Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: E コマンド
- enable Cert-DN-match
- enable
- enable secret
- enable user-server-group
- encryption decrypt type6
- encrypt pause-frame
- encryption delete type6
- encryption re-encrypt obfuscated
- enrollment terminal
- eou allow clientless
- eou default
- eou initialize
- eou logging
- eou max-retry
- eou port
- eou ratelimit
- eou revalidate(EXEC)
- eou revalidate(グローバル コンフィギュレーション、インターフェイス コンフィギュレーション)
- eou timeout
- eq
E コマンド
enable Cert-DN-match
LDAP ユーザのユーザ プロファイルに、ログインが認可されているものとして、ユーザ証明書のサブジェクト DN(subject-DN)が一覧表示されている場合にのみ、そのユーザがログインできるようにするには、 enable Cert-DN-match コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次に、LDAP ユーザのユーザ プロファイルに、ログインが認可されているものとして、ユーザ証明書のサブジェクト DN が一覧表示されている場合にのみ、そのユーザがログインできるようにする例を示します。
関連コマンド
|
|
|
|---|---|
LDAP サーバ グループを作成し、そのグループの LDAP サーバ グループ コンフィギュレーション モードを開始します。 |
|
enable
ユーザがシークレット パスワードの入力を求められた後に、高い権限レベルに移行できるようにするには、 enable コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用するには、 feature privilege コマンドを使用して、TACACS+ サーバでのコマンド認可にロールの累積権限をイネーブルにする必要があります。
例
次に、ユーザがシークレット パスワードの入力を求められた後に、高い権限レベルに移行できるようにする例を示します。
関連コマンド
|
|
|
|---|---|
enable secret
特定の権限レベルのシークレット パスワードをイネーブルにするには、 enable secret コマンドを使用します。パスワードをディセーブルにするには、このコマンドの no 形式を使用します。
enable secret [0 | 5] password [priv-lvl priv-lvl | all ]
no enable secret [0 | 5] password [priv-lvl priv-lvl | all ]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用するには、 feature privilege コマンドを使用して、TACACS+ サーバでのコマンド認可にロールの累積権限をイネーブルにする必要があります。
例
次に、特定の権限レベルのシークレット パスワードをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
enable user-server-group
LDAP サーバ グループのグループ検証をイネーブルにするには、 enable user-server-group コマンドを使用します。グループ検証をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドを使用するには、LDAP サーバで LDAP サーバ グループ名を設定する必要があります。
ユーザは、ユーザ名が LDAP サーバで設定されたこのグループのメンバとして示されている場合にだけ、公開キー認証を通じてログインできます。
例
次に、LDAP サーバ グループのグループ検証をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
LDAP サーバ グループを作成し、そのグループの LDAP サーバ グループ コンフィギュレーション モードを開始します。 |
|
LDAP ユーザのユーザ プロファイルに、ログインが認可されているものとして、ユーザ証明書のサブジェクト DN が一覧表示されている場合にのみ、そのユーザがログインできるようにします。 |
|
encryption decrypt type6
タイプ 6 暗号化パスワードを元の状態に変換するには、暗号化の encryption decrypt type6 コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
使用上のガイドライン
例
次に、タイプ 6 暗号化パスワードを元の状態に変換する例を示します。
関連コマンド
|
|
|
|---|---|
encrypt pause-frame
インターフェイスで Cisco Trusted Security(Cisco TrustSec)のポーズ フレーム暗号化を設定するには、 encrypt pause-frame コマンドを使用します。ポーズ フレームの暗号化を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
Cisco TrustSec 802.1X コンフィギュレーション モード(config-if-cts-manual)
Cisco TrustSec 手動コンフィギュレーション モード(config-if-cts-dotx1)
コマンド履歴
|
|
|
使用上のガイドライン
flowcontrol {send | receive} コマンドを使用して、インターフェイスでフロー制御をイネーブルにする必要があります。
no encrypt pause-frame コマンドを入力した場合、ポーズ フレームは暗号化されずに送信されます。encrypt pause-frame コマンドを入力した場合、ポーズ フレームは、Cisco TrustSec リンク上で暗号化されて送信されます。
半二重モードのインターフェイスでは、Cisco TrustSec をイネーブルにできません。インターフェイスが半二重モードに設定されているかどうかを調べるには、show interface コマンドを使用します。
(注) F1 シリーズ モジュール、F2 シリーズ モジュールおよび N7K-M132XP-12(L) モジュールはクリア ポーズ フレームだけをサポートします。他の M1 シリーズ モジュールはすべてセキュア(暗号化および復号化)およびクリア ポーズ フレームをサポートします。
例
関連コマンド
|
|
|
|---|---|
インターフェイスで Cisco TrustSec 認証をイネーブルにして、Cisco TrustSec 802.1X コンフィギュレーション モードを開始します。 |
|
encryption delete type6
NX-OS デバイスで強力に暗号化されたパスワードを削除するには、encryption delete type6 コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
encryption re-encrypt obfuscated
既存の難読化されたパスワードをタイプ 6 暗号化パスワードに変換するには、encryption re-encrypt obfuscated コマンドを使用します。
encryption re-encrypt obfuscated
構文の説明
デフォルト
コマンド モード
|
|
|
使用上のガイドライン
encryption re-encrypt obfuscated コマンドを使用した場合、プレーン パスワードや弱く暗号化されたパスワードなどの暗号化シークレットは、マスター キーを使用して暗号化サービスがイネーブルになっている場合、タイプ 6 暗号化に変換されます。
例
次に、既存の難読化されたパスワードをタイプ 6 暗号化パスワードに変換する例を示します。
関連コマンド
|
|
|
|---|---|
enrollment terminal
スイッチ コンソールを介した、証明書登録の手作業でのカット アンド ペーストをするには、 enrollment terminal コマンドを使用します。デフォルトの証明書登録処理に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
デフォルトの方法は手作業でのカット アンド ペーストで、これは、Cisco NX-OS ソフトウェアがサポートする唯一の登録方法です。
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例では、スイッチ コンソールを使用してトラストポイント登録を設定する方法を示します。
次の例では、スイッチ コンソールを使用してトラストポイント登録を廃棄する方法を示します。
関連コマンド
|
|
|
|---|---|
eou allow clientless
クライアントレス エンドポイント デバイスの Extensible Authentication Protocol over User Datagram Protocol(EAPoUDP)ポスチャ検証をイネーブルにするには、 eou allow clientless コマンドを使用します。クライアントレス エンドポイント デバイスのポスチャ検証をディセーブルにするには、コマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、クライアントレス エンドポイント デバイスの EAPoUDP ポスチャ検証を許可する例を示します。
次に、クライアントレス エンドポイント デバイスの EAPoUDP ポスチャ検証が行われないようにする例を示します。
関連コマンド
|
|
|
|---|---|
eou default
EAPoUDP のグローバルまたはインターフェイスの設定値をデフォルトに戻すには、 eou default コマンドを使用します。
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、グローバル EAPoUDP 設定をデフォルトに変更する例を示します。
次に、インターフェイスの EAPoUDP 設定をデフォルトに変更する例を示します。
関連コマンド
|
|
|
|---|---|
eou initialize
EAPoUDP セッションを初期化するには、 eou initialize コマンドを使用します。
eou initialize { all | authentication { clientless | eap | static } | interface ethernet slot / port | ip-address ipv4-address | mac-address mac-address | posturetoken name }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、すべての EAPoUDP セッションを初期化する例を示します。
次に、静的に認証された EAPoUDP セッションを初期化する例を示します。
次に、インターフェイスの EAPoUDP セッションを初期化する例を示します。
次に、IP アドレスの EAPoUDP セッションを初期化する例を示します。
次に、MAC アドレスのすべての EAPoUDP セッションを初期化する例を示します。
次に、ポスチャ トークンのすべての EAPoUDP セッションを初期化する例を示します。
関連コマンド
|
|
|
|---|---|
eou logging
EAPoUDP ロギングをイネーブルにするには、 eou logging コマンドを使用します。EAPoUDP ロギングをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
インターフェイス上の EAPoUDP ロギングの設定はグローバル設定を上書きします。
例
次に、グローバル EAPoUDP ロギングをイネーブルにする例を示します。
次に、グローバル EAPoUDP ロギングをディセーブルにする例を示します。
次に、インターフェイスの EAPoUDP ロギングをイネーブルにする例を示します。
次に、インターフェイスの EAPoUDP ロギングをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
eou max-retry
EAPoUDP の最大試行回数をグローバルに、またはインターフェイス単位で設定するには、 eou max-retry コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
インターフェイスの最大リトライ回数は、グローバル設定値より優先されます。
例
次に、EAPoUDP のグローバル最大リトライ試行回数を変更する例を示します。
次に、EAPoUDP のグローバル最大リトライ試行回数の設定をデフォルトに戻す例を示します。
次に、インターフェイスの EAPoUDP 最大リトライ試行回数を変更する例を示します。
次に、インターフェイスの EAPoUDP 最大リトライ試行回数の設定をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
eou port
EAPoUDP の User Datagram Protocol(UDP; ユーザ データグラム プロトコル)ポート番号を設定するには、 eou port コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、EAPoUDP の UDP ポート番号を変更する例を示します。
次に、EAPoUDP の UDP ポート番号をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
eou ratelimit
EAPoUDP ポスチャ検証の同時セッション数を設定するには、 eou ratelimit コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
EAPoUDP レート制限をゼロ(0)に設定すると、ポスチャ検証の同時セッションは許可されません。
インターフェイスの EAPoUDP レート制限設定は、グローバル EAPoUDP レート制限設定を上書きします。
例
次に、EAPoUDP ポスチャ検証のグローバル最大同時セッション数を変更する例を示します。
次に、EAPoUDP ポスチャ検証のグローバル最大同時セッション数をデフォルトに戻す例を示します。
次に、インターフェイスの EAPoUDP ポスチャ検証の最大同時セッション数を変更する例を示します。
次に、インターフェイスの EAPoUDP ポスチャ検証の最大同時セッション数をデフォルトに戻す例を示します。
関連コマンド
|
|
|
|---|---|
eou revalidate(EXEC)
EAPoUDP セッションを再検証するには、 eou revalidate コマンドを使用します。
eou revalidate { all | authentication { clientless | eap | static } | interface ethernet slot / port | ip-address ipv4-address | mac-address mac-address | posturetoken name }
構文の説明
デフォルト
コマンド モード
(注) Cisco NX-OS ソフトウェアは、グローバル コンフィギュレーション モードの eou revalidate コマンドをサポートします。グローバル コンフィギュレーション モードで EXEC レベルの eou revalidate コマンドを使用するには、必須キーワードを指定します。
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、すべての EAPoUDP セッションを再検証する例を示します。
次に、すべての EAPoUDP セッションを再検証する例を示します。
次に、すべての EAPoUDP セッションを再検証する例を示します。
次に、すべての EAPoUDP セッションを再検証する例を示します。
次に、すべての EAPoUDP セッションを再検証する例を示します。
次に、すべての EAPoUDP セッションを再検証する例を示します。
関連コマンド
|
|
|
|---|---|
eou revalidate(グローバル コンフィギュレーション、インターフェイス コンフィギュレーション)
EAPoUDP セッションの定期的な自動再検証をグローバルに、または特定のインターフェイスでイネーブルにするには、 eou revalidate コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
インターフェイスの自動再検証の設定は、グローバル自動再検証の設定を上書きします。
(注) Cisco NX-OS ソフトウェアは、EXEC コンフィギュレーション モードの eou revalidate コマンドをサポートします。グローバル コンフィギュレーション モードで EXEC レベルの eou revalidate コマンドを使用するには、必須キーワードを指定します。
例
次に、EAPoUDP セッションのグローバル自動再検証をディセーブルにする例を示します。
次に、EAPoUDP セッションのグローバル自動再検証をイネーブルにする例を示します。
次に、インターフェイスの EAPoUDP セッションの自動再検証をディセーブルにする例を示します。
次に、インターフェイスの EAPoUDP セッションの自動再検証をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
eou timeout
EAPoUDP グローバル タイマーまたはインターフェイスの EAPoUDP タイマーのタイムアウト間隔を設定するには、 eou timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
eou timeout { aaa seconds | hold-period seconds | retransmit seconds | revalidation seconds | status-query seconds }
no eou timeout { aaa | hold-period | retransmit | revalidation | status-query }
構文の説明
AAA タイムアウト間隔を指定します。有効な範囲は 0 ~ 60 秒です。 (注) AAA タイムアウト間隔をゼロ(0)に設定すると、AAA タイマーがディセーブルになります。 |
|
デフォルト
グローバル再検証タイムアウト間隔:36000 秒(10 時間)
コマンド モード
グローバル コンフィギュレーション
インターフェイス コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
インターフェイス タイマーのタイムアウト間隔値は、グローバル タイムアウト値を上書きします。
例
次に、グローバル AAA タイムアウト間隔を変更する例を示します。
次に、インターフェイスの AAA タイムアウト間隔を変更する例を示します。
次に、グローバル ホールド時間タイムアウト間隔を変更する例を示します。
次に、インターフェイスのホールド時間タイムアウト間隔を変更する例を示します。
次に、グローバル再送信タイムアウト間隔を変更する例を示します。
次に、インターフェイスの再送信タイムアウト間隔を変更する例を示します。
次に、グローバル再検証タイムアウト間隔を変更する例を示します。
次に、インターフェイスの再検証タイムアウト間隔を変更する例を示します。
次に、グローバル ステータス クエリー タイムアウト間隔を変更する例を示します。
次に、インターフェイスのステータス クエリー タイムアウト間隔を変更する例を示します。
関連コマンド
|
|
|
|---|---|
eq
単一ポートを IP ポート オブジェクト グループのグループ メンバーとして指定するには、 eq コマンドを使用します。ポート オブジェクト グループから単一のポート グループ メンバーを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] eq port-number
no { sequence-number | eq port-number }
構文の説明
(任意)このグループ メンバーのシーケンス番号。シーケンス番号は、オブジェクト グループ内でグループ メンバーの順序を保ちます。有効なシーケンス番号は 1 ~ 4294967295 です。シーケンス番号を指定しない場合、デバイスは最大シーケンス番号より 10 大きい番号を現在のオブジェクト グループに割り当てます。 |
|
デフォルト
コマンド モード
IP ポート オブジェクト グループ コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
IP ポート オブジェクト グループには方向性がありません。 eq コマンドが送信元ポートまた宛先ポートのいずれに一致するか、またインバウンドとアウトバウンドのいずれのトラフィックに適用されるかは、ACL でオブジェクト グループをどのように使用するかによって決まります。
例
次に、port-group-05 という名前の IP ポート オブジェクト グループを作成し、ポート 443 で送受信されたトラフィックと一致させるグループ メンバーを設定する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック