Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス

4.0(3)

このコマンドが追加されました。

show password strength-check

パスワードの強度確認をイネーブルにします。

show running-config security

実行コンフィギュレーションのセキュリティ機能設定を表示します。

sequence-number

（任意）ルールのシーケンス番号。時間範囲内の該当番号の位置にコマンドが挿入されます。シーケンス番号により、時間範囲内のルールの順序が保持されます。

シーケンス番号には、1 ～ 4294967295 の間の整数を指定できます。

デフォルトでは、時間範囲内の最初のルールにシーケンス番号 10 が割り当てられます。

シーケンス番号を指定しないと、時間範囲の最後にルールが追加され、1 つ前のルールのシーケンス番号に 10 を加算した値が、シーケンス番号として割り当てられます。

ルールのシーケンス番号を再割り当てするには、 resequence コマンドを使用します。

weekday

範囲を開始または終了する曜日。この引数の最初の指定は、範囲を開始する曜日です。この引数の 2 番目の指定は、範囲を終了する曜日です。2 番目の指定を省略すると、範囲を終了する曜日は、範囲を開始する曜日と同じになります。

weekday 引数の有効値は、次のとおりです。

• monday

• tuesday

• wednesday

• thursday

• friday

• saturday

• sunday

time

範囲を開始または終了する時刻。 この引数の最初の指定は、範囲を開始する時刻です。この引数の 2 番目の指定は、範囲を終了する時刻です。

time 引数は、24 時間表記で指定します。形式は、 hours : minutes または hours : minutes : seconds です。たとえば、午前 8:00 は 8:00、午後 8:00 は 20:00 です。

to

time 引数の最初の指定と 2 番目の指定を区切ります。

list-of-weekdays

（任意）範囲を有効にする曜日。この引数の有効値は、次のとおりです。

• 曜日を次のようにスペースで区切って指定します。

• daily ：すべての曜日

• weekdays ：月曜から金曜まで（Monday ～ Friday）

• weekend ：土曜と日曜（Saturday ～ Sunday）

4.0(1)

このコマンドが追加されました。

absolute

絶対時間範囲のルールを設定します。

time-range

IPv4 ACL および IPv6 ACL で使用できる時間範囲を設定します。

0-255

（任意）プロトコル番号を指定します。

ahp

（任意）認証ヘッダー プロトコルを指定します。

eigrp

（任意）シスコの EIGRP ルーティング プロトコルを指定します。

esp

（任意）暗号ペイロードを指定します。

gre

（任意）シスコの GRE トンネリングを指定します。

icmp

（任意）インターネット制御メッセージ プロトコルを指定します。

igmp

（任意）インターネット グループ管理プロトコルを指定します。

ip

（任意）IP プロトコルを指定します。

nos

（任意）KA9Q NOS 互換 IP over IP トンネリングを指定します。

ospf

（任意）OSPF ルーティング プロトコルを指定します。

pcp

（任意）ペイロード圧縮プロトコルを指定します。

pim

（任意）Protocol Independent Multicast を指定します。

tcp

Transport Control Protocol を指定します。

udp

（任意）ユーザ データ グラム プロトコルを指定します。

source

送信元ネットワーク アドレス。

addrgroup

（任意）送信元アドレス グループを指定します。

any

（任意）送信元アドレスを指定します。

host

（任意）1 つの宛先ホストを指定します。

destination

宛先ネットワークのアドレスです。

eq

（任意）指定のポート番号のパケットだけを照合します。

gt

（任意）より大きいポート番号のパケットだけを照合します。

lt

（任意）より小さいポート番号のパケットだけを照合します。

neq

（任意）指定のポート番号でないパケットだけを照合します。

portgroup

（任意）送信元ポート グループを指定します。

range

（任意）ポート番号範囲のパケットだけを照合します。

capture session

ACE のキャプチャ セッションを指定します。

session

セッション ID。有効な範囲は 1 ～ 48 です。

5.2(1)

このコマンドが追加されました。

ip access-group name in

インターフェイスにキャプチャ セッション ACE を使用した ACL を適用します。

ip access-list

アクセス リストを作成します。

sequence-number

（任意） permit コマンドのシーケンス番号。デバイスによってアクセス リストの該当番号の位置にコマンドが挿入されます。シーケンス番号は、ACL 内でルールの順序を保ちます。

シーケンス番号には、1 ～ 4294967295 の間の整数を指定できます。

デフォルトでは、ACL の最初のルールには、10 のシーケンス番号が与えられます。

シーケンス番号を指定しないと、デバイスによって、ACL の最後にルールが追加され、1 つ前のルールのシーケンス番号に 10 を加算した値が、シーケンス番号として割り当てられます。

