Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コマンド リファレンス リリース 4.0
default ~ drop コマンド
default ~ drop コマンド
発行日;2012/02/24 | 英語版ドキュメント(2010/08/02 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

default ~ drop コマンド

default (crl configure)

default (time-range)

default enrollment

default-domain

default-group-policy

default-information (EIGRP)

default-information originate

default-metric

delay

delete

deny

deny version

description

dhcpd address

dhcpd dns

dhcpd domain

dhcpd enable

dhcpd lease

dhcpd option

dhcpd ping-timeout

dhcpd wins

dhcp-network-scope

dhcprelay enable

dhcprelay information trust

dhcprelay information trust-all

dhcprelay server

dhcprelay setroute

dhcprelay timeout

dhcp-server

dir

disable

distance eigrp

distance ospf

distribute-list in

distribute-list out

dns domain-lookup

dns name-server

dns retries

dns timeout

dns-guard

dns-server

domain-name

drop (class)

drop (gtp-map)

drop-connection

default ~ drop コマンド

default (crl configure)

すべての CRL パラメータをシステムのデフォルト値に戻すには、crl configure コンフィギュレーション モードで、 default コマンドを使用します。crl configure コンフィギュレーション モードには、crypto ca トラストポイント コンフィギュレーション モードからアクセスできます。これらのパラメータが使用されるのは、LDAP サーバが要求した場合だけです。

default

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crl configure コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドの起動は、アクティブ コンフィギュレーションの一部にはなりません。

次に、ca-crl コンフィギュレーション モードを開始し、CRL コマンドの値をデフォルト設定に戻す例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# default
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

crl configure コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

protocol ldap

CRL の取得方式として LDAP を指定します。

default (time-range)

absolute および periodic コマンドをデフォルト設定に戻すには、time-range コンフィギュレーション モードの default コマンドを使用します。

default { absolute | periodic days-of-the-week time to [ days-of-the-week ] time }

 
シンタックスの説明

absolute

時間範囲が有効となる絶対時刻を定義します。

days-of-the-week

最初のこの引数は、対応する時間範囲が有効になる最初の日にちまたは曜日です。2 番目の引数は、対応するステートメントが有効な最後の日にちまたは曜日です。

この引数は、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday のいずれか 1 つまたはその組み合わせです。その他の指定できる値は、次のとおりです。

daily:月曜~日曜

weekdays:月曜~金曜

weekend:土曜および日曜

終了する曜日が開始する曜日と同じ場合は、終了する曜日を省略できます。

periodic

時間範囲設定機能をサポートする機能として、週単位の反復する時間範囲を指定します。

time

時刻を HH:MM の形式で指定します。たとえば、8:00 は午前 8 時、20:00 は午後 8 時です。

to

「開始時刻から終了時刻」の範囲を完結させるために、 to キーワードを入力する必要があります。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

time-range コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

終了する曜日の値が開始の値と同じ場合は、終了の値を省略できます。

time-range コマンドに absolute periodic の値が両方とも指定されていた場合、 periodic コマンドが評価されるのは、 absolute start の時刻に達してからであり、また、 absolute end の時刻を過ぎてからは評価されません。

時間範囲機能には FWSM のシステム クロックを使用しますが、機能が最適に動作するのは、NTP と同期した場合です。

次に、 absolute キーワードのデフォルト動作に戻す例を示します。

hostname(config-time-range)# default absolute

 
関連コマンド

コマンド
説明

absolute

時間範囲が有効となる絶対時刻を定義します。

periodic

時間範囲設定機能をサポートする機能として、週単位の反復する時間範囲を指定します。

time-range

時間に基づく FWSM のアクセス制御を定義します。

default enrollment

すべてのエンロールメント パラメータをシステムのデフォルト値に戻すには、crypto ca トラストポイント コンフィギュレーション モードで、 default enrollment コマンドを使用します。

default enrollment

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crypto ca トラストポイント コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドの起動は、アクティブ コンフィギュレーションの一部にはなりません。

次に、トラストポイント central の crypto ca トラストポイント コンフィギュレーション モードを開始し、すべてのエンロールメント パラメータを、トラストポイント central 内のデフォルト値に戻す例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# default enrollment
 

 
関連コマンド

コマンド
説明

clear configure crypto ca trustpoint

すべてのトラストポイントを削除します。

crl configure

crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default-domain

グループ ポリシーのユーザのデフォルト ドメイン名を設定するには、グループ ポリシー コンフィギュレーション モードで、 default-domain コマンドを使用します。ドメイン名を削除するには、このコマンドの no 形式を使用します。

default-domain {value domain-name | none}

no default-domain [ domain-name ]

 
シンタックスの説明

none

デフォルトのドメイン名を使用しないことを指定します。デフォルトのドメイン名は null 値に設定されるため、使用できません。デフォルトまたは指定したグループ ポリシーから、デフォルトのドメイン名を継承するのを防ぎます。

value domain-name

グループのデフォルトのドメイン名を指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトのドメイン名に使用できるのは、英数字、ハイフン(-)、およびピリオド(.)だけです。

すべてのデフォルト ドメイン名を削除するには、引数を指定しないでこのコマンドの no 形式を使用します。 default-domain none コマンドにより作成された null リストを含め、設定済みのすべてのデフォルト ドメイン名が削除されます。

ユーザがドメイン名を継承しないようにするには、 default-domain none コマンドを使用します。

FWSM は、ドメイン フィールドが省略された DNS クエリーに付加するために、IPSec クライアントにデフォルトのドメイン名を渡します。このドメイン名は、トンネル化されたパケットだけに適用されます。デフォルトのドメイン名が存在しない場合、ユーザは、デフォルト グループ ポリシーのデフォルトのドメイン名を継承します。

次に、FirstGroup というグループ ポリシーに、FirstDomain というデフォルトのドメイン名を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# default-domain value FirstDomain

 
関連コマンド

コマンド
説明

split-dns

スプリット トンネルを介して解決されるドメイン リストを指定します。

split-tunnel-network-list

トンネリングが必要なネットワークと不要なネットワークを区別するために FWSM が使用するアクセス リストを識別します。

split-tunnel-policy

IPSec クライアントからのパケットを、条件に応じて IPSec トンネルを介して暗号化形式で転送したり、クリアテキスト形式で特定のネットワーク インターフェイスに転送できるようにします。

default-group-policy

ユーザがデフォルトで継承する属性セットを指定するには、tunnel-group general-attributes コンフィギュレーション モードで、 default-group-policy コマンドを使用します。デフォルトのグループ ポリシー名を削除するには、このコマンドの no 形式を使用します。

default-group-policy group-name

no default-group-policy group-name

 
シンタックスの説明

group-name

デフォルト グループの名前を指定します。

 
デフォルト

デフォルトのグループ名は、DfltGrpPolicy です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

tunnel-group general-attributes コンフィギュレーション

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトのグループ ポリシー DfltGrpPolicy は、FWSM の初期設定時に設定されます。すべてのトンネルグループ タイプにこの属性を適用できます。

次に、config-general コンフィギュレーション モードを開始し、ユーザがデフォルトで、standard-policy という IPSec LAN-to-LAN トンネル グループの属性セットを継承するように指定する例を示します。このコマンド セットでは、アカウンティング サーバ、認証サーバ、許可サーバ、およびアドレス プールを定義しています。

hostname(config)# tunnel-group standard-policy type ipsec-ra
hostname(config)# tunnel-group standard-policy general-attributes
hostname(config-general)# default-group-policy first-policy
hostname(config-general)# accounting-server-group aaa-server123
hostname(config-general)# address-pool (inside) addrpool1 addrpool2 addrpool3
hostname(config-general)# authentication-server-group aaa-server456
hostname(config-general)# authorization-server-group aaa-server78
hostname(config-general)#

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されたトンネル グループをすべて消去します。

group-policy

グループ ポリシーを作成または編集します。

show running-config tunnel group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ設定を表示します。

tunnel-group-map default group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに対応付けます。

default-information (EIGRP)

EIGRP ルーティング プロセスのデフォルト ルーティング候補情報を制御するには、ルータ コンフィギュレーション モードで、 default-information コマンドを使用します。着信アップデートまたは発信アップデートで EIGRP のデフォルト ルーティング候補情報を抑制するには、このコマンドの no 形式を使用します。

default-information { in | out } [ acl-name ]

no default-information { in | out }

 
シンタックスの説明

acl-name

(任意)名前付き標準アクセス リスト。

in

外部のデフォルト ルーティング情報を受け入れるように EIGRP を設定します。

out

外部のルーティング情報をアドバタイズするように EIGRP を設定します。

 
デフォルト

外部のルーティング情報が受け入れられ、送信されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、デフォルト ルーティング候補情報が受け入れられ、送信されるため、実行コンフィギュレーションには、このコマンドの no 形式、またはアクセス リストを指定した default-information コマンドだけが設定されます。このコマンドの no 形式に acl-name 引数は使用しません。

次に、外部のデフォルト ルーティング情報またはデフォルト ルーティング候補情報の受け入れをディセーブルにする例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# no default-information in
 

 
関連コマンド

コマンド
説明

router eigrp

EIGRP ルーティング プロセスを作成し、このプロセスのコンフィギュレーション モードを開始します。

default-information originate

OSPF ルーティング ドメインにデフォルトの外部ルートを生成するには、ルータ コンフィギュレーション モードで、 default-information originate コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

default-information originate [ always ] [ metric value ] [ metric-type { 1 | 2 }] [ route-map name ]

no default-information originate [[ always ] [ metric value ] [ metric-type { 1 | 2 }] [ route-map name ]]

 
シンタックスの説明

always

(任意)ソフトウェアにデフォルト ルートがあるかどうかに関係なく、常にデフォルト ルートをアドバタイズします。

metric value

(任意)0 ~ 16777214 の OSPF デフォルト メトリック値を指定します。

metric-type {1 | 2}

(任意)OSPF ルーティング ドメインにアドバタイズするデフォルト ルートに関連付ける外部リンクのタイプを指定します。有効な値は、次のとおりです。

1 :タイプ 1 外部ルート

2 :タイプ 2 外部ルート

route-map name

(任意)適用するルート マップの名前。

 
デフォルト

デフォルト値は、次のとおりです。

metric value は 1 です。

metric-type は 2 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドの no 形式に、オプションのキーワードおよび引数を指定すると、このコマンドからオプションの情報だけが削除されます。たとえば、 no default-information originate metric 3 コマンドを入力すると、実行コンフィギュレーションのこのコマンドから、 metric 3 オプションが削除されます。実行コンフィギュレーションからコマンド全体を削除するには、 no default-information originate のようにオプションを指定しないで、コマンドの no 形式を使用します。

次に、オプションのメトリックおよびメトリック タイプを指定した、 default-information originate コマンドの使用例を示します。

hostname(config-router)# default-information originate always metric 3 metric-type 2
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションに指定されているコマンドを表示します。

default-metric

再配布ルートの EIGRP メトリックを指定するには、ルータ コンフィギュレーション モードで、 default-metric コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

default-metric bandwidth delay reliability loading mtu

no default-metric bandwidth delay reliability loading mtu

 
シンタックスの説明

bandwidth

ルートの最小帯域幅(KB/秒単位)。有効値は 1 ~ 4294967295 です。

delay

ルート遅延(10 マイクロ秒単位)。有効値は 1 ~ 4294967295 です。

reliability

0 ~ 255 の数字で表される、パケット送信が成功する可能性。値を 255 にすると 100% の信頼性、0 にすると信頼性がないことを意味します。

loading

1 ~ 255 の数字で表される、ルートの有効帯域幅(255 が 100% ロード)。

mtu

MTU の最小許容値(バイト単位)。有効値は 1 ~ 65535 です。

 
デフォルト

接続ルートだけは、デフォルト メトリックを指定しなくても再配布できます。再配布された接続ルートのメトリックは 0 に設定されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

redistribute コマンドの metric キーワードおよび属性を使用しない場合は、デフォルト メトリックを使用して EIGRP にプロトコルを再配布する必要があります。メトリックのデフォルトは、幅広いネットワークで使用できるように考慮して設定されています。この値を変更する場合は、十分に注意してください。同じメトリックを維持できるのは、スタティック ルートから再配布している場合だけです。

次に、再配布された RIP ルート メトリックを、bandwidth = 1000、delay = 100、reliability = 250、loading = 100、および MTU = 1500 の値を指定して EIGRP メトリックに変換する例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# network 172.16.0.0
hostname(config-router)# redistribute rip
hostname(config-router)# default-metric 1000 100 250 100 1500
 

 
関連コマンド

コマンド
説明

router eigrp

EIGRP ルーティング プロセスを作成し、このプロセスのルータ コンフィギュレーション モードを開始します。

redistribute (EIGRP)

ルートを EIGRP ルーティング プロセスに再配布します。

delay

インターフェイスの遅延値を設定するには、インターフェイス コンフィギュレーション モードで、 delay コマンドを使用します。デフォルトの遅延値に戻すには、このコマンドの no 形式を使用します。

delay delay-time

no delay

 
シンタックスの説明

delay-time

遅延時間(10 マイクロ秒単位)。有効値は 1 ~ 16777215 です。

 
デフォルト

デフォルトの遅延値は、インターフェイス タイプによって異なります。インターフェイスの遅延値を確認するには、 show interface コマンドを使用します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

入力する値の単位は 10 マイクロ秒です。 show interface の出力に表示される遅延値の単位はマイクロ秒です。

次に、インターフェイス上で遅延値をデフォルトの 1000 から 2000 に変更する例を示します。 delay コマンドが遅延値にどのように影響するかを示すため、このコマンドの前後にある show interface コマンドの出力を省略しています。遅延値は、 show interface の出力の 2 行目の DLY ラベルの後に表示されます。

遅延値を 2000 に変更する場合、入力するコマンドは、 delay 2000 ではなく、 delay 200 であることに注意してください。これは、 delay コマンドに指定する入力値が 10 マイクロ秒単位であるのに対して、 show interface の出力にはマイクロ秒単位で表示されるためです。

hostname(config)# show interface outside
Interface Vlan20 "outside", is up, line protocol is up
Hardware is EtherSVI, BW Unknown Speed-Capability, DLY 10 usec
MAC address 000f.23be.d980, MTU 1500
IP address 20.1.1.1, subnet mask 255.255.255.0
Traffic Statistics for "outside":
0 packets input, 0 bytes
0 packets output, 0 bytes
0 packets dropped
FWSM(config-if)#

 
関連コマンド

コマンド
説明

show interface

インターフェイスの統計情報および設定を表示します。

delete

ディスク パーティションにあるファイルを削除するには、特権 EXEC モードで、 delete コマンドを使用します。

delete [/noconfirm] [/recursive] [disk:] filename

 
シンタックスの説明

/noconfirm

(任意)確認プロンプトを表示しないように指定します。

/recursive

(任意)すべてのサブディレクトリで、指定したファイルを繰り返し削除します。

filename

削除するファイルの名前を指定します。

disk:

削除できない内部フラッシュを、コロンを付けて指定します。

 
デフォルト

ディレクトリを指定しない場合、デフォルトのディレクトリは現在の作業ディレクトリです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

パスを指定しない場合、現在の作業ディレクトリのファイルが削除されます。ファイルを削除する際には、ワイルドカードを使用できます。ファイルの削除を実行すると、ファイル名のプロンプトが表示されるため、削除を確認する必要があります。

次に、現在の作業ディレクトリから、 test.cfg というファイルを削除する例を示します。

hostname# delete test.cfg

 
関連コマンド

コマンド
説明

cd

現在の作業ディレクトリを指定のディレクトリに変更します。

rmdir

ファイルまたはディレクトリを削除します。

show file

指定したファイルを表示します。

deny

アプリケーション タイプに基づいてトラフィックを拒否するには、クラス コンフィギュレーション モードで、 deny コマンドを使用します。クラス コンフィギュレーション モードにアクセスするには、 policy-map コマンドを入力します。deny ステートメントを削除するには、このコマンドの no 形式を使用します。

deny { all | protocol }

no deny { all | protocol }

 
シンタックスの説明

all

すべてのプロトコルを指定します。

protocol

名前または番号でプロトコルを指定します。サポートされるプロトコル名のリストについては、 deny ? コマンドを使用してください。

 
デフォルト

明示的に拒否しない限り、デフォルトではすべてのプロトコルが許可されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

スイッチ上の Programmable Intelligent Services Accelerator(PISA; プログラマブル インテリジェント サービス アクセラレータ)は、詳細なパケット検査を行って所定のフローのアプリケーション タイプを迅速に判別します。トラフィックが標準のポートを使用していない場合でも特定できます。FWSM は、アプリケーション タイプに基づいてトラフィックを許可または拒否できるように、PISA カードの高性能で詳細なパケット検査を活用できます。

コントロール プレーン パスを通過する FWSM 検査機能と異なり、PISA により GRE を使用してタグ付けされるトラフィックは、FWSM 高速パスを通過できます。FWSM と PISA の統合によるもう 1 つの利点は、セキュリティ コンフィギュレーションを 1 つの FWSM に集約でき、PISA がインストールされた複数のアップストリーム スイッチを設定しなくても済む点です。

重要なアプリケーション タイプのために帯域幅を残しておく場合、特定のタイプのアプリケーション トラフィックを拒否することがあります。たとえば、他の重要なアプリケーションに影響を与える Peer-to-Peer(P2P; ピアツーピア)アプリケーションの使用を拒否できます。

class-map コマンドでトラフィックを特定してから、 policy-map コマンドを入力して各クラス マップに対応するアクションを指定します。 class コマンドを入力してクラス マップを特定してから、 deny コマンドを( permit コマンドとともに)入力して、拒否するトラフィックを決定します。

permit ステートメントと deny ステートメントを組み合わせ、拒否するトラフィックを絞り込むことができます。少なくとも 1 つの deny コマンドを入力する必要があります。最後に暗黙的な拒否を含むアクセス リストと異なり、PISA アクションには、最後に暗黙的な許可が含まれます。

たとえば、Skype、eDonkey、Yahoo を除くすべてのトラフィックを許可するには、次のコマンドを入力します。

hostname(config-pmap-c)# deny skype
hostname(config-pmap-c)# deny yahoo
hostname(config-pmap-c)# deny eDonkey
 

次に、Kazaa と eDonkey を除くすべてのトラフィックを拒否する例を示します。

hostname(config-pmap-c)# deny all
hostname(config-pmap-c)# permit kazaa
hostname(config-pmap-c)# permit eDonkey
 

PISA 統合の詳細については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide 』を参照してください。このマニュアルには、本機能を使用するためのスイッチのコンフィギュレーションに関する基本的な情報などが記載されています。

次に、PISA 統合のコンフィギュレーション例を示します。

hostname(config)# access-list BAD_APPS extended permit 10.1.1.0 255.255.255.0 10.2.1.0 255.255.255.0
 
hostname(config)# class-map denied_apps
hostname(config-cmap)# description "Apps to be blocked"
hostname(config-cmap)# match access-list BAD_APPS
 
hostname(config-cmap)# policy-map denied_apps_policy
hostname(config-pmap)# class denied_apps
hostname(config-pmap-c)# deny skype
hostname(config-pmap-c)# deny yahoo
hostname(config-pmap-c)# deny eDonkey
 
hostname(config-pmap-c)# service-policy denied_apps_policy inside
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップを指定します。

class-map

サービス ポリシーで使用するクラス マップを作成します。

permit

PISA タグ付きトラフィックを許可します。

policy-map

クラス マップと 1 つ以上のアクションを対応付ける、ポリシー マップを設定します。

service-policy

インターフェイスにポリシー マップを割り当てます。

show conn

接続情報を表示します。

deny version

特定のバージョンの SNMP トラフィックを拒否するには、snmp-map コンフィギュレーション モードで、 deny version コマンドを使用します。SNMP マップ コンフィギュレーション モードには、グローバル コンフィギュレーション モードで、 snmp-map コマンドを入力してアクセスできます。このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。

deny version version

no deny version version

 
シンタックスの説明

version

FWSM がドロップする SNMP トラフィックのバージョンを指定します。使用できる値は、 1 2 2c 、および 3 です。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

snmp-map コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

SNMP トラフィックを特定のバージョンの SNMP に制限するには、 deny version コマンドを使用します。SNMP の旧バージョンはセキュリティ レベルが低かったため、セキュリティ ポリシーにより、SNMP トラフィックを Version 2 に制限するように指定されている場合があります。SNMP マップ内で deny version コマンドを使用できます。SNMP マップは、 snmp-map コマンドを使用して設定します。SNMP マップの作成後、 inspect snmp コマンドを使用してマップをイネーブルにし、 service-policy コマンドを使用して 1 つ以上のインターフェイスにマップを適用します。

次に、SNMP トラフィックを識別して SNMP マップを定義し、ポリシーを定義して外部インターフェイスに適用する例を示します。

hostname(config)# access-list snmp-acl permit tcp any any eq 161
hostname(config)# access-list snmp-acl permit tcp any any eq 162
hostname(config)# class-map snmp-port
hostname(config-cmap)# match access-list snmp-acl
hostname(config-cmap)# exit
hostname(config)# snmp-map inbound_snmp
hostname(config-snmp-map)# deny version 1
hostname(config-snmp-map)# exit
hostname(config)# policy-map inbound_policy
hostname(config-pmap)# class snmp-port
hostname(config-pmap-c)# inspect snmp inbound_snmp
hostname(config-pmap-c)# exit
hostname(config-pmap)# exit
hostname(config)# service-policy inbound_policy interface outside
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

inspect snmp

SNMP アプリケーション検査をイネーブルにします。

policy-map

特定のセキュリティ アクションにクラス マップを対応付けます。

snmp-map

SNMP マップを定義し、SNMP マップ コンフィギュレーション モードをイネーブルにします。

service-policy

1 つ以上のインターフェイスにポリシー マップを適用します。

description

指定したコンフィギュレーション単位(コンテキストまたはオブジェクト グループなど)に説明を追加するには、各種コンフィギュレーション モードで、 description コマンドを使用します。説明を削除するには、このコマンドの no 形式を使用します。説明は、コンフィギュレーションの情報として役立ちます。

description text

no description

 
シンタックスの説明

text

説明として、200 文字までの長さのテキスト文字列を設定します。文字列に疑問符(?)を使用する場合には、CLI ヘルプを誤って起動しないように、疑問符を入力する前に Ctrl+V キーを入力する必要があります。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

このコマンドは各種コンフィギュレーション モードで使用できます。

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、「Administration」 コンテキスト コンフィギュレーションに説明を追加する例を示します。

hostname(config)# context administrator
hostname(config-ctx)# description This is the admin context.
hostname(config-ctx)# allocate-interface vlan 100
hostname(config-ctx)# allocate-interface vlan 200
hostname(config-ctx)# config-url disk://admin.cfg
 

 
関連コマンド

コマンド
説明

class-map

policy-map コマンドでアクションを適用するトラフィックを指定します。

context

システム コンフィギュレーション内にセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

object-group

access-list コマンドに含めるトラフィックを指定します。

policy-map

class-map コマンドで指定したトラフィックに適用するアクションを設定します。

dhcpd address

DHCP サーバで使用する IP アドレス プールを定義するには、グローバル コンフィギュレーション モードで、 dhcpd address コマンドを使用します。既存の DHCP アドレス プールを削除するには、このコマンドの no 形式を使用します。

dhcpd address IP_address 1 [ - IP_address 2 ] interface_name

no dhcpd address interface_name

 
シンタックスの説明

interface_name

アドレス プールを割り当てるインターフェイス。

IP_address1

DHCP アドレス プールの開始アドレス。

IP_address2

DHCP アドレス プールの終了アドレス。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcpd から変更されました。

 
使用上のガイドライン

dhcpd address ip1 [ - ip2 ] interface_name コマンドは、DHCP サーバのアドレス プールを指定します。FWSM の DHCP サーバのアドレス プールは、イネーブルに設定されている FWSM のインターフェイス上の同一サブネット内の範囲である必要があります。 interface_name を使用して、関連付ける FWSM のインターフェイスを指定する必要があります。

FWSM では、アドレス プールのサイズがプールあたり 256 アドレスに制限されます。アドレス プールの範囲が 253 アドレスを超えた場合、FWSM のインターフェイスのネットマスクは、Class C アドレス(255.255.255.0 など)を使用できず、もっと大きいアドレス(255.255.254.0 など)にする必要があります。

FWSM の DHCP サーバ インターフェイス のサブネットに DHCP クライアントを物理的に接続する必要があります。

dhcpd address コマンドでは、「-」(ダッシュ)文字がオブジェクト名の一部として解釈されず、範囲指定子として解釈されるため、「-」文字を含むインターフェイス名を使用できません。

no dhcpd address interface_name コマンドでは、指定したインターフェイスに設定された DHCP サーバのアドレス プールを削除します。

FWSM に DHCP サーバ機能を実装する方法については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide 』を参照してください。

次に、 dhcpd address dhcpd dns 、および dhcpd enable interface_name コマンドを使用して、FWSM の dmz インターフェイス上で、アドレス プールおよび DHCP クライアント用の DNS サーバを設定する例を示します。

hostname(config)# dhcpd address 10.0.1.100-10.0.1.108 dmz
hostname(config)# dhcpd dns 209.165.200.226
hostname(config)# dhcpd enable dmz
 

次に、内部インターフェイスで DHCP サーバを設定する例を示します。この例では、 dhcpd address コマンドを使用して、対象インターフェイス上の DHCP サーバに 10 個の IP アドレスを含むプールを割り当てています。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping_timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

DHCP サーバ設定をすべて削除します。

dhcpd enable

指定したインターフェイス上で、DHCP サーバをイネーブルにします。

show dhcpd

DHCP のバインディング、統計情報、またはステート情報を表示します。

show running-config dhcpd

現在の DHCP サーバ設定を表示します。

dhcpd dns

DHCP クライアント用の DNS サーバを定義するには、グローバル コンフィギュレーション モードで、 dhcpd dns コマンドを使用します。定義したサーバをクリアするには、このコマンドの no 形式を使用します。

dhcpd dns dnsip1 [ dnsip2 ]

no dhcpd dns [ dnsip1 [ dnsip2 ]]

 
シンタックスの説明

dnsip1

DHCP クライアントに対するプライマリ DNS サーバの IP アドレス

dnsip2

(任意)DHCP クライアントに対する代替 DNS サーバの IP アドレス

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcpd から変更されました。

 
使用上のガイドライン

dhcpd dns コマンドでは、DHCP クライアント用の DNS サーバの IP アドレスを 1 つ以上指定できます。2 つの DNS サーバを指定できます。設定した DNS IP アドレスを削除するには、 no dhcpd dns コマンドを使用します。

次に、 dhcpd address dhcpd dns 、および dhcpd enable interface_name コマンドを使用して、FWSM の dmz インターフェイス上で、アドレス プールおよび DHCP クライアント用の DNS サーバを設定する例を示します。

hostname(config)# dhcpd address 10.0.1.100-10.0.1.108 dmz
hostname(config)# dhcpd dns 192.168.1.2
hostname(config)# dhcpd enable dmz
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

DHCP サーバ設定をすべて削除します。

dhcpd address

指定したインターフェイス上に、DHCP サーバが使用するアドレス プールを指定します。

dhcpd enable

指定したインターフェイス上で、DHCP サーバをイネーブルにします。

dhcpd wins

DHCP クライアント用の WINS サーバを定義します。

show running-config dhcpd

現在の DHCP サーバ設定を表示します。

dhcpd domain

DHCP クライアント用の DNS ドメイン名を定義するには、グローバル コンフィギュレーション モードで、 dhcpd domain コマンドを使用します。DNS ドメイン名をクリアするには、このコマンドの no 形式を使用します。

dhcpd domain domain_name

no dhcpd domain [ domain_name ]

 
シンタックスの説明

domain_name

example.com などの DNS ドメイン名

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcpd から変更されました。

 
使用上のガイドライン

dhcpd domain コマンドでは、DHCP クライアント用の DNS ドメイン名を指定できます。設定した DNS ドメイン サーバを削除するには、 no dhcpd domain コマンドを使用します。

次に、 dhcpd domain コマンドを使用して、FWSM の DHCP サーバから DHCP クライアントに提供されるドメイン名を設定する例を示します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping_timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

DHCP サーバ設定をすべて削除します。

show running-config dhcpd

現在の DHCP サーバ設定を表示します。

dhcpd enable

DHCP サーバをイネーブルにするには、グローバル コンフィギュレーション モードで、 dhcpd enable コマンドを使用します。DHCP サーバをディセーブルにするには、このコマンドの no 形式を使用します。

dhcpd enable interface

no dhcpd enable interface

 
シンタックスの説明

interface

DHCP サーバをイネーブルにするインターフェイスを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcpd から変更されました。

 
使用上のガイドライン

DHCP サーバは、DHCP クライアントに、ネットワーク設定パラメータを提供します。FWSM 内で DHCP サーバをサポートすることにより、FWSM で DHCP を使用して、接続先のクライアントを設定できるようになります。

dhcpd enable interface コマンドを使用すると、DHCP デーモンをイネーブルにして、DHCP 対応インターフェイス上で DHCP クライアント要求を待ち受けることができます。 no dhcpd enable コマンドは、指定したインターフェイス上の DHCP サーバ機能をディセーブルにします。


) マルチ コンテキスト モードでは、複数のコンテキスト(共有 VLAN)によって使用されているインターフェイス上で DHCP サーバをイネーブルにすることはできません。


FWSM は、DHCP クライアント要求に応答する場合、応答に含まれるデフォルト ゲートウェイの IP アドレスおよびサブネット マスクとして、要求を受信したインターフェイスの IP アドレスおよびサブネット マスクを使用します。


) FWSM DHCP サーバ デーモンは、FWSM のインターフェイスに直接接続されていないクライアントをサポートしていません。


FWSM に DHCP サーバ機能を実装する方法については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide 』を参照してください。

次に、 dhcpd enable コマンドを使用して、内部インターフェイス上で DHCP サーバをイネーブルにする例を示します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping_timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

debug dhcpd

DHCP サーバのデバッグ情報を表示します。

dhcpd address

指定したインターフェイス上に、DHCP サーバが使用するアドレス プールを指定します。

show dhcpd

DHCP のバインディング、統計情報、またはステート情報を表示します。

show running-config dhcpd

現在の DHCP サーバ設定を表示します。

dhcpd lease

DHCP のリース期間を指定するには、グローバル コンフィギュレーション モードで、 dhcpd lease コマンドを使用します。リースをデフォルト値に戻すには、このコマンドの no 形式を使用します。

dhcpd lease lease_length

no dhcpd lease [ lease_length ]

 
シンタックスの説明

lease_length

DHCP サーバから DHCP クライアントに提供された IP アドレスのリース期間を、秒数で指定します。有効値は、300 ~ 1048575 秒です。

 
デフォルト

デフォルトの lease_length は、3600 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcpd から変更されました。

 
使用上のガイドライン

dhcpd lease コマンドでは、DHCP クライアントに提供されるリース期間を、秒単位で指定できます。リース期間は、DHCP クライアントが、DHCP サーバから割り当てられた IP アドレスを使用できる期間を意味します。

no dhcpd lease コマンドでは、指定したリース期間をコンフィギュレーションから削除し、この値をデフォルト値の 3600 秒に置き換えます。

次に、 dhcpd lease コマンドを使用して、DHCP クライアントにおける DHCP 情報のリース期間を指定する例を示します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping_timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

DHCP サーバ設定をすべて削除します。

show running-config dhcpd

現在の DHCP サーバ設定を表示します。

dhcpd option

DHCP オプションを設定するには、グローバル コンフィギュレーション モードで、 dhcpd option コマンドを使用します。オプションをクリアするには、このコマンドの no 形式を使用します。 dhcpd option コマンドを使用すると、Cisco IP Phone およびルータに対して、TFTP サーバ情報を提供できます。

dhcpd option code { ascii string } | { ip IP_address [ IP_address ]} | { hex hex_string }

no dhcpd option code

 
シンタックスの説明

ascii

オプション パラメータを、ASCII 文字列に指定します。

code

設定する DHCP オプションを示す番号。有効値は 0 ~ 255 です。サポート対象外の DHCP オプション コードのリストは、以下の「使用上のガイドライン」を参照してください。

hex

オプション パラメータを、16 進数文字列に指定します。

hex_string

16 進数文字列を、偶数桁でスペースを入れずに指定します。0x プレフィクスを使用する必要はありません。

ip

オプション パラメータを、IP アドレスに指定します。 ip キーワードでは、2 つまでの IP アドレスを指定できます。

IP_address

ドット付き 10 進数 IP アドレスを指定します。

string

ASCII 文字列をスペースを入れずに指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcpd から変更されました。

 
使用上のガイドライン

FWSM の DHCP サーバに DHCP オプション要求が到達すると、FWSM は、クライアントへの応答に、 dhcpd option コマンドで指定された 1 つ以上の値を付与します。

dhcpd option 66 および dhcpd option 150 コマンドは、Cisco IP Phone およびルータがコンフィギュレーション ファイルのダウンロードに使用できる TFTP サーバを指定します。これらのコマンドは、次のように使用します。

dhcpd option 66 ascii string string には TFTP サーバの IP アドレスまたはホスト名のいずれかを指定します。option 66 に指定できる TFTP サーバは 1 つだけです。

dhcpd option 150 ip IP_address [ IP_address ]: IP_address には TFTP サーバの IP アドレスを指定します。option 150 には、2 つまでの IP アドレスを指定できます。


dhcpd option 66 コマンドは ascii パラメータだけを、dhcpd option 150 コマンドは ip パラメータだけを使用できます。


dhcpd option 66 | 150 コマンドに IP アドレスを指定する場合には、次のガイドラインに従ってください。

TFTP サーバが DHCP サーバ インターフェイス上に存在する場合には、TFTP サーバのローカル IP アドレスを使用します。

TFTP サ-バが DHCP サーバ インターフェイスよりもセキュリティの低いインターフェイス上に存在する場合には、一般的な発信ルールが適用されます。DHCP クライアント用の NAT、グローバル、および access-list エントリのグループを作成し、TFTP サーバの実 IP アドレスを使用します。

TFTP サーバが、よりセキュリティの高いインターフェイス上に存在する場合には、一般的な着信ルールが適用されます。TFTP サーバ用のスタティック ステートメントおよび access-list ステートメントのグループを作成し、TFTP サーバのグローバル IP アドレスを使用します。

その他の DHCP オプションの詳細は、RFC 2132 を参照してください。


) セキュリティ アプライアンスは、指定したオプション タイプおよび値が、RFC 2132 に定義されているオプション コードに対して求められているタイプおよび値に一致するかを検証しません。たとえば、 RFC 2132 では option 46 は 1 桁の 16 進数値を求めるように定義されていますが、dhcpd option 46 ascii hello と入力することができ、セキュリティ アプライアンスはこの設定を受け入れます。


次の DHCP オプションは、 dhcpd option コマンドで指定することはできません。

 

オプション コード
説明

0

DHCPOPT_PAD

1

HCPOPT_SUBNET_MASK

12

DHCPOPT_HOST_NAME

50

DHCPOPT_REQUESTED_ADDRESS

51

DHCPOPT_LEASE_TIME

52

DHCPOPT_OPTION_OVERLOAD

53

DHCPOPT_MESSAGE_TYPE

54

DHCPOPT_SERVER_IDENTIFIER

58

DHCPOPT_RENEWAL_TIME

59

DHCPOPT_REBINDING_TIME

61

DHCPOPT_CLIENT_IDENTIFIER

67

DHCPOPT_BOOT_FILE_NAME

82

DHCPOPT_RELAY_INFORMATION

255

DHCPOPT_END

次に、DHCP option 66 に TFTP サーバを指定する例を示します。

hostname(config)# dhcpd option 66 ascii MyTftpServer
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

DHCP サーバ設定をすべて削除します。

show running-config dhcpd

現在の DHCP サーバ設定を表示します。

dhcpd ping-timeout

DHCP ping のデフォルトのタイムアウトを変更するには、グローバル コンフィギュレーション モードで、 dhcpd ping-timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。アドレスの競合を防ぐために、DHCP サーバは、DHCP クライアントにアドレスを割り当てる前に、そのアドレスに 2 つの ICMP ping パケットを送信します。このコマンドでは、ping のタイムアウトをミリ秒単位で指定します。

dhcpd ping-timeout number

no dhcpd ping-timeout

 
シンタックスの説明

number

ping のタイムアウト値を、ミリ秒単位で指定します。最小値は 10、最大値は 10000 です。デフォルトは 50 です。

 
デフォルト

number のデフォルト値は、50 ミリ秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcpd から変更されました。

 
使用上のガイドライン

FWSM は、DHCP クライアントに IP アドレスを割り当てる前に、2 つの ICMP ping パケットが両方ともタイムアウトになるまで待機します。たとえば、デフォルト値を使用する場合、FWSM は IP アドレスを割り当てる前に 1500 ミリ秒(各 ICMP ping パケットについて 750 ミリ秒)待機します。

ping のタイムアウト値を長くすると、DHCP サーバのパフォーマンスに影響することがあります。

次に、 dhcpd ping-timeout コマンドを使用して、DHCP サーバの ping タイムアウト値を変更する例を示します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping-timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

DHCP サーバ設定をすべて削除します。

show running-config dhcpd

現在の DHCP サーバ設定を表示します。

dhcpd wins

DHCP クライアント用の WINS サーバを定義するには、グローバル コンフィギュレーション モードで、 dhcpd wins コマンドを使用します。DHCP サーバから WINS サーバを削除するには、このコマンドの no 形式を使用します。

dhcpd wins server1 [server2]

no dhcpd wins [ server1 [ server2 ]]

 
シンタックスの説明

server1

プライマリ Microsoft NetBIOS ネーム サーバ(WINS サーバ)の IP アドレスを指定します。

server2

(任意)代替 Microsoft NetBIOS ネーム サーバ(WINS サーバ)の IP アドレスを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcpd から変更されました。

 
使用上のガイドライン

dhcpd wins コマンドでは、DHCP クライアント用の WINS サーバのアドレスを指定できます。 no dhcpd wins コマンドを使用すると、WINS サーバの IP アドレスがコンフィギュレーションから削除されます。

次に、 dhcpd wins コマンドを使用して、DHCP クライアントに送信される WINS サーバ情報を指定する例を示します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping_timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

DHCP サーバ設定をすべて削除します。

dhcpd address

指定したインターフェイス上に、DHCP サーバが使用するアドレス プールを指定します。

dhcpd dns

DHCP クライアント用の DNS サーバを定義します。

show dhcpd

DHCP のバインディング、統計情報、またはステート情報を表示します。

show running-config dhcpd

現在の DHCP サーバ設定を表示します。

dhcp-network-scope

FWSM の DHCP サーバが、グループ ポリシーのユーザにアドレスを割り当てるときに使用する IP アドレス範囲を指定するには、グループ ポリシー コンフィギュレーション モードで、 dhcp-network-scope コマンドを使用します。実行コンフィギュレーションからこの属性を削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、別のグループ ポリシーから値を継承できます。値を継承しないように設定するには、 dhcp-network-scope none コマンドを使用します。

dhcp-network-scope { ip_address } | none

no dhcp-network-scope

 
シンタックスの説明

ip_address

DHCP サーバが、グループ ポリシーのユーザに IP アドレスを割り当てるときに使用する IP サブネットワークを指定します。

none

DHCP サブネットワークを null 値に設定します。つまり、IP アドレスを割り当てません。デフォルト グループ ポリシーまたは指定されたグループ ポリシーからの値の継承を禁止します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、FirstGroup というグループ ポリシーに、IP サブネットワーク 10.10.85.0 を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# dhcp-network-scope 10.10.85.0

dhcprelay enable

DHCP リレー エージェントをイネーブルにするには、グローバル コンフィギュレーション モードで、 dhcprelay enable コマンドを使用します。DHCP リレー エージェントをディセーブルにするには、このコマンドの no 形式を使用します。DHCP リレー エージェントにより、指定した FWSM のインターフェイスから指定した DHCP サーバに DHCP 要求を転送できます。

dhcprelay enable interface_name

no dhcprelay enable interface_name

 
シンタックスの説明

interface_name

DHCP リレー エージェントがクライアントからの要求を受け入れるインターフェイス名を指定します。

 
デフォルト

DHCP リレー エージェントはディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcprelay から変更されました。

 
使用上のガイドライン

FWSM で、 dhcprelay enable interface_name コマンドを使用して DHCP リレー エージェントを起動するには、コンフィギュレーションに dhcprelay server コマンドが設定されている必要があります。設定されていない場合、FWSM により次のようなエラー メッセージが表示されます。

DHCPRA: Warning - There are no DHCP servers configured!
No relaying can be done without a server!
Use the 'dhcprelay server <server_ip> <server_interface>' command
 

DHCP リレーをイネーブルにできない状況は、次のとおりです。

同じインターフェイス上で、DHCP リレーと DHCP リレー サーバをイネーブルにすることはできません。

同じインターフェイス上で、DHCP リレーと DHCP サーバ( dhcpd enable )をイネーブルにすることはできません。

DHCP サーバと同時のコンテキストでは、DHCP リレーをイネーブルにすることはできません。

マルチ コンテキスト モードでは、複数のコンテキスト(共有 VLAN)によって使用されているインターフェイス上で DHCP リレーをイネーブルにすることはできません。

no dhcprelay enable interface_name コマンドでは、 interface_name で指定したインターフェイスの DHCP リレー エージェント設定だけが削除されます。

次に、DHCP サーバの DHCP リレー エージェントの設定を、FWSM の外部インターフェイス上の IP アドレス 10.1.1.1 で FWSM の内部インターフェイスのクライアント要求を受け、タイムアウト値を 90 秒までとする例を示します。

hostname(config)# dhcprelay server 10.1.1.1 outside
hostname(config)# dhcprelay timeout 90
hostname(config)# dhcprelay enable inside
hostname(config)# show running-config dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay enable inside
dhcprelay timeout 90
 

次に、DHCP リレー エージェントをディセーブルにする例を示します。

hostname(config)# no dhcprelay enable inside
hostname(config)# show running-config dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay timeout 90
 

 
関連コマンド

コマンド
説明

clear configure dhcprelay

DHCP リレー エージェント設定をすべて削除します。

debug dhcp relay

DHCP リレー エージェントのデバッグ情報を表示します。

dhcprelay server

DHCP リレー エージェントからの DHCP 要求の転送先となる DHCP サーバを指定します。

dhcprelay setroute

DHCP リレー エージェントが、DHCP 応答のデフォルト ルータ アドレスとして使用する IP アドレスを定義します。

show running-config dhcprelay

DHCP リレー エージェントの現在の設定を表示します。

dhcprelay information trust

インターフェイスを信頼できるインターフェイスとして特定し、さらに、FWSM に加えてスイッチ上で DHCP スヌーピングおよび IP ソース ガードの機能を動作させることで、option 82 を保存してパケットを転送できます。

IPv4 および IPv6 アドレスで設定されたインターフェイス上でこの機能をイネーブルにできます。

特定のインターフェイスを option 82 を保存する信頼できるインターフェイスとして設定するには、次のコマンドを入力します。

dhcprelay information trusted

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンドの履歴

リリース
変更

4.0

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス固有の信頼できるコンフィギュレーションと、グローバルの信頼できるコンフィギュレーションは共存させることができます。たとえば、3 つのインターフェイス A、B、C があり、インターフェイス固有のコマンドを使用してインターフェイス A を信頼できるコンフィギュレーションとして設定します。その後にグローバル コマンドも設定したとします。

ここで A、B、C の 3 つすべてのインターフェイスが信頼できるインターフェイスになっています。no dhcprelay information trust-all コマンドを入力した場合、インターフェイス B と C は信頼できないインターフェイスになります。インターフェイス固有の信頼できるコンフィギュレーションは削除されていないため、インターフェイス A は引き続き信頼できるインターフェイスのままです。

次に、特定のインターフェイスを信頼できるインターフェイスとしてイネーブルにする例を示します。

hostname(config)# dhcprelay information trusted

 
関連コマンド

コマンド
説明

dhcprelay information trust-all

すべてのインターフェイスを信頼できるインターフェイスとして設定します。

dhcprelay information trust-all

すべてのインターフェイスを信頼できるインターフェイスとして特定し、FWSM に加え、スイッチ上で DHCP スヌーピングおよび IP ソース ガードの機能を動作させることで、option 82 を保存してパケットを転送できます。

IPv4 および IPv6 アドレスで設定されたインターフェイス上でこの機能をイネーブルにできます。

すべてのインターフェイスを信頼できるインターフェイスとして設定するには、次のコマンドを入力します。

dhcprelay information trust-all

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

4.0

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス固有の信頼できるコンフィギュレーションと、グローバルの信頼できるコンフィギュレーションは共存させることができます。たとえば、3 つのインターフェイス A、B、C があり、インターフェイス固有のコマンドを使用してインターフェイス A を信頼できるコンフィギュレーションとして設定します。その後にグローバル コマンドも設定したとします。

ここで A、B、C の 3 つすべてのインターフェイスが信頼できるインターフェイスになっています。no dhcprelay information trust-all コマンドを入力した場合、インターフェイス B と C は信頼できないインターフェイスになります。インターフェイス固有の信頼できるコンフィギュレーションは削除されていないため、インターフェイス A は引き続き信頼できるインターフェイスのままです。

次に、DHCP サーバとして共有または構成されたインターフェイスを除くすべてのインターフェイスをイネーブルにする例を示します。

hostname(config)# dhcprelay information trust-all

 
関連コマンド

コマンド
説明

dhcprelay information trusted

特定のインターフェイスを信頼できるインターフェイスとして設定します。

dhcprelay server

DHCP 要求の転送先となる DHCP サーバを指定するには、グローバル コンフィギュレーション モードで、 dhcpreplay server コマンドを使用します。DHCP リレーの設定から DHCP サーバを削除するには、このコマンドの no 形式を使用します。DHCP リレー エージェントにより、指定した FWSM のインターフェイスから指定した DHCP サーバに DHCP 要求を転送できます。

dhcprelay server IP_address interface_name

no dhcprelay server IP_address [ interface_name ]

 
シンタックスの説明

interface_name

DHCP サーバが常駐する FWSM のインターフェイス名を指定します。

IP_address

DHCP リレー エージェントがクライアントの DHCP 要求を転送する DHCP サーバの IP アドレスを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcprelay から変更されました。

 
使用上のガイドライン

各インターフェイスに、最大 4 つの DHCP リレー サーバを追加できます。 dhcprelay enable コマンドを入力する前に、FWSM のコンフィギュレーションに、最低 1 つの dhcprelay server コマンドを追加する必要があります。DHCP リレー サーバが設定されているインターフェイス上に、DHCP クライアントを設定することはできません。

dhcprelay server コマンドは、指定されたインターフェイス上で UDP ポート 67 をオープンし、コンフィギュレーションに dhcprelay enable コマンドが追加されるとすぐに、DHCP リレー タスクを開始します。コンフィギュレーションに no dhcprelay enable コマンドが設定されている場合には、ソケットは開かれず、DHCP リレー タスクは開始されません。

no dhcprelay server IP_address [ interface_name ] コマンドを使用すると、インターフェイスは指定されたサーバへの DHCP パケットの転送を停止します。

no dhcprelay server IP_address [ interface_name ] コマンドでは、 IP_address [ interface_name ] で指定された DHCP サーバの DHCP リレー エージェント設定だけが削除されます。

次に、DHCP サーバの DHCP リレー エージェントの設定を、FWSM の外部インターフェイス上の IP アドレス 10.1.1.1 で FWSM の内部インターフェイスのクライアント要求を受け、タイムアウト値を 90 秒までとする例を示します。

hostname(config)# dhcprelay server 10.1.1.1 outside
hostname(config)# dhcprelay timeout 90
hostname(config)# dhcprelay enable inside
hostname(config)# show running-config dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay enable inside
dhcprelay timeout 90
 

 
関連コマンド

コマンド
説明

clear configure dhcprelay

DHCP リレー エージェント設定をすべて削除します。

dhcprelay enable

指定したインターフェイス上で、DHCP リレー エージェントをイネーブルにします。

dhcprelay setroute

DHCP リレー エージェントが、DHCP 応答のデフォルト ルータ アドレスとして使用する IP アドレスを定義します。

dhcprelay timeout

DHCP リレー エージェントのタイムアウト値を指定します。

show running-config dhcprelay

DHCP リレー エージェントの現在の設定を表示します。

dhcprelay setroute

DHCP 応答のデフォルト ゲートウェイ アドレスを設定するには、グローバル コンフィギュレーション モードで、 dhcprelay setroute コマンドを使用します。デフォルトのルータを削除するには、このコマンドの no 形式を使用します。このコマンドにより、DHCP 応答のデフォルトの IP アドレスを、指定した FWSM インターフェイスのアドレスの代わりに使用できます。

dhcprelay setroute interface

no dhcprelay setroute interface

 
シンタックスの説明

interface

DHCP リレー エージェントを設定し、(DHCP サーバから送信されたパケット内の)最初のデフォルト IP アドレスを、 interface のアドレスに変更します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcprelay から変更されました。

 
使用上のガイドライン

dhcprelay setroute interface コマンドにより、DHCP リレー エージェントで、(DHCP サーバから送信されたパケット内の)最初のデフォルト ルータ アドレスを、 interface のアドレスに変更できます。

パケット内にデフォルトのルータ オプションがない場合、FWSM は、 interface のアドレスを含むデフォルト ルータを追加します。このアクションにより、クライアントは、FWSM を宛先とするデフォルト ルートを設定できます。

dhcprelay setroute interface コマンドを設定しない場合(かつ、パケットにデフォルト ルータ オプションがある場合)には、ルータ アドレスは変更されずに FWSM を通過します。

次に、 dhcprelay setroute コマンドを使用して、外部 DHCP サーバから、FWSM の内部インターフェイスへの DHCP 応答のデフォルト ゲートウェイを設定する例を示します。

hostname(config)# dhcprelay server 10.1.1.1 outside
hostname(config)# dhcprelay timeout 90
hostname(config)# dhcprelay setroute inside
hostname(config)# dhcprelay enable inside

 

 
関連コマンド

コマンド
説明

clear configure dhcprelay

DHCP リレー エージェント設定をすべて削除します。

dhcprelay enable

指定したインターフェイス上で、DHCP リレー エージェントをイネーブルにします。

dhcprelay server

DHCP リレー エージェントからの DHCP 要求の転送先となる DHCP サーバを指定します。

dhcprelay timeout

DHCP リレー エージェントのタイムアウト値を指定します。

show running-config dhcprelay

DHCP リレー エージェントの現在の設定を表示します。

dhcprelay timeout

DHCP リレー エージェントのタイムアウト値を設定するには、グローバル コンフィギュレーション モードで、 dhcprelay timeout コマンドを使用します。タイムアウト値をデフォルト値に戻すには、このコマンドの no 形式を使用します。

dhcprelay timeout seconds

no dhcprelay timeout

 
シンタックスの説明

seconds

DHCP リレー アドレス ネゴシエーションに対して許可される秒数を指定します。

 
デフォルト

dhcprelay timeout のデフォルト値は 60 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

3.1(1)

このコマンドが、 dhcprelay から変更されました。

 
使用上のガイドライン

dhcprelay timeout コマンドでは、DHCP サーバからの応答がリレー バインディング構造を通って DHCP クライアントに引き渡されるまでの許容時間を秒単位で設定できます。

次に、DHCP サーバの DHCP リレー エージェントの設定を、FWSM の外部インターフェイス上の IP アドレス 10.1.1.1 で FWSM の内部インターフェイスのクライアント要求を受け、タイムアウト値を 90 秒までとする例を示します。

hostname(config)# dhcprelay server 10.1.1.1 outside
hostname(config)# dhcprelay timeout 90
hostname(config)# dhcprelay enable inside
hostname(config)# show running-config dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay enable inside
dhcprelay timeout 90
 

 
関連コマンド

コマンド
説明

clear configure dhcprelay

DHCP リレー エージェント設定をすべて削除します。

dhcprelay enable

指定したインターフェイス上で、DHCP リレー エージェントをイネーブルにします。

dhcprelay server

DHCP リレー エージェントからの DHCP 要求の転送先となる DHCP サーバを指定します。

dhcprelay setroute

DHCP リレー エージェントが、DHCP 応答のデフォルト ルータ アドレスとして使用する IP アドレスを定義します。

show running-config dhcprelay

DHCP リレー エージェントの現在の設定を表示します。

dhcp-server

VPN トンネルを確立するときに、DHCP サーバがクライアントに IP アドレスを割り当てるように設定するには、tunnel-group general-attributes コンフィギュレーション モードで、 dhcp-server コマンドを使用します。このコマンドをデフォルトの設定に戻すには、このコマンドの no 形式を使用します。

dhcp-server hostname1 [... hostname10 ]

no dhcp-server hostname

 
シンタックスの説明

hostname1 ...hostname10

DHCP サーバの IP アドレスを指定します。最大 10 の DHCP サーバを指定できます。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

tunnel-group general-attributes コンフィギュレーション

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス レベルで、 dhcp-server <ip_address> コマンドを入力します。このコマンドでは <interface> を追加する必要はありません。

この属性を適用できるのは、IPSec リモート アクセス トンネル グループ タイプだけです。

次に、config-general コンフィギュレーション モードで、IPSec リモート アクセス トンネル グループ remotegrp に、3 つの DHCP サーバ(dhcp1、dhcp2、dhcp3)を追加するコマンドを入力する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general
hostname(config-general)# default-group-policy remotegrp
hostname(config-general)# dhcp-server dhcp1 dhcp2 dhcp3
hostname(config-general)

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されたトンネル グループをすべて消去します。

show running-config tunnel group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ設定を表示します。

tunnel-group-map default group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに対応付けます。

dir

ディレクトリの内容を表示するには、特権 EXEC モードで、 dir コマンドを使用します。

dir [ /all ] [ all-filesystems ] [/recursive] [flash: | system:] [ path]

 
シンタックスの説明

/all

(任意)すべてのファイルを表示します。

all-filesystems

(任意)すべてのファイルシステムのファイルを表示します。

/recursive

(任意)ディレクトリの内容を繰り返し表示します。

system:

(任意)ファイル システムのディレクトリ内容を表示します。

flash:

(任意)デフォルトのフラッシュ パーティションのディレクトリ内容を表示します。

path

(任意)特定のパスを指定します。

 
デフォルト

ディレクトリを指定しない場合、デフォルトのディレクトリは現在の作業ディレクトリです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

キーワードまたは引数を指定せずに dir コマンドを使用すると、現在のディレクトリの内容が表示されます。

次に、ディレクトリの内容を表示する例を示します。

hostname# dir
Directory of disk0:/
 
1 -rw- 1519 10:03:50 Jul 14 2003 my_context.cfg
2 -rw- 1516 10:04:02 Jul 14 2003 my_context.cfg
3 -rw- 1516 10:01:34 Jul 14 2003 admin.cfg
60985344 bytes total (60973056 bytes free)
 

次に、ファイル システム全体の内容を繰り返し表示する例を示します。

hostname# dir /recursive disk0:
Directory of disk0:/*
1 -rw- 1519 10:03:50 Jul 14 2003 my_context.cfg
2 -rw- 1516 10:04:02 Jul 14 2003 my_context.cfg
3 -rw- 1516 10:01:34 Jul 14 2003 admin.cfg
60985344 bytes total (60973056 bytes free)

 
関連コマンド

コマンド
説明

cd

現在の作業ディレクトリを指定のディレクトリに変更します。

pwd

現在の作業ディレクトリを表示します。

mkdir

ディレクトリを作成します。

rmdir

ディレクトリを削除します。

disable

特権 EXEC モードを終了し、ユーザ EXEC モードに戻るには、特権 EXEC モードで、 disable コマンドを使用します。

disable

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

特権 EXEC モードを開始するには、 enable コマンドを使用します。 disable コマンドを使用すると、特権 EXEC モードを終了してユーザ EXEC モードに戻ります。

次に、特権 EXEC モードを開始する例を示します。

hostname> enable
hostname#
 

次に、特権 EXEC モードを終了する例を示します。

hostname# disable
hostname>

 
関連コマンド

コマンド
説明

enable

特権 EXEC モードを開始します。

distance eigrp

内部および外部の EIGRP ルートの管理ディスタンスを設定するには、ルータ コンフィギュレーション モードで、 distance eigrp コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

distance eigrp internal-distance external-distance

no distance eigrp

 
シンタックスの説明

external-distance

EIGRP 外部ルートの管理ディスタンス。外部ルートは、最適パスを自律システムの外部にあるネイバから学習するルートです。有効値は 1 ~ 255 です。

internal-distance

EIGRP 内部ルートの管理ディスタンス。内部ルートは、同じ自律システム内の別エンティティから学習するルートです。有効値は 1 ~ 255 です。

 
デフォルト

デフォルト値は、次のとおりです。

external-distance は 170 です。

internal-distance は 90 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ルーティング プロトコルはそれぞれが他のルーティング プロトコルとは異なるアルゴリズムに基づくメトリックを持つため、異なるルーティング プロトコルで生成された、同じ宛先への 2 つのルートに対する「最適パス」を常に判別できるとは限りません。管理ディスタンスは、2 つの異なるルーティング プロトコルによる、同じ宛先への 2 つ以上の違うルートがある場合に FWSM が最適パスの選択に使用するルート パラメータです。

FWSM で実行しているルーティング プロトコルが 2 つ以上ある場合、 distance eigrp コマンドを使用して、EIGRP ルーティング プロトコルで検出されたルートに対するデフォルトの管理ディスタンスを、他のルーティング プロトコルと関連付けて調整できます。 表 11-1 には、FWSM でサポートされるルーティング プロトコルに対するデフォルトの管理ディスタンスを示します。

 

表 11-1 デフォルトの管理ディスタンス

ルート送信元
デフォルトの管理ディスタンス

接続インターフェイス

0

スタティック ルート

1

EIGRP サマリー ルート

5

内部 EIGRP

90

OSPF

110

RIP

120

EIGRP 外部ルート

170

不明

255

このコマンドの no 形式には、キーワードまたは引数は使用しません。このコマンドの no 形式を使用すると、内部と外部両方の EIGRP ルートの管理ディスタンスがデフォルト値に戻ります。

次に、 distance eigrp コマンドを使用して、管理ディスタンスを EIGRP 内部ルートはすべて 80 に、EIGRP 外部ルートはすべて 115 に設定する例を示します。EIGRP 外部ルートの管理ディスタンスを 115 に設定すると、特定の宛先へのルートは、OSPF ではなく RIP で検出された同じルートよりも優先して、EIGRP で検出されたルートが指定されます。

hostname(config)# router eigrp 100
hostname(config-router)# network 192.168.7.0
hostname(config-router)# network 172.16.0.0
hostname(config-router)# distance eigrp 90 115
 

 
関連コマンド

コマンド
説明

router eigrp

EIGRP ルーティング プロセスを作成し、このプロセスのコンフィギュレーション モードを開始します。

distance ospf

ルート タイプに基づいて、OSPF ルートの管理ディスタンスを定義するには、ルータ コンフィギュレーション モードで、 distance ospf コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

distance ospf [ intra-area d1 ] [ inter-area d2 ] [ external d3 ]

no distance ospf

 
シンタックスの説明

d1 d2 、および d3

各ルート タイプのディスタンスを指定します。有効値は 1 ~ 255 です。

external

(任意)再配布によって学習した他のルーティング ドメインからのルートのディスタンスを設定します。

inter-area

(任意)1 つのエリアから別のエリアへのすべてのルートのディスタンスを設定します。

intra-area

(任意)1 つのエリア内のすべてのルートのディスタンスを設定します。

 
デフォルト

d1 d2 、および d3 のデフォルト値は、110 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

最低 1 つのキーワードおよび引数を指定する必要があります。このコマンドは、各タイプの管理ディスタンスについて個別に入力できますが、コンフィギュレーションには単一コマンドとして表示されます。管理ディスタンスを再入力すると、指定したルート タイプの管理ディスタンスだけが変更されます。他のルート タイプの管理ディスタンスは変更されません。

このコマンドの no 形式には、キーワードまたは引数は使用しません。このコマンドの no 形式を使用すると、すべてのルート タイプの管理ディスタンスがデフォルト値に戻ります。複数のルート タイプが設定されている場合に、1 つのルート タイプの管理ディスタンスだけをデフォルト値に戻すには、次のいずれかを実行します。

そのルート タイプを、手動でデフォルト値に設定します。

コマンドの no 形式を使用して設定全体を削除し、保持するルート タイプに対して設定を再入力します。

次に、外部ルートの管理ディスタンスを 150 に設定する例を示します。

hostname(config-router)# distance ospf external 105
hostname(config-router)#
 

次に、各ルート タイプについて入力した個別のコマンドが、ルータ コンフィギュレーションには 1 つのコマンドとして表示される例を示します。

hostname(config-router)# distance ospf intra-area 105 inter-area 105
hostname(config-router)# distance ospf intra-area 105
hostname(config-router)# distance ospf external 105
hostname(config-router)# exit
hostname(config)# show running-config router ospf 1
!
router ospf 1
distance ospf intra-area 105 inter-area 105 external 105
!
hostname(config)#
 

次に、管理ディスタンスをそれぞれ 105 に設定して、外部管理ディスタンスだけを 150 に変更する例を示します。 show running-config router ospf コマンドで、他のルート タイプが前に設定した値を保持しながら、外部ルート タイプ値だけが変更された様子がわかります。

hostname(config-router)# distance ospf external 105 intra-area 105 inter-area 105
hostname(config-router)# distance ospf external 150
hostname(config-router)# exit
hostname(config)# show running-config router ospf 1
!
router ospf 1
distance ospf intra-area 105 inter-area 105 external 150
!
hostname(config)#

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションに指定されているコマンドを表示します。

distribute-list in

ルーティング アップデートで受信するネットワークをフィルタリングするには、ルータ コンフィギュレーション モードで、 distribute-list in コマンドを使用します。フィルタリングを削除するには、このコマンドの no 形式を使用します。

distribute-list acl in [ interface if_name ]

no distribute-list acl in [ interface if_name ]

 
シンタックスの説明

acl

標準アクセス リストの名前。

if_name

(任意) nameif コマンドで指定されたインターフェイス名。インターフェイスを指定すると、このインターフェイスで受信するルーティング アップデートに対してだけアクセス リストが適用されます。

 
デフォルト

着信アップデートではネットワークはフィルタリングされません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイスを指定しない場合、アクセス リストはすべての着信アップデートに適用されます。

次に、外部インターフェイスで受信する EIGRP ルーティング アップデートをフィルタリングする例を示します。この例では、10.0.0.0 のネットワークのルートを受け入れ、その他のルートはすべて廃棄します。

hostname(config)# access-list eigrp_filter permit 10.0.0.0
hostname(config)# access-list eigrp_filter deny any
hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# distribute-list eigrp_filter in interface outside
 

 
関連コマンド

コマンド
説明

distribute-list out

ルーティング アップデートでアドバタイズされているネットワークをフィルタします。

router eigrp

EIGRP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションに指定されているコマンドを表示します。

distribute-list out

ルーティング アップデートで送信されている特定のネットワークをフィルタリングするには、ルータ コンフィギュレーション モードで、 distribute-list out コマンドを使用します。フィルタリングを削除するには、このコマンドの no 形式を使用します。

distribute-list acl out [ interface if_name | ospf pid | static | connected ]

no distribute-list acl out [ interface if_name | ospf pid | static | connected ]

 
シンタックスの説明

acl

標準アクセス リストの名前。

connected

(任意)接続ルートだけをフィルタします。

interface if_name

(任意) nameif コマンドで指定されたインターフェイス名。インターフェイスを指定すると、指定したインターフェイスで送信するルーティング アップデートに対してだけアクセス リストが適用されます。

ospf pid

(任意)指定された OSPF プロセスで検出された OSPF ルートだけをフィルタリングします。

static

(任意)スタティック ルートだけをフィルタリングします。

 
デフォルト

送信アップデートではネットワークはフィルタリングされません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイスを指定しない場合、アクセス リストはすべての発信アップデートに適用されます。

次に、外部インターフェイス上で指定された OSPF プロセスで検出された OSPF ルートだけをフィルタリングする例を示します。

hostname(config)# access-list ospf 100
hostname(config)# router ospf 100
hostname(config-router)# distribute-list ospf_filter out interface outside
 

 
関連コマンド

コマンド
説明

distribute-list in

ルーティング アップデートで受信するネットワークをフィルタリングします。

router eigrp

EIGRP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションに指定されているコマンドを表示します。

dns domain-lookup

検索をサポートするコマンドで名前検索を実行するために、DNS 要求を DNS サーバに送信するように FWSM を設定するには、グローバル コンフィギュレーション モードで、 dns domain-lookup コマンドを使用します。DNS 検索をディセーブルにするには、このコマンドの no 形式を使用します。

dns domain-lookup interface_name

no dns domain-lookup interface_name

 
シンタックスの説明

interface_name

DNS 検索をイネーブルにするインターフェイスを指定します。このコマンドを複数回入力して、複数のインターフェイス上で DNS 検索をイネーブルにすると、FWSM は応答を受信するまで、各インターフェイスに順番に要求を送信しようとします。

 
デフォルト

デフォルトでは、DNS 検索はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

DNS 要求の送信先である DNS サーバのアドレスを設定するには、 dns name-server コマンドを使用します。DNS 検索をサポートするコマンドのリストは、 dns name-server コマンドを参照してください。

FWSM は、ダイナミックに学習したエントリから構成された名前解決のキャッシュを保持します。ホスト名から IP アドレスへの変換が必要な場合、その都度外部 DNS サーバにクエリーを送信する代わりに、FWSM は外部 DNS 要求から戻された情報をキャッシュします。FWSM は、名前がキャッシュに存在しない場合だけ要求を送信します。キャッシュ内のエントリは、DNS レコードの有効期限または 72 時間のいずれかが経過すると、自動的にタイムアウトになります。

次に、内部インターフェイス上で DNS 検索をイネーブルにする例を示します。

hostname(config)# dns domain-lookup inside
 

 
関連コマンド

コマンド
説明

dns name-server

DNS サーバ アドレスを設定します。

dns retries

FWSM が応答を受信しない場合に、DNS サーバ リストを再試行する回数を指定します。

dns timeout

次の DNS サーバを試行するまでの待機時間を指定します。

domain-name

デフォルトのドメイン名を設定します。

show dns-hosts

DNS キャッシュを表示します。

dns name-server

1 つ以上の DNS サーバを指定するには、グローバル コンフィギュレーション モードで、 dns name-server コマンドを使用します。サーバを削除するには、このコマンドの no 形式を使用します。

[no] dns name-server ip_address [ ip_address2 ] [...] [ ip_address6 ]

 
シンタックスの説明

ip_address

DNS サーバの IP アドレスを指定します。個別のコマンドで最大 6 個のアドレスを指定できます。または、1 つのコマンドに、最大 6 個のアドレスをスペースで区切って指定できます。1 つのコマンドに複数のサーバを入力した場合、FWSM は、各サーバを個別のコマンドでコンフィギュレーションに保存します。FWSM は、応答を受信するまで、各 DNS サーバを順番に試します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM は DNS を使用して、ユーザの証明書コンフィギュレーションのサーバ名を解決します。サーバ名を定義する他の機能(AAA など)は、DNS 解決をサポートしていません。IP アドレスを入力するか、 name コマンドを使用して手動で名前を IP アドレスに解決する必要があります。

DNS 検索をイネーブルにするには、 dns domain-lookup コマンドを使用します。DNS 検索をイネーブルにしないと、DNS サーバを使用できません。

DNS 解決がサポートされるコマンドは、次のとおりです。

enrollment url

url

name コマンドを使用すると、名前と IP アドレスを手動で入力できます。

FWSM で DNS サーバのリストを試す回数を設定するには、 dns retries コマンドを参照してください。

次に、3 つの DNS サーバを追加する例を示します。

hostname(config)-if# dns name-server 10.1.1.1 10.2.3.4 192.168.5.5
 

次の出力は、FWSM は個別コマンドとしてコンフィギュレーションを保存したことを示しています。

dns name-server 10.1.1.1
dns name-server 10.2.3.4
dns name-server 192.168.5.5
 

次に、2 つの追加サーバを 1 つのコマンドとして追加する例を示します。

hostname(config-if)# dns name-server 10.5.1.1 10.8.3.8
hostname(config-if)# show running-config dns
dns name-server 10.1.1.1
dns name-server 10.2.3.4
dns name-server 192.168.5.5
dns name-server 10.5.1.1
dns name-server 10.8.3.8
...
 

次に、2 つのコマンドを使用して、サーバを入力する例を示します。

hostname(config)# dns name-server 10.5.1.1
hostname(config)# dns name-server 10.8.3.8
 

次に、1 つのコマンドを使用して、複数のサーバを削除する例を示します。コマンドを複数使用することもできます。

hostname(config)# no dns name-server 10.5.1.1 10.8.3.8
 

 
関連コマンド

コマンド
説明

dns domain-lookup

FWSM による名前検索をイネーブルにします。

dns retries

FWSM が応答を受信しない場合に、DNS サーバ リストを再試行する回数を指定します。

dns timeout

次の DNS サーバを試行するまでの待機時間を指定します。

domain-name

デフォルトのドメイン名を設定します。

show dns-hosts

DNS キャッシュを表示します。

dns retries

FWSM が応答を受信しない場合、DNS サーバのリストを再試行する回数を指定するには、グローバル コンフィギュレーション モードで、 dns retries コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dns retries number

no dns retries [ number ]

 
シンタックスの説明

number

0 ~ 10 の範囲で再試行の回数を指定します。デフォルトは 2 です。

 
デフォルト

デフォルトの再試行回数は、2 回です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

DNS サーバを追加するには、 dns name-server コマンドを使用します。

次に、再試行回数を 0 に設定する例を示します。FWSM は各サーバを 1 回だけ試します。

hostname(config)# dns retries 0
 

 
関連コマンド

コマンド
説明

dns domain-lookup

FWSM による名前検索をイネーブルにします。

dns name-server

DNS サーバ アドレスを設定します。

dns timeout

次の DNS サーバを試行するまでの待機時間を指定します。

domain-name

デフォルトのドメイン名を設定します。

show dns-hosts

DNS キャッシュを表示します。

dns timeout

次の DNS サーバを試みるまでの待機時間を指定するには、グローバル コンフィギュレーション モードで、 dns timeout コマンドを使用します。デフォルトのタイムアウト値に戻すには、このコマンドの no 形式を使用します。

dns timeout seconds

no dns timeout [ seconds ]

 
シンタックスの説明

seconds

1 ~ 30 の範囲でタイムアウトを秒単位で指定します。デフォルトは 2 秒です。FWSM がサーバのリストを再試行するごとに、このタイムアウト値は 2 倍になります。再試行回数の設定については、 dns retries コマンドを参照してください。

 
デフォルト

デフォルトのタイムアウトは、2 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、タイムアウトを 1 秒に設定する例を示します。

hostname(config)# dns timeout 1
 

 
関連コマンド

コマンド
説明

dns name-server

DNS サーバ アドレスを設定します。

dns retries

FWSM が応答を受信しない場合に、DNS サーバ リストを再試行する回数を指定します。

dns domain-lookup

FWSM による名前検索をイネーブルにします。

domain-name

デフォルトのドメイン名を設定します。

show dns-hosts

DNS キャッシュを表示します。

dns-guard

<text> するには、グローバル コンフィギュレーション モードで、 dns-guard コマンドを使用します。

<text about removing command> するには、このコマンドの no 形式を使用します。

dns-guard

no dns-guard

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

DNS ガードは、デフォルトでイネーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

クライアントが DNS 要求を外部 DNS サーバに送信すると、FWSM は最初の応答だけを受け入れます。他の DNS サーバからの別の応答はすべて、FWSM でドロップされます。

クライアントが DNS 要求を発行した後、ダイナミック ホールにより、DNS サーバから返される UDP パケットを許可します。FWSM が最初の DNS サーバからの応答を受信すると、他の DNS サーバからのそれ以降の応答は FWSM でドロップされるように、高速パスで作成された接続がドロップされます。UDP DNS 接続は、接続に削除のマークを付ける代わりに、ただちに削除されます。

FWSM は、プロトコルと DNS ID に加えて、送信元および宛先ポートではなく、送信元および宛先 IP アドレスに基づいてセッション検索キーを作成します。

DNS クライアントおよび DNS サーバが DNS に TCP を使用する場合、通常の TCP 接続と同様に接続はクリアされます。

ただし、クライアントが複数の DNS サーバから DNS 応答を受信した場合、コンテキスト単位でデフォルトの DNS 動作をディセーブルにできます。DNS ガードをディセーブルにすると、最初の DNS サーバからの応答は接続を削除せず、その接続は通常の UDP 接続として処理されます。

次に、 dns-guard コマンドを使用して、DNS ガード機能をディセーブルにする例を示します。

hostname(config)# no dns-guard
hostname(config)# show running-config | inc dns-guard
no dns-guard
hostname(config)#
 

 
関連コマンド

コマンド
説明

inspect dns

DNS アプリケーション トラフィックの検査をイネーブルにします。

dns-server

プライマリおよびセカンダリ DNS サーバの IP アドレスを設定するには、グループポリシー モードで、 dns-server コマンドを使用します。実行コンフィギュレーションからこの属性を削除するには、このコマンドの no 形式を使用します。このオプションにより、別のグループ ポリシーから DNS サーバを継承できます。サーバを継承しないように設定するには、 dns-server none コマンドを使用します。

dns-server { value ip_address [ ip_address ] | none }

no dns-server

 
シンタックスの説明

none

dns-servers を null 値に設定します。つまり、DNS サーバを使用しません。デフォルト グループ ポリシーまたは指定されたグループ ポリシーからの値の継承を禁止します。

value ip_address

プライマリおよびセカンダリ DNS サーバの IP アドレスを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

dns-server コマンドを入力するごとに、既存の設定が上書きされます。たとえば、DNS サーバ x.x.x.x を設定してから、DNS サーバ y.y.y.y を設定すると、2 つ目のコマンドにより最初の設定が上書きされ、y.y.y.y が唯一の DNS サーバになります。複数のサーバがある場合も同様です。既存のサーバ設定を保持したまま DNS サーバを追加するには、このコマンドの入力時にすべての DNS サーバの IP アドレスを指定します。

次に、FirstGroup というグループ ポリシーに、IP アドレス 10.10.10.15、10.10.10.30、および 10.10.10.45 の DNS サーバを設定する例を示します。

hostname(config)# group-policy FirstGroup attributes

hostname(config-group-policy)# dns-server value 10.10.10.15 10.10.10.30 10.10.10.45

 

domain-name

デフォルトのドメイン名を設定するには、グローバル コンフィギュレーション モードで、 domain-name コマンドを使用します。ドメイン名を削除するには、このコマンドの no 形式を使用します。

domain-name name

no domain-name [ name ]

 
シンタックスの説明

name

最大 63 文字のドメイン名を設定します。

 
デフォルト

デフォルトのドメイン名は、default.domain.invalid です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM は、無修飾名のサフィックスとして、ドメイン名を付加します。たとえば、ドメイン名を「example.com」に設定した場合、「jupiter」という無修飾名で Syslog サーバを指定すると、セキュリティ アプライアンスにより名前が「jupiter.example.com」に修飾されます。

マルチ コンテキスト モードでは、システム実行スペース内と同様、各コンテキストにドメイン名を設定できます。

次に、example.com というドメイン名を設定する例を示します。

 
hostname(config)# domain-name example.com
 

 
関連コマンド

コマンド
説明

dns domain-lookup

FWSM による名前検索をイネーブルにします。

dns name-server

DNS サーバ アドレスを設定します。

hostname

FWSM のホスト名を設定します。

show running-config domain-name

ドメイン名のコンフィギュレーションを表示します。

drop (class)

match コマンドまたは class コマンドに一致するすべてのパケットをドロップするには、一致またはクラス コンフィギュレーション モードで、 drop コマンドを使用します。一致またはクラス コンフィギュレーション モードにアクセスするには、まず policy-map type inspect コマンドを入力します。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。

drop [ log ]

no drop [ log ]

 
シンタックスの説明

log

一致をログに記録します。システム ログ メッセージの番号は、アプリケーションによって異なります。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

一致およびクラス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを使用する場合、一致またはクラス コンフィギュレーション モードで drop コマンドを使用して、 match コマンドまたはクラス マップに一致するパケットをドロップします。このドロップ アクションは、アプリケーション トラフィックの検査ポリシー マップ( policy-map type inspect コマンド)で使用できますが、すべてのアプリケーションでこのアクションが許可されているわけではありません。

検査ポリシー マップは、1 つ以上の match コマンドと class コマンドからなります。検査ポリシー マップに使用できるコマンド自体は、アプリケーションによって異なります。 match または class コマンドを入力して、アプリケーション トラフィックを特定した後( class コマンドは、 match コマンドも含む既存の class-map type inspect コマンドを指す)、 drop コマンドを入力して match コマンドまたは class コマンドに一致するすべてのパケットをドロップできます。

パケットをドロップした場合、検査ポリシー マップでそれ以降のアクションは実行されません。たとえば、最初のアクションがパケットのドロップである場合、それ以降の match または class コマンドの照合は行われません。最初のアクションがパケットのログである場合、パケットのドロップなどの次のアクションが実行されます。 drop および log の両方のアクションを同じ match または class コマンドに設定できます。この場合は、パケットがログに記録されてから、指定した一致に対してパケットがドロップされます。

レイヤ 3/4 ポリシー マップで inspect コマンドを使用して、アプリケーション検査をイネーブルにする場合( policy-map コマンド)、このアクションを含む検査ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。ここで、 http_policy_map は、検査ポリシー マップの名前です。

次に、パケットが http-traffic クラス マップに一致した場合にそのパケットをドロップして、ログを送信する例を示します。同じパケットが 2 番目の match コマンドに一致しても、このパケットはすでにドロップされているため処理は行われません。

hostname(config-cmap)# policy-map type inspect http http-map1
hostname(config-pmap)# class http-traffic
hostname(config-pmap-c)# drop log
hostname(config-pmap-c)# match req-resp content-type mismatch
hostname(config-pmap-c)# reset log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

drop (gtp-map)

指定された GTP メッセージをドロップするには、GTP マップ コンフィギュレーション モードで、 drop コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。

drop {apn access_point_name | message message_id | version version}

no drop {apn access_point_name | message message_id | version version}

 
シンタックスの説明

apn

指定したアクセス ポイント名の GTP メッセージをドロップします。

access_point_name

ドロップする APN のテキスト文字列を指定します。

message

特定の GTP メッセージをドロップします。

message_id

ドロップするメッセージの英数字識別子を指定します。message_id の有効範囲は、1 ~ 255 です。

version

指定したバージョンの GTP メッセージをドロップします。

version

Version 0 の識別には 0 を、Version 1 の識別には 1 を使用します。Version 0 の GTP はポート 2123 を、Version 1 ではポート 3386 を使用します。

 
デフォルト

有効なメッセージ ID、APN、およびバージョンのすべてのメッセージが検査されます。

すべての APN が許可されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

ネットワーク上で許可する必要のない特定の GTP メッセージをドロップするには、 drop message コマンドを使用します。

指定したアクセス ポイントの GTP メッセージをドロップするには、 drop apn コマンドを使用します。指定したバージョンの GTP メッセージをドロップするには、 drop version コマンドを使用します。

次に、メッセージ ID 20 へのトラフィックをドロップする例を示します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# drop message 20
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバル GTP 統計情報を消去します。

debug gtp

GTP 検査の詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

特定の GTP マップがアプリケーション検査で使用されるようにします。

show service-policy inspect gtp

GTP 設定を表示します。

drop-connection

モジュラ ポリシー フレームワーク を使用する場合、一致またはクラス コンフィギュレーション モードで drop-connection コマンドを使用して、 match コマンドまたはクラス マップに一致するトラフィックの接続を終了します。一致またはクラス コンフィギュレーション モードにアクセスするには、まず policy-map type inspect コマンドを入力します。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。

drop-connection [ log ]

no drop-connection [ log ]

 
シンタックスの説明

log

一致をログに記録します。システム ログ メッセージの番号は、アプリケーションによって異なります。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

一致およびクラス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM の接続データベースから接続が削除されます。ドロップした接続に対して FWSM に入る以降のパケットはすべて廃棄されます。この drop-connection アクションは、アプリケーション トラフィックの検査ポリシー マップに使用できますが、すべてのアプリケーションでこのアクションが許可されているわけではありません。

検査ポリシー マップは、1 つ以上の match コマンドと class コマンドからなります。検査ポリシー マップに使用できるコマンド自体は、アプリケーションによって異なります。 match または class コマンドを入力して、アプリケーション トラフィックを特定した後( class コマンドは、 match コマンドも含む既存の class-map type inspect コマンドを指す)、 drop-connection コマンドを入力して、パケットをドロップし、 match コマンドまたは class コマンドに一致するトラフィックの接続を終了します。

パケットをドロップまたは接続を終了した場合、検査ポリシー マップでそれ以降のアクションは実行されません。たとえば、最初のアクションがパケットのドロップと接続の終了である場合、それ以降の match または class コマンドの照合は行われません。最初のアクションがパケットのログである場合、パケットのドロップなどの次のアクションが実行されます。 drop-connection および log の両方のアクションを同じ match または class コマンドに設定できます。この場合は、パケットがログに記録されてから、指定した一致に対してパケットがドロップされます。

レイヤ 3/4 ポリシー マップで inspect コマンドを使用して、アプリケーション検査をイネーブルにする場合( policy-map コマンド)、このアクションを含む検査ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。ここで、 http_policy_map は、検査ポリシー マップの名前です。

次に、パケットが http-traffic クラス マップに一致した場合にそのパケットをドロップし、接続を終了して、ログを送信する例を示します。同じパケットが 2 番目の match コマンドに一致しても、このパケットはすでにドロップされているため処理は行われません。

hostname(config-cmap)# policy-map type inspect http http-map1
hostname(config-pmap)# class http-traffic
hostname(config-pmap-c)# drop-connection log
hostname(config-pmap-c)# match req-resp content-type mismatch
hostname(config-pmap-c)# reset log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。