Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス リリース 5.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: H コマンド
H コマンド
hardware access-list resource pooling
1 つまたは複数の I/O モジュールで、ACL ベースの機能によって複数の TCAM バンクを使用できるようにするには、 hardware access-list resource pooling コマンドを使用します。ある I/O モジュールで、ACL ベースの機能によって 1 つの TCAM バンクの使用を制限するには、このコマンドの no 形式を使用します。
hardware access-list resource pooling module slot-number-list
no hardware access-list resource pooling module slot-number-list
構文の説明
I/O モジュールを指定します。 slot-number-list 引数を使用すると、占有しているスロット番号によってモジュールを指定できます。単一の I/O モジュール、スロット番号の範囲、カンマで区切ったスロット番号と範囲を指定できます。 |
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
ACL ベースの各機能では、デフォルトで、1 つの I/O モジュールで 1 つの TCAM バンクを使用できます。このデフォルト動作では、各機能が、16,000 TCAM エントリに制限されます。非常に大きなセキュリティ ACL の場合、この制限が検出される可能性があります。 hardware access-list resource pooling コマンドを使用すると、ACL ベースの機能で、16,000 より多い TCAM エントリを使用できます。
例
次の例では、スロット 1 にある I/O モジュールの TCAM バンク中で ACL プログラミングをイネーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
hardware access-list update
スーパーバイザ モジュールが、アクセス コントロール リスト(ACL)に対する変更により、I/O モジュールをアップデートする方法を設定するには、デフォルトの Virtual Device Context(VDC; 仮想デバイス コンテキスト)で hardware access-list update コマンドを使用します。アトミック アップデートをディセーブルにするには、このコマンドの no 形式を使用します。
hardware access-list update { atomic | default-result permit }
no hardware access-list update { atomic | default-result permit }
構文の説明
トラフィックを中断しないでアップデートを実行する、アトミック アップデートを指定します。Cisco Nexus 7000 シリーズ デバイスは、デフォルトで、アトミック ACL アップデートを実行します。 |
|
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
Cisco NX-OS Release 4.1(4) およびそれ以降のリリースでは、デフォルトの VDC で hardware access-list update コマンドを使用でき、すべての VDC に影響が及ぼされます。
Cisco Nexus 7000 シリーズ デバイスのスーパーバイザ モジュールが、ACL への変更を伴って I/O モジュールをアップデートするときには、アトミック ACL アップデートが実行されます。アトミック アップデートでは、アップデートされた ACL が適用されるトラフィックは中断されません。ただし、アトミック アップデートでは、ACL アップデートを受信する I/O モジュールで、影響を受ける ACL で前から存在するすべてのエントリに加え、アップデートされる各 ACL エントリを保存するために使用可能な十分なリソースが必要です。アップデートが完了すると、アップデートに使用された追加リソースは解放されます。I/O モジュールのリソースが不足している場合、エラー メッセージが表示され、I/O モジュールの ACL アップデートは失敗します。
I/O モジュールで、アトミック アップデートに必要なリソースが不足している場合は、 no hardware access-list update atomic コマンドを使用して、デフォルト VDC で アトミック アップデートをディセーブルにできます。ただし、ACL をアップデートして前から存在している ACL を削除するまでの短い処理時間中、ACL が適用されるトラフィックはデフォルトでドロップされます。
非アトミック アップデートの受信中に、ACL が適用されるすべてのトラフィックを許可したい場合は、デフォルト VDC で hardware access-list update default-result permit コマンドを使用します。
例
(注) Cisco NX-OS Release 4.1(4) およびそれ以降のリリースでは、デフォルトの VDC でだけ、hardware access-list update コマンドを使用できます。現在の VDC が VDC 1(デフォルト VDC)であることを確認するには、show vdc current-vdc コマンドを使用します。
次に、ACL のアトミック アップデートをディセーブルにする例を示します。
次に、ACL の非アトミック アップデート中に、対象トラフィックが許可されるように設定する例を示します。
次に、再びアトミック アップデートが実行されるように設定する例を示します。
関連コマンド
|
|
|
|---|---|
hardware rate-limiter
出力トラフィックのレート制限をパケット/秒単位で設定するには、 hardware rate-limiter コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
hardware rate-limiter { access-list-log | copy | layer-2 { l2pt | mcast-snooping | port-security | storm-control | vpc-low } | layer-3 { control | glean | mtu | multicast { directly-connect | local-groups | rpf-leak } | ttl } | receive } packets
no hardware rate-limiter { access-list-log | copy | layer-2 { l2pt | mcast-snooping | port-security | storm-control | vpc-low } | layer-3 { control | glean | mtu | multicast { directly-connect | local-groups | rpf-leak } | ttl } | receive } packets
構文の説明
デフォルト
コマンド モード
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、制御パケットのレート制限をデフォルトの設定に戻す例を示します。
関連コマンド
|
|
|
|---|---|
host(IPv4)
ホストまたはサブネットを IPv4 アドレス オブジェクト グループのメンバーとして指定するには、 host コマンドを使用します。IPv4 アドレス オブジェクト グループからグループ メンバーを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] host IPv4-address
no { sequence-number | host IPv4-address }
[ sequence-number ] IPv4-address network-wildcard
no IPv4-address network-wildcard
[ sequence-number ] IPv4-address / prefix-len
構文の説明
デフォルト
コマンド モード
IPv4 アドレス オブジェクト グループ コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
グループ メンバーとしてサブネットを指定するには、このコマンドを、次のいずれかの形式で使用します。
[ sequence-number ] IPv4-address network-wildcard
[ sequence-number ] IPv4-address / prefix-len
show object-group コマンドを使用すると、サブネットの指定に使用したコマンド形式に関係なく、グループ メンバーの IP-address / prefix-len 形式が表示されます。
グループ メンバーとして単一 IPv4 アドレスを指定するには、このコマンドを、次のいずれかの形式で使用します。
[ sequence-number ] host IPv4-address
[ sequence-number ] IPv4-address 0.0.0.0
[ sequence-number ] IPv4-address /32
show object-group コマンドを使用すると、単一 IPv4 アドレスの指定に使用したコマンド形式に関係なく、グループ メンバーの host IP-address 形式が表示されます。
例
次に、ipv4-addr-group-13 という IPv4 アドレス オブジェクト グループに、グループ メンバーとして 2 つの特定の IPv4 アドレスと、1 つのサブネット 10.23.176.0 を設定する例を示します。
関連コマンド
|
|
|
|---|---|
host(IPv6)
ホストまたはサブネットを IPv6 アドレス オブジェクト グループのメンバーとして指定するには、 host コマンドを使用します。IPv6 アドレス オブジェクト グループからグループ メンバーを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] host IPv6-address
no { sequence-number | host IPv6-address }
[ sequence-number ] IPv6-address / network-prefix
no IPv6-address / network-prefix
構文の説明
デフォルト
コマンド モード
IPv6 アドレス オブジェクト グループ コンフィギュレーション
サポートされるユーザ ロール
コマンド履歴
|
|
|
使用上のガイドライン
グループ メンバーとしてサブネットを指定するには、このコマンドを、次の形式で使用します。
[ sequence-number ] IPv6-address / network-prefix
グループ メンバーとして単一 IPv6 アドレスを指定するには、このコマンドを、次のいずれかの形式で使用します。
[ sequence-number ] host IPv6-address
[ sequence-number ] IPv6-address /128
show object-group コマンドを使用すると、単一 IPv6 アドレスの指定に使用したコマンド形式に関係なく、グループ メンバーの host IPv6-address 形式が表示されます。
例
次に、ipv6-addr-group-A7 という IPv6 アドレス オブジェクト グループに、グループ メンバーとして 2 つの特定の IPv6 アドレスと、1 つのサブネット 2001:db8:0:3ab7::を設定する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック