Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コマンド リファレンス リリース 4.0
cache-time ~ clear capture コマンド
cache-time ~ clear capture コマンド
発行日;2012/02/24 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

cache-time ~ clear capture コマンド

cache-time

call-agent

capture

cd

certificate

chain

changeto

checkheaps

class

class (policy-map)

class-map

class-map type inspect

class-map type regex

clear aaa local user fail-attempts

clear aaa local user lockout

clear aaa-server statistics

clear access-list

clear arp

clear asp drop

clear blocks

clear capture

cache-time ~ clear capture コマンド

cache-time

CRL を失効と見なすまでのキャッシュ内の CRL の有効期間を分数で指定するには、ca-crl コンフィギュレーション モードで cache-time コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cache-time refresh-time

no cache-time

 
シンタックスの説明

refresh-time

キャッシュ内の CRL の有効期間を分数で指定します。範囲は、1 ~ 1440 分です。CRL に NextUpdate フィールドが表示されない場合、CRL はキャッシュされません。

 
デフォルト

デフォルト設定は 60 分です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ca-crl コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central に対して、キャッシュ時間のリフレッシュ値を 10 分に指定する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# cache-time 10
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

enforcenextupdate

証明書の NextUpdate CRL フィールドの処理方法を指定します。

call-agent

コール エージェント グループを指定するには、MGCP マップ コンフィギュレーション モードで call-agent コマンドを使用します。このモードには、 mgcp-map コマンドを使用してアクセスできます。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

call-agent ip_address group_id

no call-agent ip_address group_id

 
シンタックスの説明

ip_address

ゲートウェイの IP アドレス。

group_id

0 ~ 217483647 のコール エージェント グループの ID。

 
デフォルト

このコマンドは、デフォルトではディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

MGCP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

1 つ以上のゲートウェイを管理できるコール エージェント グループを指定するには、 call-agent コマンドを使用します。コール エージェント グループ情報は、グループ(ゲートウェイがコマンドを送信するグループ以外のグループ)内のコール エージェントの接続を開始して、任意のコール エージェントが応答を送信できるようにする場合に使用します。 group_id が同じコール エージェントは、同じグループに属します。コール エージェントは複数のグループに属すことができます。 group_id オプションは、0 ~ 4294967295 の範囲の数値です。 ip_address はコール エージェントの IP アドレスを指定します。

次に、コール エージェント 10.10.11.5 および 10.10.11.6 でゲートウェイ 10.10.10.115 を制御し、コール エージェント 10.10.11.7 および 10.10.11.8 で 2 つのゲートウェイ 10.10.10.116 および 10.10.10.117 を制御するように設定する例を示します。

hostname(config)# mgcp-map mgcp_inbound
hostname(config-mgcp-map)# call-agent 10.10.11.5 101
hostname(config-mgcp-map)# call-agent 10.10.11.6 101
hostname(config-mgcp-map)# call-agent 10.10.11.7 102
hostname(config-mgcp-map)# call-agent 10.10.11.8 102
hostname(config-mgcp-map)# gateway 10.10.10.115 101
hostname(config-mgcp-map)# gateway 10.10.10.116 102
hostname(config-mgcp-map)# gateway 10.10.10.117 102
 

 
関連コマンド

コマンド
説明

debug mgcp

MGCP のデバッグ情報の表示をイネーブルにします。

mgcp-map

MGCP マップを定義し、MGCP マップ コンフィギュレーション モードをイネーブルにします。

show mgcp

MGCP の設定およびセッション情報を表示します。

capture

パケット キャプチャ機能をイネーブルにして、パケットのスニフィングやネットワーク障害を検出するには、特権 EXEC モードで capture コマンドを使用します。 パケット キャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。

capture capture_name [ type { asp-drop [ drop-code ] | raw-data | isakmp }] access-list access_list_name interface interface_name [ buffer buf_size ] [ ethernet-type type ] [ packet-length bytes ] [ circular-buffer ]

no capture capture-name [ type { asp-drop [ drop-code ] | raw-data | isakmp }] [access-list access_list_name ] [interface interface_name ]


) キャプチャに接続している ACE を変更するには、キャプチャを再設定して、キャプチャの ACL 実効権を変更することを強く推奨します。


 
シンタックスの説明

access-list access_list_name

アクセス リストに一致するトラフィックをキャプチャします。マルチ コンテキスト モードでは、このキャプチャはコンテキスト内でだけ有効です。このキーワードは、 type asp-drop を指定した場合を除き、必須です。

asp-drop [ drop-code ]

(任意)高速セキュリティ パスが廃棄したパケットをキャプチャします。 drop-code は、高速セキュリティ パスが廃棄したトラフィック タイプを指定します。廃棄コードのリストについては、 show asp drop frame コマンドを参照してください。 drop-code 引数を入力しない場合は、廃棄されたすべてのパケットがキャプチャされます。

このキーワードは、 packet-length circular-buffer 、および buffer と組み合わせて指定できますが、 interface access-list 、または ethernet と組み合わせて指定できません。

buffer buf_size

(任意)パケットの保存に使用するバッファのサイズをバイト単位で定義します。バッファが一杯になると、パケットのキャプチャが停止します。

capture_name

パケット キャプチャの名前を指定します。トラフィックの複数のタイプをキャプチャするには、複数の capture ステートメントに同一名を使用します。 show capture コマンドを使用してキャプチャのコンフィギュレーションを表示する場合、すべてのオプションが 1 行にまとめられます。

circular-buffer

(任意)バッファが一杯になったときに、先頭部分からバッファを上書きしていきます。

ethernet-type type

(任意)キャプチャするイーサネット タイプを選択します。デフォルトは、IP パケットです。

interface interface_name

パケット キャプチャに使用するインターフェイスの名前を設定します。キャプチャする任意のパケットのインターフェイスを設定する必要があります。同一名の複数の capture コマンドを使用して、複数のインターフェイスを設定できます。このキーワードは、 type asp-drop を指定した場合を除き、必須です。

