Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コマンド リファレンス リリース 4.0
pager ~ pwd コマンド
pager ~ pwd コマンド
発行日;2012/02/24 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

pager ~ pwd コマンド

pager

parameters

passive-interface (EIGRP)

passwd

password (crypto ca trustpoint)

password-storage

peer-id-validate

perfmon

perfmon interval

perfmon settings

periodic

permit (class)

permit (gtp-map)

pfs

pim

pim accept-register

pim dr-priority

pim hello-interval

pim join-prune-interval

pim old-register-checksum

pim rp-address

pim spt-threshold infinity

ping

policy

policy-map

policy-map type inspect

polltime interface

port-misuse

port-object

preempt

prefix-list

prefix-list description

prefix-list sequence-number

pre-shared-key

primary

privilege

prompt

protocol http

protocol ldap

protocol scep

protocol-object

pwd

pager ~ pwd コマンド

pager

Telnet セッションで「 ---more--- 」プロンプトが表示されるまでの、デフォルトのページ行数を設定するには、グローバル コンフィギュレーション モードで pager コマンドを使用します。

pager [lines] lines

 
シンタックスの説明

[ lines ] lines

---more--- 」プロンプトが表示されるまでの 1 ページの行数を設定します。デフォルトは 24 行です。0 を指定するとページ制限はなくなります。指定できる範囲は 0 ~ 2147483647 行です。 lines キーワードは省略できます。指定しても、しなくても、コマンドは同じです。

 
デフォルト

デフォルトは 24 行です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが特権 EXEC モード コマンドからグローバル コンフィギュレーション モード コマンドに変更されました。 terminal pager コマンドが特権 EXEC モード コマンドとして追加されました。

 
使用上のガイドライン

このコマンドを使用すると、Telnet セッションのデフォルトのページ行数設定が変更されます。現在のセッションに限定して、設定を一時的に変更する場合は、 terminal pager コマンドを使用します。

管理コンテキストに、またはシステム実行スペースに対するセッションに Telnet 接続している場合に、別のコンテキストに切り替えると、所定のコンテキストにおける pager コマンドの設定に関係なく、ページャの行設定はユーザ セッションの設定に従います。現在のページャ設定を変更するには、新しい設定値を指定して terminal pager コマンドを入力するか、現在のコンテキストで pager コマンドを入力します。 pager コマンドを使用すると、コンテキストのコンフィギュレーションに新しいページャ設定が保存されるだけでなく、現在の Telnet セッションにも新しい設定が適用されます。

2 つ以上の Telnet セッションまたは ssh セッションがあり、一方のセッションで「 ---more--- 」(more)プロンプトが表示されている場合、more プロンプトが解除されるまで他方のセッションは何もできなくなります。more プロンプトが完全に表示されないようにするには、 pager lines 0 コマンドを入力します。

次に、表示行数を 20 に変更する例を示します。

hostname(config)# pager 20
 

 
関連コマンド

コマンド
説明

clear configure terminal

端末の表示幅設定を消去します。

show running-config terminal

現在の端末設定を表示します。

terminal

Telnet セッションでシステム ログ メッセージを表示できるようにします。

terminal pager

---more--- 」プロンプトが表示されるまでに、Telnet セッションで表示される行数を設定します。このコマンドはコンフィギュレーションに保存されません。

terminal width

グローバル コンフィギュレーション モードで端末表示幅を設定します。

parameters

検査ポリシー マップのパラメータを設定するためにパラメータ コンフィギュレーションモードを開始するには、ポリシー マップ コンフィギュレーションモードで parameters コマンドを使用します。

parameters

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシーマップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークでは、多数のアプリケーション検査のために特別なアクションを設定できます。レイヤ 3/4 ポリシー マップで inspect コマンドを使用してインスペクション エンジンをイネーブルにする場合( policy-map コマンド)、 policy-map type inspect コマンドで作成した検査ポリシー マップで定義されたアクションをイネーブルにすることもできます。たとえば、 inspect dns dns_policy_map コマンドを入力します。ここで、dns_policy_map は検査ポリシー マップの名前です。

1 つの検査ポリシーマップは、1 つ以上の parameters コマンドをサポートします。インスペクション エンジンの動作はパラメータによって影響を受けます。パラメータ コンフィギュレーション モードで使用できるコマンドはアプリケーションによって異なります。

次に、デフォルト検査ポリシーマップで、DNS パケットの最大メッセージ長を設定する例を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# message-length maximum 512
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

passive-interface (EIGRP)

インターフェイス上で Enhanced Interior Gateway Routing Protocol(EIGRP)ルーティング アップデートの送受信をディセーブルにするには、ルータ コンフィギュレーション モードで passive-interface コマンドを使用します。インターフェイス上のルーティング アップデートを再度イネーブルにするには、このコマンドの no 形式を使用します。

passive-interface { default | if_name }

no passive-interface { default | if_name }

 
シンタックスの説明

default

(任意)すべてのインターフェイスをパッシブ モードに設定します。

if_name

(任意)パッシブ モードにする、 nameif コマンドで指定されたインターフェイスの名前。

 
デフォルト

そのインターフェイスでルーティングがイネーブルになっている場合、すべてのインターフェイスでアクティブ ルーティング(ルーティング アップデートの送受信)がイネーブルになっています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス上でパッシブ ルーティングをイネーブルにします。EIGRP の場合、そのインターフェイス上でのルーティング アップデートの送受信がディセーブルになります。

EIGRP コンフィギュレーションでは、複数の passive-interface コマンドを使用できます。すべてのインターフェイスで EIGRP ルーティングをディセーブルにするには passive-interface default コマンドを使用します。次に、特定のインターフェイスで EIGRP ルーティングをイネーブルにするには no passive-interface コマンドを使用します。

次に、外部インターフェイスをパッシブ EIGRP に設定する例を示します。セキュリティ アプライアンス上のその他のインターフェイスは、EIGRP アップデートを送受信します。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# passive-interface outside
 

次に、内部インターフェイス以外のすべてのインターフェイスをパッシブ EIGRP に設定する例を示します。内部インターフェイスだけが EIGRP アップデートを送受信します。

hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# passive-interface default
hostname(config-router)# no passive-interface inside
 

 
関連コマンド

コマンド
説明

show running-config router

実行コンフィギュレーションのルータ コンフィギュレーション コマンドを表示します。

passwd

ログイン パスワードを設定するには、グローバル コンフィギュレーション モードで passwd コマンドを使用します。パスワードをデフォルトの「cisco」に戻すには、このコマンドの no 形式を使用します。Telnet または SSH を使用して、デフォルト ユーザとして CLI にアクセスする場合、ログイン パスワードが要求されます。ログイン パスワードを入力すると、ユーザ EXEC モードが開始されます。

{ passwd | password } password [ encrypted ]

no { passwd | password } password

 
シンタックスの説明

encrypted

(任意)パスワードが暗号形式になっていることを指定します。パスワードは暗号形式でコンフィギュレーションに保存されるため、入力後は元のパスワードを表示できません。別の FWSM にパスワードをコピーしなければならないが、元のパスワードがわからないという場合は、暗号化されたパスワードとこのキーワードを指定して passwd コマンドを入力します。通常、 show running-config passwd コマンドを入力したときには、このキーワードだけが表示されます。

passwd | password

どちらのコマンドも入力できます。表記が異なるだけで内容は同じです。

password

最大 80 文字の大文字と小文字が区別される文字列として、パスワードを設定します。パスワードにスペースを含めることはできません。

 
デフォルト

デフォルトのパスワードは「cisco」です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このログイン パスワードは、デフォルト ユーザ用です。 aaa authentication console コマンドを使用して、Telnet または SSH のユーザ単位で CLI 認証を設定した場合、このパスワードは使用されません。

次に、パスワードを Pa$$s0rd に設定する例を示します。

hostname(config)# passwd Pa$$w0rd
 

次に、別の FWSM からコピーした暗号パスワードにパスワードを設定する例を示します。

hostname(config)# passwd jMorNbK0514fadBh encrypted
 

 
関連コマンド

コマンド
説明

clear configure passwd

ログイン パスワードを消去します。

enable

特権 EXEC モードを開始します。

enable password

イネーブル パスワードを設定します。

show curpriv

現在ログインしているユーザ名およびユーザ特権レベルを表示します。

show running-config passwd

暗号形式でログイン パスワードを表示します。

password (crypto ca trustpoint)

登録時に CA に登録する チャンレンジ フレーズを指定するには、crypto ca トラストポイント コンフィギュレーション モードで password コマンドを使用します。CA は通常、このフレーズを使用してその後の取り消し要求を認証します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

password string

no password

 
シンタックスの説明

string

文字列としてパスワード名を指定します。先頭文字には数字を使用できません。文字列には、任意の英数字およびスペースを 80 文字まで使用できます。数字、スペース、英数字の順番の入力形式でのパスワードの指定はできません。数字の後ろにスペースを指定すると、問題が発生します。たとえば、hello 21 は有効なパスワードですが、21 hello は無効です。パスワード検査では、大文字と小文字が区別されます。たとえば、パスワード Secret とパスワード secret は異なります。

 
デフォルト

パスワードを設定しないのがデフォルトの設定です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crypto ca トラストポイント コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、認証の取り消しパスワードを指定してから、実際の認証登録を開始できます。指定したパスワードは、更新したコンフィギュレーションが FWSM によって NVRAM に書き込まれるときに暗号化されます。

このコマンドをイネーブルにした場合、認証登録時にパスワードが要求されなくなります。

次に、トラストポイント central の crypto ca トラストポイント コンフィギュレーション モードを開始し、トラストポイント central の登録要求に CA に登録したチャレンジ フレーズを含める例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# password zzxxyy
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルトに戻します。

password-storage

ユーザがクライアント システム上でログイン パスワードを保存できるようにするには、グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで、 password-storage enable コマンドを使用します。パスワードの保存を禁止するには、 password-storage disable コマンドを使用します。実行コンフィギュレーションから password-storage 属性を削除するには、このコマンドの no 形式を使用します。その結果、別のグループ ポリシーから password-storage の値を継承できるようになります。

password-storage {enable | disable}

no password-storage

 
シンタックスの説明

disable

パスワードの保存をディセーブルにします。

enable

パスワードの保存をイネーブルにします。

 
デフォルト

パスワードの保存はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

ユーザ名コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

パスワードの保存は、安全な場所に配置されていることが確実なシステムに限定してイネーブルにします。

このコマンドは、対話型ハードウェア クライアント認証またはハードウェア クライアントの個別ユーザ認証とは関係ありません。

次に、FirstGroup というグループ ポリシーに対してパスワードの保存をイネーブルにする例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# password-storage enable

peer-id-validate

ピアの証明書を使用してピアの ID を検証するかどうかを指定するには、tunnel-group ipsec-attributes コンフィギュレーション モードで peer-id-validate コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

peer-id-validate option

no peer-id-validate

 
シンタックスの説明

option

次のいずれかのオプションを指定します。

req :必須

cert :証明書でサポートされる場合

nocheck :チェックしない

 
デフォルト

このコマンドのデフォルト設定は req です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

tunnel-group ipsec-attributes コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

すべてのトンネルグループ タイプにこの属性を適用できます。

次に、config-ipsec コンフィギュレーション モードを開始し、209.165.200.255 という IPSec LAN-to-LAN トンネル グループに、ピアの証明書の ID を使用したピア検証を要求する例を示します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-ipsec)# peer-id-validate req
hostname(config-ipsec)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されたトンネル グループをすべて消去します。

show running-config tunnel-group

指定したトンネル グループまたはすべてのトンネル グループの設定を表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに対応付けます。

perfmon

FWSM が定期的にパフォーマンス情報を取得できるようにするには、特権 EXEC モードで perfmon verbose コマンドを使用します。パフォーマンス情報の出力を禁止するには、 perfmon quiet コマンドを使用します。取得したパフォーマンス情報を表示するには、 show console-output コマンドを使用します。

perfmon {verbose | quiet}

 
シンタックスの説明

quiet

パフォーマンス モニタをディセーブルにします。

verbose

パフォーマンス情報を取得します。

 
デフォルト

デフォルトのインターバルは 120 秒です。間隔の設定については、 perfmon interval コマンドの項を参照してください。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

perfmon コマンドの出力は Telnet セッションまたは SSH セッションのターミナル ウィンドウに表示され、当該セッションが終了した後にコンソールに転送されます。終了したセッションを再起動すると、コマンド出力はセッション ウィンドウに表示されます。

次に、30 秒おきにパフォーマンス モニタ統計情報を取得する例を示します。

hostname# perfmon interval 30
hostname# perfmon verbose
hostname# show console-output
Context: my_context
PERFMON STATS: Current Average
Xlates 0/s 0/s
Connections 0/s 0/s
TCP Conns 0/s 0/s
UDP Conns 0/s 0/s
URL Access 0/s 0/s
URL Server Req 0/s 0/s
WebSns Req 0/s 0/s
TCP Fixup 0/s 0/s
TCP Intercept 0/s 0/s
HTTP Fixup 0/s 0/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
 

 
関連コマンド

コマンド
説明

perfmon settings

パフォーマンス モニタの設定値を表示します。

perfmon interval

パフォーマンス モニタの取得間隔を設定します。

show console-output

コンソール バッファを表示します。

show perfmon

パフォーマンス情報をただちに表示します。

perfmon interval

パフォーマンス情報を取得する間隔を秒数で設定するには、特権 EXEC モードで perfmon interval コマンドを使用します。

perfmon interval seconds

 
シンタックスの説明

seconds

パフォーマンス表示が更新されるまでの秒数を指定します。

 
デフォルト

seconds は 120 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

パフォーマンス モニタをイネーブルにするには、 perfmon verbose コマンドを入力します。ディセーブルにするには、 perfmon quiet コマンドを入力します。 perfmon コマンドの出力は Telnet セッションまたは SSH セッションのターミナル ウィンドウに表示され、当該セッションが終了した後にコンソールに転送されます。終了したセッションを再起動すると、コマンド出力は新しいセッション ウィンドウに表示されます。

次に、30 秒おきにパフォーマンス モニタ統計情報を取得する例を示します。

hostname# perfmon interval 30
hostname# perfmon verbose
 

 
関連コマンド

コマンド
説明

perfmon

FWSM がパフォーマンス モニタ情報を取得できるようにします。

perfmon settings

パフォーマンス モニタの設定値を表示します。

show console-output

コンソール バッファを表示します。

show perfmon

パフォーマンス情報を表示します。

perfmon settings

パフォーマンス モニタの設定値を表示するには、特権 EXEC モードで perfmon settings コマンドを使用します。

perfmon settings

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、 perfmon の設定を表示する例を示します。

hostname# perfmon settings
interval: 120 (seconds)
quiet
 

 
関連コマンド

コマンド
説明

perfmon

FWSM がパフォーマンス モニタ情報を取得できるようにします。

perfmon interval

パフォーマンス モニタの取得間隔を設定します。

show console-output

コンソール バッファを表示します。

show perfmon

パフォーマンス情報をただちに表示します。

periodic

時間範囲をサポートする機能に、週単位の反復する時間範囲を指定するには、time range コンフィギュレーション モードで periodic コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。

periodic days-of-the-week time to [ days-of-the-week ] time

no periodic days-of-the-week time to [ days-of-the-week ] time

 
シンタックスの説明

days-of-the-week

(任意)最初のこの引数は、対応する時間範囲が有効になる最初の日にちまたは曜日です。2 番目のこの引数は、対応するステートメントが有効な最後の日にちまたは曜日です。

この引数は、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、Sunday のいずれか 1 つまたはその組み合わせです。その他の指定できる値は、次のとおりです。

daily:月曜~日曜

weekdays:月曜~金曜

weekend:土曜および日曜

終了する曜日が開始する曜日と同じ場合は、終了する曜日を省略できます。

time

時刻を HH:MM の形式で指定します。たとえば、8:00 は午前 8 時、20:00 は午後 8 時です。

to

「開始時刻から終了時刻」の範囲を完結させるために、 to キーワードを入力する必要があります。

 
デフォルト

periodic コマンドで値を入力しなかった場合、 time-range コマンドで定義された FWSM へのアクセスがただちに有効になり、なおかつ常時有効になります。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

time-range コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

時間ベースの ACL を実行するには、 time-range コマンドを使用して、特定の時刻と曜日を定義します。次に、 access-list extended time-range コマンドを使用して時間範囲を ACL にバインドします。

periodic コマンドは、時間範囲がいつ有効になるかを指定する 1 つの方法です。 absolute コマンドで、絶対時間間隔を指定する方法もあります。時間範囲の名前を指定する、 time-range グローバル コンフィギュレーション コマンドの後で、いずれかのコマンドを使用します。1 つの time-range コマンドで複数の periodic を指定できます。


) 時間範囲は重複していてもかまいません。ある時間範囲(8:00 ~ 15:00)を入力し、重複する別の時間範囲(10:00 ~ 17:00)を入力すると、指定された両方の時間範囲の和(8:00 ~ 17:00)がアクティブになります。


終了する曜日の値が開始の値と同じ場合は、終了の値を省略できます。

time-range コマンドに absolute periodic の値が両方とも指定されていた場合、 periodic コマンドが評価されるのは、 absolute start の時刻に達してからであり、また、 absolute end の時刻を過ぎてからは評価されません。

 

次に、 periodic コマンドの設定例を示します。

 

設定内容
入力

月曜~金曜、午前 8 時~ 午後 6 時 のみ

periodic weekdays 8:00 to 18:00

毎日、午前 8 時~ 午後 6 時 のみ

periodic daily 8:00 to 18:00

月曜の午前 8:00 から 金曜の午後 8:00 まで毎分

periodic monday 8:00 to friday 20:00

毎週末、土曜午前~日曜夜

periodic weekend 00:00 to 23:59

土曜および日曜、正午~深夜 0 時

periodic weekend 12:00 to 23:59

次に、月曜~金曜、午前 8 時~午後 6 時に限定して、FWSM へのアクセスを許可する例を示します。

hostname(config-time-range)# periodic weekdays 8:00 to 18:00
hostname(config-time-range)#
 

次に、特定の曜日(月曜、火曜、および金曜)、午前 10 時 30 分~午後 12 時 30 分に、FWSM へのアクセスを許可する例を示します。

hostname(config-time-range)# periodic Monday Tuesday Friday 10:30 to 12:30
hostname(config-time-range)#

 
関連コマンド

コマンド
説明

absolute

時間範囲が有効となる絶対時刻を定義します。

access-list extended

FWSM を介して IP トラフィックを許可または拒否するポリシーを設定します。

default

time-range コマンドの absolute および periodic キーワードをデフォルト設定に戻します。

time-range

時間に基づく FWSM のアクセス制御を定義します。

permit (class)

アプリケーション タイプに基づいてトラフィックを許可するには、クラス コンフィギュレーション モードで permit コマンドを使用します。クラス コンフィギュレーション モードにアクセスするには、 policy-map コマンドを入力します。permit ステートメントを削除するには、このコマンドの no 形式を使用します。

permit protocol

no permit protocol

 
シンタックスの説明

protocol

名前または番号でプロトコルを指定します。サポートされているプロトコル名の一覧を表示するには、 permit ? コマンドを使用します。

 
デフォルト

明示的に拒否しない限り、デフォルトではすべてのプロトコルが許可されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

スイッチ上の Programmable Intelligent Services Accelerator(PISA; プログラマブル インテリジェント サービス アクセラレータ)は、詳細なパケット検査を行って所定のフローのアプリケーション タイプを迅速に判別します。トラフィックが標準のポートを使用していない場合でも特定できます。FWSM は、アプリケーション タイプに基づいてトラフィックを許可または拒否できるように、PISA カードの高性能で詳細なパケット検査を活用できます。

コントロール プレーン パスを通過する FWSM 検査機能と異なり、PISA により GRE を使用してタグ付けされるトラフィックは、FWSM 高速パスを通過できます。FWSM と PISA の統合によるもう 1 つの利点は、セキュリティ コンフィギュレーションを 1 つの FWSM に集約でき、PISA がインストールされた複数のアップストリーム スイッチを設定しなくても済む点です。

重要なアプリケーション タイプのために帯域幅を残しておく場合、特定のタイプのアプリケーション トラフィックを拒否することがあります。たとえば、他の重要なアプリケーションに影響を与える Peer-to-Peer(P2P; ピアツーピア)アプリケーションの使用を拒否できます。

class-map コマンドでトラフィックを特定してから、 policy-map コマンドを入力して各クラス マップに対応するアクションを指定します。 class コマンドを入力してクラス マップを調べ、 permit コマンド(および deny コマンド)を入力して許可および拒否するトラフィックを決定します。

permit ステートメントと deny ステートメントを組み合わせ、拒否するトラフィックを絞り込むことができます。少なくとも 1 つの deny コマンドを入力する必要があります。最後に暗黙的な拒否を含むアクセス リストと異なり、PISA アクションには、最後に暗黙的な許可が含まれます。

たとえば、Skype、eDonkey、Yahoo を除くすべてのトラフィックを許可するには、次のコマンドを入力します。

hostname(config-pmap-c)# deny skype
hostname(config-pmap-c)# deny yahoo
hostname(config-pmap-c)# deny eDonkey
 

次に、Kazaa と eDonkey を除くすべてのトラフィックを拒否する例を示します。

hostname(config-pmap-c)# deny all
hostname(config-pmap-c)# permit kazaa
hostname(config-pmap-c)# permit eDonkey
 

PISA 統合の詳細については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide 』を参照してください。このマニュアルには、本機能を使用するためのスイッチのコンフィギュレーションに関する基本的な情報などが記載されています。

