Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: D コマンド
- deadtime
- delete ca-certificate
- delete certificate
- delete crl
- deny(ARP)
- deny(IPv4)
- deny(IPv6)
- deny(MAC)
- deny(ロールベース アクセス コントロール リスト)
- description(アイデンティティ ポリシー)
- description(ユーザ ロール)
- destination interface
- device
- dot1x default
- dot1x host-mode
- dot1x initialize
- dot1x mac-auth-bypass
- dot1x max-reauth-req
- dot1x max-req
- dot1x pae authenticator
- dot1x port-control
- dot1x radius-accounting
- dot1x re-authentication(EXEC)
- dot1x re-authentication(グローバル コンフィギュレーション、インターフェイス コンフィギュレーション)
- dot1x system-auth-control
- dot1x timeout quiet-period
- dot1x timeout ratelimit-period
- dot1x timeout re-authperiod
- dot1x timeout server-timeout
- dot1x timeout supp-timeout
- dot1x timeout tx-period
D コマンド
deadtime
RADIUS または TACACS+ サーバ グループのデッド タイム間隔を設定するには、 deadtime コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
| (注) デッド タイム間隔をゼロ(0)に設定すると、タイマーがディセーブルになります。 |
デフォルト
コマンド モード
RADlUS サーバ グループ コンフィギュレーション
TACACS+ サーバ グループ コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、RADIUS サーバ グループのデッド タイム間隔を 2 分に設定する例を示します。
次に、TACACS+ サーバ グループのデッド タイム間隔を 5 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
delete ca-certificate
認証局の証明書を削除するには、 delete ca-certificate コマンドを使用してください。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、トラストポイント CA に対応する CA 証明書または証明書チェーンを削除します。その結果、トラストポイント CA は信頼されなくなります。CA からのアイデンティティ証明書がある場合、これを削除してから、CA 証明書を削除する必要があります。これによって、CA から取得したアイデンティティ証明書をまだ削除していない場合に、CA 証明書を誤って削除することを防げます。CA の状況が悪化したか、または CA 証明書の期限が切れたため、CA の信頼を継続しない場合は、CA 証明書を削除する必要が生じる場合があります。
(注) トラストポイント設定、証明書、およびキー ペアの設定は、スタートアップ コンフィギュレーションの保存後だけ、永続的に有効になります。実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存後だけ、削除は永続的に有効になります。
証明書とキー ペアの削除を永続的に有効にするには、 copy running-config startup-config コマンドを入力します。
例
関連コマンド
|
|
|
|---|---|
delete certificate
アイデンティティ証明書を削除するには、 delete certificate コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
アイデンティティ証明書の期限が切れた場合、または対応するキー ペアが含まれている場合、 delete certificate コマンドを使用すると、トラストポイント CA から取得したアイデンティティ証明書を削除できます。デバイス上のアプリケーションは、存在する最後の、または存在する唯一のアイデンティティ証明書を削除したあとは、アイデンティティ証明書なしで残されます。削除しようとしている証明書が、存在する唯一の証明書か、チェーンの中の最後のアイデンティティ証明書の場合、Cisco NX-OS ソフトウェアでは、エラー メッセージが生成されます。オプションの force キーワードを使用すると、証明書を削除できます。
(注) トラストポイント設定、証明書、およびキー ペアの設定は、スタートアップ コンフィギュレーションの保存後だけ、永続的に有効になります。実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存後だけ、削除は永続的に有効になります。
証明書とキー ペアの削除を永続的に有効にするには、 copy running-config startup-config コマンドを入力します。
例
次の例では、アイデンティティ証明書を削除する方法を示します。
次の例では、アイデンティティ証明書の削除を実行する方法を示します。
関連コマンド
|
|
|
|---|---|
delete crl
トラストポイントから証明書失効リスト(CRL)を削除するには、 delete crl コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、トラストポイントから CRL を削除する方法を示します。
関連コマンド
|
|
|
|---|---|
deny(ARP)
条件に一致する ARP トラフィックを拒否する ARP ACL ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
[ sequence-number ] deny request ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
[ sequence-number ] deny response ip { any | host sender-IP | sender-IP sender-IP-mask } { any | host target-IP | target-IP target-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ any | host target-MAC | target-MAC target-MAC-mask ] [ log ]
no deny ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
no deny request ip { any | host sender-IP | sender-IP sender-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ log ]
no deny response ip { any | host sender-IP | sender-IP sender-IP-mask } { any | host target-IP | target-IP target-IP-mask } mac { any | host sender-MAC | sender-MAC sender-MAC-mask } [ any | host target-MAC | target-MAC target-MAC-mask ] [ log ]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
新しく作成した ARP ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、デバイスは ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号を割り当てます。
パケットに ARP ACL が適用されると、ACL 内のすべてのルールに対してパケットが評価されます。パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。
response または request のキーワードをどちらも指定しないと、任意の ARP メッセージを含むパケットにルールが適用されます。
例
次に、arp-acl-01 という名前の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始して、10.32.143.0 サブネットに存在する送信元 IP アドレスが含まれる ARP 要求メッセージを拒否するルールを追加する例を示します。
関連コマンド
|
|
|
|---|---|
deny(IPv4)
条件に一致するトラフィックを拒否する IPv4 ACL ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny protocol source destination [ dscp dscp | precedence precedence ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
no deny protocol source destination [ dscp dscp | precedence precedence ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
[ sequence-number ] deny icmp source destination [ icmp-message | icmp-type [ icmp-code ] ] [ dscp dscp | precedence precedence ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
[ sequence-number ] deny igmp source destination [ igmp-message ] [ dscp dscp | precedence precedence ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
[ sequence-number ] deny ip source destination [ dscp dscp | precedence precedence ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
[ sequence-number ] deny tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp | precedence precedence ] [ fragments ] [ log ] [ time-range time-range-name ] [ flags ] [ established ] [ packet-length operator packet-length [ packet-length ]]
[ sequence-number ] deny udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp | precedence precedence ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
構文の説明
(任意) deny コマンドのシーケンス番号。この番号により、アクセス リスト内の番号が振られた場所にデバイスがコマンドを挿入します。シーケンス番号は、ACL 内でルールの順序を保ちます。 シーケンス番号には、1 ~ 4294967295 の間の整数を指定できます。 デフォルトでは、ACL の最初のルールには、10 のシーケンス番号が与えられます。 シーケンス番号を指定しないと、デバイスによって、ACL の最後にルールが追加され、1 つ前のルールのシーケンス番号に 10 を加算した値が、シーケンス番号として割り当てられます。 |
|
ルールで一致させるパケットのプロトコルの名前または番号。この引数の指定方法の詳細については、「使用上のガイドライン」の「プロトコル」の説明を参照してください。 |
|
ルールで一致させる送信元 IPv4 アドレス。この引数の指定方法の詳細については、「使用上のガイドライン」の「送信元と宛先」の説明を参照してください。 |
|
ルールで一致させる宛先 IPv4 アドレス。この引数の指定方法の詳細については、「使用上のガイドライン」の「送信元と宛先」の説明を参照してください。 |
|
(任意)IP ヘッダーの DSCP フィールドに特定の 6 ビット diffserv(ディファレンシエーテッド サービス)値が設定されているパケットだけをルールと一致させるように指定します。 dscp 引数には、次の数値またはキーワードのいずれかを指定します。 • • • • • • • • • • • • • • |
|
(任意) precedence 引数で指定された値が IP Precedence フィールドに設定されているパケットだけをルールと一致させるように指定します。 precedence 引数には、次の数値またはキーワードを指定します。 • |
|
(任意)非初期フラグメントであるパケットだけをルールと一致させるように指定します。このキーワードは、TCP ポート番号などのレイヤ 4 オプションを指定したルールには指定できません。これらのオプションをデバイスが評価するために必要な情報は、初期フラグメントだけに含まれているためです。 |
|
(任意)ルールと一致する各パケットについて、デバイスが情報ロギング メッセージを生成するように指定します。メッセージに含まれる情報は、次のとおりです。 |
|
(任意)このルールに適用する時間範囲を指定します。 time-range コマンドを使用して時間範囲を設定できます。 time-range-name 引数には、最大で 64 文字の英数字を使用でき、大文字と小文字が区別されます。 |
|
(ICMP のみ:任意)ルールと一致させる ICMP メッセージのタイプ。この引数には、0 ~ 255 の整数、または「使用上のガイドライン」の「ICMP メッセージ タイプ」にリストされているキーワードの 1 つを指定します。 |
|
(ICMP のみ:任意)ルールと一致させる ICMP メッセージのタイプ。 icmp-type 引数の有効値は、0 ~ 255 です。ICMP メッセージ タイプでメッセージ コードがサポートされている場合、 icmp-code 引数を使用して、ルールに一致するコードを指定できます。 ICMP メッセージ タイプとコードについての詳細は、 http://www.iana.org/assignments/icmp-parameters を参照してください。 |
|
(IGMP のみ:任意)ルールと一致させる IGMP メッセージのタイプ。 igmp-message 引数には、0 ~ 15 の整数である IGMP メッセージ番号を指定します。また、次のいずれかのキーワードを指定できます。 • |
|
(任意:TCP および UDP のみ) operator 引数および port 引数の条件と一致する送信元ポートから送信されたパケット、または一致する宛先ポートに送信されたパケットだけを、ルールと一致させます。これらの引数が送信元ポートまたは宛先ポートのどちらに適用されるかは、 source 引数または destination 引数のどちらの後に指定したかによって異なります。 port 引数には、TCP または UDP ポートの名前または番号を指定します。有効な番号は 0 ~ 65535 の整数です。有効なポート名のリストは、「使用上のガイドライン」の「TCP ポート名」および「UDP ポート名」を参照してください。 2 番目の port 引数は、 operator 引数が範囲である場合だけ必要です。 operator 引数には、次のいずれかのキーワードを指定する必要があります。 • • • • • |
|
(任意:TCP および UDP のみ) portgroup 引数で指定された IP ポート オブジェクト グループのメンバーである送信元ポートから送信されたパケット、またはメンバーである宛先ポートに送信されたパケットだけを、ルールと一致させます。IP ポート オブジェクト グループは、最大 64 文字の大文字と小文字を区別した名前です。IP ポート オブジェクト グループが送信元ポートまたは宛先ポートのどちらに適用されるかは、 source または destination のどちらの引数のあとに指定したかによって異なります。 IP ポート オブジェクト グループを作成および変更するには、 object-group ip port コマンドを使用します。 |
|
(TCP のみ:任意)ルールと一致させる TCP 制御コントロール ビット フラグ。 flags 引数の値には、次の 1 つ以上のキーワードを指定する必要があります。 |
|
(TCP 限定:任意)確立された TCP 接続に属すパケットだけをルールと一致させるように指定します。デバイスは、ACK または RST ビットが設定されている TCP パケットが、確立された接続に属していると見なします。 |
