Cisco NX-OS Security コマンド レファレンス Release 4.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月15日
章のタイトル: D コマンド
- deadtime
- deny(ARP)
- deny(IPv4)
- deny(MAC)
- deny(ロールベース ACL)
- description(アイデンティティ ポリシー)
- description(ユーザ ロール)
- device
- dot1x default
- dot1x host-mode
- dot1x initialize
- dot1x mac-auth-bypass
- dot1x max-reauth-req
- dot1x max-req
- dot1x port-control
- dot1x radius-accounting
- dot1x re-authentication(EXEC)
- dot1x re-authentication(グローバル コンフィギュレーション、インターフェイス コンフィギュレーション)
- dot1x system-auth-control
- dot1x timeout quiet-period
- dot1x timeout ratelimit-period
- dot1x timeout re-authperiod
- dot1x timeout server-timeout
- dot1x timeout supp-timeout
- dot1x timeout tx-period
D コマンド
deadtime
RADIUS または TACACS+ サーバ グループのデッド タイム間隔を設定するには、 deadtime コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
(注) デッド タイム間隔をゼロ(0)に設定すると、タイマーがディセーブルになります。 |
デフォルト
コマンド モード
RADlUS サーバ グループ コンフィギュレーション
TACACS+ サーバ グループ コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、RADIUS サーバ グループのデッド タイム間隔を 2 分に設定する例を示します。
次に、TACACS+ サーバ グループのデッド タイム間隔を 5 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
deny(ARP)
条件に一致する ARP トラフィックを拒否する ARP ACL ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
[ sequence-number ] deny request ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
[ sequence-number ] deny response ip { any | host sender-IP | sender-IP sender-IP-mask } { any | host target-IP | target-IP target-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ any | host target-MAC | target-MAC target-MAC-mask ] [ log ]
no deny ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
no deny request ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
no deny response ip { any | host sender-IP | sender-IP sender-IP-mask } { any | host target-IP | target-IP target-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ any | host target-MAC | target-MAC target-MAC-mask ] [ log ]
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
新規に作成された ARP ACL にはルールが含まれません。
シーケンス番号を指定しない場合は、デバイスによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます
デバイスは、パケットに ARP ACL を適用する時点で、ACL 内のすべてのルールを使用してパケットを評価します。デバイスは、パケットに一致する条件を持つ最初のルールを実行します。複数のルールの条件が一致した場合、デバイスは最も低いシーケンス番号のルールを実行します。
response キーワードまたは request キーワードのいずれかを指定しない場合は、ARP メッセージが含まれるパケットにルールが適用されます。
例
次に、arp-acl-01 という名前の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始して、10.32.143.0 サブネットに存在する送信元 IP アドレスが含まれる ARP 要求メッセージを拒否するルールを追加する例を示します。
関連コマンド
|
|
|
|---|---|
deny(IPv4)
条件に一致するトラフィックを拒否する IPv4 ACL ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny protocol source destination [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
no deny protocol source destination [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)
[ sequence-number ] deny icmp source destination [ icmp-message ] [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)
[ sequence-number ] deny igmp source destination [ igmp-message ] [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
[ sequence-number ] deny ip source destination [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
Transmission Control Protocol(TCP)
[ sequence-number ] deny tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ] [ flags ] [established]
User Datagram Protocol(UDP; ユーザ データグラム プロトコル)
[ sequence-number ] deny udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [dscp dscp | precedence precedence ] [fragments] [log] [time-range time-range-name ]
シンタックスの説明
デフォルト
新規に作成された IPv4 ACL にはルールが含まれません。
シーケンス番号を指定しない場合は、デバイスによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます。
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
デバイスは、パケットに IPv4 ACL を適用する時点で、ACL 内のすべてのルールを使用してパケットを評価します。デバイスは、パケットに一致する条件を持つ最初のルールを実行します。複数のルールの条件が一致した場合、デバイスは最も低いシーケンス番号のルールを実行します。
source 引数および destination 引数は、複数の方法のいずれか 1 つによって指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールを設定する場合には、次の方法を使って source 引数および destination 引数を指定します。
•
IP アドレス グループ オブジェクト ― IPv4 アドレス グループ オブジェクトを使用して、 source 引数または destination 引数を指定できます。IPv4 アドレス グループ オブジェクトを作成または変更するには、 object-group ip address コマンドを使用します。構文は、次のとおりです。
次に、lab-gateway-svrs という名前の IPv4 アドレス グループ オブジェクトを使用して destination 引数を指定する例を示します。
• アドレスおよびネットワーク ワイルドカード ― IPv4 アドレスおよびその後ろに続けてネットワーク ワイルドカードを使用することで、ホストまたはネットワークを送信元または宛先として指定できます。構文は、次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよびネットワーク ワイルドカードを使用して source 引数を指定する例を示します。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク) ― IPv4 アドレスおよびその後ろに続けて VLSM を使用することで、ホストまたはネットワークを送信元または宛先として指定できます。構文は、次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよび VLSM を使用して source 引数を指定する例を示します。
• ホスト アドレス ― host キーワードおよび IPv4 アドレスを使用して、ホストを送信元または宛先として指定できます。構文は、次のとおりです。
この構文は、 IPv4-address /32 および IPv4-address 0.0.0.0 と等価です。
次に、 host キーワードおよび 192.168.67.132 IPv4 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス ― any キーワードを使用して、送信元または宛先が任意の IPv4 アドレスとなるように指定できます。 any キーワードを使用した例については、このセクションの例を参照してください。それぞれの例には、 any キーワードを使用して送信元または宛先を指定する方法が示されています。
icmp-message 引数には、ICMP メッセージ番号(0 ~ 255 の整数)、または次のキーワードのいずれか 1 つを指定できます。
• administratively-prohibited ― 管理上の禁止
• dod-host-prohibited ― ホストの拒否
• dod-net-prohibited ― ネットワークの拒否
• general-parameter-problem ― パラメータの問題
• host-precedence-unreachable ― 優先度が Host Unreachable
• host-tos-redirect ― ToS ベースでのホストへのリダイレクト
• host-tos-unreachable ― ToS ベースでホストに到達不能
• information-reply ― 応答についての情報
• information-request ― 要求についての情報
• mobile-redirect ― モバイル ホストへのリダイレクト
• net-redirect ― ネットワークへのリダイレクト
• net-tos-redirect ― ToS ベースでのネットワークへのリダイレクト
• net-tos-unreachable ― ToS ベースでネットワークに到達不能
• net-unreachable ― ネットワークに到達不能
• no-room-for-option ― パラメータが必須であるが指定する余地がない
• option-missing ― パラメータが必須であるが存在しない
• packet-too-big ― フラグメンテーションが必要だが DF が設定されている
• parameter-problem ― すべてのパラメータの問題
• precedence-unreachable ― 優先順位が使用できない
• protocol-unreachable ― プロトコルに到達不能
• reassembly-timeout ― 再構成時のタイムアウト
• router-advertisement ― ルータ ディスカバリのためのアドバタイズメント
• router-solicitation ― ルータ ディスカバリのためのソリシテーション
• source-route-failed ― 送信元ルートの障害
• time-exceeded ― すべての時間超過メッセージ
• timestamp-reply ― タイム スタンプ付きの応答
• timestamp-request ― タイム スタンプ付きの要求
• ttl-exceeded ― Time-To-Live(TTL; 存続可能時間)を超過
protocol 引数に tcp を指定した場合は、 port 引数に TCP ポート番号(0 ~ 65535 の整数)または次のキーワードのいずれか 1 つを指定できます。
bgp ― Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
chargen ― Character Generator(19)
ftp ― Fingerile Transfer Protocol(FTP; ファイル転送プロトコル)(21)
irc ― Internet Relay Chat(IRC; インターネット リレー チャット)(194)
nntp ― Network News Transport Protocol(NNTP)(119)
pim-auto-rp ― PIM Auto-RP(496)
smtp ― Simple Mail Transport Protocol(SMTP)(25)
sunrpc ― Sun Remote Procedure Call(SunRPC)(111)
tacacs ― TAC Access Control System(TACACS)(49)
uucp ― UNIX-to-UNIX Copy Program(54)
protocol 引数に udp を指定した場合は、 port 引数に UDP ポート番号(0 ~ 65535 の整数)または次のキーワードのいずれか 1 つを指定できます。
bootpc ― Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
dnsix ― DNSIX セキュリティ プロトコル監査(195)
domain ― ドメイン ネーム サービス(DNS、53)
isakmp ― Internet Security Association and Key Management Protocol(ISAKMP)(5)
nameserver ― IEN116 ネームサービス(廃止、42)
netbios-dgm ― NetBIOS データグラム サービス(138)
netbios-ns ― NetBIOS ネーム サービス(137)
netbios-ss ― NetBIOS セッション サービス(139)
non500-isakmp ― Internet Security Association and Key Management Protocol(ISAKMP)(45)
ntp ― Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
pim-auto-rp ― PIM Auto-RP(496)
snmp ― Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
sunrpc ― Sun Remote Procedure Call(SunRPC)(111)
例
次に、10.23.0.0 ~ 10.176.0.0 および 192.168.37.0 ~ 10.176.0.0 ネットワークのすべての TCP と UDP のトラフィックを拒否するルール、およびその他のすべての IPv4 トラフィックを許可する最後のルールを持つ、acl-lab-01 という名前の IPv4 ACL を設定する例を示します。
次に、eng_workstations という名前の IPv4 アドレス オブジェクト グループから marketing_group という名前の IP アドレス オブジェクト グループまでのすべての IP トラフィックを拒否するルールの後に、その他のすべての IPv4 トラフィックを許可するルールが続く、acl-eng-to-marketing という名前の IPv4 ACL を設定する例を示します。
関連コマンド
|
|
|
|---|---|
deny(MAC)
条件に一致するトラフィックを拒否する MAC Access Control List(ACL; アクセス コントロール リスト)+ ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny source destination [ protocol ] [cos cos-value ] [vlan VLAN-ID ]
no deny source destination [ protocol ] [cos cos-value ] [vlan VLAN-ID ]
シンタックスの説明
デフォルト
新規に作成された MAC ACL にはルールが含まれません。
シーケンス番号を指定しない場合は、デバイスによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます。
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
デバイスは、パケットに MAC ACL を適用する時点で、ACL 内のすべてのルールを使用してパケットを評価します。デバイスは、パケットに一致する条件を持つ最初のルールを実行します。複数のルールの条件が一致した場合、デバイスは最も低いシーケンス番号のルールを実行します。
source 引数および destination 引数は、2 つの方法のうちのいずれかによって指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールを設定する場合には、次の方法を使って source 引数および destination 引数を指定します。
• アドレスおよびマスク ― MAC アドレスおよびその後ろにマスクを続けて使用して、1 つのアドレスまたはアドレス グループを指定できます。構文は、次のとおりです。
次に、MAC アドレス 00c0.4f03.0a72 で source 引数を指定する例を示します。
次に、MAC ベンダー コードが 00603e のすべてのホストに対応する MAC アドレスで destination 引数を指定する例を示します。
• 任意のアドレス ― any キーワードを使用して、送信元または宛先が任意の MAC アドレスとなるように指定できます。 any キーワードを使用した例については、このセクションの例を参照してください。それぞれの例には、 any キーワードを使用して送信元または宛先を指定する方法が示されています。
protocol 引数には、MAC プロトコル番号またはキーワードを指定できます。プロトコル番号は、0x というプレフィクスを持つ 4 バイトの 16 進数です。有効なプロトコル番号は、0x0 ~ 0xffff です。有効なキーワードは、次のとおりです。
• aarp ― AppleTalk ARP(0x80f3)
• appletalk ― AppleTalk(0x809b)
• decnet-iv ― DECnet Phase IV(0x6003)
