Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: A コマンド
- aaa accounting default
- aaa accounting dot1x
- aaa authentication cts default group
- aaa authentication dot1x default group
- aaa authentication eou default group
- aaa authentication login ascii-authentication
- aaa authentication login chap enable
- aaa authentication login console
- aaa authentication login default
- aaa authentication login error-enable
- aaa authentication login mschap enable
- aaa authentication login mschapv2 enable
- aaa authorization commands default
- aaa authorization config-commands default
- aaa authorization cts default group
- aaa authorization ssh-certificate
- aaa authorization ssh-publickey
- aaa group server ldap
- aaa group server radius
- aaa group server tacacs+
- aaa user default-role
- absolute
- accept-lifetime
- action
- arp access-list
- authentication(LDAP)
A コマンド
aaa accounting default
アカウンティングの Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)方式を設定するには、 aaa accounting default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa accounting default {group group-list | local }
no aaa accounting default {group group-list | local }
構文の説明
サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 • |
|
radius :設定済みのすべての RADIUS サーバ
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
group group-list 方式は、以前に定義された一連のサーバを指します。ホスト サーバを設定するには、 radius-server host コマンドおよび tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa groups コマンドを使用します。
group 方式、 local 方式、または両方を指定した場合にそれらの方式が失敗すると、アカウンティング認証は失敗します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。
例
次に、AAA アカウンティングに任意の RADIUS サーバを設定する例を示します。
関連コマンド
|
|
|
|---|---|
aaa accounting dot1x
802.1X 認証の AAA アカウンティング方式を設定するには、 aaa accounting dot1x コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa accounting dot1x {group group-list | local }
no aaa accounting dot1x {group group-list | local }
構文の説明
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
group group-list 方式は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa groups コマンドを使用します。
group 方式、 local 方式、または両方を指定した場合にそれらの方式が失敗すると、アカウンティング認証は失敗します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。
例
次に、802.1X 認証の Authentication, Authorization, and Accounting(AAA)アカウンティング方式を設定する例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication cts default group
Cisco TrustSec 認証のデフォルト AAA RADIUS サーバ グループを設定するには、 aaa authentication cts default group コマンドを使用します。デフォルト AAA 認証サーバ グループ リストからサーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa authentication cts default group group-list
no aaa authentication cts default group group-list
構文の説明
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa groups コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。
例
次に、Cisco TrustSec のデフォルト AAA 認証 RADIUS サーバ グループを設定する例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication dot1x default group
802.1X の AAA 認証方式を設定するには、 aaa authentication dot1x default group コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication dot1x default group group-list
no aaa authentication dot1x default group group-list
構文の説明
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
802.1X を設定する前に、 feature dot1x コマンドを使用する必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa groups コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。
例
次に、デフォルトの 802.1X 認証方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication eou default group
EAP over UDP(EoU)の AAA 認証方式を設定するには、 aaa authentication eou default group コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication eou default group group-list
no aaa authentication eou default group group-list
構文の説明
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルト EAPoUDP 認証方式を設定する前に、 feature eou コマンドを使用して EAPoUDP をイネーブルにする必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa groups コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。
例
次に、デフォルトの EAPoUDP 認証方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login ascii-authentication
TACACS+ サーバでパスワードの ASCII 認証をイネーブルにするには、aaa authentication login ascii-authentication コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login ascii-authentication
no aaa authentication login ascii-authentication
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、TACACS+ サーバでパスワードの ASCII 認証をイネーブルにする方法を示します。
次の例では、TACACS+ サーバでパスワードの ASCII 認証をディセーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login chap enable
ログイン時の Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)認証をイネーブルにするには、 aaa authentication login chap enable コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login chap enable
no aaa authentication login chap enable
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco NX-OS デバイスで CHAP と MSCHAP(または MSCHAP V2)の両方をイネーブルにすることはできません。
例
関連コマンド
|
|
|
|---|---|
aaa authentication login console
コンソール ログインの AAA 認証方式を設定するには、 aaa authentication login console コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login console { fallback error local | group group-list [none] | local | none }
no aaa authentication login console { fallback error local | group group-list [none] | local | none }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
group radius、group tacacs+ 、 group ldap、 および group group-list の各方式は、以前に定義された一連の RADIUS サーバ、TACACS+ サーバ、または LDAP サーバを指します。ホスト サーバを設定するには、 radius-server host、tacacs-server host、または ldap-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。
group 方式または local 方式を指定した場合にそれらの方式が失敗すると、認証は失敗する可能性があります。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。
例
次に、コンソール ログインの AAA 認証方式を設定する例を示します。
次に、デフォルトのコンソール ログインの AAA 認証方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login default
デフォルト AAA 認証方式を設定するには、 aaa authentication login default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login default { fallback error local | group group-list [ none ] | local | none }
no aaa authentication login default { fallback error local | group group-list [ none ] | local | none }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
group radius、group tacacs+ 、 group ldap 、および group group-list の各方式は、以前に定義された一連の RADIUS サーバ、TACACS+ サーバ、または LDAP サーバを指します。ホスト サーバを設定するには、 radius-server host、tacacs-server host 、または ldap-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。
group 方式または local 方式を指定した場合にそれらの方式が失敗すると、認証は失敗します。 none 方式を単独または group 方式の後ろに指定した場合、認証は常に成功します。
例
次に、デフォルト ログインの AAA 認証方式を設定する例を示します。
次に、デフォルト ログインのデフォルトの AAA 認証方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login error-enable
コンソールに AAA 認証失敗メッセージが表示されるように設定するには、 aaa authentication login error-enable コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login error-enable
no aaa authentication login error-enable
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
ログイン時にリモート AAA サーバからの応答がない場合には、ローカル ユーザ データベースへのロールオーバーによってログインが処理されます。そのような場合に、ログイン失敗メッセージの表示がイネーブルになっていると、ユーザ端末に次のメッセージが表示されます。
例
次に、AAA 認証失敗メッセージのコンソールへの表示をイネーブルにする例を示します。
次に、AAA 認証失敗メッセージのコンソールへの表示をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
aaa authentication login mschap enable
ログイン時の Microsoft Challenge Handshake Authentication Protocol(MS-CHAP; マイクロソフト チャレンジ ハンドシェーク認証プロトコル)認証をイネーブルにするには、 aaa authentication login mschap enable コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login mschap enable
no aaa authentication login mschap enable
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco NX-OS デバイスで MSCHAP と CHAP または MSCHAP V2 の両方をイネーブルにすることはできません。
例
関連コマンド
|
|
|
|---|---|
aaa authentication login mschapv2 enable
ログイン時の Microsoft Challenge Handshake Authentication Protocol Version 2(MSCHAP V2)認証をイネーブルにするには、 aaa authentication login mschapv2 enable コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authentication login mschapv2 enable
no aaa authentication login mschapv2 enable
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco NX-OS デバイスで MSCHAP V2 と CHAP または MSCHAP の両方をイネーブルにすることはできません。
例
次に、MSCHAP V2 認証をイネーブルにする例を示します。
次に、MSCHAP V2 認証をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
aaa authorization commands default
すべての EXEC コマンドでデフォルト AAA 認可方式を設定するには、 aaa authorization commands default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authorization commands default [group group-list [ local ] | local]
no aaa authorization commands default [group group-list [ local ] | local]
構文の説明
サーバ グループのスペースで区切られたリスト。リストには、次のようなサーバ グループを含めることができます。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。
group tacacs+ 方式および group group-list 方式は、以前に定義された一連の TACACS+ サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local を設定済みの場合、 local 方式だけが使用されます。
group 方式または local 方式を指定した場合にその方式が失敗すると、認可は失敗する可能性があります。TACACS+ サーバ グループの方式のあとにフォールバック方式を設定していないと、すべてのサーバ グループから応答が得られなかった場合は許可に失敗します。
(注) コマンド認可は、コンソールを使用しないセッションでのみ使用できます。コンソールを使用してサーバにログインすると、コマンド認可はディセーブルになります。
(注) デフォルトでは、状況依存ヘルプおよびコマンドのタブ補完に表示されるのは、割り当てられたロールでユーザに対するサポートが定義されているコマンドだけです。コマンド許可をイネーブルにすると、Cisco NX-OS ソフトウェアでは、ユーザに割り当てられているロールに関係なく、状況依存ヘルプおよびタブ補完にすべてのコマンドが表示されるようになります。
例
次に、EXEC コマンドでデフォルト AAA 認可方式を設定する例を示します。
(注) 確認プロンプトで Enter キーを押すと、デフォルトの応答は n になります。
次に、EXEC コマンドでデフォルト AAA 認可方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authorization config-commands default
すべてのコンフィギュレーション コマンドでデフォルト AAA 認可方式を設定するには、 aaa authorization config-commands default コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authorization config-commands default [group group-list [ local ] | local]
no aaa authorization config-commands default [group group-list [ local ] | local]
構文の説明
サーバ グループのスペースで区切られたリスト。リストには、次のようなサーバ グループを含めることができます。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。
group tacacs+ 方式および group group-list 方式は、以前に定義された一連の TACACS+ サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local を設定済みの場合、 local 方式だけが使用されます。
group 方式または local 方式を指定した場合にその方式が失敗すると、認可は失敗する可能性があります。TACACS+ サーバ グループの方式のあとにフォールバック方式を設定していないと、すべてのサーバ グループから応答が得られなかった場合は許可に失敗します。
(注) コマンド認可は、コンソールを使用しないセッションでのみ使用できます。コンソールを使用してサーバにログインすると、コマンド認可はディセーブルになります。
(注) デフォルトでは、状況依存ヘルプおよびコマンドのタブ補完に表示されるのは、割り当てられたロールでユーザに対するサポートが定義されているコマンドだけです。コマンド許可をイネーブルにすると、Cisco NX-OS ソフトウェアでは、ユーザに割り当てられているロールに関係なく、状況依存ヘルプおよびタブ補完にすべてのコマンドが表示されるようになります。
例
次に、コンフィギュレーション コマンドでデフォルト AAA 認可方式を設定する例を示します。
次に、コンフィギュレーション コマンドでデフォルト AAA 認可方式に戻す例を示します。
関連コマンド
|
|
|
|---|---|
aaa authorization cts default group
Cisco TrustSec 認可のデフォルト AAA RADIUS サーバ グループを設定するには、 aaa authorization cts default group コマンドを使用します。デフォルト AAA 認可サーバ グループ リストからサーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa authorization cts default group group-list
no aaa authorization cts default group group-list
構文の説明
RADIUS サーバ グループをスペースで区切って指定します。リストには、次のようなサーバ グループを含めることができます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
aaa authorization cts default group コマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
group-list は、以前に定義された一連の RADIUS サーバを指します。ホスト サーバを設定するには、 radius-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。
デバイス上の RADIUS サーバ グループを表示するには、 show aaa groups コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。
例
次に、Cisco TrustSec のデフォルト AAA 認可 RADIUS サーバ グループを設定する例を示します。
関連コマンド
|
|
|
|---|---|
aaa authorization ssh-certificate
TACACS+ サーバまたは Lightweight Directory Access Protocol(LDAP)サーバのデフォルト AAA 認可方式を設定するには、 aaa authorization ssh-certificate コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。
aaa authorization ssh-certificate default {group group-list | local}
no aaa authorization ssh-certificate default {group group-list | local}
構文の説明
サーバ グループのスペースで区切られたリスト。リストには、次のようなサーバ グループを含めることができます。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにするか、または feature ldap コマンドを使用して LDAP 機能をイネーブルにする必要があります。
group tacacs+ 、 group ldap 、 group 、および group-list 方式は、以前に定義された一連の TACACS+ サーバおよび LDAP サーバを指します。ホスト サーバを設定するには、 tacacs-server host コマンドまたは ldap-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local を設定済みの場合、 local 方式だけが使用されます。
group 方式または local 方式を指定した場合にそれらの方式が失敗すると、認可は失敗する可能性があります。TACACS+ または LDAP サーバ グループ方式の後に、フォールバック方式を設定していない場合、すべてのサーバ グループが応答に失敗すると、認可が失敗します。
例
次に、LDAP サーバのデフォルト AAA 認可方式として、証明書認証を使用した LDAP 認可を設定する例を示します。
関連コマンド
|
|
|
|---|---|
次に、LDAP サーバのデフォルト AAA 認可方式として、SSH 公開キーを使用した LDAP 認可またはローカル認可を設定する例を示します。 |
|
aaa authorization ssh-publickey
Lightweight Directory Access Protocol(LDAP)サーバのデフォルト AAA 認可方式として、セキュア シェル(SSH)公開キーを使用した LDAP 認可またはローカル認可を設定するには、 aaa authorization ssh-publickey コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
aaa authorization ssh-publickey default {group group-list | local}
no aaa authorization ssh-publickey default {group group-list | local}
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature ldap コマンドを使用して LDAP 機能をイネーブルにする必要があります。
group ldap 方式および group group-list 方式は、以前に定義された LDAP サーバを指します。ホスト サーバを設定するには、 ldap-server host コマンドを使用します。サーバのネームド グループを作成するには、 aaa group server コマンドを使用します。デバイス上のサーバ グループを表示するには、 show aaa group コマンドを使用します。
複数のサーバ グループを指定した場合には、リストに指定した順番どおりに Cisco NX-OS ソフトウェアが各グループをチェックします。設定済みのすべてのサーバ グループで応答に失敗し、フォールバック方式として local を設定済みの場合、 local 方式だけが使用されます。
group 方式または local 方式を指定した場合にそれらの方式が失敗すると、認可は失敗する可能性があります。LDAP サーバ グループ方式の後に、フォールバック方式を設定していない場合、すべてのサーバ グループが応答に失敗すると、認可が失敗します。
例
次に、LDAP サーバのデフォルト AAA 認可方式として、SSH 公開キーを使用した LDAP 認可を設定する例を示します。
関連コマンド
|
|
|
|---|---|
LDAP サーバのデフォルト AAA 認可方式として、証明書認証を使用した LDAP 認可またはローカル認可を設定します。 |
|
aaa group server ldap
Lightweight Directory Access Protocol(LDAP)サーバ グループを作成して、 LDAP サーバ グループ コンフィギュレーション モードを開始するには 、 aaa group server ldap コマンドを使用します。LDAP サーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa group server ldap group-name
no aaa group server ldap group-name
構文の説明
LDAP サーバ グループ名。名前には英数字を使用します。大文字と小文字が区別され、 最大で 64 文字の長さまで指定可能です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、LDAP サーバ グループを作成し、LDAP サーバ コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
aaa group server radius
RADIUS サーバ グループを作成して、 RADIUS サーバ グループ コンフィギュレーション モードを開始するには 、 aaa group server radius コマンドを使用します。RADIUS サーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa group server radius group-name
no aaa group server radius group-name
構文の説明
RADIUS サーバ グループ名。名前には英数字を使用します。大文字と小文字が区別され、 最大で 64 文字の長さまで指定可能です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、RADIUS サーバ グループを作成し、RADIUS サーバ コンフィギュレーション モードを開始する例を示します。
次に、RADIUS サーバ グループを削除する例を示します。
関連コマンド
|
|
|
|---|---|
aaa group server tacacs+
TACACS+ サーバ グループを作成して、 TACACS+ サーバ グループ コンフィギュレーション モードを開始するには 、 aaa group server tacacs+ コマンドを使用します。TACACS+ サーバ グループを削除するには、このコマンドの no 形式を使用します。
aaa group server tacacs+ group-name
no aaa group server tacacs+ group-name
構文の説明
TACACS+ サーバ グループ名。名前には英数字を使用します。大文字と小文字が区別され、 最大で 64 文字の長さまで指定可能です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、TACACS+ サーバ グループを作成し、TACACS+ サーバ コンフィギュレーション モードを開始する例を示します。
次に、TACACS+ サーバ グループを削除する例を示します。
関連コマンド
|
|
|
|---|---|
aaa user default-role
ユーザ ロールを持たないリモート ユーザが、RADIUS または TACACS+ 経由でデフォルト ユーザ ロールを使用してデバイスにログインできるようにするには、 aaa user default-role コマンドを使用します。リモート ユーザのデフォルト ユーザ ロールをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Virtual Device Context(VDC; 仮想デバイス コンテキスト)のこの機能は、必要に応じてイネーブルまたはディセーブルにできます。デフォルトの VDC では、デフォルトのユーザ ロールは network-operator です。デフォルト以外の VDC では、デフォルトの VDC は vdc-operator です。AAA のデフォルトのユーザ ロール機能をディセーブルにすると、ユーザ ロールを持たないリモート ユーザはデバイスにログインできなくなります。
例
次に、リモート ユーザの AAA 認証のデフォルト ユーザ ロールをイネーブルにする例を示します。
