Cisco Nexus 3000 シリーズ NX-OS セキュリティ コマンド リファレンス リリース 5.0(3)x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月29日
章のタイトル: セキュリティ コマンド
- aaa accounting default
- aaa authentication login console
- aaa authentication login default
- aaa authentication login error-enable
- aaa authentication login mschap enable
- aaa authorization commands default
- aaa authorization config-commands default
- aaa group server radius
- aaa user default-role
- access-class
- action
- arp access-list
- clear access-list counters
- clear accounting log
- clear ip arp
- clear ip arp inspection log
- clear ip arp inspection statistics vlan
- clear ip dhcp snooping binding
- clear ip dhcp snooping statistics
- deadtime
- deny(ARP)
- deny(IPv4)
- description(ユーザ ロール)
- enable
- enable secret
- feature(ユーザ ロール機能グループ)
- feature dhcp
- feature privilege
- feature tacacs+
- hardware profile tcam region
- hardware profile tcam syslog-threshold
- interface policy deny
- ip access-class
- ip access-group
- ip access-list
- ip arp event-history errors
- ip arp inspection log-buffer
- ip arp inspection validate
- ip arp inspection vlan
- ip arp inspection trust
- ip dhcp packet strict-validation
- ip dhcp relay information option
- ip dhcp smart relay
- ip dhcp snooping
- ip dhcp snooping information option
- ip dhcp snooping trust
- ip dhcp snooping verify mac-address
- ip dhcp snooping vlan
- ip port access-group
- ip source binding
- ipv6 address
- ipv6 access-list
- ipv6 traffic-filter
- ipv6 verify unicast source reachable-via
- ip verify unicast source reachable-via
- mac port access-group
- match
- permit(ARP)
- permit(IPv4)
- permit interface
- permit vlan
- permit vrf
- permit vsan
- radius-server deadtime
- radius-server directed-request
- radius-server host
- radius-server key
- radius-server retransmit
- radius-server timeout
- remark
- resequence
- role feature-group name
- role name
- rule
- server
- show aaa accounting
- show aaa authentication
- show aaa authorization
- show aaa groups
- show aaa user
- show access-lists
- show accounting log
- show arp access-lists
- show hardware profile tcam region
- show ip access-lists
- show ip arp
- show ip arp inspection
- show ip arp inspection interfaces
- show ip arp inspection log
- show ip arp inspection statistics
- show ip arp inspection vlan
- show ip dhcp snooping
- show ip dhcp snooping binding
- show ip dhcp snooping statistics
- show ipv6 interface
- show ip verify source
- show platform afm info tcam
- show privilege
- show radius-server
- show role
- show role feature
- show role feature-group
- show running-config aaa
- show running-config aclmgr
- show running-config arp
- show running-config dhcp
- show running-config radius
- show running-config security
- show ssh key
- show ssh server
- show startup-config aaa
- show startup-config aclmgr
- show startup-config arp
- show startup-config dhcp
- show startup-config radius
- show startup-config security
- show tacacs-server
- show telnet server
- show user-account
- show users
- show vlan access-list
- show vlan access-map
- show vlan filter
- ssh6
- ssh
- ssh key
- ssh server enable
- statistics per-entry
- storm-control level
- tacacs-server deadtime
- tacacs-server directed-request
- tacacs-server host
- tacacs-server key
- tacacs-server timeout
- telnet6
- telnet
- telnet server enable
- use-vrf
- username
- vlan access-map
- vlan filter
- vlan policy deny
- vrf policy deny
- vsan policy deny
セキュリティ コマンド
この章では、Cisco Nexus 3000 シリーズ スイッチで使用できる Cisco NX-OS セキュリティ コマンドについて説明します。
aaa accounting default
アカウンティングの認証、許可、アカウンティング(AAA)方式を設定するには、 aaa accounting default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa accounting default { group { group-list } | local }
no aaa accounting default { group { group-list } | local }
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
group group-list メソッドは、以前に定義された一連の RADIUS サーバまたは TACACS+ サーバを参照します。ホスト サーバを設定するには、 radius server-host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
group 方式または local 方式を指定した場合にその方式が失敗すると、アカウンティング認証は失敗する可能性があります。
例
次に、AAA アカウンティングに任意の RADIUS サーバを設定する例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login console
コンソール ログインの認証、許可、アカウンティング(AAA)認証方式を設定するには、 aaa authentication login console コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login console { group group-list } [ none ] | local | none }
no aaa authentication login console { group group-list [ none ] | local | none }
構文の説明
RADIUS サーバ グループまたは TACACS+ サーバ グループのスペースで区切られたリストを指定します。リストには、次のようなサーバ グループを含めることができます。 • |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
group radius、group tacacs+ 、および group group-list の各方式は、以前に定義された一連の RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドまたは tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
group 方式または local 方式を指定した場合にその方式が失敗すると、認証は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。
例
次に、コンソール ログインの AAA 認証方式を設定する例を示します。
次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login default
デフォルトの認証、許可、アカウンティング(AAA)認証方式を設定するには、 aaa authentication login default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login default { group group-list } [ none ] | local | none }
no aaa authentication login default { group group-list } [ none ] | local | none }
構文の説明
RADIUS サーバ グループまたは TACACS+ サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 • |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
group radius、group tacacs+ 、および group group-list の各方式は、以前に定義された一連の RADIUS または TACACS+ サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドまたは tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
group 方式または local 方式を指定した場合にその方式が失敗すると、認証は失敗します。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。
例
次に、コンソール ログインの AAA 認証方式を設定する例を示します。
次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login error-enable
コンソールに認証、許可、アカウンティング(AAA)認証失敗メッセージが表示されるように設定するには、 aaa authentication login error-enable コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login error-enable
no aaa authentication login error-enable
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
ログイン時にリモート AAA サーバからの応答がない場合には、ローカル ユーザ データベースへのロールオーバーによってログインが処理されます。このような状況では、ログイン失敗メッセージの表示がイネーブルに設定されている場合、次のメッセージが表示されます。
例
次に、AAA 認証失敗メッセージのコンソールへの表示をイネーブルにする例を示します。
次に、AAA 認証失敗メッセージのコンソールへの表示をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login mschap enable
ログイン時の Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)認証をイネーブルにするには、 aaa authentication login mschap enable コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login mschap enable
no aaa authentication login mschap enable
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、MS-CHAP 認証をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
aaa authorization commands default
すべての EXEC コマンドでデフォルトの認証、許可、アカウンティング(AAA)認可方式を設定するには、 aaa authorization commands default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authorization commands default [ group group-list ] [ local | none ]
no aaa authorization commands default [ group group-list ] [ local | none ]
構文の説明
| リストには、次のようなサーバ グループを含めることができます。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。
group tacacs+ 方式および group group-list 方式は、以前に定義された一連の TACACS+ サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local または none を設定済みの場合、local 方式または none 方式だけが使用されます。
group 方式または local 方式を指定した場合にその方式が失敗すると、認可は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認可は常に成功します。
例
次に、EXEC コマンドでデフォルト AAA 認可方式を設定する例を示します。
次に、EXEC コマンドでデフォルト AAA 認可方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authorization config-commands default
すべてのコンフィギュレーション コマンドでデフォルトの認証、許可、アカウンティング(AAA)認可方式を設定するには、 aaa authorization config-commands default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authorization config-commands default [ group group-list ] [ local | none ]
no aaa authorization config-commands default [ group group-list ] [ local | none ]
構文の説明
| リストには、次のようなサーバ グループを含めることができます。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。
group tacacs+ 方式および group group-list 方式は、以前に定義された一連の TACACS+ サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local または none を設定済みの場合、local 方式または none 方式だけが使用されます。
group 方式または local 方式を指定した場合にその方式が失敗すると、認可は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認可は常に成功します。
例
次に、コンフィギュレーション コマンドでデフォルト AAA 認可方式を設定する例を示します。
次に、コンフィギュレーション コマンドでデフォルト AAA 認可方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa group server radius
RADIUS サーバ グループを作成して、RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。RADIUS サーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa group server radius group-name
no aaa group server radius group-name
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、RADIUS サーバ グループを作成し、RADIUS サーバ コンフィギュレーション モードを開始する例を示します。
次に、RADIUS サーバ グループを削除する例を示します。
関連コマンド
|
|
|
|---|---|
aaa user default-role
リモート認証の認証、許可、アカウンティング(AAA)サーバ管理者により割り当てられるデフォルト ロールをイネーブルにするには、 aaa user default-role コマンドを使用します。デフォルト ロールをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
次に、リモート認証の AAA サーバ管理者により割り当てられるデフォルト ロールをイネーブルにする例を示します。
次に、リモート認証の AAA サーバ管理者により割り当てられるデフォルト ロールをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
access-class
特定の VTY(Cisco Nexus 3000 シリーズ スイッチ)とアクセス リスト内のアドレス間の着信および発信接続を制限するには、 access-class コマンドを使用します。アクセス制限を解除するには、このコマンドの no 形式を使用します。
access-class access-list-name { in | out }
no access-class access-list-name { in | out }
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
シスコ デバイスに対する Telnet または SSH を受け入れると、アクセス クラスを VTY にバインドしてデバイスへのアクセスを確保できます。
例
次の例では、着信パケットを制限するために VTY 回線のアクセス クラスを設定する例を示します。
次の例では、着信パケットを制限するアクセス クラスを削除する例を示します。
関連コマンド
|
|
|
|---|---|
action
パケットが VLAN アクセス コントロール リスト(VACL)の permit コマンドと一致した場合にスイッチが実行する処理を指定するには、 action コマンドを使用します。 action コマンドを削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
VLAN アクセスマップ コンフィギュレーション
スイッチ プロファイル コンフィギュレーション モード
コマンド履歴
|
|
|
使用上のガイドライン
action コマンドでは、 match コマンドによって指定された ACL 内の条件にパケットが一致した場合に、デバイスが実行する処理を指定します。
例
次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。
次に、vlan-map-03 という名前でスイッチ プロファイルに VLAN アクセス マップを作成して、そのマップに ip-acl-03 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定する例を示します。
関連コマンド
|
|
|
|---|---|
arp access-list
Address Resolution Protocol(ARP; アドレス解決プロトコル)ACL を作成するか、特定の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始するには、a rp access-list コマンドを使用します。ARP ACL を削除するには、このコマンドの no 形式を使用します。
arp access-list access-list-name
no arp access-list access-list-name
構文の説明
ARP ACL の名前。名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。名前にはスペースまたは引用符を含めることはできません。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、copp-arp-acl という名前の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
clear access-list counters
すべてまたは 1 つの IPv4 アクセス コントロール リスト(ACL)のカウンタをクリアするには、 clear access-list counters コマンドを使用します。
clear access-list counters [ access-list-name ]
構文の説明
(任意)スイッチがそのカウンタをクリアする IPv4 ACL の名前です。この名前には最大 64 文字までの英数字を指定できます。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、すべての IPv4 ACL のカウンタをクリアする例を示します。
次に、acl-ipv4-01 という名前の IPv4 ACL のカウンタをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear accounting log
アカウンティング ログをクリアするには、 clear accounting log コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
関連コマンド
|
|
|
|---|---|
clear ip arp
Address Resolution Protocol(ARP; アドレス解決プロトコル)テーブルおよび統計情報をクリアするには、 clear ip arp コマンドを使用します。
clear ip arp [ vlan vlan-id [ force-delete | vrf { vrf-name | all | default | management }]]
構文の説明
(任意)指定した VLAN の ARP 情報をクリアします。内部使用に予約されている VLAN を除き、有効な範囲は 1 ~ 4094 秒です。 |
|
(任意)ARP テーブルからクリアする Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)を指定します。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、VRF vlan-vrf を持つ VLAN 10 の ARP テーブル統計情報をクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear ip arp inspection log
Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)ログ バッファをクリアするには、 clear ip arp inspection log コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
関連コマンド
|
|
|
|---|---|
clear ip arp inspection statistics vlan
指定の VLAN のダイナミック ARP インスペクション(DAI)統計情報をクリアするには、 clear ip arp inspection statistics vlan コマンドを使用します。
clear ip arp inspection statistics vlan vlan-list
構文の説明
このコマンドによってその DAI 統計情報がクリアされる VLAN を指定します。 vlan-list 引数は 1 つの VLAN ID、VLAN ID の範囲、カンマ区切りの ID と範囲を指定できます。有効な VLAN ID は 1 ~ 4094 です。内部スイッチ用に予約されている VLAN は除きます。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、VLAN 2 の DAI 統計情報をクリアする例を示します。
次に、VLAN 5 ~ 12 の DAI 統計情報をクリアする例を示します。
次に、VLAN 2 および VLAN 5 ~ 12 の DAI 統計情報をクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear ip dhcp snooping binding
ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピング バインディング データベースをクリアするには、 clear ip dhcp snooping binding コマンドを使用します。
clear ip dhcp snooping binding [ vlan vlan-id [ mac mac-address ip ip-address ] [ interface { ethernet slot / port | port-channel channel-number }]]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、DHCP スヌーピング バインディング データベースをクリアする例を示します。
次に、DHCP スヌーピング バインディング データベースの特定のエントリをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear ip dhcp snooping statistics
ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピング統計情報をクリアするには、 clear ip dhcp snooping statistics コマンドを使用します。
clear ip dhcp snooping statistics
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
関連コマンド
|
|
|
|---|---|
deadtime
RADIUS または TACACS+ サーバ グループのデッド タイム間隔を設定するには、 deadtime コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
間隔の分数です。有効な範囲は 0 ~ 1440 分です。デッド タイム間隔をゼロ(0)に設定すると、タイマーがディセーブルになります。 |
コマンド デフォルト
コマンド モード
RADIUS サーバ グループ コンフィギュレーション
TACACS+ サーバ グループ コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、RADIUS サーバ グループのデッド タイム間隔を 2 分に設定する例を示します。
次に、TACACS+ サーバ グループのデッド タイム間隔を 5 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
deny(ARP)
条件に一致する ARP トラフィックを拒否する ARP ACL ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny ip { any | host sender-IP | sender-IP sender-IP-mask } mac any
no deny ip { any | host sender-IP | sender-IP sender-IP-mask } mac any
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
(注) Cisco NX-OS Release 5.0(3)U2(2) 以降、ARP アクセス リストは、Control Plane Policing(CoPP)に対してだけサポートされます。deny コマンドは CoPP ARP ACL では無視されます。
新しく作成した ARP ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、スイッチで ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号が割り当てられます。
スイッチは、パケットに ARP ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。
例
次に、copp-arp-acl という名前の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始し、送信者 192.0.32.14/24 サブネットからの ARP パケットをフィルタリングし、copp-arp-acl クラスに関連付ける ARP 要求メッセージを拒否するルールを追加する例を示します。
関連コマンド
|
|
|
|---|---|
deny(IPv4)
条件と一致するトラフィックを拒否する IPv4 アクセス コントロール リスト(ACL)ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
no deny protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ]
[ sequence-number ] deny icmp source destination [ icmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ]
[ sequence-number ] deny igmp source destination [ igmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ]
[ sequence-number ] deny ip source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ]
[ sequence-number ] deny tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ] [ flags ] [ established ]
[ sequence-number ] deny udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ]
構文の説明
コマンド デフォルト
新しく作成した IPv4 ACL には、ルールは含まれていません。
シーケンス番号を指定しない場合は、スイッチによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます。
コマンド モード
IPv4 ACL コンフィギュレーション
スイッチ プロファイル コンフィギュレーション モードでの IPv4 ACL
コマンド履歴
|
|
|
このコマンドのサポートがスイッチ プロファイルに追加されました。 IPv4 deny ip ACL に 任意 または ホスト の送信元アドレスを対象とするサポートが導入されました。 プロトコル ahp 、 eigrp 、 esp 、 nos 、 ospf 、 pcp 、 pim へのサポートが追加されました。 |
使用上のガイドライン
スイッチは、パケットに IPv4 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
•
アドレスおよびネットワーク ワイルドカード:IPv4 アドレスおよびネットワーク ワイルドカードを使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよびネットワーク ワイルドカードを使用して、 source 引数を指定する例を示します。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク):IPv4 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv4 アドレスを使用して、送信元または宛先とするホストを指定できます。構文は次のとおりです。
この構文は、 IPv4-address /32 および IPv4-address 0.0.0.0 と同じです。
次に、 host キーワードおよび 192.168.67.132 IPv4 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv4 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
igmp-message 引数には、0 ~ 255 の整数である ICMP メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。
• administratively-prohibited :管理上の禁止
• general-parameter-problem :パラメータの問題
• host-precedence-unreachable :優先順位のホスト到達不能
• host-tos-redirect :ToS ホスト リダイレクト
• host-tos-unreachable :ToS ホスト到達不能
• mobile-redirect :モバイル ホスト リダイレクト
• net-tos-redirect :ToS ネット リダイレクト
• net-tos-unreachable :ToS ネット到達不能
• no-room-for-option :パラメータが必要だが空きなし
• option-missing :パラメータが必要だが存在しない
• packet-too-big :フラグメンテーションが必要、DF 設定
• parameter-problem :すべてのパラメータの問題
• precedence-unreachable :優先順位カットオフ
• protocol-unreachable :プロトコル到達不能
• reassembly-timeout :再構成タイムアウト
• router-advertisement :ルータ ディスカバリ アドバタイズメント
• router-solicitation :ルータ ディスカバリ要求
• source-route-failed :送信元ルート障害
• time-exceeded :すべての時間超過メッセージ
• timestamp-reply :タイム スタンプ付きの応答
• timestamp-request :タイム スタンプ付きの要求
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• bgp :ボーダー ゲートウェイ プロトコル(BGP)(179)
• domain :ドメイン ネーム サービス(DNS)(53)
• drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
• hostname :NIC ホストネーム サーバ(11)
• irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
• nntp :Network News Transport Protocol(NNTP)(119)
• pim-auto-rp :PIM Auto-RP(496)
• pop2 :Post Office Protocol v2(POP2)(19)
• pop3 :Post Office Protocol v3(POP3)(11)
• smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• biff :BIFF(メール通知、comsat、512)
• bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
• bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
• dnsix :DNSIX セキュリティ プロトコル監査(195)
• domain :ドメイン ネーム サービス(DNS)(53)
• isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
• mobile-ip :モバイル IP レジストレーション(434)
• nameserver :IEN116 ネーム サービス(旧式、42)
• netbios-dgm :NetBIOS データグラム サービス(138)
• netbios-ns :NetBIOS ネーム サービス(137)
• netbios-ss :NetBIOS セッション サービス(139)
• non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
• pim-auto-rp :PIM Auto-RP(496)
• rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
例
次に、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP と UDP のトラフィックを拒否するルール、およびその他のすべての IPv4 トラフィックを許可する最後のルールを持つ、acl-lab-01 という名前の IPv4 ACL を設定する例を示します。
次に、10.20.0.0 および 192.168.36.0 ネットワークから 10.172.0.0 ネットワークへのすべての AHP と OSPF のトラフィックを拒否するルール、およびその他のすべての IPv4 トラフィックを許可する最後のルールを持つ、sp-acl という名前の IPv4 ACL を設定する例を示します。
関連コマンド
|
|
|
|---|---|
description(ユーザ ロール)
ユーザ ロールの説明を設定するには、 description コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
enable
ユーザがシークレット パスワードの入力を求められた後に、高い権限レベルに移行できるようにするには、 enable コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用するには、 feature privilege コマンドを使用して、TACACS+ サーバでのコマンド認可にロールの累積権限をイネーブルにする必要があります。
例
次に、ユーザがシークレット パスワードの入力を求められた後に、高い権限レベルに移行できるようにする例を示します。
関連コマンド
|
|
|
|---|---|
enable secret
特定の権限レベルのシークレット パスワードをイネーブルにするには、 enable secret コマンドを使用します。パスワードをディセーブルにするには、このコマンドの no 形式を使用します。
enable secret [ 0 | 5 ] password [ all | priv-lvl priv-level ]
no enable secret [ 0 | 5 ] password [ all | priv-lvl priv-level ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用するには、 feature privilege コマンドを使用して、TACACS+ サーバでのコマンド認可にロールの累積権限をイネーブルにする必要があります。
例
次に、特定の権限レベルのシークレット パスワードをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
feature(ユーザ ロール機能グループ)
ユーザ ロール機能グループに機能を設定するには、 feature コマンドを使用します。ユーザ ロール機能グループから機能を削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、ユーザ ロール機能グループに機能を追加する例を示します。
次に、ユーザ ロール機能グループから機能を削除する例を示します。
関連コマンド
|
|
|
|---|---|
feature dhcp
デバイスのダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピング機能をイネーブルにするには、 feature dhcp コマンドを使用します。DHCP スヌーピング機能をディセーブルして DHCP スヌーピングに関連するすべてのコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
DHCP スヌーピング機能は、デフォルトではディセーブルです。DHCP スヌーピングするは、VLAN のイネーブルまたはディセーブルにできます。
DHCP スヌーピング機能をイネーブルにしないと、DHCP スヌーピングの関連コマンドを使用できません。
ダイナミック ARP インスペクションは、DHCP スヌーピング機能に依存します。
DHCP スヌーピング機能をディセーブルにすると、次の機能を含む、DHCP スヌーピング設定に関連するデバイス上のすべての設定が廃棄されます。
• Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)
DHCP スヌーピング設定を保持したまま、DHCP スヌーピング機能をオフにしたい場合には、 no ip dhcp snooping コマンドを使用して、DHCP スヌーピングをグローバルにディセーブルにします。
DHCP スヌーピング機能がイネーブルのときには、アクセス コントロール リスト(ACL)の統計情報はサポートされません。
例
次の例では、DHCP スヌーピングをイネーブルにする方法を示します。
次の例では、DHCP スヌーピングをディセーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
feature privilege
RADIUS サーバと TACACS+ サーバでのコマンド認可に対するロールの累積権限をイネーブルにするには、 feature privilege コマンドを使用します。ロールの累積権限をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
feature privilege コマンドをイネーブルにすると、権限ロールは低いレベルの権限ロールの権限を継承します。
例
関連コマンド
|
|
|
|---|---|
feature tacacs+
TACACS+ をイネーブルにするには、 feature tacacs+ コマンドを使用します。TACACS+ をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。
(注) TACACS+ をディセーブルにすると、Cisco NX-OS ソフトウェアにより TACACS+ 設定が削除されます。
例
関連コマンド
|
|
|
|---|---|
hardware profile tcam region
ハードウェアのアクセス コントロール リスト(ACL)の Ternary Content Addressable Memory(TCAM)リージョンのサイズを変更するには、 hardware profile tcam region コマンドを使用します。デフォルトの ACL TCAM サイズに戻すには、このコマンドの no 形式を使用します。
hardware profile tcam region { arpacl | e-racl | e-vacl | ifacl | ipsg | ipv6-e-racl | ipv6-qos | ipv6-racl | ipv6-sup | qos | qoslbl | racl | vacl } tcam_size
no hardware profile tcam region { arpacl | e-racl | e-vacl | ifacl | ipsg | ipv6-e-racl | ipv6-qos | ipv6-racl | ipv6-sup | qos | qoslbl | racl | vacl } tcam_size
構文の説明
コマンド デフォルト
コマンド モード
グローバル コンフィギュレーション モード
スイッチ プロファイル コンフィギュレーション モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
TCAM サイズを変更すると、新しい TCAM のサイズが実行コンフィギュレーションに保存されます。新しい TCAM サイズを適用するには、スタートアップ コンフィギュレーション ファイルにスイッチの実行コンフィギュレーションをコピーしてから( copy running-config startup-config コマンド)、スイッチをリロードします( reload コマンド)。
(注) VACL および EVACL サイズは、同じ値に設定してください。
表 1-1 に、各 ACL リージョンのデフォルト TCAM サイズを示します。
|
|
|
|
|
|
|---|---|---|---|---|
(注) ARPACL TCAM のデフォルト サイズはゼロです。コントロール プレーン ポリシング(CoPP)ポリシーで ARP ACL を使用する前に、ゼロ以外のサイズにこの TCAM のサイズを設定します。
例
次に、RACL TCAM リージョンのサイズを変更する例を示します。
次に、0 または 128 以外の値に ARP ACL TCAM 値を設定したときに表示されるエラー メッセージを示します。また、ARP ACL TCAM リージョンのサイズを変更し、その変更を確認する方法を示します。
次に、スイッチ プロファイルで TCAM VLAN ACL を設定する例を示します。
次に、デフォルトの ACL TCAM サイズに戻す例を示します。
関連コマンド
|
|
|
|---|---|
hardware profile tcam syslog-threshold
TCAM 容量が所定のパーセンテージに達すると syslog メッセージが生成されるように、ACL TCAM に対する Syslog のしきい値を設定するには、 hardware profile tcam syslog-threshold コマンドを使用します。値をデフォルトにリセットするには、このコマンドの no 形式を使用します。
hardware profile tcam syslog-threshold percentage
no hardware profile tcam syslog-threshold
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、ACL TCAM の syslog のしきい値を 20 % に設定する例を示します。
関連コマンド
|
|
|
|---|---|
interface policy deny
ユーザ ロールに対してインターフェイス ポリシー コンフィギュレーション モードを開始するには、 interface policy deny コマンドを使用します。ユーザ ロールのインターフェイス ポリシーをデフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、ユーザ ロールのインターフェイス ポリシー コンフィギュレーション モードを開始する例を示します。
次に、ユーザ ロールのインターフェイス ポリシーをデフォルト設定に戻す例を示します。
関連コマンド
|
|
|
|---|---|
ip access-class
仮想端末回線(VTY)の着信または発信トラフィックを制限するために IPv4 アクセス クラスを作成または設定するには、 ip access-class コマンドを使用します。アクセス クラスを削除するには、このコマンドの no 形式を使用します。
ip access-class access-list-name { in | out }
no ip access-class access-list-name { in | out }
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
次の例では、着信パケットを制限するために VTY 回線の IP アクセス クラスを設定する例を示します。
次の例では、着信パケットを制限する IP アクセス クラスを削除する例を示します。
関連コマンド
|
|
|
|---|---|
ip access-group
ルータの ACL としてレイヤ 3 インターフェイスに IPv4 アクセス コントロール リスト(ACL)を適用するには、 ip access-group コマンドを使用します。インターフェイスから IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip access-group access-list-name { in | out }
no ip access-group access-list-name { in | out }
構文の説明
コマンド デフォルト
コマンド モード
インターフェイス コンフィギュレーション モード
サブインターフェイス コンフィギュレーション モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、IPv4 ACL はレイヤ 3 ルーテッド インターフェイスには適用されません。
ip access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をルータ ACL として適用できます。
• レイヤ 3 イーサネット ポート チャネル インターフェイスおよびサブインターフェイス
また、 ip access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をルータ ACL として適用できます。
• レイヤ 2 イーサネット ポート チャネル インターフェイス
ただし、 ip access-group コマンドを使用してレイヤ 2 に適用した ACL は、ポート モードをルーテッド(レイヤ 3)モードに変更しない限り、アクティブになりません。
デバイスから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
例
次に、レイヤ 3 イーサネット インターフェイス 1/2 に対して、ip-acl-01 という IPv4 ACL を適用する例を示します。
次に、イーサネット インターフェイス 2/1 から、ip-acl-01 という IPv4 ACL を削除する例を示します。
関連コマンド
|
|
|
|---|---|
ip access-list
IPv4 アクセス コントロール リスト(ACL)を作成して、特定の ACL の IP アクセス リスト コンフィギュレーション モードを開始するには、 ip access-list コマンドを使用します。IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip access-list access-list-name
no ip access-list access-list-name
構文の説明
コマンド デフォルト
コマンド モード
グローバル コンフィギュレーション モード
スイッチ プロファイル コンフィギュレーション モード
コマンド履歴
|
|
|
使用上のガイドライン
IPv4 トラフィックをフィルタリングするには、IPv4 ACL を使用します。
ip access-list コマンドを使用すると、スイッチで IP アクセス リスト コンフィギュレーション モードが開始されます。このモードで、IPv4 deny コマンドおよび permit コマンドを使用し、ACL のルールを設定します。指定した ACL が存在しない場合、このコマンドの入力時にスイッチで新しい ACL が作成されます。
ACL をインターフェイスに適用するには、 ip access-group コマンドを使用します。
すべての IPv4 ACL は、最終ルールとして、次の暗黙ルールが設定されます。
この暗黙のルールによって、どの条件にも一致しない IP トラフィックは拒否されます。
IPv4 ACL には、ネイバー探索プロセスをイネーブルにする暗黙ルールは追加されません。IPv4 では、IPv6 ネイバー探索プロセスと同等の Address Resolution Protocol(ARP; アドレス解決プロトコル)は、別のデータリンク層プロトコルを使用します。デフォルトでは、IPv4 ACL は、インターフェイス上での ARP パケットの送受信を暗黙で許可します。
CPU を経由するすべての着信および発信トラフィックに match-local-traffic オプションを使用します。
例
次に、ip-acl-01 という IPv4 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。
次に、スイッチ プロファイルで sp-acl という IPv4 ACL の IP アクセス リスト コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
ip arp event-history errors
イベント履歴バッファにアドレス解決プロトコル(ARP)のデバッグ イベントをログに記録するには、 ip arp event-history errors コマンドを使用します。
ip arp event-history errors size { disabled | large | medium | small }
no ip arp event-history errors size { disabled | large | medium | small }
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
次に、サイズが「中」の ARP イベント履歴バッファを設定する例を示します。
次に、ARP イベント履歴バッファをデフォルトに設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip arp inspection log-buffer
ダイナミック ARP インスペクション(DAI)ロギング バッファ サイズを設定するには、 ip arp inspection log-buffer コマンドを使用します。DAI ロギング バッファをデフォルトのサイズに戻すには、このコマンドの no 形式を使用します。
ip arp inspection log-buffer entries number
no ip arp inspection log-buffer entries number
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用する前に、 feature dhcp コマンドを使用して、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングをイネーブルにしてください。
例
次に、DAI ロギング バッファのサイズを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip arp inspection validate
追加の Dynamic ARP Inspection(DAI)検証をイネーブルにするには、 ip arp inspection validate コマンドを使用します。追加の DAI をディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection validate { dst-mac [ ip ] [ src-mac ]}
ip arp inspection validate { ip [ dst-mac ] [ src-mac ]}
ip arp inspection validate { src-mac [ dst-mac ] [ ip ]}
no ip arp inspection validate { dst-mac [ ip ] [ src-mac ]}
no ip arp inspection validate { ip [ dst-mac ] [ src-mac ]}
no ip arp inspection validate { src-mac [ dst-mac ] [ ip ]}
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用する前に、 feature dhcp コマンドを使用して、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングをイネーブルにしてください。
最小限、1 つのキーワードを指定する必要があります。複数のキーワードを指定する場合、順序は影響しません。
送信元 MAC 検証をイネーブルにすると、ARP パケットはパケット本体の送信側イーサネット アドレスが ARP フレーム ヘッダーの送信側イーサネット アドレスと同じである場合にだけ有効と見なされます。宛先 MAC 検証をイネーブルにすると、ARP 要求フレームはターゲット イーサネット アドレスが ARP フレーム ヘッダーの宛先イーサネット アドレスと同じである場合にだけ有効と見なされます。
例
次に、追加の DAI 検証をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ip arp inspection vlan
VLAN リストに対して Dynamic ARP Inspection(DAI)をイネーブルにするには、 ip arp inspection vlan コマンドを使用します。VLAN リストの DAI をディセーブルにするには、このコマンドの no 形式を使用します。
ip arp inspection vlan vlan-list [ logging dhcp-bindings { permit | all | none }]
no ip arp inspection vlan vlan-list [ logging dhcp-bindings { permit | all | none }]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、VLAN 13、15、および 17 ~ 23 で DAI をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ip arp inspection trust
レイヤ 2 インターフェイスを信頼できる ARP インターフェイスとして設定するには、 ip arp inspection trust コマンドを使用します。レイヤ 2 インターフェイスを信頼できない ARP インターフェイスとして設定するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、レイヤ 2 インターフェイスを信頼できる ARP インターフェイスとして設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip dhcp packet strict-validation
DHCP スヌーピング機能によるダイナミック ホスト コンフィギュレーション プロトコル(DHCP)パケットの厳密な検証をイネーブルにするには、 ip dhcp packet strict-validation コマンドを使用します。DHCP パケットの厳密な検証をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp packet strict-validation
no ip dhcp packet strict-validation
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ip dhcp packet strict-validation コマンドを使用する前に、DHCP スヌーピングをイネーブルにする必要があります。
DHCP パケットの厳密な検証では、DHCP パケットの DHCP オプション フィールドの先頭 4 バイトの「magic cookie」値を含め、このオプション フィールドが有効であるかをチェックします。DHCP パケットの厳密な検証がイネーブルにされている場合、デバイスは検証に失敗した DHCP パケットをドロップします。
例
次に、DHCP パケットの厳密な検証をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ip dhcp relay information option
リレー エージェントによって転送された DHCP パケットでの Option 82 情報の挿入および削除をイネーブルにするには、 ip dhcp relay information option コマンドを使用します。グローバルにこの機能をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp relay information option
no ip dhcp relay information option
構文の説明
デフォルトのバイナリ ifIndex 形式の Option 82 の代わりに符号化されたストリング形式を使用するように指定します。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
no ip dhcp snooping コマンドを使用して DHCP スヌーピングをディセーブルにすると、デバイスの DHCP スヌーピング設定が保持されます。
例
次に、グローバルに DHCP リレー情報をイネーブルにして、符号化文字列形式を指定する例を示します。
関連コマンド
|
|
|
|---|---|
ip dhcp smart relay
DHCP スマート リレーをグローバルにイネーブルにするには、 ip dhcp smart relay コマンドを使用します。グローバルにこの機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
no ip dhcp snooping コマンドを使用して DHCP スヌーピングをディセーブルにすると、デバイスの DHCP スヌーピング設定が保持されます。
例
次に、グローバルに DHCP スマート リレーをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ip dhcp snooping
デバイスでダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングをグローバルにイネーブルにするには、 ip dhcp snooping コマンドを使用します。DHCP スヌーピングをグローバルでディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
no ip dhcp snooping コマンドを使用して DHCP スヌーピングをディセーブルにすると、デバイスの DHCP スヌーピング設定が保持されます。
例
次に、DHCP スヌーピングをグローバルにイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
DHCP リレー エージェントを使用しないで転送された DHCP パケットでの option-82 情報の挿入および削除をイネーブルにします。 |
|
ip dhcp snooping information option
ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)パケットの option-82 情報の挿入および削除をイネーブルにするには、 ip dhcp snooping information option コマンドを使用します。option-82 情報の挿入および削除をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping information option
no ip dhcp snooping information option
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
例
次に、DHCP スヌーピングをグローバルにイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ip dhcp snooping trust
ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)メッセージの信頼できる送信元としてインターフェイスを設定するには、 ip dhcp snooping trust コマンドを使用します。インターフェイスを DHCP メッセージの信頼できない送信元として設定するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、DHCP スヌーピング機能をイネーブルにする必要があります( feature dhcp コマンドを参照)。
DHCP の信頼状態は、次のタイプのインターフェイスに設定できます。
例
次に、インターフェイスを DHCP メッセージの信頼できる送信元として設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip dhcp snooping verify mac-address
MAC アドレス検証のダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングをイネーブルにするには ip dhcp snooping verify mac-address コマンドを使用します。DHCP スヌーピングの MAC アドレス検証をディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping verify mac-address
no ip dhcp snooping verify mac-address
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、DHCP スヌーピングでの MAC アドレス検証はディセーブルです。
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合、アドレス検証によってデバイスはパケットをドロップします。
例
次の例では、DHCP スヌーピングを MAC アドレス検証でイネーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
ip dhcp snooping vlan
1 つ以上の VLAN でダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングをイネーブルにするには ip dhcp snooping vlan コマンドを使用します。1 つまたは複数の VLAN 上で DHCP スヌーピングをディセーブルにするには、このコマンドの no 形式を使用します。
ip dhcp snooping vlan vlan-list
no ip dhcp snooping vlan vlan-list
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
例
次に、VLAN 100、200、および 250 ~ 252 で DHCP スヌーピングをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
ip port access-group
IPv4 アクセス コントロール リスト(ACL)をインターフェイスのポート ACL として適用するには、 ip port access-group コマンドを使用します。インターフェイスから IPv4 ACL を削除するには、このコマンドの no 形式を使用します。
ip port access-group access-list-name in
no ip port access-group access-list-name in
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、インターフェイスに IPv4 ACL は適用されません。
ip port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、IPv4 ACL をポート ACL として適用できます。
IPv4 ACL を VLAN ACL として適用することもできます。詳細については、 match コマンドを参照してください。
スイッチでポート ACL が適用されるのは、着信トラフィックだけです。着信パケットは、スイッチ上で ACL のルールに対してチェックされます。最初の一致ルールによってパケットが許可されると、そのパケットはスイッチで引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはスイッチで廃棄され、ICMP ホスト到達不能メッセージが戻されます。
スイッチから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
例
次に、イーサネット インターフェイス 1/2 に対して、ip-acl-01 という IPv4 ACL をポート ACL として適用する例を示します。
次に、イーサネット インターフェイス 1/2 から、ip-acl-01 という IPv4 ACL を削除する例を示します。
関連コマンド
|
|
|
|---|---|
ip source binding
レイヤ 2 イーサネット インターフェイス用の固定 IP ソース エントリを作成するには、 ip source binding コマンドを使用します。固定 IP ソース エントリをディセーブルにするには、このコマンドの no 形式を使用します。
ip source binding IP-address MAC-address vlan vlan-id { interface ethernet slot / port | port-channel channel-no }
no ip source binding IP-address MAC-address vlan vlan-id { interface ethernet slot / port | port-channel channel-no }
構文の説明
固定 IP エントリに関連付けるレイヤ 2 イーサネット インターフェイスを指定します。スロット番号には 1 ~ 255、ポート番号には 1 ~ 128 を指定できます。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、固定 IP ソース エントリは作成されません。
このコマンドを使用するには、 feature dhcp コマンドを使用してダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピング機能をイネーブルにする必要があります。
例
次に、イーサネット インターフェイス 2/3 上に、VLAN 100 に関連付ける固定 IP ソース エントリを作成する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 address
インターフェイスに IPv6 アドレスを設定するには、ipv6 address コマンドを使用します。IPv6 アドレス設定を削除するには、このコマンドの no 形式を使用します。
ipv6 address {ipv6-address [eui64] [route-preference preference] [secondary] [tag tag-id]} {use-link-local-only}
no ipv6 address {ipv6-address [eui64] [route-preference preference] [secondary] [tag tag-id]} {use-link-local-only}
構文の説明
(任意)アドレスの下位 64 ビットに Extended Unique Identifier(EUI64)を設定します。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
インターフェイスに IPv6 のアドレスまたはセカンダリ アドレスを設定するには、ipv6 address コマンドを使用します。
例
次に、インターフェイス上で IPv6 アドレスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
ipv6 access-list
IPv6 アクセス コントロール リスト(ACL)を設定するか、または特定の ACL の IPv6 アクセス リスト コンフィギュレーション モードを開始するには、ipv6 access-list コマンドを使用します。IPv6 ACL 設定を削除するには、このコマンドの no 形式を使用します。
ipv6 access-list {acl-name | match-local-traffic}
no ip6 access-list {acl-name | match-local-traffic}
構文の説明
IPv6 ACL の名前。ACL 名には最大 64 の英数字を使用できます。名前にはスペースまたは引用符を含めることはできません。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
ipv6 traffic-filter
IPv6 パケットにアクセス コントロールを設定するには、ipv6 traffic-filter コマンドを使用します。アクセス コントロール設定を削除するには、このコマンドの no 形式を使用します。
ipv6 traffic-filter acl-name [in | out]
no ipv6 traffic-filter acl-name [in | out]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、IPv6 パケットの ACL を設定する例を示します。
次に、IPv6 アクセス コントロール設定を削除する例を示します。
関連コマンド
|
|
|
|---|---|
IPv6 アクセス コントロール リスト(ACL)を設定するか、IPv6 ACL コンフィギュレーション モードを開始します。 |
ipv6 verify unicast source reachable-via
IPv6 用インターフェイスにユニキャスト リバース パス転送(ユニキャスト RPF)を設定するには、 ipv6 verify unicast source reachable-via コマンドを使用します。
ipv6 verify unicast source reachable-via {any | rx}
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、IPv6 パケットにルーズ ユニキャスト RPF を設定する例を示します。
次に、IPv6 パケットにストリクト ユニキャスト RPF を設定する例を示します。
関連コマンド
|
|
|
|---|---|
ip verify unicast source reachable-via
インターフェイス上でユニキャスト リバース パス転送(ユニキャスト RPF)を設定するには、 ip verify unicast source reachable-via コマンドを使用します。インターフェイスからユニキャスト RPF を削除するには、このコマンドの no 形式を使用します。
ip verify unicast source reachable-via { any [ allow-default ] | rx }
no ip verify unicast source reachable-via { any [ allow-default ] | rx }
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
入力インターフェイスに次のいずれかのユニキャスト RPF モードを設定できます。
• ストリクト ユニキャスト RPF モード:ストリクト モード チェックは、次の一致が検出された場合に成功します。
– ユニキャスト RPF が、Forwarding Information Base(FIB; 転送情報ベース)でパケット送信元アドレスの一致を検出。
– パケットを受信した入力側インターフェイスが、FIB 一致のユニキャスト PRF インターフェイスの 1 つと一致。
これらのチェックに失敗すると、パケットは廃棄されます。このタイプのユニキャスト RPF チェックは、パケット フローが対称であると予想される場合に使用できます。
• ルーズ ユニキャスト RPF モード:ルーズ モード チェックは、FIB でのパケット送信元アドレスの検索が一致し、最低 1 つの実インターフェイスを経由して送信元に到達可能であるという FIB 結果が示された場合に成功します。パケットを受信した入力インターフェイスが FIB 内のインターフェイスのいずれかと一致する必要はありません。
例
次に、インターフェイス上にルーズ ユニキャスト RPF チェックを設定する例を示します。
次に、インターフェイス上にストリクト ユニキャスト RPF チェックを設定する例を示します。
関連コマンド
|
|
|
|---|---|
mac port access-group
MAC アクセス コントロール リスト(ACL)をインターフェイスに適用するには、 mac port access-group コマンドを使用します。インターフェイスから MAC ACL を削除するには、このコマンドの no 形式を使用します。
mac port access-group access-list-name
no mac port access-group access-list-name
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、インターフェイスに MAC ACL は適用されません。
mac port access-group コマンドを使用することにより、次のインターフェイス タイプに対して、MAC ACL をポート ACL として適用できます。
MAC ACL を VLAN ACL として適用することもできます。詳細については、 match コマンドを参照してください。
スイッチで MAC ACL が適用されるのは、着信トラフィックだけです。スイッチは、MAC ACL を適用すると、パケットを ACL のルールに対してチェックします。最初の一致ルールによってパケットが許可されると、そのパケットはスイッチで引き続き処理されます。最初の一致ルールによってパケットが拒否されると、そのパケットはスイッチで廃棄され、ICMP ホスト到達不能メッセージが戻されます。
スイッチから特定の ACL を削除した場合、インターフェイスからその ACL を削除しなくても、削除した ACL はインターフェイス上のトラフィックには影響しません。
例
次に、イーサネット インターフェイス 1/2 に対して、mac-acl-01 という MAC ACL を適用する例を示します。
次に、イーサネット インターフェイス 1/2 から、mac-acl-01 という MAC ACL を削除する例を示します。
関連コマンド
|
|
|
|---|---|
match
VLAN アクセス マップ内のトラフィック フィルタリング用としてアクセス コントロール リスト(ACL)を指定するには、 match コマンドを使用します。VLAN アクセス マップから match コマンドを削除するには、このコマンドの no 形式を使用します。
match { ip | mac } address access-list-name
no match { ip | mac } address access-list-name
構文の説明
IPv4 アドレス、IPv6 アドレス、または MAC アドレス、およびアクセス リスト名を指定します。名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。 |
コマンド デフォルト
デフォルトでは、スイッチによりトラフィックが分類され、IPv4 トラフィックには IPv4 ACL が、その他のすべてのトラフィックには MAC ACL が適用されます。
コマンド モード
VLAN アクセスマップ コンフィギュレーション モード
スイッチ プロファイル コンフィギュレーション モード
コマンド履歴
|
|
|
使用上のガイドライン
指定できる match コマンドは、アクセス マップごとに 1 つだけです。
(注) ipv6 および mac のキーワードは、スイッチ プロファイルに設定された VLAN アクセス マップには適用されません。
例
次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。
次に、スイッチ プロファイルで vlan-map-03 という名前の VLAN アクセス マップを作成し、そのマップに ip-acl-03 という名前の IPv4 ACL を割り当てる例を示します。
関連コマンド
|
|
|
|---|---|
permit(ARP)
条件と一致する ARP トラフィックを許可する ARP ACL ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit ip { any | host sender-IP | sender-IP sender-IP-mask } mac any
no permit ip { any | host sender-IP | sender-IP sender-IP-mask } mac any
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
(注) Cisco NX-OS Release 5.0(3)U2(2) 以降、ARP アクセス リストは、Control Plane Policing(CoPP)に対してだけサポートされます。permit コマンドは CoPP ARP ACL では無視されます。
新しく作成した ARP ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、デバイスは ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号を割り当てます。
パケットに ARP ACL が適用されると、ACL 内のすべてのルールに対してパケットが評価されます。パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。
例
次に、copp-arp-acl という名前の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始し、送信者 192.0.32.14/24 サブネットからの ARP パケットをフィルタリングし、copp-arp-acl クラスに関連付ける ARP 要求メッセージを許可するルールを追加する例を示します。
関連コマンド
|
|
|
|---|---|
permit(IPv4)
条件と一致するトラフィックを許可する IPv4 アクセス コントロール リスト(ACL)ルールを作成するには、 permit コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] permit protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ]
no permit protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ]
[ sequence-number ] permit icmp source destination [ icmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ]
[ sequence-number ] permit igmp source destination [ igmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ]
[ sequence-number ] permit ip source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ]
[ sequence-number ] permit tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ] [ flags ] [ established ]
[ sequence-number ] permit udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ][ time-range time-range-name ]
構文の説明
コマンド デフォルト
新しく作成した IPv4 ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、デバイスは ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号を割り当てます。
コマンド モード
IPv4 ACL コンフィギュレーション モード
スイッチ プロファイル コンフィギュレーション モードでの IPv4 ACL
コマンド履歴
|
|
|
このコマンドのサポートがスイッチ プロファイルに追加されました。 IPv4 permit ip ACL に 任意 または ホスト の送信元アドレスを対象とするサポートが導入されました。 プロトコル ahp 、 eigrp 、 esp 、 nos 、 ospf 、 pcp 、および pim へのサポートが追加されました。 |
使用上のガイドライン
スイッチは、パケットに IPv4 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• アドレスおよびネットワーク ワイルドカード:IPv4 アドレスおよびネットワーク ワイルドカードを使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよびネットワーク ワイルドカードを使用して、 source 引数を指定する例を示します。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク):IPv4 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv4 アドレスを使用して、送信元または宛先とするホストを指定できます。構文は次のとおりです。
この構文は、 IPv4-address /32 および IPv4-address 0.0.0.0 と同じです。
次に、 host キーワードおよび 192.168.0.132 IPv4 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv4 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
igmp-message 引数には、0 ~ 255 の整数である ICMP メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。
• administratively-prohibited :管理上の禁止
• general-parameter-problem :パラメータの問題
• host-precedence-unreachable :優先順位のホスト到達不能
• host-tos-redirect :ToS ホスト リダイレクト
• host-tos-unreachable :ToS ホスト到達不能
• mobile-redirect :モバイル ホスト リダイレクト
• net-tos-redirect :ToS ネット リダイレクト
• net-tos-unreachable :ToS ネット到達不能
• no-room-for-option :パラメータが必要だが空きなし
• option-missing :パラメータが必要だが存在しない
• packet-too-big :フラグメンテーションが必要、DF 設定
• parameter-problem :すべてのパラメータの問題
• precedence-unreachable :優先順位カットオフ
• protocol-unreachable :プロトコル到達不能
• reassembly-timeout :再構成タイムアウト
• router-advertisement :ルータ ディスカバリ アドバタイズメント
• router-solicitation :ルータ ディスカバリ要求
• source-route-failed :送信元ルート障害
• time-exceeded :すべての時間超過メッセージ
• timestamp-reply :タイム スタンプ付きの応答
• timestamp-request :タイム スタンプ付きの要求
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• bgp :ボーダー ゲートウェイ プロトコル(BGP)(179)
• domain :ドメイン ネーム サービス(DNS)(53)
• drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
• hostname :NIC ホストネーム サーバ(11)
• irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
• nntp :Network News Transport Protocol(NNTP)(119)
• pim-auto-rp :PIM Auto-RP(496)
• pop2 :Post Office Protocol v2(POP2)(19)
• pop3 :Post Office Protocol v3(POP3)(11)
• smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• biff :BIFF(メール通知、comsat、512)
• bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
• bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
• dnsix :DNSIX セキュリティ プロトコル監査(195)
• domain :ドメイン ネーム サービス(DNS)(53)
• isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
• mobile-ip :モバイル IP レジストレーション(434)
• nameserver :IEN116 ネーム サービス(旧式、42)
• netbios-dgm :NetBIOS データグラム サービス(138)
• netbios-ns :NetBIOS ネーム サービス(137)
• netbios-ss :NetBIOS セッション サービス(139)
• non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
• pim-auto-rp :PIM Auto-RP(496)
• rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
例
次に、acl-lab-01 という IPv4 ACL を作成し、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP および UDP トラフィックを許可するルールを設定する例を示します。
次に、スイッチ プロファイルで sp-acl という IPv4 ACL を作成し、10.20.0.0 および 192.168.36.0 ネットワークから 10.172.0.0 ネットワークへのすべての AHP および OSPF トラフィックを許可するルールを設定する例を示します。
関連コマンド
|
|
|
|---|---|
permit interface
ユーザ ロール インターフェイス ポリシーでインターフェイスを追加するには、 permit interface コマンドを使用します。インターフェイスを削除するには、このコマンドの no 形式を使用します。
permit interface interface-list
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
permit interface ステートメントを機能させるには、次の例のように、コマンド ルールを設定してインターフェイス アクセスを許可する必要があります。
例
次に、ユーザ ロール インターフェイス ポリシーでインターフェイス範囲を設定する例を示します。
次に、ユーザ ロール インターフェイス ポリシーでインターフェイスのリストを設定する例を示します。
次に、ユーザ ロール インターフェイス ポリシーからインターフェイスを削除する例を示します。
関連コマンド
|
|
|
|---|---|
permit vlan
ユーザ ロール VLAN ポリシーで VLAN を追加するには、 permit vlan コマンドを使用します。VLAN を削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
permit vlan ステートメントを機能させるには、次の例のように、コマンド rule を設定して VLAN アクセスを許可する必要があります。
例
次に、ユーザ ロール VLAN ポリシーで VLAN の範囲を設定する例を示します。
次に、ユーザ ロール VLAN ポリシーで VLAN のリストを設定する例を示します。
次に、ユーザ ロール VLAN ポリシーから VLAN を削除する例を示します。
関連コマンド
|
|
|
|---|---|
permit vrf
ユーザ ロール VRF ポリシーで、Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)インスタンスを追加するには、 permit vrf コマンドを使用します。VRF を削除するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、ユーザ ロール VRF ポリシーで VRF の範囲を設定する例を示します。
関連コマンド
|
|
|
|---|---|
permit vsan
ユーザ ロールに VSAN ポリシーへのアクセスを許可するには、 permit vsan コマンドを使用します。ユーザ ロールのデフォルトの VSAN ポリシー設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
ユーザ ロールがアクセスできる VSAN の範囲です。有効な範囲は 1 ~ 4093 です。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、 vsan policy deny コマンドを使用して VSAN ポリシーを拒否した後にのみイネーブルになります。
例
次に、ユーザ ロールに VSAN ポリシーへのアクセスを許可する例を示します。
関連コマンド
|
|
|
|---|---|
radius-server deadtime
Cisco Nexus 3000 シリーズ スイッチにすべての RADIUS サーバのデッド タイム間隔を設定するには、 radius-server deadtime コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server deadtime minutes
no radius-server deadtime minutes
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デッド タイム間隔は、応答のなかった RADIUS サーバをスイッチが確認するまでの分数です。
(注) アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。
例
次に、すべての RADIUS サーバの定期的なモニタリングを実行するグローバル デッド タイム間隔を設定する例を示します。
次に、すべての RADIUS サーバのグローバル デッド タイム間隔をデフォルトに戻して、サーバの定期的なモニタリングをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
radius-server directed-request
ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにするには、 radius-server directed-request コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server directed-request
no radius-server directed-request
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
ログイン時、 username @ vrfname : hostname を指定できます。vrfname は使用する VRF、hostname は設定した RADIUS サーバ名です。ユーザ名が認証用に RADIUS サーバに送信されます。
例
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにする例を示します。
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できないようにする例を示します。
関連コマンド
|
|
|
|---|---|
radius-server host
RADIUS サーバ パラメータを設定するには、 radius-server host コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server host { hostname | ipv4-address | ipv6-address } [ key [ 0 | 7 ] shared-secret [ pac ]] [ accounting ] [ acct-port port-number ] [ auth-port port-number ] [ authentication ] [ retransmit count ] [ test { idle-time time | password password | username name }] [ timeout seconds [ retransmit count ]]
no radius-server host { hostname | ipv4-address | pv6-address } [ key [ 0 | 7 ] shared-secret [ pac ]] [ accounting ] [ acct-port port-number ] [ auth-port port-number ] [ authentication ] [ retransmit count ] [ test { idle-time time | password password | username name }] [ timeout seconds [ retransmit count ]]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、RADIUS サーバの認証とアカウンティングのパラメータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
radius-server key
RADIUS 共有秘密キーを設定するには、 radius-server key コマンドを使用します。設定した共有秘密キーを削除するには、このコマンドの no 形式を使用します。
radius-server key [ 0 | 7 ] shared-secret
no radius-server key [ 0 | 7 ] shared-secret
構文の説明
RADIUS クライアントとサーバ間の通信を認証するために使用される事前共有キー。事前共有キーには、出力可能な ASCII 文字の使用が可能です(空白文字は使用できません)。大文字と小文字が区別され、最大文字数は 63 です。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
RADIUS 事前共有キーを設定して、RADIUS サーバに対してスイッチを認証する必要があります。キーの長さは 65 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。グローバル キーは、スイッチにあるすべての RADIUS サーバ コンフィギュレーションで使用するよう設定できます。 radius-server host コマンドで key キーワードを使用することでこのグローバル キーの割り当てを上書きできます。
例
次に、RADIUS 認証を設定する各種のシナリオを提供する例を示します。
関連コマンド
|
|
|
|---|---|
radius-server retransmit
スイッチが RADIUS サーバで要求を試行する回数を指定するには、 radius-server retransmit コマンドを使用する必要があります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server retransmit count
no radius-server retransmit count
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、RADIUS サーバに再送信回数を設定する例を示します。
次に、RADIUS サーバに再送信のデフォルト数を設定する例を示します。
関連コマンド
|
|
|
|---|---|
radius-server timeout
RADIUS サーバへの再送信間隔を指定するには、 radius-server timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no radius-server timeout seconds
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
関連コマンド
|
|
|
|---|---|
remark
IPv4 または MAC アクセス コントロール リスト(ACL)にコメントを入力するには、 remark コマンドを使用します。 remark コマンドを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] remark remark
no { sequence-number | remark remark }
構文の説明
コマンド デフォルト
コマンド モード
ARP ACL コンフィギュレーション モード
IPv4 ACL コンフィギュレーション モード
スイッチ プロファイル コンフィギュレーション モードでの IPv4 ACL
MAC ACL コンフィギュレーション モード
コマンド履歴
|
|
|
使用上のガイドライン
remark 引数には、最大 100 文字を指定できます。 remark 引数に 100 を超える文字を入力すると、スイッチは最初の 100 文字を受け入れ、後の文字を廃棄します。
例
次に、IPv4 ACL にリマークを作成して、結果を表示する例を示します。
次に、スイッチ プロファイルで IPv4 ACL にリマークを作成する例を示します。
関連コマンド
|
|
|
|---|---|
resequence
アクセス コントロール リスト(ACL)のすべてのルールまたは時間の範囲にシーケンス番号を再度割り当てるには、 resequence コマンドを使用します。
resequence access-list-type access-list access-list-name starting-number increment
resequence time-range time-range-name starting-number increment
構文の説明
| (注) この ACL タイプはスイッチ プロファイルに適用されません。 | |
| (注) このキーワードは、スイッチ プロファイルに適用されません。 | |
コマンド デフォルト
コマンド モード
グローバル コンフィギュレーション モード
スイッチ プロファイル コンフィギュレーション モード
コマンド履歴
|
|
|
使用上のガイドライン
resequence コマンドを使用すると、ACL のルールまたは時間の範囲にシーケンス番号を再度割り当てることができます。最初のルールの新しいシーケンス番号は、 starting-number 引数によって決まります。その他の各ルールは、 increment 引数によって決まる新しいシーケンス番号を受け取ります。最大シーケンス番号がシーケンス番号の許容最大値を超えると、シーケンスが実行されず、次のメッセージが表示されます。
例
次に、 show ip access-lists コマンドを使用して、100 のシーケンス番号で開始し、10 ずつ増える ip-acl-01 という名前の IPv4 ACL のシーケンスを再度実行し、 resequence コマンドの使用の前後のシーケンス番号を確認する例を示します。
次に、スイッチ プロファイルで sp-acl という名前の IPv4 ACL に、30 から開始して 5 ずつ増やしながらシーケンス番号を再割り当てする例を示します。
関連コマンド
|
|
|
|---|---|
role feature-group name
ユーザ ロール機能グループを作成または指定し、ユーザ ロール機能グループ コンフィギュレーション モードを開始するには、 role feature-group name コマンドを使用します。ユーザ ロール機能グループを削除するには、このコマンドの no 形式を使用します。
role feature-group name group-name
no role feature-group name group-name
構文の説明
ユーザ ロール機能グループ名。 group-name の最大文字数は 32 で、大文字と小文字が区別され、英数字文字列で指定します。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、ユーザ ロール機能グループを作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
ユーザ ロール機能グループを指定または作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始します。 |
|
role name
ユーザ ロールを作成または指定し、ユーザ ロール コンフィギュレーション モードを開始するには、 role name コマンドを使用します。ユーザ ロールを削除するには、このコマンドの no 形式を使用します。
role name { role-name | default-role | privilege-role }
no role name { role-name | default-role | privilege-role }
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco Nexus 3000 シリーズ スイッチには、次のデフォルトのユーザ ロールがあります。
• ネットワーク管理者:スイッチ全体の読み取りおよび書き込みアクセスを完了します。
特権レベルのロールを表示するには、 feature privilege コマンドを使用して TACACS+ サーバでのコマンド認可にロールの累積権限をイネーブルにする必要があります。権限ロールは、レベルが低い方の権限ロールの権限を継承します。
例
次に、ユーザ ロールを作成して、ユーザ ロール コンフィギュレーション モードを開始する例を示します。
次に、特権レベル 1 のユーザ ロールを作成して、ユーザ ロール コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
rule
ユーザ ロールのルールを設定するには、 rule コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
rule number { deny | permit } { command command-string | { read | read-write } [ feature feature-name | feature-group group-name ]}
構文の説明
(任意)機能名を指定します。スイッチの機能名を表示するには、 show role feature コマンドを使用します。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
指定するルール番号は、適用したルールの順序を決めます。ルールは降順で適用されます。たとえば、ロールに 3 つのルールがある場合、ルール 3、ルール 2、ルール 1 の順に適用されます。
例
次に、特権レベル 0 のユーザ ロールにルールを追加する例を示します。
関連コマンド
|
|
|
|---|---|
server
RADIUS サーバ グループまたは TACACS+ サーバ グループにサーバを追加するには、 server コマンドを使用します。サーバ グループからサーバを削除するには、このコマンドの no 形式を使用します。
server { ipv4-address | hostname }
no server { ipv4-address | hostname }
構文の説明
コマンド デフォルト
コマンド モード
RADIUS サーバ グループ コンフィギュレーション モード
TACACS+ サーバ グループ コンフィギュレーション モード
コマンド履歴
|
|
|
使用上のガイドライン
RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。TACACS+ サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server tacacs+ コマンドを使用します。
サーバを検索できなかった場合、 radius-server host コマンドまたは tacacs-server host コマンドを使用してサーバを設定します。
(注) TACACS+ を設定する前に、feature tacacs+ コマンドを使用する必要があります。
例
次に、RADIUS サーバ グループにサーバを追加する例を示します。
次に、RADIUS サーバ グループからサーバを削除する例を示します。
次に、TACACS+ サーバ グループにサーバを追加する例を示します。
次に、TACACS+ サーバ グループからサーバを削除する例を示します。
関連コマンド
|
|
|
|---|---|
show aaa accounting
認証、許可、アカウンティング(AAA)アカウンティング設定を表示するには、 show aaa accounting コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
関連コマンド
|
|
|
|---|---|
show aaa authentication
認証、許可、アカウンティング(AAA)の認証設定情報を表示するには、 show aaa authentication コマンドを使用します。
show aaa authentication login [ error-enable | mschap ]
構文の説明
(任意)認証ログイン マイクロソフト チャレンジ ハンドシェーク認証プロトコル(MS-CHAP)イネーブル コンフィギュレーションを表示します。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、認証ログイン エラー イネーブル コンフィギュレーションを表示する例を示します。
次に、認証ログイン MS-CHAP コンフィギュレーションを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show aaa authorization
AAA 認可設定情報を表示するには、 show aaa authorization コマンドを使用します。
show aaa authorization [ all ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
関連コマンド
|
|
|
|---|---|
show aaa groups
認証、許可、アカウンティング(AAA)サーバ グループ コンフィギュレーションを表示するには、 show aaa groups コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
関連コマンド
|
|
|
|---|---|
show aaa user
リモート認証の認証、許可、アカウンティング(AAA)サーバ管理者により割り当てられるデフォルト ロールのステータスを表示するには、 show aaa user コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
次に、リモート認証の AAA サーバ管理者により割り当てられるデフォルト ロールのステータスを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show access-lists
すべての IPv4 アクセス コントロール リスト(ACL)および MAC ACL、または特定の ACL を表示するには、 show access-lists コマンドを使用します。
show access-lists [ access-list-name ]
構文の説明
コマンド デフォルト
access-list-name 引数を使用して ACL を指定する場合を除いて、スイッチはすべての ACL を表示します。
コマンド モード
コマンド履歴
|
|
|
例
次に、Cisco NX-OS Release 5.0(3)U2(1) を実行するスイッチ上のすべての IPv4 および MAC ACL を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show accounting log
アカウンティングのログ内容を表示するには、 show accounting log コマンドを使用します。
show accounting log [ size ] [ start-time year month day HH : MM : SS ] [ end-time year month day HH : MM : SS ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、Cisco NX-OS Release 5.0(3)U2(1) を実行しているスイッチ上のアカウンティング ログ全体を表示する例を示します。
次に、Cisco NX-OS Release 5.0(3)U2(1) を実行しているスイッチ上のアカウンティング ログの 400 バイトを表示する例を示します。
次に、2011 年 8 年 4 日 16:00:00 に開始するアカウンティング ログを表示する例を示します。
次に、2008 年 2 月 1 日 15:59:59 に開始し、2008 年 2 月 29 日 16:00:00 に終了するアカウンティング ログを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show arp access-lists
すべての ARP Access Control List(ACL)または特定の ARP ACL を表示するには、 show arp access-lists コマンドを使用します。
show arp access-lists [ access-list-name ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
access-list-name 引数を使用して ACL を指定する場合を除いて、デバイスはすべての ARP ACL を表示します。
例
次に、スイッチ上のすべての ARP ACL を表示する例を示します。
次に、arp-permit-all という名前の ARP ACL を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show hardware profile tcam region
スイッチのリロード後に適用されるアクセス コントロール リスト(ACL)の Ternary Content Addressable Memory(TCAM)のサイズを表示するには、 show hardware profile tcam region コマンドを使用します。
show hardware profile tcam region
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、Region コマンド スイッチのリロード後に適用される hardware profile tcam region コマンドを使用して、スイッチに設定した新しい TCAM サイズを確認するために使用します。
スイッチに設定されている現在の ACL TCAM サイズを表示するには、 show platform afm info tcam asic-id region { arpacl | e-racl | e-vacl | ifacl | qos | racl | rbacl | span | sup | vacl } コマンドを使用します。
例
関連コマンド
|
|
|
|---|---|
show ip access-lists
すべての IPv4 アクセス コントロール リスト(ACL)または特定の IPv4 ACL を表示するには、 show ip access-lists コマンドを使用します。
show ip access-lists [ access-list-name ]
構文の説明
コマンド デフォルト
access-list-name 引数を使用して ACL を指定する場合を除いて、スイッチはすべての IPv4 ACL を表示します。
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、このコマンドはスイッチの IPv4 ACL 設定を表示します。このコマンドは、IPv4 ACL が管理(mgmt0)インターフェイスに割り当てられている場合に限り、IPv4 ACL の統計情報を表示します。ACL がスイッチ仮想インターフェイス(SVI)または QoS クラス マップ内に割り当てられている場合、このコマンドにより表示される統計情報はありません。
例
次に、Cisco NX-OS Release 5.0(3)U2(1) を実行するスイッチ上のすべての IPv4 ACL を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show ip arp
Address Resolution Protocol(ARP; アドレス解決プロトコル)テーブル統計情報を表示するには、 show ip arp コマンドを使用します。
show ip arp [ detail | vlan vlan-id [ vrf { vrf-name | all | default | management }]]
構文の説明
(任意)指定した VLAN の詳細な ARP 情報を表示します。内部使用に予約されている VLAN を除き、有効な範囲は 1 ~ 4094 秒です。 |
|
(任意)使用する Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)を指定します。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
次に、VLAN 10 およびすべての VRF の ARP テーブルを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show ip arp inspection
Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)設定ステータスを表示するには、 show ip arp inspection コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
関連コマンド
|
|
|
|---|---|
show ip arp inspection interfaces
指定されたインターフェイスの信頼状態を表示するには、 show ip arp inspection interfaces コマンドを使用します。
show ip arp inspection interfaces { ethernet slot / port | port-channel channel-number }
構文の説明
(任意)出力がポートチャネル インターフェイス用になるように指定します。有効なポートチャネル番号は、1 ~ 4096 です。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、信頼できるインターフェイスの信頼状態を表示する例を示します。
関連コマンド
|
|
|
|---|---|
VLAN の指定されたリストの Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)をイネーブルにします。 |
|
show ip arp inspection log
Dynamic ARP Inspection(DAI)ログ設定を表示するには、 show ip arp inspection log コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
関連コマンド
|
|
|
|---|---|
show ip arp inspection statistics
ダイナミック ARP インスペクション(DAI)統計情報を表示するには、 show ip arp inspection statistics コマンドを使用します。
show ip arp inspection statistics [ vlan vlan-list ]
構文の説明
(任意)DAI 統計情報を表示する VLAN のリストを指定します。指定できる VLAN ID は 1 ~ 4094 です。1 つの VLAN または VLAN の範囲を指定できます。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、VLAN 1 の DAI 統計情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show ip arp inspection vlan
VLAN の指定されたリストのダイナミック ARP インスペクション(DAI)ステータスを表示するには、 show ip arp inspection vlan コマンドを使用します。
show ip arp inspection vlan vlan-list
構文の説明
DAI ステータスがある VLAN のリスト。 vlan-list 引数は 1 つの VLAN ID、VLAN ID の範囲、カンマ区切りの ID と範囲を指定できます。指定できる VLAN ID は 1 ~ 4094 です。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、VLAN 1 の DAI ステータスを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show ip dhcp snooping
ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピングの一般的なステータス情報を表示するには、 show ip dhcp snooping コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、DHCP スヌーピングに関する一般ステータス情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show ip dhcp snooping binding
すべてのインターフェイスまたは特定のインターフェイスの IP-to-MAC アドレス バインディングを表示するには、 show ip dhcp snooping binding コマンドを使用します。
show ip dhcp snooping binding [ IP-address ] [ MAC-address ] [ interface ethernet slot / port ] [ vlan vlan-id ]
show ip dhcp snooping binding [ dynamic ]
show ip dhcp snooping binding [ static ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
バインディング インターフェイスには、スタティック IP ソース エントリが含まれます。スタティック エントリは、Type 列に「static」と表示されます。
例
関連コマンド
|
|
|
|---|---|
show ip dhcp snooping statistics
ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピング統計情報を表示するには、 show ip dhcp snooping statistics コマンドを使用します。
show ip dhcp snooping statistics
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、DHCP スヌーピング統計情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show ipv6 interface
インターフェイスの IPv6 インターフェイス情報を表示するには、show ipv6 interface コマンドを使用します。
show ipv6 interface [ipv6-address | brief | detail | ethernet | loopback | mgmt | port-channel | vrf]
構文の説明
(任意)IPv6 アドレス。形式は A:B::C:D/length です。length の範囲は 1 ~ 128 です。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、インターフェイスの IPv6 情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show ip verify source
IP-to-MAC アドレス バインディングを表示するには、 show ip verify source コマンドを使用します。
show ip verify source [ interface { ethernet slot / port | port-channel channel-number }]
構文の説明
(任意)出力が所定のイーサネット インターフェイスのバインディングに制限されるように指定します。スロット番号は 1 ~ 255、ポート番号は 1 ~ 128 です。 |
|
(任意)出力が所定のポートチャネル インターフェイスのバインディングに制限されるように指定します。有効なポートチャネル番号は、1 ~ 4096 です。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、スイッチの IP-to-MAC アドレス バインディングを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show platform afm info tcam
プラットフォームに依存するアクセス コントロール リスト(ACL)機能マネージャ(AFM)の Ternary Content Addressable Memory(TCAM)ドライバ情報を表示するには、 show platform afm info tcam コマンドを使用します。
show platform afm info tcam asic-id {{ bcm-entry | entry } low-tcam-index high-tcam-index | region { arpacl | e-racl | e-vacl | ifacl | qos | racl | rbacl | span | sup | vacl }}
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
次に、ASIC ID 1、範囲 1 ~ 2 の TCAM エントリを表示する例を示します。
次に、インターフェイス ACL リージョンの TCAM エントリを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show privilege
現在の権限レベル、ユーザ名、および累積権限サポートのステータスを表示するには、 show privileg e コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
feature privilege コマンドをイネーブルにすると、権限ロールは低いレベルの権限ロールの権限を継承します。
例
次に、累積権限サポートの現在の特権レベル、ユーザ名、およびステータスを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show radius-server
RADIUS サーバ情報を表示するには、 show radius-server コマンドを表示します。
show radius-server [ hostname | ipv4-address| ipv6-address ] [ directed-request | groups [ group-name ] | sorted | statistics hostname | ipv4-address ]
構文の説明
(任意)RADIUS サーバの Domain Name Server(DNS; ドメイン ネーム サーバ)名。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 256 です。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
RADIUS 事前共有キーは、 show radius-server コマンド出力には表示されません。RADIUS 事前共有キーを表示するには、 show running-config radius コマンドを使用します。
例
次に、すべての RADIUS サーバの情報を表示する例を示します。
次に、指定された RADIUS サーバの情報を表示する例を示します。
次に、RADIUS サーバ グループの情報を表示する例を示します。
次に、指定された RADIUS サーバ グループの情報を表示する例を示します。
次に、すべての RADIUS サーバのソートされた情報を表示する例を示します。
次に、指定された RADIUS サーバの統計情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show role
ユーザ ロール設定を表示するには、 show role コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
関連コマンド
|
|
|
|---|---|
show role feature
ユーザ ロール機能を表示するには、 show role feature コマンドを使用します。
show role feature [ detail | name feature-name ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、すべてのユーザ ロール機能の詳細情報を表示する例を示します。
次に、arp という名前の特定のユーザ ロール機能の詳細情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show role feature-group
ユーザ ロール機能グループを表示するには、 show role feature-group コマンドを使用します。
show role feature-group [ detail | name group-name ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、すべてのユーザ ロール機能グループに関する詳細情報を表示する例を示します。
次に、特定のユーザ ロール機能グループの情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show running-config aaa
実行コンフィギュレーションの認証、許可、アカウンティング(AAA)設定情報を表示するには、 show running-config aaa コマンドを使用します。
show running-config aaa [ all ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、実行コンフィギュレーションの設定済み AAA 情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show running-config aclmgr
実行コンフィギュレーションのアクセス コントロール リスト(ACL)の設定を表示するには、 show running-config aclmgr コマンドを使用します。
show running-config aclmgr [ all ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
次に、Cisco NX-OS Release 5.0(3)U2(1) を実行しているスイッチ上の ACL の実行コンフィギュレーションを表示する例を示します。
次に、VTY の実行コンフィギュレーションのみを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show running-config arp
実行コンフィギュレーションのアドレス解決プロトコル(ARP)の設定を表示するには、 show running-config arp コマンドを使用します。
show running-config arp [ all ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
次に、デフォルト情報を含む ARP 設定を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show running-config dhcp
実行コンフィギュレーションのダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピング設定を表示するには、 show running-config dhcp コマンドを使用します。
show running-config dhcp [ all ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
例
次の例では、DHCP スヌーピング設定を表示する方法を示します。
次に、デフォルト情報の DHCP スヌーピング設定を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show running-config radius
実行コンフィギュレーションの RADIUS サーバ情報を表示するには、 show running-config radius コマンドを使用します。
show running-config radius [ all ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、実行コンフィギュレーションの RADIUS の情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show running-config security
実行コンフィギュレーションのユーザ アカウント、Secure Shell(SSH; セキュア シェル)サーバ、および Telnet サーバ情報を表示するには、 show running-config security コマンドを使用します。
show running-config security [ all ]
構文の説明
(任意)デフォルトのユーザ アカウント、SSH サーバ、および Telnet サーバ コンフィギュレーション情報を表示します。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、実行コンフィギュレーションのユーザ アカウント、SSH サーバ、および Telnet サーバ情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show ssh key
Secure Shell(SSH; セキュア シェル)サーバ キーを表示するには、 show ssh key コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
show ssh server
Secure Shell(SSH; セキュア シェル)サーバ ステータスを表示するには、 sshow ssh server コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
関連コマンド
|
|
|
|---|---|
show startup-config aaa
スタートアップ コンフィギュレーションの認証、許可、アカウンティング(AAA)設定情報を表示するには、 show startup-config aaa コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、スタートアップ コンフィギュレーションの AAA 情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show startup-config aclmgr
スタートアップ コンフィギュレーションのアクセス コントロール リスト(ACL)の設定を表示するには、 show startup-config aclmgr コマンドを使用します。
show startup-config aclmgr [ all ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
次に、ACL スタートアップ コンフィギュレーションを表示する例を示します。
次に、VTY スタートアップ コンフィギュレーションを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show startup-config arp
スタートアップ コンフィギュレーションのアドレス解決プロトコル(ARP)の設定を表示するには、 show startup-config arp コマンドを使用します。
show startup-config arp [ all ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
次に、ARP スタートアップ コンフィギュレーションを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show startup-config dhcp
スタートアップ コンフィギュレーションのダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピング設定を表示するには、 show running-config dhcp コマンドを使用します。
show running-config dhcp [ all ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用するには、 feature dhcp コマンドを使用して DHCP スヌーピング機能をイネーブルにする必要があります。
例
次に、スタートアップ コンフィギュレーション ファイルの DHCP スヌーピング設定を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show startup-config radius
スタートアップ コンフィギュレーションの RADIUS 設定情報を表示するには、 show startup-config radius コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、スタートアップ コンフィギュレーションの RADIUS 情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show startup-config security
スタートアップ コンフィギュレーションのユーザ アカウント、Secure Shell(SSH; セキュア シェル)サーバ、および Telnet サーバ コンフィギュレーション情報を表示するには、 show startup-config security コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、スタートアップ コンフィギュレーションのユーザ アカウント、SSH サーバ、および Telnet サーバ情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show tacacs-server
TACACS+ サーバ情報を表示するには、 show tacacs-server コマンドを表示します。
show tacacs-server [ hostname | ip4-address | ip6-address ] [ directed-request | groups | sorted | statistics ]
構文の説明
(任意)TACACS+ サーバの Domain Name Server(DNS; ドメイン ネーム サーバ)名。最大文字サイズは 256 です。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
TACACS+ 事前共有キーは、 show tacacs-server コマンド出力には表示されません。TACACS+ 事前共有キーを表示するには、 show running-config tacacs+ コマンドを使用します。
例
次に、すべての TACACS+ サーバの情報を表示する例を示します。
次に、指定された TACACS+ サーバの情報を表示する例を示します。
次に、TACACS+ サーバ グループの情報を表示する例を示します。
次に、指定された TACACS+ サーバ グループの情報を表示する例を示します。
次に、すべての TACACS+ サーバのソートされた情報を表示する例を示します。
次に、指定された TACACS+ サーバの統計情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show telnet server
Telnet サーバ ステータスを表示するには、 show telnet server コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、Telnet サーバ ステータスを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show user-account
スイッチ上のユーザ アカウントに関する情報を表示するには、 show user-account コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
スイッチで定義されているすべてのユーザ アカウントに関する情報を表示する例を示します。
次に、特定のユーザ アカウントに関する情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show users
現在スイッチにログインしているユーザを表示するには、 show users コマンドを使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
例
次に、現在スイッチにログインしているすべてのユーザを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show vlan access-list
IPv4 アクセス コントロール リスト(ACL)の内容、または特定の VLAN アクセス マップに関連付けられている MAC ACL を表示するには、 show vlan access-list コマンドを使用します。
show vlan access-list map-name
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
指定した VLAN アクセス マップについて、スイッチはアクセス マップ名とマップに関連付けられた ACL の内容を表示します。
例
次に、指定した VLAN アクセス マップに関連付けられた ACL の内容を表示する例を示します。
関連コマンド
|
|
|
|---|---|
show vlan access-map
すべての VLAN アクセス マップまたは 1 つの VLAN アクセス マップを表示するには、 show vlan access-map コマンドを使用します。
show vlan access-map [ map-name ]
構文の説明
コマンド デフォルト
map-name 引数を使用して特定のアクセス マップを選択する場合を除いて、スイッチはすべての VLAN アクセス マップを表示します。
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
表示される各 VLAN アクセス マップに対して、スイッチはアクセス マップ名、 match コマンドで指定された ACL、および action コマンドで指定された処理を表示します。
VLAN アクセス マップが適用されている VLAN を確認するには、 show vlan filter コマンドを使用します。
例
次に、特定の VLAN アクセス マップを表示する例を示します。
次に、すべての VLAN アクセス マップを表示する例を示します。
関連コマンド
|
|
|
|---|---|
show vlan filter
コマンドによって影響される VLAN アクセス マップおよび VLAN ID を含めて、 vlan filter コマンドのインスタンスに関する情報を表示するには、 show vlan filter コマンドを使用します。
show vlan filter [ access-map map-name | vlan vlan-id ]
構文の説明
コマンド デフォルト
access-map キーワードを使用してアクセス マップを指定する場合、または vlan キーワードを使用して VLAN ID を指定する場合を除いて、VLAN に適用されている VLAN アクセス マップのすべてのインスタンスが表示されます。
コマンド モード
コマンド履歴
|
|
|
例
次に、スイッチのすべての VLAN アクセス マップ情報を表示する例を示します。
関連コマンド
|
|
|
|---|---|
ssh6
IPv6 を使用して Secure Shell(SSH; セキュア シェル)セッションを作成するには、 ssh6 コマンドを使用します。
ssh6 [ username @ ]{ ipv6-address | hostname } [ vrf { vrf-name | default | management }]
構文の説明
(任意)SSH IPv6 セッションで使用する Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)名を指定します。この名前には最大 32 文字までの英数字を指定できます。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、IPv6 を使用して SSH セッションを開始する例を示します。
関連コマンド
|
|
|
|---|---|
ssh
IPv4 を使用して Secure Shell(SSH; セキュア シェル)セッションを作成するには、 ssh コマンドを使用します。
ssh [ username @]{ ipv4-address | hostname } [ vrf { vrf-name | default | management }]
構文の説明
(任意)SSH セッションで使用する Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)名を指定します。この名前には最大 32 文字までの英数字を指定できます。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、IPv4 を使用して SSH セッションを開始する例を示します。
関連コマンド
|
|
|
|---|---|
ssh key
Secure Shell(SSH; セキュア シェル)サーバ キーを作成するには、 ssh key コマンドを使用します。SSH サーバ キーを削除するには、このコマンドの no 形式を使用します。
ssh key { dsa [ force ] | rsa [ length [ force ]]}
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco NX-OS ソフトウェアは、SSH バージョン 1 およびバージョン 2 をサポートします。
SSH サーバ キーを削除または交換する場合、 no ssh server enable コマンドを使用してまず SSH サーバをディセーブルにする必要があります。
例
次に、デフォルトのキーの長さで RSA を使用して SSH サーバ キーを作成する例を示します。
次に、指定したキーの長さで RSA を使用して SSH サーバ キーを作成する例を示します。
次に、force オプションで DSA を使用して SSH サーバ キーを交換する例を示します。
次に、すべての SSH サーバ キーを削除する例を示します。
関連コマンド
|
|
|
|---|---|
ssh server enable
Secure Shell(SSH; セキュア シェル)サーバをイネーブルにするには、 ssh server enable コマンドを使用します。SSH サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
statistics per-entry
VLAN アクセス マップの各エントリで許可または拒否されたパケット数について統計情報の記録を開始するには、 statistics per-entry コマンドを使用します。エントリ単位の統計情報の記録を停止するには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
VLAN アクセスマップ コンフィギュレーション モード
スイッチ プロファイル VLAN アクセスマップ コンフィギュレーション モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、vlan-map-01 という名前の VLAN アクセス マップについて、各エントリの統計情報の記録を開始する例を示します。
次に、スイッチ プロファイルの vlan-map-03 という名前の VLAN アクセス マップについて、各エントリの統計情報の記録を開始する例を示します。
次に、スイッチ プロファイルの vlan-map-03 という名前の VLAN アクセス マップについて、各エントリの統計情報の記録を停止する例を示します。
関連コマンド
|
|
|
|---|---|
storm-control level
トラフィック ストーム制御の抑制レベルを設定するには、 storm-control level コマンドを使用します。抑制モードをオフにしたり、デフォルトの設定に戻したりするには、このコマンドの no 形式を使用します。
storm-control { broadcast | multicast | unicast } level percentage [. fraction ]
no storm-control { broadcast | multicast | unicast } level
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
storm-control level コマンドを入力して、インターフェイス上のトラフィック ストーム制御をイネーブルにし、トラフィック ストーム制御レベルを設定し、インターフェイスでイネーブルにされているすべてのトラフィック ストーム制御モードにトラフィック ストーム制御レベルを適用します。
端数の抑制レベルを入力する場合、ピリオド(.)が必要になります。
抑制レベルは、合計帯域幅の割合です。100% のしきい値は、トラフィックに制限がないことを意味します。0 または 0.0(端数)% のしきい値は、指定されたすべてのトラフィックがポートでブロックされることを意味します。
廃棄カウントを表示するには、 show interfaces counters storm-control コマンドを使用します。
指定したトラフィック タイプの抑制をオフにするには、次のいずれかの方式を使用します。
例
次に、ブロードキャスト トラフィックの抑制をイネーブルにし、抑制しきい値レベルを設定する例を示します。
次に、マルチキャスト トラフィックの抑制モードをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
tacacs-server deadtime
応答性について到達不能(非応答)TACACS+ サーバをモニタする定期的な時間間隔を設定するには、 tacacs-server deadtime コマンドを使用します。非応答 TACACS+ サーバのモニタリングをディセーブルにするには、このコマンドの no 形式を使用します。
tacacs-server deadtime minutes
no tacacs-server deadtime minutes
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
時間間隔の設定をゼロにすると、タイマーがディセーブルになります。個別の TACACS+ サーバのデッド タイム間隔がゼロ(0)よりも大きい場合は、サーバ グループに設定された値よりもその値が優先されます。
デッド タイム間隔が 0 分の場合、TACACS+ サーバがサーバ グループの一部でグループのデッド タイム間隔が 0 分を超えていない限り、TACACS+ サーバ モニタリングは実行されません。
例
次に、デッド タイム間隔を設定して、定期的なモニタリングをイネーブルにする例を示します。
次に、デッド タイム間隔をデフォルトに戻して、定期的なモニタリングをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
非応答 RADIUS サーバ グループまたは TACACS+ サーバ グループをモニタリングするデッド タイム間隔を設定します。 |
|
tacacs-server directed-request
ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できるようにするには、 tacacs-server directed-request コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
tacacs-server directed-request
no tacacs-server directed-request
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。
ログイン中に username@vrfname : hostname を指定できます。vrfname は使用する VRF、hostname は設定された TACACS+ サーバ名です。ユーザ名が認証用にサーバ名に送信されます。
例
次に、ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できるようにする例を示します。
次に、ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できないようにする例を示します。
関連コマンド
|
|
|
|---|---|
tacacs-server host
TACACS+ サーバ ホスト パラメータを設定するには、 tacacs-server host コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
tacacs-server host { hostname | ipv4-address | ipv6-address } [ key [ 0 | 7 ] shared-secret ] [ port port-number ] [ test { idle-time time | password password | username name }] [ timeout seconds ]
no tacacs-server host { hostname | ipv4-address | ipv6-address } [ key [ 0 | 7 ] shared-secret ] [ port port-number ] [ test { idle-time time | password password | username name }] [ timeout seconds ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、TACACS+ サーバ ホスト パラメータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
tacacs-server key
グローバル TACACS+ 共有秘密キーを設定するには、 tacacs-server key コマンドを使用します。設定した共有秘密キーを削除するには、このコマンドの no 形式を使用します。
tacacs-server key [ 0 | 7 ] shared-secret
no tacacs-server key [ 0 | 7 ] shared-secret
構文の説明
(任意)TACACS+ クライアントとサーバ間の通信を認証する、クリア テキストで指定された事前共有キーを設定します。これはデフォルトです。 |
|
TACACS+ クライアントとサーバ間の通信を認証する事前共有キー。事前共有キーは、英数字で指定します。大文字と小文字が区別され、最大文字数は 63 です。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
TACACS+ サーバに対してスイッチを認証するには、TACACS+ 事前共有キーを設定する必要があります。キーの長さは 65 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。グローバル キーを設定して、スイッチにあるすべての TACACS+ サーバ コンフィギュレーションで使用するようにできます。 tacacs-server host コマンドで key キーワードを使用することで、このグローバル キーの割り当てを上書きできます。
例
次に、TACACS+ サーバ共有キーを表示および設定する例を示します。
関連コマンド
|
|
|
|---|---|
tacacs-server timeout
TACACS+ サーバへの再送信間隔を指定するには、 tacacs-server timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no tacacs-server timeout seconds
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、TACACS+ サーバのタイムアウト値を設定する例を示します。
次に、デフォルトの TACACS+ サーバのタイムアウト値に戻す例を示します。
関連コマンド
|
|
|
|---|---|
telnet6
Cisco NX-OS スイッチで IPv6 を使用して Telnet セッションを作成するには telnet6 コマンドを使用します。
telnet6 { ipv6-address | hostname } [ port-number ] [ vrf { vrf-name | default | management }]
構文の説明
(任意)Telnet セッションで使用する Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)名を指定します。名前は最大 32 文字の英数字で、大文字と小文字が区別されます。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 telnet server enable コマンドを使用して Telnet サーバをイネーブルにする必要があります。
例
次に、IPv6 アドレスで Telnet セッションを開始する例を示します。
関連コマンド
|
|
|
|---|---|
telnet
スイッチで IPv4 を使用して Telnet セッションを作成するには、 telnet コマンドを使用します。Cisco Nexus 3000 シリーズ
telnet { ipv4-address | hostname } [ port-number ] [ vrf { vrf-name | default | management }]
構文の説明
(任意)Telnet セッションで使用する Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)名を指定します。名前は最大 32 文字の英数字で、大文字と小文字が区別されます。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、IPv4 を使用して Telnet セッションを開始する例を示します。
関連コマンド
|
|
|
|---|---|
telnet server enable
Telnet サーバをイネーブルにするには、 telnet server enable コマンドを使用します。Telnet サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、Telnet サーバをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
use-vrf
RADIUS または TACACS+ サーバ グループの Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)インスタンスを指定するには、 use-vrf コマンドを使用します。VRF インスタンスを削除するには、このコマンドの no 形式を使用します。
use-vrf { vrf-name | default | management }
no use-vrf { vrf-name | default | management }
構文の説明
コマンド デフォルト
コマンド モード
RADIUS サーバ グループ コンフィギュレーション モード
TACACS+ サーバ グループ コンフィギュレーション モード
コマンド履歴
|
|
|
使用上のガイドライン
サーバ グループに設定できるのは、1 つの VRF インスタンスだけです。
RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。あるいは、TACACS+ サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server tacacs+ コマンドを使用します。
サーバを検索できなかった場合、 radius-server host コマンドまたは tacacs-server host コマンドを使用してサーバを設定します。
例
次に、RADIUS サーバ グループの VRF インスタンスを指定する例を示します。
次に、TACACS+ サーバ グループの VRF インスタンスを指定する例を示します。
次に、TACACS+ サーバ グループから VRF インスタンスを削除する例を示します。
関連コマンド
|
|
|
|---|---|
username
ユーザ アカウントを作成および設定するには、 username コマンドを使用します。ユーザ アカウントを削除するには、このコマンドの no 形式を使用します。
username user-id [ expire date ] [ password { 0 | 5 } password ] [ role role-name ] [ priv-lvl level ]
username user-id sshkey { key | filename filename }
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
スイッチは強力なパスワードだけを受け入れます。強力なパスワードは、次の特性を備えています。
• 複数の同じ文字の繰り返し(「aaabbb」など)を含んでいない
priv-lvl キーワードを表示するには、feature privilege コマンドを使用して TACACS+ サーバの累積権限ロールをイネーブルにする必要があります。
例
次に、パスワードを使用してユーザ アカウントを作成する例を示します。
次に、ユーザ アカウントの SSH キーを設定する例を示します。
次に、ユーザ アカウントの特権レベルを設定する例を示します。
関連コマンド
|
|
|
|---|---|
vlan access-map
新規の VLAN アクセス マップを作成したり、既存の VLAN アクセス マップを設定したりするには、 vlan access-map コマンドを使用します。VLAN アクセス マップを削除するには、このコマンドの no 形式を使用します。
構文の説明
作成または設定する VLAN アクセス マップ名 名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。 |
コマンド デフォルト
コマンド モード
グローバル コンフィギュレーション モード
スイッチ プロファイル コンフィギュレーション モード
コマンド履歴
|
|
|
使用上のガイドライン
各 VLAN アクセス マップには、1 つの match コマンドと 1 つの action コマンドを含めることができます。
例
次に、vlan-map-01 という名前で VLAN アクセス マップを作成して、そのマップに ip-acl-01 という名前の IPv4 ACL を割り当て、スイッチが ACL に一致するパケットを転送するよう指定し、マップに一致するトラフィックの統計情報をイネーブルにする例を示します。
次に、スイッチ プロファイルで vlan-map-03 という名前の VLAN アクセス マップを作成する例を示します。
関連コマンド
|
|
|
|---|---|
vlan filter
VLAN アクセス マップを 1 つ以上の VLAN に適用するには、 vlan filter コマンドを使用します。VLAN アクセス マップの適用を解除するには、このコマンドの no 形式を使用します。
vlan filter map-name vlan-list VLAN-list
no vlan filter map-name [ vlan-list VLAN-list ]
構文の説明
コマンド デフォルト
コマンド モード
グローバル コンフィギュレーション モード
スイッチ プロファイル コンフィギュレーション モード
コマンド履歴
|
|
|
使用上のガイドライン
1 つ以上の VLAN に VLAN アクセス マップを適用できます。
VLAN に適用できるのは、1 つの VLAN アクセス マップだけです。
このコマンドの no 形式を使用すると、アクセス マップを適用したときに指定したすべてまたは一部分の VLAN リストから VLAN アクセス マップの適用を解除できます。適用されたすべての VLAN からアクセス マップの適用を解除する場合、 VLAN-list 引数を省略できます。現在適用されている VLAN のサブセットからアクセス マップの適用を解除する場合、 VLAN-list 引数を使用して、アクセス マップを削除する必要がある VLAN を指定します。
例
次に、vlan-map-01 という名前の VLAN アクセス マップを VLAN 20 ~ 45 に適用する例を示します。
次に、vlan-map-03 という名前の VLAN アクセス マップを VLAN 12 ~ 20 に適用する例を示します。
関連コマンド
|
|
|
|---|---|
vlan policy deny
ユーザ ロールの VLAN ポリシー コンフィギュレーション モードを開始するには、 vlan policy deny コマンドを使用します。ユーザ ロールのデフォルトの VLAN ポリシーに戻すには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、ユーザ ロールの VLAN ポリシー コンフィギュレーション モードを開始する例を示します。
次に、ユーザ ロールのデフォルトの VLAN ポリシーに戻す例を示します。
関連コマンド
|
|
|
|---|---|
vrf policy deny
ユーザの Virtual Forwarding and Routing(VRF; 仮想ルーティングおよび転送)インスタンス ポリシーへの拒否アクセスを設定するには、 vrf policy deny コマンドを使用します。ユーザ ロールのデフォルトの VRF ポリシー設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、ユーザ ロールの VRF ポリシー コンフィギュレーション モードを開始する例を示します。
次に、ユーザ ロールのデフォルトの VRF ポリシーに戻す例を示します。
関連コマンド
|
|
|
|---|---|
vsan policy deny
ユーザ ロールの VSAN ポリシーへの拒否アクセスを設定するには、 vsan policy deny コマンドを使用します。ユーザ ロールのデフォルトの VSAN ポリシー設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、ユーザ ロールの VSAN ポリシーへのアクセスを拒否する方法の例を示します。
次に、ユーザ ロールのデフォルトの VSAN ポリシー設定に戻す例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック