Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コマンド リファレンス リリース 4.0
quit ~ rule コマンド
quit ~ rule コマンド
発行日;2012/02/24 | 英語版ドキュメント(2011/04/26 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

quit ~ rule コマンド

quit

radius-common-pw

radius-with-expiry

reactivation-mode

redistribute (router eigrp)

redistribute (router ospf)

redistribute (route-inject)

regex

reload

remote-access threshold session-threshold-exceeded

rename

rename (class-map)

replication http

request-command deny

request-method

request-queue

reset

resource acl-partition

resource partition

resource rule

retry-interval

re-xauth

rip

rmdir

route

route-inject

route-map

route-monitor

router bgp

router eigrp

router ospf

router-id

rule

quit ~ rule コマンド

quit

現在のコンフィギュレーション モードを終了する、または特権 EXEC モードまたはユーザ EXEC モードからログアウトするには、ユーザ EXEC モードで、 quit コマンドを使用します。

quit

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ユーザ EXEC

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

Ctrl+Z のキー シーケンスを使用して、グローバル コンフィギュレーション(またはそれより上の)モードを終了することもできます。このキー シーケンスは、特権 EXEC モードまたはユーザ EXEC モードでは無効です。

特権 EXEC モードまたはユーザ EXEC モードで quit コマンドを入力すると、FWSM からログアウトします。特権 EXEC モードからユーザ EXEC モードに戻るには、 disable コマンドを使用します。

次に、 quit コマンドを使用してグローバル コンフィギュレーション モードを終了し、セッションからログアウトする例を示します。

hostname(config)# quit
hostname# quit
 
Logoff
 

次に、 quit コマンドを使用してグローバル コンフィギュレーション モードを終了し、さらに disable コマンドを使用して特権 EXEC モードを終了する例を示します。

hostname(config)# quit
hostname# disable
hostname>

 
関連コマンド

コマンド
説明

exit

コンフィギュレーション モードを終了する、または特権 EXEC モードまたはユーザ EXEC モードからログアウトします。

radius-common-pw

RADIUS 許可サーバによって VPN アクセスが許可されたすべてのユーザが使用する共通のパスワードを指定するには、AAA サーバ ホスト コンフィギュレーション モードで radius-common-pw コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

radius-common-pw password

no radius-common-pw

 
シンタックスの説明

password

aaa-server host コマンドで指定された RADIUS サーバとのすべての許可トランザクションで共通パスワードとして使用する、最大 127 文字の英数字キーワード。大文字と小文字が区別されます。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

aaa サーバ ホスト コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドが有効なのは、RADIUS 許可サーバに限定されます。

RADIUS 許可サーバは、接続する各ユーザにパスワードとユーザ名を要求します。ユーザ名は FWSM が自動的に提供します。パスワードはここで入力します。RADIUS サーバの管理者は、この FWSM 経由でのサーバ アクセスを許可する各ユーザにこのパスワードが対応付けられるように、RADIUS サーバを設定する必要があります。必ず、RADIUS サーバの管理者にこの情報を提供してください。

共通のユーザ パスワードを指定しなかった場合、各ユーザのパスワードはそのユーザのユーザ名になります。たとえば、ユーザ名が「user1」というユーザの場合、デフォルトの RADIUS 許可は「user1」です。共通のユーザ パスワードとしてユーザ名を使用する場合は、セキュリティ対策として、自分のネットワーク以外では許可にこの RADIUS サーバを使用しないでください。


) パスワード フィールドは RADIUS プロトコルに必要であり、RADIUS サーバが要求しますが、ユーザがこのフィールドを認識する必要はありません。


次に、ホスト「209.165.200.225」上に「svrgrp1」という RADIUS AAA サーバ グループを設定し、タイムアウト間隔を 9 秒に、再試行間隔を 7 秒に、RADIUS 共通パスワードを「allauthpw」に設定する例を示します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 209.165.200.225
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry 7
hostname(config-aaa-server-host)# radius-common-pw allauthpw
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

コンフィギュレーションからすべての AAA コマンド ステートメントを削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルについて、AAA サーバの統計情報を表示します。

radius-with-expiry

FWSM が認証時に、MS-CHAPv2 を使用し、パスワードの更新についてユーザとネゴシエーションを行うようにするには、tunnel-group ipsec-attributes コンフィギュレーション モードで radius-with-expiry コマンドを使用します。RADIUS 認証が設定されていなかった場合、FWSM はこのコマンドを無視します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

radius-with-expiry

no radius-with-expiry

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドのデフォルト設定はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

tunnel-group ipsec-attributes コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

この属性を適用できるのは、IPSec リモートアクセス トンネルグループ タイプだけです。

次に、config-ipsec コンフィギュレーション モードを開始し、remotegrp というリモートアクセス トンネル グループの満了を指定して RADIUS を設定する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp ipsec-attributes
hostname(config-ipsec)# radius-with-expiry
hostname(config-ipsec)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されたトンネル グループをすべて消去します。

show running-config tunnel-group

指定された証明書マップ エントリを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに対応付けます。

reactivation-mode

グループ内の障害サーバを再びアクティブにする方法(再アクティベーション ポリシー)を指定するには、AAA サーバ グループ コンフィギュレーション モードで reactivation-mode コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

reactivation-mode depletion [ deadtime minutes ]

reactivation-mode timed

no reactivation-mode

 
シンタックスの説明

deadtime minutes

(任意)グループの最終サーバが使用不能になってからすべてのサーバが再び使用可能になるまでの経過時間を指定します。

depletion

グループ内のすべてのサーバが非アクティブになった場合に限り、障害サーバを再びアクティブにします。

timed

30 秒間の停止時間を経て、障害サーバを再びアクティブにします。

 
デフォルト

デフォルトの再アクティベーション モードは depletion、デフォルトの deadtime 値は 10 です。deadtime 値として入力できる範囲は、0 ~ 1440 分です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

AAA サーバ グループ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

各サーバ グループには、そのサーバの再アクティベーション ポリシーを指定する属性があります。

depletion モードでは、停止されたサーバはグループ内の他のすべてのサーバが非アクティブになるまで、非アクティブのままです。グループ内のすべてのサーバが非アクティブになった場合は、それらすべてのサーバが再びアクティブになります。この手法を使用すると、障害サーバが原因で接続遅延が生じる可能性を最小限に抑えられます。 depletion モードを使用する場合は、 deadtime パラメータも指定できます。 deadtime パラメータでは、グループの最終サーバが使用不能になってから、すべてのサーバが再び使用可能になるまでの経過時間(分)を指定します。このパラメータが意味を持つのは、サーバ グループをローカル フォールバック機能と組み合わせて使用する場合だけです。

timed モードでは、30 秒間の停止時間を経て、障害サーバが再びアクティブになります。これは、ユーザがサーバ リストの先頭サーバをプライマリ サーバとして使用し、可能なかぎり常にオンラインにしておく場合に有用です。UDP サーバの場合、このポリシーは無効です。UDP はコネクションレス プロトコルであり、FWSM ではサーバの存在を判別できないため、UDP サーバが無条件にオンラインに戻されるからです。その結果、サーバ リストに到達不能なサーバが複数含まれている場合に、接続時間の増大または接続障害が発生する可能性があります。

同時アカウンティングがイネーブルになっているアカウンティング サーバ グループは、 timed モードの使用が強制されます。したがって、リスト内のすべてのサーバが同等になります。

次に、「svrgrp1」という TACACS+ AAA サーバを設定し、deadtime を 15 分に設定して、depletion の再アクティベーション モードを使用する例を示します。

hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-sersver-group)# reactivation-mode depletion deadtime 15
 

次に、「svrgrp1」という TACACS+ AAA サーバを設定し、timed の再アクティベーション モードを使用する例を示します。

hostname(config)# aaa-server svrgrp2 protocol tacacs+
hostname(config-aaa-server)# reactivation-mode timed
 

 
関連コマンド

accounting-mode

アカウンティング メッセージを 1 つのサーバだけに送信するか(シングル モード)、グループ内のすべてのサーバに送信するか(同時モード)を指定します。

aaa-server protocol

AAA サーバ グループ コンフィギュレーション モードを開始して、グループ固有の AAA サーバ パラメータおよびグループ内のすべてのホストに共通の AAA サーバ パラメータを設定します。

max-failed-attempts

サーバ グループ内の個々のサーバが停止するまでに許容される障害回数を指定します。

clear configure aaa-server

すべての AAA サーバ コンフィギュレーションを削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルについて、AAA サーバの統計情報を表示します。

redistribute (router eigrp)

あるルーティング ドメインから別のルーティング ドメインにルートを再配布するには、ルータ コンフィギュレーション モードで redistribute コマンドを使用します。再配布を削除するには、このコマンドの no 形式を使用します。

redistribute {{ ospf pid nssa-external [ 1 | 2 ]}} | static | connected } [ metric metric_value ] [ route-map map_name ]

no redistribute {{ ospf pid nssa-external [ 1 | 2 ]}} | static | connected } [ metric metric_value ] [ route-map map_name ]

 
シンタックスの説明

connected

インターフェイスに接続されたネットワークを EIGRP ルーティング プロセスに再配布することを指定します。

metric metric_value

(任意)0 ~ 16777214 の OSPF デフォルト メトリック値を指定します。

nssa-external type

Not-So-Stubby Area(NSSA)に対して外部になるルートの OSPF メトリック タイプを指定します。有効値は 1 または 2 です。

ospf pid

現在の EIGRP ルーティング プロセスに OSPF ルーティング プロセスを再配布する場合に使用します。 pid では、OSPF ルーティング プロセス内部で使用される識別パラメータを指定します。有効値は 1 ~ 65535 です。

route-map map_name

(任意)適用するルート マップの名前。

static

EIGRP プロセスにスタティック ルートを再配布する場合に使用します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

次に、現在の EIGRP プロセスにスタティック ルートを再配布する例を示します。

hostname(config-router)# redistribute static
 

 
関連コマンド

コマンド
説明

router eigrp

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションに指定されているコマンドを表示します。

redistribute (router ospf)

あるルーティング ドメインから別のルーティング ドメインにルートを再配布するには、ルータ コンフィギュレーション モードで redistribute コマンドを使用します。再配布を削除するには、このコマンドの no 形式を使用します。

redistribute {{ eigrp pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | static | ospf pid connected } [ metric metric_value ] [ metric-type metric_type ] [ route-map map_name ] [ tag tag_value ] [ subnets ]

no redistribute {{ eigrp pid [ match { internal | external [ 1 | 2 ] | nssa-external [ 1 | 2 ]}]} | static | ospf pid connected } [ metric metric_value ] [ metric-type metric_type ] [ route-map map_name ] [ tag tag_value ] [ subnets ]

 
シンタックスの説明

connected

インターフェイスに接続されたネットワークを OSPF ルーティング プロセスに再配布することを指定します。

eigrp pid

現在の OSPF ルーティング プロセスに EIGRP ルーティング プロセスを再配布する場合に使用します。 pid では、EIGRP ルーティング プロセス内部で使用される識別パラメータを指定します。有効値は 1 ~ 65535 です。

external type

指定された自律システムに対して外部になるメトリック ルートを指定します。有効値は 1 または 2 です。

internal type

指定された自律システムの内部にあるメトリック ルートを指定します。

match

(任意)ルーティング プロトコル間でルートを再配布する条件を指定します。

metric-type metric_type

(任意)OSPF ルーティング ドメインにアドバタイズされるデフォルト ルートと対応する外部リンク タイプ。1(タイプ 1 外部ルート)または 2(タイプ 2 外部ルート)の値のいずれかを設定できます。

metric metric_value

(任意)0 ~ 16777214 の EIGRP デフォルト メトリック値を指定します。

nssa-external type

Not-So-Stubby Area(NSSA)に対して外部になるルートの EIGRP メトリック タイプを指定します。有効値は 1 または 2 です。

ospf pid

現在の OSPF ルーティング プロセスに OSPF ルーティング プロセスを再配布する場合に使用します。 pid では、EIGRP ルーティング プロセス内部で使用される識別パラメータを指定します。有効値は 1 ~ 65535 です。

route-map map_name

(任意)適用するルート マップの名前。

static

OSPF プロセスにスタティック ルートを再配布する場合に使用します。

subnets

(任意)EIGRP にルートを再配布する場合、指定されたプロトコルの再配布範囲を設定します。指定しなかった場合は、クラスフル ルートだけが再配布されます。

tag tag_value

(任意)各外部ルートに結合する 32 ビット 10 進値。OSPF 自体はこの値を使用しません。この値は、Autonomous System Boundary Router(ASBR; 自律システム境界ルータ)間で情報を伝達する場合に使用します。値を指定しない場合、BGP および EGP からのルートにはリモート自律システムの番号が使用され、他のプロトコルの場合にはゼロ(0)が使用されます。有効値は 0 ~ 4294967295 です。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

次に、現在の OSPF プロセスにスタティック ルートを再配布する例を示します。

hostname(config-router)# redistribute static
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。このキーワードが使用できるのは、router-ospf コンフィギュレーション モードだけです。

show running-config router

グローバル ルータ コンフィギュレーションに指定されているコマンドを表示します。

redistribute (route-inject)

MSFC ルーティング テーブルに注入するルートのタイプまたは NAT プールを設定するには、route-inject コンフィギュレーション モードで redistribute コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

redistribute { static | connected | nat } [ route-map map-name | access-list acl-id | global-pool pool-id ] interface interface-name

no redistribute

 
シンタックスの説明

access-list

(任意)アクセス リストの照合によって注入するルートを指定します。

acl-id

接続ルートおよびスタティック ルート、または NAT プールを注入する際に照合するアクセス リストの固有識別情報。

connected

接続ルートを MSFC ルーティング テーブルに注入します。

global-pool

(任意)注入するグローバル プールを指定します。

interface

ルートを注入する必要のあるインターフェイスを指定します。

interface-name

ルートを注入する必要のあるインターフェイスの名前を指定します。

map-name

注入のために照合するルート マップの名前を指定します。

nat

NAT プールを MSFC ルーティング テーブルに注入します。

pool-id

グローバル プールの固有識別情報。

route-map

(任意)ルート マップの照合によって注入するルートを指定します。

static

スタティック ルートを MSFC ルーティング テーブルに注入します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

route-inject コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

redistribute コマンドでは、MSFC ルーティング テーブルに注入するルートのタイプまたは NAT プールを設定できます。

FWSM は、FWSM で設定された接続ルート、スタティック ルート、および NAT プールへの特定の宛先アドレスに対するネクスト ホップ IP アドレスとして、ローカル スイッチのルーティング テーブルに FWSM のインターフェイスの IP を注入します。

たとえば、FWSM で NAT プールを設定する場合、MFSC およびその他の外部ルータは、FWSM インターフェイスを指すように MSFC 上のスタティック ルートを設定しない限り、その NAT プール アドレスが FWSM 上にあることを認識しません。ただし、RHI を使用することで、FWSM インターフェイスを指すように NAT プール アドレスを注入できるため、MSFC が FWSM にそのトラフィックを自動的に転送できます。

シングル ルーテッド モードで FWSM がサポートするのは OSPF またはその他のダイナミック ルーティング プロトコルであるため、マルチモードでは、RHI を使用して(接続/スタティック)ルートを MSFC に注入することにより、OSPF またはその他のダイナミック ルーティング プロトコルでこのルートを再配布できます。このため、MSFC のルーティング プロトコルおよび RHI を使用することで、マルチモードの実行中であっても、FWSM が OSPF またはその他のダイナミック ルーティング プロトコルを使用して FWSM ルートを再配布できます。


) 標準アクセス リスト、ルート マップ、またはグローバル プール ID(NAT だけ)を使用して再配布ポリシーを設定することで、接続ルート、スタティック ルート、NAT プールを選択して注入できます。

RHI はシングルモードおよびマルチモードの両方でサポートされますが、トランスペアレント モードではサポートされません。また、RHI は HA(アクティブ/スタンバイおよびアクティブ/アクティブ)でサポートされます。


標準 ACL を使用する NAT 用 RHI の設定

この例では、完全一致したものだけが注入されます。 acl1 、23.10.143.20/30 を、VLAN 20(「外部」の VLAN)上のネクスト ホップ 20.22.211.21(「外部」のアクティブ IP)を指定して注入します。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 20.22.211.21 255.255.255.0 standby 20.22.211.22
hostname(config-if)# exit
hostname(config)# access-list acl1 standard permit 23.10.143.20 255.255.255.252
hostname(config)# global (outside) 10 23.10.143.20-23.10.143.23 netmask 255.255.255.0
hostname(config)# global (outside) 10 23.10.143.40-23.10.143.45 netmask 255.255.255.0
hostname(config)# route-inject
hostname(config-route-inject)# redistribute nat access-list acl1 interface outside

グローバル プール ID を使用する NAT 用 RHI の設定

この例では、23.11.111.1-23.11.111.7 および 23.11.111.10-23.11.111.20 を、VLAN 20 上のネクスト ホップ 20.11.111.11 を指定して注入します。グローバル インターフェイスおよびプール ID が redistribute コマンドに一致することを確認してください。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 20.11.111.11 255.255.255.0 standby 20.11.111.21
hostname(config-if)# exit
hostname(config)# global (dmz) 10 22.11.111.1-22.11.111.10 netmask 255.255.255.0
hostname(config)# global (outside) 10 23.11.111.1-23.11.111.7 netmask 255.255.255.0
hostname(config)# global (outside) 10 23.11.111.10-23.11.111.20 netmask 255.255.255.0
hostname(config)# global (outside) 20 23.11.111.30-23.11.111.40 netmask 255.255.255.0
hostname(config)# route-inject
hostname(config-route-inject)# redistribute nat global-pool 10 interface outside

ルート マップを使用するスタティック ルート用 RHI の設定

この例では、23.11.111.0/24 および 25.11.111.0/24 を、VLAN 20 上のネクスト ホップ 20.11.111.11 を指定して注入します。 route-map コマンドを使用して、宛先 IP、ネクスト ホップ IP、メトリック、またはインターフェイスを照合します。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 20.11.111.11 255.255.255.0 standby 20.11.111.12
hostname(config-if)# exit
hostname(config)# access-list acl1 standard permit 23.11.111.0 255.255.255.0
hostname(config)# access-list acl2 standard permit 25.11.111.0 255.255.255.0
hostname(config)# route-map map1 permit 10
hostname(config-route-map)# match ip address acl1 acl2
hostname(config-route-map)# exit
hostname(config)# route outside 23.11.111.0 255.255.255.0 23.11.111.9
hostname(config)# route outside 24.11.111.0 255.255.255.0 24.11.111.9
hostname(config)# route outside 25.11.111.0 255.255.255.0 25.11.111.9
hostname(config)# route-inject
hostname(config-route-inject)# redistribute static route-map map1 interface outside

) ルート マップを使用できるのは、シングル ルーテッド モードだけです。


 
関連コマンド

コマンド
説明

clear configure route-inject

ルート注入の条件を削除します。

route-inject

FWSM で設定されている接続ルート、スタティック ルート、および NAT プールを MSFC ルーティング テーブルに注入できるようになります。

show route-inject

注入されているルートおよび NAT プールを表示します。

show running-config route-inject

ルート注入の実行コンフィギュレーションを表示します。

regex

テキストを照合する正規表現を作成するには、グローバル コンフィギュレーション モードで regex コマンドを使用します。正規表現を削除するには、このコマンドの no 形式を使用します。

regex name regular_expression

no regex name [ regular_expression ]

 
シンタックスの説明

name

正規表現の名前を最長 40 文字で指定します。

regular_expression

正規表現を最長 100 文字で指定します。正規表現に使用できるメタ文字の一覧については、「使用上のガイドライン」を参照してください。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

regex コマンドは、テキストの照合が必要な各種機能で使用できます。たとえば、 検査ポリシー マップ を使用してモジュラ ポリシー フレームワークでアプリケーション検査の特殊処理を設定できます( policy map type inspect コマンドを参照)。検査ポリシーマップでは、1 つ以上の match コマンドを含む検査クラス マップを作成することで適用するトラフィックを特定したり、 match コマンドを検査ポリシー マップに直接使用したりできます。正規表現を使用してパケット内のテキストを特定できる match コマンドもあります。たとえば、HTTP パケット内の URL ストリングを照合できます。正規表現を正規表現クラス マップにグループ化できます( class-map type regex コマンドを参照)。

正規表現はテキスト文字列を、文字どおりに文字列のまま照合するか、 metacharacters を使用して 1 つのテキスト文字列の多様な変形を照合できます。正規表現を使用して、特定のアプリケーション トラフィックの内容を照合できます。たとえば、HTTP パケット内の本文を照合できます。


) FWSM は、最適化として、判読しやすくした URL に対して検索を行います。判読しやすくするために、複数のフォワード スラッシュ(/)を 1 つのスラッシュに縮めます。「http://」のように、通常スラッシュを重ねて使用する文字列については、代わりに「http:/」で検索するようにします。


表 23-1 に特殊な意味を持つメタ文字を示します。

 

表 23-1 regex のメタ文字

文字
説明
変更点

.

ドット

任意の 1 文字と一致します。たとえば、 d.g は、dog、dag、dtg、および doggonnit など、これらの文字を含む任意の単語と一致します。

( exp )

サブ表現

サブ表現は、カッコの外側と内側の文字を分離するため、サブ表現では他のメタ文字を使用できます。たとえば、 d(o|a)g は dog および dag と一致しますが、 do|ag は do および ag と一致します。また、サブ表現は、繰り返し限定作用素とともに使用して、繰り返しを目的とする文字を区別できます。たとえば、 ab(xy){3}z は abxyxyxyz と一致します。

|

二者択一

このメタ文字で分けられたいずれかの表現と一致します。たとえば、 dog|cat は dog または cat と一致します。

?

疑問符

前の表現が 0 または 1 つ出現することを示す限定作用素。たとえば、 lo?se は lse または lose と一致します。

キーを押してから疑問符を入力する必要があります。このようにしないと、ヘルプ機能が起動されます。

*

アスタリスク

前の表現が 0 または任意の数出現することを示す限定作用素。たとえば、 lo*se は、lse、lose、loose などと一致します。

+

プラス

前の表現が少なくとも 1 つ出現することを示す限定作用素。たとえば、 lo+se は lose および loose と一致しますが、lse とは一致しません。

{ x } または { x ,}

最小繰り返し限定作用素

少なくとも x 回繰り返します。たとえば、 ab(xy){2,}z は abxyxyz、abxyxyxyz などと一致します。

[ abc ]

文字クラス

角カッコに囲まれた任意の文字と一致します。たとえば、 [abc] は a、b、または c と一致します。

[^ abc ]

否定文字クラス

角カッコ内に含まれていない 1 文字と一致します。たとえば、 [^abc] は a、b、または c 以外の任意の文字と一致します。 [^A-Z] は大文字以外の任意の 1 文字と一致します。

[ a - c ]

文字範囲クラス

この範囲に含まれる任意の文字と一致します。 [a-z] は任意の小文字と一致します。文字と範囲を組み合せて使用できます。たとえば、 [abcq-z] は a、b、c、q、r、s、t、u、v、w、x、y、z と一致します。[ a-cq-z] も同様です。

ダッシュ(-)文字は、 [abc-] または [-abc] のように角カッコ内の最後または最初の文字になっている場合に限り、文字として使用されます。

""

引用符

文字列内の末尾または先頭のスペースを維持します。たとえば、 " test" とするとは、先頭のスペースを含めて一致を探します。

^

キャレット

行の先頭を指定します。

\

エスケープ文字

メタ文字とともに使用した場合、文字どおりに照合します。たとえば、 \[ は左角カッコと一致します。

char

文字

文字がメタ文字でない場合、文字どおりに照合します。

\r

復帰

復帰 0x0d と一致します。

\n

改行

改行 0x0a と一致します。

\t

タブ

タブ 0x09 と一致します。

\f

改ページ

改ページ 0x0c と一致します。

\x NN

エスケープされた 16 進数

16 進数を使用する ASCII 文字を照合します(2 桁で照合)。

\ NNN

エスケープされた 8 進数

8 進数として ASCII 文字を照合します(3 桁で照合)。たとえば、文字 040 はスペースを表します。

正規表現をテストして、その正規表現で実際に照合させる内容を確認するには、 test regex コマンドを使用します。

正規表現のパフォーマンスへの影響は、次の 2 つの要因に左右されます。

正規表現の照合のために検索する必要のあるテキストの長さ。

検索するテキストが短ければ、正規表現エンジンによる FWSM のパフォーマンスに与える影響はわずかです。

正規表現の照合のために検索する必要のある正規表現チェーン テーブルの数。


) 正規表現の最大数はコンテキストあたり 2048 個です。

debug menu regex 40 10 コマンドを使用して、各 regex データベースに存在するチェーン テーブルの数を表示できます。


次に、検査ポリシー マップで使用する 2 つの正規表現を作成する例を示します。

hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
 

 
関連コマンド

コマンド
説明

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションに関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

class-map type regex

正規表現のクラス マップを作成します。

test regex

正規表現をテストします。

reload

コンフィギュレーションをリブートおよびリロードするには、特権 EXEC モードで reload コマンドを使用します。

reload [ at hh : mm [ month day | day month ]] [ cancel ] [ in [ hh : ] mm ] [ max-hold-time [ hh : ] mm ] [ noconfirm ] [ quick ] [ reason text ] [ save-config ]

 
シンタックスの説明

at hh : mm

(任意)(24 時間制クロックを使用して)指定した時刻にソフトウェアがリロードされるように、スケジュールを設定します。月日を指定しなかった場合、現在日の指定時刻(指定時刻が現在の時刻以後の場合)または翌日の指定時刻(指定時刻が現在の時刻以前の場合)に、リロードが行われます。深夜 0 時にリロードを行うには、00:00 を指定します。リロードは 24 時間以内に行う必要があります。

cancel

(任意)予定されているリロードを取り消します。

day

(任意)1 ~ 31 で表した日付。

in [ hh : ] mm ]

(任意)mm 分後、または hh 時間 mm 分後にソフトウェアがリロードされるようにスケジュールを設定します。リロードは 24 時間以内に行う必要があります。

max-hold-time [ hh : ] mm

(任意)シャットダウンまたはリブートを実行する前に、FWSM が他のサブシステムに通知するまで待機する、最大保留時間を指定します。この時間が経過すると、クイック(強制)シャットダウン/リブートが行われます。

month

(任意)月名を指定します。月名を表す一意の文字列になるだけの文字数を入力します。たとえば、「Ju」の場合は June にも July にもなりえるため、一意ではありませんが、「Jul」の場合は、この 3 文字から始まる月が他にないので一意です。

noconfirm

(任意)FWSM がユーザの確認を得なくてもリロードできるようにします。

quick

(任意)クイック リロードを強制的に実行します。すべてのサブシステムへの通知またはすべてのサブシステムの適切なシャットダウンは行われません。

reason text

(任意)1 ~ 255 文字で、リロードの理由を指定します。理由を記述したテキストは、オープンしているすべての IPSec VPN クライアント、端末、コンソール、Telnet、SSH、および ASDM 接続/セッションに送信されます。


) isakmp など、アプリケーションによっては、IPSec VPN クライアントに理由を示したテキストを送信するための追加設定が必要になります。詳細については、ソフトウェア コンフィギュレーション マニュアルの該当するセクションを参照してください。


save-config

(任意)シャットダウンの前に、実行コンフィギュレーションをメモリに保存します。 save-config キーワードを入力しなかった場合、保存されていない設定変更はリロード後にすべて失われます。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドは、 day hh mm month quick save-config 、および text の新しい引数およびキーワードを追加するように変更されました。

 
使用上のガイドライン

このコマンドを使用すると、FWSM がリブートし、フラッシュからコンフィギュレーションがリロードされます。

デフォルトでは、 reload コマンドは対話型です。FWSM は最初に、コンフィギュレーションが変更されていて未保存かどうかを調べます。変更されていながら未保存の場合、FWSM はコンフィギュレーションの保存を要求します。マルチ コンテキスト モードの場合、FWSM は未保存のコンフィギュレーションがあるコンテキストごとにプロンプトを表示します。 save-config パラメータを指定した場合は、プロンプトを表示しないでコンフィギュレーションが保存されます。FWSM は次に、システムをリロードすることについて確認を求めます。 y で応答した場合または Enter キーを押した場合に限り、リロードが実行されます。確認後、FWSM は遅延パラメータ(キーワード in または at )が指定されているかどうかに応じて、リロード プロセスを開始するかスケジューリングします。

デフォルトでは、リロード プロセスは「グレースフル」(「ナイス」ともいう)モードで動作します。リブートの実行直前に、登録されているすべてのサブシステムに通知が出されるため、各サブシステムはリブート前に正しくシャットダウンできます。このようなシャットダウンが行われるまで待たない場合は、 max-hold-time パラメータを使用して、最大待機時間を指定します。または、 quick パラメータを使用すると、関連サブシステムに通知したり、適切なシャットダウンが完了するまで待機したりすることなく、リロード プロセスが突然、強制的に開始されます。

noconfirm パラメータを指定すると、 reload コマンドを非対話式で動作させることができます。この場合、 save-config パラメータが指定されていない限り、FWSM は未保存コンフィギュレーションの有無を調べません。FWSM は、システムのリブート前に、ユーザに確認を求めません。遅延パラメータを指定しなかった場合、リロード プロセスがただちに開始またはスケジューリングされますが、 max-hold-time または quick パラメータで動作またはリロード プロセスを制御できます。

予定されたリロードを取り消すには、 reload cancel を使用します。すでに開始されているリロードを取り消すことはできません。


フラッシュ パーティションに書き込まれなかった設定変更は、リロード後に失われます。リブート前に、write memory コマンドを入力して、現在の設定をフラッシュ パーティションに保存してください。


次に、リブートしてコンフィギュレーションをリロードする例を示します。

hostname# reload
Proceed with ? [confirm] y
 
Rebooting...
 
XXX Bios VX.X
...

 
関連コマンド

コマンド
説明

show reload

FWSM のリロード ステータスを表示します。

remote-access threshold session-threshold-exceeded

しきい値を設定するには、グローバル コンフィギュレーション モードで remote-access threshold session-threshold-exceeded コマンドを使用します。しきい値を削除するには、このコマンドの no 形式を使用します。このコマンドでは、FWSM がトラップを送信する場合に、アクティブでなければならないリモート アクセス セッション数を指定します。

remote-access threshold session-threshold-exceeded { threshold-value }

no remote-access threshold session-threshold-exceeded

 
シンタックスの説明

threshold-value

FWSM がサポートするセッション制限以下の整数を指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、しきい値を 1500 に設定する例を示します。

hostname# remote-access threshold session-threshold-exceeded 1500
 

 
関連コマンド

コマンド
説明

snmp-server enable trap remote-access

しきい値トラップをイネーブルにします。

rename

ファイルまたはディレクトリを元の名前から新しい名前に変更するには、特権 EXEC モードで rename コマンドを使用します。

rename [ /noconfirm ] [ flash: ] source-path [ flash: ] destination-path

 
シンタックスの説明

/noconfirm

(任意)確認のプロンプトを抑制します。

destination-path

変更後のファイルのパスを指定します。

flash:

(任意)内部フラッシュ メモリを指定し、続けてコロンを指定します。

source-path

元のファイルのパスを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

rename flash: flash: コマンドを使用すると、元のファイル名と変更後のファイル名を入力するように求められます。

複数のファイル システムにまたがって、ファイルまたはディレクトリの名前を変更することはできません。

例を示します。

hostname# rename flash: disk1:
Source filename []? new-config
Destination filename []? old-config
%Cannot rename between filesystems

次に、「test」から「test1」にファイル名を変更する例を示します。

hostname# rename flash: flash:
Source filename [running-config]? test
Destination filename [n]? test1

 
関連コマンド

コマンド
説明

mkdir

新しいディレクトリを作成します。

rmdir

ディレクトリを削除します。

show file

ファイル システムの情報を表示します。

rename (class-map)

クラス マップの名前を変更するには、クラス マップ コンフィギュレーション モードで rename コマンドを入力します。

rename new_name

 
シンタックスの説明

new_name

クラス マップの新しい名前を最長 40 文字で指定します。「class-default」の名前は予約されています。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

クラス マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、「test」から「test2」にクラス マップの名前を変更する例を示します。

hostname(config)# class-map test
hostname(config-cmap)# rename test2
 

 
関連コマンド

コマンド
説明

class-map

クラス マップを作成します。

replication http

フェールオーバー グループの HTTP 接続の複製をイネーブルにするには、フェールオーバー グループ コンフィギュレーション モードで replication http コマンドを使用します。HTTP 接続の複製をディセーブルにするには、このコマンドの no 形式を使用します。

replication http

no replication http

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ディセーブル

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、FWSM はステートフル フェールオーバーがイネーブルの場合、HTTP セッション情報の複製を行いません。HTTP セッションは通常、有効期間が短く、また、HTTP クライアントは通常、接続に失敗しても再試行するため、HTTP セッションの複製を行わない方がシステム パフォーマンスが向上します。データまたは接続の重大な損失が生じることもありません。 replication http コマンドを使用すると、ステートフル フェールオーバー環境で HTTP セッションのステートフル レプリケーションが可能になりますが、システム パフォーマンスが低下する可能性があります。

このコマンドを使用できるのは、アクティブ/アクティブ フェールオーバーの場合だけです。アクティブ/スタンバイ フェールオーバーの場合は、アクティブ/アクティブ フェールオーバー構成のフェールオーバー グループを除いて、 failover replication http コマンドと同じ機能が得られます。

次に、フェールオーバー グループの設定例を示します。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# replication http
hostname(config-fover-group)# exit
 

 
関連コマンド

コマンド
説明

failover group

アクティブ/アクティブ フェールオーバーを行うフェールオーバー グループを定義します。

failover replication http

HTTP 接続の複製が行われるように、ステートフル フェールオーバーを設定します。

request-command deny

FTP 要求内で特定のコマンドを禁止するには、FTP マップ コンフィギュレーション モードで request-command deny コマンドを使用します。FTP マップ コンフィギュレーション モードには、 ftp-map コマンドを使用してアクセスします。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

request-command deny { appe | cdup | dele | get | help | mkd | put | rmd | rnfr | rnto | site | stou }

no request-command deny { appe | cdup | help | retr | rnfr | rnto | site | stor | stou }

 
シンタックスの説明

appe

ファイルに付加するコマンドを禁止します。

cdup

現在の作業ディレクトリの親ディレクトリを変更するコマンドを禁止します。

dele

サーバ上のファイルを削除するコマンドを禁止します。

get

サーバからファイルを取り出すクライアント コマンドを禁止します。

help

ヘルプ情報を提供するコマンドを禁止します。

mkd

サーバ上にディレクトリを作成するコマンドを禁止します。

put

サーバにファイルを送信するクライアント コマンドを禁止します。

rmd

サーバ上のディレクトリを削除するコマンドを禁止します。

rnfr

変更前のファイル名を指定するコマンドを禁止します。

rnto

変更後のファイル名を指定するコマンドを禁止します。

site

サーバ システム固有のコマンドを禁止します。通常、リモート管理に使用します。

stou

一意のファイル名を使用してファイルを保存するコマンドを禁止します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

FTP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、厳密な FTP 検査の使用中に、FWSM を通過する FTP 要求内で許可されているコマンドを制御します。

次に、 stor stou 、または appe コマンドが含まれている FTP 要求を FWSM にドロップさせる例を示します。

hostname(config)# ftp-map inbound_ftp
hostname(config-ftp-map)# request-command deny put stou appe
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

ftp-map

FTP マップを定義し、FTP マップ コンフィギュレーション モードをイネーブルにします。

inspect ftp

特定の FTP マップがアプリケーション検査で使用されるようにします。

mask-syst-reply

クライアントからの FTP サーバ応答を非表示にします。

policy-map

特定のセキュリティ アクションにクラス マップを対応付けます。

request-method

HTTP 要求メソッドに基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで request-method コマンドを使用します。HTTP マップ コンフィギュレーション モードには、 http-map コマンドを使用してアクセスします。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

request-method {{ ext ext_methods | default } | { rfc rfc_methods | default }} action { allow | reset | drop } [ log ]

no request-method { ext ext_methods | rfc rfc_methods } action { allow | reset | drop } [ log ]

 
シンタックスの説明

action

メッセージがこのコマンド検査に合格しない場合に実行するアクションを指定します。

allow

メッセージを許可します。

default

サポートされているにもかかわらず、コンフィギュレーション リストに存在しない要求メソッドがトラフィックに含まれている場合に、FWSM が実行するデフォルト アクションを指定します。

drop

接続を終了します。

ext

拡張メソッドを指定します。

ext-methods

FWSM を通過させる拡張メソッドの 1 つを指定します。

log

(任意)Syslog を生成します。

reset

クライアントおよびサーバに TCP リセット メッセージを送信します。

rfc

RFC 2616 でサポートされているメソッドを指定します。

rfc-methods

FWSM を通過させる RFC メソッドの 1 つを指定します( 表 23-2 を参照)。

 
デフォルト

このコマンドは、デフォルトではディセーブルです。このコマンドをイネーブルしながら、サポート対象の要求メソッドを指定しなかった場合、ログを収集しないで接続を許可することがデフォルトのアクションになります。デフォルト アクションを変更するには、 default キーワードを使用し、別のデフォルト アクションを指定します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

HTTP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 

 
使用上のガイドライン

request-method コマンドをイネーブルに設定した場合、FWSM はサポート対象で、なおかつ設定された要求メソッドのそれぞれに対応する HTTP 接続に、指定されたアクションを適用します。

FWSM は、設定済みリストの要求メソッドと一致 しない すべてのトラフィックに、 default アクションを適用します。 default アクションは、ログを収集しないで接続を allow (許可)します。事前設定済みのデフォルト アクションを使用し、なおかつ 1 つ以上の要求メソッドを選択して drop および log のアクションを指定した場合、FWSM は設定された要求メソッドが含まれている接続をドロップし、各接続を記録し、その他のサポート対象要求メソッドについては、あらゆる接続を許可します。

より限定的なポリシーを設定する場合は、デフォルト アクションを drop (または reset )および log (イベントを記録する場合)に変更します。その後、 allow アクションを指定して、許可するメソッドを設定します。

request-method コマンドは、適用する設定ごとに 1 回ずつ入力します。 request-method コマンドのインスタンスを 1 つ使用して、デフォルトのアクションを変更したり、設定済みメソッド リストに要求メソッドを 1 つ追加したりします。

このコマンドの no 形式を使用して、設定済みメソッドのリストから要求メソッドを削除すると、コマンドラインで要求メソッドのキーワードより後ろに指定した文字はすべて無視されます。

表 23-2 に、設定済みメソッド リストに追加できる、RFC 2616 で定義されているメソッドを示します。

 

表 23-2 RFC 2616 のメソッド

メソッド
説明

connect

トンネル(SSL トンネリングなど)に動的に切り替え可能なプロキシと組み合せて使用します。

delete

起点サーバが Request-URI で指定されたリソースを削除することを要求します。

get

Request-URI で指定された情報またはオブジェクトを取得します。

head

サーバが応答でメッセージ本文を返さないことを除き、get と同じです。

options

Request-URI で指定されたサーバ上で使用可能な通信オプションに関する情報を求める要求を表します。

post

Request-Line の Request-URI で指定されたリソースに新しく従属するものとして、要求に含まれているオブジェクトを起点サーバが受け入れることを要求します。

put

含まれているオブジェクトを指定された Request-URI 下に格納することを要求します。

trace

要求メッセージのリモート アプリケーション レイヤ ループバックを起動します。

次に、事前設定されたデフォルトを使用して、許可ポリシーを指定する例を示します。この場合、明示的に禁止されていない、すべてのサポート対象要求メソッドが許可されます。

hostname(config)# http-map inbound_http
hostname(config-http-map)# request-method rfc options drop log
hostname(config-http-map)# request-method rfc post drop log
 

この例では、要求メソッド options および post だけがドロップされて、イベントが記録されます。

次に、制限型ポリシーを指定する例を示します。明示的に許可されていないすべての要求メソッドについて、接続がリセット( reset )され、イベントが記録( log )されるようにデフォルト アクションを変更します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# request-method rfc default action reset log
hostname(config-http-map)# request-method rfc get allow
hostname(config-http-map)# request-method rfc put allow
 

この場合、要求メソッド get および put は許可されます。それ以外のメソッドを使用するトラフィックが検出された場合、FWSM は接続をリセットして Syslog エントリを作成します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

debug appfw

拡張 HTTP 検査に関連付けられたトラフィックの詳細情報を表示します。

http-map

拡張 HTTP 検査を設定するために HTTP マップを定義します。

inspect http

特定の HTTP マップがアプリケーション検査で使用されるようにします。

policy-map

特定のセキュリティ アクションにクラス マップを対応付けます。

request-queue

応答待ちでキューに格納する GTP 要求の最大数を指定するには、GTP マップ コンフィギュレーション モードで request-queue コマンドを使用します。GTP マップ コンフィギュレーション モードには、 gtp-map コマンドを使用してアクセスします。この値をデフォルトの 200 に戻すには、このコマンドの no 形式を使用します。

request-queue max_requests

no request-queue max_requests

 
シンタックスの説明

max_requests

応答待ちでキューに格納する GTP 要求の最大数。値の範囲は 1 ~ 4294967295 です。

 
デフォルト

max_requests のデフォルトは 200 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

gtp request-queue コマンドでは、応答待ちとしてキューに格納できる GTP 要求の最大数を指定します。限度に達しているときに新しい要求が着信すると、キュー格納期間が最も長い要求が削除されます。Error Indication、Version Not Supported、および SGSN Context Acknowledge の各メッセージは要求とは見なされず、応答待ちの要求キューには格納されません。

次に、要求キューの最大サイズとして 300 バイトを指定する例を示します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# request-queue-size 300
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバル GTP 統計情報を消去します。

debug gtp

GTP 検査の詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

特定の GTP マップがアプリケーション検査で使用されるようにします。

show service-policy inspect gtp

GTP 設定を表示します。

reset

モジュラ ポリシー フレームワーク を使用する場合、一致またはクラス コンフィギュレーション モードで reset コマンドを使用して、 match コマンドまたはクラス マップに一致するトラフィックに対して、パケットのドロップ、接続の終了、および TCP リセットの送信を行います。このリセット アクションは、アプリケーション トラフィックの検査ポリシー マップ( policy-map type inspect コマンド)に使用できますが、すべてのアプリケーションでこの処理が許可されているわけではありません。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。

reset [ log ]

no reset [ log ]

 
シンタックスの説明

log

一致をログに記録します。システム ログ メッセージの番号は、アプリケーションによって異なります。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

一致およびクラス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

検査ポリシー マップは、1 つ以上の match コマンドと class コマンドからなります。検査ポリシー マップに使用できるコマンド自体は、アプリケーションによって異なります。 match または class コマンドを入力して、アプリケーション トラフィックを特定した後( class コマンドは、 match コマンドも含む既存の class-map type inspect コマンドを指す)、 reset コマンドを入力して、パケットをドロップし、 match コマンドまたは class コマンドに一致するトラフィックの接続を終了します。

接続をリセットした場合、検査ポリシー マップでそれ以降のアクションは実行されません。たとえば、最初のアクションが接続のリセットである場合、それ以降の match または class コマンドの照合は行われません。最初のアクションがパケットのロギングである場合は、接続のリセットなどの 2 番目のアクションが発生する可能性があります reset および log の両方のアクションを同じ match または class コマンドに設定できます。この場合は、パケットがログに記録されてから、指定した一致に対してパケットがリセットされます。

レイヤ 3/4 ポリシー マップで inspect コマンドを使用して、アプリケーション検査をイネーブルにする場合( policy-map コマンド)、このアクションを含む検査ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。ここで、 http_policy_map は、検査ポリシー マップの名前です。

次に、パケットが http-traffic クラス マップに一致した場合に接続をリセットして、ログを送信する例を示します。同じパケットが 2 番目の match コマンドに一致しても、このパケットはすでにドロップされているため処理は行われません。

hostname(config-cmap)# policy-map type inspect http http-map1
hostname(config-pmap)# class http-traffic
hostname(config-pmap-c)# reset log
hostname(config-pmap-c)# match req-resp content-type mismatch
hostname(config-pmap-c)# reset log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

resource acl-partition

マルチ コンテキスト モードにおけるメモリ パーティションの数を最大値の 12 から引き下げるには、グローバル コンフィギュレーション モードで resource acl-partition コマンドを使用します。パーティション数を 12 に戻すには、このコマンドの no 形式を使用します。

resource acl-partition number

no resource acl-partition number

 
シンタックスの説明

number

1 ~ 12 でパーティション数を指定します。

(注) コンテキストをパーティションに割り当てると、パーティション番号付けは 0 から始まります。このため、12 のパーティションがある場合、パーティション番号は 0 ~ 11 になります。

 
デフォルト

FWSM はデフォルトで 12 のメモリ パーティションを使用します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

該当なし

該当なし

--

--

 
コマンドの履歴

リリース
変更

2.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

マルチ コンテキスト モードでは、FWSM はルール コンフィギュレーションに割り当てるメモリを分割し、パーティションに各コンテキストを割り当てます。使用するコンテキスト数に合わせて、パーティション数を減らした方がよい場合があります。デフォルトで、1 つのコンテキストは 12 個のパーティションのうち 1 つに割り当てられます。1 つのパーティションに、ACE、AAA ルールなどを含む、最大数ルールが設けられます。ルール制限のリストについては、 resource rule コマンドを参照してください。FWSM は、起動時にロードされた順序で、パーティションにコンテキストを割り当てます。たとえば、12 個のコンテキストがあり、ルールの最大数が 14,103 の場合、コンテキストはそれぞれ独自のパーティションに割り当てられ、14,103 ルールを使用できます。コンテキストをもう 1 つ追加すると、コンテキスト番号 1 と新しいコンテキスト番号 13 の両方がパーティション 1 に割り当てられ、14,103 ルールを分け合って使用できます。他の 11 個のコンテキストは引き続き、それぞれ 14,103 ルールを使用します。コンテキストを削除しても、パーティションのメンバーシップは変わらないため、リブートしないかぎり、分配が不平等になることがあります。リブートすると、コンテキストが均等に分配されます。


) ルールは早いもの順に使用されるため、あるコンテキストが別のコンテキストより多くのルールを使用する場合があります。


allocate-acl-partition コマンドを使用すると、パーティションにコンテキストを手動で割り当てることができます。

パーティション数を変更するには、FWSM のリロードが必要です。フェールオーバーを使用している場合は、両方の装置でメモリ パーティションを一致させなければならないため、他方のフェールオーバー装置もリロードする必要があります。両方の装置が同時に停止すると、トラフィック損失が生じる可能性があります。

パーティションの数を増やすと、各パーティションのデフォルト サイズは減少します。 size コマンドを使用してパーティション サイズを手動で設定した場合、設定したサイズは、減少した新しいパーティション サイズと矛盾することがあります。現在設定されているサイズが新しいパーティションに対して適当でない場合、FWSM は resource acl-partition コマンドを拒否します。また、FWSM は、ルール割り当てもチェックします( resource rule または rule コマンドを参照)。割り当てられたルール数の合計が使用できる数を上回るように、機能間でルールを手動で割り当てた場合、FWSM は resource acl-partition コマンドを拒否します。同様に、1 つの機能に対するルールの絶対最大数を超過した場合、FWSM は resource acl-partition コマンドを拒否します。


) 後から clear configure all コマンドを入力してデフォルト設定に戻した場合、resource acl-partition コマンドはデフォルトには戻りません。このコマンドをデフォルトに戻すには、no resource acl-partition コマンドを入力する必要があります。


次に、メモリを 8 つの部分に分割する例を示します。

hostname(config)# resource acl-partition 8
 
WARNING: This command leads to re-paritioning of ACL Memory.
It will not take affect until you save the configuration and reboot.

 
関連コマンド

コマンド
説明

allocate-acl-partition

特定のメモリ パーティションにコンテキストを割り当てます。

context

セキュリティ コンテキストを設定します。

show resource acl-partition

各メモリ パーティションに割り当てられているコンテキストおよび使用されているルール数を表示します。

resource partition

機能間のサイズ変更、またはルールの再割り当てなど、メモリ パーティションをカスタマイズするには、グローバル コンフィギュレーション モードで resource partition コマンドを使用します。リソース パーティション コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

resource partition number

no resource partition number

 
シンタックスの説明

number

デフォルトでは、パーティション数を 0 ~ 11 の範囲で指定します。 resource acl-partition コマンドを使用してパーティション数を変更した場合、パーティション番号は 0 から始まります。このため、10 個のパーティションがある場合、パーティション番号は 0 ~ 9 になります。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

リソース パーティション コンフィギュレーション モードを開始した後、たとえば、 size および rule コマンドを使用してパーティションをカスタマイズできます。

次に、リソース パーティション コンフィギュレーション モードを開始して、パーティションのサイズを 5000 ルールに変更する例を示します。

hostname(config)# resource partition 0
hostname(config-partition)# size 5000
 

 
関連コマンド

コマンド
説明

allocate-acl-partition

特定のメモリ パーティションにコンテキストを割り当てます。

clear configure resource partition

現在のメモリ パーティションの設定をクリアします。

resource acl-partition

メモリ パーティションの総数を設定します。

resource rule

すべてのパーティションの機能間でグローバルにルールを再割り当てします。

rule

特定のパーティションに対して、機能間のルールを再割り当てします。

show resource acl-partition

サイズおよび割り当てられたコンテキストなど、現在のメモリ パーティションの特性を表示します。

show resource partition

メモリ パーティション サイズを表示します。

show resource rule

現在のルールの割り当てを表示します。

show running-config resource partition

現在のメモリ パーティションの設定を表示します。

size

メモリ パーティションのサイズを変更します。

resource rule

機能間でルールを再割り当てするには、グローバル コンフィギュレーション モードで resource rule コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

resource rule nat { max_policy_nat_rules | current | default | max }
acl { max_ace_rules | current | default | max }
filter { max_filter_rules | current | default | max }
fixup { max_inspect_rules | current | default | max }
est { max_established_rules | current | default | max }
aaa { max_aaa_rules | current | default | max }
console { max_console_rules | current | default | max }

no resource rule

 
シンタックスの説明

aaa max_aaa_rules

AAA ルールの最大数を 0 ~ 10000 の範囲で設定します。

acl max_ace_rules

ACE の最大数を 0 ~ 74188 の範囲で設定します。

console max_console_rules

ICMP、Telnet、SSH、および HTTP ルールの最大数を 0 ~ 4000 の範囲で設定します。

current

現在設定されている値を維持します。

default

最大ルール数をデフォルトに設定します。デフォルトを表示するには、 show resource rule コマンドを使用します。

est max_established_rules

established コマンドの最大数を 0 ~ 716 の範囲で設定します。 established コマンドは、制御とデータの 2 つのタイプのルールを作成します。両方のルールを established コマンド数を設定して割り当てます。つまり、ルールごとに別々に設定しません。ただし、これらの両方のタイプが show resource rule および show np 3 acl count の表示に含まれるため、設定されているルールの総数と、 show コマンドの表示を比較する場合には、 est 値を倍にしてください。

filter max_filter_rules

フィルタ ルールの最大数を 0 ~ 6000 の範囲で設定します。

fixup max_inspect_rules

検査ルールの最大数を 0 ~ 10000 の範囲で設定します。

max

ルールを機能で許容される最大数に設定します。この値に対応するように他の機能は小さく設定してください。

nat max_policy_nat_rules

ポリシー NAT ACE の最大数を 0 ~ 10000 の範囲で設定します。

 
デフォルト

デフォルト値を表示するには、 show resource rule コマンドを使用します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM で使用できるルール数は固定されています。このため、使用状況に応じて機能間でルールを再割り当てする必要があります。ルールを使用する機能には、アクセス リスト、検査、AAA などがあります。

1 つの機能の値を増やす場合、ルールの合計数がシステム限界を超えないように、1 つ以上の機能の値を増やした分と同じ数まで減らす必要があります。機能ごとに割り当てることができる、使用可能なルールの合計数、デフォルト値、現在のルール割り当て、およびルールの絶対最大数を表示するには、 show resource rule コマンドを使用します。

このコマンドではすべての引数を入力する必要があります。

このコマンドはただちに有効になります。

パーティションのサイズを増やしていても( size コマンドを使用するか、あるいは、 resource acl-partition コマンドを使用してパーティション数を減らした場合)、リロードしていない場合、ルールの最大数は元の小さいサイズのままです。上限が増えていることを確認するにはリロードする必要があります。パーティションのサイズを減らしていても、リロードしていない場合は、新しい小さくしたルール数がすぐに反映されます。

再割り当てを計画できるように現在使用されているルール数を表示するには、次のコマンドのいずれかを入力します。

シングル モードまたはコンテキスト内で、次のコマンドを入力します。

hostname(config)# show np 3 acl count
 

マルチ コンテキスト モードのシステム実行スペースで、次のコマンドを入力します。

hostname(config)# show np 3 acl count partition_number
 

たとえば、次の表示では、最大数である 9216 に近い検査数(フィックスアップ ルール)を示しています。一部のアクセス リスト ルール(ACL ルール)を検査に再割り当てすることを選ぶこともできます。

hostname(config)# show np 3 acl count
 
-------------- CLS Rule Current Counts --------------
CLS Filter Rule Count : 0
CLS Fixup Rule Count : 9001
CLS Est Ctl Rule Count : 4
CLS AAA Rule Count : 15
CLS Est Data Rule Count : 4
CLS Console Rule Count : 16
CLS Policy NAT Rule Count : 0
CLS ACL Rule Count : 30500
CLS ACL Uncommitted Add : 0
CLS ACL Uncommitted Del : 0
...
 

マルチ コンテキスト モードでのルール

マルチ コンテキスト モードでデフォルトの 12 個のメモリ パーティションがある場合、各コンテキストは最大数のルールをサポートします。ただし、使用しているコンテキスト数や設定しているパーティション数によって、コンテキストでサポートされる実際のルール数に増減があります。コンテキスト間のメモリ分配については、 resource acl-partition コマンドを参照してください。

パーティションの数を減らした場合、ルールの最大数が再計算され、12 個のパーティションで使用できる合計システム数と一致しない場合があります。パーティションのルールの最大数を表示するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# show resource rule
 

たとえば、次の表示では、12 個のパーティションがあり、パーティションあたりの最大ルールが 19219 として示されています(これは例示用です。ご使用のシステムの実際のルール数とは異なる場合があります)。

hostname(config)# show resource rule
 
Default Configured Absolute
CLS Rule Limit Limit Max
-----------+---------+----------+---------
Policy NAT 384 384 833
ACL 14801 14801 14801
Filter 576 576 1152
Fixup 1537 1537 3074
Est Ctl 96 96 96
Est Data 96 96 96
AAA 1345 1345 2690
Console 384 384 768
-----------+---------+----------+---------
Total 19219 19219
 
Partition Limit - Configured Limit = Available to allocate
19219 - 19219 = 0
 

ルール再割り当てのグローバル設定を上書きするには、 rule コマンドを使用して特定のパーティションのルール再割り当てを設定します。

次に、シングルモードのデフォルト 74,188 ACE から 1000 ルールを検査(デフォルト 4147)に再割り当てする例を示します。

hostname(config)# resource rule nat default acl 73188 filter default fixup 5157 est default aaa default console default
 

マルチ コンテキスト モードで 12 個のパーティションがある場合に、100 ACE(デフォルト 10,633)を検査(デフォルト 1417)に、また確立されたルール(デフォルト 70)は 1 つを除きすべてをフィルタ(デフォルト 425)に再割り当てするには、次のコマンドを入力します。

hostname(config)# resource rule nat default acl 10533 filter 494 fixup 1517 est 1 aaa default console default
 

 
関連コマンド

コマンド
説明

allocate-acl-partition

特定のメモリ パーティションにコンテキストを割り当てます。

context

セキュリティ コンテキストを設定します。

resource acl-partition

ルールのメモリ パーティション数を設定します。

rule

特定のパーティションのリソース ルール割り当てを設定します。

show np 3 acl count

使用中のルール数を表示します。

show resource acl-partition

各メモリ パーティションに割り当てられているコンテキストおよび使用されているルール数を表示します。

show resource rule

機能ごとに割り当てることができる、使用可能なルールの合計数、デフォルト値、現在のルール割り当て、およびルールの絶対最大数を表示します。

retry-interval

aaa-server host コマンドで事前に指定された特定の AAA サーバに対する再試行の時間間隔を設定するには、AAA サーバ ホスト モードで retry-interval コマンドを使用します。再試行間隔をデフォルト値にリセットするには、このコマンドの no 形式を使用します。

retry-interval seconds

no retry-interval

 
シンタックスの説明

seconds

要求の再試行間隔(1 ~ 10 秒)を指定します。これは、FWSM が接続要求を再試行するまでに待機する時間です。

 
デフォルト

デフォルトの再試行間隔は 10 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

aaa サーバ ホスト コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

retry-interval コマンドは、次の接続試行までに FWSM が待機する秒数を指定またはリセットする場合に使用します。FWSM が AAA サーバとの接続を試行する期間を指定するには、 timeout コマンドを使用します。

次に、コンテキストの retry-interval コマンドを表示する例を示します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 209.165.200.225
hostname(config-aaa-server-host)# timeout 7
hostname(config-aaa-server-host)# retry-interval 9
 

 
関連コマンド

コマンド
説明

aaa-server host

aaa サーバ ホスト コンフィギュレーション モードを開始して、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

コンフィギュレーションから AAA コマンド ステートメントをすべて削除します。

show running-config aaa-server

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルについて、AAA サーバの統計情報を表示します。

timeout

FWSM が AAA サーバとの接続を試行する時間の長さを指定します。

re-xauth

Internet Key Exchange(IKE)鍵再生成時にユーザの再認証を要求するには、グループ ポリシー コンフィギュレーション モードで re-xauth enable コマンドを実行します。IKE 鍵再生成時のユーザ再認証をディセーブルにするには、 re-xauth disable コマンドを使用します。実行コンフィギュレーションから re-xauth 属性を削除するには、このコマンドの no 形式を使用します。その結果、別のグループ ポリシーから IKE 鍵再生成時の再認証に関する値を継承できるようになります。

re-xauth { enable | disable}

no re-xauth

 
シンタックスの説明

disable

IKE 鍵再生成時の再認証をディセーブルにします。

enable

IKE 鍵再生成時の再認証をイネーブルにします。

 
デフォルト

IKE 鍵再生成時の再認証はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

IKE 鍵再生成時の再認証をイネーブルにすると、FWSM は最初のフェーズ 1 IKE ネゴシエーション時に、ユーザ名とパスワードの入力をユーザに要求します。さらに、IKE 鍵再生成のつど、ユーザ認証を要求します。再認証によってセキュリティが強化されます。

設定した鍵再生成間隔が短すぎると、許可要求が繰り返されるため、ユーザにとって煩わしい場合があります。その場合は、再認証をディセーブルにします。設定されている鍵再生成間隔を調べるには、モニタリング モードで show crypto ipsec sa コマンドを実行します。秒数で示したセキュリティ アソシエーションの有効期間およびデータ容量(KB)で示した有効期間が表示されます。


) 接続の反対側にユーザがいなかった場合、再認証は失敗します。


次に、FirstGroup というグループ ポリシーに対して鍵再生成時の再認証をイネーブルにする例を示します。

hostname(config) #group-policy FirstGroup attributes
hostname(config-group-policy)# re-xauth enable

rip

RIP の設定をイネーブルにしたり値を変更したりするには、グローバル コンフィギュレーション モードで rip コマンドを使用します。FWSM RIP ルーティング テーブルのアップデートをディセーブルにするには、このコマンドの no 形式を使用します。

rip if_name { default | passive } [ version { 1 | 2 [ authentication { text | md5 } key key_id ]}]

no rip if_name { default | passive } [ version { 1 | 2 [ authentication { text | md5 } key key_id ]}]

 
シンタックスの説明

authentication

(任意)RIP バージョン 2 の認証をイネーブルにします。

default

インターフェイスのデフォルト ルートをブロードキャストします。

if_name

RIP をイネーブルにするインターフェイス。

key

RIP アップデートを認証する鍵。

key_id

鍵の ID 値。有効値は 1 ~ 255 です。

md5

RIP メッセージの認証に MD5 を使用します。

passive

インターフェイス上でパッシブ RIP をイネーブルにします。インターフェイスは RIP ルーティング ブロードキャストを待ち受け、その情報を使用してルーティング テーブルに入力しますが、ルーティング アップデートはブロードキャストしません。

text

RIP メッセージの認証にクリア テキストを使用します(非推奨)。

version

(任意)RIP バージョンを指定します。有効値は 1 および 2 です。

 
デフォルト

RIP はディセーブルです。

バージョンを指定しなかった場合、デフォルトで RIP バージョン 1 がイネーブルになります。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

rip コマンドを使用すると、インターフェイス上で RIP ルーティング アップデートを送受信できるようになります。RIP アップデートの送信と受信は別々に設定します。送信だけ、受信だけ、送信と受信の両方を各インターフェイス上でイネーブルにできます。RIP アップデートの受信をイネーブルにするには、 rip コマンドで passive キーワードを使用します。デフォルト ルートのブロードキャストをイネーブルにするには、 rip コマンドで default キーワードを使用します。インターフェイス上で RIP アップデートの送信と受信の両方をイネーブルにするには、そのインターフェイスに rip コマンドが 2 つ必要です。一方では default キーワードを指定して、RIP ルーティング アップデートの送信をイネーブルにします。もう一方では、 passive キーワードを指定して、RIP アップデートを受信し、これらのアップデート情報を使用してルーティング テーブルに入力できるようにします。


) FWSM はインターフェイス間で RIP アップデートを受け渡しできません。


RIP バージョン 2 を指定した場合は、ネイバ認証をイネーブルにして、MD5 ベースの暗号化を使用して RIP アップデートを認証できます。ネイバ認証をイネーブルにする場合は、 key および key_id 引数が RIP バージョン 2 アップデートを提供するネイバ装置で使用されているものと一致していることを確認する必要があります。key は最大 16 文字のテキスト文字列です。

RIP バージョン 2 を設定すると、所定のインターフェイス上でマルチキャスト アドレス 224.0.0.9 が登録され、マルチキャスト RIP バージョン 2 アップデートを受信できるようになります。パッシブ モードで RIP バージョン 2 を設定した場合、FWSM は宛先 IP が 224.0.0.9 の RIP バージョン 2 マルチキャスト アップデートを受け付けます。デフォルト モードで RIP バージョン 2 を設定した場合、FWSM は IP マルチキャスト宛先 224.0.0.9 を使用してデフォルト ルート アップデートを送信します。インターフェイスに対応する RIP バージョン 2 コマンドを削除すると、インターフェイス カードからマルチキャスト アドレスの登録が解除されます。


) マルチキャストをサポートするのは、Intel 10/100 およびギガビット インターフェイスだけです。


トランスペアレント モードの場合、RIP はサポートされません。FWSM はデフォルトで、すべての RIP ブロードキャストおよびマルチキャスト パケットを拒否します。トランスペアレント モードで動作している FWSM を RIP メッセージが通過できるようにするには、このトラフィックを許可するアクセス リスト エントリを定義する必要があります。たとえば、RIP バージョン 2 トラフィックがセキュリティ アプライアンスを通過できるようにするには、 access-list myriplist extended permit ip any host 224.0.0.9 のようなアクセス リスト エントリを作成します。RIP バージョン 1 のブロードキャストを許可するには、 access-list myriplist extended permit udp any any eq rip のようなアクセス リスト エントリを作成します。アクセス リスト エントリを該当するインターフェイスに適用するには、 access-group コマンドを使用します。

次に、バージョン 1 およびバージョン 2 のコマンドを組み合わせて、 rip コマンドを入力した後に show running-config rip コマンドで情報を表示する例を示します。 rip コマンドを使用すると、次の操作を行うことができます。

外部インターフェイス上で MD5 認証を使用してバージョン 2 パッシブおよびデフォルト RIP をイネーブルにし、FWSM および他の RIP ピア(ルータなど)で使用する鍵を暗号化します。

FWSM の内部インターフェイス上でバージョン 1 パッシブ RIP の待ち受けをイネーブルにします。

FWSM の Demilitarized Zone(DMZ; 非武装地帯)インターフェイス上でバージョン 2 パッシブ RIP の待ち受けをイネーブルにします。

hostname(config)# rip outside passive version 2 authentication md5 thisisakey 2
hostname(config)# rip outside default version 2 authentication md5 thisisakey 2
hostname(config)# rip inside passive
hostname(config)# rip dmz passive version 2
 
hostname# show running-config rip
rip outside passive version 2 authentication md5 thisisakey 2
rip outside default version 2 authentication md5 thisisakey 2
rip inside passive version 1
rip dmz passive version 2
 

次に、バージョン 2 の機能を使用して、暗号鍵をテキスト形式で渡す例を示します。

hostname(config)# rip out default version 2 authentication text thisisakey 3
hostname# show running-config rip
rip outside default version 2 authentication text thisisakey 3

 
関連コマンド

コマンド
説明

clear configure rip

実行コンフィギュレーションから RIP コマンドをすべて消去します。

debug rip

RIP のデバッグ情報を表示します。

show running-config rip

実行コンフィギュレーションの RIP コマンドを表示します。

rmdir

既存のディレクトリを削除するには、特権 EXEC モードで rmdir コマンドを使用します。

rmdir [/noconfirm] [flash:] path

 
シンタックスの説明

flash:

(任意)着脱不能な内蔵フラッシュを指定し、続けてコロンを指定します。

noconfirm

(任意)確認のプロンプトを抑制します。

path

(任意)削除するディレクトリの絶対パスまたは相対パス。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

ディレクトリが空でなかった場合、 rmdir コマンドは失敗します。

次に、「test」という既存のディレクトリを削除する例を示します。

hostname# rmdir test

 
関連コマンド

コマンド
説明

dir

ディレクトリの内容を表示します。

mkdir

新しいディレクトリを作成します。

pwd

現在の作業ディレクトリを表示します。

show file

ファイル システムの情報を表示します。

route

指定されたインターフェイスのスタティック ルートまたはデフォルト ルートを入力するには、グローバル コンフィギュレーション モードで route コマンドを使用します。指定されたインターフェイスからルートを削除するには、このコマンドの no 形式を使用します。

route interface_name ip_address netmask gateway_ip [ metric ]

no route interface_name ip_address netmask gateway_ip [ metric ]

 
シンタックスの説明

gateway_ip

ゲートウェイ ルータの IP アドレス(このルートのネクスト ホップ アドレス)を指定します。

引数は省略可能です。

interface_name

内部または外部ネットワークのインターフェイス名。

ip_address

内部または外部ネットワークの IP アドレス。

metric

(任意)このルートの管理ディスタンス。有効値は 1 ~ 255 です。デフォルト値は 1 です。

netmask

ip_address に適用するネットワーク マスクを指定します。

 
デフォルト

metric のデフォルトは 1 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイスのデフォルト ルートまたはスタティック ルートを入力するには、 route コマンドを使用します。デフォルト ルートを入力するには、 ip_address および netmask 0.0.0.0 に設定するか、または短縮形 0 を使用します。 route コマンドを使用して入力されたすべてのルートは、保存時にコンフィギュレーションに格納されます。

任意のインターフェイスでルータの外部に接続されたネットワークにアクセスするには、スタティック ルートを作成します。たとえば、FWSM は 192.168.42.0 ネットワーク宛のすべてのパケットを、このスタティック route コマンド を使用して 192.168.1.5 ルータ経由で送信します。

hostname(config)# route dmz 192.168.42.0 255.255.255.0 192.168.1.5 1
 

各インターフェイスの IP アドレスを入力すると、FWSM によってルート テーブルに CONNECT ルートが作成されます。このエントリは、 clear route コマンドまたは clear configure route コマンドを使用しても削除されません。

route コマンドで FWSM のいずれかのインターフェイスの IP アドレスをゲートウェイ IP アドレスとして使用した場合、FWSM はゲートウェイ IP アドレスに対して ARP を実行する代わりに、パケットの宛先 IP アドレスに対して ARP を実行します。

次に、外部インターフェイスに対してデフォルト route コマンドを 1 つ指定する例を示します。

hostname(config)# route outside 0 0 209.165.201.1 1
 

次に、以下のスタティック route コマンドを追加して、ネットワークへのアクセスを許可する例を示します。

hostname(config)# route dmz1 10.1.2.0 255.0.0.0 10.1.1.4 1
hostname(config)# route dmz1 10.1.3.0 255.0.0.0 10.1.1.4 1

 

 
関連コマンド

コマンド
説明

clear configure route

スタティックに設定された route コマンドを削除します。

clear route

RIP などのダイナミック ルーティング プロトコルを通じて学習したルートを削除します。

show route

ルート情報を表示します。

show running-config route

設定されているルートを表示します。

route-inject

FWSM で設定されている接続ルート、スタティック ルート、および NAT プールを MSFC ルーティング テーブルに注入するには、グローバル コンフィギュレーション モードで route-inject コマンドを使用します。接続を削除するには、このコマンドの no 形式を使用するか、 clear configure route-inject コマンドを使用します。

route-inject

no route-inject

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

route-inject コマンドを使用すると、FWSM で設定されている接続ルート、スタティック ルート、および NAT プールを MSFC ルーティング テーブルに注入できるようになります。

FWSM は、FWSM で設定された接続ルート、スタティック ルート、および NAT プールへの特定の宛先アドレスに対するネクスト ホップ IP アドレスとして、ローカル スイッチのルーティング テーブルに FWSM のインターフェイスの IP アドレスを注入します。

たとえば、FWSM で NAT プールを設定する場合、MFSC およびその他の外部ルータは、FWSM インターフェイスを指すように MSFC 上のスタティック ルートを設定しない限り、その NAT プール アドレスが FWSM 上にあることを認識しません。ただし、RHI を使用することで、FWSM インターフェイスを指すように NAT プール アドレスを注入できるため、MSFC が FWSM にそのトラフィックを自動的に転送できます。

シングル ルーテッド モードで FWSM がサポートするのは OSPF またはその他のダイナミック ルーティング プロトコルであるため、マルチモードでは、RHI を使用して(接続/スタティック)ルートを MSFC に注入することにより、OSPF またはその他のダイナミック ルーティング プロトコルでこのルートを再配布できます。このため、MSFC のルーティング プロトコルおよび RHI を使用することで、マルチモードの実行中であっても、FWSM が OSPF またはその他のダイナミック ルーティング プロトコルを使用して FWSM ルートを再配布できます。


) 標準アクセス リスト、ルート マップ、またはグローバル プール ID(NAT だけ)を使用して再配布ポリシーを設定することで、接続ルート、スタティック ルート、NAT プールを選択して注入できます。

RHI はシングルモードおよびマルチモードの両方でサポートされますが、トランスペアレント モードではサポートされません。また、RHI は HA(アクティブ/スタンバイおよびアクティブ/アクティブ)でサポートされます。


標準 ACL を使用する NAT 用 RHI の設定

この例では、完全一致したものだけが注入されます。 acl1 、23.10.143.20/30 を、VLAN 20(「外部」の VLAN)上のネクスト ホップ 20.22.211.21(「外部」のアクティブ IP)を指定して注入します。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 20.22.211.21 255.255.255.0 standby 20.22.211.22
hostname(config-if)# exit
hostname(config)# access-list acl1 standard permit 23.10.143.20 255.255.255.252
hostname(config)# global (outside) 10 23.10.143.20-23.10.143.23 netmask 255.255.255.0
hostname(config)# global (outside) 10 23.10.143.40-23.10.143.45 netmask 255.255.255.0
hostname(config)# route-inject
hostname(config-route-inject)# redistribute nat access-list acl1 interface outside
 

グローバル プール ID を使用する NAT 用 RHI の設定

この例では、23.11.111.1-23.11.111.7 および 23.11.111.10-23.11.111.20 を、VLAN 20 上のネクスト ホップ 20.11.111.11 を指定して注入します。グローバル インターフェイスおよびプール ID が redistribute コマンドに一致することを確認してください。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 20.11.111.11 255.255.255.0 standby 20.11.111.21
hostname(config-if)# exit
hostname(config)# global (dmz) 10 22.11.111.1-22.11.111.10 netmask 255.255.255.0
hostname(config)# global (outside) 10 23.11.111.1-23.11.111.7 netmask 255.255.255.0
hostname(config)# global (outside) 10 23.11.111.10-23.11.111.20 netmask 255.255.255.0
hostname(config)# global (outside) 20 23.11.111.30-23.11.111.40 netmask 255.255.255.0
hostname(config)# route-inject
hostname(config-route-inject)# redistribute nat global-pool 10 interface outside
 

ルート マップを使用するスタティック ルート用 RHI の設定

この例では、23.11.111.0/24 および 25.11.111.0/24 を、VLAN 20 上のネクスト ホップ 20.11.111.11 を指定して注入します。 route-map コマンドを使用して、宛先 IP、ネクスト ホップ IP、メトリック、またはインターフェイスを照合します。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 20.11.111.11 255.255.255.0 standby 20.11.111.12
hostname(config-if)# exit
hostname(config)# access-list acl1 standard permit 23.11.111.0 255.255.255.0
hostname(config)# access-list acl2 standard permit 25.11.111.0 255.255.255.0
hostname(config)# route-map map1 permit 10
hostname(config-route-map)# match ip address acl1 acl2
hostname(config-route-map)# exit
hostname(config)# route outside 23.11.111.0 255.255.255.0 23.11.111.9
hostname(config)# route outside 24.11.111.0 255.255.255.0 24.11.111.9
hostname(config)# route outside 25.11.111.0 255.255.255.0 25.11.111.9
hostname(config)# route-inject
hostname(config-route-inject)# redistribute static route-map map1 interface outside

) ルート マップを使用できるのは、シングル ルーテッド モードだけです。


 
関連コマンド

コマンド
説明

clear configure route-inject

MSFC ルーティング テーブルに注入されたルート/NAT プールを削除します。さらに、再配布およびルート注入の設定を、マルチモードの場合はユーザ コンテキストについて、シングル ルーテッド モードの場合はシステム コンテキストについて削除します。

debug route-inject

FWSM で設定されているルート注入のデバッグ機能をイネーブルにします。

redistribute

注入するルートのタイプまたは NAT プールを設定します。

show route-inject

注入されているルートおよび NAT プールを表示します。

show running-config route-inject

ルート注入の実行コンフィギュレーションを表示します。

route-map

ルーティング プロトコル間でのルートの再配布条件を定義するには、グローバル コンフィギュレーション モードで route-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。

route-map map_tag [ permit | deny ] [ seq_num ]

no route-map map_tag [ permit | deny ] [ seq_num ]

 
シンタックスの説明

deny

(任意)ルート マップの一致条件が満たされている場合に、ルートを再配布しないように指定します。

map_tag

ルート マップ タグのテキスト。タグの最大長は 57 文字です。

permit

(任意)このルート マップの一致条件が満たされている場合に、set アクションの制御に従ってルートを再配布するように指定します。

seq_num

(任意)ルート マップのシーケンス番号。有効な値は 0 ~ 65535 です。同じ名前ですでに設定されているルート マップ リストにおいて、新しいルート マップに与える位置を指定します。

 
デフォルト

デフォルトの設定は次のとおりです。

permit.

seq_num を指定しなかった場合、最初のルート マップには seq_num の値として 10 が割り当てられます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

route-map コマンドを使用すると、ルートを再配布できます。

route-map グローバル コンフィギュレーション コマンドと、 match および set コンフィギュレーション コマンドを使用すると、ルーティング プロトコル間でのルートの再配布条件を定義できます。各 route-map コマンドには、 match コマンドおよび set コマンドが関連付けられています。 match コマンドでは一致条件(現在の route-map コマンドで再配布が許可される条件)を指定します。 set コマンドでは set アクション( match コマンドで指定した条件が満たされている場合に実行される再配布アクション)を指定します。 no route-map コマンドは、ルート マップを削除します。

match route-map コンフィギュレーション コマンドには複数の形式があります。 match コマンドは任意の順番で入力できます。また、 set コマンドで指定された set アクションに従ってルートを再配布するには、すべての match コマンドと一致する必要があります。 match コマンドの no 形式を使用すると、指定された一致条件が削除されます。

ルーティング プロセス間でのルートの再配布方法を細かく制御する場合は、ルート マップを使用します。宛先ルーティング プロトコルを指定するには、 router ospf グローバル コンフィギュレーション コマンドを使用します。送信元ルーティング プロトコルを指定するには、 redistribute ルータ コンフィギュレーション コマンドを使用します。

ルート マップを使用してルートを渡す場合、ルート マップは複数の部分で構成できます。 route-map コマンドに関連する 1 つ以上の match 節と一致しないルートは、無視されます。無視されたルートは発信ルート マップにアドバタイズされず、着信ルート マップで受け付けられません。一部のデータだけを修正する場合は、別のルート マップ セクションを設定し、明示的な一致を指定する必要があります。

seq_number 引数は次のとおりです。

1. 指定したタグを持つエントリを定義しなかった場合、 seq_number 引数が 10 に設定されて、エントリが 1 つ作成されます。

2. 指定したタグを持つエントリを 1 つだけ定義した場合、このエントリは後続の route-map コマンドのデフォルト エントリになります。このエントリの seq_number 引数は変更されません。

3. 指定したタグを持つエントリを複数定義した場合、 seq_number 引数が必要であることを示すエラー メッセージが表示されます。

seq-num 引数を指定しないで) no route-map map-tag コマンドを指定すると、ルート マップ全体(同じ map-tag テキストを持つすべての route-map エントリ)が削除されます。

permit キーワードが指定されていて、一致条件に適合しない場合、同じ map_tag を持つ次のルート マップがテストされます。ルートが、同じ名前を共有するルート マップのセットに対する一致条件に適合しない場合、ルートはこのセットによって再配布されません。

次に、OSPF ルーティングで使用するルート マップを設定する例を示します。

hostname(config)# route-map maptag1 permit 8
hostname(config-route-map)# set metric 5
hostname(config-route-map)# match metric 5
hostname(config-route-map)# show running-config route-map
route-map maptag1 permit 8
set metric 5
match metric 5
hostname(config-route-map)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

clear configure route-map

ルーティング プロトコル間でルートを再配布する条件を削除します。

match interface

指定されたインターフェイスの 1 つを起点とするネクスト ホップのあるすべてのルートを配布します。

router ospf

OSPF ルーティング プロセスを開始して設定します。

set metric

ルート マップに対応する宛先ルーティング プロトコルのメトリック値を指定します。

show running-config route-map

ルート マップの設定情報を表示します。

route-monitor

ルートをモニタし、ルータが停止した場合に代替パスへ切り替えるには、インターフェイス コンフィギュレーション モードで route-monitor コマンドを使用します。ルート モニタ機能を削除するには、このコマンドの no 形式を使用します。

route-monitor network_address network_mask [ query interval interval ] [ max-failures failures ]

no route-monitor network_address network_mask [ query interval interval ] [ max-failures failures ]

 
シンタックスの説明

max-failures failures

(任意)ルートが停止していると見なされるまでの、応答のなかった ICMP クエリーの数を指定します。有効値は 3 ~ 200、デフォルト値は 5 です。

network address

モニタするネットワーク アドレスを指定します。

network mask

モニタするアドレスのネットワーク マスクを指定します。

query interval interval

(任意)間隔値をミリ秒単位で指定します。有効値は 100 3000 、デフォルト値は 300 です。

 
デフォルト

failures の最大数のデフォルト値は 5、クエリー間隔のデフォルト値は 300 ミリ秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン


) 現在モニタできるのは、route-monitor コマンドで指定された 1 つのネットワークのルートだけです。


複数のスタティック ルートまたはデフォルト ルートを設定した場合、FWSM では、複数のルートを設定してアクティブ ルートに問題があるかどうかモニタできます。問題があれば、ルータが停止した場合のネットワーク上の代替ルートに切り替えます。

このようにするには、FWSM ルート モニタ プロセスは、最適な 2 つのスタティック ルート(宛先ネットワークおよびバックアップ ルート)を決めるために、設定されている間隔での ICMP クエリーの送信を開始します。ICMP クエリーの送信間隔は、 interval キーワードで設定します。有効値は 100 ~ 3000、デフォルト値は 300 ミリ秒です。選択された 2 つのルータにはクエリーが常に送信され、最新の使用可能ステータスがローカルに保持されます。

選択された 2 つのルートは、最も小さいメトリック ディスタンスを持ちます。最も小さい値がトラフィック送信の最適パスとして選択されるためです。FWSM では route-monitor コマンドで、設定されているスタティック ルートの中で 2 つの最適ルートを自動的に選択します。現在のルートが停止すると、必ずその次の最適パスがルーティング テーブルに追加され、現在のルートがバックアップ ルータになります。

failures キーワードで設定されたしきい値の回数、ICMP クエリーの応答がなかった場合、そのルータは到達不能と判断されます。 failures キーワードは、ルータが停止していると見なされるまでの、応答のなかった ICMP クエリーの最大数です。デフォルト値は 5 です。バックアップ ルートが最優先となった時点で、このルートが到達可能な場合、バックアップ ルートが最適ルートになります。このとき、元のルートがバックアップ ルートになります。

元の最適ルートが再び到達可能になると、FWSM はルートを元に戻し、現在の最適ルートがバックアップ ルートになります。両方のルートが到達不能となった場合、どちらもバックアップ ルートになります。ただし、ルーティング テーブルの変更はありません。

スタティック ルートまたはデフォルト ルートをモニタするには、次にコマンドを入力します。

hostname(config-if)# route-monitor network_address network_mask [query_interval interval ] [max-failures failures ]

次に、スタティック ルートをモニタする例を示します。

hostname(config-if)# route-monitor 192.168.1.0 255.255.255.0
 

 
関連コマンド

コマンド
説明

show running-config router

グローバル ルータ コンフィギュレーションに指定されているコマンドを表示します。

router bgp

BGP ルーティング プロセスを開始し、そのプロセスのパラメータを設定するには、グローバル コンフィギュレーション モードで router bgp コマンドを使用します。BGP ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。

router bgp as-number

no router bgp as-number

 
シンタックスの説明

as-number

他の BGP ルータへの FWSM を特定し、渡されるルーティング情報をタグ付けする自律システムの番号。BGP スタブ ルーティング プロセスに割り当てられる as-number は、BGP ネイバの as-number と同じでなければなりません。

 
デフォルト

BGP ルーティングはディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト1
システム

グローバル コンフィギュレーション

--

--

1.このコマンドは管理コンテキストだけで利用できます。

 
コマンドの履歴

リリース
変更

3.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

router bgp コマンドは、FWSM で実行中の BGP ルーティング プロセスのグローバル コンフィギュレーション コマンドです。 router bgp コマンドを入力すると、コマンド プロンプトは hostname(config-router)# のようになり、ルータ コンフィギュレーション モードが開始されたことを示します。 no router bgp コマンドは、BGP ルーティング プロセスを終了します

BGP スタブ ルーティング プロセスに割り当てられる Autonomous System(AS; 自律システム)番号は、BGP ネイバの AS 番号と同じでなければなりません。

BGP ルーティング プロセスを設定する場合は、 router bgp コマンドと次の BGP 固有のコマンドを組み合せて使用します。

bgp router id :FWSM の BGP ルータ ID を指定します。

neighbor :ネイバ BGP ルータを指定します。

network :BGP ルーティング プロセスでアドバタイズできるネットワークを指定します。

マルチ コンテキスト モードでは、このコマンドは管理コンテキストだけで利用できます。管理コンテキストは、ルーテッド モードでなければいけません。管理コンテキストで入力する BGP スタブ ルーティング設定は、デバイス上で設定されているすべてのコンテキストに適用されます。コンテキスト単位では BGP スタブ ルーティングを設定できません。

次に、BGP ルーティング プロセスに対してコンフィギュレーション モードを開始する例を示します。FWSM は AS 800 に属します。

hostname(config)# router bgp 800
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

bgp router-id

FWSM の BGP ルータ ID を指定します。

clear configure router

実行コンフィギュレーションから router コマンドを消去します。

neighbor remote-as

ネイバ BGP ルータを指定します。

network

BGP ルーティング プロセスでアドバタイズできるネットワークを指定します。

show running-config router

実行コンフィギュレーションの router コマンドを表示します。

router eigrp

EIGRP ルーティング プロセスを開始し、そのプロセスのパラメータを設定するには、グローバル コンフィギュレーション モードで router eigrp コマンドを使用します。EIGRP ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。

router eigrp as-number

no router eigrp as-number

 
シンタックスの説明

as-number

他の EIGRP ルータへのルートを特定する自律システム番号。これは、ルーティング情報のタグ付けにも使用されます。有効値は 1 ~ 65535 です。

 
デフォルト

EIGRP ルーティングはディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

router eigrp コマンドは、EIGRP ルーティング プロセスを作成するか、または既存の EIGRP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。FWSM で作成できる EIGRP ルーティング プロセスは 1 つだけです。

EIGRP ルーティング プロセスを設定するには、次のルータ コンフィギュレーション モード コマンドを使用します。

auto-summary :自動ルート サマライズをイネーブルおよびディセーブルにします。

default-information :デフォルト ルート情報の送受信をイネーブルおよびディセーブルにします。

default-metric :EIGRP ルーティング プロセスに再配布されたルートのデフォルト メトリックを定義します。

distance eigrp :内部および外部 EIGRP ルートの管理ディスタンスを設定します。

distribute-list :ルーティング アップデートで送受信されたネットワークをフィルタリングします。

eigrp log-neighbor-changes :ネイバのステート変更のログ機能をイネーブルおよびディセーブルにします。

eigrp log-neighbor-warnings :ネイバ警告メッセージのログ機能をイネーブルおよびディセーブルにします。

eigrp router-id :固定ルータ ID を作成します。

eigrp stub :スタブ EIGRP ルーティングの FWSM を設定します。

neighbor :EIGRP ネイバを静的に定義します。

network :EIGRP ルーティング プロセスに参加するネットワークを設定します。

passive-interface :パッシブ インターフェイスとして動作するインターフェイスを設定します。

redistribute :他のルーティング プロセスから EIGRP にルートを再配布します。

インターフェイス固有の EIGRP パラメータを設定するには、次のインターフェイス コンフィギュレーション モード コマンドを使用します。

authentication key eigrp :EIGRP メッセージ認証に使用する認証鍵を定義します。

authentication mode eigrp :EIGRP メッセージ認証に使用する認証アルゴリズムを定義します。

delay :インターフェイスの遅延メトリックを設定します。

hello-interval eigrp :インターフェイスから EIGRP hello パケットを送信する間隔を変更します。

hold-time eigrp :FWSM でアドバタイズされるホールドタイムを変更します。

split-horizon eigrp :インターフェイス上で EIGRP スプリット ホライズンをイネーブルおよびディセーブルにします。

summary-address eigrp :サマリー アドレスを手動で定義します。

次に、自律システム番号 100 で指定して EIGRP ルーティング プロセスのコンフィギュレーション モードを開始する例を示します。

hostname(config)# router eigrp 100
hostname(config-router)#

 
関連コマンド

コマンド
説明

clear configure router eigrp

実行コンフィギュレーションから EIGRP ルータ コンフィギュレーション モード コマンドを消去します。

show running-config router eigrp

実行コンフィギュレーションの EIGRP ルータ コンフィギュレーション モード コマンドを表示します。

router ospf

OSPF ルーティング プロセスを開始し、そのプロセスのパラメータを設定するには、グローバル コンフィギュレーション モードで router ospf コマンドを使用します。OSPF ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。

router ospf pid

no router ospf pid

 
シンタックスの説明

pid

OSPF ルーティング プロセスで内部的に使用される識別パラメータ。有効値は 1 ~ 65535 です。 pid は、他のルータの OSPF プロセスの ID と同じである必要はありません。

 
デフォルト

OSPF ルーティングはディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

router ospf コマンドは、FWSM で実行中の OSPF ルーティング プロセスのグローバル コンフィギュレーション コマンドです。 router ospf コマンドを入力すると、コマンド プロンプトは (config-router)# のようになり、ルータ コンフィギュレーション モードが開始されたことを示します。

no router ospf コマンドを使用する場合は、必要な情報以外、オプションの引数を指定する必要はありません。 no router ospf コマンドは、 pid で指定された OSPF ルーティング プロセスを終了させます。 pid は FWSM にローカルに割り当てます。OSPF ルーティング プロセスごとに一意の値を割り当てる必要があります。

OSPF ルーティング プロセスを設定する場合は、 router ospf コマンドと次の OSPF 固有のコマンドを組み合せて使用します。

area :正規の OSPF エリアを設定します。

compatible rfc1583 :RFC 1583 に基づいてサマリー ルート コストを計算するための方法を復元します。

default-information originate :OSPF ルーティング ドメインにデフォルトの外部ルートを生成します。

distance :ルート タイプに基づいて OSPF ルートの管理ディスタンスを定義します。

ignore :タイプ 6 Multicast OSPF(MOSPF)パケットの Link-State Advertisement(LSA; リンクステート アドバタイズメント)をルータが受信するときに、Syslog メッセージの送信を抑制します。

log-adj-changes :OSPF ネイバが起動または停止するときに、ルータが Syslog メッセージを送信するように設定します。

neighbor :近接ルータを指定します。VPN トンネルを介して隣接関係を確立できるようにする場合に使用します。

network :OSPF が稼動するインターフェイスおよびこれらのインターフェイスのエリア ID を定義します。

redistribute :指定されたパラメータに基づく、ルーティング ドメイン間でのルート再配布を設定します。

router-id :固定ルータ ID を作成します。

summary-address :OSPF の集約アドレスを作成します。

timers lsa-group-pacing :OSPF LSA グループ同期タイマー(LSA グループの更新間隔、つまり最大エージング)を設定します。

timers spf :SPF 計算の変更を受信するまでの遅延を設定します。

FWSM 上で RIP が設定されている場合は、OSPF を設定できません。

次に、5 という番号が与えられた OSPF ルーティング プロセスに対してコンフィギュレーション モードを開始する例を示します。

hostname(config)# router ospf 5
hostname(config-router)#

 
関連コマンド

コマンド
説明

clear configure router

実行コンフィギュレーションから OSPF ルータ コマンドを消去します。

show running-config router ospf

実行コンフィギュレーションの OSPF ルータ コマンドを表示します。

router-id

固定ルータ ID を使用するには、ルータ コンフィギュレーション モードで router-id コマンドを使用します。OSPF をリセットして直前のルータ ID の動作を使用するには、このコマンドの no 形式を使用します。

router-id addr

no router-id [ addr ]

 
シンタックスの説明

addr

IP アドレス形式のルータ ID

 
デフォルト

指定しなかった場合、FWSM 上で最上位の IP アドレスがルータ ID として使用されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM 上で最上位の IP アドレスがプライベート アドレスの場合、このアドレスは hello パケットおよびデータベース定義に格納されて送信されます。このアドレスを使用しないようにするには、 router-id コマンドを使用して、ルータ ID に対応するグローバル アドレスを指定します。

ルータ ID は、OSPF ルーティング ドメイン内で一意でなければなりません。同じ OSPF ドメイン内にある 2 つのルータが同じルータ ID を使用していると、ルーティングが正しく動作しない場合があります。

次に、ルータ ID を 192.168.1.1 に設定する例を示します。

hostname(config-router)# router-id 192.168.1.1
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show ospf

OSPF ルーティング プロセスに関する一般的な情報を表示します。

rule

マルチ コンテキスト モードで特定のメモリ パーティションの機能間でルールを再割り当てするには、リソース パーティション コンフィギュレーション モードで rule コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

rule nat { max_policy_nat_rules | current | default | max }
acl { max_ace_rules | current | default | max }
filter { max_filter_rules | current | default | max }
fixup { max_inspect_rules | current | default | max }
est { max_established_rules | current | default | max }
aaa { max_aaa_rules | current | default | max }
console { max_console_rules | current | default | max }

no rule

 
シンタックスの説明

aaa max_aaa_rules

AAA ルールの最大数を 0 ~ 10000 の範囲で設定します。

acl max_ace_rules

ACE の最大数を 0 ~ 74188 の範囲で設定します。

console max_console_rules

ICMP、Telnet、SSH、および HTTP ルールの最大数を 0 ~ 4000 の範囲で設定します。

current

現在設定されている値を維持します。

default

最大ルール数をデフォルトに設定します。デフォルトを表示するには、 show resource rule コマンドを使用します。

est max_established_rules

established コマンドの最大数を 0 ~ 716 の範囲で設定します。 established コマンドは、制御とデータの 2 つのタイプのルールを作成します。両方のルールを established コマンド数を設定して割り当てます。つまり、ルールごとに別々に設定しません。ただし、これらの両方のタイプが show resource rule および show np 3 acl count の表示に含まれるため、設定されているルールの総数と、 show コマンドの表示を比較する場合には、 est 値を倍にしてください。

filter max_filter_rules

フィルタ ルールの最大数を 0 ~ 6000 の範囲で設定します。

fixup max_inspect_rules

検査ルールの最大数を 0 ~ 10000 の範囲で設定します。

max

ルールを機能で許容される最大数に設定します。この値に対応するように他の機能は小さく設定してください。

nat max_policy_nat_rules

ポリシー NAT ACE の最大数を 0 ~ 10000 の範囲で設定します。

 
デフォルト

デフォルト値を表示するには、 show resource rule コマンドを使用します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

リソース パーティション コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM で使用できるルール数は固定されています。このため、使用状況に応じて機能間でルールを再割り当てする必要があります。ルールを使用する機能には、アクセス リスト、検査、AAA などがあります。

1 つの機能の値を増やす場合、ルールの合計数がシステム限界を超えないように、1 つ以上の機能の値を増やした分と同じ数まで減らす必要があります。機能ごとに割り当てることができる、使用可能なルールの合計数、デフォルト値、現在のルール割り当て、およびルールの絶対最大数を表示するには、 show resource rule partition コマンドを使用します。

このコマンドではすべての引数を入力する必要があります。

このコマンドはただちに有効になります。

このコマンドは、 resource rule コマンドで設定されているグローバル割り当て設定を上書きします。

パーティションのサイズを増やしていても( size コマンドを使用するか、あるいは、 resource acl-partition コマンドを使用してパーティション数を減らした場合)、リロードしていない場合、ルールの最大数は元の小さいサイズのままです。上限が増えていることを確認するにはリロードする必要があります。パーティションのサイズを減らしていても、リロードしていない場合は、新しい小さくしたルール数がすぐに反映されます。

機能ごとに割り当てることができる、パーティションごとに使用可能なルールの合計数、デフォルト値、現在のルール割り当て、およびルールの絶対最大数を表示するには、次のコマンドを入力します。

hostname(config)# show resource rule partition number
 

たとえば、次の表示では、パーティション 0 の最大ルールが 19219 として示されています(これは例示用です。ご使用のシステムの実際のルール数とは異なる場合があります)。

hostname(config)# show resource rule partition 0
 
Default Configured Absolute
CLS Rule Limit Limit Max
-----------+---------+----------+---------
Policy NAT 384 384 833
ACL 14801 14801 14801
Filter 576 576 1152
Fixup 1537 1537 3074
Est Ctl 96 96 96
Est Data 96 96 96
AAA 1345 1345 2690
Console 384 384 768
-----------+---------+----------+---------
Total 19219 19219
 
Partition Limit - Configured Limit = Available to allocate
19219 - 19219 = 0
 

再割り当てを計画できるように現在使用されているルール数を表示するには、次のコマンドを入力します。

hostname(config)# show np 3 acl count partition_number
 

次に、最大数である 9216 に近い検査数(フィックスアップ ルール)の例を示します。一部のアクセス リスト ルール(ACL ルール)を検査に再割り当てすることを選ぶこともできます。

hostname(config)# show np 3 acl count
 
-------------- CLS Rule Current Counts --------------
CLS Filter Rule Count : 0
CLS Fixup Rule Count : 9001
CLS Est Ctl Rule Count : 4
CLS AAA Rule Count : 15
CLS Est Data Rule Count : 4
CLS Console Rule Count : 16
CLS Policy NAT Rule Count : 0
CLS ACL Rule Count : 30500
CLS ACL Uncommitted Add : 0
CLS ACL Uncommitted Del : 0
...
 

次に、パーティション 0 で デフォルトの 14,801 ACE から 999 ルールを検査(デフォルト 9001)に再割り当てする例を示します。

hostname(config)# resource partition 0
hostname(config-partition)# rule nat default acl 13802 filter default fixup 10000 est default aaa default console default

コマンド
説明

allocate-acl-partition

特定のメモリ パーティションにコンテキストを割り当てます。

context

セキュリティ コンテキストを設定します。

resource acl-partition

ルールのメモリ パーティション数を設定します。

resource rule

リソース ルール割り当てをグローバルに設定します。

show np 3 acl count

使用中のルール数を表示します。

show resource acl-partition

各メモリ パーティションに割り当てられているコンテキストおよび使用されているルール数を表示します。

show resource rule

機能ごとに割り当てることができる、使用可能なルールの合計数、デフォルト値、現在のルール割り当て、およびルールの絶対最大数を表示します。