次に、PISA 統合のコンフィギュレーション例を示します。

hostname(config)# access-list BAD_APPS extended permit 10.1.1.0 255.255.255.0 10.2.1.0 255.255.255.0
 
hostname(config)# class-map denied_apps
hostname(config-cmap)# description "Apps to be blocked"
hostname(config-cmap)# match access-list BAD_APPS
 
hostname(config-cmap)# policy-map denied_apps_policy
hostname(config-pmap)# class denied_apps
hostname(config-pmap-c)# deny skype
hostname(config-pmap-c)# deny yahoo
hostname(config-pmap-c)# deny eDonkey
 
hostname(config-pmap-c)# service-policy denied_apps_policy inside
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップを指定します。

class-map

サービス ポリシーで使用するクラス マップを作成します。

deny

PISA によりタグ付けされたトラフィックを拒否します。

policy-map

クラス マップと 1 つ以上のアクションを対応付ける、ポリシー マップを設定します。

service-policy

インターフェイスにポリシー マップを割り当てます。

show conn

接続情報を表示します。

permit (gtp-map)

通常は解析に失敗しドロップされる無効な GTP パケットを許可する場合や、信頼できる GSN を設定するためには、GTP マップ コンフィギュレーション モードで permit コマンドを使用します。このコマンドを削除するには、このコマンドの no 形式を使用します。

permit { errors | response to-object-group receive-object-group from-object-group send-object-group }

no permit { errors | response to-object-group receive-object-group from-object-group send-object-group }

 
シンタックスの説明

errors

エラーのあるパケットの通過を許可します。

from-object-group send-object-group

応答を送信するオブジェクト グループの名前を指定します。

response

別のオブジェクト グループからの応答の受信を許可するオブジェクト グループを指定します。

to-object-group receive-object-group

要求を送信するオブジェクト グループの名前を指定します。

 
デフォルト

デフォルトでは、無効なパケットまたは解析中にエラーになったパケットはすべて、廃棄されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

3.2(1)

response キーワードが追加されました。

 
使用上のガイドライン

GTP マップ コンフィギュレーション モードで permit コマンドを使用すると、無効な GTP パケットまたは通常は解析エラーになってドロップされるパケットが許可されます。GTP 要求で指定されていない特定の GSN の要求に応答するように、信頼できる GSN を設定することもできます。

IPv4 アドレス ネットワーク オブジェクトを使用したオブジェクト グループだけがサポートされます。IPv6 は GTP ではサポートされません。

次に、無効なパケットまたは解析時にエラーになったパケットが含まれているトラフィックを許可する例を示します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# permit errors
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバル GTP 統計情報を消去します。

debug gtp

GTP 検査の詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

特定の GTP マップがアプリケーション検査で使用されるようにします。

show service-policy inspect gtp

GTP 設定を表示します。

pfs

PFS をイネーブルにするには、グループ ポリシー コンフィギュレーション モードで pfs enable コマンドを使用します。PFS をディセーブルにするには、 pfs disable コマンドを使用します。実行コンフィギュレーションから PFS 属性を削除するには、このコマンドの no 形式を使用します。このオプションにより、別のグループ ポリシーから PFS の値が継承されます。

pfs { enable | disable }

no pfs

 
シンタックスの説明

disable

PFS をディセーブルにします。

enable

PFS をイネーブルにします。

 
デフォルト

PFS はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

PFS は IPSec ネゴシエーション時に、個々の新しい暗号鍵が前の鍵と無関係であることを保証します。

VPN クライアントと FWSM で、PFS の設定を一致させる必要があります。

次に、FirstGroup というグループ ポリシーの PFS を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# pfs enable

pim

インターフェイス上で PIM を再びイネーブルにするには、インターフェイス コンフィギュレーション モードで pim コマンドを使用します。PIM をディセーブルにするには、このコマンドの no 形式を使用します。

pim

no pim

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

multicast-routing コマンドはデフォルトで、すべてのインターフェイス上で PIM をイネーブルにします。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

multicast-routing コマンドはデフォルトで、すべてのインターフェイス上で PIM をイネーブルにします。コンフィギュレーションには、 pim コマンドの no 形式だけが保存されます。


) PIM は PAT ではサポートされません。PIM プロトコルはポートを使用しないのに対して、PAT が機能するのは、ポートを使用するプロトコルと組み合わせた場合に限られます。


次に、選択したインターフェイス上で PIM をディセーブルにする例を示します。

hostname(config)# interface Vlan101
hostname(config-subif)# no pim
 

 
関連コマンド

コマンド
説明

multicast-routing

FWSM のマルチキャスト ルーティングをイネーブルにします。

pim accept-register

PIM 登録メッセージをフィルタリングするように FWSM を設定するには、グローバル コンフィギュレーション モードで pim accept-register コマンドを使用します。フィルタリングを削除するには、このコマンドの no 形式を使用します。

pim accept-register { list acl | route-map map-name }

no pim accept-register

 
シンタックスの説明

list acl

アクセス リスト名または番号を指定します。このコマンドでは、標準ホスト Access Control List(ACL; アクセス制御リスト)を使用します。拡張 ACL はサポートされません。

route-map map-name

ルートマップ名を指定します。このコマンドで参照するルートマップでは、標準ホスト ACL を使用します。拡張 ACL はサポートされません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、不正な送信元が RP に登録できないようにするために使用します。不正な送信元から RP に登録メッセージが送信されると、FWSM が登録停止メッセージをただちに返します。

次に、「no-ssm-range」というアクセス リストで定義された送信元からのものに、PIM 登録メッセージを限定する例を示します。

hostname(config)# pim accept-register list no-ssm-range
 

 
関連コマンド

コマンド
説明

multicast-routing

FWSM のマルチキャスト ルーティングをイネーブルにします。

pim dr-priority

指定ルータの選定に使用するネイバ プライオリティを FWSM 上で設定するには、インターフェイス コンフィギュレーション モードで pim dr-priority コマンドを使用します。デフォルトのプライオリティに戻すには、このコマンドの no 形式を使用します。

pim dr-priority number

no pim dr-priority

 
シンタックスの説明

number

0 ~ 4294967294 の数値。この値は、指定ルータを決定するために、デバイスのプライオリティを判別する際に使用されます。0 を指定すると、FWSM は指定ルータになれません。

 
デフォルト

デフォルト値は 1 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイス上でプライオリティ値が最大のデバイスが PIM 指定ルータになります。指定ルータ プライオリティが同じデバイスが複数ある場合、IP アドレスが最大のデバイスが DR になります。デバイスが hello メッセージに DR-Priority Option を組み込んでいない場合、そのデバイスはプライオリティが最も高いデバイスと見なされて、指定ルータになります。複数のデバイスがそれぞれの hello メッセージにこのオプションを組み込んでいない場合は、IP アドレスが最大のデバイスが指定ルータになります。

次に、インターフェイスの DR プライオリティを 5 に設定する例を示します。

hostname(config)# interface Vlan101
hostname(config-if)# pim dr-priority 5

 
関連コマンド

コマンド
説明

multicast-routing

FWSM のマルチキャスト ルーティングをイネーブルにします。

pim hello-interval

PIM hello メッセージの間隔を設定するには、インターフェイス コンフィギュレーション モードで pim hello-interval コマンドを使用します。hello 間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。

pim hello-interval seconds

no pim hello-interval [ seconds ]

 
シンタックスの説明

seconds

hello メッセージを送信するまでに FWSM が待機する秒数。有効値は 1 ~ 3600 秒です。デフォルト値は 30 秒です。

 
デフォルト

30 秒

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、PIM hello 間隔を 1 分に設定する例を示します。

hostname(config)# interface Vlan101
hostname(config-if)# pim hello-interval 60
 

 
関連コマンド

コマンド
説明

multicast-routing

FWSM のマルチキャスト ルーティングをイネーブルにします。

pim join-prune-interval

PIM Join/Prune 間隔を設定するには、インターフェイス コンフィギュレーション モードで pim join-prune-interval コマンドを使用します。間隔をデフォルト値に戻すには、このコマンドの no 形式を使用します。

pim join-prune-interval seconds

no pim join-prune-interval [ seconds ]

 
シンタックスの説明

seconds

Join/Prune メッセージを送信するまでに FWSM が待機する秒数。有効値は 10 ~ 600 秒です。デフォルトは 60 秒です。

 
デフォルト

60 秒

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、PIM Join/Prune の間隔を 2 分に設定する例を示します。

hostname(config)# interface Vlan101
hostname(config-if)# pim join-prune-interval 120
 

 
関連コマンド

コマンド
説明

multicast-routing

FWSM のマルチキャスト ルーティングをイネーブルにします。

pim old-register-checksum

旧式のレジスタ チェックサム方法論を使用する Rendezvous Point(RP; ランデブー ポイント)で下位互換性を許可するには、グローバル コンフィギュレーション モードで pim old-register-checksum コマンドを使用します。PIM RFC 互換レジスタを生成するには、このコマンドの no 形式を使用します。

pim old-register-checksum

no pim old-register-checksum

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

FWSM は、PIM RFC 互換レジスタを生成します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM ソフトウェアは、Cisco IOS の方式ではなく、PIM ヘッダーのチェックサムと次の 4 バイトだけを使用して、登録メッセージを受け付けます。Cisco IOS の方式では、すべての PIM メッセージ タイプについて、PIM メッセージ全体を使用して登録メッセージを受け付けます。 pim old-register-checksum コマンドは、Cisco IOS ソフトウェアと互換性のあるレジスタを生成します。

次に、旧式のチェックサム計算を使用するように FWSM を設定する例を示します。

hostname(config)# pim old-register-checksum
 

 
関連コマンド

コマンド
説明

multicast-routing

FWSM のマルチキャスト ルーティングをイネーブルにします。

pim rp-address

PIM Rendezvous Point(RP)のアドレスを設定するには、グローバル コンフィギュレーション モードで pim rp-address コマンドを使用します。RP アドレスを削除するには、このコマンドの no 形式を使用します。

pim rp-address ip_address [ acl ] [ bidir ]

no pim rp-address ip_address

 
シンタックスの説明

acl

(任意)RP で使用するマルチキャスト グループを定義する、アクセス リストの名前または番号。これは標準 IP アクセス リストです。

bidir

(任意)指定のマルチキャスト グループが双方向モードで動作することを指定します。このオプションを指定しないでコマンドを設定した場合、指定のグループは PIM sparse(疎)モードで動作します。

ip_address

PIM RP にするルータの IP アドレス。このアドレスは、4 つに区切られたドット付き 10 進表記のユニキャスト IP アドレスです。

 
デフォルト

PIM RP アドレスを設定しません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

共通 PIM sparse モード(PIM-SM)または bidir ドメイン内のすべてのルータに、well-known PIM RP アドレスを認識させる必要があります。このコマンドを使用すると、アドレスが静的に設定されます。


) FWSM は Auto-RP をサポートしません。したがって、pimrp-address コマンドを使用して RP アドレスを指定する必要があります。


RP を 1 つ設定することによって、複数のグループを処理できます。アクセス リストで指定されたグループ範囲によって、PIM RP グループのマッピングが決まります。アクセス リストを指定しなかった場合、グループの RP が IP マルチキャスト グループ範囲(224.0.0.0/4)全体に適用されます。


) FWSM は、実際の bidir 設定に関係なく、必ず PIM hello メッセージで bidir 機能をアドバタイズします。


次に、すべてのマルチキャスト グループに対して、PIM RP アドレスを 10.0.0.1 に設定する例を示します。

hostname(config)# pim rp-address 10.0.0.1
 

 
関連コマンド

コマンド
説明

pim accept-register

PIM 登録メッセージをフィルタリングするように、候補 RP を設定します。

pim spt-threshold infinity

必ず共有ツリーを使用し、Shortest-Path Tree(SPT)スイッチオーバーを実行しないように、ラスト ホップ ルータの動作を変更するには、グローバル コンフィギュレーション モードで pim spt-threshold infinity コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

pim spt-threshold infinity [ group-list acl ]

no pim spt-threshold

 
シンタックスの説明

group-list acl

(任意)アクセス リストで制限する送信元グループを指定します。 acl 引数では、標準 Access Control List(ACL; アクセス制御リスト)を指定する必要があります。拡張 ACL はサポートされません。

 
デフォルト

ラスト ホップ PIM ルータは、デフォルトで送信元 SPT に切り替えます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

group-list キーワードを使用しなかった場合、このコマンドはすべてのマルチキャスト グループに適用されます。

次に、ラスト ホップ PIM ルータが、送信元 SPT に切り替えるのではなく、必ず共有ツリーを使用するように設定する例を示します。

hostname(config)# pim spt-threshold infinity
 

 
関連コマンド

コマンド
説明

multicast-routing

FWSM のマルチキャスト ルーティングをイネーブルにします。

ping

FWSM から他の IP アドレスを参照できるかどうかを決定するには、特権 EXEC モードで ping コマンドを使用します。

ping [ if_name ] host [ data pattern ] [ repeat count ] [ size bytes ] [ timeout seconds ] [ validate ]

 
シンタックスの説明

data pattern

(任意)16 進形式で 16 ビットのデータ パターンを指定します。

host

ping の対象となるホストの IPv4 または IPv6 アドレス、または名前を指定します。

if_name

(任意) host からアクセスできる、 nameif コマンドで設定されたインターフェイス名を指定します。指定しなかった場合、 host は IP アドレスとして解決され、ルーティング テーブルに従って宛先インターフェイスが判別されます。

repeat count

(任意)ping 要求を繰り返す回数を指定します。

size bytes

(任意)データグラム サイズをバイト数で指定します。

timeout seconds

(任意)ping 要求をタイムアウトさせるまでに待機する秒数を指定します。

validate

(任意)応答データを検証することを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

ping コマンドを使用すると、FWSM が接続されているかどうか、またはネットワーク上のホストを使用できるかどうかを判別できます。FWSM が接続されている場合は、 icmp permit any interface コマンドが設定されているかどうかを確認します。FWSM が ping コマンドから生成されたメッセージに応答して受け付けることができるようにするには、この設定が必要です。 ping コマンドの出力は、応答が受信されたかどうかを示します。ホストが応答していない場合、 ping コマンドを入力すると、次のようなメッセージが表示されます。

hostname(config)# ping 10.1.1.1
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)
 

FWSM がネットワークに接続していて、トラフィックを送受信していることを確認するには、 show interface コマンドを使用します。指定された if_name のアドレスは、ping の送信元アドレスとして使用されます。

内部ホストから外部ホストに ping を実行させるには、次のいずれかの作業が必要です。

エコー応答用の ICMP access-list コマンドを作成して、たとえば、すべてのホストに ping でアクセスできるようにしてから、 access-list acl_grp permit icmp any any コマンドを使用して、 access-group コマンドでテストするインターフェイスに access-list コマンドをバインドします。

inspect icmp コマンドを使用して ICMP インスペクション エンジンを設定します。たとえば、グローバル サービス ポリシーに対応する class default_inspection クラスに inspect icmp コマンドを追加すると、内部ホストによって開始されたエコー要求に対する、FWSM を経由したエコー応答が許可されます。

拡張 ping も実行できます。この場合、一度に 1 行ずつキーワードを入力します。

ホスト間またはルータ間で、FWSM を介して ping を送信しても、ping を実行できない場合は、capture コマンドを使用して、ping の成否をモニタします。

FWSM の ping コマンドには、インターフェイス名は不要です。インターフェイス名を指定しなかった場合、FWSM はルーティング テーブルを調べて、指定されたアドレスを検出します。インターフェイス名を指定すると、ICMP エコー要求の送信に使用されるインターフェイスを指定できます。

次に、FWSM から他の IP アドレスを参照できるかどうかを判別する例を示します。209.165.

hostname# ping 209.165.200.225
Sending 5, 100-byte ICMP Echos to 209.165.200.225, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
 

次に、拡張 ping の例を示します。

hostname# ping
Interface: outside
Target IP address: 209.165.200.225
Repeat count: [5]
Datagram size: [100]
Timeout in seconds: [2]
Extended commands [n]:
Sweep range of sizes [n]:
Sending 5, 100-byte ICMP Echos to 209.165.200.225, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
 

 
関連コマンド

コマンド
説明

capture

インターフェイスでパケットをキャプチャします。

icmp

インターフェイスで終端する ICMP トラフィックのアクセス ルールを設定します。

show interface

VLAN の設定情報を表示します。

policy

CRL の取得元を指定するには、crl configure コンフィギュレーション モードで policy コマンドを使用します。crl configure コンフィギュレーション モードには、crypto ca トラストポイント コンフィギュレーション モードからアクセスします。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

policy { static | cdp | both }

no policy [ static | cdp | both ]

 
シンタックスの説明

both

CRL 配布ポイントを使用して CRL を取得できなかった場合に、5 回を限度とし、スタティック CDP を使用して再試行することを指定します。

cdp

チェックする証明書に組み込まれた CDP 拡張子を使用します。この場合、FWSM は確認する証明書の CDP 拡張子から最大 5 つの CRL 配布ポイントを取得し、必要に応じて、設定されたデフォルト値で情報を補います。プライマリ CDP による CRL 取得に失敗した場合、FWSM はリストで次に使用可能な CDP を使用して再試行します。FWSM が CRL を取得するか、リストの終わりに達するまで、この作業が続けられます。

static

最大 5 つのスタティック CRL 配布ポイントを使用します。このオプションを指定する場合は、 protocol コマンドで LDAP または HTTP URL も指定します。

 
デフォルト

デフォルトの設定は cdp です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crl configure コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、ca-crl コンフィギュレーション モードを開始し、チェックする証明書に組み込まれた CRL 配布ポイント拡張子を使用して、またはそれが失敗した場合はスタティック CDP を使用して、CRL を取得することを設定する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# policy both
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

ca-crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

url

CRL を取得するためのスタティック URL リストを作成して維持します。

policy-map

モジュラ ポリシー フレームワークを使用する場合、グローバル コンフィギュレーション モードで policy-map コマンド( type キーワードなし)を使用し、レイヤ 3/4 クラス マップ( class-map コマンド)で特定したトラフィックにアクションを割り当てます。レイヤ 3/4 ポリシー マップを削除するには、このコマンドの no 形式を使用します。

policy-map name

no policy-map name

 
シンタックスの説明

name

このポリシー マップの名前を最大 40 文字で指定します。すべてのタイプのポリシー マップが同じネーム スペースを使用しているため、他のタイプのポリシー マップですでに使用されている名前は再使用できません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. (アプリケーション検査限定) policy-map type inspect コマンドを使用してアプリケーション検査トラフィック用の特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスに対するアクションを有効にします。

ポリシー マップのガイドライン

ポリシー マップを使用する際には次のガイドラインに従ってください。

1 つのインターフェイスにはポリシー マップを 1 つだけ割り当てることができます(ただし、コンフィギュレーション内に最大 64 個のポリシー マップを作成できます)。

同じポリシー マップを複数のインターフェイスに適用できます。

複数のレイヤ 3/4 クラス マップをレイヤ 3/4 ポリシー マップで特定できます。

各クラス マップに対して、1 つ以上の機能タイプから複数のアクションを割り当てることができます。複数の inspect コマンドを使用できるのは、クラス マップに match default-inspection-traffic コマンドが含まれている場合だけです。

サポートされる機能タイプ

モジュラ ポリシー フレームワーク でサポートされ、ポリシー マップでイネーブルにできる機能タイプは次のとおりです。

接続設定

アプリケーション検査

機能の方向性

サービス ポリシーが 1 つのインターフェイスに適用されるかグローバルに適用されるかに応じて、アクションは双方向または単方向のトラフィックに適用されます。1 つのインターフェイスに適用されるサービス ポリシーでは、すべての機能は双方向です。そのため、トラフィックが両方の方向についてクラス マップに一致する場合、ポリシー マップを適用するインターフェイスを出入りするすべてのトラフィックに影響があります。グローバル ポリシーを使用する場合、すべての機能は単方向になります。そのため、単一のインターフェイスに適用されたときに通常は双方向になる機能をグローバルに適用した場合、各インターフェイスの入力だけに適用されます。ポリシーはすべてのインターフェイスに適用されるため、両方の方向にポリシーが適用され、この場合の双方向性は冗長です。

ポリシー マップ内の機能照合ガイドライン

パケットがポリシー マップ内のクラス マップに一致する方法について、次のガイドラインを参照してください。

パケットは、機能タイプごとに、ポリシー マップ内の 1 つのクラス マップだけに一致します。

パケットがある機能タイプのあるクラス マップに一致すると、FWSM はその機能タイプの以降のクラス マップの照合を行いません。

ただし、パケットが異なる機能タイプの以降のクラス マップに一致する場合、FWSM は以降のクラス マップのアクションも適用します。

たとえば、パケットが接続制限のクラス マップに一致し、アプリケーション検査のクラス マップにも一致する場合、両方のクラス マップ アクションが適用されます。

パケットがアプリケーション検査のクラス マップに一致し、アプリケーション検査を含む別のクラス マップにも一致する場合、2 番目のクラス マップ アクションは適用されません。

複数のポリシー マップでの機能照合ガイドライン

TCP トラフィックと UDP トラフィック(ステートフル ICMP インスペクションをイネーブルにする場合はこれに加えて ICMP)では、サービス ポリシーは個々のパケットだけではなくトラフィック フローに作用します。トラフィックが、あるインターフェイス上のポリシーの機能に一致する接続の一部である場合、そのトラフィック フローは別のインターフェイス上のポリシーの同じ機能に一致せず、最初のポリシーだけが使用されます。

たとえば、HTTP トラフィックが HTTP トラフィックを検査するための内部インターフェイス上のポリシーに一致し、外部インターフェイス上に HTTP 検査のための別のポリシーがある場合、そのトラフィックは外部インターフェイスの出力上で検査されません。同様に、その接続の戻りトラフィックは、外部インターフェイスの入力ポリシーでも、内部インターフェイスの出力ポリシーでも検査されません。

ステートフル ICMP インスペクションをイネーブルにしない場合の ICMP など、1 つのフローとして扱われないトラフィックの場合、戻りトラフィックは戻りインターフェイス上の別のポリシー マップに一致する可能性があります。たとえば、内部インターフェイスおよび外部インターフェイス上で接続制限を設定し、内部ポリシーで最大接続数が 2000、外部ポリシーで最大接続数が 3000 に設定されている場合、非ステートフル ping は、入力の場合よりも出力の場合に下位で拒否される可能性が高くなります。

複数の機能アクションが適用される順序

1 つのルール内のアクションは次の順序で実行されます。

1. 接続設定

2. アプリケーション検査

デフォルト レイヤ 3/4 ポリシー マップ

コンフィギュレーションには、FWSM がデフォルト グローバル ポリシーで使用するデフォルトのレイヤ 3/4 ポリシー マップが含まれています。これは、 global_policy と呼ばれ、デフォルト検査トラフィックに対して検査を実行します。グローバル ポリシーは 1 つしか適用できないため、グローバル ポリシーを変更する場合は、デフォルト ポリシーを設定し直すか、デフォルト ポリシーをディセーブルにして新しいポリシーを適用する必要があります。

デフォルト ポリシー マップ コンフィギュレーションには、次のコマンドが含まれています。

policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
 

次に、接続ポリシーに関する policy-map コマンドの例を示します。このコマンドは Web サーバ 10.1.1.1 に許可された接続数を制限します。

hostname(config)# access-list http-server permit tcp any host 10.1.1.1
hostname(config)# class-map http-server
hostname(config-cmap)# match access-list http-server
 
hostname(config)# policy-map global-policy
hostname(config-pmap)# description This policy map defines a policy concerning connection to http server.
hostname(config-pmap)# class http-server
hostname(config-pmap-c)# set connection conn-max 256
 

次に、ポリシー マップ中で複数一致する場合の動作の例を示します。

hostname(config)# class-map inspection_default
hostname(config-cmap)# match default-inspection-traffic
hostname(config)# class-map http_traffic
hostname(config-cmap)# match port tcp eq 80
 
hostname(config)# policy-map outside_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect http http_map
hostname(config-pmap-c)# inspect sip
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:10:0
 

次に、トラフィックが最初に使用可能なクラス マップに一致し、同じ機能ドメインのアクションを指定する以降のクラス マップには一致しない例を示します。

hostname(config)# class-map telnet_traffic
hostname(config-cmap)# match port tcp eq 23
hostname(config)# class-map ftp_traffic
hostname(config-cmap)# match port tcp eq 21
hostname(config)# class-map tcp_traffic
hostname(config-cmap)# match port tcp range 1 65535
hostname(config)# class-map udp_traffic
hostname(config-cmap)# match port udp range 0 65535
hostname(config)# policy-map global_policy
hostname(config-pmap)# class telnet_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:0:0
hostname(config-pmap-c)# set connection conn-max 100
hostname(config-pmap)# class ftp_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:5:0
hostname(config-pmap-c)# set connection conn-max 50
hostname(config-pmap)# class tcp_traffic
hostname(config-pmap-c)# set connection timeout tcp 2:0:0
hostname(config-pmap-c)# set connection conn-max 2000
 

Telnet 接続を開始すると、 class telnet_traffic に一致します。同様に、FTP 接続を開始すると class ftp_traffic に一致します。Telnet と FTP 以外の TCP 接続は、すべて class tcp_traffic に一致します。Telnet と FTP の接続は class tcp_traffic にも一致しますが、すでに他のクラスに一致しているため、FWSM はこの照合を行いません。

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

clear configure policy-map

すべてのポリシー マップ コンフィギュレーションを削除します。ポリシー マップが service-policy コマンドで使用されている場合、そのポリシー マップは削除されません。

class-map

トラフィック クラス マップを定義します。

service-policy

ポリシー マップを 1 つのインターフェイスに割り当てるか、すべてのインターフェイスにグローバルに割り当てます。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

policy-map type inspect

モジュラ ポリシー フレームワークを使用する場合、グローバル コンフィギュレーション モードで policy-map type inspect コマンドを使用して、アプリケーション トラフィック検査のための特別なアクションを定義します。検査ポリシー マップを削除するには、このコマンドの no 形式を使用します。

policy-map type inspect application policy_map_ name

no policy-map [ type inspect application ] policy_map_ name

 
シンタックスの説明

application

対象とするアプリケーション トラフィックのタイプを指定します。指定できるタイプは、次のとおりです。

dcerpc

esmtp

http

sip

policy_map_ name

このポリシー マップの名前を最大 40 文字で指定します。「_internal」または「_default」で始まる名前は予約されており使用できません。すべてのタイプのポリシー マップが同じネーム スペースを使用しているため、他のタイプのポリシー マップですでに使用されている名前は再使用できません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークでは、多数のアプリケーション検査のために特別なアクションを設定できます。レイヤ 3/4 ポリシー マップで inspect コマンドを使用してインスペクション エンジンをイネーブルにする場合( policy-map コマンド)、 policy-map type inspect コマンドで作成した検査ポリシー マップで定義されたアクションをイネーブルにすることもできます。たとえば、 inspect http http_policy_map コマンドを入力します。ここで、 http_policy_map は検査ポリシー マップの名前です。

検査ポリシー マップは、ポリシー マップ コンフィギュレーション モードで入力された 1 つ以上の次のコマンドで構成されます。検査ポリシー マップに使用できるコマンド自体は、アプリケーションによって異なります。

match コマンド: match コマンドを検査ポリシー マップで直接定義し、URL 文字列などのアプリケーション固有の条件とアプリケーション トラフィックを照合できます。次に、一致コンフィギュレーション モードで drop reset log などのアクションをイネーブルにします。使用できる match コマンドはアプリケーションによって異なります。

class コマンド:このコマンドは、ポリシー マップ中の検査クラス マップを特定します(検査クラス マップの作成については class-map type inspect コマンドを参照してください)。検査クラス マップには、URL 文字列など、アプリケーション トラフィックとアプリケーション固有の条件を照合する match コマンドが含まれており、これに対しポリシー マップでアクションをイネーブルにします。クラス マップを作成することと、検査ポリシー マップで直接 match コマンドを使用することの違いは、複数の一致をグループ化できることと、クラス マップを再利用できることです。

parameters コマンド:インスペクション エンジンの動作はパラメータの影響を受けます。パラメータ コンフィギュレーション モードで使用できるコマンドはアプリケーションによって異なります。

ポリシー マップでは class コマンドまたは match コマンドを複数指定できます。

1 つのパケットが複数の異なる match コマンドまたは class コマンドに一致する場合、FWSM がアクションを適用する順番は FWSM の内部規則で決定されます。ポリシー マップに追加される順番ではありません。内部規則は、アプリケーションのタイプと、パケット解析の論理的な進行状況によって決定され、ユーザは設定できません。たとえば、HTTP トラフィックの場合、Request Method フィールドは Header Host Length フィールドよりも先に解析されます。Request Method フィールドのアクションは、Header Host Length フィールドのアクションの前に実行されます。たとえば、次の match コマンドは任意の順番で入力できますが、 match request method get コマンドが最初に照合されます。

match request header host length gt 100
reset
match request method get
log
 

あるアクションがパケットをドロップすると、検査ポリシー マップの他のアクションは実行されません。たとえば、最初のアクションが接続のリセットである場合、それ以降の match または class コマンドの照合は行われません。最初のアクションがパケットのロギングである場合は、接続のリセットなどの 2 番目のアクションが発生する可能性があります(同じ match コマンドまたは class コマンドに対して、 reset アクション(または drop-connection など)と log アクションを両方設定できます。その場合、パケットは、1 つの一致の中でリセットされる前に記録されます)。

パケットが同一の複数の match コマンドまたは class コマンドと一致する場合、ポリシー マップに出現する順番で一致します。たとえば、ヘッダーの長さが 1001 のパケットの場合、その下にある最初のコマンドに一致し、記録され、次に 2 番目のコマンドと一致し、リセットされます。この 2 つの match コマンドの順番を逆にした場合、パケットはドロップされ、2 番目の match コマンドと一致する前に接続がリセットされます。このパケットは記録されません。

match request header length gt 100
log
match request header length gt 1000
reset
 

あるクラス マップは、クラス マップ内で優先度の最も低い match コマンドに基づいて(優先度は内部規則に基づきます)、別のクラス マップまたは match コマンドと同じタイプであると判断されます。あるクラス マップと別のクラス マップに、優先度が最も低い同じタイプの match コマンドがある場合、これらのクラス マップはポリシー マップに追加された順番に従って照合されます。各クラス マップの優先度の最も低いコマンドが異なる場合、優先度の高い match コマンドを持つクラス マップが最初に照合されます。たとえば、次の 3 つのクラス マップには、 match content length (高い優先度)と match content type (低い優先度)の、2 つのタイプの match コマンドが含まれています。クラス マップ sip3 には両方のコマンドが含まれていますが、優先度が最も低いコマンド match content type に従ってランク付けされます。クラス マップ sip1 には優先度が最も高いコマンドが含まれているため、ポリシー マップの順番にかかわらず最初に照合されます。クラス マップ sip3 は、同じく match content type コマンドが含まれているクラス マップ sip2 と同じ優先度としてランク付けされます。この 2 つのクラス マップは、ポリシー マップ中の順序(sip3、sip2 の順)で照合されます。

class-map inspect type sip match-all sip1
match content length gt 1000
class-map inspect type sip match-all sip2
match content type sdp
class-map inspect type sip match-all sip3
match content length gt 1000
match content type sdp
 
policy-map type inspect sip sip
class sip3
log
class sip2
log
class sip1
log
 

次に、HTTP 検査ポリシー マップと関連するクラス マップの例を示します。このポリシー マップは、サービス ポリシーによってイネーブルになるレイヤ 3/4 ポリシー マップにより有効になります。

hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
hostname(config)# class-map type regex match-any URLs
hostname(config-cmap)# match regex example
hostname(config-cmap)# match regex example2
 
hostname(config-cmap)# class-map type inspect http match-all http-traffic
hostname(config-cmap)# match req-resp content-type mismatch
hostname(config-cmap)# match request body length gt 1000
hostname(config-cmap)# match not request uri regex class URLs
 
hostname(config-cmap)# policy-map type inspect http http-map1
hostname(config-pmap)# class http-traffic
hostname(config-pmap-c)# drop-connection log
hostname(config-pmap-c)# match req-resp content-type mismatch
hostname(config-pmap-c)# reset log
hostname(config-pmap-c)# parameters
hostname(config-pmap-p)# protocol-violation action log
 
hostname(config-pmap-p)# policy-map test
hostname(config-pmap)# class test (a Layer 3/4 class map not shown)
hostname(config-pmap-c)# inspect http http-map1
 
hostname(config-pmap-c)# service-policy inbound_policy interface outside
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

parameters

検査ポリシー マップに対してパラメータ コンフィギュレーション モードを開始します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

polltime interface

インターフェイスにおける hello パケットの間隔を指定するには、フェールオーバー グループ コンフィギュレーション モードで polltime interface コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

polltime interface time

no polltime interface time

 
シンタックスの説明

time

Hello メッセージの時間間隔

 
デフォルト

デフォルトは 15 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

polltime interface コマンドは、現在のフェールオーバー グループに関連付けられたインターフェイスから hello パケットを送信する間隔を変更する場合に使用します。ポーリング間隔を短くすると、FWSM による障害の検出とフェールオーバーの起動がより迅速に行われます。ただし、ネットワークが一時的に輻輳している場合には、不要なスイッチオーバーが行われる可能性があります。

連続して 5 回、インターフェイスの hello パケットが検出されなかった場合は、インターフェイスのテストが開始されます。

このコマンドを使用できるのは、アクティブ/アクティブ フェールオーバーの場合だけです。

フェールオーバー グループの設定例(部分)を示します。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# polltime interface 20
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

アクティブ/アクティブ フェールオーバーを行うフェールオーバー グループを定義します。

failover polltime

モニタ対象インターフェイスにおける hello パケットの時間間隔を設定します。

port-misuse

制限されたアプリケーション カテゴリを指定することによって HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで port-misuse コマンドを使用します。HTTP マップ コンフィギュレーション モードには、 http-map コマンドを使用してアクセスします。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

port-misuse { im | p2p | tunneling | default } action { allow | reset | drop } [ log ]

no port-misuse { im | p2p | tunneling | default } action { allow | reset | drop } [ log ]

 
シンタックスの説明

action

設定したカテゴリのアプリケーションが検出されたときに実行するアクションを指定します。

allow

メッセージを許可します。

default

サポートされているにもかかわらず、コンフィギュレーション リストに存在しない要求方式がトラフィックに含まれている場合に、FWSM が実行するデフォルト アクションを指定します。

im

インスタント メッセージング アプリケーション カテゴリのトラフィックを制限します。チェックされるアプリケーションは Yahoo Messenger、AIM、および MSN IM です。

log

(任意)Syslog を生成します。

p2p

ピアツーピア アプリケーション カテゴリのトラフィックを制限します。Kazaa アプリケーションがチェックされます。

reset

クライアントおよびサーバに TCP リセット メッセージを送信します。

tunneling

トンネリング アプリケーション カテゴリのトラフィックを制限します。チェックされるアプリケーションは、HTTPort/HTTHost、GNU Httptunnel、GotoMyPC、Firethru、および Http-tunnel.com Client です。

 
デフォルト

このコマンドは、デフォルトではディセーブルです。このコマンドをイネーブルにしながら、サポート対象のアプリケーション カテゴリを指定しなかった場合、ログを収集しないで接続を許可することがデフォルトのアクションになります。デフォルト アクションを変更するには、 default キーワードを使用し、別のデフォルト アクションを指定します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

HTTP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 

 
使用上のガイドライン

port-misuse コマンドをイネーブルに設定した場合、FWSM はサポート対象で、なおかつ設定されたアプリケーション カテゴリのそれぞれに対応する HTTP 接続に、指定されたアクションを適用します。

FWSM は、設定されたリストのアプリケーション カテゴリと一致 しない すべてのトラフィックに、 default アクションを適用します。設定済みの default アクションでは、ロギングを行わずに接続を 許可 します。

たとえば、事前設定されたデフォルト アクションを使用し、なおかつ 1 つ以上のアプリケーション カテゴリを選択してアクション drop および log を指定した場合、FWSM は設定されたアプリケーション カテゴリが含まれている接続をドロップし、各接続を記録し、その他のサポート対象アプリケーション タイプについては、すべての接続を許可します。

より限定的なポリシーを設定する場合は、デフォルト アクションを drop (または reset )および log (イベントを記録する場合)に変更します。そのあと、 allow アクションを指定して、許可するアプリケーション タイプを設定します。

port-misuse コマンドは、適用する設定ごとに 1 回ずつ入力します。 port-misuse コマンドのインスタンスを、デフォルト アクションを変更するために 1 つ、設定済みアプリケーション タイプのリストに各アプリケーション カテゴリを追加するために 1 つ使用します。


注意 これらの検査では、HTTP メッセージのエンティティ本体を検索する必要があるため、FWSM のパフォーマンスが低下する可能性があります。

このコマンドの no 形式を使用して、設定済みアプリケーション タイプのリストからアプリケーション カテゴリを削除すると、コマンドラインでアプリケーション カテゴリのキーワードより後ろに指定した文字はすべて無視されます。

次に、設定済みのデフォルトを使用して、特に禁止されていないサポート対象アプリケーション タイプをすべて許可する、制限の緩いポリシーを設定する例を示します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# port-misuse p2p drop log
hostname(config-http-map)# exit
 

この場合、ピアツーピア カテゴリの接続だけがドロップされ、イベントが記録されます。

次に、制限型ポリシーを指定する例を示します。明示的に許可されていないすべてのアプリケーション タイプについて、接続がリセットされ、イベントが記録されるようにデフォルト アクションを変更します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# port-misuse default action reset log
hostname(config-http-map)# port-misuse im allow
hostname(config-http-map)# exit
 

この場合、Instant Messenger アプリケーションだけが許可されます。それ以外のサポート対象アプリケーションの HTTP トラフィックを受信すると、FWSM によって接続がリセットされ、Syslog エントリが作成されます。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

debug appfw

拡張 HTTP 検査に関連付けられたトラフィックの詳細情報を表示します。

http-map

拡張 HTTP 検査を設定するために HTTP マップを定義します。

inspect http

特定の HTTP マップがアプリケーション検査で使用されるようにします。

policy-map

特定のセキュリティ アクションにクラス マップを対応付けます。

port-object

サービス オブジェクト グループにポート オブジェクトを追加するには、サービス コンフィギュレーション モードで port-object コマンドを使用します。ポート オブジェクトを削除するには、コマンドの no 形式を使用します。

port-object eq service

no port-object eq service

port-object range begin_service end_service

no port-object range begin_service end_service

 
シンタックスの説明

begin_service

サービス範囲の先頭値となる、TCP または UDP ポートを示す 10 進数または名前を指定します。この値は 0 ~ 65535 の範囲内にする必要があります。

end_service

サービス範囲の終了値となる、TCP または UDP ポートを示す 10 進数または名前を指定します。この値は 0 ~ 65535 の範囲内にする必要があります。

eq service

サービス オブジェクト用の TCP または UDP ポートを示す 10 進数または名前を指定します。

range

ポート範囲を指定します(包含型)。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

サービス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

port-object コマンドは object-group コマンドと組み合わせて使用し、サービス コンフィギュレーション モードで、特定のサービス(ポート)またはサービス範囲(複数のポート)のいずれかであるオブジェクトを定義します。

TCP または UDP サービスの名前を指定する場合は、サポート対象の TCP 名、UDP 名、またはその両方の名前のいずれかにする必要があります。また、オブジェクト グループのプロトコル タイプと矛盾しないようにする必要があります。たとえば、プロトコル タイプが tcp、udp、または tcp-udp の場合、名前はそれぞれ有効な TCP サービス名、有効な UDP サービス名、または有効な TCP/UDP サービス名にする必要があります。

番号を指定した場合は、オブジェクトの表示時に、プロトコル タイプに基づいて対応する名前(ある場合)に変換されます。

サポートされるサービス名は、次のとおりです。

 

 

TCP
UDP
TCP および UDP

bgp

biff

discard

chargen

bootpc

domain

cmd

bootps

echo

daytime

dnsix

pim-auto-rp

exec

nameserver

sunrpc

finger

mobile-ip

syslog

ftp

netbios-ns

tacacs

ftp-data

netbios-dgm

talk

gopher

ntp

ident

rip

irc

snmp

h323

snmptrap

hostname

tftp

http

time

klogin

who

kshell

xdmcp

login

isakmp

lpd

nntp

pop2

pop3

smtp

sqlnet

telnet

uucp

whois

www

次に、サービス コンフィギュレーション モードで port-object コマンドを使用して、新しいポート(サービス)オブジェクト グループを作成する例を示します。

hostname(config)# object-group service eng_service tcp
hostname(config-service)# port-object eq smtp
hostname(config-service)# port-object eq telnet
hostname(config)# object-group service eng_service udp
hostname(config-service)# port-object eq snmp
hostname(config)# object-group service eng_service tcp-udp
hostname(config-service)# port-object eq domain
hostname(config-service)# port-object range 2000 2005
hostname(config-service)# quit
 

 
関連コマンド

コマンド
説明

clear configure object-group

コンフィギュレーションからすべての object-group コマンドを削除します。

group-object

ネットワーク オブジェクト グループを追加します。

network-object

ネットワーク オブジェクト グループにネットワーク オブジェクトを追加します。

object-group

設定を最適化するオブジェクト グループを定義します。

show running-config object-group

現在のオブジェクト グループを表示します。

preempt

プライオリティの高い装置がブート時にアクティブになるようにするには、フェールオーバー グループ コンフィギュレーション モードで preempt コマンドを使用します。プリエンプションを削除するには、このコマンドの no 形式を使用します。

preempt [ delay ]

no preempt [ delay ]

 
シンタックスの説明

delay

ピアに優先権が渡るまでの待機時間(秒数)。有効値は 1 ~ 1200 秒です。

 
デフォルト

デフォルトでは、待機時間はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

フェールオーバー グループにプライマリまたはセカンダリのプライオリティを割り当てると、両方の装置が(装置のポーリング時間内で)同時にブートした場合に、フェールオーバー グループがアクティブになる装置が指定されます。ただし、一方の装置が他方より先にブートした場合は、その装置上で両方のフェールオーバー グループがアクティブになります。他方の装置がオンラインになると、セカンダリ装置にプライオリティが与えられているフェールオーバー グループは、 preempt コマンドでフェールオーバー グループが設定されているか、または no failover active コマンドで他方の装置に手動で強制的に移さないかぎり、セカンダリ装置上ではアクティブになりません。 preempt コマンドでフェールオーバー グループが設定されている場合、フェールオーバー グループは指定された装置上で自動的にアクティブになります。


) ステートフル フェールオーバーがイネーブルの場合、その時点でフェールオーバー グループがアクティブな装置から接続がコピーされるまで、プリエンプションは実行されません。


次に、プライマリ装置のプライオリティを高くしてフェールオーバー グループ 1 を設定し、セカンダリ装置のプライオリティを高くしてフェールオーバー グループ 2 を設定する例を示します。待機時間を 100 秒に指定した preempt コマンドで両方のフェールオーバー グループを設定するため、装置が使用可能になってから 100 秒後に、優先装置上でフェールオーバー グループが自動的にアクティブになります。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

アクティブ/アクティブ フェールオーバーを行うフェールオーバー グループを定義します。

primary

設定するフェールオーバー グループのフェールオーバー ペアのプライマリ装置に、プライオリティを与えます。

secondary

設定するフェールオーバー グループのフェールオーバー ペアのセカンダリ装置に、プライオリティを与えます。

prefix-list

ABR タイプ 3 LSA フィルタリング用のプレフィクス リストにエントリを作成するには、グローバル コンフィギュレーション モードで prefix-list コマンドを使用します。プレフィクス リストのエントリを削除するには、このコマンドの no 形式を使用します。

prefix-list prefix-list-name [ seq seq_num ] { permit | deny } network / len [ ge min_value ] [ le max_value ]

no prefix-list prefix-list-name [ seq seq_num ] { permit | deny } network / len [ ge min_value ] [ le max_value ]

 
シンタックスの説明

/

network 値と len 値の間に分離記号が必要です。

deny

条件が一致した場合にアクセスを拒否します。

ge min_value

(任意)最小限一致しなければならないプレフィクスの長さを指定します。 min_value 引数の値は、 len 引数の値より大きくなければなりません。また、 max_value 引数を指定する場合は、その値以下でなければなりません。

le max_value

(任意)一致しなければならないプレフィクスの最大長を指定します。 max_value 引数の値は、 min_value 引数が指定されている場合、その値以上でなければなりません。または、 min_value 引数が指定されていない場合は、 len 引数の値より大きくなければなりません。

len

ネットワーク マスクの長さ。有効値は 0 ~ 32 です。

network

ネットワーク アドレス。

permit

条件が一致した場合にアクセスを許可します。

prefix-list-name

プレフィクス リスト名。プレフィクス リスト名にスペースを含めることはできません。

seq seq_num

(任意)作成するプレフィクス リストに指定のシーケンス番号を適用します。

 
デフォルト

シーケンス番号を指定しなかった場合は、プレフィクス リストの最初のエントリにシーケンス番号として 5 が割り当てられ、以後、各エントリのシーケンス番号は 5 ずつ大きくなります。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが( ip prefix-list として)追加されました。

3.1(1)

このコマンドが ip prefix-list から prefix-list に変更されました。

 
使用上のガイドライン

prefix-list コマンドは、ABR タイプ 3 LSA フィルタリング コマンドです。ABR タイプ 3 LSA フィルタリングを使用すると、OSPF が動作している ABR の機能が拡張され、異なる OSPF エリア間でタイプ 3 LSA をフィルタリングできるようになります。プレフィクス リストの設定後は、指定したプレフィクスだけがあるエリアから別のエリアに送信されます。その他のプレフィクスはすべて、それぞれの OSPF エリアに限定されます。このタイプのエリア フィルタリングは、OSPF エリアに着信するトラフィック、OSPF エリアから発信するトラフィック、またはそのエリアの着信トラフィックと発信トラフィックの両方に適用できます。

プレフィクス リストの複数のエントリが所定のプレフィクスと一致した場合は、最小シーケンス番号のエントリが使用されます。FWSM は、プレフィクス リストの先頭、シーケンス番号が最小のエントリから検索を開始します。いったん一致すると、FWSM はそれ以上、リストを検索しません。効率をよくするには、小さいシーケンス番号を手動で割り当てることによって、最も一般的な一致または拒否のエントリがリストの先頭近くに来るようにします。

デフォルトでは、シーケンス番号は自動的に生成されます。 no prefix-list sequence-number コマンドを使用すると、シーケンス番号の自動生成を抑制できます。シーケンス番号は 5 ずつ増分されます。したがって、プレフィクス リストの先頭のシーケンス番号は 5 になります。リストの次のエントリのシーケンス番号は 10 になります(以下、同様)。あるエントリに値を指定し、その後のエントリに値を指定しなかった場合、生成されるシーケンス番号は指定値から 5 ずつ増えていきます。たとえば、プレフィクス リストの先頭エントリに 3 というシーケンス番号を与えることを指定してから、2 つのエントリを追加し、なおかつ追加のエントリにシーケンス番号を指定しなかった場合、追加した 2 つのエントリには 8 および 13 というシーケンス番号が自動的に生成されます。

ge および le キーワードを使用すると、プレフィクスと一致すべきプレフィクス長の範囲を network / len 引数の場合より具体的に指定できます。 ge キーワードまたは le キーワードをどちらも指定しなかった場合は、完全一致が想定されます。 ge キーワードだけを指定した場合、範囲は min_value ~ 32 です。 le キーワードだけを指定した場合、範囲は len max_value です。

min_value および max_value 引数の値は、次の条件を満たしていなければなりません。

len < min_value <= max_value <= 32

プレフィクス リストから特定のエントリを削除するには、このコマンドの no 形式を使用します。プレフィクス リストを削除するには、 clear configure prefix-list コマンドを使用します。 clear configure prefix_list コマンドを使用すると、対応付けられた prefix-list description コマンド(ある場合)もコンフィギュレーションから削除されます。

次に、デフォルト ルート 0.0.0.0/0 を拒否する例を示します。

hostname(config)# prefix-list abc deny 0.0.0.0/0
 

次に、プレフィクス 10.0.0.0/8 を許可する例を示します。

hostname(config)# prefix-list abc permit 10.0.0.0/8
 

次に、プレフィクス 192/8 のルートで最大 24 ビットのマスク長を受け付ける例を示します。

hostname(config)# prefix-list abc permit 192.168.0.0/8 le 24
 

次に、プレフィクス 192/8 のルートで 25 ビットを超えるマスク長を拒否する例を示します。

hostname(config)# prefix-list abc deny 192.168.0.0/8 ge 25
 

次に、すべてのアドレス スペースで 8 ~ 24 ビットのマスク長を許可する例を示します。

hostname(config)# prefix-list abc permit 0.0.0.0/0 ge 8 le 24
 

次に、すべてのアドレス スペースで 25 ビットを超えるマスク長を拒否する例を示します。

hostname(config)# prefix-list abc deny 0.0.0.0/0 ge 25
 

次に、プレフィクスが 10/8 のすべてのルートを拒否する例を示します。

hostname(config)# prefix-list abc deny 10.0.0.0/8 le 32
 

次に、プレフィクスが 192.168.1/24 のルートで、長さが 25 ビットを超えるすべてのマスクを拒否する例を示します。

hostname(config)# prefix-list abc deny 192.168.1.0/24 ge 25
 

次に、プレフィクスが 0/0 のすべてのルートを許可する例を示します。

hostname(config)# prefix-list abc permit 0.0.0.0/0 le 32
 

 
関連コマンド

コマンド
説明

clear configure prefix-list

実行コンフィギュレーションから prefix-list コマンドを削除します。

prefix-list description

プレフィクス リストの説明を入力します。

prefix-list sequence-number

プレフィクス リストのシーケンス番号付けをイネーブルにします。

show running-config prefix-list

実行コンフィギュレーションに含まれている prefix-list コマンドを表示します。

prefix-list description

プレフィクス リストに説明を加えるには、グローバル コンフィギュレーション モードで prefix-list description コマンドを使用します。プレフィクス リストの説明を削除するには、このコマンドの no 形式を使用します。

prefix-list prefix-list-name description text

no prefix-list prefix-list-name description [ text ]

 
シンタックスの説明

prefix-list-name

プレフィクス リスト名。

text

プレフィクス リストを説明するテキスト。80 文字まで入力できます。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

prefix-list コマンドおよび prefix-list description コマンドは、特定のプレフィクス リスト名に対して任意の順序で入力できます。プレフィクス リストの説明を入力する前に、プレフィクス リストを作成する必要はありません。 prefix-list description コマンドは必ず、コンフィギュレーションの対応するプレフィクス リストの前の行に配置されます。

すでに説明のあるプレフィクス リスト エントリに prefix-list description コマンドを入力した場合は、新しい説明によって元の説明が置き換えられます。

このコマンドの no 形式を使用する場合は、説明テキストの入力は不要です。

次に、MyPrefixList というプレフィクス リストの説明を追加する例を示します。 show running-config prefix-list コマンドから、実行コンフィギュレーションにプレフィクス リストの説明が追加されているが、プレフィクス リストそのものは設定されていないことがわかります。

hostname(config)# prefix-list MyPrefixList description A sample prefix list description
hostname(config)# show running-config prefix-list
 
!
prefix-list MyPrefixList description A sample prefix list description
!

 
関連コマンド

コマンド
説明

clear configure prefix-list

実行コンフィギュレーションから prefix-list コマンドを削除します。

prefix-list

ABR タイプ 3 LSA フィルタリング用のプレフィクス リストを定義します。

show running-config prefix-list

実行コンフィギュレーションに含まれている prefix-list コマンドを表示します。

prefix-list sequence-number

プレフィクス リストのシーケンス番号付けをイネーブルにするには、グローバル コンフィギュレーション モードで prefix-list sequence-number コマンドを使用します。プレフィクス リストのシーケンス番号付けをディセーブルにするには、このコマンドの no 形式を使用します。

prefix-list sequence-number

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

プレフィクス リストのシーケンス番号付けは、デフォルトでイネーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

コンフィギュレーションに含まれるのは、コマンドの no 形式だけです。コンフィギュレーションにこのコマンドの no 形式が指定されている場合、コンフィギュレーションの prefix-list コマンドから、手動設定されたものを含めてシーケンス番号が削除されます。また、新しいプレフィクス リスト エントリには、シーケンス番号が割り当てられません。

プレフィクス リストのシーケンス番号付けがイネーブルの場合、デフォルトの番号付け方式(5 から始まり 5 ずつ増加)を使用して、プレフィクス リストのすべてのエントリにシーケンス番号が割り当てられます。番号付けをディセーブルにする前に、プレフィクス リスト エントリにシーケンス番号が手動で設定されていた場合は、手動設定の番号が復元されます。自動番号付けがディセーブルのときに手動設定されたシーケンス番号も復元されます。ただし、番号付けがディセーブルの間はそれらのシーケンス番号は表示されません。

次に、プレフィクス リストのシーケンス番号付けをディセーブルにする例を示します。

hostname(config)# no prefix-list sequence-number
 

 
関連コマンド

コマンド
説明

prefix-list

ABR タイプ 3 LSA フィルタリング用のプレフィクス リストを定義します。

show running-config prefix-list

実行コンフィギュレーションに含まれている prefix-list コマンドを表示します。

pre-shared-key

事前共有鍵に基づく IKE 接続をサポートするために、事前共有鍵を指定するには、tunnel-group ipsec-attributes コンフィギュレーション モードで pre-shared-key コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

pre-shared-key key

no pre-shared-key

 
シンタックスの説明

key

1 ~ 128 文字の英数字鍵を指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

tunnel-group ipsec-attributes コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

すべてのトンネルグループ タイプにこの属性を適用できます。

config-ipsec コンフィギュレーション モードで次のコマンドを入力し、209.165.200.225 という IPSec LANto-LAN トンネル グループの IKE 接続をサポートするための事前共有鍵 XYZX を指定します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-ipsec)# pre-shared-key xyzx
hostname(config-ipsec)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されたトンネル グループをすべて消去します。

show running-config tunnel-group

指定された証明書マップ エントリを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに対応付けます。

primary

フェールオーバー グループのプライオリティをプライマリ装置で高くするには、フェールオーバー グループ コンフィギュレーション モードで primary コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

primary

no primary

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

フェールオーバー グループに関して、 primary または secondary を指定しなかった場合、フェールオーバー グループのデフォルトは primary です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

フェールオーバー グループにプライマリまたはセカンダリのプライオリティを割り当てると、両方の装置が(装置のポーリング時間内で)同時にブートした場合に、フェールオーバー グループのアクティブになる装置が指定されます。一方の装置が他方より先にブートした場合は、その装置上で両方のフェールオーバー グループがアクティブになります。他方の装置がオンラインになると、セカンダリ装置にプライオリティが与えられているフェールオーバー グループは、 preempt コマンドでフェールオーバー グループが設定されているか、または no failover active コマンドで他方の装置に手動で強制的に移さないかぎり、セカンダリ装置上ではアクティブになりません。

次に、プライマリ装置のプライオリティを高くしてフェールオーバー グループ 1 を設定し、セカンダリ装置のプライオリティを高くしてフェールオーバー グループ 2 を設定する例を示します。どちらのフェールオーバー グループも preempt コマンドを使用して設定するため、グループは優先装置が使用可能になった時点で、その装置上で自動的にアクティブになります。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

アクティブ/アクティブ フェールオーバーを行うフェールオーバー グループを定義します。

preempt

優先装置が使用可能になった時点で、その装置上でフェールオーバー グループを強制的にアクティブにします。

secondary

セカンダリ装置にプライマリ装置より高いプライオリティを与えます。

privilege

コマンドの特権レベルを設定するには、グローバル コンフィギュレーション モードで privilege コマンドを使用します。設定をディセーブルにするには、このコマンドの no 形式を使用します。

privilege [ show | clear | configure ] level level [ mode { enable | configure }] command command

no privilege [ show | clear | configure ] level level [ mode { enable | configure }] command command

 
シンタックスの説明

clear

(任意)指定したコマンドに対応する clear コマンドの特権レベルを設定します。

command command

特権レベルを設定するコマンドを指定します。

configure

(任意)指定したコマンドの特権レベルを設定します。

level level

特権レベルを指定します。有効値は 0 ~ 15 です。

mode enable

(任意)コマンドの特権モード用のレベルであることを指定します。

mode configure

(任意)コマンドのコンフィギュレーション モード用のレベルであることを指定します。

show

(任意)指定したコマンドに対応する show コマンドの特権レベルを設定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

privilege コマンドを使用すると、FWSM コマンドにユーザ定義の特権レベルを設定できます。このコマンドは、関連する configure、show、および clear コマンドに対応する、さまざまな特権レベルを設定する場合に便利です。新しい特権レベルを使用する前に、セキュリティ ポリシーを使用して、コマンドの特権レベルが変更されているかを確認してください。

コマンドおよびユーザに特権レベルが設定されている場合は、2 つの設定が比較されて、所定のユーザが指定されたコマンドを実行できるかどうかが判別されます。ユーザの特権レベルがコマンドの特権レベルよりも低い場合、ユーザはコマンドを実行できません。

特権レベルを切り替えるには、 login コマンドを使用して別の特権レベルにアクセスし、適切な logout、exit、または quit コマンドを使用してその特権レベルを終了します。

mode enable および mode configure キーワードは、イネーブル モードおよびコンフィギュレーション モードの両方を持つコマンドに使用します。

特権レベルは値が小さいほど、レベルが低くなります。


) 定義した新しい特権レベルを AAA(認証、認可、アカウンティング)サーバのコンフィギュレーションで使用するには、事前に aaa authentication および aaa authorization コマンドにその特権レベルを追加する必要があります。


次に、各ユーザの特権レベルを 5 に設定する例を示します。

hostname(config)# username intern1 password pass1 privilege 5
 

次に、特権レベルが 5 の一連の show コマンドを定義する例を示します。

hostname(config)# privilege show level 5 command alias
hostname(config)# privilege show level 5 command apply
hostname(config)# privilege show level 5 command arp
hostname(config)# privilege show level 5 command auth-prompt
hostname(config)# privilege show level 5 command blocks
 

次に、AAA 許可設定全体に特権レベル 11 を適用する例を示します。

hostname(config)# privilege configure level 11 command aaa
hostname(config)# privilege configure level 11 command aaa-server
hostname(config)# privilege configure level 11 command access-group
hostname(config)# privilege configure level 11 command access-list
hostname(config)# privilege configure level 11 command activation-key
hostname(config)# privilege configure level 11 command age
hostname(config)# privilege configure level 11 command alias
hostname(config)# privilege configure level 11 command apply

 
関連コマンド

コマンド
説明

clear configure privilege

コンフィギュレーションから privilege コマンド ステートメントを削除します。

show curpriv

現在の特権レベルを表示します。

show running-config privilege

コマンドの特権レベルを表示します。

prompt

CLI プロンプトをカスタマイズするには、グローバル コンフィギュレーション モードで prompt コマンドを使用します。デフォルトのプロンプトに戻すには、このコマンドの no 形式を使用します。

prompt {[ hostname ] [ context ] [ domain ] [ slot ] [ state ] [ priority ]}

no prompt [ hostname ] [ context ] [ domain ] [ slot ] [ state ] [ priority ]

 
シンタックスの説明

context

(マルチ モードのみ)現在のコンテキストを表示します。

domain

ドメイン名を表示します。

hostname

ホスト名を表示します。

priority

フェールオーバー優先度を pri(プライマリ)または sec(セカンダリ)で表示します。優先度を設定するには failover lan unit コマンドを使用します。

slot

スイッチのスロットの位置を表示します。

state

装置のトラフィック通過状態を表示します。state キーワードに対して次の値が表示されます。

act:フェールオーバーがイネーブルであり、装置はトラフィックを活発に通過させています。

stby:フェールーバーがイネーブルであり、装置はトラフィックを通過させておらず、スタンバイ、障害、それ以外の非アクティブ状態のいずれかです。

actNoFailover:フェールオーバーがイネーブルでなく、装置はトラフィックを活発に通過させています。

stbyNoFailover:フェールオーバーがイネーブルでなく、装置はトラフィックを通過させていません。これは、スタンバイ装置にしきい値を超えるインターフェイス障害がある場合に発生する可能性があります。

 
デフォルト

デフォルトのプロンプトはホスト名です。マルチ コンテキスト モードでは、ホスト名の後に現在のコンテキスト名が続きます( hostname / context )。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

プロンプト中の各要素は、キーワードを入力した順番で、スラッシュ(/)で区切って表示されます。

マルチ コンテキスト モードでは、システム実行スペースにログインするか管理コンテキストの場合、拡張プロンプトが表示されます。非管理コンテキストでは、デフォルトのプロンプト(ホスト名とコンテキスト名)だけが表示されます。

プロンプトに情報を追加する機能により、複数のモジュールが存在する場合にログインしているモジュールを一目で把握することができます。この機能は、フェールオーバーの際に両方のモジュールのホスト名が同じ場合などに役立ちます。

次に、使用可能なすべての要素をプロンプトに表示する例を示します。

hostname(config)# prompt hostname context priority slot state
 

プロンプトが次の文字列のように変わります。

hostname/admin/pri/6/act(config)#
 

 
関連コマンド

コマンド
説明

clear configure prompt

設定されたプロンプトを消去します。

show running-config prompt

設定されているプロンプトを表示します。

protocol http

CRL を取得するために許可する配布ポイント プロトコルとして HTTP を指定するには、crl configure コンフィギュレーション モードで protocol http コマンドを使用します。crl configure コンフィギュレーション モードには、crypto ca トラストポイント コンフィギュレーション モードからアクセスします。許可された CRL 取得方式としての HTTP を削除するには、このコマンドの no 形式を使用します。許可されていれば、CRL 配布ポイントの内容によって、取得方式(HTTP、LDAP、SCEP、またはそれらすべて)が決まります。

protocol http

no protocol http

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

HTTP を許可するのがデフォルトの設定です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crl configure コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用する場合は、パブリック インターフェイス フィルタに必ず HTTP ルールを割り当ててください。

次に、crl configure コンフィギュレーション モードを開始し、トラストポイント central の CRL を取得するための配布ポイント プロトコルとして、HTTP を許可する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# protocol http
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

ca-crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

protocol ldap

CRL の取得方式として LDAP を指定します。

protocol scep

CRL の取得方式として SCEP を指定します。

protocol ldap

CRL を取得するための配布ポイント プロトコルとして LDAP を指定するには、crl configure コンフィギュレーション モードで protocol ldap コマンドを使用します。crl configure コンフィギュレーション モードには、crypto ca トラストポイント コンフィギュレーション モードからアクセスします。許可された CRL 取得方式としての LDAP プロトコルを削除するには、このコマンドの no 形式を使用します。許可されていれば、CRL 配布ポイントの内容によって、取得方式(HTTP、LDAP、SCEP、またはそれらすべて)が決まります。

protocol ldap

no protocol ldap

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

LDAP を許可するのがデフォルトの設定です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crl configure コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、crl configure コンフィギュレーション モードを開始し、トラストポイント central の CRL を取得するための配布ポイント プロトコルとして、LDAP を許可する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# protocol ldap
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

ca-crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

protocol http

CRL の取得方式として HTTP を指定します。

protocol scep

CRL の取得方式として SCEP を指定します。

protocol scep

CRL を取得するための配布ポイント プロトコルとして SCEP を指定するには、crl configure コンフィギュレーション モードで protocol scep コマンドを使用します。crl configure コンフィギュレーション モードには、crypto ca トラストポイント コンフィギュレーション モードからアクセスします。許可された CRL 取得方式としての SCEP プロトコルを削除するには、このコマンドの no 形式を使用します。許可されていれば、CRL 配布ポイントの内容によって、取得方式(HTTP、LDAP、SCEP、またはそれらすべて)が決まります。

protocol scep

no protocol scep

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

SCEP を許可するのがデフォルトの設定です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crl configure コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、crl configure コンフィギュレーション モードを開始し、トラストポイント central の CRL を取得するための配布ポイント プロトコルとして、SCEP を許可する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# protocol scep
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

ca-crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

protocol http

CRL の取得方式として HTTP を指定します。

protocol ldap

CRL の取得方式として LDAP を指定します。

protocol-object

プロトコル オブジェクト グループにプロトコル オブジェクトを追加するには、プロトコル コンフィギュレーション モードで protocol-object コマンドを使用します。プロトコル オブジェクトを削除するには、コマンドの no 形式を使用します。

protocol-object protocol

no protocol-object protocol

 
シンタックスの説明

protocol

プロトコルの名前または番号

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

プロトコル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

protocol-object コマンドは object-group コマンドと組み合わせて、プロトコル コンフィギュレーション モードで使用し、プロトコル オブジェクトを定義します。

protocol 引数で IP プロトコル名または番号を指定できます。UDP のプロトコル番号は 17、TCP のプロトコル番号は 6、EGP のプロトコル番号は 47 です。

次に、プロトコル オブジェクトを定義する例を示します。

hostname(config)# object-group protocol proto_grp_1
hostname(config-protocol)# protocol-object udp
hostname(config-protocol)# protocol-object tcp
hostname(config-protocol)# exit
hostname(config)# object-group protocol proto_grp
hostname(config-protocol)# protocol-object tcp
hostname(config-protocol)# group-object proto_grp_1
hostname(config-protocol)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

clear configure object-group

コンフィギュレーションから object group コマンドをすべて削除します。

group-object

ネットワーク オブジェクト グループを追加します。

network-object

ネットワーク オブジェクト グループにネットワーク オブジェクトを追加します。

object-group

設定を最適化するオブジェクト グループを定義します。

show running-config object-group

現在のオブジェクト グループを表示します。

pwd

現在の作業ディレクトリを表示するには、特権 EXEC モードで pwd コマンドを使用します。

pwd

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトはルート ディレクトリ(/)です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

このコマンドの機能は、 dir コマンドと類似しています。

次に、現在の作業ディレクトリを表示する例を示します。

hostname# pwd
flash:

 
関連コマンド

コマンド
説明

cd

現在の作業ディレクトリを指定のディレクトリに変更します。

dir

ディレクトリの内容を表示します。

more

ファイルの内容を表示します。