|
(任意) operator 引数および packet-length 引数の条件と一致するバイト単位での長さがあるパケットだけを、ルールと一致させます。 packet-length 引数の有効値は、20 ~ 9210 の整数です。 operator 引数には、次のいずれかのキーワードを指定する必要があります。 • • • • • |
デフォルト
新しく作成した IPv4 ACL には、ルールは含まれていません。
シーケンス番号を指定しない場合は、デバイスによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます。
コマンド モード
コマンド履歴
|
|
|
| • |
|
使用上のガイドライン
パケットに IPv4 ACL が適用されると、ACL 内のすべてのルールに対してパケットが評価されます。パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。
ルールによって適用されるパケットのプロトコルは、プロトコル名またはプロトコル番号で指定できます。ルールをすべての IPv4 トラフィックに適用する場合、 ip キーワードを使用します。
指定するプロトコル キーワードは、使用可能な別のキーワードおよび引数に影響を及ぼします。特に指定のない場合、すべての IPv4 プロトコルに適用される他のキーワードだけを使用できます。これらのキーワードには、次のものが含まれます。
•
ahp :ルールを認証ヘッダー プロトコル(AHP)トラフィックだけに適用するように指定します。
• eigrp :ルールを Enhanced Interior Gateway Routing Protocol(EIGRP)トラフィックだけに適用します。
• esp :ルールを Encapsulating Security Protocol(ESP)トラフィックだけに適用します。
• gre :ルールを General Routing Encapsulation(GRE)トラフィックだけに適用します。
• icmp :ルールを ICMP トラフィックだけに適用するように指定します。このキーワードを使用すると、 protocol 引数のすべての有効値に使用できるキーワードに加え、 icmp-message 引数を使用できます。
• igmp :ルールを IGMP トラフィックだけに適用します。このキーワードを使用すると、 protocol 引数のすべての有効値に使用できるキーワードに加え、 igmp-type 引数を使用できます。
• ip :ルールをすべての IPv4 トラフィックに適用します。
• nos :ルールを KA9Q NOS 互換の IP over IP トンネリング トラフィックだけに適用します。
• ospf :ルールを Open Shortest Path First(OSPF)トラフィックだけに適用します。
• pcp :ルールをペイロード圧縮プロトコル(PCP)トラフィックだけに適用するように指定します。
• pim :ルールを Protocol Independent Multicast(PIM)だけに適用します。
• tcp :ルールを TCP トラフィックだけに適用するように指定します。このキーワードを使用すると、 protocol 引数のすべての有効値に使用できるキーワードに加え、 flags 引数および operator 引数、 portgroup キーワードおよび established キーワードを使用できます。
• udp :ルールを UDP トラフィックだけに適用するように指定します。このキーワードを使用すると、 protocol 引数のすべての有効値に使用できるキーワードに加え、 operator 引数および portgroup キーワードを使用できます。
source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• IP アドレス グループ オブジェクト:IPv4 アドレス グループ オブジェクトを使用して、 source 引数または destination 引数を指定できます。IPv4 アドレス グループ オブジェクトを作成または変更するには、 object-group ip address コマンドを使用します。構文は、次のとおりです。
次に、lab-gateway-svrs という名前の IPv4 アドレス オブジェクト グループを使用して destination 引数を指定する例を示します。
• アドレスおよびネットワーク ワイルドカード:IPv4 アドレスおよびネットワーク ワイルドカードを使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は、次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよびネットワーク ワイルドカードを使用して、 source 引数を指定する例を示します。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク):IPv4 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は、次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv4 アドレスを使用して、送信元または宛先とするホストを指定できます。構文は、次のとおりです。
この構文は、 IPv4-address /32 および IPv4-address 0.0.0.0 と同じです。
次に、 host キーワードおよび 192.168.67.132 IPv4 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv4 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
icmp-message 引数には、次のキーワードのいずれかを指定します。
• administratively-prohibited :管理上の禁止
• general-parameter-problem :パラメータの問題
• host-precedence-unreachable :優先順位のホスト到達不能
• host-tos-redirect :ToS ホスト リダイレクト
• host-tos-unreachable :ToS ホスト到達不能
• mobile-redirect :モバイル ホスト リダイレクト
• net-tos-redirect :ToS ネット リダイレクト
• net-tos-unreachable :ToS ネット到達不能
• no-room-for-option :パラメータが必要だが空きなし
• option-missing :パラメータが必要だが存在しない
• packet-too-big :フラグメンテーションが必要、DF 設定
• parameter-problem :すべてのパラメータの問題
• precedence-unreachable :優先順位カットオフ
• protocol-unreachable :プロトコル到達不能
• reassembly-timeout :再構成タイムアウト
• router-advertisement :ルータ ディスカバリ アドバタイズメント
• router-solicitation :ルータ ディスカバリ要求
• source-route-failed :送信元ルート障害
• time-exceeded :すべての時間超過メッセージ
• timestamp-reply :タイム スタンプ付きの応答
• timestamp-request :タイム スタンプ付きの要求
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bgp :Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
ftp :File Transfer Protocol(FTP; ファイル転送プロトコル)(21)
irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
nntp :Network News Transport Protocol(NNTP)(119)
pop2 :Post Office Protocol v2(POP2)(19)
pop3 :Post Office Protocol v3(POP3)(11)
smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
dnsix :DNSIX セキュリティ プロトコル監査(195)
domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
mobile-ip :モバイル IP レジストレーション(434)
