Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: H コマンド
H コマンド
hardware access-list capture
すべての仮想デバイス コンテキスト(VDC)でアクセス コントロール リスト(ACL)キャプチャをイネーブルにするには、hardware access-list capture コマンドを使用します。ACL キャプチャをディセーブルにするには、このコマンドの no 形式を使用します。
no hardware access-list capture
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
M1 シリーズ モジュールのみが ACL をサポートしていません。
ACL キャプチャはハードウェアベース機能で、管理インターフェイスまたはスーパーバイザで発信される制御パケットではサポートされません。さらに、SNMP コミュニティ ACL および仮想テレタイプ(VTY)ACL などのソフトウェア ACL でもサポートされません。
ACL キャプチャをイネーブルにすると、すべての VDC の ACL ロギングと ACL ロギングのレート制限がディセーブルになります。
例
次に、すべての VDC で ACL キャプチャをイネーブルにする例を示します。
次に、すべての VDC で ACL キャプチャをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
hardware access-list resource pooling
1 つまたは複数の I/O モジュールで、ACL ベースの機能によって複数の TCAM バンクを使用できるようにするには、このコマンドを使用します。ある I/O モジュールで、ACL ベースの機能によって 1 つの TCAM バンクの使用を制限するには、このコマンドの no 形式を使用します。
hardware access-list resource pooling module slot-number-list
no hardware access-list resource pooling module slot-number-list
構文の説明
I/O モジュールを指定します。 slot-number-list 引数を使用すると、占有しているスロット番号によってモジュールを指定できます。単一の I/O モジュール、スロット番号の範囲、カンマで区切ったスロット番号と範囲を指定できます。指定できる範囲は 1 ~ 8 です |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
ACL ベースの各機能では、デフォルトで、1 つの I/O モジュールで 1 つの TCAM バンクを使用できます。このデフォルト動作では、各機能が、16,000 TCAM エントリに制限されます。非常に大きなセキュリティ ACL の場合、この制限が検出される可能性があります。このコマンドを使用すると、ACL ベースの機能で、16,000 より多い TCAM エントリを使用できます。
システム全体のバンクのチェーニングをイネーブルにする場合は、このコマンドの例で説明するように、モジュール範囲コマンドを使用して、モジュールが存在しない場合でも、すべてのモジュールの範囲の設定を追加することを推奨します。
例
次の例では、スロット 1 にある I/O モジュールの TCAM バンク中で ACL プログラミングをイネーブルにする方法を示します。
次に、スロット 5、6 を除く 10 スロット シャーシのバンクのチェーニングをイネーブルにする例を示します。
このようにして、新しいモジュールが挿入されると、そのモジュールに対してバンクのチェーニングが自動的にイネーブルになり、ユーザはコマンドの入力を行う必要がありません。
関連コマンド
|
|
|
|---|---|
hardware access-list update
スーパーバイザ モジュールが、アクセス コントロール リスト(ACL)に対する変更により、I/O モジュールをアップデートする方法を設定するには、デフォルトの Virtual Device Context(VDC; 仮想デバイス コンテキスト)で hardware access-list update コマンドを使用します。アトミック アップデートをディセーブルにするには、このコマンドの no 形式を使用します。
hardware access-list update { atomic | default-result permit }
no hardware access-list update { atomic | default-result permit }
構文の説明
トラフィックを中断しないでアップデートを実行する、アトミック アップデートを指定します。Cisco Nexus 7000 シリーズ デバイスは、デフォルトで、アトミック ACL アップデートを実行します。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco NX-OS Release 4.1(4) およびそれ以降のリリースでは、デフォルトの VDC で hardware access-list update コマンドを使用でき、すべての VDC に影響が及ぼされます。
デフォルトでは、Cisco Nexus 7000 シリーズのデバイスのスーパーバイザ モジュールで、ACL の変更を I/O モジュールにアップデートする際には、Atomic ACL のアップデートを実行します。アトミック アップデートでは、アップデートされた ACL が適用されるトラフィックは中断されません。ただし、アトミック アップデートでは、ACL アップデートを受信する I/O モジュールで、影響を受ける ACL で前から存在するすべてのエントリに加え、アップデートされる各 ACL エントリを保存するために使用可能な十分なリソースが必要です。アップデートが行われた後、アップデートに使用されたリソースは解放されます。I/O モジュールに十分なリソースがない場合は、デバイスからエラー メッセージが出力され、この I/O モジュールに対する ACL のアップデートは失敗します。
I/O モジュールで、アトミック アップデートに必要なリソースが不足している場合は、 no hardware access-list update atomic コマンドを使用して、デフォルト VDC でアトミック アップデートをディセーブルにできます。ただし、ACL をアップデートして前から存在している ACL を削除するまでの短い処理時間中、ACL が適用されるトラフィックはデフォルトでドロップされます。
非アトミック アップデートの受信中に、ACL が適用されるすべてのトラフィックを許可したい場合は、デフォルト VDC で hardware access-list update default-result permit コマンドを使用します。
例
(注) Cisco NX-OS Release 4.1(4) およびそれ以降のリリースでは、デフォルトの VDC でだけ、hardware access-list update コマンドを使用できます。現在の VDC が VDC 1(デフォルト VDC)であることを確認するには、show vdc current-vdc コマンドを使用します。
次に、ACL のアトミック アップデートをディセーブルにする例を示します。
次の例では、非 Atomic ACL アップデートの際に、関連するトラフィックを許可する方法を示します。
次の例では、Atomic アップデート方式に戻る方法を示します。
関連コマンド
|
|
|
|---|---|
hardware rate-limiter
スーパーバイザ宛のトラフィックのレート制限をパケット/秒単位で設定するには、 hardware rate-limiter コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
hardware rate-limiter { access-list-log {packets | disable} [module module [port start end]] | copy {packets | disable} [module module [port start end]] | f1 {rl-1 {packets | disable} [module module [port start end]] | rl-2 {packets | disable} [module module [port start end]] | rl-3 {packets | disable} [module module [port start end]] | rl-4 {packets | disable} [module module [port start end]] | rl-5 {packets | disable} [module module [port start end]]} | layer-2 { l2pt {packets | disable} [module module [port start end]] | mcast-snooping {packets | disable} [module module [port start end]] | port-security {packets | disable} [module module [port start end]] | storm-control {packets | disable} [module module [port start end]] | vpc-low {packets | disable} [module module [port start end]]} | layer-3 { control {packets | disable} [module module [port start end]] | glean {packets | disable} [module module [port start end]] | mtu {packets | disable} [module module [port start end]] | multicast {packets | disable} [module module [port start end]] | ttl {packets | disable} [module module [port start end]]} | receive {packets | disable} [module module [port start end]]
no hardware rate-limiter { access-list-log {packets | disable} [module module [port start end]] | copy {packets | disable} [module module [port start end]] | f1 {rl-1 {packets | disable} [module module [port start end]] | rl-2 {packets | disable} [module module [port start end]] | rl-3 {packets | disable} [module module [port start end]] | rl-4 {packets | disable} [module module [port start end]] | rl-5 {packets | disable} [module module [port start end]]} | layer-2 { l2pt {packets | disable} [module module [port start end]] | mcast-snooping {packets | disable} [module module [port start end]] | port-security {packets | disable} [module module [port start end]] | storm-control {packets | disable} [module module [port start end]] | vpc-low {packets | disable} [module module [port start end]]} | layer-3 { control {packets | disable} [module module [port start end]] | glean {packets | disable} [module module [port start end]] | mtu {packets | disable} [module module [port start end]] | multicast {packets | disable} [module module [port start end]] | ttl {packets | disable} [module module [port start end]]} | receive {packets | disable} [module module [port start end]]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、制御パケットのレート制限をデフォルトの設定に戻す例を示します。
関連コマンド
|
|
|
|---|---|
host(IPv4)
ホストまたはサブネットを IPv4 アドレス オブジェクト グループのメンバーとして指定するには、 host コマンドを使用します。IPv4 アドレス オブジェクト グループからグループ メンバーを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] host IPv4-address
no { sequence-number | host IPv4-address }
[ sequence-number ] IPv4-address network-wildcard
no IPv4-address network-wildcard
[ sequence-number ] IPv4-address / prefix-len
構文の説明
デフォルト
コマンド モード
IPv4 アドレス オブジェクト グループ コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
グループ メンバーとしてサブネットを指定するには、このコマンドを、次のいずれかの形式で使用します。
[ sequence-number ] IPv4-address network-wildcard
[ sequence-number ] IPv4-address / prefix-len
show object-group コマンドを使用すると、サブネットの指定に使用したコマンド形式に関係なく、グループ メンバーの IP-address / prefix-len 形式が表示されます。
グループ メンバーとして単一 IPv4 アドレスを指定するには、このコマンドを、次のいずれかの形式で使用します。
[ sequence-number ] host IPv4-address
[ sequence-number ] IPv4-address 0.0.0.0
[ sequence-number ] IPv4-address /32
show object-group コマンドを使用すると、単一 IPv4 アドレスの指定に使用したコマンド形式に関係なく、グループ メンバーの host IP-address 形式が表示されます。
例
次に、ipv4-addr-group-13 という IPv4 アドレス オブジェクト グループに、グループ メンバーとして 2 つの特定の IPv4 アドレスと、1 つのサブネット 10.23.176.0 を設定する例を示します。
関連コマンド
|
|
|
|---|---|
host(IPv6)
ホストまたはサブネットを IPv6 アドレス オブジェクト グループのメンバーとして指定するには、 host コマンドを使用します。IPv6 アドレス オブジェクト グループからグループ メンバーを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] host IPv6-address
no { sequence-number | host IPv6-address }
[ sequence-number ] IPv6-address / network-prefix
no IPv6-address / network-prefix
構文の説明
デフォルト
コマンド モード
IPv6 アドレス オブジェクト グループ コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
グループ メンバーとしてサブネットを指定するには、このコマンドを、次の形式で使用します。
[ sequence-number ] IPv6-address / network-prefix
グループ メンバーとして単一 IPv6 アドレスを指定するには、このコマンドを、次のいずれかの形式で使用します。
[ sequence-number ] host IPv6-address
[ sequence-number ] IPv6-address /128
show object-group コマンドを使用すると、単一 IPv6 アドレスの指定に使用したコマンド形式に関係なく、グループ メンバーの host IPv6-address 形式が表示されます。
例
次に、ipv6-addr-group-A7 という IPv6 アドレス オブジェクト グループに、グループ メンバーとして 2 つの特定の IPv6 アドレスと、1 つのサブネット 2001:db8:0:3ab7:: を設定する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック