから VRF 名を削除する例を示します。
関連コマンド
|
|
|
|---|---|
platform access-list update
Access Control List(ACL; アクセス コントロール リスト)の変更により、スーパーバイザ モジュールで I/O モジュールをアップデートする方法を設定するには、 platform access-list コマンドを使用します。アトミック アップデートをディセーブルにするには、このコマンドの no 形式を使用します。
platform access-list update {atomic | default-result permit}
no platform access-list update {atomic | default-result permit}
シンタックスの説明
トラフィックを中断しないでアップデートを実行する、アトミック アップデートを指定します。NX-OS デバイスは、デフォルトでアトミック ACL アップデートを実行します。 |
|
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
NX-OS デバイスは、デフォルトで、アップデートした ACL が適用されるトラフィックを中断しない、アトミック ACL アップデートを実行します。ただし、アトミック アップデートでは、アップデート対象の I/O モジュールに、変更する ACL の各アップデート エントリを保管できるだけの十分なリソースが必要になります。アップデートが完了すると、アップデートに使用された追加リソースは解放されます。I/O モジュールのリソースが不足している場合、エラー メッセージが表示され、I/O モジュールの ACL アップデートは失敗します。
I/O モジュールのリソースが不足している場合は、 no platform access-list update atomic コマンドを使用して、アトミック アップデートをディセーブルにできます。ただし、ACL をアップデートして旧 ACL を削除するまでの短い処理時間中、ACL が適用されるトラフィックはデフォルトでドロップされます。
非アトミック アップデートの実行中に、アップデートした ACL が適用されるすべてのトラフィックを許可したい場合は、 platform access-list update default-result permit コマンドを使用します。
例
次に、ACL のアトミック アップデートをディセーブルにする例を示します。
次に、ACL の非アトミック アップデート中に、対象トラフィックが許可されるように設定する例を示します。
次に、再びアトミック アップデートが実行されるように設定する例を示します。
関連コマンド
|
|
|
|---|---|
platform rate-limit
出力トラフィックのレート制限をパケット/秒単位で設定するには、 platform rate-limit コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
platform rate-limit {access-list-log | copy | layer-2 {port-security | storm-control} | layer-3 { control | glean | mtu | multicast {directly-connect | local-groups | rpf-leak} | ttl } | receive} packets
no platform rate-limit {access-list-log | copy | layer-2 {port-security | storm-control} | layer-3 { control | glean | mtu | multicast {directly-connect | local-groups | rpf-leak} | ttl } | receive} [ packets ]
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、制御パケットのレート制限をデフォルトの設定に戻す例を示します。
関連コマンド
|
|
|
|---|---|
police
コントロール プレーン ポリシー マップのクラス マップにポリシングを設定するには、 police コマンドを使用します。コントロール プレーン ポリシー マップのクラス マップからポリシングを削除するには、このコマンドの no 形式を使用します。
police [ cir ] cir-rate [ bps | gbps | kbps | mbps | pps ]
police [ cir ] cir-rate [ bps | gbps | kbps | mbps ] [ bc ] burst-size [ bytes | kbytes | mbytes | ms | packets | us]
police [ cir ] cir-rate [ bps | gbps | kbps | mbps | pps ]
conform { drop | set-cos-transmit cos-value | set-dscp-transmit dscp-value | set-prec-transmit prec-valu e | transmit } [ exceed { drop | set dscp dscp table cir-markdown-map | transmit }] [ violate { drop | set dscp dscp table pir-markdown-map | transmit }]
police [ cir ] cir-rate [ bps | gbps | kbps | mbps | pps ]
pir pir-rate [ bps | gbps | kbps | mbps ] [[ be ] extended-burst-size [ bytes | kbytes | mbytes | ms | packets | us]]
no police [ cir ] cir-rate [ bps | gbps | kbps | mbps | pps ]
n o police [ cir ] cir-rate [ bps | gbps | kbps | mbps | pps ] [ bc ] burst-size [ bytes | kbytes | mbytes | ms | packets | us]
no police [ cir ] cir-rate [ bps | gbps | kbps | mbps | pps ]
conform { drop | set-cos-transmit cos-value | set-dscp-transmit dscp-value | set-prec-transmit prec-valu e | transmit } [ exceed { drop | set dscp dscp table cir-markdown-map | transmit }] [ violate { drop | set dscp dscp table pir-markdown-map | transmit }]
no police [ cir ] cir-rate [ bps | gbps | kbps | mbps | pps ]
pir pir-rate [ bps | gbps | kbps | mbps | pps ] [[ be ] extended-burst-size [ bytes | kbytes | mbytes | ms | packets | us]]
シンタックスの説明
(任意)トラフィック レートの単位として、ビット/秒、ギガビット/秒、キロビット/秒、メガビット/秒、またはパケット/秒を指定します。 |
|
IPv4 および IPv6 パケットの Differentiated Services Code Point(DSCP; DiffServ コード ポイント)を指定します。範囲は 0 ~ 63 です。 |
|
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、コントロール プレーン ポリシー マップを指定して、ポリシー マップ コンフィギュレーション モードを開始する例を示します。
次に、コントロール プレーン ポリシー マップを削除する例を示します。
関連コマンド
|
|
|
|---|---|
コントロール プレーン ポリシー マップにコントロール プレーン クラス マップを指定して、ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
policy
Cisco TrustSec デバイス識別情報または Security Group Tag(SGT; セキュリティ グループ タグ)を使用して、インターフェイス上に Cisco TrustSec 認証ポリシーを手動で設定するには、 policy コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
policy {dynamic identity device-id | static sgt sgt-value [trusted]}
シンタックスの説明
デフォルト
コマンド モード
Cisco TrustSec マニュアル コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
設定を有効にするには、このコマンドの使用後に、 shutdown / no shutdown コマンド シーケンスを使用して、インターフェイスをディセーブルにしてから、再びイネーブルにする必要があります。、
例
次に、インターフェイスにダイナミック Cisco TrustSec ポリシーを手動で設定する例を示します。
次に、手動で設定したダイナミック Cisco TrustSec ポリシーをインターフェイスから削除する例を示します。
次に、インターフェイスにスタティック Cisco TrustSec ポリシーを手動で設定する例を示します。
次に、手動で設定したスタティック Cisco TrustSec ポリシーをインターフェイスから削除する例を示します。
関連コマンド
|
|
|
|---|---|
policy-map type control-plane
コントロール プレーン ポリシー マップを作成または指定して、ポリシー マップ コンフィギュレーション モードを開始するには、 policy-map type control-plane コマンドを使用します。コントロール プレーン ポリシー マップを削除するには、このコマンドの no 形式を使用します。
policy-map type control-plane policy-map-name
no policy-map type control-plane policy-map-name
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、コントロール プレーン ポリシー マップを指定して、ポリシー マップ コンフィギュレーション モードを開始する例を示します。
次に、コントロール プレーン ポリシー マップを削除する例を示します。
関連コマンド
|
|
|
|---|---|
propagate-sgt
レイヤ 2 Cisco TrustSec インターフェイス上で SGT 伝搬をイネーブルにするには、 propagate-sgt コマンドを使用します。SGT 伝搬をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
インターフェイスに接続しているピア デバイスが SGT タグ付きの Cisco TrustSec パケットを処理できない場合には、インターフェイス上の SGT 伝搬機能をディセーブルに設定できます。
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
設定を有効にするには、このコマンドの使用後に、 shutdown / no shutdown コマンド シーケンスを使用して、インターフェイスをディセーブルにしてから、再びイネーブルにする必要があります。、
例
関連コマンド
|
|
|
|---|---|
フィードバック