nameserver :IEN116 ネーム サービス(旧式、42)
netbios-dgm :NetBIOS データグラム サービス(138)
netbios-ns :NetBIOS ネーム サービス(137)
netbios-ss :NetBIOS セッション サービス(139)
non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
ntp :Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
snmp :Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
例
次に、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP と UDP のトラフィックを拒否するルール、およびその他のすべての IPv4 トラフィックを許可する最後のルールを持つ、acl-lab-01 という名前の IPv4 ACL を設定する例を示します。
次に、eng_workstations という名前の IPv4 アドレス オブジェクト グループから marketing_group という名前の IP アドレス オブジェクト グループまでのすべての IP トラフィックを拒否するルールの後ろに、その他のすべての IPv4 トラフィックを許可するルールが続く、acl-eng-to-marketing という名前の IPv4 ACL を設定する例を示します。
関連コマンド
|
|
|
|---|---|
deny(IPv6)
条件に一致するトラフィックを拒否する IPv6 ACL ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny protocol source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
no deny protocol source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
[ sequence-number | no ] deny icmp source destination [ icmp-message | icmp-type [ icmp-code ] ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
[ sequence-number ] deny ipv6 source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
Stream Control Transmission Protocol
[ sequence-number | no ] deny sctp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
[ sequence-number ] deny tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ] [ flags ] [ established ] [ packet-length operator packet-length [ packet-length ]]
[ sequence-number | no ] deny udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ log ] [ time-range time-range-name ] [ packet-length operator packet-length [ packet-length ]]
構文の説明
(任意)deny コマンドのシーケンス番号。この番号により、アクセス リスト内の番号が振られた場所にデバイスがコマンドを挿入します。シーケンス番号は、ACL 内でルールの順序を保ちます。 シーケンス番号には、1 ~ 4294967295 の間の整数を指定できます。 デフォルトでは、ACL の最初のルールには、10 のシーケンス番号が与えられます。 シーケンス番号を指定しないと、デバイスによって、ACL の最後にルールが追加され、1 つ前のルールのシーケンス番号に 10 を加算した値が、シーケンス番号として割り当てられます。 |
|
ルールで一致させるパケットのプロトコルの名前または番号。有効な番号は、0 ~ 255 です。有効なプロトコル名は、次のキーワードです。 • • • • • • • • |
|
ルールで一致させる送信元 IPv6 アドレス。この引数の指定方法の詳細については、「使用上のガイドライン」の「送信元と宛先」の説明を参照してください。 |
|
ルールで一致させる宛先 IPv6 アドレス。この引数の指定方法の詳細については、「使用上のガイドライン」の「送信元と宛先」の説明を参照してください。 |
|
(任意)IPv6 ヘッダーの DSCP フィールドに特定の 6 ビット diffserv(ディファレンシエーテッド サービス)値が設定されているパケットだけをルールと一致させるように指定します。 dscp 引数には、次の数値またはキーワードのいずれかを指定します。 • • • • • • • • • • • • • • |
|
(任意) flow-label-value 引数で指定された値がフロー ラベル ヘッダー フィールドに設定されている IPv6 パケットだけをルールと一致させるように指定します。 flow-label-value 引数は、0 ~ 1048575 の整数です。 |
|
(任意)非初期フラグメントであるパケットだけをルールと一致させるように指定します。デバイスでは、非初期フラグメントであるパケットが、ゼロと同等ではないフラグメント オフセットが含まれるフラグメント拡張ヘッダーを持つパケットと見なされます。このキーワードは、TCP ポート番号などのレイヤ 4 オプションを指定したルールには指定できません。これらのオプションをデバイスが評価するために必要な情報は、初期フラグメントだけに含まれているためです。 |
|
(任意)ルールと一致する各パケットについて、デバイスが情報ロギング メッセージを生成するように指定します。メッセージに含まれる情報は、次のとおりです。 |
|
(ICMP 限定:任意)ルールと一致させる ICMPv6 メッセージのタイプ。この引数には、0 ~ 255 の整数、または「使用上のガイドライン」の「ICMPv6 メッセージ タイプ」にリストされているキーワードの 1 つを指定します。 |
|
(ICMP のみ:任意)ルールと一致させる ICMP メッセージのタイプ。 icmp-type 引数の有効値は、0 ~ 255 です。ICMP メッセージ タイプでメッセージ コードがサポートされている場合、 icmp-code 引数を使用して、ルールに一致するコードを指定できます。 ICMP メッセージ タイプとコードについての詳細は、 http://www.iana.org/assignments/icmp-parameters を参照してください。 |
|
(任意:TCP、UDP および SCTP 限定) operator 引数および port 引数の条件と一致する送信元ポートから送信されたパケット、または一致する宛先ポートに送信されたパケットだけを、ルールと一致させます。これらの引数が送信元ポートまたは宛先ポートのどちらに適用されるかは、 source 引数または destination 引数のどちらの後に指定したかによって異なります。 port 引数には、TCP または UDP ポートの名前または番号を指定します。有効な番号は 0 ~ 65535 の整数です。有効なポート名のリストは、「使用上のガイドライン」の「TCP ポート名」および「UDP ポート名」を参照してください。 2 番目の port 引数は、 operator 引数が範囲である場合だけ必要です。 operator 引数には、次のいずれかのキーワードを指定する必要があります。 • • • • • |
|
(任意:TCP、UDP、および SCTP 限定) portgroup 引数で指定された IP ポート グループ オブジェクトのメンバである送信元ポートから送信されたパケット、またはメンバである宛先ポートに送信されたパケットだけを、ルールと一致させるように指定します。ポート グループ オブジェクトが送信元ポートまたは宛先ポートのどちらに適用されるかは、 source 引数または destination 引数のどちらの後に指定したかによって異なります。 IP ポート グループ オブジェクトを作成および変更するには、 object-group ip port コマンドを使用します。 |
|
(TCP 限定:任意)確立された TCP 接続に属すパケットだけをルールと一致させるように指定します。デバイスは、ACK または RST ビットが設定されている TCP パケットが、確立された接続に属していると見なします。 |
|
(TCP 限定:任意)特定の TCP コントロール ビット フラグがオンに設定されたパケットだけを、ルールと一致させます。 flags 引数の値には、次の 1 つ以上のキーワードを指定する必要があります。 |
|
(任意) operator 引数および packet-length 引数の条件と一致するバイト単位での長さがあるパケットだけを、ルールと一致させます。 packet-length 引数の有効値は、20 ~ 9210 の整数です。 operator 引数には、次のいずれかのキーワードを指定する必要があります。 • • • • • |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
新しく作成した IPv6 ACL には、ルールは含まれていません。
デバイスは、パケットに IPv6 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。デバイスで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。どのルールも、1 つの引数の指定方法によって、他の引数の指定方法が決まることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• IPv6 アドレス グループ オブジェクト:IPv6 アドレス グループ オブジェクトを使用して、 source 引数または destination 引数を指定できます。IPv6 アドレス グループ オブジェクトを作成または変更するには、 object-group ipv6 address コマンドを使用します。構文は、次のとおりです。
次に、lab-svrs-1301 という名前の IPv6 アドレス オブジェクト グループを使用して destination 引数を指定する例を示します。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク):IPv6 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は、次のとおりです。
次に、2001:0db8:85a3:: ネットワークの IPv6 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv6 アドレスを使用して、送信元または宛先とするホストを指定できます。構文は、次のとおりです。
この構文は、 IPv6-address /128 と同じです。
次に、 host キーワードおよび 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 IPv6 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv6 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
icmp-message 引数には、次のキーワードのいずれかを指定します。
• destination-unreachable :宛先アドレスに到達不能
• mld-query :マルチキャスト リスナー ディスカバリ クエリー
• mld-reduction :マルチキャスト リスナー ディスカバリ リダクション
• mld-reduction :マルチキャスト リスナー ディスカバリ レポート
• nd-na :ネイバー探索のネイバー アドバタイズメント
• next-header :パラメータの次のヘッダーの問題
• parameter-option :パラメータ オプションの問題
• parameter-problem :すべてのパラメータの問題
• reassembly-timeout :再構成タイムアウト
• renum-seq-number :ルータの番号付けのシーケンス番号リセット
• router-advertisement :ネイバー探索のルータ アドバタイズメント
• router-renumbering :すべてのルータの再番号付け
• router-solicitation :ネイバー探索のルータ送信要求
• time-exceeded :すべてのタイム超過メッセージ
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bgp :Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
ftp :File Transfer Protocol(FTP; ファイル転送プロトコル)(21)
irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
nntp :Network News Transport Protocol(NNTP)(119)
pop2 :Post Office Protocol v2(POP2)(19)
pop3 :Post Office Protocol v3(POP3)(11)
smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
dnsix :DNSIX セキュリティ プロトコル監査(195)
domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
mobile-ip :モバイル IP レジストレーション(434)
nameserver :IEN116 ネーム サービス(旧式、42)
netbios-dgm :NetBIOS データグラム サービス(138)
netbios-ns :NetBIOS ネーム サービス(137)
netbios-ss :NetBIOS セッション サービス(139)
non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
ntp :Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
snmp :Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
tacacs :TAC Access Control System(49)
tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
例
次に、acl-lab13-ipv6 という IPv6 ACL を作成し、2001:0db8:85a3:: ネットワークおよび 2001:0db8:69f2:: ネットワークから 2001:0db8:be03:2112:: ネットワークへのすべての TCP トラフィックおよび UDP トラフィックを拒否するルールを設定する例を示します。
次に、ipv6-eng-to-marketing という IPv6 ACL を作成し、eng_ipv6 という IPv6 アドレス オブジェクト グループから marketing_group という IPv6 アドレス オブジェクト グループへのすべての IPv6 トラフィックを拒否するルールを設定する例を示します。
関連コマンド
|
|
|
|---|---|
deny(MAC)
条件に一致するトラフィックを拒否する MAC Access Control List(ACL; アクセス コントロール リスト)+ ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny source destination [ protocol ] [ cos cos-value ] [ vlan VLAN-ID ] [ time-range time-range-name ]
no deny source destination [ protocol ] [ cos cos-value ] [ vlan VLAN-ID ] [ time-range time-range-name ]
構文の説明
デフォルト
新しく作成した MAC ACL には、ルールは含まれていません。
シーケンス番号を指定しない場合は、デバイスによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます。
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
パケットに MAC ACL が適用されると、ACL 内のすべてのルールに対してパケットが評価されます。パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• アドレスおよびマスク:MAC アドレスの後にマスクを指定して、1 つのアドレスまたはアドレス グループを指定できます。構文は、次のとおりです。
次に、 source 引数に、MAC アドレス 00c0.4f03.0a72 を指定する例を示します。
次に、 destination 引数に、MAC ベンダー コードが 00603e のすべてのホストの MAC アドレスを指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の MAC アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
protocol 引数には、MAC プロトコルの番号またはキーワードを指定します。プロトコル番号は、プレフィクスが 0x である 4 バイト 16 進数です。有効なプロトコル番号は 0x0 ~ 0xffff です。有効なキーワードは、次のとおりです。
• appletalk :Appletalk(0x809b)
• decnet-iv :DECnet Phase IV(0x6003)
• diagnostic :DEC 診断プロトコル(0x6005)
• etype-6000 :EtherType 0x6000(0x6000)
• etype-8042 :EtherType 0x8042(0x8042)
• ip :インターネット プロトコル v4(0x0800)
• lavc-sca :DEC LAVC、SCA(0x6007)
• mop-console :DEC MOP リモート コンソール(0x6002)
例
次に、2 つの MAC アドレス グループ間で非 IPv4 トラフィックを許可するルールが含まれる mac-ip-filter という名前の MAC ACL を設定する例を示します。
関連コマンド
|
|
|
|---|---|
deny(ロールベース アクセス コントロール リスト)
SGACL(セキュリティ グループ アクセス コントロール リスト)で拒否アクションを設定するには、 deny コマンドを使用します。このアクションを削除するには、このコマンドの no 形式を使用します。
deny { all | icmp | igmp | ip | {{ tcp | udp } [{ src | dst } {{ eq | gt | lt | neq } port-number } |
range port-number1 port-number2 }]} [ log ]
no deny { all | icmp | igmp | ip | {{ tcp | udp } [{ src | dst } {{ eq | gt | lt | neq } port-number } |
range port-number1 port-number2 }]} [ log ]
構文の説明
Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)トラフィックを指定します。 |
|
Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)トラフィックを指定します。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
ロールベース アクセス コントロール リスト(RBACL)のログのイネーブル化をサポートするために、 log キーワードが追加されました。 |
|
使用上のガイドライン
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
RBACL ログをイネーブルにするには、VLAN および VRF への RBACL ポリシーの適用をイネーブルにする必要があります。
RBACL ログをイネーブルにするには、ACLLOG syslog のログレベルを 6、CTS マネージャ syslog のログ レベルを 5 に設定する必要があります。
例
次に、SGACL に拒否アクションを追加し、RBACL ログをイネーブルにする例を示します。
次に、SGACL から拒否アクションを削除する例を示します。
関連コマンド
|
|
|
|---|---|
description(アイデンティティ ポリシー)
アイデンティティ ポリシーの説明を設定するには、 description コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
アイデンティティ ポリシーについて説明するテキスト ストリング。ストリングには、英数字を使用します。最大長は 100 文字です。 |
デフォルト
コマンド モード
network-admin
vdc-admin
VDC ユーザ
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、アイデンティティ ポリシーの説明を設定する例を示します。
次に、アイデンティティ ポリシーから説明を削除する例を示します。
関連コマンド
|
|
|
|---|---|
アイデンティティ ポリシーを作成または指定して、アイデンティティ ポリシー コンフィギュレーション モードを開始します。 |
|
description(ユーザ ロール)
ユーザ ロールの説明を設定するには、 description コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
destination interface
ACL キャプチャ パケットの宛先を設定するには、destination interface コマンドを使用します。
destination interface ethernet slot/port
構文の説明
デフォルト
コマンド モード
ACL キャプチャコンフィギュレーション モード(config-acl-capture)
コマンド履歴
|
|
|
使用上のガイドライン
物理インターフェイスだけが宛先に使用できます。ポートチャネル インターフェイス、およびスーパーバイザ インバンド ポートはサポートされません。
ポートチャネル インターフェイス、およびスーパーバイザ インバンド ポートは ACL キャプチャの宛先としてサポートされません。
ACL キャプチャ セッションの宛先インターフェイスは、入力転送と入力の MAC の学習をサポートしません。宛先インターフェイスでこれらオプションが設定されている場合、モニタが ACL のキャプチャ セッションをダウン状態にし続けます。入力転送および MAC の学習がイネーブルになっているかどうかを確認するには、show monitor session all コマンドを使用します。
(注) インターフェイスで入力転送および MAC 学習をディセーブルにするには、no switchport monitor コマンドを使用できます。
パケットの送信元ポートと ACL キャプチャの宛先ポートは、同じ ASIC の一部であってはなりません。ポートが両方とも同じ ASIC に属する場合、ACL キャプチャの宛先ポートを設定するときにメッセージが表示され、パケットはキャプチャされません。
例
次に、ACL キャプチャ パケットの宛先を設定する例を示します。
関連コマンド
|
|
|
|---|---|
device
Extensible Authentication Protocol over User Datagram Protocol(EAPoUDP)アイデンティティ プロファイルの例外リストにサプリカント デバイスを追加するには、 device コマンドを使用します。サプリカント デバイスを削除するには、このコマンドの no 形式を使用します。
device { authenticate | not-authenticate } { ip-address ipv4-address [ subnet-mask ] | mac-address mac-address [ mac-address-mask ]} policy policy-name
no device { authenticate | not-authenticate } { ip-address ipv4-address [ subnet-mask ] | mac-address mac-address [ mac-address-mask ]} policy policy-name
構文の説明
デフォルト
コマンド モード
network-admin
vdc-admin
VDC ユーザ
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、EAPoUDP アイデンティティ プロファイルにデバイスを追加する例を示します。
次に、EAPoUDP アイデンティティ プロファイルからデバイスを削除する例を示します。
関連コマンド
|
|
|
|---|---|
アイデンティティ ポリシーを作成または指定して、アイデンティティ ポリシー コンフィギュレーション モードを開始します。 |
|
dot1x default
802.1X グローバル設定またはインターフェイス設定をデフォルトにリセットするには、 dot1x default コマンドを使用します。
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、グローバル 802.1X パラメータをデフォルトに設定する例を示します。
次に、インターフェイス 802.1X パラメータをデフォルトに設定する例を示します。
関連コマンド
|
|
|
|---|---|
dot1x host-mode
インターフェイス上の 1 つまたは複数のサプリカントの 802.1X 認証を許可するには、 dot1x host-mode コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x host-mode { multi-host | single-host }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、インターフェイス上の複数のサプリカントの 802.1X 認証を許可する例を示します。
次に、インターフェイス上でデフォルトのホスト モードに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x initialize
サプリカントの 802.1X 認証を初期化するには、 dot1x initialize コマンドを使用します。
dot1x initialize [ interface ethernet slot / port ]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
Cisco NX-OS デバイス上でサプリカントの 802.1X 認証を初期化する例を示します。
次に、インターフェイス上でサプリカントの 802.1X 認証を初期化する例を示します。
関連コマンド
|
|
|
|---|---|
dot1x mac-auth-bypass
802.1X サプリカントがないインターフェイス上で MAC アドレス認証バイパスをイネーブルにするには、 dot1x mac-auth-bypass コマンドを使用します。MAC アドレス認証バイパスをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、MAC アドレス認証バイパスをイネーブルにする例を示します。
次に、MAC アドレス認証バイパスをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
dot1x max-reauth-req
セッションがタイムアウトになるまでに Cisco NX-OS デバイスがインターフェイス上のサプリカントに再認証要求を再送信する最大回数を変更するには、 dot1x max-reauth-req コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x max-reauth-req retry-count
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、インターフェイスの最大再許可要求リトライ回数を変更する例を示します。
次に、インターフェイスの最大再許可要求リトライ回数をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x max-req
802.1X 認証が再開するまでに Cisco NX-OS デバイスがサプリカントに送信する最大要求回数を変更するには、 dot1x max-req コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、グローバル 802.1X コンフィギュレーションの最大要求リトライ回数を変更する例を示します。
次に、グローバル 802.1X コンフィギュレーションの最大要求リトライ回数をデフォルトに戻す例を示します。
次に、インターフェイスの最大要求リトライ回数を変更する例を示します。
次に、インターフェイスの最大要求リトライ回数をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x pae authenticator
インターフェイスに対して 802.1X オーセンティケータ Port Access Entity(PAE)ロールを作成するには、 dot1x pae authenticator コマンドを使用します。802.1X オーセンティケータ PAE ロールを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
インターフェイス上でこの機能をイネーブルにするときに、802.1X では、オーセンティケータ PAE が自動的に作成されます。
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
802.1X を設定する前に、 feature dot1x コマンドを使用する必要があります。
インターフェイスで 802.1X をイネーブルにすると、Cisco NX-OS ソフトウェアにより、オーセンティケータ Port Access Entity(PAE)インスタンスが作成されます。オーセンティケータ PAE は、インターフェイスでの認証をサポートするプロトコル エンティティです。インターフェイスで 802.1X をディセーブルにしても、オーセンティケータ PAE インスタンスは自動的にクリアされません。必要に応じ、オーセンティケータ PAE をインターフェイスから明示的に削除し、再度適用することができます。
例
次に、インターフェイス上で 802.1X オーセンティケータ PAE ロールを作成する例を示します。
次に、インターフェイスから 802.1X オーセンティケータ PAE ロールを削除する例を示します。
関連コマンド
|
|
|
|---|---|
dot1x port-control
インターフェイス上で実行される 802.1X 認証を制御するには、 dot1x port-control コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x port-control { auto | force-authorized | force-unauthorized }
no dot1x port-control { auto | force-authorized | force-unauthorized }
構文の説明
インターフェイス上の 802.1X 認証をディセーブルにし、認証を行わずにインターフェイス上のすべてのトラフィックを許可します。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、インターフェイス上で実行される 802.1X 認証処理を変更する例を示します。
次に、インターフェイス上で実行される 802.1X 認証処理の設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x radius-accounting
802.1X の RADIUS アカウンティングをイネーブルにするには、 dot1x radius-accounting コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、802.1X 認証の RADIUS アカウンティングをイネーブルにする例を示します。
次に、802.1X 認証の RADIUS アカウンティングをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
dot1x re-authentication(EXEC)
802.1X サプリカントを手動で再認証するには、 dot1x re-authentication コマンドを使用します。
dot1x re-authentication [ interface ethernet slot / port ]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、802.1X サプリカントを手動で再認証する例を示します。
次に、インターフェイス上の 802.1X サプリカントを手動で再認証する例を示します。
関連コマンド
|
|
|
|---|---|
dot1x re-authentication(グローバル コンフィギュレーション、インターフェイス コンフィギュレーション)
802.1X サプリカントの定期的な再認証をイネーブルにするには、 dot1x re-authentication コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
802.1X を設定する前に、 feature dot1x コマンドを使用する必要があります。
このコマンドをグローバル コンフィギュレーション モードで使用すると、Cisco NX-OS デバイス上のすべてのサプリカントの定期的な再認証が設定されます。このコマンドをインターフェイス コンフィギュレーション モードで使用すると、インターフェイス上のサプリカントだけの定期的な再認証が設定されます。
例
次に、802.1X サプリカントの定期的な再認証をイネーブルにする例を示します。
次に、802.1X サプリカントの定期的な再認証をディセーブルにする例を示します。
次に、インターフェイス上の 802.1X サプリカントの定期的な再認証をイネーブルにする例を示します。
次に、インターフェイス上の 802.1X サプリカントの定期的な再認証をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
dot1x system-auth-control
802.1X 認証をイネーブルにするには、 dot1x system-auth-control コマンドを使用します。802.1X 認証をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
dot1x system-auth-control コマンドにより 802.1X 設定は削除されません。
例
次の例では、802.1X 認証をイネーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
dot1x timeout quiet-period
802.1X 待機時間タイムアウトをグローバルに、またはインターフェイス単位で設定するには、 dot1x timeout quiet-period コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout quiet-period seconds
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
802.1X 待機時間タイムアウトは、サプリカントとの認証の交換に失敗したあとで、デバイスが待機状態にとどまる秒数です。
802.1X を設定する前に、 feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、グローバル 802.1X 待機時間タイムアウトを設定する例を示します。
次に、グローバル 802.1X 待機時間タイムアウトの設定をデフォルトに戻す例を示します。
次に、インターフェイスの 802.1X 待機時間タイムアウトを設定する例を示します。
次に、インターフェイスの 802.1X 待機時間タイムアウトの設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x timeout ratelimit-period
インターフェイス上のサプリカントの 802.1X レート制限時間タイムアウトを設定するには、 dot1x timeout ratelimit-period コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout ratelimit-period seconds
no dot1x timeout ratelimit-period
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
802.1X レート制限タイムアウト時間は、オーセンティケータが、正常に認証されたサプリカントの EAPOL-Start パケットを無視する秒数です。この値は、グローバル待機時間タイムアウトを上書きします。
802.1X を設定する前に、 feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、インターフェイスの 802.1X レート制限時間タイムアウトを設定する例を示します。
次に、インターフェイスの 802.1X レート制限時間タイムアウトの設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x timeout re-authperiod
802.1X 再認証時間タイムアウトをグローバルに、またはインターフェイス単位で設定するには、 dot1x timeout re-authperiod コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout re-authperiod seconds
no dot1x timeout re-authperiod
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
802.1X 再認証タイムアウト時間は、再認証の試行間の秒数です。
802.1X を設定する前に、 feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、グローバル 802.1X 再認証時間タイムアウトを設定する例を示します。
次に、インターフェイスの 802.1X 再認証時間タイムアウトを設定する例を示します。
関連コマンド
|
|
|
|---|---|
dot1x timeout server-timeout
インターフェイスの 802.1X サーバ タイムアウトを設定するには、 dot1x timeout server-timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout server-timeout seconds
no dot1x timeout server-timeout
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
インターフェイスの 802.1X サーバ タイムアウトは、認証サーバにパケットを再送信するまでに Cisco NX-OS デバイスが待機する秒数です。この値は、グローバル再認証時間タイムアウトを上書きします。
802.1X を設定する前に、 feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、グローバル 802.1X サーバ タイムアウト間隔を設定する例を示します。
次に、グローバル 802.1X サーバ タイムアウト間隔の設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x timeout supp-timeout
インターフェイスの 802.1X サプリカント タイムアウトを設定するには、 dot1x timeout supp-timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout supp-timeout seconds
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
インターフェイスの 802.1X サプリカント タイムアウトは、Cisco NX-OS デバイスがフレームを再送信するまでに、サプリカントが EAP 要求フレームに応答するのを Cisco NX-OS デバイスが待機する秒数です。
802.1X を設定する前に、 feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、インターフェイスの 802.1X サーバ タイムアウト間隔を設定する例を示します。
次に、インターフェイスの 802.1X サーバ タイムアウト間隔の設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
dot1x timeout tx-period
802.1X 送信時間タイムアウトをグローバルに、またはインターフェイス単位で設定するには、 dot1x timeout tx-period コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
dot1x timeout tx-period seconds
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
802.1X 送信タイムアウト時間は、要求を再送信するまでに、Cisco NX-OS デバイスがサプリカントからの EAP 要求/アイデンティティ フレームへの応答を待機する秒数です。
802.1X を設定する前に、 feature dot1x コマンドを使用する必要があります。
(注) 信頼できないリンクまたは特定のサプリカントや認証サーバに関する固有の動作の問題など、通常とは異なる状況を調整する場合に限りデフォルト値を変更します。
例
次に、グローバル 802.1X 送信時間タイムアウトを設定する例を示します。
次に、グローバル 802.1X 送信時間タイムアウトの設定をデフォルトに戻す例を示します。
次に、インターフェイスの 802.1X 送信時間タイムアウトを設定する例を示します。
次に、インターフェイスの 802.1X 送信時間タイムアウトの設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック