この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
処理中の RADIUS Cisco Fabric Services 配信セッションを廃棄するには、 コンフィギュレーション モードで radius abort コマンドを使用します。
|
|
次に、処理中の RADIUS Cisco Fabric Services 配信セッションを廃棄する例を示します。
|
|
---|---|
ファブリックで処理中の RADIUS Cisco Fabric Services(CFS)配信セッションについて、ペンディングの設定を適用するには、 コンフィギュレーション モードで radius commit コマンドを使用します。
|
|
RADIUS の設定をファブリックにコミットする前に、 radius distribute コマンドを使用して、ファブリックのすべてのスイッチで、配信をイネーブルにする必要があります。
CFS は、RADIUS サーバ グループ設定、定期的な RADIUS サーバ テスト設定、または サーバおよびグローバル キーを配信しません。キーは、Cisco NX-OS デバイスに対して固有で、他の Cisco NX-OS デバイスとは共有されません。
次に、ファブリックのスイッチに RADIUS 設定の配信を開始する例を示します。
|
|
---|---|
RADIUS の Cisco Fabric Services 配信をイネーブルにするには、 radius distribute コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
CFS は、RADIUS サーバ グループ設定、定期的な RADIUS サーバ テスト設定、または サーバおよびグローバル キーを配信しません。キーは、Cisco NX-OS デバイスに対して固有で、他の Cisco NX-OS デバイスとは共有されません。
次の例では、RADIUS ファブリック配信をイネーブルにする方法を示します。
次の例では、RADIUS ファブリック配信をディセーブルにする方法を示します。
|
|
---|---|
Cisco NX-OS デバイスにすべての RADIUS サーバのデッド タイム間隔を設定するには、 radius-server deadtime コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server deadtime minutes
no radius-server deadtime minutes
|
|
デッド タイム間隔は、Cisco NX-OS デバイスが応答のなかった RADIUS サーバを確認するまでの分数です。
(注) デフォルトのアイドル タイマー値は、0 分です。アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。
次に、すべての RADIUS サーバの定期的なモニタリングを実行するグローバル デッド タイム間隔を設定する例を示します。
次に、すべての RADIUS サーバのグローバル デッド タイム間隔をデフォルトに戻して、サーバの定期的なモニタリングをディセーブルにする例を示します。
|
|
---|---|
ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにするには、 radius-server directed-request コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server directed-request
no radius-server directed-request
|
|
ログイン時、 username @ vrfname : hostname を指定できます。vrfname は、使用する Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)インスタンスで、hostname は、設定した RADIUS サーバ名です。ユーザ名が認証用に RADIUS サーバに送信されます。
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにする例を示します。
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できないようにする例を示します。
|
|
---|---|
RADIUS サーバ パラメータを設定するには、 radius-server host コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server host { hostname | ipv4-address | ipv6-address }
[ key [ 0 | 7 ] shared-secret [ pac ]] [ accounting ]
[ acct-port port-number ] [ auth-port port-number ] [ authentication ] [ retransmit count ]
[ test { idle-time time | password password | username name }]
[ timeout seconds [ retransmit count ]]
no radius-server host { hostname | ipv4-address | ipv6-address }
[ key [ 0 | 7 ] shared-secret [ pac ]] [ accounting ]
[ acct-port port-number ] [ auth-port port-number ] [ authentication ] [ retransmit count ]
[ test { idle-time time | password password | username name }]
[ timeout seconds [ retransmit count ]]
|
|
次に、RADIUS サーバの認証とアカウンティングのパラメータを設定する例を示します。
|
|
---|---|
RADIUS 共有秘密鍵を設定するには、 radius-server key コマンドを使用します。設定した共有秘密鍵を削除するには、このコマンドの no 形式を使用します。
radius-server key [ 0 | 7 ] shared-secret
no radius-server key [ 0 | 7 ] shared-secret
RADIUS クライアントとサーバ間の通信を認証するのに使用される事前共有鍵。事前共有鍵には、出力可能な ASCII 文字の使用が可能です(空白文字は使用できません)。大文字と小文字が区別され、長さは 63 文字に制限されています。 |
|
|
RADIUS 事前共有鍵を設定して、RADIUS サーバに対してスイッチを認証する必要があります。鍵の長さは 63 文字に制限されており、出力可能な ASCII 文字の使用が可能です(空白文字は使用できません)。グローバル鍵は、スイッチにあるすべての RADIUS サーバ コンフィギュレーションで使用するよう設定できます。 radius-server host コマンドで key キーワードを使用することでこのグローバル鍵の割り当てを上書きできます。
次に、RADIUS 認証を設定する各種のシナリオを提供する例を示します。
|
|
---|---|
デバイスが RADIUS サーバで要求を試行する回数を指定するには、 radius-server retransmit コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server retransmit count
no radius-server retransmit count
デバイスがローカル認証に戻る前に RADIUS サーバ(複数可)への接続試行を行う回数。有効範囲は 1 ~ 5 回です。 |
|
|
次に、RADIUS サーバに再送信回数を設定する例を示します。
次に、RADIUS サーバに再送信のデフォルト数を設定する例を示します。
|
|
---|---|
RADIUS サーバごとに個別にテスト パラメータを設定する必要なく、すべてのサーバの可用性をモニタするには、 radius-server test コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。
radius-server test { idle-time time | password password | username name }
no radius-server test { idle-time time | password password | username name }
|
|
このコマンドを使用するには、RADIUS 認証をイネーブルにする必要があります。
テスト パラメータが設定されていないサーバは、グローバル レベル パラメータを使用してモニタされます。
各サーバに設定されているテスト パラメータは、グローバル テスト パラメータより優先されます。
次に、RADIUS サーバ グローバル モニタリング用のパラメータを設定する例を示します。
|
|
---|---|
RADIUS サーバへの再送信間隔を指定するには、 radius-server timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no radius-server timeout seconds
|
|
|
|
---|---|
IP ポート オブジェクト グループにグループ メンバーとしてポートの範囲を指定するには、 range コマンドを使用します。ポート オブジェクト グループからポート範囲のグループ メンバーを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] range starting-port-number ending-port-number
no { sequence-number | range starting-port-number ending-port-number }
(任意)このグループ メンバーのシーケンス番号。シーケンス番号は、オブジェクト グループ内でグループ メンバーの順序を保ちます。有効なシーケンス番号は 1 ~ 4294967295 です。シーケンス番号を指定しない場合、デバイスは最大シーケンス番号より 10 大きい番号を現在のオブジェクト グループに割り当てます。 |
|
IP ポート オブジェクト グループ コンフィギュレーション
|
|
IP ポート オブジェクト グループには方向性がありません。 range コマンドが送信元ポートまたは宛先ポートに一致するかどうか、または着信または発信トラフィックに適用するかどうかは、ACL 内のオブジェクト グループの使用方法によって異なります。
次に、ポート 137 ~ 139 間で送信されるトラフィックに一致するグループ メンバーで port-group-05 という名前の IP ポート オブジェクト グループを設定する例を示します。
|
|
---|---|
IPv4、IPv6、または MAC Access Control List(ACL; アクセス コントロール リスト)にコメントを入力するには、 remark コマンドを使用します。 remark コマンドを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] remark remark
no { sequence-number | remark remark }
IP アクセスリスト コンフィギュレーション
IPv6 アクセスリスト コンフィギュレーション
MAC アクセスリスト コンフィギュレーション
|
|
remark 引数には、最大 100 文字を指定できます。 remark 引数に 100 より多い文字を入力すると、デバイスは最初の 100 文字を受け入れ、それ以上の文字を廃棄します。
次に、IPv4 ACL にリマークを作成して、結果を表示する例を示します。
|
|
---|---|
インターフェイス上の Cisco TrustSec 認証のデータパス リプレイ保護機能をイネーブルにするには、 replay-protection コマンドを使用します。データパス レプレイ保護機能をディセーブルにするには、このコマンドの no 形式を使用します。
Cisco TrustSec 802.1X コンフィギュレーション
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、設定を有効にするには、 shutdown / no shutdown コマンド シーケンスを使用することによってインターフェイスをイネーブルおよびディセーブルにする必要があります。
次に、インターフェイス上の Cisco TrustSec 認証のデータパス保護をイネーブルにする例を示します。
次に、インターフェイス上の Cisco TrustSec 認証のデータパス保護をディセーブルにする例を示します。
|
|
---|---|
Access Control List(ACL; アクセス コントロール リスト)のすべてのルールまたは時間の範囲にシーケンス番号を再度割り当てるには、 resequence コマンドを使用します。
resequence access-list-type access-list access-list-name starting-sequence-number increment
resequence time-range time-range-name starting-sequence-number increment
|
|
resequence コマンドを使用すると、ACL のルールまたは時間の範囲にシーケンス番号を再度割り当てることができます。最初のルールの新しいシーケンス番号は、 starting-sequence-number 引数によって決まります。その他の各ルールは、 increment 引数によって決まる新しいシーケンス番号を受け取ります。最大シーケンス番号がシーケンス番号の許容最大値を超えると、シーケンスが実行されず、次のメッセージが表示されます。
次に、 show ip access-lists コマンドを使用して、100 のシーケンス番号で開始し、10 ずつ増える ip-acl-01 という名前の IPv4 ACL のシーケンスを再度実行し、 resequence コマンドの使用の前後のシーケンス番号を確認する例を示します。
|
|
---|---|
トラストポイント失効チェック方法を設定するには、 revocation-check コマンドを参照してください。失効チェック設定を廃棄するには、このコマンドの no 形式を使用します。
revocation-check { crl [ none ] | none }
no revocation-check { crl [ none ] | none }
|
|
---|---|
失効チェックは、順序リストとして指定した 1 つまたは複数の方式で実行できます。ピア証明書確認中に、失効ステータスを指定することによって、1 つの方法に正常終了するまで、指定された順序で各方式が試行されます。方式を none と指定することは、失効ステータスをチェックする必要がないことを意味し、ピア証明書は失効しません。 none が、方式リストで指定した最初の方式の場合、チェックは必要ではないため、後続の方式は指定できません。
次の例では、ローカルに保存されている CRL で失効証明書をチェックする方法を示します。
|
|
---|---|
処理中のユーザ ロール Cisco Fabric Services 配信セッションを廃棄するには、 コンフィギュレーション モードで role abort コマンドを使用します。
|
|
次に、処理中のユーザ ロール Cisco Fabric Services 配信セッションを廃棄する例を示します。
|
|
---|---|
ファブリックで処理中のユーザ ロール Cisco Fabric Services 配信セッションについて、ペンディングの設定を適用するには、 コンフィギュレーション モードで role commit コマンドを使用します。
|
|
ユーザ ロールの設定をファブリックにコミットする前に、 role distribute コマンドを使用して、ファブリックのすべてのスイッチで、配信をイネーブルにする必要があります。
次に、ファブリックのスイッチにユーザ ロール設定の配信を開始する例を示します。
|
|
---|---|
ユーザ ロールの Cisco Fabric Services 配信をイネーブルにするには、 role distribute コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
|
|
次の例では、ロールのファブリック配信をイネーブルにする方法を示します。
次の例では、ロールのファブリック配信をディセーブルにする方法を示します。
|
|
---|---|
ユーザ ロール機能グループを作成または指定し、ユーザ ロール機能グループ コンフィギュレーション モードを開始するには、 role feature-group name コマンドを使用します。ユーザ ロール機能グループを削除するには、このコマンドの no 形式を使用します。
role feature-group name group-name
no role feature-group name group-name
ユーザ ロール機能グループ名。 group-name の最大文字数は 32 で、大文字と小文字が区別され、英数字文字列で指定します。 |
|
|
Cisco NX-OS ソフトウェアは、レイヤ 3 機能のデフォルト ユーザ ロール機能グループ L3 を備えています。L3 ユーザ ロール機能グループを変更または削除できません。
次に、ユーザ ロール機能グループを作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
ユーザ ロール機能グループを指定または作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始します。 |
|
ユーザ ロールまたは権限ロールを作成または変更し、ユーザ ロール コンフィギュレーション モードを開始するには、 role name コマンドを使用します。ユーザ ロールを削除するには、このコマンドの no 形式を使用します。
role name { role-name | priv- n }
no role name { role-name | priv- n }
ユーザ ロール名。 role-name 引数 の最大文字数は 16 で、大文字と小文字が区別され、英数字文字列で指定します。 |
|
|
|
Cisco NX-OS ソフトウェアは、4 つのデフォルト ユーザ ロールを備えています。
• network-admin:Cisco NX-OS デバイス全体に対する読み取り/書き込みアクセスを実行できます(デフォルト DVC でだけ使用可能)
• network-operator:Cisco NX-OS デバイス全体に対する読み取りアクセスを実行できます(デフォルト DVC でだけ使用可能)
• vdc-admin:VDC に限定した読み取り/書き込みアクセス
• vdc-operator:VDC に限定した読み取りアクセス
権限ロールのルールを変更する場合、以下のガイドラインに従う必要があります。
• priv-14 ロールと priv-15 ロールは変更できません。
• priv-0 ロールには deny(拒否)ルールのみを追加できます。
• priv-0 ロールでは以下のコマンドは常に許可されます。 configure 、 copy 、 dir 、 enable 、 ping 、 show 、 ssh 、 telnet 、 terminal 、 traceroute 、 end 、 exit 。
次に、ユーザ ロールを作成して、ユーザ ロール コンフィギュレーション モードを開始する例を示します。
次に、ユーザの権限レベル 5 をイネーブルにする例を示します。
|
|
---|---|
RSA キー ペアの詳細を設定し、トラストポイントへ関連付けるには、 rsakeypair コマンドを使用します。トラストポイントから RSA キー ペアの関連付けを解除するには、このコマンドの no 形式を使用します。
rsakeypair key-pair-label [ key-pair-size ]
no rsakeypair key-pair-label [ key-pair-size ]
(任意)RSA キー ペアのサイズ。サイズの値は、512 ビット、768 ビット、1024 ビット、1536 ビット、および 2048 ビットです。 |
|
|
---|---|
同じキー ペアを多くのトラストポイント CA に関連付けられる場合でも、1 つの RSA キー ペアをトラストポイント CA に関連付けられます。この関連付けは、CA とともに登録し、アイデンティティ証明書を取得する前に発生します。( crypto key generate コマンドを使用して)キー ペアを前に生成済みの場合で、その後、キー ペア サイズを指定する場合、生成中に使用された同じサイズにする必要があります。指定されたキー ペアがまだ生成されていない場合、登録中に、生成済みの RSA キー ペアに対して、 crypto ca enroll コマンドを使用できます。
(注) トラストポイントからキー ペアの関連付けを解除するには、rsakeypair コマンドの no 形式を使用します。no rsakeypair コマンドを入力する前に、アイデンティティ証明書がある場合には、まず、それをトラストポイント CA から削除し、トラストポイントのアイデンティティ証明書とキー ペアとの間の関連付けに一貫性が保たれるようにします。
次に、トラストポイントに対して RSA キー ペアを関連付ける例を示します。
次に、トラストポイントから RSA キー ペアの関連付けを解除する例を示します。
|
|
---|---|
ユーザ ロールまたは権限ロールのユーザのルールを設定するには、 rule コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
rule number { deny | permit } { command command-string | { read | read-write } [ feature feature-name | feature-group group-name ]}
ルールのシーケンス番号。Cisco NX-OS ソフトウェアは、最初に最大値を使用してルールを適用し、それ以降は降順で適用します。有効範囲は 1 ~ 256 です。 |
|
(任意)機能名を指定します。Cisco NX-OS 機能名を表示するには、 show role feature コマンドを使用します。 |
|
|
|
指定するルール番号は、適用したルールの順序を決めます。ルールは降順で適用されます。たとえば、1 つのロールに 3 つのルールがある場合は、ルール 3、ルール 2、ルール 1 の順に適用されます。
|
|
---|---|