次に、リモート ユーザの AAA 認証のデフォルト ユーザ ロールをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
absolute
特定の開始日時、特定の終了日時、またはその両方が指定された時間範囲を指定するには、 absolute コマンドを使用します。絶対時間範囲を削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] absolute [ start time date ] [ end time date ]
no { sequence-number | absolute [ start time date ] [ end time date ]}
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
start キーワードおよび end キーワードの両方を省略すると、デバイスは絶対時間範囲が常にアクティブであると見なします。
time 引数は、 hours : minutes または hours : minutes : seconds の形式で 24 時間表記で指定します。たとえば、24 時間表記では、午前 8:00 は 8:00、午後 8:00 は 20:00 です。
date 引数は、 day month year の形式で指定します。最小有効開始日時は 00:00:00 1 January 1970、最大有効開始日時は 23:59:59 31 December 2037 です。
例
次に、2007 年 9 月 17 日の午前 7 時に開始され、2007 年 9 月 19 日の午後 11 時 59 分 59 秒に終了する絶対時間ルールを作成する例を示します。
関連コマンド
|
|
|
|---|---|
accept-lifetime
別のデバイスとのキー交換時にデバイスがそのキーを受け入れる期間を指定するには、 accept-lifetime コマンドを使用します。時間間隔を削除するには、このコマンドの no 形式を使用します。
accept-lifetime [ local ] start-time [ duration duration-value | infinite | end-time ]
no accept-lifetime [ local ] start-time [ duration duration-value | infinite | end-time ]
構文の説明
(任意)デバイスが、設定された時間をローカル時間として扱うように指定します。デフォルトでは、デバイスは start-time 引数および end-time 引数を UTC として扱います。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトでは、デバイスはすべての時間範囲のルールを UTC として扱います。
デフォルトでは、別のデバイスとのキー交換時にデバイスがキーを受け入れる期間(受け入れライフタイム)は infinite です。つまり、キーは常に有効です。
start-time 引数および end-time 引数の両方には、次の形式の時間と日付のコンポーネントが必要です。
hour [: minute [: second ]] month day year
24 時間表記で指定します。たとえば、24 時間表記では、午前 8:00 は 8:00、午後 8:00 は 20:00 です。最小の有効な start-time 値は 00:00:00 Jan 1 1970 で、最大の有効な start-time 値は 23:59:59 Dec 31 2037 です。
例
次に、2008 年 6 月 13 日の午前零時に開始され、2008 年 8 月 12 日の午後 11 時 59 分 59 秒に終了する受け入れライフタイムを作成する例を示します。
関連コマンド
|
|
|
|---|---|
action
パケットが VLAN Access Control List(VACL; VLAN アクセス コントロール リスト)の permit コマンドと一致した場合にデバイスが実行する処理を指定するには、 action コマンドを使用します。 action コマンドを削除するには、このコマンドの no 形式を使用します。
action redirect { ethernet slot / port | port-channel channel-number . subinterface-number }
no action redirect { ethernet slot / port | port-channel channel-number . subinterface-number }
構文の説明
| 引数との間には、ドット区切り文字が必要です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
action コマンドでは、パケットが、 action コマンドと同じアクセス マップ エントリ内の match コマンドによって指定された ACL 内の条件に一致した場合に、デバイスが実行する処理を指定します。
例
次の例では、vlan-map-01 という名前の VLAN アクセス マップを作成し、それぞれに 2 つの match コマンドと 1 つの action コマンドがある 2 つのエントリを追加する方法を示します。
関連コマンド
|
|
|
|---|---|
Access Control List(ACL; アクセス コントロール リスト)または VLAN アクセス マップの統計情報をイネーブルにします。 |
|
arp access-list
アドレス解決プロトコル(ARP)ACL を作成するか、特定の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始するには、a rp access-list コマンドを使用します。ARP ACL を削除するには、このコマンドの no 形式を使用します。
arp access-list access-list-name
no arp access-list access-list-name
構文の説明
ARP ACL の名前。名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。名前にはスペースまたは引用符を含めることはできません。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
DHCP スヌーピングを使用できない場合は、ARP ACL を使用して ARP トラフィックをフィルタリングします。
arp access-list コマンドを使用すると、デバイスによって ARP アクセス リスト コンフィギュレーション モードが開始されます。このモードでは、ARP deny コマンドおよび permit コマンドを使用して、ACL のルールを設定できます。指定した ACL が存在しない場合は、このコマンドの入力時に新しい ACL が作成されます。
ARP ACL を VLAN に適用するには、 ip arp inspection filter コマンドを使用します。
例
次に、arp-acl-01 という名前の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
authentication(LDAP)
Lightweight Directory Access Protocol(LDAP)認証でバインド(bind)方式または比較(compare)方式を使用するように設定するには、 authentication コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。
authentication {bind-first [append-with-baseDN DNstring ] | compare [password-attribute password ]}
no authentication {bind-first [append-with-baseDN DNstring ] | compare [password-attribute password ]}
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、比較方式を使用するように LDAP 認証を設定する例を示します。
関連コマンド
|
|
|
|---|---|
LDAP サーバ グループを作成し、そのグループの LDAP サーバ グループ コンフィギュレーション モードを開始します。 |
|
フィードバック