この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
アイデンティティ ポリシーを作成または指定して、アイデンティティ ポリシー コンフィギュレーション モードを開始するには、 identity policy コマンドを使用します。アイデンティティ ポリシーを削除するには、このコマンドの no 形式を使用します。
no identity policy policy-name
|
|
次に、アイデンティティ ポリシーを作成して、アイデンティティ ポリシー コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
Extensible Authentication Protocol over User Datagram Protocol(EAPoUDP)アイデンティティ プロファイルを作成して、アイデンティティ プロファイル コンフィギュレーション モードを開始するには、 identity profile eapoudp コマンドを使用します。EAPoUDP アイデンティティ プロファイル設定を削除するには、このコマンドの no 形式を使用します。
|
|
次に、EAPoUDP アイデンティティ プロファイルを作成して、アイデンティティ プロファイル コンフィギュレーション モードを開始する例を示します。
次に、EAPoUDP アイデンティティ プロファイル設定を削除する例を示します。
|
|
---|---|
ユーザ ロールに対してインターフェイス ポリシー コンフィギュレーション モードを開始するには、 interface policy deny コマンドを使用します。ユーザ ロールのインターフェイス ポリシーをデフォルト設定に戻すには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用すると、ユーザ ロール インターフェイス ポリシー コンフィギュレーション モードで permit interface コマンドを使用して許可したインターフェイスを除き、ユーザ ロールへのすべてのインターフェイスが拒否されます。
次に、ユーザ ロールに対して、ユーザ ロール インターフェイス ポリシー コンフィギュレーション モードを開始する例を示します。
次に、ユーザ ロールのインターフェイス ポリシーをデフォルト設定に戻す例を示します。
|
|
---|---|
IPv4 Access Control List(ACL; アクセス コントロール リスト)をインターフェイスのルータ ACL として適用するには、 ip access-group コマンドを使用します。インターフェイスから IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip access-group access-list-name {in | out}
no ip access-group access-list-name {in | out}
|
|
デフォルトでは、インターフェイスに IPv4 ACL は適用されません。
ip access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をルータ ACL として適用できます。
(注) VLAN インターフェイスを設定する前に、VLAN インターフェイスをグローバルでイネーブルにする必要があります。詳細については、『Cisco NX-OS Interfaces Command Reference』の feature interface-vlan コマンドを参照してください。
• レイヤ 3 イーサネット ポートチャネル インターフェイスおよびサブインターフェイス
また、 ip access-group コマンドを使用して、次のインターフェイス タイプに対しても、IPv4 ACL をルータ ACL として適用できます。
• レイヤ 2 イーサネット ポートチャネル インターフェイス
ただし、 ip access-group コマンドを使用してレイヤ 2 に適用した ACL は、ポート モードをルーテッド(レイヤ 3)モードに変更しない限り、アクティブになりません。IPv4 ACL をポート ACL として適用するには、 ip port access-group コマンドを使用します。
IPv4 ACL を VLAN ACL として適用することもできます。詳細については、「match(VLAN アクセス マップ)」 を参照してください。
ルータ ACL は、アウトバウンドまたはインバウンドのどちらかのトラフィックに適用されます。ACL がインバウンド トラフィックに適用されると、インバウンド パケットが ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットは引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはドロップされ、ICMP ホスト到達不能メッセージが戻されます。
アウトバウンド アクセス リストの場合は、受信したパケットはインターフェイスにルーティングされたあとで、ACL に対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットは指定された宛先に送信されます。最初の一致ルールによってパケットが拒否されると、そのパケットはドロップされ、ICMP ホスト到達不能メッセージが戻されます。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
次に、イーサネット インターフェイス 2/1 に対して、ip-acl-01 という IPv4 ACL を適用する例を示します。
次に、イーサネット インターフェイス 2/1 から、ip-acl-01 という IPv4 ACL を削除する例を示します。
|
|
---|---|
IPv4 Access Control List(ACL; アクセス コントロール リスト)を作成して、特定の ACL の IP アクセス リスト コンフィギュレーション モードを開始するには、 ip access-list コマンドを使用します。IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip access-list access-list-name
no ip access-list access-list-name
IPv4 ACL の名前。名前は最大 64 文字で、大文字と小文字を区別した英数字で指定します。スペースまたは引用符は使用できません。 |
|
|
IPv4 トラフィックをフィルタリングするには、IPv4 ACL を使用します。
ip access-list コマンドを使用すると、IP アクセス リスト コンフィギュレーション モードが開始されます。このモードで、IPv4 deny および permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合は、このコマンドの入力時に新しい ACL が作成されます。
ACL をルータ ACL としてインターフェイスに適用するには、 ip access-group コマンドを使用します。ACL をポート ACL としてインターフェイスに適用するには、 ip port access-group コマンドを使用します。
すべての IPv4 ACL は、最終ルールとして、次の暗黙ルールが設定されます。
この暗黙ルールにより、一致しなかった IP トラフィックはすべて拒否されます。
IPv4 ACL には、近隣探索プロセスをイネーブルにする暗黙ルールは追加されません。Address Resolution Protocol(ARP; アドレス解決プロトコル)は、別のデータ リンク レイヤ プロトコルを使用します。デフォルトでは、IPv4 ACL は、インターフェイス上での ARP パケットの送受信を暗黙で許可します。
IPv4 ACL の各ルールの統計情報を記録するには、 statistics per-entry コマンドを使用します。暗黙ルールの統計情報は記録されません。暗黙の deny ip any any ルールに一致したパケットの統計情報を記録するには、まったく同じルールを明示的に設定する必要があります。
次に、ip-acl-01 という IPv4 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
ARP Access Control List(ACL; アクセス コントロール リスト)を VLAN リストに適用するには、 ip arp inspection filter コマンドを使用します。VLAN リストから ARP ACL を削除するには、このコマンドの no 形式を使用します。
ip arp inspection filter acl-name vlan vlan-list
no ip arp inspection filter acl-name vlan vlan-list
ARP ACL でフィルタリングする VLAN を指定します。 vlan-list 引数には、単一 VLAN ID、VLAN ID 範囲、またはカンマで区切った ID と範囲を指定できます(例のセクションを参照)。有効な VLAN ID は、1 ~ 4096 です。 |
|
|
次に、VLAN 15 および 37 ~ 48 に対して、arp-acl-01 という ARP ACL を適用する例を示します。
|
|
---|---|
Dynamic ARP Inspection(DAI)ロギング バッファのサイズを設定するには、 ip arp inspection log-buffer コマンドを使用します。DAI ロギング バッファをデフォルトのサイズに戻すには、このコマンドの no 形式を使用します。
ip arp inspection log-buffer entries number
no ip arp inspection log-buffer entries number
|
|
次に、DAI ロギング バッファのサイズを設定する例を示します。
|
|
---|---|
レイヤ 2 インターフェイスを信頼できる ARP インターフェイスとして設定するには、 ip arp inspection trust コマンドを使用します。レイヤ 2 インターフェイスを信頼できない ARP インターフェイスとして設定するには、このコマンドの no 形式を使用します。
|
|
次に、レイヤ 2 インターフェイスを信頼できる ARP インターフェイスとして設定する例を示します。
|
|
---|---|
追加の Dynamic ARP Inspection(DAI)検証をイネーブルにするには、 ip arp inspection validate コマンドを使用します。追加の DAI をディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection validate {dst-mac [ip] [src-mac]}
ip arp inspection validate {[dst-mac] ip [src-mac]}
ip arp inspection validate {[dst-mac] [ip] src-mac}
no ip arp inspection validate {dst-mac [ip] [src-mac]}
no ip arp inspection validate {[dst-mac] ip [src-mac]}
no ip arp inspection validate {[dst-mac] [ip] src-mac}
|
|
|
|
---|---|
VLAN リストに対して Dynamic ARP Inspection(DAI)をイネーブルにするには、 ip arp inspection vlan コマンドを使用します。VLAN リストの DAI をディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection vlan vlan-list [logging dhcp-bindings {permit | all | none}]
no ip arp inspection vlan vlan-list [logging dhcp-bindings {permit | all | none}]
|
|
次に、VLAN 13、15、および 17 ~ 23 で DAI をイネーブルにする例を示します。
|
|
---|---|
インターフェイス上に DHCP サーバの IP アドレスを設定するには、 ip dhcp relay address コマンドを使用します。DHCP サーバの IP アドレスを削除するには、このコマンドの no 形式を使用します。
ip dhcp relay address IP-address
no ip dhcp relay address IP-address
|
|
レイヤ 3 イーサネット インターフェイスまたはサブインターフェイスの設定に、最大 4 つの ip dhcp relay address コマンドを追加できるようになりました。 |
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
レイヤ 3 イーサネット インターフェイスおよびサブインターフェイス、VLAN インターフェイス、およびレイヤ 3 ポート チャネルに、それぞれ最大 4 つの DHCP サーバ IP アドレスを設定できます。Cisco NX-OS Release 4.0.2 以前のリリースでは、1 つのインターフェイスに設定できる DHCP サーバ IP アドレスは 1 つだけです。
インターフェイス上にインバウンド DHCP BOOTREQUEST パケットが到達すると、リレー エージェントによって、そのインターフェイスに設定されているすべての DHCP サーバ IP アドレスに、パケットが転送されます。また、リレー エージェントにより、すべての DHCP サーバからの応答が、要求を送信したホストに戻されます。
次に、特定のレイヤ 3 イーサネット インターフェイス上で受信した BOOTREQUEST がリレー エージェントによって転送されるように、インターフェイスに 2 つの DHCP サーバ IP アドレスを設定する例を示します。
次に、VLAN インターフェイス上に DHCP サーバのIP アドレスを設定する例を示します。
次に、レイヤ 3 ポートチャネル インターフェイス上に DHCP サーバの IP アドレスを設定する例を示します。
|
|
---|---|
リレー エージェントによって転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにするには、 ip dhcp relay information option コマンドを使用します。option-82 情報の挿入および削除をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp relay information option
no ip dhcp relay information option
デフォルトでは、リレー エージェントによって転送された DHCP パケットでの option-82 情報の挿入および削除は実行されません。
|
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
次に、DHCP リレー エージェントによって転送されるパケットでの option-82 情報の挿入および削除をイネーブルにする例を示します。
|
|
---|---|
DHCP リレー エージェントを使用しないで転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにします。 |
|
デバイス上で DHCP スヌーピングをグローバルでイネーブルにするには、 ip dhcp snooping コマンドを使用します。DHCP スヌーピングをグローバルでディセーブルにするには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
no ip dhcp snooping コマンドを使用して DHCP スヌーピングをディセーブルにすると、デバイスの DHCP スヌーピング設定が保持されます。
次に、DHCP スヌーピングをグローバルでイネーブルにする例を示します。
|
|
---|---|
DHCP リレー エージェントを使用しないで転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにします。 |
|
DHCP パケットの option-82 情報の挿入および削除をイネーブルにするには、 ip dhcp snooping information option コマンドを使用します。option-82 情報の挿入および削除をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping information option
no ip dhcp snooping information option
|
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
次に、DHCP パケットの opiton-82 情報の挿入および削除をイネーブルにする例を示します。
|
|
---|---|
インターフェイスを DHCP メッセージの信頼できる送信元として設定するには、 ip dhcp snooping trust コマンドを使用します。インターフェイスを DHCP メッセージの信頼できない送信元として設定するには、このコマンドの no 形式を使用します。
|
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
DHCP メッセージの信頼できる送信元として設定できるのは、次のタイプのインターフェイスです。
次に、インターフェイスを DHCP メッセージの信頼できる送信元として設定する例を示します。
|
|
---|---|
DHCP リレー エージェントを使用しないで転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにします。 |
|
DHCP スヌーピングの MAC アドレス検証をイネーブルにするには、 ip dhcp snooping verify mac-address コマンドを使用します。DHCP スヌーピングの MAC アドレス検証をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping verify mac-address
no ip dhcp snooping verify mac-address
|
|
デフォルトでは、DHCP スヌーピングでの MAC アドレス検証はディセーブルです。
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
信頼できないインターフェイス上でパケットを受信し、パケットの送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合、そのパケットはアドレス検証によってドロップされます。
次に、DHCP スヌーピングの MAC アドレス検証をイネーブルにする例を示します。
|
|
---|---|
DHCP リレー エージェントを使用しないで転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにします。 |
|
1 つまたは複数の VLAN 上で DHCP スヌーピングをイネーブルにするには、 ip dhcp snooping vlan コマンドを使用します。1 つまたは複数の VLAN 上で DHCP スヌーピングをディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping vlan vlan-list
no ip dhcp snooping vlan vlan-list
DHCP スヌーピングをイネーブルにする VLAN 範囲。 vlan-list 引数には、単一 VLAN ID、VLAN ID 範囲、またはカンマで区切った ID と範囲を指定できます(例のセクションを参照)。有効な VLAN ID は、1 ~ 4096 です。 |
|
|
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
次に、VLAN 100、200、および 250 ~ 252 で DHCP スヌーピングをイネーブルにする例を示します。
|
|
---|---|
DHCP リレー エージェントを使用しないで転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにします。 |
|
IPv4 Access Control List(ACL; アクセス コントロール リスト)をインターフェイスのポート ACL として適用するには、 ip port access-group コマンドを使用します。インターフェイスから IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip port access-group access-list-name in
no ip port access-group access-list-name in
|
|
デフォルトでは、インターフェイスに IPv4 ACL は適用されません。
ip port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をポート ACL として適用できます。
• レイヤ 2 イーサネット ポートチャネル インターフェイス
また、 ip port access-group コマンドを使用して、次のインターフェイス タイプにも、IPv4 ACL をポート ACL として適用できます。
(注) VLAN インターフェイスを設定する前に、VLAN インターフェイスをグローバルでイネーブルにする必要があります。詳細については、『Cisco NX-OS Interfaces Command Reference』の feature interface-vlan コマンドを参照してください。
• レイヤ 3 イーサネット ポートチャネル インターフェイスおよびサブインターフェイス
ただし、 ip port access-group コマンドを使用してレイヤ 3 インターフェイスに適用した ACL は、ポート モードをアクセスまたはトランク(レイヤ 2)モードに変更しない限り、アクティブになりません。IPv4 ACL をルータ ACL として適用するには、 ip access-group コマンドを使用します。
IPv4 ACL を VLAN ACL として適用することもできます。詳細については、「match(VLAN アクセス マップ)」を参照してください。
ポート ACL が適用されるのは、インバウンド トラフィックだけです。インバウンド パケットは、デバイス上で ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットは引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはドロップされ、ICMP ホスト到達不能メッセージが戻されます。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
次に、イーサネット インターフェイス 2/1 に対して、ip-acl-01 という IPv4 ACL をポート ACL として適用する例を示します。
次に、イーサネット インターフェイス 2/1 から、ip-acl-01 という IPv4 ACL を削除する例を示します。
|
|
---|---|
レイヤ 2 イーサネット インターフェイス用の固定 IP ソース エントリを作成するには、 ip source binding コマンドを使用します。固定 IP ソース エントリをディセーブルにするには、このコマンドの no 形式を使用します。
ip source binding IP-address MAC-address vlan vlan-id interface ethernet slot / port
no ip source binding IP-address MAC-address vlan vlan-id interface ethernet slot / port
|
|
次に、イーサネット インターフェイス 2/3 上に、VLAN 100 に関連付ける固定 IP ソース エントリを作成する例を示します。
|
|
---|---|
レイヤ 2 イーサネット インターフェイス上で IP ソース ガードをイネーブルにするには、 ip verify source dhcp-snooping-vlan コマンドを使用します。インターフェイス上で IP ソース ガードをディセーブルにするには、このコマンドの no 形式を使用します。
ip verify source dhcp-snooping-vlan
no ip verify source dhcp-snooping-vlan
|
|
次に、インターフェイス上で IP ソース ガードをイネーブルにする例を示します。
|
|
---|---|
インターフェイス上で Unicast Reverse Path Forwarding(ユニキャスト RPF)を設定するには、 ip verify unicast source reachable-via コマンドを使用します。インターフェイスからユニキャスト RPF を削除するには、このコマンドの no 形式を使用します。
ip verify unicast source reachable-via {any [allow-default] | rx}
no ip verify unicast source reachable-via {any [allow-default] | rx}
|
|
入力側インターフェイスで、次のユニキャスト RPFモードの 1 つを設定できます。
ストリクト ユニキャスト RPF モード ― ストリクト モード チェックは、次の一致が検出された場合に成功します。
• ユニキャスト RPF が、Forwarding Information Base(FIB; 転送情報ベース)でパケット送信元アドレスの一致を検出。
• パケットを受信した入力側インターフェイスが、FIB 一致のユニキャスト PRF インターフェイスの 1 つと一致。
これらのチェックに失敗すると、パケットは廃棄されます。このタイプのユニキャスト RPF チェックは、パケット フローが対称であると想定される場所で使用できます。
ルーズ ユニキャスト RPF モード ― ルーズ モード チェックは、FIB でのパケット送信元アドレスの検索が一致し、最低 1 つの実インターフェイスを経由して送信元に到達可能であるという FIB 結果が示された場合に成功します。パケットを受信した入力側インターフェイスが、FIB 結果のいずれかのインターフェイスと一致する必要はありません。
次に、インターフェイス上にルーズ ユニキャスト RPF チェックを設定する例を示します。
次に、インターフェイス上にストリクト ユニキャスト RPF チェックを設定する例を示します。
|
|
---|---|