FlexConfig ポリシーとポリシー オブジェクトについて
FlexConfig ポリシー オブジェクトは、FlexConfig ポリシーで使用されます。これらのオブジェクトを使用すると、Security Manager ではサポートされないデバイス機能を設定したり、デバイス設定を微調整したりできます。これらのポリシー オブジェクトにはデバイス コンフィギュレーション コマンドと変数が含まれます。また、処理を制御するスクリプト言語命令が含まれることもあります。FlexConfig オブジェクトは、基本的には Security Manager によって生成されたデバイス設定に内容を追加するプログラミング ルーチンです。
FlexConfig ポリシー オブジェクトは、最初から作成するか、または Security Manager に付属のオブジェクトを複製して作成できます。
FlexConfig ポリシーは、FlexConfig ポリシー オブジェクトの単なる順序リストです。オブジェクトは指定した順序で処理されます。
FlexConfig ポリシー オブジェクト、さらに FlexConfig ポリシーの概要については、次の項を参照してください。ポリシー オブジェクト全般の詳細については、ポリシー オブジェクトの管理を参照してください。
FlexConfig ポリシー オブジェクトにおける CLI コマンドの使用
FlexConfig Editor に入力するコンフィギュレーション コマンドは、PIX ファイアウォールや Cisco IOS ルータなどのデバイスの設定に使用される実際の CLI コマンドです。Security Manager でサポートされていない CLI コマンドを含めることができます。コマンドを理解し、デバイス タイプに適した構文を使用してコマンドを実装する必要があります。詳細については、特定のオペレーティング システムのコマンド リファレンスを参照してください。
FlexConfig ポリシー オブジェクトを作成するとき、通常の Security Manager ポリシーから生成された設定の先頭と末尾のどちらに、コマンドや命令を追加するかを指定します。
-
プリペンドされるオブジェクト:設定の最初に処理される FlexConfig オブジェクト。Security Manager ポリシーでオブジェクトに含まれているのと同じコマンドが設定されている場合、プリペンドされるコマンドは設定ファイルの展開時に置き換えられます。
-
付加されるオブジェクト:設定の最後(設定ファイル内の他のすべてのコマンドから write mem コマンドまでの間)に処理される FlexConfig オブジェクト。
アペンドされるコマンドがデバイスにすでに設定されている場合、それらのコマンドをもう一度追加しようとすると、エラーが生成されます。このことを解決するための回避策が 2 つあります。
-
アペンドされるコマンドとして、問題のある設定を削除するコマンドを入力します。たとえば、コマンドが xyz の場合は、次の 2 行を入力します。
no xyz
xyz
-
デバイスが「警告」するアクションを制御する設定を変更します。これは、[ツール(Tools)] > [セキュリティ管理(Security Administration)] > [展開(Deployment)] で設定します。
この設定変更は、アペンドされるコマンドとして指定されたコマンドだけでなく、展開されるすべてのコマンドについて、デバイスの動作に反映されます。
(注) |
デバイスに展開する場合は、最初の展開後、ほとんどのアペンドされるコマンドを削除する必要があります。このことは、バインドされていないオブジェクト グループがコマンドの生成中に [Ending Command] セクションで置き換えられ、設定がデバイスに展開されるたびに再送信されるオブジェクト グループに特に当てはまります。ファイアウォール デバイスによってオブジェクト グループがすでに存在することが示されるため、エラーが表示されます。ファイルまたは AUS に展開する場合は、アペンドされるコマンドを削除しません。 |
スクリプト言語命令の使用
FlexConfig ポリシー オブジェクトでスクリプト言語命令を使用して、オブジェクト内のコマンドの処理方法を制御できます。スクリプト言語命令は、Velocity テンプレート エンジンでサポートされているコマンドのサブセットです。Velocity テンプレート エンジンは、ループ、if/else ステートメント、および変数をサポートする Java ベースのスクリプト言語です。
Security Manager では、include コマンドと parse コマンドを除くすべての Velocity テンプレートエンジンのコマンドがサポートされています。サポートされている他のコマンドの詳細については、Velocity テンプレート エンジンのマニュアルを参照してください。
次の各項では、最も一般的に使用される機能の例を示します。
スクリプト言語の例 1:ループ
Plain Old Telephone Service(POTS; 一般電話サービス)ダイヤル ピアを使用すると、電話番号を音声ポートに関連付けることによって、テレフォニー デバイスで着信コールを受信できます。次の例では、POTS ダイヤル ピアのセットの発信者番号をイネーブルにします。
オブジェクト本体
#foreach ($peer_id in ["2", "3", "4"])
dial-peer voice $peer_id pots
caller-id
#end
CLI 出力
dial-peer voice 2 pots
caller-id
dial-peer voice 3 pots
caller-id
dial-peer voice 4 pots
caller-id
スクリプト言語の例 2:2 次元配列でのループ
この例では、着信コールをルータで受信できるように電話番号のセットが音声ポートに関連付けられています。
オブジェクト本体
#foreach ($phone in [ [ "2000", "15105552000", "1/0/0" ], [ "2100",
"15105552100", "1/0/1" ], [ "2200", "15105552200", "1/0/2" ] ] )
dial-peer voice $phone.get(0) pots
destination-pattern $phone.get(1)
port $phone.get(2)
#end
CLI 出力
dial-peer voice 2000 pots
destination-pattern 15105552000
port 1/0/0
dial-peer voice 2100 pots
destination-pattern 15105552100
port 1/0/1
dial-peer voice 2200 pots
destination-pattern 15105552200
port 1/0/2
例 3:If/Else ステートメントを使用したループ
この例では、着信コールをルータで受信できるように電話番号のセットが音声ポートに関連付けられています。さらに、電話番号の別のセットを IP アドレスに関連付けて、ルータからの Voice over IP 発信コールをイネーブルにしています。
オブジェクト本体
#foreach ( $phone in [ [ "2000", "15105552000", "1/0/0", "" ],
[ "2100", "15105552100", "1/0/1", "" ],
[ "2200", "15105552200", "", "ipv4:150.50.55.55"]
[ "2300", "15105552300", "", "ipv4:150.50.55.55"] ] )
dial-peer voice $phone.get(0) pots
destination-pattern $phone.get(1)
#if ( $phone.get(2) == "" )
session target $phone.get(3)
#else
port $phone.get(2)
#end
#end
CLI 出力
dial-peer voice 2000 pots
destination-pattern 15105552000
port 1/0/0
dial-peer voice 2100 pots
destination-pattern 15105552100
port 1/0/1
dial-peer voice 2200 pots
destination-pattern 15105552000
session target ipv4:150.50.55.55
dial-peer voice 2300 pots
destination-pattern 15105552300
session target ipv4:150.50.55.55
FlexConfig オブジェクトの変数について
FlexConfig ポリシー オブジェクトの変数は、$ 文字で始まります。たとえば、次の行では、$inside が変数です。
interface $inside
FlexConfig ポリシー オブジェクトで使用できる変数には 3 つのタイプがあります。
-
ポリシー オブジェクト変数:特定のプロパティを参照する静的変数。たとえば、テキスト オブジェクトは、ポリシー オブジェクト変数のタイプの 1 つです。これらの変数は名前と値のペアであり、値には単一の文字列、文字列のリスト、または文字列のテーブルを指定できます。これらの変数には、任意のポリシー オブジェクトによる参照または操作の対象となる、任意のタイプのテキスト データを入力できます。
ポリシー オブジェクト変数を FlexConfig ポリシー オブジェクトに追加するには、次の 3 通りの方法があります。まず、カーソルを目的の位置に移動し、次の作業を実行します。
-
右クリックし、[テキストオブジェクトの作成(Create Text Object)] を選択します。このコマンドによってダイアログボックスが開きます。このダイアログボックスでは、簡単な単一値のテキスト オブジェクトを作成して値を割り当てることができます。[OK] をクリックすると、変数がオブジェクトに追加され、[Policy Object Manager] ウィンドウの定義済みテキスト オブジェクトのリストに追加されます。この変数は、他のオブジェクトで使用したり、定義を編集したりできます。簡単なテキスト変数の作成例については、FlexConfig ポリシー オブジェクトの変数の例を参照してください。
-
右クリックし、[ポリシーオブジェクトの挿入(Insert Policy Object)] サブメニューからポリシーオブジェクトタイプを選択します。セレクタ ダイアログボックスが開き、挿入する変数が格納される特定のポリシー オブジェクトを選択できます。ポリシー オブジェクトを選択すると、[Property Selector] ダイアログボックスが表示されます。このダイアログボックスで、使用するオブジェクトの特定のプロパティを選択したり、プロパティに関連付けられている変数の名前を任意で変更したりします。
この方法を使用すると、使用する値がプロパティに含まれていることがわかっている場合に、既存のポリシー オブジェクトからそのプロパティを追加できます。たとえば、RADIUS プロトコルを指定する変数を RADIUS という名前の AAA サーバー グループ ポリシー オブジェクトから挿入する場合は、右クリックして [ポリシーオブジェクトの挿入(Insert Policy Object)] > [AAAサーバーグループ(AAA Server Group)] を選択し、[AAA Server Group Selector] ダイアログボックスで [RADIUS] を選択して [OK] をクリックします。次に、[AAA Server Group Property Selector] ダイアログボックスの [オブジェクトのプロパティ(Object Property)] フィールドで [プロトコル(Protocol)] を選択し、[OK] をクリックします。$protocol 変数がカーソル位置に挿入され、選択したオブジェクトに定義されているプロパティの値が変数リストに追加されます。
-
変数名を入力します。変数を入力しても、[Add FlexConfig]/[Edit FlexConfig] ダイアログボックスで [OK] をクリックするまでは、変数に値を割り当てることができません。変数が未定義であることが通知され、値を定義するように促されます。[FlexConfig Undefined Variable] ダイアログボックスで、目的の値を含むポリシー オブジェクトのオブジェクト タイプを選択できます。これにより、特定のポリシー オブジェクトと変数を選択するように要求されます。この操作は、実質的には前述のポリシー オブジェクト変数を挿入する処理と同じです。いずれの方法を使用するかは任意であり、最終的な結果は同じになります。
-
システム変数:展開中、設定が生成されるときに値を参照する動的変数。値は、ターゲット デバイスまたはターゲット デバイスに設定されているポリシーから取得されます。FlexConfig ポリシー オブジェクトでオプションにする(つまり、変数をデバイスに展開するために変数に値を割り当てる必要がない)ようにシステム変数を宣言できます。
システム変数を FlexConfig ポリシーオブジェクトに挿入するには、カーソルを目的の位置に移動し、右クリックして [システム変数の挿入(Insert System Variable)] サブメニューから変数を選択します。使用可能なシステム変数の説明については、FlexConfig システム変数を参照してください。
-
ローカル変数:ループおよび割り当てによる派生物(for each および set ステートメント)内でローカルな変数。ローカル変数では、Velocity テンプレート エンジンから直接値を取得します。ローカル変数の値を指定する必要はありません。
ローカル変数を挿入するには、単純にそれを入力します。[FlexConfigの追加(Add FlexConfig)]/[FlexConfigの編集(Edit FlexConfig)] ダイアログボックスで [OK] をクリックすると、未定義の変数を定義するかどうか確認されます。[No] をクリックできます。[Yes] をクリックして他の変数を定義する場合は、ローカル変数のオブジェクト タイプを [Undefined] のままにできます。
FlexConfig ポリシー オブジェクトの変数の例
CLI コマンドや変数を使用すると、FlexConfig ポリシー オブジェクトを作成して Cisco ルータ上の内部インターフェイスやクリプト マップに名前を付けることができます。
interface $inside
crypto map $mapname
次の例は、これらのコマンドを追加し、$inside の値を serial0、$mapname の値を my_crypto として設定する FlexConfig ポリシーオブジェクトの作成方法を示しています。
FlexConfig ポリシー オブジェクトをデバイスに追加し、設定が生成されると、次の出力が作成されます。
interface serial0
crypto map my_crypto
手順
ステップ 1 |
[管理(Manage)] > [ポリシーオブジェクト(Policy Objects)] を選択して [Policy Object Manager] を開きます(Policy Object Managerを参照)。 |
||
ステップ 2 |
目次から [FlexConfigs] を選択します。右ペインのテーブルには、既存の FlexConfig オブジェクトが一覧表示されます。 |
||
ステップ 3 |
テーブル内で右クリックし、[新規オブジェクト(New Object)] を選択します。[Add FlexConfig] ダイアログボックスが表示されます([Add FlexConfig]/[Edit FlexConfig] ダイアログボックスを参照)。 |
||
ステップ 4 |
名前を入力し、任意でオブジェクトの説明を入力します。
|
||
ステップ 5 |
コマンドがデバイス設定の末尾に追加されるように、タイプの [付加(Appended)] を選択したままにします。 |
||
ステップ 6 |
オブジェクトの内容を作成します。
|
||
ステップ 7 |
編集ボックスの上にある [FlexConfigの検証(Validate FlexConfig)] アイコンボタンをクリックして、オブジェクトの整合性と展開可能性を確認します。エラーが特定された場合は、修正します。 |
||
ステップ 8 |
[OK] をクリックしてポリシーオブジェクトを保存します。これで、オブジェクトをデバイスのローカルまたは共有 FlexConfig ポリシーに追加できます。 |
FlexConfig システム変数
システム変数は、展開中、設定が生成されるときに値を参照します。Security Manager には、定義済みのシステム変数のセットが用意されており、これを使用して FlexConfig ポリシー オブジェクトを定義できます。値は、ターゲット デバイスに作成したポリシーから取得されます。これらの変数の値は、特に指定のないかぎり必須です。これらの変数の詳細については、次の表を参照してください。
-
デバイス システム変数:表 1。デバイスを検出または設定してこれらの変数の値を取得する方法の詳細については、デバイス インベントリの管理を参照してください。
-
ファイアウォール システム変数:表 2。ファイアウォール ポリシーの詳細については、ファイアウォール デバイスの管理およびファイアウォール サービスの概要を参照してください。
-
VPN システム変数:表 4。VPN ポリシーの詳細については、サイト間 VPN の管理:基本を参照してください。
-
リモート アクセス システム変数:表 5。リモート アクセス ポリシーの詳細については、リモート アクセス VPN の管理の基礎を参照してください。
名前 |
次元 |
説明 |
---|---|---|
SYS_DEVICE_IDENTITY |
[0] |
[Tools] > [Device Properties] > [General] タブで定義された、Configuration Engine または Auto Update Server(AUS)によって管理されているデバイスの一意のデバイス アイデンティティ。これらのサーバによって管理されているデバイスのデバイス アイデンティティが必要です。 |
SYS_DOMAIN_NAME |
[0] |
[Tools] > [Device Properties] > [General] タブで定義された DNS ドメイン名。これは、[Platform] > [Device Admin] > [Hostname] ポリシーで定義された値と必ずしも同じではありません。 |
SYS_FW_OS_MODE |
[0] |
[Tools] > [Device Properties] > [General] タブで定義された FWSM または ASA デバイスのオペレーティング システム モード。値は、ROUTER(ルーテッド モード)、TRANSPARENT、または NOT_APPLICABLE です。 |
SYS_FW_OS_MULTI |
[0] |
FWSM または ASA がシングルコンテキスト モードまたはマルチコンテキスト モードのどちら([Tools] > [Device Properties] > [General] タブで定義)で実行されているか。値は、SINGLE、MULTI、または NOT_APPLICABLE です。 |
SYS_HOSTNAME |
[0] |
[Tools] > [Device Properties] > [General] タブで定義されたデバイス ホスト名。これは、[Platform] > [Device Admin] > [Hostname] ポリシーで定義された値と必ずしも同じではありません。 |
SYS_IMAGE_NAME |
[0] |
[Tools] > [Device Properties] > [General] タブで定義されたデバイス イメージ名。 |
SYS_INTERFACE_IP_LIST |
1 |
インターフェイス ポリシーで設定されたインターフェイスの IP アドレスとマスク。 IP アドレスとマスクは、x.x.x.x/nn という形式になります(たとえば、10.20.1.2/24)。デバイスに定義されているインターフェイスがない場合、リストは返されません。 SYS_INTERFACE_NAME_LIST および SYS_INTERFACE_IP_LIST 内の各要素は、インターフェイスの同じインデックスを共有します。たとえば、SYS_INTERFACE_NAME_LIST 内の要素 3 が Ethernet1 である場合、SYS_INTERFACE_IP_LIST 内の要素 3 は Ethernet1 の IP アドレスです。Ethernet1 に IP アドレスがない場合、SYS_INTERFACE_IP_LIST 内の要素 3 は空になります。 この変数はオプションです。 |
SYS_INTERFACE_NAME_LIST |
1 |
インターフェイス ポリシーで設定されたデバイス上のインターフェイスの名前。デバイスに定義されているインターフェイスがない場合、リストは返されません。詳細については、前述の SYS_INTERFACE_IP_LIST の説明を参照してください。 この変数はオプションです。 |
SYS_MANAGEMENT_IP |
[0] |
[Tools] > [Device Properties] > [General] タブで定義されたデバイスの管理 IP アドレス。 |
SYS_MDF_TYPE |
[0] |
デバイス モデルを示す Cisco MetaData Framework(MDF)デバイス タイプ。この値は、[Tools] > [Device Properties] > [General] タブに表示され、デバイスを Security Manager に追加するときに決定されます。 |
SYS_OS_RUNNING_VERSION |
[0] |
[Tools] > [Device Properties] > [General] タブに表示される、デバイスで実行されているオペレーティング システムのソフトウェア バージョン。たとえば、IOS プラットフォームでは 12.1, 12.2S などになります。この値は、デバイスからポリシーを検出するときに決定されます。 |
SYS_OS_TARGET_VERSION |
[0] |
[Tools] > [Device Properties] > [General] タブで定義された、デバイス設定の生成時に使用されるオペレーティング システム バージョン。 |
SYS_OS_TYPE |
[0] |
[Tools] > [Device Properties] > [General] タブで定義されたデバイスのオペレーティング システム。値は、IOS、PIX、ASA、FWSM、または IPS です。この値は、デバイスを Security Manager に追加するときに設定します。 |
SYS_SYS_OID |
[0] |
デバイスのシステム オブジェクト ID(SysObjId)。デバイスを Security Manager に追加するときに決定されます。 |
名前 |
次元 |
説明 |
---|---|---|
SYS_FPM_INPUT_SP |
1 |
「入力」方向の SYS_FPM_INTERFACE リスト内のエントリに対応するインターフェイスに適用される FPM ポリシーマップ名。 このデータは、Security Manager では設定されません。ルータの実行コンフィギュレーションから取得され、IOS_FPM FlexConfig で使用されます。 |
SYS_FPM_INTERFACE |
1 |
インターフェイス名。 このデータは、Security Manager では設定されません。ルータの実行コンフィギュレーションから取得され、IOS_FPM FlexConfig で使用されます。 |
SYS_FPM_OUTPUT_SP |
1 |
「出力」方向の SYS_FPM_INTERFACE リスト内のエントリに対応するインターフェイスに適用される FPM ポリシーマップ名。 このデータは、Security Manager では設定されません。ルータの実行コンフィギュレーションから取得され、IOS_FPM FlexConfig で使用されます。 |
SYS_FW_ACL_IN_NAME |
1 |
インバウンド方向のトラフィック フィルタリング用にインターフェイスに適用される ACL の名前。各要素は、Cisco IOS ルータ、PIX ファイアウォール、ファイアウォール サービス モジュール、および ASA デバイスの SYS_INTERFACE_NAME_LIST 変数と 1 対 1 で対応します。 ファイアウォール アクセス ルールを設定して、この変数の値を生成します。 |
SYS_FW_ACL_OUT_NAME |
1 |
アウトバウンド方向のトラフィック フィルタリング用にインターフェイスに適用される ACL の名前。この配列の各要素は、Cisco IOS ルータ、PIX ファイアウォール、ファイアウォール サービス モジュール、および ASA デバイスの SYS_INTERFACE_NAME_LIST 変数と 1 対 1 で対応します。 Access Rules ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_BRIDGE_INTERFACE_NAMES |
1 |
ブリッジ インターフェイスの名前。 この変数は、IOS トランスペアレント ファイアウォールにだけ適用されます。 [Firewall] > [Transparent Rules] ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_ETHERTYPERULE_ ACL_NAMES |
1 |
着信または発信トラフィック フィルタリングのためにインターフェイスに適用される EtherType アクセス リストの名前。この配列の各要素は、SYS_FW_ETHERTYPERULE_INTERFACE_NAMES および SYS_FW_ETHERTYPERULE_DIRECTION_NAMES 変数の要素と 1 対 1 で対応します。 [Firewall] > [Transparent Rules] ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_ETHERTYPERULE_ DIRECTION_NAMES |
1 |
EtherType アクセス リストが適用される方向。値は「in」または「out」のいずれかです。各要素は、SYS_FW_ETHERTYPERULE_ACL_NAMES および SYS_FW_ETHERTYPERULE_INTERFACE_NAMES 変数の要素と 1 対 1 で対応します。 [Firewall] > [Transparent Rules] ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_ETHERTYPERULE_ INTERFACE_NAMES |
1 |
EtherType アクセス リストが適用されるインターフェイス名。各要素は、SYS_FW_ETHERTYPERULE_ACL_NAMES および SYS_FW_ETHERTYPERULE_DIRECTION_NAMES 変数と 1 対 1 で対応します。 [Firewall] > [Transparent Rules] ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_INSPECT_IN_NAME |
1 |
インバウンド方向の Cisco IOS ルータ インターフェイスに適用されるインスペクション ルールの名前。この配列の各要素は、Cisco IOS ルータの SYS_INTERFACE_NAME_LIST 変数と 1 対 1 で対応します。 [Inspection Rules] ポリシーを設定して、この変数の値を生成します。 この変数はオプションです。 |
SYS_FW_INSPECT_OUT_NAME |
1 |
アウトバウンド方向の Cisco IOS ルータ インターフェイスに適用されるインスペクション ルールの名前。この配列の各要素は、Cisco IOS ルータの SYS_INTERFACE_NAME_LIST 変数と 1 対 1 で対応します。 インスペクション ルール ポリシーをこの変数の値として設定します。 この変数はオプションです。 |
SYS_FW_INTERFACE_HARDWARE_ ID_ LIST |
1 |
デバイスのハードウェア ID。 デバイスで Interface ポリシーを設定して、この変数の値を生成します。 この変数はオプションです。 |
SYS_FW_INTERFACE_NETWORK_LIST |
1 |
デバイスのインターフェイス ネットワーク。 デバイスで Interface ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_INTERFACE_SECURITY_ LEVEL_LIST |
1 |
デバイスのインターフェイス セキュリティ レベル。 デバイスで Interface ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_INTERFACE_STATE_LIST |
1 |
デバイスのインターフェイス状態。 デバイスで Interface ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_INTERFACE_VLAN_ID_LIST |
[0] |
デバイスの VLAN ID。 デバイスで Interface ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_IPV6_ACL_IN_NAME |
1 |
デバイスで In 方向に適用するすべての IPv6 ACL のリスト。 デバイスで In 方向に適用する IPv6 アクセス ルール ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_IPV6_ACL_OUT_NAME |
1 |
デバイスで Out 方向に適用するすべての IPv6 ACL のリスト。 デバイスで Out 方向に適用する IPv6 アクセス ルール ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_MPCRULE_TRAFFICFLOW_ TUNNELGROUPNAME |
1 |
トラフィック フロー オブジェクトで指定されたトンネル グループの名前。 トラフィック フロー オブジェクトは PIX/ASA デバイスで class-map コマンドを設定し、トラフィック フロー オブジェクト内のトンネルグループの名前がこの変数に読み込まれます。この変数は、PIX/ASA デバイス上のトンネル グループを作成するために ASA_define_traffic_flow_tunnel_group FlexConfig オブジェクトによって使用されます。 この変数はオプションです。 |
SYS_FW_MULTICAST_PIM_ACCEPT_ REG_ROUTEMAP |
[0] |
pim accept-register route-map コマンドで使用されるルートマップ名。 ルートマップの名前を入力し([Platform] > [Multicast] > [PIM] > [Request Filter])、FlexConfig でその機能を設定して、この変数の値を生成します。 この変数はオプションです。 |
SYS_FW_NAT0_ACL_NAMES |
1 |
nat interface_name 0 access-list acl_name コマンドで使用される ACL の名前。 この変数はオプションです。 |
SYS_FW_OSPF_PROCESS_ID_LIST |
1 |
PIX ファイアウォール、ファイアウォール サービス モジュール、および ASA デバイスにグローバルに設定される OSPF ルーティング プロセスの ID。 [Platform] > [Routing] > [OSPF] ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_OSPF_REDISTRIBUTION_ ROUTE_MAP_LIST |
1 |
PIX ファイアウォール、ファイアウォール サービス モジュール、および ASA デバイスに設定された OSPF redistribute コマンドに適用されるルート マップの名前。 [Platform] > [Routing] > [OSPF] ポリシーを設定して、この変数の値を生成します。 |
SYS_FW_POLICY_NAT_ACL_NAMES |
1 |
policy nat コマンド(0 以外のプール ID が指定された nat コマンド)で使用される ACL の名前。 NAT([NAT] > [Translation Rules] > [Policy NAT])を設定して、この変数の値を生成します。この変数は、PIX 6.3(3) 以上、PIX/ASA 7.x、8.0(x)、8.1(x)、8.2(x)、および FWSM デバイスにだけ適用されます。この変数は、Cisco IOS ルータには適用されません。 この変数はオプションです。 |
SYS_FW_POLICY_STATIC_ ACL_NAMES |
1 |
アクセスリストを含む policy static コマンドで使用される ACL の名前。 NAT 0([NAT] > [Translation Rules] > [Policy NAT])を設定して、この変数の値を生成します。変数には、nat-0、policy nat、および policy static コマンドで使用されるアクセスリスト名が含まれます。 この変数は、PIX 6.3(3) 以上、PIX/ASA 7.x、8.0(x)、8.1(x)、8.2(x)、および FWSM デバイスにだけ適用されます。この変数は、Cisco IOS ルータには適用されません。 この変数はオプションです。 |
名前 |
次元 |
説明 |
---|---|---|
SYS_ROUTER_BGP_AS_NUMBERS_LIST |
1 |
デバイス上のボーダー ゲートウェイ プロトコル(BGP)および Exterior Gateway Protocol(EGP)の自律システム(AS)番号。 [Router Platform] > [Routing] > [BGP] ポリシーを設定して、この変数の値を生成します。 この変数はオプションです。 |
SYS_ROUTER_EIGRP_AS_ NUMBERS_LIST |
1 |
デバイス上の別の Enhanced Internet Gateway Routing Protocol(EIGRP)および Interior Gateway Protocol(IGP)の自律システム(AS)番号。 [Router Platform] > [Routing] > [EIGRP] ポリシーを設定して、この変数の値を生成します。 この変数はオプションです。 |
SYS_ROUTER_OSPF_PROCESS_ IDS_LIST |
1 |
デバイス上の Open Shortest Path First(OSPF)Interior Gateway Protocol(IGP)プロセス番号。 [Router Platform] > [Routing] > [OSPF Process] ポリシーを設定して、この変数の値を生成します。 この変数はオプションです。 |
SYS_ROUTER_QOS_CLASS_MAP_LIST |
1 |
デバイス上の QoS クラス マップの名前。 Quality of Service ポリシーを設定して、この変数の値を生成します。 この変数はオプションです。 |
SYS_ROUTER_QOS_POLICY_MAP_LIST |
1 |
デバイス上の QoS ポリシー マップの名前。 Quality of Service ポリシーを設定して、この変数の値を生成します。 この変数はオプションです。 |
名前 |
次元 |
説明 |
---|---|---|
トポロジ デバイスが参加している VPN に関連する変数。VPN を設定して、これらの変数の値を生成します。 |
||
SYS_VPN_TOPOLOGY |
1 |
バーチャル プライベート ネットワーク(VPN)トポロジ タイプ。値は、HUB_AND_SPOKE、POINT_TO_POINT、または FULL_MESH です。 |
SYS_VPN_TOPOLOGY_NAME |
1 |
デバイスが参加している VPN トポロジの名前。 |
SYS_VPN_TOPOLOGY_ROLE |
1 |
VPN 内のデバイスのロールに関する詳細。値は、PEER、HUB、または SPOKE です。 |
[デバイス (Devices)] デバイスが参加している VPN 内のデバイスに関連する変数。VPN を設定して、これらの変数の値を生成します。 |
||
SYS_VPN_HOST_NAME |
1 |
デバイスのホスト名。 |
SYS_VPN_LOCAL_PREFIXES |
2 |
保護ネットワークのインターフェイスおよびネットワーク IP アドレス。 |
SYS_VPN_PRIVATE_INTERFACES |
2 |
プライベート インターフェイスの名前。 |
SYS_VPN_PRIVATE_TUNNEL_ENDPT_IP |
1 |
インターフェイス トンネル IP アドレス。 |
SYS_VPN_PUBLIC_INTERFACES |
2 |
パブリック インターフェイスの名前。 |
SYS_VPN_TUNNEL_ENDPT_INTERFACE_IP |
1 |
VPN エンドポイントの IP アドレス。IPSec では、エンドポイントは VPN インターフェイスであり、GRE ではトンネル ソースです。 |
SYS_VPN_TUNNEL_ENDPT_ INTERFACE_NAME |
1 |
VPN エンドポイントの名前。IPSec では、エンドポイントは VPN インターフェイスであり、GRE ではトンネル ソースです。 |
SYS_VPN_VPNSM_PUBLIC_IFC |
2 |
Catalyst 6000 シリーズ スイッチのエクスポート ポート名。 |
Remote Peers デバイスが参加しているリモート ピアに関連する変数。VPN を設定して、これらの変数の値を生成します。 |
||
SYS_VPN_REM_PEER_BAK_ LOGICAL_PRIVATE_IP |
3 |
フェールオーバー ハブのリモート ピアのインターフェイス トンネル IP アドレス。この値は、Next Hop Resolution Protocol(NHRP)の DMVPN で使用されます。 |
SYS_VPN_REM_PEER_BAK_PREFIX |
3 |
フェールオーバー ハブのリモート ピアの保護ネットワーク(インターフェイスおよびネットワーク IP アドレス)。 |
SYS_VPN_REM_PEER_BAK_PUBLIC_IP |
3 |
フェールオーバー ハブのリモート ピアのパブリック インターフェイス名。 |
SYS_VPN_REM_PEER_BAK_TUNNEL_SRC |
3 |
リモート ピアの VPN エンドポイントの IP アドレス。IPSec では、エンドポイントは VPN インターフェイスであり、GRE ではトンネル ソースです。 |
SYS_VPN_REM_PEER_DEVICE_NAME |
2 |
リモート ピアのデバイス ホスト名。 |
SYS_VPN_REM_PEER_LOGICAL_ PRIVATE_IP |
2 |
リモート ピアのインターフェイス トンネル IP アドレス。この値は、Next Hop Resolution Protocol(NHRP)の DMVPN で使用されます。 |
SYS_VPN_REM_PEER_PREFIX |
3 |
リモート ピアの保護ネットワーク(インターフェイスおよびネットワーク IP アドレス)。 |
SYS_VPN_REM_PEER_PRIVATE_IP |
2 |
リモート ピアのプライベート インターフェイス名。 |
SYS_VPN_REM_PEER_PUBLIC_IP |
2 |
リモート ピアのパブリック インターフェイス名。 |
SYS_VPN_REM_PEER_TUNNEL_SRC |
2 |
トンネル ソース(リモート ピアのインターフェイス トンネルに含まれている場合)。 |
IPSec Proposal IPSec Proposal ポリシーに関連する変数。詳細については、サイト間 VPN での IPsec プロポーザルの設定およびVPN トポロジにおけるハイ アベイラビリティの設定を参照してください。 IPSec Proposal ポリシーを設定して、この変数の値を生成します。 |
||
SYS_VPN_CRYPTO_MAP_TYPE |
1 |
クリプト マップ タイプ。値は、STATIC または DYNAMIC です。 |
SYS_VPN_DYNAMIC_CRYPTO_NAME |
1 |
ダイナミック クリプト マップ名。 |
SYS_VPN_DYNAMIC_CRYPTO_NUM |
1 |
ダイナミック クリプト マップ番号。 |
SYS_VPN_STATIC_CRYPTO_NAME |
1 |
スタティック クリプト マップ名。 |
SYS_VPN_STATIC_CRYPTO_NAME_BAK |
1 |
フェールオーバー ハブのスタティック クリプト マップ名。 |
SYS_VPN_STATIC_CRYPTO_NUM |
2 |
スタティック クリプト マップ番号。 |
SYS_VPN_STATIC_CRYPTO_NUM_BAK |
2 |
フェールオーバー ハブのスタティック クリプト マップ番号。 |
事前共有キー 事前共有キーおよび IKE プロポーザル ポリシーに関連する変数。詳細については、IKEv1 事前共有キー ポリシーの設定を参照してください。 |
||
SYS_VPN_IKE_AUTHENTICATION_MODE |
1 |
IKE ポリシーの認証方式。値は、pre-share、rsa-sig、rsa-encr、または dsa-sig です。 IKE Proposal ポリシーを設定して、この変数の値を生成します。 |
SYS_VPN_IKE_PRIORITY |
1 |
IKE ポリシーのプライオリティ番号。 IKE Proposal ポリシーを設定して、この変数の値を生成します。 |
SYS_VPN_NEGOTIATION_MODE |
1 |
ネゴシエーション方式。値は、MAIN_ADDRESS、MAIN_HOST、または AGGRESSIVE です。 Preshared Key ポリシーを設定して、この変数の値を生成します。 |
GRE モード GRE Modes ポリシーに関連する変数。詳細については、[GRE Modes] ページについてを参照してください。 |
||
SYS_VPN_BAK_TUNNEL_IFC |
2 |
フェールオーバー ハブのリモート ピアのインターフェイス トンネル番号(たとえば、tunnel0)。 VPN を設定して、この変数の値を生成します。 |
SYS_VPN_SIGP_PROCESS_NUMBER |
1 |
Interior Gateway Protocol(IGP)のプロセス番号。 GRE Modes ポリシーを設定して、この変数の値を生成します。 |
SYS_VPN_SIGP_ROUTING_PROTOCOL |
1 |
使用される保護された Interior Gateway Protocol(IGP)のタイプ。値は、STATIC、OSPF、EIGRP、RIPV2、BGP、または ODR です。 GRE Modes ポリシーを設定して、この変数の値を生成します。 |
SYS_VPN_SPOKE_TO_SPOKE_ CONN |
1 |
スポークツースポーク接続用に DMVPN を設定するかどうか。値は true または false です。 GRE Modes ポリシーを設定して、この変数の値を生成します。 |
SYS_VPN_TUNNEL_IFC |
2 |
リモート ピアのインターフェイス トンネル番号(たとえば、tunnel0)。 VPN を設定して、この変数の値を生成します。 |
VRF Virtual Routing and Forwarding(VRF)に関連する変数。詳細については、VRF 対応 IPsec の設定を参照してください。 VPN VRF を設定して、これらの変数の値を生成します。 |
||
SYS_VPN_VRF_AREA_ID |
1 |
OSPF プロセス番号が選択された場合の領域 ID 番号。 |
SYS_VPN_VRF_MPLS_INTERFACE_IP |
1 |
マルチプロトコル ラベル スイッチング(MPLS)インターフェイスの IP アドレス。 |
SYS_VPN_VRF_MPLS_INTERFACE_NAME |
1 |
マルチプロトコル ラベル スイッチング(MPLS)インターフェイスの名前。 |
SYS_VPN_VRF_NAME |
1 |
VRF 名。 |
SYS_VPN_VRF_PROCESS_NUMBER |
1 |
Interior Gateway Protocol(IGP)プロセス番号。 |
SYS_VPN_VRF_RD |
1 |
RD 値。 |
SYS_VPN_VRF_ROUTING_PROTOCOL |
1 |
Interior Gateway Protocol(IGP)値。IGP は、プロバイダー エッジ(PE)/マルチプロトコル ラベル スイッチング(MPLS)ネットワークへの IPSec Aggregator のルーティングに使用されます。 値は、STATIC、OSPF、EIGRP、RIPV2、または BGP です。 |
SYS_VPN_VRF_SOLUTION |
1 |
Virtual Routing and Forwarding(VRF)ソリューション。値は、1BOX または 2BOX です。 |
CA 認証局ポリシーに関連する変数。詳細については、サイト間 VPN での IKEv1 公開キー インフラストラクチャ ポリシーの設定を参照してください。 |
||
SYS_VPN_CA_NAME |
2 |
Certificate Authority(CA; 認証局)名。 PKI ポリシーを設定して、この変数の値を生成します。 |
EZVPN EZVPN に関連する変数。詳細については、Easy VPN についてを参照してください。 |
||
SYS_VPN_EZVPN_GROUP_NAME |
2 |
ユーザ グループ名。 User Group ポリシーを設定して、この変数の値を生成します。 |
ダイヤル バックアップ ダイヤル バックアップ設定に関連する変数。詳細については、ダイヤル バックアップの設定を参照してください。 |
||
SYS_VPN_RTR_WATCH |
1 |
RTR/監視番号。 ダイヤル バックアップを設定して、この変数の値を生成します。 |
GETVPN Group Encrypted Transport(GET)VPN に関連する変数。詳細については、Group Encrypted Transport(GET)VPN についてを参照してください。 |
||
SYS_GDOI_GROUP_NAME |
1 |
Group Domain Of Interpretation(GDOI)グループの名前。 Group Encryption ポリシーを設定して、この変数の値を生成します([Manage] > [Site-to-Site VPNs] > [Group Encryption Policy] > [Group Settings])。 |
SYS_GM_GET_ENABLED_INTF_NAME |
1 |
プロバイダー エッジ(PE)への VPN 対応の外部インターフェイス。このインターフェイスで発信または終了するトラフィックは、暗号化または復号化が適宜評価されます。 グループ メンバーを設定して、この変数の値を生成します([Manage] > [Site-to-Site VPNs] > [Group Members])。 |
SYS_IPSEC_PROFILE_NAME |
1 |
2 つのグループ メンバー間の IPsec 暗号化に使用されるパラメータを定義する、プロファイルの名前。 Group Encryption ポリシーを設定して、この変数の値を生成します([Manage] > [Site-to-Site VPNs] > [Group Encryption Policy] > [Security Associations])。 |
SYS_KS_REG_INTERFACE |
[0] |
Group Domain Of Interpretation(GDOI)登録を処理するために割り当てられるキー サーバのインターフェイス。登録インターフェイスが指定されていない場合、GDOI 登録は任意のインターフェイスで行われる可能性があります。 キー サーバを設定して、この変数の値を生成します([Manage] > [Site-to-Site VPNs] > [Key Servers])。 |
名前 |
次元 |
説明 |
---|---|---|
SYS_ASA_RA_TUNNEL_GROUP_NAME |
2 |
ASA デバイスのトンネル グループ名。 |
SYS_ASA_RA_USER_GROUP_NAME |
2 |
ASA ユーザ グループの名前。 |
SYS_EZVPN_RA_DYNAMIC_CRYPTO_ MAP_NAME |
1 |
EZVPN のダイナミック クリプト マップ名。 |
SYS_EZVPN_RA_DYNAMIC_CRYPTO_ MAP_SEQ_NUM |
1 |
EZVPN のダイナミック クリプト マップ番号。 |
SYS_EZVPN_RA_PUBLIC_INTERFACE_PIX |
2 |
PIX ファイアウォールおよび ASA デバイス専用の EZVPN の外部インターフェイス名。 |
SYS_EZVPN_RA_STATIC_CRYPTO_ MAP_NAME |
1 |
EZVPN のスタティック クリプト マップ名。 |
SYS_EZVPN_RA_STATIC_CRYPTO_ MAP_SEQ_NUM |
1 |
EZVPN のスタティック クリプト マップ番号。 |
SYS_IOS_RA_CA_NAME |
1 |
Cisco IOS デバイスの Certificate Authority(CA; 認証局)名。 |
SYS_IOS_RA_PUBLIC_INTERFACE |
1 |
Cisco IOS デバイスの外部インターフェイス名。 |
SYS_IOS_RA_USER_GROUP |
1 |
Cisco IOS デバイスのユーザ グループ名。 |
SYS_IOS_RA_VRF_NAME |
1 |
Cisco IOS デバイスの Virtual Routing and Forwarding(VRF)名。 |
定義済みの FlexConfig ポリシー オブジェクト
Security Manager には、使用可能な定義済みの FlexConfig ポリシー オブジェクトが用意されています。これらのポリシー オブジェクトには、コマンドとスクリプトが事前に定義されています。
定義済みの FlexConfig ポリシー オブジェクトは読み取り専用オブジェクトです。これらの定義済みの FlexConfig ポリシー オブジェクトを編集するには、目的のオブジェクトを複製し、コピーに変更を加えて新しい名前で保存します。このようにすると、元の定義済みの FlexConfig は変更されません。これらの定義済みのポリシー オブジェクトのリストおよび各オブジェクトの詳細については、次の表を参照してください。
-
定義済みの ASA FlexConfig ポリシー オブジェクト:表 3
-
定義済みの Catalyst FlexConfig ポリシー オブジェクト:表 2
-
定義済みの Cisco IOS FlexConfig ポリシー オブジェクト:表 3
-
定義済みの PIX Firewall FlexConfig ポリシー オブジェクト:表 4
-
定義済みのルータ FlexConfig ポリシー オブジェクト:表 5
名前 |
説明 |
---|---|
ASA_add_ACEs |
アクセス コントロール エントリ(ACE)をデバイス上のすべてのアクセス コントロール リストに追加します。 |
ASA_add_EtherType_ACL_remark |
EtherType アクセス リスト名のリストをループし、ACE または備考をリストに追加します。EtherType アクセス リストは、Security Manager におけるファイアウォールのトランスペアレント ルールと同じです。この FlexConfig で CLI によって設定された備考は、トランスペアレント ルールの [description] フィールドに表示されます。 |
ASA_add_IPv6_ACEs |
IPv6 アクセスリストのリストをループし、ACL の末尾に deny ip any any log エントリを追加します。 |
ASA_command_alias |
copy running-config および copy startup_config コマンドに対して「save」という名前のコマンドエイリアスを作成します。 |
ASA_copy_image |
TFTP サーバからフラッシュにイメージ パッケージをコピーします。 |
ASA_csd_image |
ASA Cisco Secure Desktop イメージを提供します。Cisco Security Manager サーバー上の /CSCOpx/tftpboot/device-hostname から CSD イメージをデバイスにコピーし、CSD イメージパスを設定します。[デバイスのプロパティ(Device Properties)] にデバイスのホスト名を必ず入力してください。イメージ名がデフォルトと異なる場合は、[Device Properties] > [Policy Object Overrides] > [Text Objects] > [AsaCsdImageName] で上書きできます。イメージがコピーおよび設定されたあとでデバイスからのこの FlexConfig を割り当て解除します。 |
ASA_define_traffic_flow_tunnel_group |
SYS_FW_MPCRULE_TRAFFICFLOW_TUNNELGROUPNAME システム変数内のサイト間 VPN トンネル グループを定義します。この変数には、トラフィック フロー オブジェクトに定義されているトンネル グループ名が読み込まれます。 |
ASA_established |
セキュリティ アプライアンスを介したアウトバウンド接続のリターン アクセスを許可します。このコマンドは、あるネットワークからのアウトバウンド接続であり、かつ、セキュリティ アプライアンスによって保護されている元の接続と、外部ホスト上の同じ 2 つのデバイス間におけるインバウンドのリターン接続に対して機能します。 established コマンドを使用して、接続の検索に使用する宛先ポートを指定します。指定することで、コマンドをより詳細に制御でき、宛先ポートが既知で送信元ポートが不明なプロトコルがサポートされます。permitto および permitfrom キーワードでは、リターン インバウンド接続を定義します。 |
ASA_FTP_mode_passive |
FTP モードをパッシブに設定します。 |
ASA_generate_route_map |
[プラットフォーム(Platform)] > [マルチキャスト(Multicast)] > [PIM] > [要求フィルタ(Request Filter)] で設定された、pim accept-register route-map コマンドで使用されるルートマップを生成します。Cisco Security Manager は、pim コマンドで使用されるルートマップ名をエクスポートして、必要に応じて設定できるようにします。 |
ASA_IP_audit |
ip-audit コマンドを使用して次の処理を実行します。
|
ASA_MGCP |
メディア ゲートウェイ コントロール プロトコル(MGCP)インスペクションのパラメータを定義するための特定のマップを示します。 |
ASA_no_router_Id |
各 OSPF プロセスのルータ ID を削除します。 |
ASA_no_shut_Intf |
デバイス上のすべてのインターフェイスをループし、イネーブルにします。 |
ASA_privilege |
configuration、show、および clear コマンドの権限レベルを設定します。 |
ASA_route_map |
各 OSPF プロセスの再配布ルート マップ名を定義します。 |
ASA_RSA_KeyPair_generation |
証明書の RSA キー ペアをリセットし、生成します。 |
ASA_svc_image |
ASA SSL VPN クライアント イメージを提供します。Cisco Security Manager サーバー上の /CSCOpx/tftpboot/device-hostname から SVC イメージをデバイスにコピーし、SVC イメージパスを設定します。[デバイスのプロパティ(Device Properties)] にデバイスのホスト名を必ず入力してください。イメージ名がデフォルトと異なる場合は、[Device Properties] > [Policy Object Overrides] > [Text Objects] > [AsaSvcImageName] で上書きできます。イメージがコピーおよび設定されたあとでデバイスからのこの FlexConfig を割り当て解除します。 |
ASA_sysopt |
sysopt コマンドを使用して、次の手順を実行します。
|
ASA_virtual |
仮想 HTTP および Telnet サーバを設定します。 |
名前 |
説明 |
---|---|
Cat6K_ECLB_algorithm |
モジュールの EtherChannel ロード バランス アルゴリズムを設定します。 |
Cat6K_ECLB_port_mode |
IPS センサーが接続されている Catalyst トランクポートに EtherChannel を適用します。ポートがトランクモードで設定されていることを確認します。 |
Cat6K_ECLB_portchannel |
ポート チャネルをトランク モードに設定し、トランクが許可された VLAN を追加します。 |
Cat6K_firewall_multiple_vlan_interfaces |
複数の SVI をプロビジョニングする必要がある場合は、複数の VLAN インターフェイス モードを設定します。 |
名前 |
説明 |
---|---|
IOS_add_bridge_interface_desc |
ブリッジインターフェイスのリストをループし、「this is a bridge interface」という説明を追加します。 |
IOS_CA_server |
認証局サーバを設定します。 |
IOS_compress_config |
大きな Cisco IOS 設定を圧縮します。 |
IOS_config_root_wireless_station |
851 や 871 などの Cisco IOS ルータに、ワイヤレス LAN のルート無線ステーションを作成し、設定します。 |
IOS_console_AAA_bypass |
次のシナリオの例を示します。
|
IOS_Copy_Image |
SVC イメージを Security Manager サーバからデバイスにコピーし、SVC イメージ パスを設定します。イメージがコピーおよび設定されたあとでデバイスからのこの FlexConfig を割り当て解除します。 |
IOS_enable_SSL |
SSL をイネーブルにします。 |
IOS_FPM |
トラフィック クラス定義ファイルをルータにコピーし、ポリシー マップを適用します。 |
IOS_IPS_PUBLIC_KEY |
IOS IPS デバイスの公開キーを定義します。公開キーは、Security Manager がシグニチャ更新を実行するために必要です。 |
IOS_IPS_SIGNATURE_CATEGORY |
ios_ips 基本カテゴリ内のシグニチャを除くすべてのシグニチャを再試行します。 |
IOS_PKI_with_AAA |
サブジェクト名全体を使用して PKI AAA 認可を設定します。 |
IOS_set_clock |
クロックを Security Manager サーバの現在の時刻に設定します。 |
IOS_VOIP_advance |
POTS ポート番号をループし、電話番号とポート番号または IP アドレス番号に関連付けます。 |
IOS_VOIP_simple |
POTS ポート番号を電話番号とポート番号に関連付けます。 |
IOS_VPN_config_gre_tunnel |
VPN 変数を使用して、デバイスが参加している各 VPN の GRE トンネルを設定します。 |
IOS_VPN_set_interface_desc |
VPN 変数を使用して、デバイスが参加している各 VPN のパブリック インターフェイスの説明を更新します。 |
IOS_VPN_shutdown_inside_interface |
VPN 変数を使用して、デバイスが参加している各 VPN のすべての内部インターフェイスをシャットダウンします。 |
IOS_VRF_on_vFW |
仮想ファイアウォール インターフェイスの Virtual Routing and Forwarding(VRF)を設定します。 |
名前 |
説明 |
---|---|
PIX6.3_nat0_acl_compiled |
NAT 0 アクセス コントロール リストのコンパイルされたアクセス リストを生成します。 |
PIX6.3_policy_nat_acl_compiled |
Policy NAT ACL のコンパイルされたアクセス リストを生成します。 |
PIX6.3_policy_static_acl_compiled |
Policy Static ACL のコンパイルされたアクセス リストを生成します。 |
PIX_VPDN |
Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)を設定します。 |
名前 |
説明 |
---|---|
ROUTER_add_inspect_rules |
インスペクション ルールをループし、追加します。 |
ROUTER_BGP_no_auto_summary |
no auto-summary サブコマンドを使用して、各 BGP プロセスの自動ルート要約を無効にします。 この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_BGP_AS_NUMBERS_LIST システム変数内のボーダー ゲートウェイ プロトコル(BGP)番号のリストを使用します。 |
ROUTER_BGP_untrusted_info |
distance bgp 255 255 255 サブコマンドを使用して、各ボーダー ゲートウェイ プロトコル(BGP)の BGP ルーティング情報を信頼できない情報とします。 この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_BGP_AS_NUMBERS_LIST システム変数内の BGP 番号のリストを使用します。 |
ROUTER_EIGRP_min_cost_routes |
複数のルートで同じ宛先ネットワークへのコスト ルートが異なる場合、最小コスト ルートを使用するようにトラフィックを設定します。このことを行うには、等コスト パスを持つ異なるインターフェイスに対してマルチインターフェイス ロード分割を使用します。 この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_EIGRP_AS_NUMBERS_LIST システム変数内のルータの Enhanced Interior Gateway Routing Protocol(EIGRP)番号のリストを使用します。 |
Router_EIGRP_no_auto_summary |
no auto-summary サブコマンドを使用して、各ルータの Enhanced Interior Gateway Routing Protocol(EIGRP)プロセスの自動ルート要約を無効にします。この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_EIGRP_AS_NUMBERS_LIST システム変数内の EIGRP 番号のリストを使用します。 |
ROUTER_interface_prevent_dos _attacks |
すべてのデバイス インターフェイスに対する Denial-of-Service(DoS; サービス拒絶)攻撃を阻止します。 この FlexConfig ポリシー オブジェクトは、SYS_INTERFACE_NAME_LIST システム変数内のインターフェイス名のリストを使用します。 |
ROUTER_OSPF_no_router_Id |
各 OSPF プロセスのルータ OSPF ID を削除します。 この FlexConfig ポリシーは、SYS_ROUTER_OSPF_PROCESS_IDS_LIST システム変数内の OSPF ID のリストを使用します。 |
ROUTER_QoS_Class_Map _description |
QoS クラス マップの説明を設定します。 この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_QOS_CLASS_MAP_LIST システム変数内のルータ QOS クラス名のリストを使用します。 |
ROUTER_QoS_Policy_Map _description |
QoS ポリシーの説明を設定します。 この FlexConfig ポリシー オブジェクトは、SYS_ROUTER_QOS_POLICY_MAP_LIST システム変数内のルータ QOS ポリシー名のリストを使用します。 |