isakmp

(任意)ISAKMP トラフィックをキャプチャします。マルチ コンテキスト モードでは、このキャプチャはコンテキスト内でだけ有効です。

packet-length bytes

(任意)キャプチャ バッファに保存する各パケットの最大バイト数を設定します。

raw-data

(任意)1 つ以上のインターフェイスのインバウンド パケットとアウトバウンド パケットをキャプチャします。この設定は、デフォルトです。

type

(任意)キャプチャされるデータ タイプを指定できます。

 
デフォルト

デフォルトの設定は次のとおりです。

デフォルトの type は、 raw-data です。

デフォルトの buffer size は、 512 KB です。

デフォルトのイーサネット タイプは、IP です。

デフォルトの packet-length は、 68 バイトです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

汎用プロセッサを通過するトラフィックだけでなく、すべてのトラフィックをキャプチャする機能が追加されました。

 
使用上のガイドライン

接続障害のトラブルシューティングや不審な動作を監視する際に、パケットのキャプチャは有効です。複数のキャプチャを作成できます。パケット キャプチャを表示するには、 show capture name コマンドを使用します。ファイルにキャプチャを保存するには、 copy capture コマンドを使用します。

FWSM は、自身の内部を通過するすべての IP トラフィックをトラッキングできます。また、FWSM に対するすべての管理用トラフィック(SSH や Telnet トラフィックなど)も含め、FWSM 宛てのすべての IP トラフィックをキャプチャすることもできます。

キャプチャ バッファを削除せずにキャプチャを停止するには、 no capture コマンドに access-list interface キーワードを指定して入力します。キャプチャを停止し、バッファを削除するには、キーワードを何も指定せずに、 no capture name と入力します。


capture コマンドはコンフィギュレーションには保存されません。また、capture コマンドはフェールオーバー中にスタンバイ装置にコピーされることもありません。


次に、外部ホスト 171.71.69.234 から内部 HTTP サーバへのトラフィックがキャプチャされる例を示します。

hostname(config)# access-list http permit tcp host 10.120.56.15 eq http host 171.71.69.234
hostname(config)# access-list http permit tcp host 171.71.69.234 host 10.120.56.15 eq http
hostname(config)# capture captest access-list http packet-length 74 interface inside
 

「captest」という名前のキャプチャの内容を Web ブラウザで表示するには、次のアドレスを入力します。

https://171.69.38.95/capture/captest/pcap
 

Internet Explorer や Netscape Navigator などの Web ブラウザで使用される libpcap ファイルをローカル マシンにダウンロードするには、次のアドレスを入力します。

https://171.69.38.95/capture/http/pcap
 

 
関連コマンド

コマンド
説明

clear capture

キャプチャ バッファを消去します。

copy capture

キャプチャ ファイルをサーバにコピーします。

show capture

オプションが指定されていない場合に、キャプチャのコンフィギュレーションを表示します。

cd

現在の作業ディレクトリを指定したディレクトリに変更するには、特権 EXEC モードで cd コマンドを使用します。

cd [flash:] [ path ]

 
シンタックスの説明

flash:

内部フラッシュ メモリ の後にコロンを付けて指定します。

path

(任意)変更するディレクトリの絶対パス。

 
デフォルト

ディレクトリを指定しない場合、ディレクトリはルート ディレクトリに変更されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドのサポートが追加されました。

次に、「config」ディレクトリに変更する例を示します。

hostname# cd flash:/config/

 
関連コマンド

コマンド
説明

pwd

現在の作業ディレクトリを表示します。

certificate

指定した証明書を追加するには、crypto ca 証明書チェーン コンフィギュレーション モードで certificate コマンドを使用します。このコマンドを使用する場合、FWSM は、コマンドによって入力されたデータを 16 進表記の証明書として解釈します。 quit 文字列は、証明書の末尾を示します。証明書を削除するには、このコマンドの no 形式を使用します。

certificate { ca | ra-encrypt | ra-sign | ra-general } certificate-serial-number

no certificate certificate-serial-number

 
シンタックスの説明

 
シンタックスの説明構文の説明

ca

証明書が CA から発行された証明書であることを指定します。

certificate-serial-number

証明書のシリアル番号を 16 進表記で指定します。最後に quit の文字を入力します。

ra-encrypt

証明書が SCEP で使用される Registration Authority(RA; 登録局)鍵暗号化証明書であることを指定します。

ra-general

証明書が SCEP メッセージングのデジタル署名および鍵の暗号化で使用される RA 証明書であることを指定します。

ra-sign

証明書が SCEP メッセージングで使用される RA デジタル署名の証明書であることを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crypto ca 証明書チェーン コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

CA は、セキュリティ証明書とメッセージ暗号化用の公開鍵を発行および管理するネットワーク内の機関です。Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)の一部として、デジタル証明書の要求者によって提供された情報を RA でチェックし、検証します。要求者の情報が RA によって検証された場合、CA は証明書を発行できます。

次に、central という名前のトラストポイントの ca トラストポイント モードを開始してから、central の crypto ca 証明書チェーン モードを開始し、シリアル番号が 29573D5FF010FE25B45 の CA 証明書を追加する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crypto ca certificate chain central
hostname(ca-cert-chain)# certificate ca 29573D5FF010FE25B45
30820345 308202EF A0030201 02021029 572A3FF2 96EF854F D0D6732F E25B4530
0D06092A 864886F7 0D010105 05003081 8F311630 1406092A 864886F7 0D010901
16076140 622E636F 6D310B30 09060355 04061302 55533116 30140603 55040813
0D6D6173 73616368 75736574 74733111 300F0603 55040713 08667261 6E6B6C69
6E310E30 0C060355 040A1305 63697363 6F310F30 0D060355 040B1306 726F6F74
6F75311C 301A0603 55040313 136D732D 726F6F74 2D736861 2D30362D 32303031
301E170D 30313036 32363134 31313430 5A170D32 32303630 34313430 3133305A
30818F31 16301406 092A8648 86F70D01 09011607 6140622E 636F6D31 0B300906
03550406 13025553 31163014 06035504 08130D6D 61737361 63687573 65747473
3111300F 06035504 07130866 72616E6B 6C696E31 0E300C06 0355040A 13056369
73636F31 0F300D06 0355040B 1306726F 6F746F75 311C301A 06035504 0313136D
732D726F 6F742D73 68612D30 362D3230 3031305C 300D0609 2A864886 F70D0101
01050003 4B003048 024100AA 3EB9859B 8670A6FB 5E7D2223 5C11BCFE 48E6D3A8
181643ED CF7E75EE E77D83DF 26E51876 97D8281E 9F58E4B0 353FDA41 29FC791B
1E14219C 847D19F4 A51B7B02 03010001 A3820123 3082011F 300B0603 551D0F04
04030201 C6300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604
14E0D412 3ACC96C2 FBF651F3 3F66C0CE A62AB63B 323081CD 0603551D 1F0481C5
3081C230 3EA03CA0 3A86386C 6461703A 2F2F7732 6B616476 616E6365 64737276
2F436572 74456E72 6F6C6C2F 6D732D72 6F6F742D 7368612D 30362D32 3030312E
63726C30 3EA03CA0 3A863868 7474703A 2F2F7732 6B616476 616E6365 64737276
2F436572 74456E72 6F6C6C2F 6D732D72 6F6F742D 7368612D 30362D32 3030312E
63726C30 40A03EA0 3C863A66 696C653A 2F2F5C5C 77326B61 6476616E 63656473
72765C43 65727445 6E726F6C 6C5C6D73 2D726F6F 742D7368 612D3036 2D323030
312E6372 6C301006 092B0601 04018237 15010403 02010130 0D06092A 864886F7
0D010105 05000341 0056221E 03F377B9 E6900BF7 BCB3568E ADBA146F 3B8A71F3
DF9EB96C BB1873B2 B6268B7C 0229D8D0 FFB40433 C8B3CB41 0E4D212B 2AEECD77
BEA3C1FE 5EE2AB6D 91
quit

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップの全設定をクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto ca certificate chain

crypto ca 証明書チェーン コンフィギュレーション モードを開始します。

crypto ca trustpoint

ca トラストポイント コンフィギュレーション モードを開始します。

show running-config crypto map

すべての暗号マップの全設定を表示します。

chain

証明書チェーンの送信をイネーブルにするには、tunnel-group ipsec-attributes コンフィギュレーション モードで chain コマンドを使用します。この送信アクションには、ルート証明書と Subordinate Certification Authority(SCA; 下位認証局)の証明書が含まれます。このコマンドをデフォルトの設定に戻すには、このコマンドの no 形式を使用します。

chain

no chain

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドのデフォルト設定はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

tunnel-group ipsec-attributes コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

すべてのトンネルグループ タイプにこの属性を適用できます。

次に、config-ipsec コンフィギュレーション モードにおいて、209.165.200.225 の IP アドレスで IPSec LAN 間トンネル グループのチェーンの送信(ルート証明書と SCA の証明書を含む)をイネーブルにする例を示します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-ipsec)# chain
hostname(config-ipsec)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されたトンネル グループをすべて消去します。

show running-config tunnel-group

指定された証明書マップ エントリを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに対応付けます。

changeto

各セキュリティ コンテキスト間およびシステムとの切り替えを行うには、特権 EXEC モードで changeto コマンドを使用します。

changeto { system | context name }

 
シンタックスの説明

context name

指定した名前のコンテキストに変更します。

system

システムの実行スペースに変更します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

システムの実行スペースまたは管理コンテキストにログインした場合、コンテキストを変更し、各コンテキスト内でコンフィギュレーションを実行して、タスクを監視できます。コンフィギュレーション モードで編集する「実行」コンフィギュレーション、または copy あるいは write コマンドで使用されている「実行」コンフィギュレーションは、ユーザが作業している実行スペースによって異なります。システム実行スペースで作業している場合、実行コンフィギュレーションはシステム コンフィギュレーションだけで構成されます。コンテキスト実行スペースで作業している場合、実行コンフィギュレーションはそのコンテキストだけで構成されます。たとえば、 show running-config コマンドを入力して、すべての実行コンフィギュレーション(システムおよびすべてのコンテキスト)を表示できません。現在のコンフィギュレーションだけが表示されます。

次に、特権 EXEC モードで、コンテキストからシステム、システムからコンテキストに変更する例を示します。

hostname/admin# changeto system
hostname# changeto context customerA
hostname/customerA#
 

次に、インターフェイス コンフィギュレーション モードで、システムから管理コンテキストに変更する例を示します。実行スペースを変更するときにコンフィギュレーション モードを開始している場合、モードは新しい実行スペースのグローバル コンフィギュレーション モードに変わります。

hostname(config-if)# changeto context admin
hostname/admin(config)#

 
関連コマンド

コマンド
説明

admin-context

コンテキストを管理コンテキストに設定します。

context

システム コンフィギュレーション内にセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

show context

コンテキスト(システム実行スペース)リストまたは現在のコンテキストに関する情報を表示します。

checkheaps

チェックヒープ検証間隔を設定するには、グローバル コンフィギュレーション モードで checkheaps コマンドを使用します。値をデフォルトに設定するには、このコマンドの no 形式を使用します。チェックヒープは、ヒープ メモリ バッファの妥当性(動的メモリはシステム ヒープ メモリ領域から割り当てられます)、およびコード領域の整合性を検証する定期的なプロセスです。

checkheaps { check-interval | validate-checksum } seconds

no checkheaps { check-interval | validate-checksum } [ seconds ]

 
シンタックスの説明

check-interval

バッファの検証間隔を設定します。バッファ検証プロセスは、ヒープの妥当性(割り当てられたメモリ バッファ、解放されたメモリ バッファ)をチェックします。各プロセスの呼び出しで、FWSM はヒープ全体をチェックし、各メモリ バッファを検証します。不整合がある場合は、FWSM は、「割り当てバッファ エラー」または「空きバッファ エラー」を発行します。エラーが発生した場合は、FWSM は可能であればトレースバック情報をダンプし、リロードします。

validate-checksum

コード スペースのチェックサム検証間隔を設定します。FWSM の初回起動時に、FWSM がすべてのコードのハッシュを計算します。その後の定期的なチェックの際に、FWSM は新しいハッシュを生成し、最初のハッシュと比較します。不一致が生じると、FWSM は、「テキスト チェックサムヒープ エラー」を発行します。エラーが発生した場合は、FWSM 可能な場合はトレースバック情報をダンプし、リロードします。

seconds

間隔(秒単位)を 1 ~ 2147483 で設定します。

 
デフォルト

デフォルトの間隔は、それぞれ 60 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

次に、バッファ割り当ての間隔を 200 秒に、コード スペースのチェックサム間隔を 500 秒に設定する例を示します。

hostname(config)# checkheaps check-interval 200
hostname(config)# checkheaps validate-checksum 500

 
関連コマンド

コマンド
説明

show checkheaps

チェックヒープの統計情報を表示します。

class

セキュリティ コンテキストを割り当てるリソース クラスを作成するには、グローバル コンフィギュレーション モードで class コマンドを使用します。クラスを削除するには、このコマンドの no 形式を使用します。

class name

no class name

 
シンタックスの説明

name

名前として、20 文字までの長さのテキスト文字列を指定します。デフォルト クラスの制限を設定する場合は、名前として default と入力します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

該当なし

該当なし

--

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、コンテキスト別の最大限度が適用される場合を除き、あらゆるセキュリティ コンテキストが FWSM のリソースに無制限にアクセスできます。ただし、1 つ以上のコンテキストがリソースを多く使用しすぎていて、他のコンテキストの接続が拒否される場合など、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。

FWSM は、リソース クラスにコンテキストを割り当てることによってリソースを管理します。各コンテキストは、クラスによって設定されたリソース限度を使用します。


) FWSM はコンテキストごとに帯域幅制限を行いません。ただし、FWSM を搭載したスイッチは、VLAN 単位で帯域幅を制限できます。詳細については、スイッチのマニュアルを参照してください。


クラスを作成する場合、FWSM はクラスに割り当てられた各コンテキスト用にリソースの一部を確保しないで、FWSM はコンテキストに最大限のリソースを設定します。リソースをオーバーサブスクライブさせた場合、または一部のリソースを無制限にした場合は、少数のコンテキストでこれらのリソースを使い果たしてしまい、他のコンテキストのサービスが悪影響を受ける可能性があります。クラスのリソースを設定する場合は、 limit-resource コマンドを参照してください。

特定のクラスに割り当てないかぎり、すべてのコンテキストはデフォルト クラスに所属するため、コンテキストをデフォルト クラスに割り当てる操作は不要です。

コンテキストがデフォルト クラス以外のクラスに所属する場合、そのクラスの設定値によってデフォルト クラスの設定値が上書きされます。ただし、別のクラスで設定が定義されていない場合には、メンバー コンテキストはデフォルト クラスの制限を使用します。たとえば、すべての同時接続に関して 2% の制限を持ち、他に制限のないクラスを作成した場合、その他の制限はすべてデフォルト クラスから継承されます。逆に、すべてのリソースに対して 2% の制限を持つクラスを作成すると、そのクラスはデフォルト クラスの設定を使用しません。

デフォルトでは、デフォルト クラスはすべてのコンテキストのリソースに対して無制限のアクセスを提供しています(次の制限のようにデフォルトで各コンテキストで許容される最大限のリソースが設定されている場合は除きます)。

Telnet セッション:5 セッション

SSH セッション:5 セッション

IPSec セッション:5 セッション

MAC アドレス:65,535 エントリ

次に、conns のデフォルト クラス限度を無制限ではなく、10% に設定する例を示します。

hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
 

その他のすべてのリソースは無制限のままです。

fixups だけは 10% に設定し、それ以外のリソースはすべて 5% に設定して、gold というクラスを追加する場合、次のコマンドを入力します。

hostname(config)# class gold
hostname(config-class)# limit-resource all 5%
hostname(config-class)# limit-resource fixups 10%
 

Syslog メッセージだけは 500/秒に設定し、それ以外のリソースはすべて 3% に設定して、silver というクラスを追加する場合、次のコマンドを入力します。

hostname(config)# class silver
hostname(config-class)# limit-resource all 3%
hostname(config-class)# limit-resource rate syslogs 500
 

 
関連コマンド

コマンド
説明

clear configure class

クラス設定を消去します。

context

セキュリティ コンテキストを設定します。

limit-resource

クラスのリソース制限を設定します。

member

リソース クラスにコンテキストを割り当てます。

show class

クラスに割り当てられたコンテキストを表示します。

class (policy-map)

クラス マップ トラフィックにアクションを割り当てられるポリシー マップにクラス マップを割り当てるには、ポリシー マップ コンフィギュレーション モードで class コマンドを使用します。ポリシー マップのクラス マップ指定を解除するには、このコマンドの no 形式を使用します。

class classmap-name

no class classmap-name

 
シンタックスの説明

classmap-name

クラス マップ名を指定します。レイヤ 3/4 のポリシー マップ( policy-map コマンド)の場合、レイヤ 3/4 クラス マップ名( class-map コマンド)を指定する必要があります。検査ポリシー マップ( policy-map type inspect )コマンドの場合、検査クラス マップ名( class-map type inspect コマンド)を指定する必要があります。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

この設定には必ずすべてのトラフィックと一致する「class-default」というクラス マップが含まれます。構成の各レイヤ 3/4 ポリシー マップの末尾には、アクション定義のない class-default クラス マップが含まれています。これは内部利用専用で、編集できません。

class-default クラス マップを含み、最大で 63 の class および match コマンドをポリシー マップに設定できます。

class コマンドを使用して、ポリシー マップにクラス マップを追加した後は、トラフィック上で実行するアクションを 1 つ以上定義できます。レイヤ 3/4 ポリシー マップのクラス コンフィギュレーション モードでサポートされている機能は次のとおりです。

接続機能

アプリケーション検査

検査ポリシー マップのクラス コンフィギュレーション モードでサポートされている機能は次のとおりです。

パケットの廃棄

接続の廃棄

接続の再設定

ロギング

コンテンツのマスク

次に、接続ポリシーの policy-map コマンドの例を示します。これには、 class コマンドが含まれます。このコマンドは Web サーバ 10.1.1.1 に許可された接続数を制限します。

hostname(config)# access-list http-server permit tcp any host 10.1.1.1
hostname(config)# class-map http-server
hostname(config-cmap)# match access-list http-server
 
hostname(config)# policy-map global-policy
hostname(config-pmap)# description This policy map defines a policy concerning connection to http server.
hostname(config-pmap)# class http-server
hostname(config-pmap-c)# set connection conn-max 256
 

次に、ポリシー マップ中で複数一致する場合の動作の例を示します。

hostname(config)# class-map inspection_default
hostname(config-cmap)# match default-inspection-traffic
hostname(config)# class-map http_traffic
hostname(config-cmap)# match port tcp eq 80
 
hostname(config)# policy-map outside_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect http http_map
hostname(config-pmap-c)# inspect sip
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:10:0
 

次に、トラフィックが最初に使用可能なクラス マップに一致し、同じ機能ドメインのアクションを指定する以降のクラス マップには一致しない例を示します。

hostname(config)# class-map telnet_traffic
hostname(config-cmap)# match port tcp eq 23
hostname(config)# class-map ftp_traffic
hostname(config-cmap)# match port tcp eq 21
hostname(config)# class-map tcp_traffic
hostname(config-cmap)# match port tcp range 1 65535
hostname(config)# class-map udp_traffic
hostname(config-cmap)# match port udp range 0 65535
hostname(config)# policy-map global_policy
hostname(config-pmap)# class telnet_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:0:0
hostname(config-pmap-c)# set connection conn-max 100
hostname(config-pmap)# class ftp_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:5:0
hostname(config-pmap-c)# set connection conn-max 50
hostname(config-pmap)# class tcp_traffic
hostname(config-pmap-c)# set connection timeout tcp 2:0:0
hostname(config-pmap-c)# set connection conn-max 2000
 

Telnet 接続を開始すると、 class telnet_traffic に一致します。同様に、FTP 接続を開始すると class ftp_traffic に一致します。Telnet と FTP 以外の TCP 接続は、すべて class tcp_traffic に一致します。Telnet と FTP の接続は class tcp_traffic にも一致しますが、すでに他のクラスに一致しているため、FWSM はこの照合を行いません。

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

class-map type management

管理トラフィックのレイヤ 3/4 クラス マップを作成します。

clear configure policy-map

service-policy コマンドで使用されているポリシー マップを除いて、すべてのポリシー マップのコンフィギュレーションを削除します。

match

トラフィック一致パラメータを定義します。

policy-map

1 つ以上のトラフィック クラスを 1 つ以上のアクションに関連付けることによって、ポリシーを設定します。

class-map

モジュラ ポリシー フレームワーク を使用するときに、グローバル コンフィギュレーション モードで class-map コマンド( type キーワードなし)を使用してアクションを適用するレイヤ 3 または 4 トラフィックを特定します。クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map class_map_name

no class-map class_map_name

 
シンタックスの説明

class_map_name

40 文字以内でクラス マップ名を指定します。「class-default」という名前と、「_internal」または「_default」で始まる名前はすべて予約されています。すべてのクラス マップ タイプは、同じ名前スペースを使用するため、すでに別のタイプのクラス マップで使用されている名前を再利用できません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

レイヤ 3/4 クラス マップは、アクションを適用するレイヤ 3 および 4 トラフィックを特定します。クラス マップの最大数(レイヤ 3/4、検査、および正規表現)は、シングル モードまたはマルチ モードのコンテキスト単位で 255 です。この制限にはデフォルト クラス マップが含まれます。

各レイヤ 3/4 ポリシー マップに対して複数のレイヤ 3/4 クラス マップを作成できます。

デフォルト クラス マップ

この設定には、デフォルト グローバル ポリシーでFWSM を使用するデフォルトのレイヤ 3/4 クラス マップをはじめとする多くの内部作成デフォルト クラス マップが含まれます。これは inspection_default と呼ばれ、デフォルト検査トラフィックと一致します。

class-map inspection_default
match default-inspection-traffic
 

デフォルト コンフィギュレーションに存在する別のクラス マップは、class-default と呼ばれ、すべてのトラフィックと一致します。

class-map class-default
match any
 

このクラス マップはすべてのレイヤ 3/4 ポリシー マップの最後に出現し、FWSM に対してその他のすべてのトラフィックでアクションを実行しないように指示します。必要に応じて、 match any クラス マップを使用せずに、class-default クラス マップを使用できます。

デフォルト クラス マップには、検査クラス マップも含まれます。

すべてのデフォルトのクラス マップとユーザ作成クラス マップを表示するには、 show running-config all class-map コマンドを実行します。

最大クラス マップ

すべてのタイプのクラス マップの最大数は、シングル モードまたはマルチ モードのコンテキスト単位で 255 です。クラス マップには次のタイプが含まれます。

class-map

class-map type inspect

class-map type regex

policy-map タイプ検査モードで使用される match コマンド

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。

設定概要

Modular Policy Framework の設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. (アプリケーション検査限定) policy-map type inspect コマンドを使用してアプリケーション検査トラフィック用の特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスに対するアクションを有効にします。

クラス マップ コンフィギュレーション モードを開始するには、 class-map コマンドを使用します。クラス マップ コンフィギュレーション モードから match コマンドを使用することによって、クラスに含めるトラフィックを定義できます。レイヤ 3/4 クラス マップに含まれるクラス マップのトラフィックを特定するための match コマンドは最大でも 1 つです。ただし、 match default-inspection-traffic コマンドが利用できる場合を除きます。この場合、 match access-list コマンドと match default-inspection-traffic コマンドを指定して、一致したトラフィックを絞り込めます。 match default-inspection-traffic コマンドは一致するポートを指定するため、アクセス リストのすべてのポートは無視されます。

次に、4 つのレイヤ 3/4 クラス マップを作成する例を示します。

hostname(config)# access-list udp permit udp any any
hostname(config)# access-list tcp permit tcp any any
hostname(config)# access-list host_foo permit ip any 10.1.1.1 255.255.255.255
 
hostname(config)# class-map all_udp
hostname(config-cmap)# description "This class-map matches all UDP traffic"
hostname(config-cmap)# match access-list udp
 
hostname(config-cmap)# class-map all_tcp
hostname(config-cmap)# description "This class-map matches all TCP traffic"
hostname(config-cmap)# match access-list tcp
 
hostname(config-cmap)# class-map all_http
hostname(config-cmap)# description "This class-map matches all HTTP traffic"
hostname(config-cmap)# match port tcp eq http
 
hostname(config-cmap)# class-map to_server
hostname(config-cmap)# description "This class-map matches all traffic to server 10.1.1.1"
hostname(config-cmap)# match access-list host_foo
 

 
関連コマンド

コマンド
説明

policy-map

トラフィック クラスを 1 つ以上のアクションに関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスに関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップの設定情報を表示します。

class-map type inspect

モジュラ ポリシー フレームワーク を使用するときに、グローバル コンフィギュレーション モードで class-map type inspect コマンドを使用して検査アプリケーションに固有の基準と一致を確認します。検査クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map type inspect application [ match-all] class_map_name

no class-map [ type inspect application [ match-all ]] class_map_name

 
シンタックスの説明

application

一致させるアプリケーション トラフィックのタイプを指定します。指定できるタイプは、次のとおりです。

http

sip

class_map_name

40 文字以内でクラス マップ名を指定します。「class-default」という名前と、「_internal」または「_default」で始まる名前はすべて予約されています。すべてのクラス マップ タイプは、同じ名前スペースを使用するため、すでに別のタイプのクラス マップで使用されている名前を再利用できません。

match-all

(任意)クラス マップと一致するために、トラフィックがすべての基準に一致しなければならない場合に指定します。 match-all はデフォルトかつ唯一のオプションです。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークでは、多数のアプリケーション検査のために特別なアクションを設定できます。レイヤ 3/4 ポリシー マップで検査エンジンをイネーブルにするときは、任意で inspection policy map policy-map type inspect コマンドを参照)で定義されているアクションもイネーブルにできます。

検査ポリシー マップでは、検査クラス マップを作成して、実行するトラフィックを特定できます。クラス マップには 1 つ以上の match コマンドが含まれます(あるいは、 1 つの基準を 1 つのアクションと組み合わせる場合に、検査ポリシー マップで直接 match コマンドを使用できます) 。アプリケーションに固有の基準に一致させることができます。たとえば、HTTP トラフィックの場合、URL のテキストと一致させることができます。

直接、検査ポリシー マップにおいてクラス マップを作成する場合と、トラフィック一致を定義する場合の違いは、クラス マップでは複数の match コマンドをグループ化でき、クラス マップを再利用できるという点です。このクラス マップで特定するトラフィックに対して、検査ポリシー マップにおける接続の廃棄、リセット、ロギングなどのアクションを指定できます。

すべてのタイプのクラス マップの最大数は、シングル モードまたはマルチ モードのコンテキスト単位で 255 です。クラス マップには次のタイプが含まれます。

class-map

class-map type inspect

class-map type regex

policy-map タイプ検査モードで使用される match コマンド

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。詳細については、 class-map コマンドを参照してください。

次に、すべての基準に一致する必要がある HTTP クラス マップを作成する例を示します。

hostname(config-cmap)# class-map type inspect http match-all http-traffic
hostname(config-cmap)# match req-resp content-type mismatch
hostname(config-cmap)# match request body length gt 1000
hostname(config-cmap)# match not request uri regex class URLs
 

 
関連コマンド

コマンド
説明

class-map

トラフィック全体に対して、レイヤ 3/4 クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションに関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスに関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップの設定情報を表示します。

class-map type regex

モジュラ ポリシー フレームワーク を使用するときに、グローバル コンフィギュレーション モードで class-map type regex コマンドを使用して、一致テキストで利用する正規表現をグループ化します。正規表現クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map type regex match-any class_map_name

no class-map [ type regex match-any ] class_map_name

 
シンタックスの説明

class_map_name

40 文字以内でクラス マップ名を指定します。「class-default」という名前と、「_internal」または「_default」で始まる名前はすべて予約されています。すべてのクラス マップ タイプは、同じ名前スペースを使用するため、すでに別のタイプのクラス マップで使用されている名前を再利用できません。

match-any

トラフィックが正規表現のいずれか 1 つだけに一致する場合に、トラフィックがクラス マップに一致することを指定します。 match-any は唯一のオプションです。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークでは、多数のアプリケーション検査のために特別なアクションを設定できます。レイヤ 3/4 ポリシー マップで検査エンジンをイネーブルにするときは、任意で inspection policy map policy-map type inspect コマンドを参照)で定義されているアクションもイネーブルにできます。

検査ポリシーマップでは、1 つ以上の match コマンドを含む検査クラス マップを作成することで適用するトラフィックを特定したり、 match コマンドを検査ポリシー マップに直接使用したりできます。正規表現を使用してパケット内のテキストを特定できる match コマンドもあります。たとえば、HTTP パケット内の URL ストリングを照合できます。正規表現クラス マップで正規表現をグループ化できます。

正規表現クラス マップを作成するには、 regex コマンドを使用して、正規表現を作成する必要があります。次に、 match regex コマンドを使用して、クラス マップ コンフィギュレーション モードで名前を付けた正規表現を特定します。

すべてのタイプのクラス マップの最大数は、シングル モードまたはマルチ モードのコンテキスト単位で 255 です。クラス マップには次のタイプが含まれます。

class-map

class-map type inspect

class-map type regex

policy-map タイプ検査モードで使用される match コマンド

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。詳細については、 class-map コマンドを参照してください。

次に、2 つの正規表現を作成し、正規表現クラス マップに追加する例を示します。トラフィックに文字列「example.com」または「example2.com」が含まれる場合に、トラフィックはクラス マップと一致します。

hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
hostname(config)# class-map type regex match-any URLs
hostname(config-cmap)# match regex example
hostname(config-cmap)# match regex example2
 

 
関連コマンド

コマンド
説明

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションに関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスに関連付けることによって、セキュリティ ポリシーを作成します。

regex

正規表現を作成します。

clear aaa local user fail-attempts

ユーザのロックアウト ステータスを変更することなく、ユーザ認証試行の失敗回数をゼロにリセットするには、特権 EXEC モードで clear aaa local user fail-attempts コマンドを使用します。

clear aaa local user authentication fail-attempts { username name | all }

 
シンタックスの説明

all

すべてのユーザの失敗試行カウンタをゼロ(0)にリセットします。

name

失敗試行カウンタをゼロ(0)にリセットする特定のユーザ名を指定します。

username

後続のパラメータが、失敗試行カウンタをゼロ(0)にリセットするユーザ名であることを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、たとえば、設定が最近変更された場合など、ユーザが数回認証に失敗しても、カウンタをゼロにリセットする場合に使用します。

失敗した認証試行が設定数に達すると、ユーザはシステムからロックアウトされ、システム管理者がユーザ名のロックを解除するか、システムが再起動されるまで、正常にログインできません。

ユーザが正常に認証されるか、FWSM が再起動されると、失敗試行回数がゼロにリセットされ、ロックアウト ステータスが No にリセットされます。

ユーザ名がロックされるか、ロック解除されると、Syslog メッセージが生成されます。

特権レベルが 15 のシステム管理者は、ロックアウトされません。

次に、 clear aaa local user authentication fail-attempts コマンドを使用して、ユーザ名が anyuser の失敗試行カウンタをゼロ(0)にリセットする例を示します。

hostname(config)# clear aaa local user authentication fail-attempts username anyuser
hostname(config)#
 

次に、 clear aaa local user authentication fail-attempts コマンドを使用して、すべてのユーザの失敗試行カウンタをゼロ(0)にリセットする例を示します。

hostname(config)# clear aaa local user authentication fail-attempts all
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

ユーザ認証試行の失敗許可数を設定します。

clear aaa local user lockout

ユーザのロックアウト ステータスを変更することなく、ユーザ認証試行の失敗回数をゼロにリセットします。

show aaa local user [ locked ]

現在ロックされているユーザ名のリストを表示します。

clear aaa local user lockout

指定したユーザのロックアウト ステータスをクリアし、失敗試行カウンタをゼロ(0)に設定するには、特権 EXEC モードで clear aaa local user lockout コマンドを使用します。

clear aaa local user lockout { username name | all}

 
シンタックスの説明

all

すべてのユーザの失敗試行カウンタをゼロ(0)にリセットします。

name

失敗試行カウンタをゼロ(0)にリセットする特定のユーザ名を指定します。

username

後続のパラメータが、失敗試行カウンタをゼロ(0)にリセットするユーザ名であることを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

username オプションで特定のユーザを指定することも、または all オプションですべてのユーザを指定することもできます。

このコマンドが作用するのは、ロックアウトされているユーザのステータスだけです。

装置から管理者をロックアウトできません。

ユーザ名がロックされるか、ロック解除されると、Syslog メッセージが生成されます。

次に、 clear aaa local user lockout コマンドを使用して、ロックアウトの状態をクリアし、ユーザ名が anyuser の失敗試行カウンタをゼロ(0)にリセットする例を示します。

hostname(config)# clear aaa local user lockout username anyuser
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

ユーザ認証試行の失敗許可数を設定します。

clear aaa local user fail-attempts

ユーザのロックアウト ステータスを変更することなく、ユーザ認証試行の失敗回数をゼロにリセットします。

show aaa local user [ locked ]

現在ロックされているユーザ名のリストを表示します。

clear aaa-server statistics

AAA サーバの統計情報をリセットするには、特権 EXEC モードで clear aaa-server statistics コマンドを使用します。

clear aaa-server statistics [ LOCAL | groupname [ host hostname ] | protocol protocol ]

 
シンタックスの説明

groupname

(任意)グループ内のサーバの統計情報をクリアします。

host hostname

(任意)グループ内の特定サーバの統計情報をクリアします。

LOCAL

(任意)LOCAL ユーザ データベースの統計情報をクリアします。

protocol protocol

(任意)指定したプロトコルのサーバの統計情報をクリアします。

kerberos

ldap

nt

radius

sdi

tacacs+

 
デフォルト

すべてのグループの AAA サーバ統計情報を削除します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次のコマンドは、グループ内の特定サーバの AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics svrgrp1 host 1.2.3.4
 

次のコマンドは、サーバ グループすべての AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics svrgrp1
 

次のコマンドは、すべてのサーバ グループの AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics
 

次のコマンドは、特定のプロトコル(この場合、TACACS+)の AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics protocol tacacs+

 
関連コマンド

コマンド
説明

aaa-server protocol

AAA サーバ接続データのグループ化を指定し、管理します。

clear configure aaa-server

非デフォルトのすべての AAA サーバ グループを削除するか、指定したグループをクリアします。

show aaa-server

AAA サーバの統計情報を表示します。

show running-config aaa-server

現在の AAA サーバのコンフィギュレーション値を表示します。

clear access-list

アクセス リストのカウンタをクリアするには、グローバル コンフィギュレーション モードで clear access-list コマンドを使用します。

clear access-list [ id ] counters

 
シンタックスの説明

counters

アクセス リストのカウンタをクリアします。

id

(任意)アクセス リストの名前または番号。

 
デフォルト

すべてのアクセス リストのカウンタがクリアされます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

clear access-list コマンドを入力し、 id を指定していない場合、すべてのアクセス リストのカウンタがクリアされます。

次に、特定のアクセス リストのカウンタをクリアする例を示します。

hostname# clear access-list inbound counters
 

 
関連コマンド

コマンド
説明

access-list extended

設定にアクセス リストを追加し、ファイアウォールを通過する IP トラフィックのポリシーを設定します。

access-list standard

アクセス リストを追加して、OSPF ルートの宛先 IP アドレスを特定します。OSPF ルートは、OSPF 再配布用のルート マップに使用できます。

clear configure access-list

実行コンフィギュレーションからアクセス リストを消去します。

show access-list

アクセス リスト エントリを番号別に表示します。

show running-config access-list t

FWSM で稼動中のアクセス リストのコンフィギュレーションを表示します。

clear arp

ダイナミック ARP エントリまたは ARP の統計情報をクリアするには、特権 EXEC モードで clear arp コマンドを使用します。

clear arp [ statistics ]

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、すべての ARP の統計情報をクリアする例を示します。

hostname# clear arp statistics
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

トランスペアレント ファイアウォール モードの場合に、ARP スプーフィングを防止するために ARP パケットを検査します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在の設定を表示します。

clear asp drop

高速セキュリティ パスの廃棄の統計情報をクリアするには、特権 EXEC モードで clear asp drop コマンドを使用します。

clear asp drop [ flow type | frame type ]

 
シンタックスの説明

flow

(任意)廃棄されたフローの統計情報をクリアします。

frame

(任意)廃棄されたパケットの統計情報をクリアします。

type

(任意)特定のプロセスで廃棄されたフローまたはパケットの統計情報をクリアします。タイプのリストについては、「」を参照してください。

 
デフォルト

デフォルトでは、このコマンドがすべての廃棄の統計情報をクリアします。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

プロセス タイプには、次の内容が含まれます。

acl-drop
audit-failure
closed-by-inspection
conn-limit-exceeded
fin-timeout
flow-reclaimed
fo-primary-closed
fo-standby
fo_rep_err
host-removed
inspect-fail
ips-fail-close
ips-request
ipsec-spoof-detect
loopback
mcast-entry-removed
mcast-intrf-removed
mgmt-lockdown
nat-failed
nat-rpf-failed
need-ike
no-ipv6-ipsec
non_tcp_syn
out-of-memory
parent-closed
pinhole-timeout
recurse
reinject-punt
reset-by-ips
reset-in
reset-oout
shunned
syn-timeout
tcp-fins
tcp-intecept-no-response
tcp-intercept-kill
tcp-intercept-unexpected
tcpnorm-invalid-syn
tcpnorm-rexmit-bad
tcpnorm-win-variation
timeout
tunnel-pending
tunnel-torn-down
xlate-removed

次に、すべての廃棄の統計情報をクリアする例を示します。

hostname# clear asp drop
 

 
関連コマンド

コマンド
説明

show asp drop

廃棄されたパケット数を示す高速セキュリティ パスのカウンタを表示します。

clear blocks

最低水準点および履歴情報などのパケット バッファ カウンタをリセットするには、特権 EXEC モードで clear blocks コマンドを使用します。

clear blocks

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

最低水準点のカウンタを各プールで現在利用できるブロックにリセットします。直前のバッファ割り当ての失敗時に保存された履歴情報もクリアします。

次に、ブロックをクリアする例を示します。

hostname# clear blocks
 

 
関連コマンド

コマンド
説明

blocks

ブロック診断に割り当てるメモリを増加させます。

show blocks

システム バッファの利用率を表示します。

clear capture

キャプチャ バッファをクリアするには、特権 EXEC モードで clear capture コマンドを使用します。

clear capture capture_name

 
シンタックスの説明

capture_name

パケット キャプチャの名前

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

すべてのパケット キャプチャを誤ってクリアしないようにするため、 clear capture (たとえば、 cl cap または clear cap )の短縮形 はサポートされていません。

次に、キャプチャ バッファ「capture1」のキャプチャ バッファをクリアする例を示します。

hostname(config)# clear capture capture1
 

 
関連コマンド

コマンド
説明

capture

パケット キャプチャ機能をイネーブルにして、パケット スニフィングおよびネットワーク障害検出をイネーブルにします。

show capture

オプションが指定されていない場合に、キャプチャのコンフィギュレーションを表示します。