この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
NX-OS デバイスにすべての RADIUS サーバのデッド タイム間隔を設定するには、 radius-server deadtime コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
radius-server deadtime minutes
no radius-server deadtime minutes
|
|
デッド タイム間隔は、NX-OS デバイスが応答のなかった RADIUS サーバを確認するまでの分数です。
(注) デフォルトのアイドル タイマー値は、0 分です。アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。
次に、すべての RADIUS サーバの定期的なモニタリングを実行するグローバル デッド タイム間隔を設定する例を示します。
次に、すべての RADIUS サーバのグローバル デッド タイム間隔をデフォルトに戻して、サーバの定期的なモニタリングをディセーブルにする例を示します。
|
|
---|---|
ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにするには、 radius-server directed-request コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
radius-server directed-request
no radius-server directed-request
|
|
ログイン時、 username @ vrfname : hostname を指定できます。vrfname は、使用する Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)インスタンスで、hostname は、設定した RADIUS サーバ名です。ユーザ名が認証用に RADIUS サーバに送信されます。
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにする例を示します。
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できないようにする例を示します。
|
|
---|---|
RADIUS サーバ パラメータを設定するには、 radius-server host コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
radius-server host { hostname | ipv4-address | ipv6-address }
[key [0 | 7] shared-secret [pac]] [accounting]
[acct-port port-number ] [auth-port port-number ] [authentication] [retransmit count ]
[ test { idle-time time | password password | username name }]
[timeout seconds [retransmit count ]]
no radius-server host { hostname | ipv4-address | ipv6-address }
[key [0 | 7] shared-secret [pac]] [accounting]
[acct-port port-number ] [auth-port port-number ] [authentication] [retransmit count ]
[ test { idle-time time | password password | username name }]
[timeout seconds [retransmit count ]]
|
|
次に、RADIUS サーバの認証とアカウンティングのパラメータを設定する例を示します。
|
|
---|---|
RADIUS 共有秘密鍵を設定するには、 radius-server key コマンドを使用します。設定した共有秘密鍵を削除するには、このコマンドの no 形式を使用します。
radius-server key [ 0 | 7 ] shared-secret
no radius-server key [ 0 | 7 ] shared-secret
RADIUS クライアントとサーバ間の通信を認証するのに使用される事前共有鍵。事前共有鍵には、出力可能な ASCII 文字の使用が可能です(空白文字は使用できません)。大文字と小文字が区別され、長さは 63 文字に制限されています。 |
|
|
RADIUS 事前共有鍵を設定して、RADIUS サーバに対してスイッチを認証する必要があります。鍵の長さは 63 文字に制限されており、出力可能な ASCII 文字の使用が可能です(空白文字は使用できません)。グローバル鍵は、スイッチにあるすべての RADIUS サーバ コンフィギュレーションで使用するよう設定できます。 radius-server host コマンドで key キーワードを使用することでこのグローバル鍵の割り当てを上書きできます。
次に、RADIUS 認証を設定する各種のシナリオを提供する例を示します。
|
|
---|---|
デバイスが RADIUS サーバで要求を試行する回数を指定するには、 radius-server retransmit コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
radius-server retransmit count
no radius-server retransmit count
デバイスがローカル認証に戻る前に RADIUS サーバ(複数可)への接続試行を行う回数。有効範囲は 1 ~ 5 回です。 |
|
|
次に、RADIUS サーバに再送信回数を設定する例を示します。
次に、RADIUS サーバに再送信のデフォルト数を設定する例を示します。
|
|
---|---|
RADIUS サーバへの再送信間隔を指定するには、 radius-server timeout コマンドを使用します。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。
no radius-server timeout seconds
|
|
|
|
---|---|
IP ポート オブジェクト グループにグループ メンバーとしてポートの範囲を指定するには、 range コマンドを使用します。ポート オブジェクト グループからポート範囲のグループ メンバーを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] range starting-port-number ending-port-number
no { sequence-number | range starting-port-number ending-port-number }
(任意)このグループ メンバーのシーケンス番号。シーケンス番号は、オブジェクト グループ内でグループ メンバーの順序を保ちます。有効なシーケンス番号は 1 ~ 4294967295 です。シーケンス番号を指定しない場合、デバイスは最大シーケンス番号より 10 大きい番号を現在のオブジェクト グループに割り当てます。 |
|
IP ポート オブジェクト グループ コンフィギュレーション
|
|
IP ポート オブジェクト グループには方向性がありません。 range コマンドが送信元ポートまたは宛先ポートに一致するかどうか、または着信または発信トラフィックに適用するかどうかは、ACL 内のオブジェクト グループの使用方法によって異なります。
次に、ポート 137 ~ 139 間で送信されるトラフィックに一致するグループ メンバーで port-group-05 という名前の IP ポート オブジェクト グループを設定する例を示します。
|
|
---|---|
IPv4 または MAC Access Control List(ACL; アクセス コントロール リスト)にコメントを入力するには、 remark コマンドを使用します。 remark コマンドを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] remark remark
no { sequence-number | remark remark }
IP アクセスリスト コンフィギュレーション
MAC アクセスリスト コンフィギュレーション
|
|
remark 引数には、最大 100 文字を指定できます。 remark 引数に 100 より多い文字を入力すると、デバイスは最初の 100 文字を受け入れ、それ以上の文字を廃棄します。
次に、IPv4 ACL にリマークを作成して、結果を表示する例を示します。
|
|
---|---|
インターフェイス上の Cisco TrustSec 認証のデータパス リプレイ保護機能をイネーブルにするには、 replay-protection コマンドを使用します。データパス レプレイ保護機能をディセーブルにするには、このコマンドの no 形式を使用します。
Cisco TrustSec 802.1X コンフィギュレーション
|
|
このコマンドを使用するには、 feature cts コマンドを使用して Cisco TrustSec 機能をイネーブルにする必要があります。
このコマンドを使用したあと、 shutdown / no shutdown コマンド シーケンスを使用してインターフェイスをイネーブルおよびディセーブルにして、設定を有効にする必要があります。
次に、インターフェイス上の Cisco TrustSec 認証のデータパス保護をイネーブルにする例を示します。
次に、インターフェイス上の Cisco TrustSec 認証のデータパス保護をディセーブルにする例を示します。
|
|
---|---|
Access Control List(ACL; アクセス コントロール リスト)のすべてのルールまたは時間の範囲にシーケンス番号を再度割り当てるには、 resequence コマンドを使用します。
resequence access-list-type access-list access-list-name starting-sequence-number increment
resequence time-range time-range-name starting-sequence-number increment
|
|
resequence コマンドを使用すると、ACL のルールまたは時間の範囲にシーケンス番号を再度割り当てることができます。最初のルールの新しいシーケンス番号は、 starting-sequence-number 引数によって決まります。その他の各ルールは、 increment 引数によって決まる新しいシーケンス番号を受け取ります。最大シーケンス番号がシーケンス番号の許容最大値を超えると、シーケンスが実行されず、次のメッセージが表示されます。
次に、 show ip access-lists コマンドを使用して、100 のシーケンス番号で開始し、10 ずつ増える ip-acl-01 という名前の IPv4 ACL のシーケンスを再度実行し、 resequence コマンドの使用の前後のシーケンス番号を確認する例を示します。
|
|
---|---|
ユーザ ロール機能グループを作成または指定し、ユーザ ロール機能グループ コンフィギュレーション モードを開始するには、 role feature-group name コマンドを使用します。ユーザ ロール機能グループを削除するには、このコマンドの no 形式を使用します。
role feature-group name group-name
no role feature-group name group-name
ユーザ ロール機能グループ名。 group-name の最大文字数は 32 で、大文字と小文字が区別され、英数字文字列で指定します。 |
|
|
NX-OS ソフトウェアは、レイヤ 3 機能のデフォルト ユーザ ロール機能グループを備えています。L3 ユーザ ロール機能グループを変更または削除できません。
次に、ユーザ ロール機能グループを作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
ユーザ ロール機能グループを指定または作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始します。 |
|
ユーザ ロールを作成または指定し、ユーザ ロール コンフィギュレーション モードを開始するには、 role name コマンドを使用します。ユーザ ロールを削除するには、このコマンドの no 形式を使用します。
|
|
NX-OS ソフトウェアは、4 つのデフォルト ユーザ ロールを備えています。
• network-admin ― NX-OS デバイス全体に対する読み取り/書き込みアクセスを実行できます(デフォルト DVC でのみ使用可能)
• network-operator ― NX-OS デバイス全体に対する読み取りアクセスを実行できます(デフォルト DVC でのみ使用可能)
• vdc-admin ― VDC に限定した読み取り/書き込みアクセス
次に、ユーザ ロールを作成して、ユーザ ロール コンフィギュレーション モードを開始する例を示します。
|
|
---|---|
ユーザ ロールのルールを設定するには、 rule コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
rule number {deny | permit} { command command-string | {read | read-write} [feature feature-name | feature-group group-name ]}
ルールのシーケンス番号。NX-OS ソフトウェアは、最初に最大値を使用してルールを適用し、それ以降は降順で適用されます。有効範囲は 1 ~ 256 です。 |
|
(任意)機能名を指定します。NX-OS 機能名を表示するには、 show role feature コマンドを使用します。 |
|
|
|
指定するルール番号は、適用したルールの順序を決めます。ルールは降順で適用されます。たとえば、1 つのロールに 3 つのルールがある場合は、ルール 3、ルール 2、ルール 1 の順に適用されます。
|
|
---|---|