• diagnostic ― DEC Diagnostic Protocol(0x6005)
• etype-6000 ― EtherType 0x6000(0x6000)
• etype-8042 ― EtherType 0x8042(0x8042)
• lavc-sca ― DEC LAVC、SCA(0x6007)
• mop-console ― DEC MOP Remote Console(0x6002)
例
次に、 2 つの MAC アドレス グループ間で非 IPv4 トラフィックを許可するルールが含まれる mac-ip-filter という名前の MAC ACL を設定する例を示します。
関連コマンド
|
|
|
|---|---|
deny(ロールベース ACL)
SGACL(セキュリティ グループ アクセス コントロール リスト)で拒否アクションを設定するには、 deny コマンドを使用します。アクションを削除するには、このコマンドの no 形式を使用します。
deny {all | icmp | igmp | ip | {{tcp | udp} [{src | dest} {{eq | gt | lt | neq} port-number } |
range port-number1 port-number2 }]}
no deny {all | icmp | igmp | ip | {{tcp | udp} [{src | dest} {{eq | gt | lt | neq} port-number } |
range port-number1 port-number2 }]}
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
次に、SGACL から拒否アクションを削除する例を示します。
関連コマンド
|
|
|
|---|---|
description(アイデンティティ ポリシー)
アイデンティティ ポリシーの説明を設定するには、 description コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
アイデンティティ ポリシーについて説明するテキスト ストリング。ストリングには、英数字を使用します。最大 100 文字まで可能です。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、アイデンティティ ポリシーの説明を設定する例を示します。
次に、アイデンティティ ポリシーから説明を削除する例を示します。
関連コマンド
|
|
|
|---|---|
description(ユーザ ロール)
ユーザ ロールの説明を設定するには、 description コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
ユーザ ロールについて説明するテキスト ストリング。ストリングには、英数字を使用します。最大 128 文字まで可能です。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
device
Extensible Authentication Protocol over User Datagram Protocol(EAPoUDP)アイデンティティ プロファイルの例外リストにサプリカント デバイスを追加するには、 device コマンドを使用します。サプリカント デバイスを削除するには、このコマンドの no 形式を使用します。
device {authenticate | not-authenticate} {ip-address ipv4-address [ subnet-mask ] | mac-address mac-address [ mac-address-mask ]} policy policy-name
no device {authenticate | not-authenticate} {ip-address ipv4-address [ subnet-mask ] | mac-address mac-address [ mac-address-mask ]} policy policy-name
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、EAPoUDP アイデンティティ プロファイルにデバイスを追加する例を示します。
次に、EAPoUDP アイデンティティ プロファイルからデバイスを削除する例を示します。
関連コマンド
|
|
|
|---|---|
dot1x default
802.1X グローバル設定またはインターフェイス設定をデフォルトにリセットするには、 dot1x default コマンドを使用します。
シンタックスの説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、グローバル 802.1X パラメータをデフォルトに設定する例を示します。
次に、インターフェイス 802.1X パラメータをデフォルトに設定する例を示します。
関連コマンド
|
|
|
|---|---|
dot1x host-mode
インターフェイス上の 1 つまたは複数のサプリカントの 802.1X 認証を許可するには、 dot1x host-mode コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
dot1x host-mode {multi-host | single-host}
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、インターフェイス上の複数のサプリカントの 802.1X 認証を許可する例を示します。
次に、インターフェイス上でデフォルトのホスト モードに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x initialize
サプリカントの 802.1X 認証を初期化するには、 dot1x initialize コマンドを使用します。
dot1x initialize [interface ethernet slot / port ]
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
NX-OS デバイス上でサプリカントの 802.1X 認証を初期化する例を示します。
次に、インターフェイス上でサプリカントの 802.1X 認証を初期化する例を示します。
関連コマンド
|
|
|
|---|---|
dot1x mac-auth-bypass
802.1X サプリカントがないインターフェイス上で MAC アドレス認証バイパスをイネーブルにするには、 dot1x mac-auth-bypass コマンドを使用します。MAC アドレス認証バイパスをディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、MAC アドレス認証バイパスをイネーブルにする例を示します。
次に、MAC アドレス認証バイパスをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
dot1x max-reauth-req
セッションがタイムアウトになるまでに NX-OS デバイスがインターフェイス上のサプリカントに再認証要求を再送信する最大回数を変更するには、 dot1x max-reauth-req コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
dot1x max-reauth-req retry-count
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、インターフェイスの最大再許可要求リトライ回数を変更する例を示します。
次に、インターフェイスの最大再許可要求リトライ回数をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x max-req
802.1X 認証が再開するまでに NX-OS デバイスがサプリカントに送信する最大要求回数を変更するには、 dot1x max-req コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、グローバル 802.1X コンフィギュレーションの最大要求リトライ回数を変更する例を示します。
次に、グローバル 802.1X コンフィギュレーションの最大要求リトライ回数をデフォルトに戻す例を示します。
次に、インターフェイスの最大要求リトライ回数を変更する例を示します。
次に、インターフェイスの最大要求リトライ回数をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x port-control
インターフェイス上で実行される 802.1X 認証を制御するには、 dot1x port-control コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
dot1x port-control {auto | force-authorized | force-unauthorized}
no dot1x port-control {auto | force-authorized | force-unauthorized}
シンタックスの説明
インターフェイス上で 802.1X 認証をディセーブルにして、認証なしでインターフェイス上のすべてのトラフィックを許可します。 |
|
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、インターフェイス上で実行される 802.1X 認証処理を変更する例を示します。
次に、インターフェイス上で実行される 802.1X 認証処理の設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x radius-accounting
802.1X の RADIUS アカウンティングをイネーブルにするには、 dot1x radius-accounting コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、802.1X 認証の RADIUS アカウンティングをイネーブルにする例を示します。
次に、802.1X 認証の RADIUS アカウンティングをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
dot1x re-authentication(EXEC)
802.1X サプリカントを手動で再認証するには、 dot1x re-authentication コマンドを使用します。
dot1x re-authentication [interface ethernet slot / port ]
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、802.1X サプリカントを手動で再認証する例を示します。
次に、インターフェイス上の 802.1X サプリカントを手動で再認証する例を示します。
関連コマンド
|
|
|
|---|---|
dot1x re-authentication(グローバル コンフィギュレーション、インターフェイス コンフィギュレーション)
802.1X サプリカントの定期的な再認証をイネーブルにするには、 dot1x re-authentication コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
802.1X を設定する前に feature dot1x コマンドを使用する必要があります。
このコマンドをグローバル コンフィギュレーション モードで使用すると、NX-OS デバイス上のすべてのサプリカントの定期的な再認証が設定されます。このコマンドをインターフェイス コンフィギュレーション モードで使用すると、インターフェイス上のサプリカントのみの定期的な再認証が設定されます。
例
次に、802.1X サプリカントの定期的な再認証をイネーブルにする例を示します。
次に、802.1X サプリカントの定期的な再認証をディセーブルにする例を示します。
次に、インターフェイス上の 802.1X サプリカントの定期的な再認証をイネーブルにする例を示します。
次に、インターフェイス上の 802.1X サプリカントの定期的な再認証をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
dot1x system-auth-control
802.1X 認証をイネーブルにするには、 dot1x system-auth-control コマンドを使用します。802.1X 認証をディセーブルにするには、このコマンドの no 形式を使用します。
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
dot1x system-auth-control コマンドにより 802.1X 設定は削除されません。
例
関連コマンド
|
|
|
|---|---|
dot1x timeout quiet-period
802.1X 待機時間タイムアウトをグローバルに、またはインターフェイス単位で設定するには、 dot1x timeout quiet-period コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout quiet-period seconds
シンタックスの説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
802.1X 待機時間タイムアウトは、サプリカントとの認証の交換に失敗した後で、デバイスが待機状態にとどまる秒数です。
802.1X を設定する前に feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、グローバル 802.1X 待機時間タイムアウトを設定する例を示します。
次に、グローバル 802.1X 待機時間タイムアウトの設定をデフォルトに戻す例を示します。
次に、インターフェイスの 802.1X 待機時間タイムアウトを設定する例を示します。
次に、インターフェイスの 802.1X 待機時間タイムアウトの設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x timeout ratelimit-period
インターフェイス上のサプリカントの 802.1X レート制限時間タイムアウトを設定するには、 dot1x timeout ratelimit-period コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout ratelimit-period seconds
no dot1x timeout ratelimit-period
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
802.1X レート制限タイムアウト時間は、オーセンティケータが、正常に認証されたサプリカントの EAPOL-Start パケットを無視する秒数です。この値は、グローバル待機時間タイムアウトを上書きします。
802.1X を設定する前に feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、インターフェイスの 802.1X レート制限時間タイムアウトを設定する例を示します。
次に、インターフェイスの 802.1X レート制限時間タイムアウトの設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x timeout re-authperiod
802.1X 再認証時間タイムアウトをグローバルに、またはインターフェイス単位で設定するには、 dot1x timeout re-authperiod コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout re-authperiod seconds
no dot1x timeout re-authperiod
シンタックスの説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
802.1X 再認証タイムアウト時間は、再認証の試行間の秒数です。
802.1X を設定する前に feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、グローバル 802.1X 再認証時間タイムアウトを設定する例を示します。
次に、インターフェイスの 802.1X 再認証時間タイムアウトを設定する例を示します。
関連コマンド
|
|
|
|---|---|
dot1x timeout server-timeout
インターフェイスの 802.1X サーバ タイムアウトを設定するには、 dot1x timeout server-timeout コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout server-timeout seconds
no dot1x timeout server-timeout
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
インターフェイスの 802.1X サーバ タイムアウトは、認証サーバにパケットを再送信するまでに NX-OS デバイスが待機する秒数です。この値は、グローバル再認証時間タイムアウトを上書きします。
802.1X を設定する前に feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、グローバル 802.1X サーバ タイムアウト間隔を設定する例を示します。
次に、グローバル 802.1X サーバ タイムアウト間隔の設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x timeout supp-timeout
インターフェイスの 802.1X サプリカント タイムアウトを設定するには、 dot1x timeout supp-timeout コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout supp-timeout seconds
シンタックスの説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
インターフェイスの 802.1X サプリカント タイムアウトは、NX-OS デバイスがフレームを再送信するまでに、サプリカントが EAP 要求フレームに応答するのを NX-OS デバイスが待機する秒数です。
802.1X を設定する前に feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、インターフェイスの 802.1X サーバ タイムアウト間隔を設定する例を示します。
次に、インターフェイスの 802.1X サーバ タイムアウト間隔の設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x timeout tx-period
802.1X 送信時間タイムアウトをグローバルに、またはインターフェイス単位で設定するには、 dot1x timeout tx-period コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout tx-period seconds
シンタックスの説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
802.1X 送信タイムアウト時間は、要求を再送信するまでに、NX-OS デバイスがサプリカントからの EAP 要求/アイデンティティ フレームへの応答を待機する秒数です。
802.1X を設定する前に feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、グローバル 802.1X 送信時間タイムアウトを設定する例を示します。
次に、グローバル 802.1X 送信時間タイムアウトの設定をデフォルトに戻す例を示します。
次に、インターフェイスの 802.1X 送信時間タイムアウトを設定する例を示します。
次に、インターフェイスの 802.1X 送信時間タイムアウトの設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック