Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: F コマンド
F コマンド
feature(ユーザ ロール機能グループ)
ユーザ ロール機能グループに機能を設定するには、 feature コマンドを使用します。ユーザ ロール機能グループから機能を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、ユーザ ロール機能グループに機能を追加する例を示します。
次に、ユーザ ロール機能グループから機能を削除する例を示します。
関連コマンド
|
|
|
|---|---|
feature cts
Cisco TrustSec 機能をイネーブルにするには、 feature cts コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature dot1x コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
(注) Cisco TrustSec 機能には、ライセンス猶予期間はありません。この機能を設定するには、アドバンスト サービス ライセンスをインストールする必要があります。
例
次に、Cisco TrustSec 機能をイネーブルにする例を示します。
次に、Cisco TrustSec 機能をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
feature dhcp
デバイス上で DHCP スヌーピング機能をイネーブルにするには、 feature dhcp コマンドを使用します。DHCP スヌーピング機能をディセーブルにし、DHCP リレー、Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)、IP ソース ガード設定を含む、DHCP スヌーピングに関連するすべての設定を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
DHCP スヌーピング機能は、デフォルトではディセーブルです。
DHCP スヌーピング機能をイネーブルにしないと、DHCP スヌーピングの関連コマンドを使用できません。
ダイナミック APR インスペクションおよび IP ソース ガードは、DHCP スヌーピング機能に依存します。
DHCP スヌーピング機能をディセーブルにすると、次の機能を含む、DHCP スヌーピング設定に関連するデバイス上のすべての設定が廃棄されます。
DHCP スヌーピング設定を保持したまま、DHCP スヌーピング機能をオフにしたい場合には、 no ip dhcp snooping コマンドを使用して、DHCP スヌーピングをグローバルにディセーブルにします。
DHCP スヌーピング機能がイネーブルのときには、Access Control List(ACL; アクセス コントロール リスト)の統計情報はサポートされません。
例
次の例では、DHCP スヌーピングをイネーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
feature dot1x
802.1X 機能をイネーブルにするには、 feature dot1x コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
802.1X を設定する前に、 feature dot1x コマンドを使用する必要があります。
(注) 802.1X 機能をディセーブルにすると、すべての 802.1X 設定が失われます。802.1X 認証をディセーブルにする場合は、no dot1x system-auth-control コマンドを使用します。
例
関連コマンド
|
|
|
|---|---|
feature eou
Extensible Authentication Protocol over User Datagram Protocol(EAPoUDP)をイネーブルにするには、 feature eou コマンドを使用します。EAPoUDP をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
EAPoUDP を設定する前に、 feature eou コマンドを使用する必要があります。
(注) EAPoUDP をディセーブルにすると、Cisco NX-OS ソフトウェアにより EXPoUDP 設定が削除されます。
例
関連コマンド
|
|
|
|---|---|
feature ldap
Lightweight Directory Access Protocol(LDAP)をイネーブルにするには、 feature ldap コマンドを使用します。LDAP をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
LDAP を設定する前に、 feature ldap コマンドを使用する必要があります。
(注) LDAP をディセーブルにすると、Cisco NX-OS ソフトウェアにより LDAP 設定が削除されます。
例
関連コマンド
|
|
|
|---|---|
feature password encryption aes
高度暗号化規格(AES)パスワード暗号化機能をイネーブルにするには、feature password encryption aes コマンドを使用します。AES パスワード暗号化機能をディセーブルにするには、このコマンドの no 形式を使用します。
feature password encryption aes
no feature password encryption aes
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
マスター キーがなくても AES パスワード暗号化機能をイネーブルにできますが、マスター キーがシステムに存在する場合だけ暗号化が開始されます。マスター キーを設定するには、key config-key コマンドを使用します。
例
次に、AES パスワード暗号化機能をイネーブルにする例を示します。
次に AES パスワード暗号化機能をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
feature port-security
ポート セキュリティ機能をグローバルでイネーブルにするには、 feature port-security コマンドを使用します。ポート セキュリティ機能をグローバルでディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デフォルトの設定では、ポート セキュリティはグローバルでディセーブルです。
ポート セキュリティは、各 Virtual Device Context(VDC; 仮想デバイス コンテキスト)に対してローカルです。必要な場合、このコマンドを使用する前に正しい VDC に切り替えます。
ポート セキュリティをグローバルでイネーブルにすると、ポート セキュリティに関連する他のすべてのコマンドが使用可能になります。
ポート セキュリティを再イネーブル化する場合、ポート セキュリティが最後にイネーブルだった時点のポート セキュリティ設定は復元されません。
ポート セキュリティをグローバルでディセーブルにすると、すべてのポート セキュリティ設定が削除されます。デバイスがアドレスをどのように学習したかに関係なく、ポート セキュリティのすべてのインターフェイス設定、およびすべてのセキュア MAC アドレスが削除されます。
例
次に、ポート セキュリティをグローバルでイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
feature privilege
TACACS+ サーバでコマンド認可にロールの累積権限をイネーブルにするには、 feature privilege コマンドを使用します。ロールの累積権限をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
feature privilege コマンドをイネーブルにすると、権限ロールは低いレベルの権限ロールの権限を継承します。
例
関連コマンド
|
|
|
|---|---|
feature scp-server
リモート デバイスとの間でファイルをコピーするために、Cisco NX-OS デバイスでセキュア コピー(SCP)サーバを設定するには、 feature scp-server コマンドを使用します。SCP サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
SCP サーバをイネーブルにした後、Cisco NX-OS デバイスとの間でファイルをコピーするために、リモート デバイスで SCP コマンドを実行できます。
例
次に、Cisco NX-OS デバイスで SCP サーバをイネーブルにする例を示します。
次に、Cisco NX-OS デバイスで SCP サーバをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
feature sftp-server
リモート デバイスとの間でファイルをコピーするために、Cisco NX-OS デバイスで FTP(SFTP)サーバを設定するには、 feature sftp-server コマンドを使用します。SFTP サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
SFTP サーバをイネーブルにした後、Cisco NX-OS デバイスとの間でファイルをコピーするために、リモート デバイスで SFTP コマンドを実行できます。
例
次に、Cisco NX-OS デバイスで SFTP サーバをイネーブルにする例を示します。
次に、Cisco NX-OS デバイスで SFTP サーバをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
feature ssh
仮想デバイス コンテキスト(VDC)の Secure Shell(SSH; セキュア シェル)サーバをイネーブルにするには、 feature ssh コマンドを使用します。SSH サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
feature tacacs+
TACACS+ をイネーブルにするには、 feature tacacs+ コマンドを使用します。TACACS+ をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。
(注) TACACS+ をディセーブルにすると、Cisco NX-OS ソフトウェアにより TACACS+ 設定が削除されます。
例
関連コマンド
|
|
|
|---|---|
feature telnet
仮想デバイス コンテキスト(VDC)の Telnet サーバをイネーブルにするには、 feature telnet コマンドを使用します。Telnet サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、Telnet サーバをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
filter
フィルタ マップ内に 1 つ以上の証明書マッピング フィルタを設定するには、 filter コマンドを使用します。
filter [subject-name subject-name | altname-email e-mail-ID | altname-upn user-principal-name ]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、新しいフィルタ マップを作成する必要があります。
例
次に、フィルタ マップ内に証明書マッピング フィルタを設定する例を示します。
関連コマンド
|
|
|
|---|---|
fips mode enable
連邦情報処理標準(FIPS)モードをイネーブルにするには、 fips mode enable コマンドを使用します。FIPS モードをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
network-admin
network-operator
コマンド履歴
|
|
|
使用上のガイドライン
FIPS モードをイネーブルにする前に、デフォルトの仮想デバイス コンテキスト(VDC)を使用していることを確認します。
•
Telnet をディセーブルにします。ユーザのログインはセキュア シェル(SSH)だけで行ってください。
• SNMP v1 および v2 をディセーブルにしてください。SNMP v3 に対して設定された、デバイス上の既存ユーザ アカウントのいずれについても、認証およびプライバシー用 AES/3DES は SHA で設定されていなければなりません。
• SSH サーバの RSA1 キー ペアすべてを削除してください。
• Cisco TrustSec Security Association Protocol(SAP)ネゴシエーション中に使用する HMAC-SHA1 メッセージ整合性チェック(MIC)をイネーブルにします。そのためには、cts-manual または cts-dot1x モードで sap hash-algorithm HMAC-SHA-1 コマンドを入力します。
例
次の例では、FIPS モードをイネーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
fragments
ACL で明示的な permit コマンドまたは deny コマンドに一致しない非初期フラグメントを、IPv4 ACL または IPv6 ACL で許可するか拒否するかについて最適化するには、 fragments コマンドを使用します。フラグメントの最適化をディセーブルにするには、このコマンドの no 形式を使用します。
fragments { deny-all | permit-all }
no fragments { deny-all | permit-all }
構文の説明
デフォルト
コマンド モード
IPv4 ACL コンフィギュレーション
IPv6 ACL コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
ACL で明示的な permit コマンドまたは deny コマンドに一致しない非初期フラグメントを許可または拒否する場合、 fragments コマンドを使用すると、IP ACL の設定を簡素化できます。 fragments キーワードを指定した、数多くの permit コマンドまたは deny コマンドを使用して非初期フラグメントの処理を制御する代わりに、 fragments コマンドを使用できます。
デバイスで、 fragments コマンドが含まれる ACL がトラフィックに適用される場合、このコマンドは、ACL での明示的な permit コマンドまたは deny コマンドに一致しない非初期フラグメントだけに一致します。
例
次に、lab-acl という名前の IPv4 ACL で、フラグメントの最適化をイネーブルにする例を示します。 permit-all キーワードは、 fragments キーワードが含まれる deny コマンドに一致しないすべての非初期フラグメントを ACL で許可することを意味します。
次の例では、 fragments コマンドが含まれる lab-acl IPv4 ACL を表示する方法を示します。便宜上、 fragments コマンドは ACL の最初に表示されます。ただし、非初期フラグメントがデバイスで許可されるのは、ACL で非初期フラグメントが他のすべての明示的なルールに一致しなくなったあとだけです。
関連コマンド
|
|
|
|---|---|
フィードバック