Cisco Nexus 5000 シリーズ NX-OS セキュリティ コマンド リファレンス Cisco NX-OS Release 4.x、5.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月5日
章のタイトル: D コマンド
D コマンド
deadtime
RADIUS または TACACS+ サーバ グループのデッド タイム間隔を設定するには、 deadtime コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
間隔の分数です。有効な範囲は 0 ~ 1440 分です。デッド タイム間隔をゼロ(0)に設定すると、タイマーがディセーブルになります。 |
コマンド デフォルト
コマンド モード
RADlUS サーバ グループ コンフィギュレーション
TACACS+ サーバ グループ コンフィギュレーション
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、RADIUS サーバ グループのデッド タイム間隔を 2 分に設定する例を示します。
次に、TACACS+ サーバ グループのデッド タイム間隔を 5 分に設定する例を示します。
関連コマンド
|
|
|
|---|---|
deny(ARP)
条件に一致する ARP トラフィックを拒否する ARP ACL ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny ip { any | host sender-IP | sender-IP sender-IP-mask } mac any
no deny ip { any | host sender-IP | sender-IP sender-IP-mask } mac any
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
(注) Cisco NX-OS Release 5.1(3)N1(1) 以降、ARP アクセス リストは、Control Plane Policing(CoPP)に対してだけサポートされます。deny コマンドは CoPP ARP ACL では無視されます。
新しく作成した ARP ACL には、ルールは含まれていません。
シーケンス番号を指定しないと、ACL の最後のルールのシーケンス番号に 10 を加算したシーケンス番号がルールに割り当てられます。
パケットに ARP ACL が適用されると、ACL 内のすべてのルールに対してパケットが評価されます。パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。
例
次に、copp-arp-acl という名前の ARP ACL の ARP アクセス リスト コンフィギュレーション モードを開始し、192.0.32.14/24 サブネット内にある送信者の IP アドレスを含み、それを copp-arp-acl クラスに関連づける ARP 要求メッセージを拒否するルールを追加する例を示します。
関連コマンド
|
|
|
|---|---|
deny(IPv4)
条件と一致するトラフィックを拒否する IPv4 アクセス コントロール リスト(ACL)ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
no deny protocol source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
[ sequence-number ] deny icmp source destination [ icmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
[ sequence-number ] deny igmp source destination [ igmp-message ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
[ sequence-number ] deny ip source destination {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
[ sequence-number ] deny tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ] [ flags ] [ established ]
[ sequence-number ] deny udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] {[ dscp dscp ] | [ precedence precedence ]} [ fragments ] [ time-range time-range-name ]
構文の説明
コマンド デフォルト
新しく作成した IPv4 ACL には、ルールは含まれていません。
シーケンス番号を指定しない場合は、スイッチによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます。
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
スイッチは、パケットに IPv4 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
•
アドレスおよびネットワーク ワイルドカード:IPv4 アドレスおよびネットワーク ワイルドカードを使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよびネットワーク ワイルドカードを使用して、 source 引数を指定する例を示します。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク):IPv4 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は次のとおりです。
次に、192.168.67.0 サブネットの IPv4 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv4 アドレスを使用して、送信元または宛先とするホストを指定できます。構文は次のとおりです。
この構文は、 IPv4-address /32 および IPv4-address 0.0.0.0 と同じです。
次に、 host キーワードおよび 192.168.67.132 IPv4 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv4 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
igmp-message 引数には、0 ~ 255 の整数である ICMP メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。
• administratively-prohibited :管理上の禁止
• general-parameter-problem :パラメータの問題
• host-precedence-unreachable :優先順位のホスト到達不能
• host-tos-redirect :ToS ホスト リダイレクト
• host-tos-unreachable :ToS ホスト到達不能
• mobile-redirect :モバイル ホスト リダイレクト
• net-tos-redirect :ToS ネット リダイレクト
• net-tos-unreachable :ToS ネット到達不能
• no-room-for-option :パラメータが必要だが空きなし
• option-missing :パラメータが必要だが存在しない
• packet-too-big :フラグメンテーションが必要、DF 設定
• parameter-problem :すべてのパラメータの問題
• precedence-unreachable :優先順位カットオフ
• protocol-unreachable :プロトコル到達不能
• reassembly-timeout :再構成タイムアウト
• router-advertisement :ルータ ディスカバリ アドバタイズメント
• router-solicitation :ルータ ディスカバリ要求
• source-route-failed :送信元ルート障害
• time-exceeded :すべての時間超過メッセージ
• timestamp-reply :タイム スタンプ付きの応答
• timestamp-request :タイム スタンプ付きの要求
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• bgp :Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
• domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
• drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
• ftp :File Transfer Protocol(FTP; ファイル転送プロトコル)(21)
• hostname :NIC ホストネーム サーバ(11)
• irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
• nntp :Network News Transport Protocol(NNTP)(119)
• pim-auto-rp :PIM Auto-RP(496)
• pop2 :Post Office Protocol v2(POP2)(19)
• pop3 :Post Office Protocol v3(POP3)(11)
• smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• biff :BIFF(メール通知、comsat、512)
• bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
• bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
• dnsix :DNSIX セキュリティ プロトコル監査(195)
• domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
• isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
• mobile-ip :モバイル IP レジストレーション(434)
• nameserver :IEN116 ネーム サービス(旧式、42)
• netbios-dgm :NetBIOS データグラム サービス(138)
• netbios-ns :NetBIOS ネーム サービス(137)
• netbios-ss :NetBIOS セッション サービス(139)
• non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
• ntp :Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
• pim-auto-rp :PIM Auto-RP(496)
• rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
• snmp :Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
例
次に、10.23.0.0 および 192.168.37.0 ネットワークから 10.176.0.0 ネットワークへのすべての TCP と UDP のトラフィックを拒否するルール、およびその他のすべての IPv4 トラフィックを許可する最後のルールを持つ、acl-lab-01 という名前の IPv4 ACL を設定する例を示します。
関連コマンド
|
|
|
|---|---|
deny(IPv6)
条件と一致するトラフィックを拒否する IPv6 アクセス コントロール リスト(ACL)ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。条件と一致するトラフィックを拒否する IPv6 ACL ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny protocol source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
no deny protocol source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
[ sequence-number | no ] deny icmp source destination [ icmp-message ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
[ sequence-number ] deny ipv6 source destination [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
Stream Control Transmission Protocol
[ sequence-number | no ] deny sctp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
[ sequence-number ] deny tcp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ] [ flags ] [ established ]
[ sequence-number | no ] deny udp source [ operator port [ port ] | portgroup portgroup ] destination [ operator port [ port ] | portgroup portgroup ] [ dscp dscp ] [ flow-label flow-label-value ] [ fragments ] [ time-range time-range-name ]
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
新しく作成した IPv6 ACL には、ルールは含まれていません。
デバイスは、パケットに IPv6 ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。デバイスで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、デバイスはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。どのルールも、1 つの引数の指定方法によって、他の引数の指定方法が決まることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• アドレスおよび Variable-Length Subnet Mask(VLSM; 可変長サブネット マスク):IPv6 アドレスおよび VLSM を使用して、送信元または宛先とするホストまたはネットワークを指定できます。構文は次のとおりです。
次に、2001:0db8:85a3:: ネットワークの IPv6 アドレスおよび VLSM を使用して、 source 引数を指定する例を示します。
• ホスト アドレス: host キーワードおよび IPv6 アドレスを使用して、送信元または宛先とするホストを指定できます。構文は次のとおりです。
この構文は、 IPv6-address /128 と同じです。
次に、 host キーワードおよび 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 IPv6 アドレスを使用して、 source 引数を指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の IPv6 アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
igmp-message 引数には、0 ~ 255 の整数である ICMPv6 メッセージ番号を指定できます。また、次のいずれかのキーワードを指定できます。
• destination-unreachable :宛先アドレスに到達不能
• mld-query :マルチキャスト リスナー ディスカバリ クエリー
• mld-reduction :マルチキャスト リスナー ディスカバリ リダクション
• mld-reduction :マルチキャスト リスナー ディスカバリ レポート
• nd-na :ネイバー探索のネイバー アドバタイズメント
• next-header :パラメータの次のヘッダーの問題
• parameter-option :パラメータ オプションの問題
• parameter-problem :すべてのパラメータの問題
• reassembly-timeout :再構成タイムアウト
• renum-seq-number :ルータの番号付けのシーケンス番号リセット
• router-advertisement :ネイバー探索のルータ アドバタイズメント
• router-renumbering :すべてのルータの再番号付け
• router-solicitation :ネイバー探索のルータ送信要求
• time-exceeded :すべてのタイム超過メッセージ
protocol 引数に tcp を指定した場合、 port 引数として 0 ~ 65535 の整数である TCP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• bgp :Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)(179)
• domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
• drip :Dynamic Routing Information Protocol(DRIP; ダイナミック ルーティング情報プロトコル)(3949)
• ftp :File Transfer Protocol(FTP; ファイル転送プロトコル)(21)
• hostname :NIC ホストネーム サーバ(11)
• irc :Internet Relay Chat(IRC; インターネット リレー チャット)(194)
• nntp :Network News Transport Protocol(NNTP)(119)
• pim-auto-rp :PIM Auto-RP(496)
• pop2 :Post Office Protocol v2(POP2)(19)
• pop3 :Post Office Protocol v3(POP3)(11)
• smtp :Simple Mail Transport Protocol(SMTP; シンプル メール転送プロトコル)(25)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• uucp :UNIX-to-UNIX Copy Program(UUCP; UNIX 間コピー プログラム)(54)
protocol 引数に udp を指定した場合、 port 引数として 0 ~ 65535 の整数である UDP ポート番号を指定できます。また、次のいずれかのキーワードを指定できます。
• biff :BIFF(メール通知、comsat、512)
• bootpc :Bootstrap Protocol(BOOTP; ブートストラップ プロトコル)クライアント(68)
• bootps :ブートストラップ プロトコル(BOOTP)サーバ(67)
• dnsix :DNSIX セキュリティ プロトコル監査(195)
• domain :Domain Name Service(DNS; ドメイン ネーム サービス)(53)
• isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(5)
• mobile-ip :モバイル IP レジストレーション(434)
• nameserver :IEN116 ネーム サービス(旧式、42)
• netbios-dgm :NetBIOS データグラム サービス(138)
• netbios-ns :NetBIOS ネーム サービス(137)
• netbios-ss :NetBIOS セッション サービス(139)
• non500-isakmp :Internet Security Association and Key Management Protocol(ISAKMP)(45)
• ntp :Network Time Protocol(NTP; ネットワーク タイム プロトコル)(123)
• pim-auto-rp :PIM Auto-RP(496)
• rip :Routing Information Protocol(RIP)(ルータ、in.routed、52)
• snmp :Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)(161)
• sunrpc :Sun Remote Procedure Call(RPC; リモート プロシージャ コール)(111)
• tacacs :TAC Access Control System(49)
• tftp :Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)(69)
例
次に、acl-lab13-ipv6 という IPv6 ACL を作成し、2001:0db8:85a3:: ネットワークおよび 2001:0db8:69f2:: ネットワークから 2001:0db8:be03:2112:: ネットワークへのすべての TCP トラフィックおよび UDP トラフィックを拒否するルールを設定する例を示します。
次に、ipv6-eng-to-marketing という IPv6 ACL を作成し、eng_ipv6 という IPv6 アドレス オブジェクト グループから marketing_group という IPv6 アドレス オブジェクト グループへのすべての IPv6 トラフィックを拒否するルールを設定する例を示します。
関連コマンド
|
|
|
|---|---|
deny(MAC)
条件に一致するトラフィックを拒否する Media Access Control(MAC; メディア アクセス コントロール)アクセス コントロール リスト(ACL)+ ルールを作成するには、 deny コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] deny source destination [ protocol ] [ cos cos-value ] [ vlan vlan-id ]
no deny source destination [ protocol ] [ cos cos-value ] [ vlan vlan-id ]
構文の説明
コマンド デフォルト
新しく作成した MAC ACL には、ルールは含まれていません。
シーケンス番号を指定しない場合は、スイッチによって ACL の最後のルールのシーケンス番号よりも 10 大きい番号がルールに割り当てられます。
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
スイッチは、パケットに MAC ACL を適用すると、ACL 内のすべてのルールに対してパケットを評価します。スイッチで、パケットが条件に一致した最初のルールが施行されます。複数のルールの条件と一致する場合は、スイッチはシーケンス番号が最も低いルールを施行します。
source 引数および destination 引数は、次のいずれかの方法で指定できます。各ルールでは、これらの引数の 1 つを指定する際に使用した方法が、他の引数の指定方法に影響を与えることはありません。ルールの設定時に使用できる source 引数および destination 引数の指定方法は、次のとおりです。
• アドレスおよびマスク:MAC アドレスの後にマスクを指定して、1 つのアドレスまたはアドレス グループを指定できます。構文は次のとおりです。
次に、MAC アドレス 00c0.4f03.0a72 を持つ source 引数を指定する例を示します。
次に、 destination 引数に、MAC ベンダー コードが 00603e のすべてのホストの MAC アドレスを指定する例を示します。
• 任意のアドレス: any キーワードを使用して、送信元または宛先として任意の MAC アドレスを指定できます。 any キーワードの使用例は、このセクションの例を参照してください。各例に、 any キーワードを使用した送信元または宛先の指定方法が示されています。
protocol 引数には、MAC プロトコルの番号またはキーワードを指定します。プロトコル番号は、先頭に 0x が付く 4 バイトの 16 進数です。有効なプロトコル番号は 0x0 ~ 0xffff です。有効なキーワードは、次のとおりです。
• appletalk :Appletalk(0x809b)
• decnet-iv :DECnet Phase IV(0x6003)
• diagnostic :DEC 診断プロトコル(0x6005)
• etype-6000 :Ethertype 0x6000(0x6000)
• etype-8042 :Ethertype 0x8042(0x8042)
• ip :インターネット プロトコル v4(0x0800)
• lavc-sca :DEC LAVC、SCA(0x6007)
• mop-console :DEC MOP リモート コンソール(0x6002)
例
次に、2 つの MAC アドレス グループ間で非 IPv4 トラフィックを許可するルールが含まれる mac-ip-filter という名前の MAC ACL を設定する例を示します。
関連コマンド
|
|
|
|---|---|
description(ユーザ ロール)
ユーザ ロールの説明を設定するには、 description コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
関連コマンド
|
|
|
|---|---|
フィードバック