Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: R コマンド
- radius abort
- radius commit
- radius distribute
- radius-server deadtime
- radius-server directed-request
- radius-server host
- radius-server key
- radius-server retransmit
- radius-server test
- radius-server timeout
- range
- rate-limit cpu direction
- remark
- replay-protection
- resequence
- revocation-check
- role abort
- role commit
- role distribute
- role feature-group name
- role name
- rsakeypair
- rule
R コマンド
radius abort
処理中の RADIUS Cisco Fabric Services 配信セッションを廃棄するには、 radius abort コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、処理中の RADIUS Cisco Fabric Services 配信セッションを廃棄する例を示します。
関連コマンド
|
|
|
|---|---|
radius commit
ファブリック内で処理中の RADIUS Cisco Fabric Service(CFS)配信セッションに関連した保留中のコンフィギュレーションを適用するには、 radius commit コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
RADIUS の設定をファブリックにコミットする前に、 radius distribute コマンドを使用して、ファブリックのすべてのスイッチで、配信をイネーブルにする必要があります。
CFS は、RADIUS サーバ グループ設定、定期的な RADIUS サーバ テスト設定、またはサーバおよびグローバル キーを配信しません。キーは Cisco NX-OS デバイスに対して一意であり、他の Cisco NX-OS デバイスと共有できません。
例
次に、ファブリックのスイッチに RADIUS 設定の配信を開始する例を示します。
関連コマンド
|
|
|
|---|---|
radius distribute
RADIUS の Cisco Fabric Services 配信をイネーブルにするには、 radius distribute コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
CFS は、RADIUS サーバ グループ設定、定期的な RADIUS サーバ テスト設定、またはサーバおよびグローバル キーを配信しません。キーは Cisco NX-OS デバイスに対して一意であり、他の Cisco NX-OS デバイスと共有できません。
例
次の例では、RADIUS ファブリック配信をイネーブルにする方法を示します。
次の例では、RADIUS ファブリック配信をディセーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
radius-server deadtime
Cisco NX-OS デバイスにすべての RADIUS サーバのデッド タイム間隔を設定するには、 radius-server deadtime コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server deadtime minutes
no radius-server deadtime minutes
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デッド タイム間隔は、Cisco NX-OS デバイスが応答のなかった RADIUS サーバを確認するまでの分数です。
(注) デフォルトのアイドル タイマー値は 0 分です。アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。
例
次に、すべての RADIUS サーバの定期的なモニタリングを実行するグローバル デッド タイム間隔を設定する例を示します。
次に、すべての RADIUS サーバのグローバル デッド タイム間隔をデフォルトに戻して、サーバの定期的なモニタリングをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
radius-server directed-request
ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにするには、 radius-server directed-request コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server directed-request
no radius-server directed-request
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
ログイン時、 username @ vrfname : hostname を指定できます。vrfname は、使用する Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)インスタンスで、hostname は、設定した RADIUS サーバ名です。ユーザ名が認証用に RADIUS サーバに送信されます。
例
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにする例を示します。
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できないようにする例を示します。
関連コマンド
|
|
|
|---|---|
radius-server host
RADIUS サーバ パラメータを設定するには、 radius-server host コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server host { hostname | ipv4-address | ipv6-address }
[ key [ 0 | 7 ] shared-secret [ pac ]] [ accounting ]
[ acct-port port-number ] [ auth-port port-number ] [ authentication ] [ retransmit count ]
[ test { idle-time time | password password | username name }]
[ timeout seconds [ retransmit count ]]
no radius-server host { hostname | ipv4-address | ipv6-address }
[ key [ 0 | 7 ] shared-secret [ pac ]] [ accounting ]
[ acct-port port-number ] [ auth-port port-number ] [ authentication ] [ retransmit count ]
[ test { idle-time time | password password | username name }]
[ timeout seconds [ retransmit count ]]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、RADIUS サーバの認証とアカウンティングのパラメータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
radius-server key
RADIUS 共有秘密キーを設定するには、 radius-server key コマンドを使用します。設定した共有秘密キーを削除するには、このコマンドの no 形式を使用します。
radius-server key [ 0 | 6 | 7 ] shared-secret
no radius-server key [ 0 | 6 | 7 ] shared-secret
構文の説明
RADIUS クライアントとサーバ間の通信を認証するために使用される事前共有キー。事前共有キーには、出力可能な ASCII 文字の使用が可能です(空白文字は使用できません)。大文字と小文字が区別され、最大文字数は 63 です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
RADIUS 事前共有キーを設定して、RADIUS サーバに対してスイッチを認証する必要があります。キーの長さは 63 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。グローバル キーは、スイッチにあるすべての RADIUS サーバ コンフィギュレーションで使用するよう設定できます。 radius-server host コマンドで key キーワードを使用することでこのグローバル キーの割り当てを上書きできます。
例
次に、RADIUS 認証を設定する各種のシナリオを提供する例を示します。
関連コマンド
|
|
|
|---|---|
radius-server retransmit
デバイスが RADIUS サーバで要求を試行する回数を指定するには、 radius-server retransmit コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server retransmit count
no radius-server retransmit count
構文の説明
デバイスがローカル認証に戻る前に RADIUS サーバ(複数可)への接続試行を行う回数。有効な範囲は 1 ~ 5 回です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、RADIUS サーバに再送信回数を設定する例を示します。
次に、RADIUS サーバに再送信のデフォルト数を設定する例を示します。
関連コマンド
|
|
|
|---|---|
radius-server test
RADIUS サーバごとに個別にテスト パラメータを設定する必要なく、すべてのサーバの可用性をモニタするには、 radius-server test コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。
radius-server test { idle-time time | password password | username name }
no radius-server test { idle-time time | password password | username name }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、RADIUS 認証をイネーブルにする必要があります。
テスト パラメータが設定されていないサーバは、グローバル レベルのパラメータを使用してモニタリングされます。
各サーバ用に設定されたテスト パラメータは、グローバルのテスト パラメータより優先されます。
例
次に、RADIUS サーバ グローバル モニタリング用のパラメータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
radius-server timeout
RADIUS サーバへの再送信間隔を指定するには、 radius-server timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no radius-server timeout seconds
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
range
IP ポート オブジェクト グループにグループ メンバーとしてポートの範囲を指定するには、 range コマンドを使用します。ポート オブジェクト グループからポート範囲のグループ メンバーを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] range starting-port-number ending-port-number
no { sequence-number | range starting-port-number ending-port-number }
構文の説明
(任意)このグループ メンバーのシーケンス番号。シーケンス番号は、オブジェクト グループ内でグループ メンバーの順序を保ちます。有効なシーケンス番号は 1 ~ 4294967295 です。シーケンス番号を指定しない場合、デバイスは最大シーケンス番号より 10 大きい番号を現在のオブジェクト グループに割り当てます。 |
|
デフォルト
コマンド モード
IP ポート オブジェクト グループ コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
IP ポート オブジェクト グループには方向性がありません。 range コマンドが送信元ポートまたは宛先ポートに一致するかどうか、または着信または発信トラフィックに適用するかどうかは、ACL 内のオブジェクト グループの使用方法によって異なります。
例
次に、ポート 137 ~ 139 間で送信されるトラフィックに一致するグループ メンバーで port-group-05 という名前の IP ポート オブジェクト グループを設定する例を示します。
関連コマンド
|
|
|
|---|---|
rate-limit cpu direction
スーパーバイザ モジュールに到達するパケットのデバイスのレート制限をグローバルに設定するには、rate-limit cpu direction コマンドを使用します。レート制限の設定を削除するには、このコマンドの no 形式を使用します。
rate-limit cpu direction {input | output | both} pps packets action log
no rate-limit cpu direction {input | output | both} pps packets action log
構文の説明
デフォルト
コマンド モード
network-admin
network-operator
コマンド履歴
|
|
|
使用上のガイドライン
着信または発信パケットのレートが設定済みレート制限を超過した場合、デバイスはシステム メッセージを記録しますが、パケットをドロップしません。
F1 シリーズ モジュールはスーパーバイザ モジュールに送信されるすべての制御トラフィックで共有される最大 5 個のレート リミッタをサポートします。
例
次に、スーパーバイザ モジュールに到達するパケットのデバイスのレート制限をグローバルに設定する例を示します。
関連コマンド
|
|
|
|---|---|
remark
IPv4、IPv6、または MAC Access Control List(ACL; アクセス コントロール リスト)にコメントを入力するには、 remark コマンドを使用します。 remark コマンドを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] remark remark
no { sequence-number | remark remark }
構文の説明
デフォルト
コマンド モード
IP アクセス リスト コンフィギュレーション
IPv6 アクセス リスト コンフィギュレーション
MAC アクセス リスト コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
remark 引数には、最大 100 文字を指定できます。 remark 引数に 100 より多い文字を入力すると、デバイスは最初の 100 文字を受け入れ、それ以上の文字を廃棄します。
例
次に、IPv4 ACL にリマークを作成して、結果を表示する例を示します。
関連コマンド
|
|
|
|---|---|
replay-protection
インターフェイス上の Cisco TrustSec 認証のデータパス リプレイ保護機能をイネーブルにするには、 replay-protection コマンドを使用します。データパス レプレイ保護機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
Cisco TrustSec 802.1X コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドは、F1 シリーズ モジュールおよび F2 シリーズ モジュールではサポートされません。
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、設定を有効にするには、 shutdown / no shutdown コマンド シーケンスを使用することによってインターフェイスをイネーブルおよびディセーブルにする必要があります。
例
次に、インターフェイス上の Cisco TrustSec 認証のデータパス保護をイネーブルにする例を示します。
次に、インターフェイス上の Cisco TrustSec 認証のデータパス保護をディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
resequence
Access Control List(ACL; アクセス コントロール リスト)のすべてのルールまたは時間の範囲にシーケンス番号を再度割り当てるには、 resequence コマンドを使用します。
resequence access-list-type access-list access-list-name starting-sequence-number increment
resequence time-range time-range-name starting-sequence-number increment
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
resequence コマンドを使用すると、ACL のルールまたは時間の範囲にシーケンス番号を再度割り当てることができます。最初のルールの新しいシーケンス番号は、 starting-sequence-number 引数によって決まります。その他の各ルールは、 increment 引数によって決まる新しいシーケンス番号を受け取ります。最大シーケンス番号がシーケンス番号の許容最大値を超えると、シーケンスが実行されず、次のメッセージが表示されます。
例
次に、 show ip access-lists コマンドを使用して、100 のシーケンス番号で開始し、10 ずつ増える ip-acl-01 という名前の IPv4 ACL のシーケンスを再度実行し、 resequence コマンドの使用の前後のシーケンス番号を確認する例を示します。
関連コマンド
|
|
|
|---|---|
revocation-check
トラストポイント失効チェック方法を設定するには、 revocation-check コマンドを参照してください。失効チェック設定を廃棄するには、このコマンドの no 形式を使用します。
revocation-check { crl [ none ] | none }
no revocation-check { crl [ none ] | none }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
失効チェックは、順序リストとして指定した 1 つまたは複数の方式で実行できます。ピア証明書確認中に、失効ステータスを指定することによって、1 つの方法に正常終了するまで、指定された順序で各方式が試行されます。方式を none と指定することは、失効ステータスをチェックする必要がないことを意味し、ピア証明書は失効しません。 none が、方式リストで指定した最初の方式の場合、チェックは必要ではないため、後続の方式は指定できません。
例
次の例では、ローカルに保存されている CRL で失効証明書をチェックする方法を示します。
関連コマンド
|
|
|
|---|---|
role abort
処理中のユーザ ロール Cisco Fabric Services 配信セッションを廃棄するには、 role abort コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、処理中のユーザ ロール Cisco Fabric Services 配信セッションを廃棄する例を示します。
関連コマンド
|
|
|
|---|---|
role commit
ファブリックで処理中のユーザ ロール Cisco Fabric Services 配信セッションについて、保留中の設定を適用するには、 role commit コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
ユーザ ロールの設定をファブリックにコミットする前に、 role distribute コマンドを使用して、ファブリックのすべてのスイッチで、配信をイネーブルにする必要があります。
例
次に、ファブリックのスイッチにユーザ ロール設定の配信を開始する例を示します。
関連コマンド
|
|
|
|---|---|
role distribute
ユーザ ロールの Cisco Fabric Services 配信をイネーブルにするには、 role distribute コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次の例では、ロールのファブリック配信をイネーブルにする方法を示します。
次の例では、ロールのファブリック配信をディセーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
role feature-group name
ユーザ ロール機能グループを作成または指定し、ユーザ ロール機能グループ コンフィギュレーション モードを開始するには、 role feature-group name コマンドを使用します。ユーザ ロール機能グループを削除するには、このコマンドの no 形式を使用します。
role feature-group name group-name
no role feature-group name group-name
構文の説明
ユーザ ロール機能グループ名。 group-name の最大文字数は 32 で、大文字と小文字が区別され、英数字文字列で指定します。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco NX-OS ソフトウェアは、レイヤ 3 機能のデフォルト ユーザ ロール機能グループ L3 を備えています。L3 ユーザ ロール機能グループを変更または削除できません。
例
次に、ユーザ ロール機能グループを作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
ユーザ ロール機能グループを指定または作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始します。 |
|
role name
ユーザ ロールまたは権限ロールを作成または変更し、ユーザ ロール コンフィギュレーション モードを開始するには、 role name コマンドを使用します。ユーザ ロールを削除するには、このコマンドの no 形式を使用します。
role name { role-name | priv- n }
no role name { role-name | priv- n }
構文の説明
ユーザ ロール名。 role-name 引数 の最大文字数は 16 で、大文字と小文字が区別され、英数字文字列で指定します。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco NX-OS ソフトウェアには、デフォルトで次の 4 つのユーザ ロールが用意されています。
•
network-admin:NX-OS デバイス全体に対する読み取り/書き込みアクセスを実行できます(デフォルト DVC でだけ使用可能)。
• network-operator:NX-OS デバイス全体に対する読み取りアクセスを実行できます(デフォルト DVC でだけ使用可能)。
• vdc-admin:VDC に限定した読み取り/書き込みアクセス。
• vdc-operator:VDC に限定した読み取りアクセス。
権限ロールのルールを変更する場合は、次の注意事項に従う必要があります。
• priv-14 ロールと priv-15 ロールは変更できません。
• priv-0 ロールでは以下のコマンドは常に許可されます。 configure 、 copy 、 dir 、 enable 、 ping 、 show 、 ssh 、 telnet 、 terminal 、 traceroute 、 end 、 exit 。
例
次に、ユーザ ロールを作成して、ユーザ ロール コンフィギュレーション モードを開始する例を示します。
次に、ユーザの権限レベル 5 をイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
rsakeypair
RSA キー ペアの詳細を設定し、トラストポイントへ関連付けるには、 rsakeypair コマンドを使用します。トラストポイントから RSA キー ペアの関連付けを解除するには、このコマンドの no 形式を使用します。
rsakeypair key-pair-label [ key-pair-size ]
no rsakeypair key-pair-label [ key-pair-size ]
構文の説明
(任意)RSA キー ペアのサイズ。サイズの値は、512 ビット、768 ビット、1024 ビット、1536 ビット、および 2048 ビットです。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
同じキー ペアを多くのトラストポイント CA に関連付けられる場合でも、1 つの RSA キー ペアをトラストポイント CA に関連付けられます。この関連付けは、CA とともに登録し、アイデンティティ証明書を取得する前に発生します。( crypto key generate コマンドを使用して)キー ペアを前に生成済みの場合で、その後、キー ペア サイズを指定する場合、生成中に使用された同じサイズにする必要があります。指定されたキー ペアがまだ生成されていない場合、登録中に、生成済みの RSA キー ペアに対して、 crypto ca enroll コマンドを使用できます。
(注) トラストポイントからキー ペアの関連付けを解除するには、rsakeypair コマンドの no 形式を使用します。no rsakeypair コマンドを入力する前に、アイデンティティ証明書がある場合には、まず、それをトラストポイント CA から削除し、トラストポイントのアイデンティティ証明書とキー ペアとの間の関連付けに一貫性が保たれるようにします。
例
次に、トラストポイントに対して RSA キー ペアを関連付ける例を示します。
次に、トラストポイントから RSA キー ペアの関連付けを解除する例を示します。
関連コマンド
|
|
|
|---|---|
rule
ユーザ ロールまたは権限ロールのユーザのルールを設定するには、 rule コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
rule number { deny | permit } { command command-string | { read | read-write } oid snmp_oid_name [ feature feature-name | feature-group group-name ]}
構文の説明
ルールのシーケンス番号。Cisco NX-OS ソフトウェアは、最初に最大値を使用してルールを適用し、それ以降は降順で適用します。有効範囲は 1 ~ 256 です。 |
|
(任意)機能名を指定します。Cisco NX-OS 機能名を表示するには、 show role feature コマンドを使用します。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
指定するルール番号は、適用したルールの順序を決めます。ルールは降順で適用されます。たとえば、1 つのロールが 3 つの規則を持っている場合、規則 3 が規則 2 よりも前に適用され、規則 2 は規則 1 よりも前に適用されます。
例
関連コマンド
|
|
|
|---|---|
フィードバック