Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: C コマンド
- capture session
- class(ポリシー マップ)
- class-map type control-plane
- clear access-list counters
- clear accounting log
- clear copp statistics
- clear cts role-based counters
- clear dot1x
- clear eou
- clear hardware rate-limiter
- clear ip access-list counters
- clear ip arp inspection log
- clear ip arp inspection statistics vlan
- clear ip device tracking
- clear ip dhcp snooping binding
- clear ipv6 access-list counters
- clear ldap-server statistics
- clear mac access-list counters
- clear port-security
- clear radius-server statistics
- clear ssh hosts
- clear tacacs-server statistics
- clear user
- clear vlan access-list counters
- copp copy profile
- copp profile
- CRLLookup
- crypto ca authenticate
- crypto ca crl request
- crypto ca enroll
- crypto ca export
- crypto ca import
- crypto ca lookup
- crypto ca remote ldap crl-refresh-time
- crypto ca remote ldap server-group
- crypto ca test verify
- crypto ca trustpoint
- crypto certificatemap mapname
- crypto cert ssh-authorize
- cts device-id
- cts dot1x
- cts manual
- cts refresh role-based-policy
- cts rekey
- cts role-based access-list
- cts role-based counters enable
- cts role-based enforcement
- cts role-based sgt
- cts role-based sgt-map
- cts sgt
- cts sxp connection peer
- cts sxp default password
- cts sxp default source-ip
- cts sxp enable
- cts sxp reconcile-period
- cts sxp retry-period
C コマンド
capture session
アクセス コントロール リスト(ACL)のキャプチャ セッションをイネーブルにするには、capture session コマンドを使用します。
構文の説明
デフォルト
コマンド モード
ACL キャプチャコンフィギュレーション モード(config-acl-capture)
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、ACL キャプチャ セッションを設定する例を示します。
関連コマンド
|
|
|
|---|---|
class(ポリシー マップ)
コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定するには、 class コマンドを使用します。コントロール プレーン ポリシー マップからコントロール プレーン クラス マップを削除するには、このコマンドの no 形式を使用します。
class { class-map-name [ insert-before class-map-name2 ] | class-default }
構文の説明
(任意)コントロール プレーン ポリシー マップの別のコントロール プレーン クラス マップの前にコントロール プレーン クラス マップを挿入します。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、コントロール プレーン ポリシー マップのクラス マップを設定する例を示します。
次に、コントロール プレーン ポリシー マップからクラス マップを削除する例を示します。
関連コマンド
|
|
|
|---|---|
class-map type control-plane
コントロール プレーン クラス マップを作成または指定して、クラス マップ コンフィギュレーション モードを開始するには、 class-map type control-plane コマンドを使用します。コントロール プレーン クラス マップを削除するには、このコマンドの no 形式を使用します。
class-map type control-plane [ match-all | match-any ] class-map-name
no class-map type control-plane [ match-all | match-any ] class-map-name
構文の説明
クラス マップ名です。名前には英数字を使用します。大文字と小文字が区別され、 最大で 64 文字の長さまで指定可能です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
コントロール プレーン クラス マップの名前として、match-all、match-any、または class-default は使用できません。
例
次に、コントロール プレーン クラス マップを指定して、クラス マップ コンフィギュレーション モードを開始する例を示します。
次に、コントロール プレーン クラス マップを削除する例を示します。
関連コマンド
|
|
|
|---|---|
clear access-list counters
すべての IPv4 Access Control List(ACL; アクセス コントロール リスト)、IPv6 ACL、および MAC ACL、または単一の ACL のカウンタをクリアするには、 clear access-list counters コマンドを使用します。
clear access-list counters [ access-list-name ]
構文の説明
(任意)デバイスがそのカウンタをクリアする ACL の名前。名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、すべての IPv4 ACL、IPv6 ACL、および MAC ACL のカウンタをクリアする例を示します。
次に、acl-ipv4-01 という名前の IPv4 ACL のカウンタをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear accounting log
アカウンティング ログをクリアするには、 clear accounting log コマンドを使用します。
clear accounting log [logflash]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
clear accounting log コマンドは、デフォルトの仮想デバイス コンテキスト(VDC 1)でだけ機能します。
例
関連コマンド
|
|
|
|---|---|
clear copp statistics
Control Plane Policing(CoPP; コントロール プレーン ポリシング)統計情報をクリアするには、 clear copp statistics コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、コントロール プレーン クラス マップを指定して、クラス マップ コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