ルールのシーケンス番号を再割り当てするには、 resequence コマンドを使用します。

ip

ルールの IP アドレス部分を指定します。

any

任意のホストが、ルールの any キーワードを含む部分と一致するように指定します。送信元 IP アドレス、宛先 IP アドレス、送信元 MAC アドレス、および宛先 MAC アドレスの指定に、 any を使用できます。

host sender-IP

ARP パケットの送信元 IP アドレスが sender-IP 引数の値と一致する場合だけ、パケットを一致させるルールを指定します。 sender-IP 引数の有効値は、ドット付き 10 進表記の IPv4 アドレスです。

sender-IP sender-IP-mask

パケットの送信元 IP アドレスと一致させる IPv4 アドレス セットの IPv4 アドレスおよびマスク。 sender-IP 引数および sender-IP-mask 引数は、ドット付き 10 進表記で指定する必要があります。 sender-IP-mask 引数に 255.255.255.255 を指定すると、 host キーワードを使用した場合と同じ結果になります。

mac

ルールの MAC アドレスの部分を指定します。

host sender-MAC

ARP パケットの送信元 MAC アドレスが sender-MAC 引数の値と一致する場合だけ、パケットを一致させるルールを指定します。 sender-MAC 引数の有効値は、ドット付き 16 進表記の MAC アドレスです。

sender-MAC sender-MAC-mask

パケットの送信元 MAC アドレスと一致させる MAC アドレス セットの MAC アドレスおよびマスク。 sender-MAC 引数および sender-MAC-mask 引数は、ドット付き 16 進表記で指定する必要があります。 sender-MAC-mask 引数に ffff.ffff.ffff を指定すると、 host キーワードを使用した場合と同じ結果になります。

log

（任意）ルールと一致した ARP パケットのロギングを指定します。

request

（任意）ルールを、ARP 要求メッセージを含むパケットだけに適用します。

response

（任意）ルールを、ARP 応答メッセージを含むパケットだけに適用します。

host target-IP

ARP パケットの宛先 IP アドレスが target-IP 引数の値と一致する場合だけ、パケットを一致させるルールを指定します。 host target-IP を指定できるのは、 response キーワードを使用する場合だけです。 target-IP 引数の有効値は、ドット付き 10 進表記の IPv4 アドレスです。

target-IP target-IP-mask

パケットの宛先 IP アドレスと一致させる IPv4 アドレス セットの IPv4 アドレスおよびマスク。 target-IP target-IP-mask を指定できるのは、 response キーワードを使用する場合だけです。 target-IP 引数および target-IP-mask 引数は、ドット付き 10 進表記で指定する必要があります。 target-IP-mask 引数に 255.255.255.255 を指定すると、 host キーワードを使用した場合と同じ結果になります。

host target-MAC

ARP パケットの宛先 MAC アドレスが target-MAC 引数の値と一致する場合だけ、パケットを一致させるルールを指定します。 host target-MAC を指定できるのは、 response キーワードを使用する場合だけです。 target-MAC 引数の有効値は、ドット付き 16 進表記の MAC アドレスです。

target-MAC target-MAC-mask

パケットの宛先 MAC アドレスと一致させる MAC アドレス セットの MAC アドレスおよびマスク。 target-MAC target-MAC-mask を指定できるのは、 response キーワードを使用する場合だけです。 target-MAC 引数および target-MAC-mask 引数は、ドット付き 16 進表記で指定する必要があります。 target-MAC-mask 引数に ffff.ffff.ffff を指定すると、 host キーワードを使用した場合と同じ結果になります。

4.0(1)

このコマンドが追加されました。

deny（ARP）

ARP ACL に拒否（deny）ルールを設定します。

arp access-list

ARP ACL を設定します。

ip arp inspection filter

VLAN に ARP ACL を適用します。

remark

ACL に備考を設定します。

show arp access-list

すべての ARP ACL または 1 つの ARP ACL を表示します。

sequence-number

（任意） permit コマンドのシーケンス番号。デバイスによってアクセス リストの該当番号の位置にコマンドが挿入されます。シーケンス番号は、ACL 内でルールの順序を保ちます。

シーケンス番号には、1 ～ 4294967295 の間の整数を指定できます。

デフォルトでは、ACL の最初のルールには、10 のシーケンス番号が与えられます。

シーケンス番号を指定しないと、デバイスによって、ACL の最後にルールが追加され、1 つ前のルールのシーケンス番号に 10 を加算した値が、シーケンス番号として割り当てられます。

ルールのシーケンス番号を再割り当てするには、 resequence コマンドを使用します。

protocol

ルールで一致させるパケットのプロトコルの名前または番号。この引数の指定方法の詳細については、「使用上のガイドライン」の「プロトコル」の説明を参照してください。

source

ルールで一致させる送信元 IPv4 アドレス。この引数の指定方法の詳細については、「使用上のガイドライン」の「送信元と宛先」の説明を参照してください。

destination

ルールで一致させる宛先 IPv4 アドレス。この引数の指定方法の詳細については、「使用上のガイドライン」の「送信元と宛先」の説明を参照してください。

dscp dscp

（任意）IP ヘッダーの DSCP フィールドに特定の 6 ビット diffserv（ディファレンシエーテッド サービス）値が設定されているパケットだけをルールと一致させるように指定します。 dscp 引数には、次の数値またはキーワードのいずれかを指定します。

• 0 ～ 63：DSCP フィールドの 6 ビットと同等の 10 進数。たとえば 10 を指定した場合、ルールは DSCP フィールドのビットが 001010 であるパケットだけに一致します。

• af11 ：Assured Forwarding（AF）クラス 1、低い廃棄確率（001010）

• af12 ：AF クラス 1、中程度の廃棄確率（001100）

• af13 ：AF クラス 1、高い廃棄確率（001110）

• af21 ：AF クラス 2、低い廃棄確率（010010）

• af22 ：AF クラス 2、中程度の廃棄確率（010100）

• af23 ：AF クラス 2、高い廃棄確率（010110）

• af31 ：AF クラス 3、低い廃棄確率（011010）

• af32 ：AF クラス 3、中程度の廃棄確率（011100）

• af33 ：AF クラス 3、高い廃棄確率（011110）

• af41 ：AF クラス 4、低い廃棄確率（100010）

• af42 ：AF クラス 4、中程度の廃棄確率（100100）

• af43 ：AF クラス 4、高い廃棄確率（100110）

• cs1 ：Class-selector（CS）1、優先順位 1（001000）

• cs2 ：CS2、優先順位 2（010000）

• cs3 ：CS3、優先順位 3（011000）

• cs4 ：CS4、優先順位 4（100000）

• cs5 ：CS5、優先順位 5（101000）

• cs6 ：CS6、優先順位 6（110000）

• cs7 ：CS7、優先順位 7（111000）

• default ：デフォルトの DSCP 値（000000）

• ef ：Expedited Forwarding（EF; 緊急転送）（101110）

precedence precedence

（任意） precedence 引数で指定された値が IP Precedence フィールドに設定されているパケットだけをルールと一致させるように指定します。 precedence 引数には、次の数値またはキーワードを指定します。

• 0 ～ 7：IP Precedence フィールドの 3 ビットと同等の 10 進数。たとえば、3 を指定した場合、DSCP フィールドに次のビットが設定されているパケットだけがルールと一致します：011

• critical ：優先順位 5（101）

• flash ：優先順位 3（011）

• flash-override ：優先順位 4（100）

• immediate ：優先順位 2（010）

• internet ：優先順位 6（110）

• network ：優先順位 7（111）

• priority ：優先順位 1（001）

• routine ：優先順位 0（000）

fragments

（任意）非初期フラグメントであるパケットだけをルールと一致させるように指定します。このキーワードは、TCP ポート番号などのレイヤ 4 オプションを指定したルールには指定できません。これらのオプションをデバイスが評価するために必要な情報は、初期フラグメントだけに含まれているためです。

log

（任意）ルールと一致する各パケットについて、デバイスが情報ロギング メッセージを生成するように指定します。メッセージに含まれる情報は、次のとおりです。

• プロトコルの内容（TCP、UDP、ICMP、または番号のプロトコル）

• 送信元アドレスおよび宛先アドレス

• 送信元と宛先のポート番号（該当する場合）

time-range time-range-name

（任意）このルールに適用する時間範囲を指定します。

時間範囲の指定には、 time-range コマンドを使用します。

icmp-message

（ICMP のみ：任意）ルールと一致させる ICMP メッセージ。この引数には、「使用上のガイドライン」の「ICMP メッセージ タイプ」にリストされているキーワードの 1 つを指定します。

icmp-type [ icmp-code ]

（ICMP のみ：任意）ルールと一致させる ICMP メッセージのタイプ。 icmp-type 引数の有効値は、0 ～ 255 です。ICMP メッセージ タイプでメッセージ コードがサポートされている場合、 icmp-code 引数を使用して、ルールに一致するコードを指定できます。

ICMP メッセージ タイプとコードについての詳細は、 http://www.iana.org/assignments/icmp-parameters を参照してください。

igmp-message

（IGMP のみ：任意）ルールと一致させる IGMP メッセージのタイプ。 igmp-message 引数には、0 ～ 15 の整数である IGMP メッセージ番号を指定します。また、次のいずれかのキーワードを指定できます。

• dvmrp ：Distance Vector Multicast Routing Protocol（DVMRP; ディスタンス ベクトル マルチキャスト ルーティング プロトコル）

• host-query ：ホスト クエリー

• host-report ：ホスト レポート

• pim ：Protocol Independent Multicast（PIM）

• trace ：マルチキャスト トレース

operator port [ port ]

（任意：TCP および UDP のみ） operator 引数および port 引数の条件と一致する送信元ポートから送信されたパケット、または一致する宛先ポートに送信されたパケットだけを、ルールと一致させます。これらの引数が送信元ポートまたは宛先ポートのどちらに適用されるかは、 source 引数または destination 引数のどちらの後に指定したかによって異なります。

port 引数には、TCP または UDP ポートの名前または番号を指定します。有効な番号は 0 ～ 65535 の整数です。有効なポート名のリストは、「使用上のガイドライン」の「TCP ポート名」および「UDP ポート名」を参照してください。

2 番目の port 引数は、 operator 引数が範囲である場合だけ必要です。

operator 引数には、次のいずれかのキーワードを指定する必要があります。

• eq ：パケットのポートが port 引数と同等である場合だけ一致します。

• gt ：パケットのポートが port 引数より大きい場合および同等ではない場合だけ一致します。

• lt ：パケットのポートが port 引数より小さい場合および同等ではない場合だけ一致します。

• neq ：パケットのポートが port 引数と同等ではない場合だけ一致します。

• range ：2 つの port 引数が必要です。パケットのポートが最初の port 引数以上で、2 番目の port 引数以下である場合だけ一致します。

portgroup portgroup

（任意：TCP および UDP のみ） portgroup 引数で指定された IP ポート オブジェクト グループのメンバーである送信元ポートから送信されたパケット、またはメンバーである宛先ポートに送信されたパケットだけを、ルールと一致させます。IP ポート オブジェクト グループは、最大 64 文字の大文字と小文字を区別した名前です。IP ポート オブジェクト グループが送信元ポートまたは宛先ポートのどちらに適用されるかは、 source または destination のどちらの引数のあとに指定したかによって異なります。

IP ポート オブジェクト グループを作成および変更するには、 object-group ip port コマンドを使用します。

flags

（TCP のみ：任意）ルールと一致させる TCP 制御コントロール ビット フラグ。 flags 引数の値には、次の 1 つ以上のキーワードを指定する必要があります。

• ack

• fin

• psh

• rst

• syn

• urg

established

（TCP 限定：任意）確立された TCP 接続に属すパケットだけをルールと一致させるように指定します。デバイスは、ACK または RST ビットが設定されている TCP パケットが、確立された接続に属していると見なします。

packet-length operator packet-length [ packet-length ]

（任意） operator 引数および packet-length 引数の条件と一致するバイト単位での長さがあるパケットだけを、ルールと一致させます。

packet-length 引数の有効値は、20 ～ 9210 の整数です。

operator 引数には、次のいずれかのキーワードを指定する必要があります。

• eq ：バイト単位でのパケットの長さが packet-legnth 引数と同等である場合だけ一致します。

• gt ：バイト単位でのパケットの長さが packet-legnth 引数より大きい場合だけ一致します。

• lt ：バイト単位でのパケットの長さが packet-legnth 引数より小さい場合だけ一致します。

• neq ：バイト単位でのパケットの長さが packet-legnth 引数と同等ではない場合だけ一致します。

• range ：2 つの packet-length 引数が必要です。バイト単位でのパケットの長さが最初の packet-length 引数以上で、2 番目の packet-length 引数以下である場合だけ一致します。

4.1(2)

次のサポートが追加されました。

• ahp 、 eigrp 、 esp 、 gre 、 nos 、 ospf 、 pcp 、および pim のプロトコル キーワード。

• packet-length キーワード。

4.0(1)

このコマンドが追加されました。

deny（IPv4）

IPv4 ACL に拒否（deny）ルールを設定します。

fragments

IP ACL が非初期フラグメントを処理する方法を設定します。

ip access-list

IPv4 ACL を設定します。

object-group ip address

IPv4 アドレス オブジェクト グループを設定します。

object-group ip port

IP ポート オブジェクト グループを設定します。

remark

ACL に備考を設定します。

show ip access-list

すべての IPv4 ACL または 1 つの IPv4 ACL を表示します。

statistics per-entry

ACL の各エントリの統計情報の収集をイネーブルにします。

time-range

時間範囲を設定します。

sequence-number

（任意） permit コマンドのシーケンス番号。デバイスによってアクセス リストの該当番号の位置にコマンドが挿入されます。シーケンス番号は、ACL 内でルールの順序を保ちます。

シーケンス番号には、1 ～ 4294967295 の間の整数を指定できます。

デフォルトでは、ACL の最初のルールには、10 のシーケンス番号が与えられます。

シーケンス番号を指定しないと、デバイスによって、ACL の最後にルールが追加され、1 つ前のルールのシーケンス番号に 10 を加算した値が、シーケンス番号として割り当てられます。

ルールのシーケンス番号を再割り当てするには、 resequence コマンドを使用します。

protocol

ルールで一致させるパケットのプロトコルの名前または番号。有効な番号は、0 ～ 255 です。有効なプロトコル名は、次のキーワードです。

• ahp ：ルールを認証ヘッダー プロトコル（AHP）トラフィックだけに適用するように指定します。このキーワードを使用する場合は、すべての IPv6 プロトコルに適用される他のキーワードおよび引数だけを使用できます。

• esp ：ルールを Encapsulating Security Payload（ESP）トラフィックだけに適用するように指定します。このキーワードを使用する場合は、すべての IPv6 プロトコルに適用される他のキーワードおよび引数だけを使用できます。

• icmp ：ルールを ICMP トラフィックだけに適用するように指定します。このキーワードを使用すると、 protocol 引数のすべての有効値に使用できるキーワードに加え、 icmp-message 引数を使用できます。

• ipv6 ：ルールをすべての IPv6 トラフィックに適用するように指定します。このキーワードを使用する場合は、すべての IPv6 プロトコルに適用される他のキーワードおよび引数だけを使用できます。

• pcp ：ルールをペイロード圧縮プロトコル（PCP）トラフィックだけに適用するように指定します。このキーワードを使用する場合は、すべての IPv6 プロトコルに適用される他のキーワードおよび引数だけを使用できます。

• sctp ：ルールを Stream Control Transmission Protocol（SCTP）トラフィックだけに適用するように指定します。このキーワードを使用すると、 protocol 引数のすべての有効値に使用できるキーワードに加え、 operator 引数および portgroup キーワードを使用できます。

• tcp ：ルールを TCP トラフィックだけに適用するように指定します。このキーワードを使用すると、 protocol 引数のすべての有効値に使用できるキーワードに加え、 flags 引数および operator 引数、 portgroup キーワードおよび established キーワードを使用できます。

• udp ：ルールを UDP トラフィックだけに適用するように指定します。このキーワードを使用すると、 protocol 引数のすべての有効値に使用できるキーワードに加え、 operator 引数および portgroup キーワードを使用できます。

source

ルールで一致させる送信元 IPv6 アドレス。この引数の指定方法の詳細については、「使用上のガイドライン」の「送信元と宛先」の説明を参照してください。

destination

ルールで一致させる宛先 IPv6 アドレス。この引数の指定方法の詳細については、「使用上のガイドライン」の「送信元と宛先」の説明を参照してください。

dscp dscp

（任意）IPv6 ヘッダーの DSCP フィールドに特定の 6 ビット diffserv（ディファレンシエーテッド サービス）値が設定されているパケットだけをルールと一致させるように指定します。 dscp 引数には、次の数値またはキーワードのいずれかを指定します。

• 0 ～ 63：DSCP フィールドの 6 ビットと同等の 10 進数。たとえば、10 を指定した場合、DSCP フィールドに次のビットが設定されているパケットだけがルールと一致します：001010

• af11 ：Assured Forwarding（AF）クラス 1、低い廃棄確率（001010）

• af12 ：AF クラス 1、中程度の廃棄確率（001100）

• af13 ：AF クラス 1、高い廃棄確率（001110）

• af21 ：AF クラス 2、低い廃棄確率（010010）

• af22 ：AF クラス 2、中程度の廃棄確率（010100）

• af23 ：AF クラス 2、高い廃棄確率（010110）

• af31 ：AF クラス 3、低い廃棄確率（011010）

• af32 ：AF クラス 3、中程度の廃棄確率（011100）

• af33 ：AF クラス 3、高い廃棄確率（011110）

• af41 ：AF クラス 4、低い廃棄確率（100010）

• af42 ：AF クラス 4、中程度の廃棄確率（100100）

• af43 ：AF クラス 4、高い廃棄確率（100110）

• cs1 ：Class-selector（CS）1、優先順位 1（001000）

• cs2 ：CS2、優先順位 2（010000）

• cs3 ：CS3、優先順位 3（011000）

• cs4 ：CS4、優先順位 4（100000）

• cs5 ：CS5、優先順位 5（101000）

• cs6 ：CS6、優先順位 6（110000）

• cs7 ：CS7、優先順位 7（111000）

• default ：デフォルトの DSCP 値（000000）

• ef ：Expedited Forwarding（EF; 緊急転送）（101110）

flow-label flow-label-value

（任意） flow-label-value 引数で指定された値がフロー ラベル ヘッダー フィールドに設定されている IPv6 パケットだけをルールと一致させるように指定します。 flow-label-value 引数は、0 ～ 1048575 の整数です。

fragments

（任意）非初期フラグメントであるパケットだけをルールと一致させるように指定します。デバイスでは、非初期フラグメントであるパケットが、ゼロと同等ではないフラグメント オフセットが含まれるフラグメント拡張ヘッダーを持つパケットと見なされます。このキーワードは、TCP ポート番号などのレイヤ 4 オプションを指定したルールには指定できません。これらのオプションをデバイスが評価するために必要な情報は、初期フラグメントだけに含まれているためです。

log

（任意）ルールと一致する各パケットについて、デバイスが情報ロギング メッセージを生成するように指定します。メッセージに含まれる情報は、次のとおりです。

• プロトコルの内容（TCP、UDP、ICMP、または番号のプロトコル）

• 送信元アドレスおよび宛先アドレス

• 送信元と宛先のポート番号（該当する場合）

time-range time-range-name

（任意）このルールに適用する時間範囲を指定します。 time-range コマンドを使用して時間範囲を設定できます。

icmp-message

（ICMP 限定：任意）ルールと一致させる ICMPv6 メッセージのタイプ。この引数には、0 ～ 255 の整数、または「使用上のガイドライン」の「ICMPv6 メッセージ タイプ」にリストされているキーワードの 1 つを指定します。

icmp-type [ icmp-code ]

（ICMP のみ：任意）ルールと一致させる ICMP メッセージのタイプ。 icmp-type 引数の有効値は、0 ～ 255 です。ICMP メッセージ タイプでメッセージ コードがサポートされている場合、 icmp-code 引数を使用して、ルールに一致するコードを指定できます。

ICMP メッセージ タイプとコードについての詳細は、 http://www.iana.org/assignments/icmp-parameters を参照してください。

operator port [ port ]

（任意：TCP、UDP および SCTP 限定） operator 引数および port 引数の条件と一致する送信元ポートから送信されたパケット、または一致する宛先ポートに送信されたパケットだけを、ルールと一致させます。これらの引数が送信元ポートまたは宛先ポートのどちらに適用されるかは、 source 引数または destination 引数のどちらの後に指定したかによって異なります。

port 引数には、TCP または UDP ポートの名前または番号を指定します。有効な番号は 0 ～ 65535 の整数です。有効なポート名のリストは、「使用上のガイドライン」の「TCP ポート名」および「UDP ポート名」を参照してください。

2 番目の port 引数は、 operator 引数が範囲である場合だけ必要です。

operator 引数には、次のいずれかのキーワードを指定する必要があります。

• eq ：パケットのポートが port 引数と同等である場合だけ一致します。

• gt ：パケットのポートが port 引数より大きい場合および同等ではない場合だけ一致します。

• lt ：パケットのポートが port 引数より小さい場合および同等ではない場合だけ一致します。

• neq ：パケットのポートが port 引数と同等ではない場合だけ一致します。

• range ：2 つの port 引数が必要です。パケットのポートが最初の port 引数以上で、2 番目の port 引数以下である場合だけ一致します。

portgroup portgroup

（任意：TCP、UDP、および SCTP 限定） portgroup 引数で指定された IP ポート グループ オブジェクトのメンバである送信元ポートから送信されたパケット、またはメンバである宛先ポートに送信されたパケットだけを、ルールと一致させるように指定します。ポート グループ オブジェクトが送信元ポートまたは宛先ポートのどちらに適用されるかは、 source 引数または destination 引数のどちらの後に指定したかによって異なります。

IP ポート グループ オブジェクトを作成および変更するには、 object-group ip port コマンドを使用します。

established

（TCP 限定：任意）確立された TCP 接続に属すパケットだけをルールと一致させるように指定します。デバイスは、ACK または RST ビットが設定されている TCP パケットが、確立された接続に属していると見なします。

flags

（TCP 限定：任意）特定の TCP コントロール ビット フラグがオンに設定されたパケットだけを、ルールと一致させます。 flags 引数の値には、次の 1 つ以上のキーワードを指定する必要があります。

• ack

• fin

• psh

• rst

• syn

• urg

packet-length operator packet-length [ packet-length ]

（任意） operator 引数および packet-length 引数の条件と一致するバイト単位での長さがあるパケットだけを、ルールと一致させます。

packet-length 引数の有効値は、20 ～ 9210 の整数です。

operator 引数には、次のいずれかのキーワードを指定する必要があります。

• eq ：バイト単位でのパケットの長さが packet-legnth 引数と同等である場合だけ一致します。

• gt ：バイト単位でのパケットの長さが packet-legnth 引数より大きい場合だけ一致します。

• lt ：バイト単位でのパケットの長さが packet-legnth 引数より小さい場合だけ一致します。

• neq ：バイト単位でのパケットの長さが packet-legnth 引数と同等ではない場合だけ一致します。

• range ：2 つの packet-length 引数が必要です。バイト単位でのパケットの長さが最初の packet-length 引数以上で、2 番目の packet-length 引数以下である場合だけ一致します。

4.1(2)

このコマンドが追加されました。

deny（IPv6）

IPv6 ACL に拒否（deny）ルールを設定します。

fragments

IP ACL が非初期フラグメントを処理する方法を設定します。

ipv6 access-list

IPv6 ACL を設定します。

object-group ipv6 address

IPv6 アドレス オブジェクト グループを設定します。

object-group ip port

IP ポート オブジェクト グループを設定します。

remark

ACL に備考を設定します。

show ipv6 access-list

すべての IPv6 ACL または 1 つの IPv6 ACL を表示します。

statistics per-entry

ACL の各エントリの統計情報の収集をイネーブルにします。

time-range

時間範囲を設定します。

sequence-number

（任意） permit コマンドのシーケンス番号。デバイスによってアクセス リストの該当番号の位置にコマンドが挿入されます。シーケンス番号は、ACL 内でルールの順序を保ちます。

シーケンス番号には、1 ～ 4294967295 の間の整数を指定できます。

デフォルトでは、ACL の最初のルールには、10 のシーケンス番号が与えられます。

シーケンス番号を指定しないと、デバイスによって、ACL の最後にルールが追加され、1 つ前のルールのシーケンス番号に 10 を加算した値が、シーケンス番号として割り当てられます。

ルールのシーケンス番号を再割り当てするには、 resequence コマンドを使用します。

source

ルールで一致させる送信元 MAC アドレス。この引数の指定方法の詳細については、「使用上のガイドライン」の「送信元と宛先」の説明を参照してください。

destination

ルールで一致させる宛先 MAC アドレス。この引数の指定方法の詳細については、「使用上のガイドライン」の「送信元と宛先」の説明を参照してください。

protocol

（任意）ルールで一致させるプロトコルの番号。有効なプロトコル番号は 0x0 ～ 0xffff です。有効なプロトコル名のリストは、「使用上のガイドライン」の「MAC プロトコル」を参照してください。

cos cos-value

（任意）IEEE 802.1Q ヘッダーに、 cos-value 引数で指定した Class of Service（CoS; サービス クラス）値が含まれているパケットだけを一致させるルールを指定します。 cos-value 引数は、0 ～ 7 の整数です。

vlan VLAN-ID

（任意）IEEE 802.1Q ヘッダーに、指定した VLAN ID が含まれているパケットだけを一致させるルールを指定します。 VLAN-ID 引数は、1 ～ 4094 の整数です。

time-range time-range-name

（任意）このルールに適用する時間範囲を指定します。 time-range コマンドを使用して時間範囲を設定できます。

4.0(1)

このコマンドが追加されました。

deny（MAC）

MAC ACL に拒否（deny）ルールを設定します。

mac access-list

MAC ACL を設定します。

remark

ACL に備考を設定します。

statistics per-entry

ACL の各エントリの統計情報の収集をイネーブルにします。

show mac access-list

すべての MAC ACL または 1 つの MAC ACL を表示します。

time-range

時間範囲を設定します。

all

すべてのトラフィックを指定します。

icmp

Internet Control Message Protocol（ICMP; インターネット制御メッセージ プロトコル）トラフィックを指定します。

igmp

Internet Group Management Protocol（IGMP; インターネット グループ管理プロトコル）トラフィックを指定します。

ip

IP トラフィックを指定します。

tcp

TCP トラフィックを指定します。

udp

User Datagram Protocol（UDP; ユーザ データグラム プロトコル）トラフィックを指定します。

src

送信元ポート番号を指定します。

dst

宛先ポート番号を指定します。

eq

ポート番号と同等の番号を指定します。

gt

ポート番号より大きい番号を指定します。

lt

ポート番号より小さい番号を指定します。

neq

ポート番号と同等ではない番号を指定します。

port-number

TCP または UDP のポート番号。指定できる範囲は 0 ～ 65535 です。

range

TCP または UDP のポート範囲を指定します。

port-number1

範囲の開始ポート。指定できる範囲は 0 ～ 65535 です。

port-number2

範囲の終了ポート。指定できる範囲は 0 ～ 65535 です。

log

（任意）この設定に一致するパケットをログに記録することを指定します。

5.0(2)

ロールベース アクセス コントロール リスト（RBACL）のログのイネーブル化をサポートするために、 log キーワードが追加されました。

4.0(1)

このコマンドが追加されました。

cts role-based access-list

Cisco TrustSec SGACL を設定します。

deny（ロールベース アクセス コントロール リスト）

SGACL に拒否アクションを設定します。

feature cts

Cisco TrustSec 機能をイネーブルにします。

show cts role-based access-list

Cisco TrustSec SGACL の設定を表示します。

ethernet slot / port

Ethernet インターフェイス識別子を指定します。

- port

モジュールのインターフェイス範囲の最後のインターフェイス。

interface-list

イーサネット インターフェイスの識別名をカンマで区切ってリストします。

4.0(1)

このコマンドが追加されました。

interface policy deny

ユーザ ロールのインターフェイス ポリシー コンフィギュレーション モードを開始します。

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを開始します。

show role

ユーザ ロールの情報を表示します。

vlan-id

VLAN 識別番号。範囲は 1 ～ 3967 および 4048 ～ 4093 です。

- vlan-id2

範囲の最後の VLAN ID。この VLAN 識別番号は、範囲の最初の VLAN 識別番号より大きい数値でなければなりません。

vlan-list

VLAN 識別番号をカンマで区切ってリストします。

4.0(1)

このコマンドが追加されました。

vlan policy deny

ユーザ ロールの VLAN ポリシー コンフィギュレーション モードを開始します。

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを開始します。

show role

ユーザ ロールの情報を表示します。

vrf-name

VRF 名。名前では、大文字と小文字が区別されます。

4.0(1)

このコマンドが追加されました。

vrf policy deny

ユーザ ロールの VRF ポリシー コンフィギュレーション モードを開始します。

role name

ユーザ ロールを作成または指定して、ユーザ ロール コンフィギュレーション モードを開始します。

show role

ユーザ ロールの情報を表示します。

atomic

トラフィックを中断しないでアップデートを実行する、アトミック アップデートを指定します。Cisco NX-OS デバイスは、デフォルトでアトミック ACL アップデートを実行します。

default-result permit

非アトミック アップデートの実行中に、アップデートした ACL が適用されるトラフィックを許可します。

4.1(2)

このコマンドは廃止予定で、 hardware access-list update コマンドに置き換えられます。

4.0(1)

このコマンドが追加されました。

show running-config all

デフォルト設定を含む、実行コンフィギュレーションを表示します。

access-list-log

アクセス リスト ロギングのためにスーパーバイザ モジュールにコピーされるパケットを指定します。デフォルトのレートは 100 パケット/秒です。

copy

スーパーバイザ モジュールにコピーされるデータ パケットと制御パケットを指定します。デフォルトのレートは 30000 パケット/秒です。

layer-2

レイヤ 2 パケットのレート制限を指定します。

port-security

ポート セキュリティ パケットを指定します。デフォルトはディセーブルです。

storm-control

ストーム制御パケットを指定します。デフォルトはディセーブルです。

layer-3

レイヤ 3 パケットを指定します。

control

レイヤ 3 制御パケットを指定します。デフォルトのレートは 10000 パケット/秒です。

glean

レイヤ 3 グリーニング パケットを指定します。デフォルトのレートは 100 パケット/秒です。

mtu

レイヤ 3 MTU 障害リダイレクト パケットを指定します。デフォルトのレートは 500 パケット/秒です。

multicast

レイヤ 3 マルチキャスト パケット/秒を指定します。

directly-connect

直接接続マルチキャスト パケットを指定します。デフォルトのレートは 10000 パケット/秒です。

local-groups

ローカル グループ マルチキャスト パケットを指定します。デフォルトのレートは 10000 パケット/秒です。

rpf-leak

Reverse Path Forwarding（RPF）リーク パケットを指定します。デフォルトのレートは 500 パケット/秒です。

ttl

レイヤ 3 TTL 障害リダイレクト パケットを指定します。デフォルトのレートは 500 パケット/秒です。

receive

スーパーバイザ モジュールにリダイレクトされるパケットを指定します。デフォルトのレートは 30000 パケット/秒です。

packets

パケット数/秒。指定できる範囲は 1 ～ 33554431 です。

4.1(2)

このコマンドは廃止予定で、 hardware rate-limiter コマンドに置き換えられます。

4.0(3)

port-security キーワードが追加されました。

4.0(1)

このコマンドが追加されました。

show running-config

実行コンフィギュレーションを表示します。

cir

（任意）Committed Information Rate（CIR; 認定情報レート）を指定します。

cir-rate

CIR レート。範囲は 0 ～ 80000000000 です。

bps

（任意）ビット/秒で秒あたりのトラフィック レート バイトの単位を指定します。

gbps

（任意）ギガビット/秒でトラフィック レートの単位を指定します。

kbps

（任意）キロビット/秒でトラフィック レートの単位を指定します。

mbps

（任意）メガビット/秒でトラフィック レートの単位を指定します。

pps

（任意）パケット/秒でトラフィック レートの単位を指定します。

bc

（任意）認定バーストのサイズを指定します。

burst-size

認定バーストのサイズ。範囲は 1 ～ 512000000 です。

bytes

（任意）バイトでバーストの単位を指定します。

kbytes

（任意）キロバイトでバーストの単位を指定します。

mbytes

（任意）メガバイトでバーストの単位を指定します。

ms

（任意）ミリ秒でバーストの単位を指定します。

packets

（任意）パケットでバーストの単位を指定します。

us

（任意）マイクロ秒でバーストの単位を指定します。

conform

トラフィックが指定のレートおよびバーストと一致したときの処理を設定します。

drop

ドロップ処理を指定します。

set-cos-transmit cos-value

Class of Service（CoS; サービス クラス）の値を設定します。指定できる範囲は 0 ～ 7 です。

set-dscp-transmit dscp-value

IPv4 および IPv6 パケットの Differentiated Services Code Point（DSCP; DiffServ コード ポイント）を指定します。指定できる範囲は 0 ～ 63 です。

set-prec-transmit prec-valu e

IPv4 および IPv6 パケットの優先順位の値を指定します。指定できる範囲は 0 ～ 7 です。

transmit

送信処理を指定します。

exceed

トラフィックが指定のレートおよびバーストを超過したときの処理を設定します。

set dscp dscp table cir-markdown-map

CIR マークダウン マップ上でパケットをフラグ付けします。

violate

（任意）トラフィックが指定のレートおよびバーストに違反したときの処理を設定します。

set dscp dscp table pir-markdown-map

PIR マークダウン マップ上でパケットをフラグ付けします。

pir pir-rate

PIR レートを指定します。

be

（任意）拡張バーストのサイズを指定します。

extended-burst-size

拡張バーストのサイズ。範囲は 1 ～ 512000000 です。

4.0(1)

このコマンドが追加されました。

class（ポリシー マップ）

コントロール プレーン ポリシー マップのコントロール プレーン クラス マップを指定して、ポリシー マップ クラス コンフィギュレーション モードを開始します。

show policy-map type control-plane

コントロール プレーン ポリシー マップの設定情報を表示します。

dynamic identity

Cisco TrustSec デバイス識別情報を使用してダイナミック ポリシーを指定します。

device-id

Cisco TrustSec デバイス識別情報。デバイス識別情報は、大文字と小文字を区別して指定します。

static sgt

SGT を使用してスタティック ポリシーを指定します。

sgt-value

Cisco TrustSec SGT。形式は、 0x hhhh です。範囲は 0x1 ～ 0xfffd です。

trusted

（任意）インターフェイス上で受信したトラフィックに SGT が設定されている場合、タグを上書きしません。

4.0(3)

コマンドの no 形式で、 dynamic および static に続くキーワードとオプションが削除されました。

4.0(1)

このコマンドが追加されました。

cts manual

インターフェイスの Cisco TrustSec 手動コンフィギュレーション モードを開始します。

feature cts

Cisco TrustSec 機能をイネーブルにします。

show cts interface

インターフェイスの Cisco TrustSec 設定を表示します。

policy-map-name

クラス マップ名です。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 64 です。

4.0(1)

このコマンドが追加されました。

show policy-map type control-plane

コントロール プレーン ポリシー マップの設定情報を表示します。

4.0(3)

このコマンドが追加されました。

cts dot1x

インターフェイスの Cisco TrustSec 802.1X コンフィギュレーション モードを開始します。

feature cts

Cisco TrustSec 機能をイネーブルにします。

show cts interface

インターフェイスの Cisco TrustSec 設定を表示します。