- sa ipsec から sessions maximum まで
- set aggressive-mode client-endpoint から show content-scan まで
- show diameter peer から show object-group まで
- show parameter-map type consent から show users まで
- show vlan group から switchport port-security violation まで
- tacacs-server administration から title-color まで
- traffic-export から zone security まで
- Index
Cisco IOS セキュリティ コマンド リファレンス:コマンド S から Z、Cisco IOS XE Release 3SE(Catalyst 3850 スイッチ)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月27日
章のタイトル: show vlan group から switchport port-security violation まで
single-connection
単一の TCP 接続を使用したすべての TACACS パケットの同じサーバへの送信をイネーブルにするには、TACACS+ サーバ コンフィギュレーション モードで single-connection コマンドを使用します。 この機能をディセーブルにするには、このコマンドの no 形式を使用します。
single-connection
no single-connection
構文の説明
このコマンドには引数またはキーワードはありません。
コマンド デフォルト
TACACS パケットは単一の TCP 接続では送信されません。
コマンド モード
TACACS+ サーバ コンフィギュレーション(config-server-tacacs)
コマンド履歴
| リリース |
変更内容 |
|---|---|
| Cisco IOS XE Release 3.2S |
このコマンドが導入されました。 |
使用上のガイドライン
single-connection コマンドを使用して、単一の TCP 接続を介してすべての TACACS パケットを同じサーバに向けて多重化します。
例
次に、単一の TCP 接続を介して、すべての TACACS パケットを TACACS サーバに向けて多重化する例を示します。
Router (config)# tacacs server server1 Router(config-server-tacacs)# single-connection
関連コマンド
| コマンド |
説明 |
|---|---|
| tacacs server |
IPv6 または IPv4 に対して TACACS+ サーバを設定して、config server tacacs モードを開始します。 |
source
送信元アドレスに順次番号を付けるには、IKEv2 FlexVPN クライアント プロファイル コンフィギュレーション モードで source コマンドを使用します。 シーケンスを削除するには、このコマンドの no 形式を使用します。
source sequence interface track track-number
no source sequence
構文の説明
sequence |
シーケンス番号を割り当てます。 |
interface |
インターフェイスのタイプと番号 |
track track-number |
トラック番号を使用して送信元アドレスをトラッキングします。 |
コマンド デフォルト
トラック ステータスは常にアップ状態です。
コマンド モード
IKEv2 FlexVPN クライアント プロファイル コンフィギュレーション(config-ikev2-flexvpn)
コマンド履歴
リリース |
変更内容 |
|---|---|
| 15.2(1)T |
このコマンドが導入されました。 |
| Cisco IOS XE Release 3.7S |
このコマンドが、Cisco IOS XE Release 3.7S に統合されました。 |
使用上のガイドライン
このコマンドをイネーブルにする前に、crypto ikev2 client flexvpn コマンドを設定する必要があります。
シーケンス番号が一番小さいものが送信元アドレスで、これに対しては送信元 IP アドレスがトンネル インターフェイスのトンネル VRF で使用可能な場合だけ、トラック オブジェクトがアップ状態になります。 送信元に対してセッションがアップ状態である場合、その送信元は「現在アクティブな送信元」と呼ばれます。
 (注) |
このコマンドが変更された結果、アクティブなセッションが終了されます。 |
例
次に、スタティック ピアを定義する例を示します。
Router(config)# crypto ikev2 client flexvpn client1 Router(config-ikev2-flexvpn)# source 1 Ethernet 0/1 track 11
関連コマンド
コマンド |
説明 |
|---|---|
crypto ikev2 client flexvpn |
IKEv2 FlexVPN クライアント プロファイルを定義します。 |
ssh
リモート ネットワーキング デバイスとの暗号化されたセッションを開始するには、特権 EXEC モードまたはユーザ EXEC モードで ssh コマンドを使用します。
ssh [ -v { 1 | 2 } | c { 3des | aes128-cbc | aes192-cbc | aes256-cbc } | -l userid | -l userid:vrfname number ip-address ip-address | -l userid:rotary number ip-address | -m { hmac-md5 | hmac-md5-96 | hmac-sha1 | hmac-sha1-96 } | -o numberofpasswordprompts n | -p port-num ] { ip-addr | hostname } [ command | -vrf ]
構文の説明
コマンド デフォルト
コマンドが使用されない場合、暗号化セッションは存在しません。
コマンド モード
ユーザ EXEC(>)特権 EXEC(#)
コマンド履歴
| リリース |
変更内容 |
|---|---|
| 12.1(3)T |
このコマンドが導入されました。 |
| 12.2(8)T |
IPv6 アドレスのサポートが追加されました。 |
| 12.0(21)ST |
IPv6 アドレスのサポートが Cisco IOS Release 12.0(21)ST に統合されました。 |
| 12.0(22)S |
IPv6 アドレスのサポートが Cisco IOS Release 12.0(22)S に統合されました。 |
| 12.2(14)S |
IPv6 アドレスのサポートが Cisco IOS Release 12.2(14)S に統合されました。 |
| 12.2(17a)SX |
このコマンドが Cisco IOS Release 12.2(17a)SX に統合されました。 |
| 12.3(7)T |
このコマンドは、セキュア シェル バージョン 2 をサポートするように拡張されました。 -c キーワードは、aes128-cbc、aes192-cbc、および aes256-cbc 暗号アルゴリズムのサポートを含めるために拡張されました。 -m キーワードが、アルゴリズム hmac-md5、hmac-md5-96、hmac-sha1、および hmac-sha1-96 とあわせて追加されました。 -v キーワードと引数1 および 2 が追加されました。 |
| 12.2(25)S |
このコマンドが、Cisco IOS Release 12.2(25)S に統合されました。 |
| 12.3(11)T |
-l userid : number ip-address および -l userid : rotary number ip-address キーワードと引数オプションが追加されました。 |
| 12.2(28)SB |
このコマンドが、Cisco IOS Release 12.2(28)SB に統合されました。 |
| 12.2(25)SG |
このコマンドが、Cisco IOS Release 12.2(25)SG に統合されました。 |
| 12.3(7)JA |
このコマンドが、Cisco IOS Release 12.3(7)JA に統合されました。 |
| 12.2(33)SRA |
このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。 |
| 12.0(32)SY |
このコマンドが、Cisco IOS Release 12.0(32)SY に統合されました。 |
| 12.2(33)SXH |
このコマンドが、Cisco IOS Release 12.2(33)SXH に統合されました。 |
| 12.4(20)T |
-l userid : vrfname number ip-address キーワードと引数および -vrf キーワードが追加されました。 |
| Cisco IOS XE Release 2.4 |
このコマンドは、Cisco ASR 1000 シリーズ ルータで導入されました。 |
使用上のガイドライン
ssh コマンドを使用することで、Cisco ルータは別の Cisco ルータまたは SSH バージョン 1 またはバージョン 2 サーバを実行しているデバイスとの間に、安全で暗号化された接続を確立できます。 この接続は、接続が暗号化されている点を除き、アウトバウンド Telnet 接続の機能と同様です。 認証と暗号化により、SSH クライアントは、セキュリティ保護されていないネットワーク上でもセキュアな通信を実現できます。
(注) |
SSH バージョン 1 は、DES(56 ビット)および 3DES(168 ビット)データ暗号化ソフトウェア イメージでだけサポートされます。 DES ソフトウェア イメージの場合、使用できる暗号化アルゴリズムは DES だけです。 3DES ソフトウェア イメージの場合、DES と 3DES の両方の暗号化アルゴリズムを使用できます。 |
- SSH バージョン 2 は、aes128-cbc、aes192-cbc、および aes256-cbc 暗号化アルゴリズムだけをサポートしています。 SSH バージョン 2 は、3DES イメージでのみサポートされています。
- SSH バージョン 1 では、HMAC アルゴリズムがサポートされていません。
次に、ローカル ルータとリモート ホスト HQhost の間で安全なセッションを開始し、show users コマンドを実行する例を示します。 show users コマンドの結果は、HQhost にログインしている有効なユーザのリストです。 リモート ホストは、ユーザ adminHQ を認証するために、adminHQ パスワードを要求します。 認証ステップが成功すると、リモート ホストは、show users コマンドの結果をローカル ルータに返してから、セッションを閉じます。
ssh -l adminHQ HQhost "show users"
次に、ローカル ルータとエッジ ルータ HQedge の間で安全なセッションを開始し、show ip route コマンドを実行する例を示します。 この例では、エッジ ルータはユーザを認証するために、adminHQ パスワードを要求します。 認証ステップが成功すると、エッジ ルータは、show ip route コマンドの結果をローカル ルータに返します。
ssh -l adminHQ HQedge "show ip route"
次に、3DES を使用して HQedge ルータと安全なリモート コマンド接続を開始する SSH クライアントの例を示します。 HQedge で稼働している SSH サーバは、標準の認証方式を使用して HQedge ルータの admin7 ユーザのセッションを認証します。 認証が機能するためには、HQedge ルータで SSH がイネーブルになっている必要があります。
ssh -l admin7 -c 3des -o numberofpasswordprompts 5 HQedge
次に、show running-config コマンドを実行するための、ローカル ルータとアドレス 3ffe:1111:2222:1044::72 のリモート IPv6 ルータとの間の安全なセッションの例を示します。 この例では、リモート IPv6 ルータはユーザを認証するために、adminHQ パスワードを要求します。 認証ステップが成功すると、リモート IPv6 ルータは、show unning-config コマンドの結果をローカル ルータに返してから、セッションを閉じます。
ssh -l adminHQ 3ffe:1111:2222:1044::72 "show running-config"
(注) |
最後の例では、IPv6 アドレス 3ffe:1111:2222:1044::72 にマップするホスト名が使用される可能性があります。 |
次に、クリプト アルゴリズム aes256-cbc と hmac-sha1-96 の HMAC を使用する SSH バージョン 2 セッションの例を示します。 ユーザ ID は user2、IP アドレスは 10.76.82.24 です。
ssh -v 2 -c aes256-cbc -m hmac-sha1-96 -1 user2 10.76.82.24
次に、SSH クライアントでリバース SSH が設定されている例を示します。
ssh -l lab:1 router.example.com
次のコマンドは、リバース SSH がロータリー グループの最初の空き回線に接続されることを表示します。
ssh -l lab:rotary1 router.example.com
関連コマンド
| コマンド |
説明 |
|---|---|
| ip ssh |
ルータに SSH サーバの制御パラメータを設定します。 |
| show ip ssh |
SSH のバージョンおよび設定データを表示します。 |
| show ssh |
SSH サーバ接続のステータスを表示します。 |
switchport port-security
インターフェイスでポート セキュリティをイネーブルにするには、インターフェイス コンフィギュレーション モードで switchport port-security コマンドを使用します。 ポート セキュリティをディセーブルにするには、このコマンドの no 形式を使用します。
switchport port-security
no switchport port-security
構文の説明
このコマンドにはキーワードまたは引数はありません。
コマンド デフォルト
ディセーブル
コマンド モード
インターフェイス コンフィギュレーション
コマンド履歴
| リリース |
変更内容 |
|---|---|
| 12.2(14)SX |
このコマンドのサポートが Supervisor Engine 720 に追加されました。 |
| 12.2(17d)SXB |
Supervisor Engine 2 上のこのコマンドのサポートがリリース 12.2(17d)SXB に拡張されました。 |
| 12.2(18)SXE |
Supervisor Engine 720 でこのコマンドが次のように変更されました。 |
| 12.2(33)SRA |
このコマンドが、Cisco IOS Release 12.2(33)SRA に統合されました。 |
使用上のガイドライン
ポート セキュリティを設定するときには、次の注意事項に従ってください。
- リリース 12.2(18)SXE 以降のリリースでは、トランクでポート セキュリティがサポートされます。
- リリース 12.2(18)SXE よりも前のリリースでは、トランクでポート セキュリティはサポートされません。
- リリース 12.2(18)SXE 以降のリリースでは、802.1Q トンネル ポートでポート セキュリティがサポートされます。
- リリース 12.2(18)SXE よりも前のリリースでは、802.1Q トンネル ポートでポート セキュリティはサポートされません。
- セキュア ポートは、スイッチド ポート アナライザ(SPAN)の宛先ポートにできません。
- セキュア ポートは、EtherChannel に所属できません。
- セキュア ポートはトランク ポートにはできません。
- セキュア ポートは 802.1X ポートにはできません。 セキュア ポートで 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、802.1x はイネーブルになりません。 802.1x 対応ポートをセキュア ポートに変更しようとしても、エラー メッセージが表示され、セキュリティ設定は変更されません。
例
次に、ポート セキュリティをイネーブルにする例を示します。
Router(config-if)# switchport port-security
次に、ポート セキュリティをディセーブルにする例を示します。
関連コマンド
| コマンド |
説明 |
|---|---|
| show port-security |
ポート セキュリティ設定情報を表示します。 |
フィードバック