clear cts role-based counters
ロールベース アクセス コントロール リスト(RBACL)統計情報をすべてのカウンタが 0 にリセットされるようにクリアするには、 clear cts role-based counters コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
clear dot1x
802.1X オーセンティケータ インスタンスをクリアするには、 clear dot1x コマンドを使用します。
clear dot1x { all | interface ethernet slot / port }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、すべての 802.1X オーセンティケータ インスタンスをクリアする例を示します。
次に、インターフェイスの 802.1X オーセンティケータ インスタンスをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear eou
Extensible Authentication Protocol over User Datagram Protocol(EAPoUDP)セッションをクリアするには、 clear eou コマンドを使用します。
clear eou { all | authentication { clientless | eap | static } | interface ethernet slot / port | ip-address ipv4-address | mac-address mac-address | posturetoken type }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
feature eou コマンドを使用して EAPoUDP をイネーブルにしてから、 clear eou コマンドを使用する必要があります。
例
次に、すべての EAPoUDP セッションをクリアする例を示します。
次に、静的に認証された EAPoUDP セッションをクリアする例を示します。
次に、インターフェイスの EAPoUDP セッションをクリアする例を示します。
次に、IP アドレスの EAPoUDP セッションをクリアする例を示します。
次に、MAC アドレスの EAPoUDP セッションをクリアする例を示します。
次に、ポスチャ トークンのタイプが Checkup である EAPoUDP セッションをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear hardware rate-limiter
レート制限統計情報をクリアするには、 clear hardware rate-limiter コマンドを使用します。
clear rate-limiter { access-list-log | all | copy | layer-2 { l2pt | mcast-snooping | port-security | storm-control | vpc-low } | layer-3 { control | glean | mtu | multicast { directly-connected | local-groups | rpf-leak } | ttl } | receive }
構文の説明
レイヤ 3 Maximum Transmission Unit(MTU; 最大伝送ユニット)パケットのレート制限統計情報をクリアします。 |
|
レイヤ 3 マルチキャスト Reverse Path Forwarding(RPF; リバース パス転送)リーク パケットのレート制限統計情報をクリアします。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、アクセス リスト ログ パケットのレート制限統計情報をクリアする例を示します。
次に、レイヤ 2 ストーム制御パケットのレート制限統計情報をクリアする例を示します。
次に、レイヤ 3 グリーニング パケットのレート制限統計情報をクリアする例を示します。
次に、レイヤ 3 マルチキャスト直接接続パケットのレート制限統計情報をクリアする例を示します。
次に、受信パケットのレート制限統計情報をクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear ip access-list counters
すべてまたは 1 つの IPv4 アクセス コントロール リスト(ACL)のカウンタをクリアするには、 clear ip access-list counters コマンドを使用します。
clear ip access-list counters [ access-list-name ]
構文の説明
(任意)デバイスがそのカウンタをクリアする IPv4 ACL の名前。名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、すべての IPv4 ACL のカウンタをクリアする例を示します。
次に、acl-ipv4-101 という名前の IP ACL のカウンタをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear ip arp inspection log
Dynamic ARP Inspection(DAI; ダイナミック ARP 検査)ログ バッファをクリアするには、 clear ip arp inspection log コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
clear ip arp inspection statistics vlan
指定の VLAN のダイナミック ARP 検査(DAI)統計情報をクリアするには、 clear ip arp inspection statistics vlan コマンドを使用します。
clear ip arp inspection statistics vlan vlan-list
構文の説明
このコマンドによってその DAI 統計情報がクリアされる VLAN を指定します。 vlan-list 引数を使用すると、単一の VLAN ID、VLAN ID の範囲、またはカンマで区別された ID および範囲を指定できます(「例」を参照)。指定できる VLAN ID は 1 ~ 4094 です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、VLAN 2 の DAI 統計情報をクリアする例を示します。
次に、VLAN 5 ~ 12 の DAI 統計情報をクリアする例を示します。
次に、VLAN 2 および VLAN 5 ~ 12 の DAI 統計情報をクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear ip device tracking
IP デバイス トラッキング情報をクリアするには、 clear ip device tracking コマンドを使用します。
clear ip device tracking { all | interface ethernet slot / port | ip-address ipv4-address | mac-address mac-address }
構文の説明
デフォルト
コマンド モード
network-admin
vdc-admin
VDC ユーザ
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、すべての IP デバイス トラッキング情報をクリアする例を示します。
次に、インターフェイスの IP デバイス トラッキング情報をクリアする例を示します。
次に、IP アドレスの IP デバイス トラッキング情報をクリアする例を示します。
次に、MAC アドレスの IP デバイス トラッキング情報をクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear ip dhcp snooping binding
DHCP スヌーピング バインディング データベースをクリアするには、 clear ip dhcp snooping binding コマンドを使用します。
clear ip dhcp snooping binding
clear ip dhcp snooping binding [ vlan vlan-id mac mac-address ip ip-address interface ethernet slot / port [ . subinterface-number ]]
clear ip dhcp snooping binding [ vlan vlan-id mac mac-address ip ip-address interface port-channel channel-number [ . subchannel-number ]]
構文の説明
デフォルト
コマンド モード
network-admin
vdc-admin
VDC ユーザ
コマンド履歴
|
|
|
このコマンドは、特定のバインディング データベース エントリのクリアをサポートするように変更されました。オプションの vlan キーワードおよびそれに続く引数とキーワードが追加されました。 |
|
使用上のガイドライン
例
次に、DHCP スヌーピング バインディング データベースをクリアする例を示します。
次に、DHCP スヌーピング バインディング データベースの特定のエントリをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear ipv6 access-list counters
すべてまたは 1 つの IPv6 アクセス コントロール リスト(ACL)のカウンタをクリアするには、 clear ipv6 access-list counters コマンドを使用します。
clear ipv6 access-list counters [ access-list-name ]
構文の説明
(任意)デバイスがそのカウンタをクリアする IPv6 ACL の名前。名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、すべての IPv6 ACL のカウンタをクリアする例を示します。
次に、acl-ipv6-3A という名前の IPv6 ACL のカウンタをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear ldap-server statistics
Lightweight Directory Access Protocol(LDAP)サーバ統計情報をクリアするには、 clear ldap-server statistics コマンドを使用します。
clear ldap-server statistics { ipv4-address | ipv6-address | host-name }
構文の説明
デフォルト
コマンド モード
network-admin
network-operator
vdc-admin
vdc-operator
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
clear mac access-list counters
すべてまたは 1 つの MAC アクセス コントロール リスト(ACL)のカウンタをクリアするには、 clear mac access-list counters コマンドを使用します。
clear mac access-list counters [ access-list-name ]
構文の説明
(任意)デバイスがそのカウンタをクリアする MAC ACL の名前。名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、すべての MAC ACL のカウンタをクリアする例を示します。
次に、acl-mac-0060 という名前の MAC ACL のカウンタをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear port-security
動的に学習された単一のセキュア MAC アドレス、または特定のインターフェイスの動的に学習されたすべてのセキュア MAC アドレスをクリアするには、 clear port-security を使用します。
clear port-security dynamic interface ethernet slot / port [ vlan vlan-id ]
clear port-security dynamic interface port-channel channel-number [ vlan vlan-id ]
clear port-security dynamic address address [ vlan vlan-id ]
構文の説明
(任意)クリアするセキュア MAC アドレスの VLAN を指定します。有効な VLAN ID は、1 ~ 4096 です。 |
|
クリアする単一の MAC アドレスを指定します。 address は、ドット付き 16 進表記の MAC アドレスです。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
feature port-security コマンドを使用してポート セキュリティをイネーブルにしてから、 clear port-security コマンドを使用する必要があります。
例
次に、イーサネット 2/1 インターフェイスから動的に学習されたセキュア MAC アドレスを削除する例を示します。
次に、動的に学習されたセキュア MAC アドレス 0019.D2D0.00AE を削除する例を示します。
関連コマンド
|
|
|
|---|---|
clear radius-server statistics
RADIUS サーバ ホストの統計情報をクリアするには、 clear radius-server statistics コマンドを使用します。
clear radius-server statistics { ipv4-address | ipv6-address | server-name }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、RADIUS サーバの統計情報をクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear ssh hosts
仮想デバイス コンテキスト(VDC)の Secure Shell(SSH; セキュア シェル)ホスト セッションおよび既知のホスト ファイルをクリアするには、 clear ssh hosts コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、すべての SSH ホスト セッションおよび既知のホスト ファイルをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear tacacs-server statistics
TACACS+ サーバ ホストの統計情報をクリアするには、 clear tacacs-server statistics コマンドを使用します。
clear tacacs-server statistics { ipv4-address | ipv6-address | server-name }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、TACACS+ サーバの統計情報をクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear user
仮想デバイス コンテキスト(VDC)のユーザ セッションをクリアするには、 clear user コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、すべての SSH ホスト セッションをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
clear vlan access-list counters
すべてまたは 1 つの VLAN アクセス コントロール リスト(VACL)のカウンタをクリアするには、 clear vlan access-list counters コマンドを使用します。
clear vlan access-list counters [ access-map-name ]
構文の説明
(任意)デバイスがそのカウンタをクリアする VLAN アクセス マップの名前。名前では最大 64 文字までの英数字を使用でき、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、すべての VACL のカウンタをクリアする例を示します。
次に、vlan-map-101 という名前の VACL のカウンタをクリアする例を示します。
関連コマンド
|
|
|
|---|---|
copp copy profile
コントロール プレーン ポリシング(CoPP)ベスト プラクティス ポリシーのコピーを作成するには、copp clone profile コマンドを使用します。
copp copy profile {lenient | moderate | strict} {prefix | suffix} string
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
copp copy profile コマンドを使用した場合、CoPP は、指定したプレフィクスまたはサフィックスを持つすべてのクラス マップとポリシー マップの名前を変更します。
例
次に、CoPP ベスト プラクティス ポリシーのクローンを作成する例を示します。
関連コマンド
|
|
|
|---|---|
copp profile
設定ユーティリティを再実行せずに Cisco NX-OS デバイスにデフォルトのコントロール プレーン ポリシング(CoPP)ベスト プラクティス ポリシーを適用するには、copp profile コマンドを使用します。Cisco NX-OS デバイスからデフォルトの CoPP ポリシーを削除するには、このコマンドの no 形式を使用します。
copp profile { dense | lenient | moderate | strict}
no copp profile { dense | lenient | moderate | strict}
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
5.2(1) よりも前の Cisco NX-OS リリースでは、デフォルトの CoPP ポリシーを変更または再適用するには設定ユーティリティを使用する必要があります。設定ユーティリティにアクセスするには setup コマンドを使用します。
Cisco NX-OS Release 5.2 から、CoPP のベスト プラクティス ポリシーは読み取り専用です。設定を変更する場合は、copp clone profile コマンドでクローニングする必要があります。クローニングされたポリシーは、ユーザの設定として扱われます。
Cisco NX-OS Release 5.2 へのアップグレードにインサービス ソフトウェア ダウングレード(ISSU)を使用する場合、コントロール プレーンにアタッチされたポリシーは、ユーザ設定ポリシーとして扱われます。show copp profile コマンドを使用して CoPP プロファイルを確認し、必要な変更を加えます。
Cisco NX-OS Release 5.2 からのダウングレードに ISSU を使用する場合、CoPP は互換性のない設定を報告し、CoPP プロファイルを複製するように指示します。それ以前のバージョンでは、すべての設定がユーザ設定モードに復元されます。
例
次に、Cisco NX-OS デバイスにデフォルトの CoPP ベスト プラクティス ポリシーを適用する例を示します。
次に、Cisco NX-OS デバイスからデフォルトの CoPP ベスト プラクティス ポリシーを削除する例を示します。
関連コマンド
|
|
|
|---|---|
CRLLookup
検索クエリーを Lightweight Directory Access Protocol(LDAP)サーバに送信するために、証明書失効リスト(CRL)検索操作の属性名、検索フィルタ、ベース DN を設定するには、 CRLLookup コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。
CRLLookup attribute-name attribute-name search-filter filter base-DN base-DN-name
構文の説明
LDAP 検索マップの属性名を指定します。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。 |
|
LDAP 検索マップ用のフィルタを指定します。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。 |
|
LDAP 検索マップのベース指定名を指定します。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。 |
デフォルト
コマンド モード
Lightweight Directory Access Protocol(LDAP)検索マップ コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、検索クエリーを LDAP サーバに送信するために、CRL 検索操作の属性名、検索フィルタ、ベース DN を設定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto ca authenticate
Certificate Authority(CA; 認証局)を関連付けて認証し、その CA 証明書(または証明書チェーン)を設定するには、 crypto ca authenticate コマンドを使用します。関連付けと認証を削除するには、このコマンドの no 形式を使用します。
crypto ca authenticate trustpoint-label
no crypto ca authenticate trustpoint-label
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、CA の公開キーに含まれる CA の自己署名証明書を取得することによって、Cisco NX-OS デバイスに対して CA を認証できます。CA では、証明書が自己署名されるため、このコマンドを実行するときは、CA 管理者に問い合わせて、CA の公開キーを手作業で認証する必要があります。CA 証明書または証明書チェーンは、Privacy Enhanced Mail(PEM; プライバシー エンハンスト メール)(base-64)暗号化形式で使用可能である必要があります。
このコマンドは、デバイスで認証局を初期設定するときに、使用します。まず、CA によって発行された CA 証明書フィンガープリントを使用し、 crypto ca trustpoint コマンドを使用して、トラストポイントを作成します。CA によって発行された証明書フィンガープリントでの認証中に、表示される証明書フィンガープリントを比較する必要があり、一致する場合だけ、CA 証明書が受け付けられます。
認証する CA が下位認証局(自己署名ではない)の場合は、自己署名証明書が存在するまで、別の CA がそれを証明し、それがまた、別の CA によって代わりに証明されることがあります。この場合、下位証明書には、CA 証明書チェーンが存在します。CA 認証中は、チェーン全体を入力する必要があります。CA 証明書チェーンがサポートする最大長は、10 です。
トラストポイント CA は、信頼済み CA としてデバイスに設定する認証局です。デバイスでは、ローカルに信頼済みの CA またはその下位 CA によって、ピア証明書が署名されている場合に、受け付けられます。
(注) crypto ca trustpoint コマンドで作成するトラストポイント設定は、copy running-config startup-config コマンドを使用して明示的に保存する場合だけ、デバイスがリブートしても設定が引き継がれます。トラストポイントに関連付けられている証明書および CRL は、スタートアップ コンフィギュレーションでトラストポイントを設定する場合には、自動的に引き継がれます。スタートアップ コンフィギュレーションでトラストポイントを保存しない場合、関連付けられている証明書および CRL は、デバイスのリブート後に対応するトラストポイントなしでは終了できないため、自動的には引き継がれません。
設定された証明書、CRL、キー ペアが引き継がれるようにするには、スタートアップ コンフィギュレーションで実行コンフィギュレーションを常に保存する必要があります。
例
次の例では、myCA という名前の CA 証明書を認証する方法を示します。
関連コマンド
|
|
|
|---|---|
crypto ca crl request
認証局(CA)からダウンロードされた新規の証明書失効リスト(CRL)を設定するには、 crypto ca crl request コマンドを使用します。
crypto ca crl request trustpoint-label source-file
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
crypto ca crl request コマンドを使用すると、トラストポイントに対して CRL を事前ダウンロードし、証明書(cert)ストアに CRL をキャッシュ保存できます。指定した CRL ファイルは、プライバシー エンハンスト メール(PEM)形式または Distinguished Encoding Rules(DER)形式のいずれかで最新の CRL を含める必要があります。
(注) crypto ca trustpoint コマンドで作成するトラストポイント設定は、copy running-config startup-config コマンドを使用して明示的に保存する場合だけ、デバイスがリブートしても設定が引き継がれます。トラストポイントに関連付けられている証明書および CRL は、スタートアップ コンフィギュレーションでトラストポイントを設定する場合には、自動的に引き継がれます。スタートアップ コンフィギュレーションでトラストポイントを保存しない場合、関連付けられている証明書および CRL は、デバイスのリブート後に対応するトラストポイントなしでは終了できないため、自動的には引き継がれません。
設定された証明書、CRL、キー ペアが引き継がれるようにするには、スタートアップ コンフィギュレーションで実行コンフィギュレーションを常に保存する必要があります。
例
次の例では、トラストポイントで CRL を設定するか、または現在の CRL を置き換える方法を示します。
関連コマンド
|
|
|
|---|---|
crypto ca enroll
このトラストポイント CA 用に作成されるデバイス RSA キー ペアの認証を要求するには、 crypto ca enroll コマンドを使用します。
crypto ca enroll trustpoint-label
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Cisco NX-OS デバイスは、トラストポイント CA とともに登録され、アイデンティティ証明書が取得されます。複数のトラストポイントとともにデバイスを登録し、各トラストポイントから別のアイデンティティ証明書を取得できます。
トラストポイントを登録するときには、認証する RSA キー ペアを指定する必要があります。登録要求を生成する前に、キー ペアを生成し、トラストポイントに関連付ける必要があります。
crypto ca enroll コマンドを使用すると、認証済みの CA に対応する各トラストポイントから、アイデンティティ証明書を取得する要求を生成できます。生成される Certificate Signing Request(CSR; 証明書署名要求)は、Public-Key Cryptography Standards(PKCS; 公開キー暗号化規格)の規格 #10 に準拠し、PEM 形式で表示されます。証明書をカット アンド ペーストし、電子メールを介してか、または CA Web サイトで、対応する CA に送信します。CA 管理者は、証明書を発行し、Web サイトを介してか、電子メールで送信して、その証明書を使用可能にします。トラストポイントに対応する、取得済みのアイデンティティ証明書は、 crypto ca import trustpoint-label certificate コマンドを使用してインポートする必要があります。
(注) デバイスの設定では、チャレンジ パスワードは保存されません。証明書を破棄する場合に必要な場合に指定できるよう、このパスワードを記録します。
例
次の例では、認証済み CA に対する証明書の要求を生成する方法を示します。
関連コマンド
|
|
|
|---|---|
crypto ca export
RSA キー ペアと、公開キー暗号化規格(PKCS)の規格 #12 形式のファイル内のトラストポイントの関連付け済み証明書(アイデンティティおよび CA)を、指定する場所へエクスポートするには、 crypto ca export コマンドを使用します。
crypto ca export trustpoint-label pkcs12 destination-file-url pkcs12 - password
構文の説明
bootflash : filename の形式で、宛先ファイルを指定します。ファイル名は、英数字で指定します。大文字と小文字が区別され、最大文字数は 512 です。 |
|
エクスポートされるファイルで RSA 秘密キーを保護するために使用するパスワード。パスワードは、英数字で指定します。大文字と小文字が区別され、最大文字数は 64 です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
バックアップの目的で、関連付けられている RSA キー ペアと CA 証明書(または証明書チェーン)とともに、アイデンティティ証明書を PKCS #12 形式のファイルにエクスポートできます。あとで証明書と RSA キー ペアをインポートして、デバイスのシステム障害から回復できます。
例
次に、PKCS #12 形式で証明書とキー ペアをエクスポートする例を示します。
関連コマンド
|
|
|
|---|---|
アイデンティティ証明書、関連付けられている RSA キー ペア、CA 証明書(チェーン)を、トラストポイントへインポートします。 |
|
crypto ca import
Privacy Enhanced Mail(PEM)形式のアイデンティティ証明書、または公開キー暗号化規格(PKCS)の規格 #12 形式のアイデンティティ証明書、関連付けられている RSA キー ペア、および CA 証明書(または証明書チェーン)をインポートするには、 crypto ca import コマンドを使用します。
crypto ca import trustpoint-label { certificate | pkcs12 source-file-url pkcs12-password }
構文の説明
bootflash : filename の形式で、トラストポイント証明書が含まれている発信元ファイルを指定します。ファイル名では、大文字と小文字が区別されます。 |
|
インポートされる PKCS#12 ファイルで RSA 秘密キーを保護するために使用するパスワード。パスワードでは大文字と小文字が区別されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
トラストポイントで前に生成された登録要求に対応し、CA に送信された、CA から取得されたアイデンティティ証明書を(カット アンド ペーストする方法で)インポートするには、 certificate キーワードを使用します。
完全なアイデンティティ情報を空のトラストポイントにインポートするには、 pkcs12 source-file-url pkcs12-password キーワードと引数を使用します。これには、アイデンティティ証明書、関連付けられている RSA キー ペア、および、CA 証明書または証明書チェーンが含まれます。この方法を使用すると、システム障害の発生後に、設定を復元することができます。
(注) crypto ca trustpoint コマンドで作成するトラストポイント設定は、copy running-config startup-config コマンドを使用して明示的に保存する場合だけ、デバイスがリブートしても設定が引き継がれます。トラストポイントに関連付けられている証明書および CRL は、スタートアップ コンフィギュレーションでトラストポイントを設定する場合には、自動的に引き継がれます。スタートアップ コンフィギュレーションでトラストポイントを保存しない場合、関連付けられている証明書および CRL は、デバイスのリブート後に対応するトラストポイントなしでは終了できないため、自動的には引き継がれません。
設定された証明書、CRL、キー ペアが引き継がれるようにするには、スタートアップ コンフィギュレーションで実行コンフィギュレーションを常に保存する必要があります。
例
次に、行われた登録要求に対応し、前に送信された CA から取得されたアイデンティティ証明書をインストールする例を示します。
次の例では、公開キー暗号化規格(PKCS)#12 形式のファイルに証明書とキー ペアをインポートする例を示します。
関連コマンド
|
|
|
|---|---|
crypto ca lookup
証明書認証に使用する証明書ストアを指定するには、 crypto ca lookup コマンドを使用します。
crypto ca lookup {local | remote | both}
構文の説明
証明書認証にローカル証明書ストアを指定しますが、認証が失敗するか、CA 証明書が見つからない場合は、リモート証明書ストアを使用します。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
リモート証明書ストアを設定する場合は、リモート デバイスに LDAP サーバを設定し、認証に使用する CA 証明書が Active Directory にロードされていることを確認する必要があります。
例
次に、証明書認証にリモート証明書ストアを指定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto ca remote ldap crl-refresh-time
リモート証明書ストアから証明書失効リスト(CRL)を更新するリフレッシュ時間を設定するには、 crypto ca remote ldap crl-refresh-time コマンドを使用します。
crypto ca remote ldap crl-refresh-tim e hours
構文の説明
時間単位でのリフレッシュ時間。範囲は 0 ~ 744 時間です。0 を入力すると、リフレッシュ ルーチンが 1 回実行されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、リモート証明書ストアから CRL を更新するリフレッシュ時間を設定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto ca remote ldap server-group
Lightweight Directory Access Protocol(LDAP)との通信中に使用する LDAP サーバ グループを設定するには、 crypto ca remote ldap server-group コマンドを使用します。
crypto ca remote ldap server-group group-name
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例に、LDAP との通信中に使用する LDAP サーバ グループを設定する例を示します。
関連コマンド
|
|
|
|---|---|
crypto ca test verify
証明書ファイルを確認するには、 crypto ca test verify コマンドを使用します。
crypto ca test verify certificate-file
構文の説明
bootflash : filename の形式でファイル名を認証します。ファイル名では、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用すると、設定されている信頼済みの CA を使用して、また、必要に応じて、失効チェック設定で示されているとおりに証明書失効リスト(CRL)に問い合せることによって、PEM 形式で指定されている証明書を確認できます。
例
(注) 確認ステータス コードの値 0 は、確認が正常終了したことを示します。
関連コマンド
|
|
|
|---|---|
crypto ca trustpoint
デバイスが信頼し、トラストポイント コンフィギュレーション モードに入る必要があるトラストポイント認証局(CA)を作成するには、 crypto ca trustpoint コマンドを使用します。トラストポイントを削除するには、このコマンドの no 形式を使用します。
crypto ca trustpoint trustpoint-label
no crypto ca trustpoint trustpoint-label
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
•
1 つのトラストポイントは、単一の CA に対応します。Cisco NX-OS デバイスは、任意のアプリケーションに対するピア証明書確認のために、CA を信頼します。
• CA は、 crypto ca authenticate コマンドを使用して、トラストポイントに明示的に関連付けられる必要があります。
• Cisco NX-OS デバイスでは、デバイス上に多くのトラストポイントを置くことができ、デバイス上のすべてのアプリケーションは、任意のトラストポイント CA によって発行されたピア証明書を信頼できます。
• トラストポイントは、特定のアプリケーションによる制限は受けません。
• Cisco NX-OS デバイスは、オプションで、トラストポイント CA とともに登録し、そのデバイスそのものに対する保障証明書を取得できます。
アプリケーションに対して、1 つまたは複数のトラストポイントを指定する必要はありません。証明書がアプリケーションの要件を満たしている限り、アプリケーションでは、トランスポイントによって発行されたどの証明書も使用できます。
トランスポイントからは、2 つ以上のアイデンティティ証明書も、トランスポイントに関連付けられている 2 つ以上のキー ペアも、必要ではありません。CA 証明書は、付与されたアイデンティティ(の名前)を一度だけ使用し、同じサブジェクト名で複数の証明書は発行しません。CA で複数のアイデンティティ証明書が必要な場合、CA で同じサブジェクト名の複数の証明書が認められる場合には、同じ CA に対して別のトラストポイントを定義し、それに別のキー ペアを関連付け、それを認証します。
(注) no crypto ca trustpoint コマンドを使用してトランスポイントを削除する前に、まず、アイデンティティ証明書と CA 証明書(または証明書チェーン)を削除し、次に、トラストポイントから RSA キー ペアの関連付けを解除する必要があります。デバイスでは、このアクションのシーケンスを実行することにより、証明書でトラストポイントを誤って削除することを防ぎます。
例
次に、デバイスが信頼し、トラストポイント コンフィギュレーション モードに入る必要があるトラストポイント CA を宣言する例を示します。
switch# configure terminal
switch# configure terminal
関連コマンド
|
|
|
|---|---|
crypto certificatemap mapname
フィルタ マップを作成するには、 crypto certificatemap mapname コマンドを使用します。
crypto certificatemap mapname map-name
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
crypto cert ssh-authorize
SSH プロトコルの証明書マッピング フィルタを設定するには、 crypto cert ssh-authorize コマンドを使用します。
crypto cert ssh-authorize [default | issuer-CAname ] [map map-name1 [ map-name2 ]]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、SSH プロトコルの証明書マッピング フィルタを設定する例を示します。
関連コマンド
|
|
|
|---|---|
cts device-id
Cisco TrustSec デバイス ID を設定するには、 cts device-id コマンドを使用します。
cts device-id device-id password [ 7 ] password
構文の説明
Cisco TrustSec デバイス ID 名。名前には英数字を使用します。大文字と小文字が区別され、 最大長は 32 文字です。 |
|
EAP-FAST 処理中に使用するパスワードを指定します。名前には英数字を使用します。大文字と小文字が区別され、 最大長は 32 文字です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
Cisco TrustSec デバイス ID 名は、Cisco TrustSec ネットワーク クラウド内で一意でなければなりません。
例
次に、Cisco TrustSec デバイス ID を設定する例を示します。
関連コマンド
|
|
|
|---|---|
cts dot1x
インターフェイスで Cisco TrustSec 認証をイネーブルにして、Cisco TrustSec 802.1X コンフィギュレーション モードを開始するには、 cts dot1x コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドは、F1 シリーズ モジュールおよび F2 シリーズ モジュールではサポートされません。
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、設定を有効にするには、 shutdown / no shutdown コマンド シーケンスを使用することによってインターフェイスをイネーブルおよびディセーブルにする必要があります。
例
次に、インターフェイスで Cisco TrustSec 認証をイネーブルにする例を示します。
次に、インターフェイスで Cisco TrustSec 認証をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
cts manual
インターフェイスの Cisco TrustSec 手動設定を開始するには、 cts manual コマンドを使用します。手動設定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、設定を有効にするには、 shutdown / no shutdown コマンド シーケンスを使用することによってインターフェイスをイネーブルおよびディセーブルにする必要があります。
例
次に、インターフェイスの Cisco TrustSec 手動コンフィギュレーション モードを開始する例を示します。
次に、インターフェイスから Cisco TrustSec 手動設定を削除する例を示します。
関連コマンド
|
|
|
|---|---|
cts refresh role-based-policy
Cisco Secure ACS からダウンロードした Cisco TrustSec Security Group Access Control List(SGACL; セキュリティ グループ アクセス コントロール リスト)ポリシーをリフレッシュするには、 cts refresh role-based-policy コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
次に、インターフェイスの Cisco TrustSec 手動コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
cts rekey
Cisco TrustSec ポリシーのインターフェイス キーを再生成するには、 cts rekey コマンドを使用します。
cts rekey ethernet slot / port
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
次に、Cisco TrustSec のインターフェイス キーを再生成する例を示します。
関連コマンド
|
|
|
|---|---|
cts role-based access-list
Cisco TrustSec セキュリティ グループ アクセス コントロール リスト(SGACL)を作成または指定して、ロールベース アクセス コントロール リスト コンフィギュレーション モードを開始するには、 cts role-based access-list コマンドを使用します。SGACL を削除するには、このコマンドの no 形式を使用します。
cts role-based access-list list-name
no cts role-based access-list list-name
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
次に、Cisco TrustSec SGACL を作成して、ロールベース アクセス リスト コンフィギュレーション モード を開始する例を示します。
次に、Cisco TrustSec SGACL を削除する例を示します。
関連コマンド
|
|
|
|---|---|
cts role-based counters enable
ロールベース アクセス コントロール リスト(RBACL)統計情報をイネーブルにするには、 cts role-based counters enable コマンドを使用します。RBACL 統計情報をディセーブルにするには、このコマンドの no 形式を使用します。
cts role-based counters enable
no cts role-based counters enable
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用するには、VLAN および VRF への RBACL ポリシーの適用をイネーブルにする必要があります。
RBACL 統計情報をイネーブルにするには、ハードウェアのエントリが各ポリシーに 1 つずつ必要です。ハードウェアに十分な領域がない場合、エラー メッセージが表示され、統計情報をイネーブルにできません。
RBACL ポリシーを変更するとき、割り当て済みの Access Control Entry(ACE; アクセス コントロール エントリ)の統計情報が表示され、新しく割り当てられた ACE 統計情報が 0 に初期化されます。
RBACL 統計情報は、Cisco NX-OS デバイスのリロード時または統計情報を故意にクリアしたときにだけ失われます。
例
次に、RBACL 統計情報をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
cts role-based enforcement
VLAN または Virtual Routing and Forwarding(VRF; 仮想ルーティング/転送)インスタンスで Cisco TrustSec セキュリティ グループ アクセス コントロール リスト(SGACL)強制をイネーブルにするには、 cts role-based enforcement コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
VLAN コンフィギュレーション
VRF コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
次に、デフォルト VRF で Cisco TrustSec SGACL 強制をイネーブルにする例を示します。
次に、VLAN で Cisco TrustSec SGACL 強制をイネーブルにする例を示します。
次に、非デフォルト VRF で Cisco TrustSec SGACL 強制をイネーブルにする例を示します。
次に、Cisco TrustSec SGACL 強制をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
cts role-based sgt
セキュリティ グループ アクセス コントロール リスト(SGACL)と Cisco TrustSec Security Group Tag(SGT; セキュリティ グループ タグ)のマッピングを手動で設定するには、 cts role-based sgt コマンドを使用します。SGACL と SGT のマッピングを削除するには、このコマンドの no 形式を使用します。
cts role-based sgt { sgt-value | any | unknown } dgt { dgt-value | unknown }
access-list list-name
no cts role-based sgt { sgt-value | any | unknown } dgt { dgt-value | unknown }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
次に、SGACL の SGT マッピングを設定する例を示します。
次に、SGACL の SGT マッピングを削除する例を示します。
関連コマンド
|
|
|
|---|---|
cts role-based sgt-map
IP アドレスと Cisco TrustSec セキュリティ グループ タグ(SGT)のマッピングを手動で設定するには、 cts role-based sgt-map コマンドを使用します。SGT を削除するには、このコマンドの no 形式を使用します。
cts role-based sgt-map ipv4-address sgt-value
no cts role-based sgt-map ipv4-address
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
VLAN コンフィギュレーション
VRF コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
次に、Cisco TrustSec SGT のマッピングを設定する例を示します。
次に、Cisco TrustSec SGT のマッピングを削除する例を示します。
関連コマンド
|
|
|
|---|---|
cts sgt
Cisco TrustSec セキュリティ グループ タグ(SGT)を設定するには、 cts sgt コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
次に、デバイスの Cisco TrustSec SGT を設定する例を示します。
関連コマンド
|
|
|
|---|---|
cts sxp connection peer
Cisco TrustSec の SGT Exchange Protocol(SXP)ピア接続を設定するには、 cts sxp connection peer コマンドを使用します。SXP 接続を削除するには、このコマンドの no 形式を使用します。
cts sxp connection peer peer-ipv4-addr [ source src-ipv4-addr ] password { default | none | required { password | 7 encrypted-password }} mode { speaker | listener } [ vrf vrf-name ]
no cts sxp connection peer peer-ipv4-addr [ vrf vrf-name ]
構文の説明
テキスト パスワードをクリアします。パスワードには英数字を使用します。大文字と小文字が区別され、 最大長は 32 文字です。 |
|
デフォルト
デバイスに設定されたデフォルト SXP パスワード
デバイスに設定されたデフォルト SXP 送信元 IPv4 アドレス
デフォルト VRF
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
Cisco TrustSec では、IPv4 アドレッシングだけを使用できます。
送信元 IPv4 アドレスを指定しない場合は、 cts sxp default source-ip コマンドを使用してデフォルト SXP 送信元 IPv4 アドレスを設定する必要があります。
デフォルトをパスワード モードで指定する場合は、 cts sxp default password コマンドを使用してデフォルト SXP パスワードを設定する必要があります。
例
関連コマンド
|
|
|
|---|---|
cts sxp default password
デバイスのデフォルト SGT Exchange Protocol(SXP)パスワードを設定するには、 cts sxp default password コマンドを使用します。デフォルトを削除するには、このコマンドの no 形式を使用します。
cts sxp default password { password | 7 encrypted-password }
構文の説明
テキスト パスワードをクリアします。パスワードには英数字を使用します。大文字と小文字が区別され、 最大長は 32 文字です。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
次に、デバイスのデフォルト SXP パスワードを設定する例を示します。
次に、デフォルト SXP パスワードを削除する例を示します。
関連コマンド
|
|
|
|---|---|
cts sxp default source-ip
デバイスのデフォルト SGT Exchange Protocol(SXP)送信元 IPv4 アドレスを設定するには、 cts sxp default source-ip コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cts sxp default source-ip ipv4-address
no cts sxp default source-ip ipv4-address
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
次に、デバイスのデフォルト SXP 送信元 IP アドレスを設定する例を示します。
次に、デフォルト SXP 送信元 IP アドレスを削除する例を示します。
関連コマンド
|
|
|
|---|---|
cts sxp enable
デバイス上の SGT Exchange Protocol(SXP)ピアをイネーブルにするには、 cts sxp enable コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
例
関連コマンド
|
|
|
|---|---|
cts sxp reconcile-period
SGT Exchange Protocol(SXP)復帰期間タイマーを設定するには、 cts sxp reconcile-period コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
cts sxp reconcile-period seconds
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
ピアが SXP 接続を終了すると、内部ホールドダウン タイマーが開始されます。内部ホールドダウン タイマーが終了する前にピアが再接続すると、SXP 復帰期間タイマーが開始されます。SXP 復帰期間タイマーがアクティブな間、Cisco NX-OS ソフトウェアは前回の接続で学習した SGT マッピング エントリを保持し、無効なエントリを削除します。
(注) SXP 復帰期間を 0 秒に設定すると、タイマーがディセーブルになり、前回の接続のすべてのエントリが削除されます。
例
関連コマンド
|
|
|
|---|---|
cts sxp retry-period
SGT Exchange Protocol(SXP)リトライ期間タイマーを設定するには、 cts sxp retry-period コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
SXP リトライ期間によって、Cisco NX-OS ソフトウェアが SXP 接続を再試行する頻度が決まります。SXP 接続が正常に確立されなかった場合、Cisco NX-OS ソフトウェアは SXP リトライ期間タイマーの終了後に、新たな接続の確立を試行します。
(注) SXP リトライ期間を 0 秒に設定すると、タイマーがディセーブルになり、再試行は実行されません。
例
次に、SXP リトライ期間をデフォルト値に戻す例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック