Cisco Nexus 5000 シリーズ NX-OS セキュリティ コマンド リファレンス Cisco NX-OS Release 4.x、5.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月5日
章のタイトル: R コマンド
R コマンド
radius-server deadtime
Cisco Nexus 5000 シリーズ スイッチにすべての RADIUS サーバのデッド タイム間隔を設定するには、 radius-server deadtime コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server deadtime minutes
no radius-server deadtime minutes
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
デッド タイム間隔は、応答のなかった RADIUS サーバをスイッチが確認するまでの分数です。
(注) アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。
例
次に、すべての RADIUS サーバの定期的なモニタリングを実行するグローバル デッド タイム間隔を設定する例を示します。
次に、すべての RADIUS サーバのグローバル デッド タイム間隔をデフォルトに戻して、サーバの定期的なモニタリングをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
radius-server directed-request
ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにするには、 radius-server directed-request コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server directed-request
no radius-server directed-request
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
ログイン時、 username @ vrfname : hostname を指定できます。vrfname は使用する VRF、hostname は設定した RADIUS サーバ名です。ユーザ名が認証用に RADIUS サーバに送信されます。
例
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できるようにする例を示します。
次に、ログイン時にユーザが認証要求を特定の RADIUS サーバに送信できないようにする例を示します。
関連コマンド
|
|
|
|---|---|
radius-server host
RADIUS サーバ パラメータを設定するには、 radius-server host コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server host { hostname | ipv4-address | ipv6-address }
[ key [ 0 | 7 ] shared-secret [ pac ]] [ accounting ]
[ acct-port port-number ] [ auth-port port-number ] [ authentication ] [ retransmit count ]
[ test { idle-time time | password password | username name }]
[ timeout seconds [ retransmit count ]]
no radius-server host { hostname | ipv4-address | ipv6-address }
[ key [ 0 | 7 ] shared-secret [ pac ]] [ accounting ]
[ acct-port port-number ] [ auth-port port-number ] [ authentication ] [ retransmit count ]
[ test { idle-time time | password password | username name }]
[ timeout seconds [ retransmit count ]]
構文の説明
コマンド デフォルト
アカウンティング ポート:1813
認証ポート:1812
アカウンティング:イネーブル
認証:イネーブル
再送信数:1
アイドル時間:0
サーバ モニタリング:ディセーブル
タイムアウト:5 秒
テスト ユーザ名:test
テスト パスワード:test
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、RADIUS サーバの認証とアカウンティングのパラメータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
radius-server key
RADIUS 共有秘密キーを設定するには、 radius-server key コマンドを使用します。設定した共有秘密キーを削除するには、このコマンドの no 形式を使用します。
radius-server key [ 0 | 7 ] shared-secret
no radius-server key [ 0 | 7 ] shared-secret
構文の説明
RADIUS クライアントとサーバ間の通信を認証するために使用される事前共有キー。事前共有キーには、出力可能な ASCII 文字の使用が可能です(空白文字は使用できません)。大文字と小文字が区別され、最大文字数は 63 です。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
RADIUS 事前共有キーを設定して、RADIUS サーバに対してスイッチを認証する必要があります。キーの長さは 65 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。グローバル キーは、スイッチにあるすべての RADIUS サーバ コンフィギュレーションで使用するよう設定できます。 radius-server host コマンドで key キーワードを使用することでこのグローバル キーの割り当てを上書きできます。
例
次に、RADIUS 認証を設定する各種のシナリオを提供する例を示します。
関連コマンド
|
|
|
|---|---|
radius-server retransmit
スイッチが RADIUS サーバで要求を試行する回数を指定するには、 radius-server retransmit コマンドを使用する必要があります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
radius-server retransmit count
no radius-server retransmit count
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、RADIUS サーバに再送信回数を設定する例を示します。
次に、RADIUS サーバに再送信のデフォルト数を設定する例を示します。
関連コマンド
|
|
|
|---|---|
radius-server timeout
RADIUS サーバへの再送信間隔を指定するには、 radius-server timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no radius-server timeout seconds
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
関連コマンド
|
|
|
|---|---|
remark
IPv4 または MAC アクセス コントロール リスト(ACL)にコメントを入力するには、 remark コマンドを使用します。 remark コマンドを削除するには、このコマンドの no 形式を使用します。
[ sequence-number ] remark remark
no { sequence-number | remark remark }
構文の説明
コマンド デフォルト
コマンド モード
IPv4 ACL コンフィギュレーション モード
MAC ACL コンフィギュレーション モード
コマンド履歴
|
|
|
使用上のガイドライン
remark 引数には、最大 100 文字を指定できます。 remark 引数に 100 を超える文字を入力すると、スイッチは最初の 100 文字を受け入れ、後の文字を廃棄します。
例
次に、IPv4 ACL にリマークを作成して、結果を表示する例を示します。
関連コマンド
|
|
|
|---|---|
resequence
アクセス コントロール リスト(ACL)のすべてのルールまたは時間の範囲にシーケンス番号を再度割り当てるには、 resequence コマンドを使用します。
resequence access-list-type access-list access-list-name starting-number increment
resequence time-range time-range-name starting-number increment
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
resequence コマンドを使用すると、ACL のルールまたは時間の範囲にシーケンス番号を再度割り当てることができます。最初のルールの新しいシーケンス番号は、 starting-number 引数によって決まります。その他の各ルールは、 increment 引数によって決まる新しいシーケンス番号を受け取ります。最大シーケンス番号がシーケンス番号の許容最大値を超えると、シーケンスが実行されず、次のメッセージが表示されます。
例
次に、 show ip access-lists コマンドを使用して、100 のシーケンス番号で開始し、10 ずつ増える ip-acl-01 という名前の IPv4 ACL のシーケンスを再度実行し、 resequence コマンドの使用の前後のシーケンス番号を確認する例を示します。
関連コマンド
|
|
|
|---|---|
role feature-group name
ユーザ ロール機能グループを作成または指定し、ユーザ ロール機能グループ コンフィギュレーション モードを開始するには、 role feature-group name コマンドを使用します。ユーザ ロール機能グループを削除するには、このコマンドの no 形式を使用します。
role feature-group name group-name
no role feature-group name group-name
構文の説明
ユーザ ロール機能グループ名。 group-name の最大文字数は 32 で、大文字と小文字が区別され、英数字文字列で指定します。 |
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
例
次に、ユーザ ロール機能グループを作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
ユーザ ロール機能グループを指定または作成して、ユーザ ロール機能グループ コンフィギュレーション モードを開始します。 |
|
role name
ユーザ ロールを作成または指定し、ユーザ ロール コンフィギュレーション モードを開始するには、 role name コマンドを使用します。ユーザ ロールを削除するには、このコマンドの no 形式を使用します。
role name { role-name | default-role | privilege-role }
no role name { role-name | default-role | privilege-role }
構文の説明
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
Cisco Nexus 5000 シリーズ スイッチには、次のデフォルトのユーザ ロールがあります。
•
ネットワーク管理者:スイッチ全体の読み取りおよび書き込みアクセスを完了します。
特権レベルのロールを表示するには、 feature privilege コマンドを使用して TACACS+ サーバでのコマンド認可にロールの累積権限をイネーブルにする必要があります。権限ロールは、レベルが低い方の権限ロールの権限を継承します。
例
次に、ユーザ ロールを作成して、ユーザ ロール コンフィギュレーション モードを開始する例を示します。
次に、特権レベル 1 のユーザ ロールを作成して、ユーザ ロール コンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
rollback running-config
実行コンフィギュレーションをロールバックするには、 rollback running-config コマンドを使用します。
rollback running-config { checkpoint checkpoint-name | file { bootflash: | volatile: }[ // server ][ directory / ][ filename ] [ atomic ] [ verbose ]}
構文の説明
サーバの名前。有効な値は、 /// 、 //module-1/ 、 //sup-1/ 、 //sup-active/ または //sup-local/ です。2 個のスラッシュ(//)を含む必要があります。 |
|
(注) filesystem://server/directory/filename ストリングにはスペースを含めることはできません。この文字列の各要素は、コロン(:)とスラッシュ(/)で区切ります。
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
チェックポイント名またはファイルにロールバックできます。ロールバックする前に、 show diff rollback-patch コマンドを使用して、現在のコンフィギュレーションまたは保存されているコンフィギュレーションを参照している送信元と宛先のチェックポイント間の差異を表示できます。
指定されたチェックポイントへのロールバックがチェックポイント コンフィギュレーションにシステムのアクティブ コンフィギュレーションを復元します。
ブートフラッシュ時のファイルへのロールバックは、 checkpoint checkpoint_name コマンドを使用して作成されたファイルでのみサポートされます。他の ASCII タイプのファイルではサポートされません。
(注) atomic ロールバック中に設定を変更すると、ロールバックは失敗します。手動でエラーを修正し、rollback コマンドを実行する必要があります。
例
次に、verbose モードで chkpnt-1 という名前のチェックポイントに実行コンフィギュレーションをロールバックする例を示します。
次に、ブートフラッシュ ストレージ システムの chkpnt_configSep9-1.txt というチェックポイント コンフィギュレーション ファイルに実行コンフィギュレーションをロールバックする例を示します。
関連コマンド
|
|
|
|---|---|
rule
ユーザ ロールのルールを設定するには、 rule コマンドを使用します。ルールを削除するには、このコマンドの no 形式を使用します。
rule number { deny | permit } { command command-string | { read | read-write } [ feature feature-name | feature-group group-name ]}
構文の説明
(任意)機能名を指定します。スイッチの機能名を表示するには、 show role feature コマンドを使用します。 |
|
コマンド デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
指定するルール番号は、適用したルールの順序を決めます。ルールは降順で適用されます。たとえば、ロールに 3 つのルールがある場合、ルール 3、ルール 2、ルール 1 の順に適用されます。
例
次に、特権レベル 0 のユーザ ロールにルールを追加する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック