Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コマンド リファレンス リリース 4.0
shun ~ sysopt uauth allow-http-cache コ マンド
shun ~ sysopt uauth allow-http-cache コマンド
発行日;2012/02/24 | 英語版ドキュメント(2011/02/02 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

shun ~ sysopt uauth allow-http-cache コマンド

shun

shutdown

sip-map

size

smtp-server

snmp-map

snmp-server community

snmp-server contact

snmp-server enable

snmp-server enable traps

snmp-server host

snmp-server listen-port

snmp-server location

software-version

split-dns

split-horizon

split-tunnel-network-list

split-tunnel-policy

ssh

ssh disconnect

ssh scopy enable

ssh timeout

ssh version

ssl server-version

state-checking

static

strict-header-validation

strict-http

strip-group

strip-realm

subject-name (crypto ca certificate map)

subject-name (crypto ca trustpoint)

summary-address eigrp

summary-address

sunrpc-server

support-user-cert-validation

sysopt connection tcpmss

sysopt nodnsalias

sysopt noproxyarp

sysopt np completion-unit

sysopt radius ignore-secret

sysopt uauth allow-http-cache

shun ~ sysopt uauth allow-http-cache コマンド

shun

攻撃元ホストからの接続を遮断するには、特権 EXEC モードで shun コマンドを使用します。遮断をディセーブルにするには、このコマンドの no 形式を使用します。

shun src_ip [ dst_ip src_port dest_port [ protocol ]] [ vlan vlan_id ]

no shun src_ip [ vlan vlan_id ]

 
シンタックスの説明

dest_port

(任意)遮断される接続の宛先ポートを指定します。

dst_ip

(任意)ターゲット ホストのアドレスを指定します。

protocol

(任意)UDP や TCP などの IP プロトコルを指定します。デフォルトのプロトコルは 0(任意のプロトコル)です。

src_ip

攻撃元ホストのアドレスを指定します。

src_port

(任意)遮断される接続の送信元ポートを指定します。

vlan_id

(任意)VLAN(仮想 LAN)ID を指定します。

 
デフォルト

デフォルトのプロトコルは 0(任意のプロトコル)です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

shun コマンドを使用すると、攻撃元ホストからの接続を遮断できます。ブロック機能が手動または Cisco IPS センサによって解除されないかぎり、コマンドに指定された値に一致するパケットは廃棄され、ログに記録され続けます。shun コマンドのブロック機能は、指定されたホスト アドレスによる接続が現在アクティブであるかどうかに関係なく適用されます。

宛先アドレス、送信元/宛先ポート、プロトコルをパラメータとして指定すると、それらのパラメータに一致する接続だけを遮断できます。

1 つの発信元 IP アドレスに関連付けることができる shun コマンドは 1 つだけです。

shun コマンドは攻撃を動的にブロックするために使用されるため、FWSMのコンフィギュレーションには表示されません。

インターフェイスを取り外すと、このインターフェイスに対応するすべての遮断機能も解除されます。新しいインターフェイスを追加するか、または(同名の)同じインターフェイスで置換した場合に、IPS センサでこのインターフェイスをモニタするには、IPS センサにこのインターフェイスを追加する必要があります。

次に、攻撃元ホスト(10.1.1.27)が攻撃対象(10.2.2.89)に TCP を使用して接続する例を示します。FWSM接続テーブル内の接続は、次のようになります。

10.1.1.27, 555-> 10.2.2.89, 666 PROT TCP
 

次のオプションを使用して shun コマンドを適用します。

hostname# shun 10.1.1.27 10.2.2.89 555 666 tcp
 

このコマンドを実行すると、FWSM接続テーブルから該当する接続が削除され、10.1.1.27:555 から 10.2.2.89:666 への TCP パケットが FWSMを通過することもできなくなります。

 
関連コマンド

コマンド
説明

clear shun

現在イネーブル化されている遮断をすべてディセーブルにし、遮断に関する統計情報をクリアします。

show conn

アクティブな接続をすべて表示します。

show shun

遮断情報を表示します。

shutdown

インターフェイスをディセーブルにするには、インターフェイス コンフィギュレーション モードで shutdown コマンドを使用します。インターフェイスをイネーブルにするには、このコマンドの no 形式を使用します。

shutdown

no shutdown

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

すべての物理インターフェイスは、デフォルトでシャットダウンしています。セキュリティ コンテキスト内で割り当てられたインターフェイスは、コンフィギュレーション内でシャットダウンしません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

 
コマンドの履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

すべての物理インターフェイスは、デフォルトでシャットダウンしています。イネーブルにされたサブインターフェイスをトラフィックが通過する前に、物理インターフェイスをイネーブルにする必要があります。マルチ コンテキスト モードで、コンテキストに物理インターフェイスまたはサブインターフェイスを割り当てた場合、このコンテキスト内ではインターフェイスがデフォルトでイネーブルです。ただし、コンテキスト インターフェイスをトラフィックが通過する前に、システム コンフィギュレーションでもこのインターフェイスをイネーブルにする必要があります。システム実行スペースでインターフェイスをシャットダウンした場合、このインターフェイスは共有されるすべてのコンテキストでシャットダウンされます。

次に、サブインターフェイスをイネーブルにする例を示します。

hostname(config)# interface gigabitethernet2.1
hostname(config-subif)# vlan 101
hostname(config-subif)# nameif dmz1
hostname(config-subif)# security-level 50
hostname(config-subif)# ip address 10.1.2.1 255.255.255.0
hostname(config-subif)# no shutdown
 

次に、サブインターフェイスをシャットダウンする例を示します。

hostname(config)# interface gigabitethernet2.1
hostname(config-subif)# vlan 101
hostname(config-subif)# nameif dmz1
hostname(config-subif)# security-level 50
hostname(config-subif)# ip address 10.1.2.1 255.255.255.0
hostname(config-subif)# shutdown
 

 
関連コマンド

コマンド
説明

clear xlate

既存接続のすべての変換をリセットして、接続をリセットします。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

sip-map

IP アドレス プライバシー機能をイネーブルにするために必要な SIP アプリケーション検査マップを識別するには、グローバル コンフィギュレーション モードで sip-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。

sip-map map_name

no sip-map map_name

 
シンタックスの説明

map_name

SIP マップの名前

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

FWSM 3.1

このコマンドが追加されました。

 
使用上のガイドライン

IP アドレス プライバシー機能をイネーブルにするために必要な SIP アプリケーション検査マップを識別するには、sip-map コマンドを使用します。このコマンドを入力すると、SIP マップ コンフィギュレーション モードが開始し、 ip-address-privacy コマンドを入力できるようになります。SIP マップを定義したら、inspect sip コマンドを使用して、マップをイネーブルにします。次に、 class-map policy-map 、および service-policy コマンドを使用して、トラフィック クラスの定義、このクラスへの inspect コマンドの適用、および 1 つ以上のインターフェイスへのポリシーの適用を行います。

次に、SIP トラフィックの識別、SIP マップの定義、ポリシーの定義、および外部インターフェイスへのポリシーの適用を行う例を示します。

hostname(config)# access-list sip-acl permit tcp any any eq 5060
hostname(config)# class-map sip-port
hostname(config-cmap)# match access-list sip-acl
hostname(config-cmap)# sip-map inbound_sip
hostname(config-sip-map)# ip-address-privacy
hostname(config-sip-map)# policy-map S1_policy
hostname(config-pmap)# class sip-port
hostname(config-pmap-c)# inspect sip s1_policy
hostname(config)#
 

 
関連コマンド

 

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

ip-address-privacy

SIP アプリケーション検査の IP アドレス プライバシー機能をイネーブルにします。

inspect sip

SIP アプリケーション検査をイネーブルにします。

policy-map

特定のセキュリティ アクションにクラス マップを対応付けます。

size

メモリ パーティションのサイズを変更するには、リソース パーティション コンフィギュレーションモードで size コマンドを使用します。サイズをデフォルト値に戻すには、このコマンドの no 形式を使用します。

size number_of_rules

no size number_of_rules

 
シンタックスの説明

number _of_rules

パーティションに割り当てるルール数を指定します。

 
デフォルト

パーティションのデフォルト サイズは、パーティションの総数により異なります。デフォルトのパーティション サイズを表示するには、 show resource partition コマンドを入力します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM を使用すると、各パーティションのメモリ サイズを設定できます。パーティション サイズを変更する前に、次の注意事項に従ってください。

パーティション サイズを変更するには、FWSM のリロードが必要です。

resource acl-partition コマンドを使用してパーティション サイズを設定する前にパーティション数を変更してください。パーティション数を変更すると、パーティションごとのルール総数が影響を受けます。たとえば、パーティション数を増やすと、各パーティションで使用可能なルール数は減ります。したがって、ご使用のパーティション サイズ設定が無効になり、すべてのパーティション サイズを再設定することが必要になる場合もあります。パーティション数を変更するには、パーティション サイズを変更する前に FWSM のリロードが必要です。その後、パーティション サイズを変更するには、FWSM の 2 回目のリロードが必要です。

パーティション サイズを設定する前に、特定のパーティションにコンテキストを割り当てます( allocate-acl-partition コマンドを参照)。パーティションに現在割り当てられているコンテキストに基づいてすべてのパーティション サイズをプラニングするときに、コンテキストを明確に割り当てしていない場合、リロード後にコンテキスト割り当てが変わるリスクを負うことになります(たとえば、コンテキストを追加または差し引く場合)。

パーティション サイズを増やす前に、それ以外のパーティション サイズを減らします。

既存の ACE 数が新規のパーティション サイズに適合しない場合は、サイズ変更は拒否されます。

FWSM がコンテキストを割り当てるメモリ パーティションに加えて、FWSM はルールの変更を処理するためにバックアップ ツリー パーティションを使用し、トラフィックが、新しい設定が完了するまで古い設定の使用を継続できるようにします。バックアップ ツリーのサイズは、最大のパーティションと同じである必要があります。したがって、最大パーティションと連動して自動的にバックアップ ツリーに割り当てられるメモリもあるため、必ずバックアップ ツリーを計算に入れてください。

パーティションのサイズを減らす場合は、FWSM はルール割り当てをチェックします( resource rule または rule コマンドを参照してください)。機能間のルールを手動で割り当てをしてルールの総数が使用可能数を超えると、FWSM はパーティションのサイズ変更を拒否します。同様に、1 つの機能に対するルールの絶対最大数を超えると、FWSM はパーティションのサイズ変更を拒否します。

パーティション サイズを増やすために使用可能なルールを表示するには、 show resource partition コマンドを入力します。

たとえば、パーティション 0 ~ 5 のサイズを 15,000 減らすと、出力に他のパーティションに割り当てできるルールが 25,314 あることが示されます。

hostname(config)# show resource partition
 
Bootup Current
Partition Default Partition Configured
Number Size Size Size
-----------+---------+----------+-----------
0 19219 19219 15000
1 19219 19219 15000
2 19219 19219 15000
3 19219 19219 15000
4 19219 19219 15000
5 19219 19219 15000
6 19219 19219 19219
7 19219 19219 19219
8 19219 19219 19219
9 19219 19219 19219
10 19219 19219 19219
11 19219 19219 19219
backup tree 19219 19219 19219
-----------+---------+----------+-----------
Total 249847 249847 224533
 
Total Partition size - Configured size = Available to allocate
249847 - 224533 = 25314
 

他の 6 つのパーティションとバックアップ ツリーに対してルールを均等に配布する必要がある場合は、それぞれに 3616 のルール(2 つは使用しない)を追加できます。バックアップ ツリーのサイズは最大パーティションと同じである必要があるため、計算にバックアップ ツリーを考慮しなければならないことを覚えておいてください。たとえば、パーティション 6 に 24,001 のルールを持たせる場合は、次のようにルールを割り当てできます。

 

パーティション
起動パーティションのサイズ
設定サイズ

6

19219

24001

4782

バックアップ ツリー

19219

24001

4782

7

19219

22369

3150

8

19219

22369

3150

9

19219

22369

3150

10

19219

22369

3150

11

19219

22369

3150

合計:25314

show resource acl-partition コマンドを使用して、コンテキストからパーティションへの現在のマッピングを表示することもできます。

次に、パーティション 2 および 3 をそれぞれ、56616、56615 に増やす一方で、パーティション 0 および 1 を 40000 に減らす例を示します。

hostname(config)# show resource partition
 
Bootup Current
Partition Default Partition Configured
Number Size Size Size
-----------+---------+----------+-----------
0 49970 49970 49970
1 49969 49969 49969
2 49969 49969 49969
3 49969 49969 49969
backup tree 49970 49970 49970
-----------+---------+----------+-----------
Total 249847 249847 249847
 
Total Partition size - Configured size = Available to allocate
249847 - 249847 = 0
 
hostname(config)# resource partition 0
hostname(config-partition)# size 40000
hostname(config-partition)# resource partition 1
hostname(config-partition)# size 40000
 
hostname(config-partition)# show resource partition
 
Bootup Current
Partition Default Partition Configured
Number Size Size Size
-----------+---------+----------+-----------
0 49970 49970 40000
1 49969 49969 40000
2 49969 49969 49969
3 49969 49969 49969
backup tree 49970 49970 49969
-----------+---------+----------+-----------
Total 249847 249847 249847
 
Total Partition size - Configured size = Available to allocate
249847 - 229907 = 19940
 
hostname(config-partition)# resource partition 2
hostname(config-partition)# size 56616
hostname(config-partition)# resource partition 3
hostname(config-partition)# size 56615
 
hostname(config-partition)# show resource partition
 
Bootup Current
Partition Default Partition Configured
Number Size Size Size
-----------+---------+----------+-----------
0 49970 49970 40000
1 49969 49969 40000
2 49969 49969 56616
3 49969 49969 56615
backup tree 49970 49970 56616
-----------+---------+----------+-----------
Total 249847 249847 249847
 
Total Partition size - Configured size = Available to allocate
249847 - 249847 = 0
 
hostname(config-partition)# reload
 

 
関連コマンド

コマンド
説明

allocate-acl-partition

特定のメモリ パーティションにコンテキストを割り当てます。

clear configure resource partition

現在のメモリ パーティションの設定をクリアします。

resource acl-partition

メモリ パーティションの総数を設定します。

resource partition

メモリ パーティションをカスタマイズします。

resource rule

すべてのパーティションの機能間でグローバルにルールを再割り当てします。

rule

特定のパーティションに対して、機能間のルールを再割り当てします。

show resource acl-partition

サイズおよび割り当てられたコンテキストなど、現在のメモリ パーティションの特性を表示します。

show resource partition

メモリ パーティション サイズを表示します。

show resource rule

現在のルールの割り当てを表示します。

show running-config resource partition

現在のメモリ パーティションの設定を表示します。

smtp-server

SMTP サーバを設定するには、グローバル コンフィギュレーション モードで smtp-server コマンドを使用します。コンフィギュレーションから属性を削除するには、このコマンドの no 形式を使用します。

FWSM には内部 SMTP クライアントが組み込まれています。イベント システムはこのクライアントを使用して、特定のイベントが発生したことを外部エンティティに通知できます。これらのイベント通知を受信し、指定された電子メール アドレスに転送するように SMTP サーバを設定できます。SMTP 機能がアクティブになるのは、FWSM で電子メール イベントがイネーブルな場合だけです。

smtp-server { primary_server } [ backup_server ]

no smtp-server

 
シンタックスの説明

primary_server

プライマリ SMTP サーバを識別します。IP アドレスまたは DNS 名を使用します。

backup_server

プライマリ SMTP サーバを使用できない場合にイベント メッセージをリレーするバックアップ SMTP サーバを識別します。IP アドレスまたは DNS 名を使用します。

 
デフォルト

デフォルトでは、SMTP サーバは設定されていません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

次に、IP アドレスが 10.1.1.24 の SMTP サーバ、および IP アドレスが 10.1.1.34 のバックアップ SMTP サーバを設定する例を示します。

hostname(config)# smtp-server 10.1.1.24 10.1.1.34

snmp-map

Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)検査用パラメータを定義するための特定のマップを識別するには、グローバル コンフィギュレーション モードで snmp-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。

snmp-map map_name

no snmp-map map_name

 
シンタックスの説明

map_name

SNMP マップの名前

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

SNMP 検査用パラメータを定義するための特定のマップを識別するには、snmp-map コマンドを使用します。このコマンドを入力すると、SNMP マップ コンフィギュレーション モードが開始し、特定のマップを定義するためのさまざまなコマンドを入力できるようになります。SNMP マップを定義したら、inspect snmp コマンドを使用して、マップをイネーブルにします。次に、 class-map policy-map 、および service-policy コマンドを使用して、トラフィック クラスの定義、このクラスへの inspect コマンドの適用、および 1 つ以上のインターフェイスへのポリシーの適用を行います。

次に、SNMP トラフィックを識別し、SNMP マップを定義し、ポリシーを定義して外部インターフェイスに適用する例を示します。

hostname(config)# access-list snmp-acl permit tcp any any eq 161
hostname(config)# access-list snmp-acl permit tcp any any eq 162
hostname(config)# class-map snmp-port
hostname(config-cmap)# match access-list snmp-acl
hostname(config-cmap)# exit
hostname(config)# snmp-map inbound_snmp
hostname(config-snmp-map)# deny version 1
hostname(config-snmp-map)# exit
hostname(config)# policy-map inbound_policy
hostname(config-pmap)# class snmp-port
hostname(config-pmap-c)# inspect snmp inbound_snmp
hostname(config-pmap-c)# exit
 

 
関連コマンド

 

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

deny version

特定のバージョンの SNMP を使用してトラフィックを禁止します。

inspect snmp

SNMP アプリケーション検査をイネーブルにします。

policy-map

特定のセキュリティ アクションにクラス マップを対応付けます。

snmp-server community

SNMP コミュニティ ストリングを設定するには、グローバル コンフィギュレーション モードで snmp-server community コマンドを使用します。コミュニティ ストリングを削除するには、このコマンドの no 形式を使用します。

snmp-server community text

no snmp-server community [ text ]

 
シンタックスの説明

text

コミュニティ ストリングを設定します。

 
デフォルト

デフォルトでは、コミュニティ ストリングは public です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

SNMP コミュニティ ストリングは、SNMP 管理ステーションと管理対象ネットワーク ノード間で共有されるシークレット ストリングです。FWSMはこの鍵を使用して、着信 SNMP 要求が有効かどうかを判別します。たとえば、コミュニティ ストリングを使用してサイトを指定してから、同じストリングを使用してルータ、FWSM、および管理ステーションを設定できます。FWSMはこのストリングを使用し、コミュニティ ストリングが無効な要求には応答しません。

次に、コミュニティ ストリングを wallawallabingbang に設定する例を示します。

hostname(config)# snmp-server community wallawallabingbang
 

 
関連コマンド

コマンド
説明

snmp-server contact

SNMP の担当者名を設定します。

snmp-server enable

FWSM で SNMP をイネーブルにします。

snmp-server enable traps

SNMP トラップをイネーブルにします。

snmp-server host

SNMP ホスト アドレスを設定します。

snmp-server location

SNMP サーバ ロケーション ストリングを設定します。

snmp-server contact

SNMP の担当者名を設定するには、グローバル コンフィギュレーション モードで snmp-server contact コマンドを使用します。担当者名を削除するには、このコマンドの no 形式を使用します。

snmp-server contact text

no snmp-server contact [ text ]

 
シンタックスの説明

text

担当者または FWSMシステム管理者の名前を指定します。名前は大文字と小文字を区別する 127 文字以下の文字列です。スペースを含めることができますが、複数のスペースは 1 つのスペースに省略されます。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、担当者を Pat Johnson に設定する例を示します。

hostname(config)# snmp-server contact Pat Johnson
 

 
関連コマンド

コマンド
説明

snmp-server community

SNMP コミュニティ ストリングを設定します。

snmp-server enable

FWSM で SNMP をイネーブルにします。

snmp-server enable traps

SNMP トラップをイネーブルにします。

snmp-server host

SNMP ホスト アドレスを設定します。

snmp-server location

SNMP サーバ ロケーション ストリングを設定します。

snmp-server enable

FWSM で SNMP サーバをイネーブルにするには、グローバル コンフィギュレーション モードで snmp-server enable コマンドを使用します。SNMP をディセーブルにするには、このコマンドの no 形式を使用します。

snmp-server enable

no snmp-server enable

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、SNMP サーバはイネーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用すると、SNMP トラップやその他の設定を行ったり、これらを再設定しなくても、SNMP を簡単にイネーブルまたはディセーブルにすることができます。

次に、SNMP をイネーブルにし、SNMP ホストおよびトラップを設定し、トラップをシステム メッセージとして送信する例を示します。

hostname(config)# snmp-server enable
hostname(config)# snmp-server community wallawallabingbang
hostname(config)# snmp-server location Building 42, Sector 54
hostname(config)# snmp-server contact Sherlock Holmes
hostname(config)# snmp-server host perimeter 10.1.2.42
hostname(config)# snmp-server enable traps all
hostname(config)# logging history 7
hostname(config)# logging enable
 

 
関連コマンド

コマンド
説明

snmp-server community

SNMP コミュニティ ストリングを設定します。

snmp-server contact

SNMP の担当者名を設定します。

snmp-server enable traps

SNMP トラップをイネーブルにします。

snmp-server host

SNMP ホスト アドレスを設定します。

snmp-server location

SNMP サーバ ロケーション ストリングを設定します。

snmp-server enable traps

FWSM から NMS へのトラップ送信をイネーブルにするには、グローバル コンフィギュレーション モードで snmp-server enable traps コマンドを使用します。トラップをディセーブルにするには、このコマンドの no 形式を使用します。

snmp-server enable traps [ all | syslog | snmp [ trap ] [...] | cpu threshold [ trap ] | entity [ trap ] [...] | ipsec [ trap ] [...] | nat [ trap ] | remote-access [ trap ] | resource [ trap ]]

no snmp-server enable traps [ all | syslog | snmp [ trap ] [...] | cpu threshold [ trap ] | entity [ trap ] [...] | ipsec [ trap ] [...] | nat [ trap ] | remote-access [ trap ] | resource [ trap ]]

 
シンタックスの説明

all

すべてのトラップをイネーブルにします。

cpu threshold [ trap ]

CPU しきい値トラップをイネーブルにします。 cpu threshold に指定できるトラップは次のとおりです。

rising

entity [ trap ]

エンティティ トラップをイネーブルにします。 entity に指定できるトラップは、次のとおりです。

config-change

fru-insert

fru-remove

redun-switchover

alarm-asserted

alarm-cleared

ipsec [ trap ]

IPSec トラップをイネーブルにします。 ipsec に指定できるトラップは、次のとおりです。

start

stop

nat [ trap ]

NAT に関連するトラップをイネーブルにします。 nat に指定できるトラップは次のとおりです。

packet-discard

remote-access [ trap ]

リモート アクセス トラップをイネーブルにします。 remote-access に指定できるトラップは、次のとおりです。

session-threshold-exceeded

resource [ trap ]

リソース制限トラップをイネーブルにします。 resource に指定できるトラップは、次のとおりです。

limit-reached

rate-limit-reached

snmp [ trap ]

SNMP トラップをイネーブルにします。デフォルトでは、すべての SNMP トラップがイネーブルです。 snmp に指定できるトラップは、次のとおりです。

authentication

linkup

linkdown

coldstart

syslog

Syslog トラップをイネーブルにします。

 
デフォルト

デフォルト設定では、すべての snmp トラップがイネーブルです( snmp-server enable traps snmp authentication linkup linkdown coldstart )。これらのトラップをディセーブルにするには、このコマンドの no 形式に snmp キーワードを指定して使用します。ただし、 clear configure snmp-server コマンドを使用すると、デフォルト設定に戻って SNMP トラップがイネーブルになります。

トラップ タイプを指定しないでこのコマンドを入力した場合は、デフォルトで syslog が適用されます (デフォルトの snmp トラップおよび syslog トラップは引き続きイネーブルです)。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
管理

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.2(1)

cpu threshold トラップの rising が追加されました。

entity トラップの redun-switchover alarm-asserted 、および alarm-cleared が追加されました。

nat トラップの packet-discard が追加されました。

resource トラップの limit-reached および rate-limit-reached が追加されました。

4.0(1)

マルチ ファイアウォール モードの remote-access オプションが削除されました。

 
使用上のガイドライン

個々のトラップまたは一連のトラップをイネーブルにする場合は、機能タイプごとにこのコマンドを入力します。すべてのトラップをイネーブルにする場合は、 all キーワードを入力します。

NMS にトラップを送信するには、 logging history コマンドを入力します。ロギングをイネーブルにするには、 logging enable コマンドを使用します。

マルチ ファイアウォール モードの remote-access オプションは、FWSM Version 4.0(1) では使用できません。

次に、SNMP をイネーブルにし、SNMP ホストおよびトラップを設定し、トラップをシステム メッセージとして送信する例を示します。

hostname(config)# snmp-server enable
hostname(config)# snmp-server community wallawallabingbang
hostname(config)# snmp-server location Building 42, Sector 54
hostname(config)# snmp-server contact Sherlock Holmes
hostname(config)# snmp-server host perimeter 10.1.2.42
hostname(config)# snmp-server enable traps all
hostname(config)# logging history 7
hostname(config)# logging enable

 
関連コマンド

コマンド
説明

snmp-server community

SNMP コミュニティ ストリングを設定します。

snmp-server contact

SNMP の担当者名を設定します。

snmp-server enable

FWSM で SNMP をイネーブルにします。

snmp-server host

SNMP ホスト アドレスを設定します。

snmp-server location

SNMP サーバ ロケーション ストリングを設定します。

snmp-server host

FWSM で SNMP を使用できる NMS を指定するには、グローバル コンフィギュレーション モードで snmp-server host コマンドを使用します。NSM をディセーブルにするには、このコマンドの no 形式を使用します。

snmp-server host interface_name ip_address [ trap | poll ] [ community text ] [ version { 1 | 2c }] [ udp-port port ]

no snmp-server host interface_name ip_address [ trap | poll ] [ community text ] [ version { 1 | 2c }] [ udp-port port ]

 
シンタックスの説明

community text

この NMS のコミュニティ ストリングを設定します。

host

トラップの送信先または SNMP 要求の受信元となる NMS の IP アドレスを指定します。

interface_name

NMS が FWSM と通信する場合に経由するインターフェイスの名前を指定します。

ip_address

SNMP トラップの送信先または SNMP 要求の受信元となる NMS の IP アドレスを指定します。

trap

(任意)トラップだけを送信し、現在のホストでブラウジング(ポーリング)を禁止するように指定します。

poll

(任意)現在のホストでブラウジング(ポーリング)を許可し、トラップを送信しないように指定します。

udp-port udp_port

(任意)通知の送信先となる UDP ポートを設定します。デフォルトでは、SNMP トラップは UDP ポート 162 で送信されます。

version { 1 | 2c }

(任意)SNMP 通知バージョンを Version 1 または 2c に設定します。

 
デフォルト

デフォルトの UDP ポートは 162 です。

デフォルトのバージョンは 1 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

最大 32 個の NMS を指定できます。

次に、境界インターフェイスに接続された 10.1.2.42 をホストに設定する例を示します。

hostname(config)# snmp-server host perimeter 10.1.2.42
 

 
関連コマンド

コマンド
説明

snmp-server community

SNMP コミュニティ ストリングを設定します。

snmp-server contact

SNMP の担当者名を設定します。

snmp-server enable

FWSM で SNMP をイネーブルにします。

snmp-server enable traps

SNMP トラップをイネーブルにします。

snmp-server location

SNMP サーバ ロケーション ストリングを設定します。

snmp-server listen-port

SNMP 要求の待ち受けポートを設定するには、グローバル コンフィギュレーション モードで snmp-server listen-port コマンドを使用します。デフォルト ポートに戻すには、このコマンドの no 形式を使用します。

snmp-server listen-port lport

no snmp-server listen-port lport

 
シンタックスの説明

lport

着信要求が受け入れられるポート。デフォルト ポートは 161 です。

 
デフォルト

デフォルト ポートは 161 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、待ち受けポートを 192 に設定する例を示します。

hostname(config)# snmp-server listen-port 192
 

 
関連コマンド

コマンド
説明

snmp-server community

SNMP コミュニティ ストリングを設定します。

snmp-server contact

SNMP の担当者名を設定します。

snmp-server enable

FWSM で SNMP をイネーブルにします。

snmp-server enable traps

SNMP トラップをイネーブルにします。

snmp-server location

SNMP サーバ ロケーション ストリングを設定します。

snmp-server location

SNMP に対応する FWSMのロケーションを設定するには、グローバル コンフィギュレーション モードで snmp-server location コマンドを使用します。このロケーションを削除するには、このコマンドの no 形式を使用します。

snmp-server location text

no snmp-server location [ text ]

 
シンタックスの説明

location text

セキュリティ アプライアンスのロケーションを指定します。 location text は大文字と小文字を区別する 127 文字以下の文字列です。スペースを含めることができますが、複数のスペースは 1 つのスペースに省略されます。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、ロケーションを Building 42、Sector 54 に設定する例を示します。

hostname(config)# snmp-server location Building 42, Sector 54
 

 
関連コマンド

コマンド
説明

snmp-server community

SNMP コミュニティ ストリングを設定します。

snmp-server contact

SNMP の担当者名を設定します。

snmp-server enable

FWSM で SNMP をイネーブルにします。

snmp-server enable traps

SNMP トラップをイネーブルにします。

snmp-server host

SNMP ホスト アドレスを設定します。

software-version

サーバまたはエンドポイントのいずれかのソフトウェア バージョンを示す、サーバおよびユーザ エージェント ヘッダーのフィールドを識別するには、パラメータ コンフィギュレーション モードで software-version コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

software-version action {mask | log} [log}

no software-version action {mask | log} [log}

 
シンタックスの説明

mask

SIP メッセージ内のソフトウェア バージョンをマスクします。

log

違反の場合に、標準ログ、または追加ログを指定します。

 
デフォルト

このコマンドは、デフォルトではディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

次に、SIP 検査ポリシー マップ内のソフトウェア バージョンを識別する例を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# software-version action log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

split-dns

スプリット トンネルを介して解決されるドメイン リストを入力するには、グループポリシー コンフィギュレーション モードで split-dns コマンドを使用します。リストを削除するには、このコマンドの no 形式を使用します。

split-dns { value domain-name1 domain-name2 domain-nameN | none }

no split-dns [ domain-name domain-name2 domain-nameN ]

 
シンタックスの説明

value domain-name

FWSM がスプリット トンネルを介して解決するドメイン名を指定します。

none

スプリット DNS リストがないことを指定します。スプリット DNS リストに null 値を設定して、スプリット DNS リストを禁止します。デフォルト グループ ポリシーまたは指定されたグループ ポリシーからのスプリット DNS リストの継承を禁止します。

 
デフォルト

スプリット DNS はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

ドメイン リスト内の各エントリを区切るには、スペースを 1 つ使用します。エントリ数に制限はありませんが、文字列全体が 255 文字を超えることはできません。使用できるのは英数字、ハイフン(-)、およびピリオド(.)だけです。

スプリット トンネリング ドメイン リストをすべて削除するには、引数を指定しないで no split-dns コマンドを使用します。このコマンドは、 split-dns none コマンドを発行して作成された null リストを含めて、設定されたスプリット トンネリング ドメイン リストをすべて削除します。

スプリット トンネリング ドメイン リストがない場合、ユーザはデフォルト グループ ポリシー内のすべてのリストを継承します。ユーザがこのようなスプリット トンネリング ドメイン リストを継承できないようにするには、 split-dns none コマンドを使用します。

次に、グループ ポリシー FirstGroup のスプリット トンネリングを介して解決されるように、ドメイン Domain1、Domain2、Domain3、および Domain4 を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-dns value Domain1 Domain2 Domain3 Domain4

 
関連コマンド

コマンド
説明

default-domain

DNS クエリーにドメイン フィールドがない場合に IPSec クライアントが使用するデフォルト ドメイン名を指定します。

split-dns

スプリット トンネルを介して解決されるドメイン リストを指定します。

split-tunnel-network-list

トンネリングが必要なネットワークと不要なネットワークを区別するために FWSM が使用するアクセス リストを識別します。

split-tunnel-policy

IPSec クライアントからのパケットを、条件に応じて IPSec トンネルを介して暗号化形式で転送したり、クリアテキスト形式で特定のネットワーク インターフェイスに転送できるようにします。

split-horizon

EIGRP スプリット ホライズンを再びイネーブルにするには、インターフェイス コンフィギュレーション モードで split-horizon コマンドを使用します。EIGRP スプリット ホライズンをディセーブルにするには、このコマンドの no 形式を使用します。

split-horizon eigrp as-number

no split-horizon eigrp as-number

 
シンタックスの説明

as-number

EIGRP ルーティング プロセスの自律システム番号。

 
デフォルト

split-horizon コマンドはイネーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

X.25 パケット交換網上のリンクを含むネットワークでは、 neighbor コマンドを使用してスプリット ホライズン機能を無効にできます。代替方法として、現在の設定で no split-horizon eigrp コマンドを明示的に指定することができます。ただし、それを行う場合は、ネットワーク上の関連するマルチキャスト グループ内のすべてのルータおよびアクセス サーバに対して、同様にスプリット ホライズンをディセーブルにする必要があります。

通常、使用中のアプリケーションがルートを正しくアドバタイズするために変更する必要があることが確実でない場合は、スプリット ホライズンのデフォルト ステートを変更しないことが最適です。シリアル インターフェイスでスプリット ホライズンがディセーブルで、そのインターフェイスがパケット交換ネットワークに接続されている場合は、そのネットワーク上の関連するマルチキャスト グループ内のすべてのルータおよびアクセス サーバに対してスプリット ホライズンをディセーブルにする必要があります。

次に、インターフェイス Vlan10 上の EIGRP スプリット ホライズンをディセーブルにする例を示します。

hostname(config)# interface Vlan10
hostname(config-if)# no split-horizon eigrp 100
 

 
関連コマンド

コマンド
説明

router eigrp

EIGRP ルーティング プロセスを作成し、このプロセスのコンフィギュレーション モードを開始します。

split-tunnel-network-list

スプリット トンネリング用のネットワーク リストを作成するには、グループ ポリシー コンフィギュレーション モードで split-tunnel-network-list コマンドを使用します。ネットワーク リストを削除するには、このコマンドの no 形式を使用します。

split-tunnel-network-list {value access-list name | none}

no split-tunnel-network-list value [ access-list name ]

 
シンタックスの説明

value access-list name

トンネリングするネットワークまたはトンネリングしないネットワークを列挙したアクセス リストを識別します。

none

スプリット トンネリング用のネットワーク リストがないことを示します。FWSM はすべてのトラフィックをトンネリングします。

スプリット トンネリング ネットワーク リストに null 値を設定して、スプリット トンネリングを禁止します。デフォルト グループ ポリシーまたは指定されたグループ ポリシーからのデフォルト スプリット トンネリング ネットワーク リストの継承を禁止します。

 
デフォルト

デフォルトでは、スプリット トンネリング ネットワーク リストは存在しません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM はネットワーク リストに基づいてスプリット トンネリング判断を行います。ネットワーク リストは、プライベート ネットワークのアドレス リストで構成される標準 Access Control List(ACL; アクセス コントロール リスト)です。

スプリット トンネリング ネットワーク リストをすべて削除するには、引数を指定しないで no split-tunnel-network-list コマンドを使用します。このコマンドは、 split-tunnel-network-list none コマンドを発行して作成された null リストを含めて、設定されたネットワーク リストをすべて削除します。

スプリット トンネリング ネットワーク リストがない場合、ユーザはデフォルト グループ ポリシーまたは指定されたグループ ポリシー内のすべてのネットワーク リストを継承します。ユーザがこのようなネットワーク リストを継承できないようにするには、 split-tunnel-network-list none コマンドを使用します。

スプリット トンネリング ネットワーク リストでは、トンネルを介してトラフィックを送信する必要があるネットワークと、トンネリングが不要なネットワークが区別されます。

次に、グループ ポリシー FirstGroup のネットワーク リスト FirstList を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-network-list FirstList

 
関連コマンド

コマンド
説明

access-list

アクセス リストを作成したり、ダウンロード可能なアクセス リストを使用します。

default-domain

DNS クエリーにドメイン フィールドがない場合に IPSec クライアントが使用するデフォルト ドメイン名を指定します。

split-dns

スプリット トンネルを介して解決されるドメイン リストを指定します。

split-tunnel-policy

IPSec クライアントからのパケットを、条件に応じて IPSec トンネルを介して暗号化形式で転送したり、クリアテキスト形式で特定のネットワーク インターフェイスに転送できるようにします。

split-tunnel-policy

スプリット トンネリング ポリシーを設定するには、グループポリシー コンフィギュレーション モードで split-tunnel-policy コマンドを使用します。実行コンフィギュレーションから split-tunnel-policy 属性を削除するには、このコマンドの no 形式を使用します。これにより、別のグループ ポリシーからスプリット トンネリング値を継承できるようになります。

split-tunnel-policy {tunnelall | tunnelspecified | excludespecified}

no split-tunnel-policy

 
シンタックスの説明

excludespecified

トラフィックがクリア形式で送信されるネットワークのリストを定義します。この機能は、トンネルを介して企業ネットワークに接続されているローカル ネットワーク上のデバイス(プリンタなど)に、リモート ユーザがアクセスする場合に役立ちます。このオプションは、Cisco VPN クライアントにだけ適用されます。

split-tunnel-policy

トラフィックのトンネリング ルールが設定されていることを示します。

tunnelall

トラフィックがクリア形式で送信されないように、あるいは FWSM 以外の宛先に送信されないように指定します。リモート ユーザは企業ネットワークを介してインターネット ネットワークに接続します。ローカル ネットワークにはアクセスできません。

tunnelspecified

指定されたネットワークに対するすべてのトラフィックをトンネリングします。このオプションを指定すると、スプリット トンネリングがイネーブルになります。これにより、トンネリングするネットワーク アドレス リストを作成できるようになります。その他のすべてのアドレス宛のデータはクリア形式で送信され、リモート ユーザのインターネット サービス プロバイダーでルーティングされます。

 
デフォルト

デフォルトの tunnelall では、スプリット トンネリングはディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

スプリット トンネリングの主な機能は、セキュリティ機能でなくトラフィック管理機能です。むしろ、セキュリティを最適化するにはスプリット トンネリングをディセーブルにすることを推奨します。スプリット トンネリングを使用すると、リモートアクセス IPSec クライアントからのパケットを、条件に応じて IPSec トンネルを介して暗号化形式で転送したり、クリアテキスト形式で特定のネットワーク インターフェイスに対して転送できるようになります。スプリットトンネリングがイネーブルの場合、宛先が IPSec トンネルの反対側にないパケットは、暗号化し、トンネルを介して送信し、暗号解除して、最終宛先にルーティングする必要がありません。

このコマンドは、このスプリット トンネリング ポリシーを特定のネットワークに適用します。

次に、グループ ポリシー FirstGroup で指定されたネットワークだけをトンネリングするように、スプリット トンネリング ポリシーを設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# split-tunnel-policy tunnelspecified

 
関連コマンド

コマンド
説明

default-domain

DNS クエリーにドメイン フィールドがない場合に IPSec クライアントが使用するデフォルト ドメイン名を指定します。

split-dns

スプリット トンネルを介して解決されるドメイン リストを指定します。

split-tunnel-network-list none

スプリット トンネリングに対応したアクセス リストがないことを指定します。すべてのトラフィックはトンネルを経由します。

split-tunnel-network-list value

トンネリングが必要なネットワークと不要なネットワークを区別するために FWSM が使用するアクセス リストを識別します。

ssh

FWSM に Secure Shell(SSH; セキュア シェル)アクセスを追加するには、グローバル コンフィギュレーション モードで ssh コマンドを使用します。FWSM への SSH アクセスをディセーブルにするには、このコマンドの no 形式を使用します。このコマンドは IPv4 および IPv6 アドレスをサポートします。

ssh { ip_address mask | ipv6_address / prefix } interface

no ssh { ip_address mask | ipv6_address / prefix } interface

 
シンタックスの説明

interface

SSH をイネーブルにする FWSM インターフェイス。指定しない場合、SSH は外部インターフェイスを除くすべてのインターフェイスでイネーブルになります。

ip_address

FWSMへの SSH 接続を開始することが許可されたホストまたはネットワークの IPv4 アドレス。ホストの場合は、ホスト名も入力できます。

ipv6_address / prefix

FWSMへの SSH 接続を開始することが許可されたホストまたはネットワークの IPv6 アドレスおよびプレフィクス。

mask

ip_address のネットワーク マスク。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

ssh ip_address コマンドは、FWSM への SSH 接続を開始することが許可されたホストまたはネットワークを指定します。コンフィギュレーションに複数の ssh コマンドを含めることができます。このコマンドの no 形式を使用すると、コンフィギュレーションから特定の SSH コマンドが削除されます。SSH コマンドをすべて削除するには、 clear configure ssh コマンドを使用します。

FWSM に SSH を開始する前に、 crypto key generate rsa コマンドを使用してデフォルト RSA 鍵を生成する必要があります。

次に、FWSMでサポートされているセキュリティ アルゴリズムおよび暗号を示します。

3DES および AES 暗号(データ暗号化用)

HMAC-SHA および HMAC-MD5 アルゴリズム(パケットの整合性を保つ場合)

RSA 公開鍵アルゴリズム(ホスト認証用)

Diffie-Hellman Group 1 アルゴリズム(鍵交換用)

次の SSH Version 2 の機能は FWSMでサポートされていません。

X11 転送

ポート転送

SFTP サポート

Kerberos および AFS チケットの送受信

データ圧縮

次に、IP アドレスが 10.1.1.1 の管理コンソールからの SSH Version 2 接続を受け入れるように内部インターフェイスを設定する例を示します。アイドル セッション タイムアウトは 60 分に、SCP はイネーブルに設定されています。

hostname(config)# ssh 10.1.1.1 255.255.255.0 inside
hostname(config)# ssh version 2
hostname(config)# ssh copy enable
hostname(config)# ssh timeout 60
 

 
関連コマンド

コマンド
説明

clear configure ssh

実行コンフィギュレーションから SSH コマンドをすべて消去します。

crypto key generate rsa

ID 証明書用の RSA 鍵ペアを生成します。

debug ssh

SSH コマンドのデバッグ情報およびエラー メッセージを表示します。

show running-config ssh

実行コンフィギュレーションに現在含まれている SSH コマンドを表示します。

ssh scopy enable

FWSM 上でセキュアなコピー サーバをイネーブルにします。

ssh version

SSH Version 1 または SSH Version 2 を使用するように FWSM を制限します。

ssh disconnect

アクティブな SSH セッションを切断するには、特権 EXEC モードで ssh disconnect コマンドを使用します。

ssh disconnect session_id

 
シンタックスの説明

session_id

ID 番号で指定された SSH セッションを切断します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

セッション ID を指定する必要があります。切断する SSH セッションの ID を取得するには、 show ssh sessions コマンドを使用します。

次に、切断している SSH セッションを表示する例を示します。

hostname# show ssh sessions
SID Client IP Version Mode Encryption Hmac State Username
0 172.69.39.39 1.99 IN aes128-cbc md5 SessionStarted pat
OUT aes128-cbc md5 SessionStarted pat
1 172.23.56.236 1.5 - 3DES - SessionStarted pat
2 172.69.39.29 1.99 IN 3des-cbc sha1 SessionStarted pat
OUT 3des-cbc sha1 SessionStarted pat
hostname# ssh disconnect 2
hostname# show ssh sessions
SID Client IP Version Mode Encryption Hmac State Username
0 172.69.39.29 1.99 IN aes128-cbc md5 SessionStarted pat
OUT aes128-cbc md5 SessionStarted pat
1 172.23.56.236 1.5 - 3DES - SessionStarted pat
 

 
関連コマンド

コマンド
説明

show ssh sessions

FWSM に対するアクティブ SSH セッションの情報を表示します。

ssh timeout

アイドルな SSH セッションのタイムアウト値を設定します。

ssh scopy enable

FWSM で Secure Copy(SCP)をイネーブルにするには、グローバル コンフィギュレーション モードで ssh scopy enable コマンドを使用します。SCP をディセーブルにするには、このコマンドの no 形式を使用します。

ssh scopy enable

no ssh scopy enable

 
シンタックスの説明

このコマンドに引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

SCP はサーバにだけ実装されます。サーバは SCP の接続を受け入れたり、終了することができますが、開始できません。FWSM には次の制約事項があります。

この SCP ではディレクトリがサポートされていません。リモート クライアントからのアクセスは FWSM 内部ファイルに限定されます。

SCP を使用する場合、バナーはサポートされません。

SCP はワイルドカードをサポートしません。

FWSM ライセンスには、SSH Version 2 接続をサポートする VPN-3DES-AES 機能が必要です。

次に、IP アドレスが 10.1.1.1 の管理コンソールからの SSH Version 2 接続を受け入れるように内部インターフェイスを設定する例を示します。アイドル セッション タイムアウトは 60 分に、SCP はイネーブルに設定されています。

hostname(config)# ssh 10.1.1.1 255.255.255.0 inside
hostname(config)# ssh version 2
hostname(config)# ssh copy enable
hostname(config)# ssh timeout 60
 

 
関連コマンド

コマンド
説明

clear configure ssh

実行コンフィギュレーションから SSH コマンドをすべて消去します。

debug ssh

SSH コマンドのデバッグ情報およびエラー メッセージを表示します。

show running-config ssh

実行コンフィギュレーションに現在含まれている SSH コマンドを表示します。

ssh

指定されたクライアントまたはネットワークから FWSM への SSH 接続を許可します。

ssh version

SSH Version 1 または SSH Version 2 を使用するように FWSM を制限します。

ssh timeout

デフォルトの SSH セッション アイドル タイムアウト値を変更するには、グローバル コンフィギュレーション モードで ssh timeout コマンドを使用します。デフォルトのタイムアウト値に戻すには、このコマンドの no 形式を使用します。

ssh timeout number

no ssh timeout

 
シンタックスの説明

number

SSH セッションが切断されるまでの非アクティブ期間を分で指定します。有効値は 1 ~ 60 分です。

 
デフォルト

デフォルトのセッション タイムアウト値は 5 分です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

ssh timeout コマンドは、セッションが切断されるまでのアイドル期間(分)を指定します。デフォルト期間は 5 分です。

次に、IP アドレスが 10.1.1.1 の管理コンソールからの SSH Version 2 接続だけを受け入れるように内部インターフェイスを設定する例を示します。アイドル セッション タイムアウトは 60 分に、SCP はイネーブルに設定されています。

hostname(config)# ssh 10.1.1.1 255.255.255.0 inside
hostname(config)# ssh version 2
hostname(config)# ssh copy enable
hostname(config)# ssh timeout 60
 

 
関連コマンド

コマンド
説明

clear configure ssh

実行コンフィギュレーションから SSH コマンドをすべて消去します。

show running-config ssh

実行コンフィギュレーションに現在含まれている SSH コマンドを表示します。

show ssh sessions

FWSM に対するアクティブ SSH セッションの情報を表示します。

ssh disconnect

アクティブな SSH セッションを切断します。

ssh version

FWSM で許可される SSH のバージョンを制限するには、グローバル コンフィギュレーション モードで ssh version コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

ssh version { 1 | 2 }

no ssh version [ 1 | 2 ]

 
シンタックスの説明

1

SSH Version 1 接続だけがサポートされるように指定します。

2

SSH Version 2 接続だけがサポートされるように指定します。

 
デフォルト

デフォルトでは、SSH Version 1 と SSH Version 2 が両方ともサポートされます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

1 および 2 は、FWSM が限定的に使用する SSH のバージョンを指定します。このコマンドの no 形式を使用すると、FWSM はデフォルトの互換モードに戻ります(両方のバージョンを使用できます)。デフォルト値の場合は、FWSMとの SSH Version 1 および SSH Version 2 接続を確立できます。

次に、IP アドレスが 10.1.1.1 の管理コンソールからの SSH Version 2 接続を受け入れるように内部インターフェイスを設定する例を示します。アイドル セッション タイムアウトは 60 分に、SCP はイネーブルに設定されています。

hostname(config)# ssh 10.1.1.1 255.255.255.0 inside
hostname(config)# ssh version 2
hostname(config)# ssh copy enable
hostname(config)# ssh timeout 60
 

 
関連コマンド

コマンド
説明

clear configure ssh

実行コンフィギュレーションから SSH コマンドをすべて消去します。

debug ssh

SSH コマンドのデバッグ情報およびエラー メッセージを表示します。

show running-config ssh

実行コンフィギュレーションに現在含まれている SSH コマンドを表示します。

ssh

指定されたクライアントまたはネットワークから FWSM への SSH 接続を許可します。

ssl server-version

FWSM がサーバとして動作するときに使用する SSL/TLS プロトコルのバージョンを指定するには、グローバル コンフィギュレーション モードで ssl server-version コマンドを使用します。デフォルト(any)に戻すには、このコマンドの no 形式を使用します。このコマンドを使用すると、FWSM が受け入れる SSL/TSL のバージョンを制限できます。

ssl server-version [ any | sslv3 | tlsv1 | sslv3-only | tlsv1-only ]

no ssl server-version

 
シンタックスの説明

any

SSL バージョン 2 クライアントの HELLO を受け入れ、SSL バージョン 3 または TLS バージョン 1 のいずれかにネゴシエートします。

sslv3

SSL バージョン 2 クライアントの HELLO を受け入れ、SSL バージョン 3 にネゴシエートします。

sslv3-only

SSL バージョン 3 クライアントだけの HELLO を受け入れ、SSL バージョン 3 だけを使用します。

tlsv1

SSL バージョン 2 クライアントの HELLO を受け入れ、TLS バージョン 1 にネゴシエートします。

tlsv1-only

TLS バージョン 1 クライアントだけの HELLO を受け入れ、TLS バージョン 1 だけを使用します。

 
デフォルト

デフォルト値は any です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

ssl server-version コマンドは、HTTPS クライアントがファイアウォール管理のためファイアウォールに直接接続するとき、受け入れられる SSL のバージョンの指定に使用します。FWSM では、このコマンドは WebVPN 機能をサポートしません。

次に、FWSM が SSL サーバとして動作するとき、TLSv1 だけを使用して通信するように設定する例を示します。

hostname(config)# ssl server-version tlsv1-only
 

 

state-checking

H.323 のステート チェックを適用するには、パラメータ コンフィギュレーションモードで state-checking コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

state-checking [h225 | ras]

no state-checking [h225 | ras]

 
シンタックスの説明

h225

H.225 のステート チェックを適用します。

ras

RAS のステート チェックを適用します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

次に、H.323 コール上の RAS にステート チェックを適用する例を示します。

hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# state-checking ras
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

static

実際の IP アドレスを対応する IP アドレスにマッピングして、1 対 1 の永続的なアドレス変換ルールを設定するには、グローバル コンフィギュレーション モードで static コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

スタティック NAT の場合:

static ( real_ifc , mapped_ifc ) { mapped_ip | interface } { real_ip [ netmask mask ] | access-list access_list_name } [ dns ] [[ tcp ] max_conns [ emb_lim ]] [ udp udp_max_conns ] [ norandomseq ]

no static ( real_ifc , mapped_ifc ) { mapped_ip | interface } { real_ip [ netmask mask ] | access-list access_list_name } [ dns ] [[ tcp ] max_conns [ emb_lim ]] [ udp udp_max_conns ] [ norandomseq ]

スタティック PAT の場合:

static ( real_ifc , mapped_ifc ) {tcp | udp} { mapped_ip | interface } mapped_port { real_ip real_port [ netmask mask ] | access-list access_list_name } [ dns ] [[ tcp ] max_conns [ emb_lim ]] [ udp udp_max_conns ] [ norandomseq ]

no static ( real_ifc , mapped_ifc ) {tcp | udp} { mapped_ip | interface } mapped_port { real_ip real_port [ netmask mask ] | access-list access_list_name } [ dns ] [[ tcp ] max_conns [ emb_lim ]] [ udp udp_max_conns ] [ norandomseq ]

 
シンタックスの説明

access-list access_list_name

拡張アクセス リストを使用して、実際のアドレスおよび宛先と送信元アドレスを識別します。この機能はポリシー NAT といいます。

access-list extended コマンドを使用して、拡張アクセス リストを作成します。アクセス リストの最初のアドレスは実際のアドレスです。2 番目のアドレスは、トラフィックの発信元に応じて送信元アドレスまたは宛先アドレスのいずれかになります。たとえば、10.1.1.1 が 209.165.200.224 ネットワークにトラフィックを送信する場合、実際のアドレス 10.1.1.1 をマッピング済みアドレス 192.168.1.1 に変換するときの access-list コマンドおよび static コマンドは次のようになります。

hostname(config)# access-list TEST extended ip host 10.1.1.1 209.165.200.224 255.255.255.224
hostname(config)# static (inside,outside) 192.168.1.1 access-list TEST
 

この場合、2 番目のアドレスは宛先アドレスです。ただし、マッピング アドレスへの接続を開始するホストでも同じコンフィギュレーションが使用されます。たとえば、209.165.200.224 ネットワーク上のホストが 192.168.1.1 への接続を開始する場合、アクセス リストの 2 番目のアドレスは送信元アドレスとなります。

このアクセスリストには、 permit ACE だけを指定する必要があります。 eq 演算子を使用して、アクセス リストに実際のポートと宛先ポートを指定することもできます。ポリシー NAT は inactive または time-range キーワードを考慮しません。ポリシー NAT 設定では、すべての ACE がアクティブであると見なされます。

変換用ネットワーク(10.1.1.0 255.255.255.0 など)を指定すると、FWSM は .0 および .255 アドレスが変換されます。これらのアドレスへのアクセスを禁止する場合は、アクセスを拒否するようにアクセス リストを設定してください。

dns

(任意)このスタティック変換と一致する DNS 応答の A レコード(アドレス レコード)を書き替えます。マッピング先のインターフェイスからその他のインターフェイスに移動する DNS 応答では、A レコードはマッピング先の値から実際の値に書き替えられます。逆に、任意のインターフェイスからマッピング先のインターフェイスに移動する DNS 応答では、A レコードは実際の値からマッピング先の値に書き替えられます。

emb_lim

(任意)ホストあたりの最大初期接続数を指定します。デフォルト値は 0 で、初期接続数は無制限です。

初期接続数を制限して、DoS 攻撃から保護することができます。FWSM は初期制限を使用して、TCP 代行受信をトリガーします。これにより、TCP SYN パケットがインターフェイスでフラッディングすることによって発生する DoS 攻撃から内部システムが保護されます。初期接続は、送信元と宛先間で必要なハンドシェイクを終了しなかった接続要求です。

interface

マッピング先のアドレスとしてインターフェイスの IP アドレスを使用します。

(注) スタティック PAT エントリにインターフェイスの IP アドレスを追加する場合は、実際の IP アドレスを指定しないで、interface キーワードを使用する必要があります。

mapped_ifc

マッピング先の IP アドレス ネットワークに接続されたインターフェイスの名前を指定します。

mapped_ip

実際のアドレスの変換先アドレスを指定します。

mapped_port

マッピング先の TCP または UDP ポートを指定します。ポートはリテラル名、または 0 ~ 65535 のポート番号で指定できます。

有効なポート番号は、次の Web サイトからオンラインで表示することができます。

http://www.iana.org/assignments/port-numbers

netmask mask

実際のアドレスおよびマッピング アドレスのサブネット マスクを指定します。単一ホストの場合は、255.255.255.255 を使用します。マスクを入力しない場合は、1 つの例外を除いて、IP アドレス クラスのデフォルト マスクが使用されます。マスク後のホストビットがゼロでない場合にかぎり、ホスト マスクには 255.255.255.255 が使用されます。 real_ip ではなく access-list キーワードを使用した場合は、アクセス リストで使用したサブネット マスクが mapped_ip にも使用されます。

norandomseq

(任意)TCP ISN ランダム化の保護機能をディセーブルにします。別のインライン ファイアウォールで TCP イニシャル シーケンス番号のランダム化をイネーブルにしている場合は、そのランダム化をディセーブルにできます。2 つのファイアウォールで同じ動作を実行する必要はないからです。ただし、ISN ランダム化については、両方のファイアウォールでイネーブルのままにしても、トラフィックに影響はありません。

各 TCP 接続には ISN が 2 つあります。1 つはクライアントによって生成され、もう 1 つはサーバによって生成されます。セキュリティ アプライアンスは、発信方向に渡される TCP SYN の ISN をランダム化します。同一セキュリティ レベルの 2 つのインターフェイス間の接続では、SYN の ISN が両方向でランダム化されます。

保護されたホストで ISN をランダム化すると、新規接続の次の ISN を予測して新規セッションをハイジャックする攻撃を阻止できます。

norandomseq キーワードは外部 NAT には適用されません。ファイアウォールがランダム化するのは、セキュリティがより高いインターフェイス上のホスト/サーバで生成される ISN だけです。外部 NAT に norandomseq を設定しても、 norandomseq キーワードは無視されます。

real_ifc

実際の IP アドレス ネットワークに接続されたインターフェイスの名前を指定します。

real_ip

変換する実際のアドレスを指定します。

real_port

実際の TCP または UDP ポートを指定します。ポートはリテラル名、または 0 ~ 65535 のポート番号で指定できます。

有効なポート番号は、次の Web サイトからオンラインで表示することができます。

http://www.iana.org/assignments/port-numbers

tcp

スタティック PAT の場合は、プロトコルに TCP を指定します。

tcp max_conns

(任意)ローカル ホストで同時に接続可能な TCP の最大数を指定します(詳細については、 local-host コマンドを参照してください)。デフォルトは 0 で、接続数の制限がないことを意味します( timeout conn コマンドで指定されたアイドル タイムアウトが経過すると、アイドル接続は終了します)。

接続制限を設定するために推奨される方法は、ポリシー マップの中でクラスに接続制限を設定することで、モジュラ ポリシー フレームワークを使用することです。

udp

スタティック PAT の場合は、プロトコルに UDP を指定します。

udp udp_max_conns

(任意)ローカル ホストで同時に接続可能な TCP の最大数を指定します (詳細については、 local-host コマンドを参照してください)。デフォルトは 0 で、接続数の制限がないことを意味します( timeout conn コマンドで指定されたアイドル タイムアウトが経過すると、アイドル接続は終了します)。

接続制限を設定するために推奨される方法は、ポリシー マップの中でクラスに接続制限を設定することで、モジュラ ポリシー フレームワークを使用することです。

 
デフォルト

tcp_max_conns emb_limit 、および udp_max_conns のデフォルト値は、使用可能な最大値を示す 0(無制限)です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

2.2(1)

ローカル ホストの UDP 最大接続数をサポートするように、このコマンドが変更されました。

3.2.(1)

NAT がトランスペアレント ファイアウォール モードでサポートされるようになりました。

 
使用上のガイドライン

スタティック NAT は、実際のアドレスからマッピング アドレスへの固定的な変換を行います。ダイナミック NAT および PAT は、以降の変換を行うたびに、各ホストは異なるアドレスまたはポートを使用します。スタティック NAT では、連続するどの接続でもマッピング アドレスが同じで、変換ルールは永続的であるため、宛先ネットワークのホストから変換先ホストにトラフィックを送信できます(この処理を許可するアクセス リストがある場合)。


) スタティック ポリシー NAT では、変換を元に戻す場合、static コマンドの ACL は使用されません。パケット内の宛先アドレスがマップ先アドレスと一致する場合は、そのアドレスを変換しないためにスタティック ルールが使用されます。


スタティック ポリシー NAT には、マッチング ポートを使用できます。マッチング ポートは NAT ではサポートされません。

ダイナミック NAT とスタティック NAT のアドレス範囲の主な違いは、スタティック NAT では、リモート ホストから変換先ホストへの接続を開始でき(この処理を許可するアクセス リストがある場合)、ダイナミック NAT ではこれができないことです。スタティック NAT の場合は、実際のアドレスと同数のマッピング アドレスも必要です。

スタティック PAT はスタティック NAT と同じです。ただし、スタティック PAT では、実際のアドレスとマッピング アドレスのプロトコル(TCP または UDP)およびポートを指定することができます。

この機能によって、複数の異なるスタティック ステートメントについて同じマッピング アドレスを指定することができます。ただし、ステートメントごとにポートは異なっている必要があります。

スタティック PAT を使用しない場合、同じ 2 つのインターフェイス間で複数の static コマンドを実行する場合は、実際のアドレスまたはマッピング アドレスに同じ値を使用できません。 global コマンドで定義されたマッピング アドレスを、同じマッピング先のインターフェイスに対する static コマンド内で使用しないでください。

セカンダリ チャネル(FTP、VoIP など)のアプリケーション検査が必要となるアプリケーションの場合、ポリシー NAT 内でポートを指定すると、 FWSM はセカンダリ ポートを自動的に変換します。

モジュラ ポリシー フレームワークを使用して、接続制限を設定することもできます(ただし、初期接続制限は設定できません)。詳細については、 set connection コマンドを参照してください。初期接続制限を設定するには、NAT を使用する必要があります。両方の方法で同じトラフィックにこれらの値を設定した場合、FWSM は低い方の限度を使用します。TCP シーケンス ランダム化は、いずれかの方法を使用してディセーブルになっていれば、FWSM によりディセーブルになります。

変換用ネットワーク(10.1.1.0 255.255.255.0 など)を指定すると、FWSM は .0 および .255 アドレスが変換されます。これらのアドレスへのアクセスを禁止する場合は、アクセスを拒否するようにアクセス リストを設定してください。

static コマンドを変更または削除すると、変換を使用する既存の接続は影響を受けません。これらの接続を削除するには、 clear local-host または clear xlate コマンドを入力します。 clear xlate コマンドは、xlate バイパスがイネーブルで接続に xlate がなくてもすべての接続をクリアします。

スタティック NAT の例

たとえば、次のポリシー スタティック NAT の例では、単一の実際のアドレスが、宛先アドレスに応じて 2 つのマッピング アドレスに変換されます。

hostname(config)# access-list NET1 permit ip host 10.1.2.27 209.165.201.0 255.255.255.224
hostname(config)# access-list NET2 permit ip host 10.1.2.27 209.165.200.224 255.255.255.224
hostname(config)# static (inside,outside) 209.165.202.129 access-list NET1
hostname(config)# static (inside,outside) 209.165.202.130 access-list NET2
 

次のコマンドは、内部 IP アドレス(10.1.1.3)を外部 IP アドレス(209.165.201.12)にマッピングします。

hostname(config)# static (inside,outside) 209.165.201.12 10.1.1.3 netmask 255.255.255.255
 

次のコマンドは、外部 IP アドレス(209.165.201.15)を内部 IP アドレス(10.1.1.6)にマッピングします。

hostname(config)# static (outside,inside) 10.1.1.6 209.165.201.15 netmask 255.255.255.255
 

次のコマンドは、サブネット全体をスタティックにマッピングします。

hostname(config)# static (inside,dmz) 10.1.1.0 10.1.2.0 netmask 255.255.255.0
 

次に、Intel Internet Phone、CU-SeeMe、CU-SeeMe Pro、MeetingPoint、または Microsoft NetMeeting を使用して、H.323 を介して無制限のユーザにコールできるようにする例を示します。 static コマンドはアドレス 209.165.201.0 ~ 209.165.201.30 をローカル アドレス 10.1.1.0 ~ 10.1.1.30 にマッピングします(209.165.201.1 は 10.1.1.1 に、209.165.201.10 は 10.1.1.10 にマッピングします)。

hostname(config)# static (inside, outside) 209.165.201.0 10.1.1.0 netmask 255.255.255.224
hostname(config)# access-list acl_out permit tcp any 209.165.201.0 255.255.255.224 eq h323
hostname(config)# access-group acl_out in interface outside
 

次に、Mail Guard をディセーブルにするために使用されるコマンドの例を示します。

hostname(config)# static (dmz1,outside) 209.165.201.1 10.1.1.1 netmask 255.255.255.255
hostname(config)# access-list acl_out permit tcp any host 209.165.201.1 eq smtp
hostname(config)# access-group acl_out in interface outside
hostname(config)# no fixup protocol smtp 25
 

この例では、static コマンドを使用して、外部ホストから dmz1 インターフェイス上の 10.1.1.1 メール サーバ ホストへのアクセスを許可するように、グローバル アドレスを設定できます。209.165.201.1 アドレスを指すように DNS の MX レコードを設定して、メールがこのアドレスに送信されるようにする必要があります。access-list コマンドを使用すると、外部ユーザは SMTP ポート(25)を介してグローバル アドレスにアクセスできます。no fixup protocol コマンドは Mail Guard をディセーブルにします。

スタティック PAT の例

たとえば、10.1.3.0 ネットワーク上のホストから FWSM の外部インターフェイス(10.1.2.14)に送信された Telnet トラフィックを 10.1.1.15 の内部ホストにリダイレクトするには、次のコマンドを入力します。

hostname(config)# access-list TELNET permit tcp host 10.1.1.15 10.1.3.0 255.255.255.0 eq telnet
hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet access-list TELNET
 

10.1.3.0 ネットワーク上のホストから FWSM の外部インターフェイス(10.1.2.14)に送信された HTTP トラフィックを 10.1.1.15 の内部ホストにリダイレクトするには、次のコマンドを入力します。

hostname(config)# access-list HTTP permit tcp host 10.1.1.15 10.1.3.0 255.255.255.0 eq http
hostname(config)# static (inside,outside) tcp 10.1.2.14 http access-list HTTP
 

FWSM の外部インターフェイス(10.1.2.14)から 10.1.1.15 の内部ホストに Telnet トラフィックをリダイレクトするには、次のコマンドを入力します。

hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet 10.1.1.15 telnet netmask 255.255.255.255
 

ただし、上記の実際の Telnet サーバから接続を開始できるようにするには、追加変換を設定する必要があります。たとえば、その他のすべてのタイプのトラフィックを変換するには、次のコマンドを入力します。元の static コマンドはサーバに Telnet 変換を実行しますが、 nat および global コマンドはサーバからの発信接続に PAT を実行します。

hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet 10.1.1.15 telnet netmask 255.255.255.255
hostname(config)# nat (inside) 1 10.1.1.15 255.255.255.255
hostname(config)# global (outside) 1 10.1.2.14
 

すべての内部トラフィックに個別の変換を設定し、内部ホストで Telnet サーバと異なるマッピング アドレスを使用している場合は、サーバへの Telnet トラフィックを許可する static ステートメントと同じマッピング アドレスを使用するように、Telnet サーバから送信されるトラフィックを設定することができます。Telnet サーバに限っては、より限定的な nat ステートメントを作成する必要があります。 nat ステートメントは最適一致を検索するために読み込まれるため、より限定的な nat ステートメントは一般のステートメントよりも先に照合されます。次に、Telnet static ステートメント、Telnet サーバから送信されたトラフィックに対する、より限定的な nat ステートメント、および別のマッピング アドレスを使用するその他の内部ホストのステートメントの例を示します。

hostname(config)# static (inside,outside) tcp 10.1.2.14 telnet 10.1.1.15 telnet netmask 255.255.255.255
hostname(config)# nat (inside) 1 10.1.1.15 255.255.255.255
hostname(config)# global (outside) 1 10.1.2.14
hostname(config)# nat (inside) 2 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 2 10.1.2.78
 

既知のポート(80)を別のポート(8080)に変換するには、次のコマンドを入力します。

hostname(config)# static (inside,outside) tcp 10.1.2.45 80 10.1.1.16 8080 netmask 255.255.255.255
 

 
関連コマンド

コマンド
説明

clear configure static

コンフィギュレーションから static コマンドを削除します。

clear xlate

すべての変換を削除します。

nat

ダイナミック NAT を設定します。

show running-config static

コンフィギュレーション内の static コマンドをすべて表示します。

timeout conn

接続のタイムアウトを設定します。

strict-header-validation

RFC 3261 に準拠して SIP メッセージのヘッダー フィールドの厳密な検証をイネーブルにするには、パラメータ コンフィギュレーション モードで strict-header-validation コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

strict-header-validation action {drop | drop-connection | reset | log} [log}

no strict-header-validation action {drop | drop-connection | reset | log} [log}

 
シンタックスの説明

drop

違反が発生した場合、パケットを廃棄します。

drop-connection

違反が発生した場合、接続を廃棄します。

reset

違反が発生した場合、接続をリセットします。

log

違反の場合に、標準ログ、または追加ログを指定します。このアクションは、任意のアクションに関連付けることができます。

 
デフォルト

このコマンドは、デフォルトではディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

SIP メッセージ ヘッダーに違反がある場合に Universal Access Concentrator(UAC; ユニバーサル アクセス コンセントレータ)から User Agent Server(UAS; ユーザ エージェント サーバ)に TCP リセットを送信するには、 strict-header-validation コマンドに reset log キーワードを入力することに加えて、 service resetinbound コマンドを設定する必要があります。

Inside インターフェイスと Outside インターフェイスでセキュリティ レベルが異なる場合、リセットは Inside ホストだけに送信されます。Outside ホストにリセットを送信するには、 service resetinbound コマンドを設定し、 strict-header-validation コマンドに reset log キーワードを入力します。

次に、SIP 検査ポリシー マップの SIP ヘッダー フィールドの厳密な検証をイネーブルにする例を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# strict-header-validation action log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

strict-http

準拠しない HTTP トラフィックを転送できるようにするには、HTTP マップ コンフィギュレーション モードで strict-http コマンドを使用します。HTTP マップ コンフィギュレーション モードにアクセスするには、 http-map コマンドを使用します。この機能をデフォルト動作にリセットするには、このコマンドの no 形式を使用します。

strict-http action { allow | reset | drop } [ log ]

no strict-http action { allow | reset | drop } [ log ]

 
シンタックスの説明

action

メッセージがこのコマンド検査に失敗した場合に実行するアクション。

allow

メッセージを許可します。

drop

接続を終了します。

log

(任意)Syslog を生成します。

reset

クライアントおよびサーバに TCP リセット メッセージを送信して、接続を閉じます。

 
デフォルト

このコマンドは、デフォルトでイネーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

HTTP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 

 
使用上のガイドライン

厳格な HTTP 検査をディセーブルにできませんが、 strict-http action allow コマンドを実行すると FWSM は準拠しない HTTP トラフィックを転送できるようになります。このコマンドは、準拠しない HTTP トラフィックの転送を禁止するデフォルト動作を無効にします。

次に、準拠しない HTTP トラフィックの転送を許可する例を示します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# strict-http allow
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

debug appfw

拡張 HTTP 検査に関連付けられたトラフィックの詳細情報を表示します。

http-map

拡張 HTTP 検査を設定するために HTTP マップを定義します。

inspect http

特定の HTTP マップがアプリケーション検査で使用されるようにします。

policy-map

特定のセキュリティ アクションにクラス マップを対応付けます。

strip-group

このコマンドは、user@realm 形式で受信したユーザ名にだけ適用されます。レルムは、ユーザ名に@ デリミタが付加された管理ドメインです(juser@abc)。

strip-group 処理をイネーブルまたはディセーブルにするには、tunnel-group general-attributes モードで strip-group コマンドを使用します。FWSM は Virtual Private Network(VPN; 仮想プライベート ネットワーク)クライアントが提示したユーザ名からグループ名を取得して、Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)接続用のトンネル グループを選択します。strip-group 処理がイネーブルの場合、FWSM はユーザ名のユーザ部分だけを送信して許可または認証を行います。それ以外の場合(strip-group 処理がディセーブルの場合)、FWSM はレルムを含むユーザ名全体を送信します。

strip-group 処理をディセーブルにするには、このコマンドの no 形式を使用します。

strip-group

no strip-group

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドのデフォルト設定はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

tunnel-group general-attributes コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

この属性を適用できるのは、IPSec リモート アクセスおよび L2TP/IPSec トンネルタイプだけです。

次に、リモート アクセス トンネル グループ「remotegrp」のタイプを IPSec リモート アクセスに設定し、一般コンフィギュレーション モードを開始し、トンネル グループ「remotegrp」をデフォルト グループ ポリシーに設定し、このトンネル グループに対して strip-group をイネーブルにする例を示します。

hostname(config)# tunnel-group remotegrp type IPSec_ra
hostname(config)# tunnel-group remotegrp general
hostname(config-general)# default-group-policy remotegrp
hostname(config-general)# strip-group
hostname(config-general)

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されたトンネル グループをすべて消去します。

group-delimiter

グループ名解析をイネーブルにし、トンネルのネゴシエーション中に受信されたユーザ名からグループ名を解析する場合に使用するデリミタを指定します。

show running-config tunnel group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ設定を表示します。

tunnel-group-map default group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに対応付けます。

strip-realm

strip-realm 処理をイネーブルまたはディセーブルにするには、tunnel-group general-attributes コンフィギュレーション モードで strip-realm コマンドを使用します。strip-realm 処理では、認証サーバまたは許可サーバにユーザ名を送信するときに、ユーザ名からレルムが除去されます。レルムは、ユーザ名に @ デリミタが付加された管理ドメインです(username@realm)。このコマンドがイネーブルの場合、FWSM はユーザ名のユーザ部分だけを送信して許可または認証を行います。それ以外の場合、FWSM はユーザ名全体を送信します。

strip-realm 処理をディセーブルにするには、このコマンドの no 形式を使用します。

strip-realm

no strip-realm

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドのデフォルト設定はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

tunnel-group general-attributes コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

この属性を適用できるのは、IPSec リモート アクセス トンネルタイプだけです。

次に、リモート アクセス トンネル グループ「remotegrp」のタイプを IPSec リモート アクセスに設定し、一般コンフィギュレーション モードを開始してトンネル グループ「remotegrp」をデフォルト グループ ポリシーに設定し、このトンネル グループに対して Strip Realm をイネーブルにする例を示します。

hostname(config)# tunnel-group remotegrp type IPSec_ra
hostname(config)# tunnel-group remotegrp general
hostname(config-general)# default-group-policy remotegrp
hostname(config-general)# strip-realm

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されたトンネル グループをすべて消去します。

show running-config tunnel-group

指定された証明書マップ エントリを表示します。

tunnel-limit

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに対応付けます。

subject-name (crypto ca certificate map)

IPSec ピア証明書のサブジェクト DN にルール エントリを適用するように指定するには、CA 証明書マップ コンフィギュレーション モードで subject-name コマンドを使用します。サブジェクト名を削除するには、このコマンドの no 形式を使用します。

subject-name [ attr tag ] { eq | ne | co | nc } string

no subject-name [ attr tag ] { eq | ne | co | nc } string

 
シンタックスの説明

attr tag

(任意)証明書 DN の指定された属性値だけをルール エントリの文字列と比較するように指定します。tag の値は次のとおりです。

DNQ = DN 修飾子
GENQ = 世代修飾子
I = イニシャル
GN = 名
N = 名前
SN = 姓
IP = IP アドレス
SER = シリアル番号
UNAME = 構造化されていない名前
EA = 電子メール アドレス
T = 肩書き
O = 組織名
L = 地名
SP = 州/県
C = 国
OU = 組織単位
CN = 一般名称

co

ルール エントリの文字列が DN 文字列または指定された属性に含まれている必要があります。

eq

DN 文字列または指定された属性がルール文字列全体と一致する必要があります。

nc

ルール エントリ文字列が DN 文字列または指定された属性に含まれていない必要があります。

ne

DN 文字列または指定された属性がルール文字列全体と一致しない必要があります。

string

一致する値を指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA 証明書マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、証明書マップ 1 に対して CA 証明書マップ モードを開始して、証明書サブジェクト名の組織属性が Central と一致する必要があることを示すルール エントリを作成する例を示します。

hostname(config)# crypto ca certificate map 1
hostname(ca-certificate-map)# subject-name attr o eq central
hostname(ca-certificate-map)# exit
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca certificate map

CA 証明書マップ モードを開始します。

issuer-name

ルール エントリの文字列と比較する CA 証明書の DN を識別します。

tunnel-group-map

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに対応付けます。

subject-name (crypto ca trustpoint)

指定されたサブジェクト DN を登録中の証明書に追加するには、crypto ca トラストポイント コンフィギュレーション モードで subject-name コマンドを使用します。このサブジェクト名は、証明書を使用する人物またはシステムです。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

subject-name X.500_name

no subject-name

 
シンタックスの説明

X.500_name

X.500 で識別される名前を定義します。たとえば、cn=crl、ou=certs、o=CAName、c=USなど。最大文字長は 1 K です(事実上無制限です)。

 
デフォルト

デフォルト設定では、サブジェクト名を含めません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crypto ca トラストポイント コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、トラストポイント central に対して crypto ca トラストポイント コンフィギュレーション モードを開始して、URL https//:www.example.com に自動登録を設定し、トラストポイント central の登録要求にサブジェクト DN OU cisco.example を追加する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# enrollment url http://www.example.com/
hostname(ca-trustpoint)# subject-name ou=cisco.example
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルトに戻します。

enrollment url

CA を使用して登録する URL を指定します。

summary-address eigrp

特定のインターフェイス上の EIGRP のサマリーを設定するには、インターフェイス コンフィギュレーション モードで summary-address eigrp コマンドを使用します。サマリー アドレスを削除するには、このコマンドの no 形式を使用します。

summary-address eigrp as-number addr mask [ admin-distance ]

no summary-address as-number addr mask

 
シンタックスの説明

as-number

自律システム番号。この番号は、現在の EIGRP ルーティング プロセスの自律システムと同じである必要があります。

addr

サマリー IP アドレス。

mask

IP アドレスに適用するサブネット マスク。

admin-distance

(任意)サマリー ルートの管理ディスタンス。有効値は 0 ~ 255 です。指定しない場合、デフォルト値は 5 です。

 
デフォルト

デフォルトの設定は次のとおりです。

EIGRP は、1 つのホスト ルートの場合でも、ネットワーク レベルまでルートを自動的に要約します。

EIGRP サマリー ルートの管理ディスタンスは 5 です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、EIGRP はサブネット ルートをネットワーク レベルまで要約します。自動経路集約をディセーブルにするには、 no auto-summary コマンドを使用します。 summary-address eigrp コマンドを使用すると、インターフェイスごとにサブネット ルート サマリーを手動で定義できます。

次に、3 に設定された tag 値を使用して、ルート サマライズを設定する例を示します。

hostname(config-router)# summary-address 1.1.0.0 255.255.0.0
hostname(config-router)#
 

次に、オプションを含む summary-address コマンドの no 形式を使用して、このオプションをデフォルト値に戻す例を示します。この例では、上記の例で 3 に設定された tag 値が summary-address コマンドから削除されます。

hostname(config-router)# no summary-address 1.1.0.0 255.255.0.0
hostname(config-router)#
 

次に、コンフィギュレーションから summary-address コマンドを削除する例を示します。

hostname(config-router)# no summary-address 1.1.0.0 255.255.0.0
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

auto-summary

EIGRP ルーティング プロセスのサマリー アドレスを自動的に作成します。

summary-address

OSPF の集約アドレスを作成するには、ルータ コンフィギュレーション モードで summary-address コマンドを使用します。サマリー アドレスまたは特定のサマリー アドレス オプションを削除するには、このコマンドの no 形式を使用します。

summary-address addr mask [ not-advertise ] [ tag tag_value ]

no summary-address addr mask [ not-advertise ] [ tag tag_value ]

 
シンタックスの説明

addr

アドレス範囲用に指定する集約アドレスの値。

mask

サマリー ルートに使用する IP サブネット マスク。

not-advertise

(任意)指定したプレフィクス/マスクのペアと一致するルートを抑制します。

tag tag_value

(任意)各外部ルートに結合する 32 ビット 10 進値。OSPF 自体はこの値を使用しません。この値は、Autonomous System Boundary Router(ASBR; 自律システム境界ルータ)間で情報を伝達する場合に使用します。値を指定しない場合、BGP および EGP からのルートにはリモート自律システムの番号が使用され、他のプロトコルの場合にはゼロ(0)が使用されます。有効値は 0 ~ 4294967295 です。

 
デフォルト

デフォルトの設定は次のとおりです。

tag_value は 0 です。

指定されたプレフィクス/マスクのペアと一致するルートは抑制されません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

他のルーティング プロトコルから学習したルートをサマライズできます。OSPF にこのコマンドを使用すると、OSPF 自律システム境界ルータ(ASBR)は、アドレスがカバーするすべての再配信済みルートの集約ルートとして、1 つの外部ルートをアドバタイズできます。このコマンドは、OSPF に再配信されているその他のルーティング プロトコルからのルートだけをサマライズします。OSPF エリア間のルートをサマライズするには、 area range コマンドを使用します。

コンフィギュレーションから summary-address コマンドを削除するには、オプションのキーワードまたは引数を指定しないで、このコマンドの no 形式を使用します。コンフィギュレーションの summary コマンドからオプションを削除するには、削除するオプションを指定して、このコマンドの no 形式を使用します。詳細については、「例」を参照してください。

次に、3 に設定された tag 値を使用して、ルート サマライズを設定する例を示します。

hostname(config-router)# summary-address 1.1.0.0 255.255.0.0 tag 3
hostname(config-router)#
 

次に、オプションを含む summary-address コマンドの no 形式を使用して、このオプションをデフォルト値に戻す例を示します。この例では、上記の例で 3 に設定された tag 値が summary-address コマンドから削除されます。

hostname(config-router)# no summary-address 1.1.0.0 255.255.0.0 tag 3
hostname(config-router)#
 

次に、コンフィギュレーションから summary-address コマンドを削除する例を示します。

hostname(config-router)# no summary-address 1.1.0.0 255.255.0.0
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

area range

エリア境界でルートを統合し、サマライズします。

router ospf

ルータ コンフィギュレーション モードを開始します。

show ospf summary-address

OSPF ルーティング プロセスごとに、サマリー アドレス設定を表示します。

sunrpc-server

SunRPC サービス テーブルにエントリを作成するには、グローバル コンフィギュレーション モードで sunrpc-server コマンドを使用します。コンフィギュレーションから SunRPC サービス テーブルを削除するには、このコマンドの no 形式を使用します。

sunrpc-server ifc_name ip_addr mask service service_type {protocol {tcp | udp}} port port [- port ] timeout hh:mm:ss

no sunrpc-server ifc_name ip_addr mask service service_type {protocol {tcp | udp}} port port [- port] timeout hh:mm:ss

no sunrpc-server active service service_type server ip_addr

 
シンタックスの説明

ifc_name

サーバ インターフェイス名。

ip_addr

SunRPC サーバの IP アドレス。

mask

ネットワーク マスク。

port port [- port ]

SunRPC プロトコル ポート範囲を指定します。

protocol tcp

SunRPC トランスポート プロトコルを指定します。

protocol udp

SunRPC トランスポート プロトコルを指定します。

service service_type

SunOS rpcinfo コマンドの出力で指定されているとおりに、SunRPC サービス プログラム番号を設定します。

timeout hh:mm:ss

SunRPC サービス トラフィックのアクセスが終了するまでのタイムアウト アイドル時間を指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

2.2(1)

rpc-server コマンドが追加されました。

3.1(1)

このコマンドは rpc-server から変更されました。

 
使用上のガイドライン

SunRPC サービス テーブルは、timeout で指定された期間中に確立された SunRPC セッションに基づいて、FWSM 内の SunRPC トラフィックの通過を許可する場合に使用します。

次に、SunRPC サービス テーブルを作成する例を示します。

hostname(config)# sunrpc-server outside 10.0.0.1 255.0.0.0 service 100003 protocol TCP port 111 timeout 0:11:00
hostname(config)# sunrpc-server outside 10.0.0.1 255.0.0.0 service 100005 protocol TCP port 111 timeout 0:11:00
 

 
関連コマンド

コマンド
説明

clear configure sunrpc-server

FWSM から Sun リモート プロセッサ コール サービスを消去します。

show running-config sunrpc-server

SunRPC の設定に関する情報を表示します。

support-user-cert-validation

リモート証明書を発行した CA に対して現在のトラストポイントが認証される場合に、このトラストポイントに基づいてリモート ユーザ証明書を検証するには、crypto ca トラストポイント コンフィギュレーション モードで support-user-cert-validation コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

support-user-cert-validation

no support-user-cert-validation

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト設定では、ユーザ証明書の検証がサポートされます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crypto ca トラストポイント コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

FWSM には、同じ CA を持つトラストポイントを 2 つ設定できるため、同じ CA から 2 つの異なる ID 証明書が生成されます。トラストポイントの認証先 CA に、この機能がイネーブル化された別のトラストポイントがすでに対応付けられている場合は、このオプションが自動的にディセーブルになります。これにより、パス検証パラメータがあいまいに選択されることがなくなります。トラストポイントの認証先 CA に、この機能がイネーブル化された別のトラストポイントがすでに対応付けられている場合、ユーザがこの機能を実行しようとしてもアクションは許可されません。2 つのトラストポイントでこの設定をイネーブルにして、同じ CA に対して認証できません。

次に、トラストポイント central に対して crypto ca トラストポイント コンフィギュレーション モードを開始して、トラストポイント central でのユーザ検証をイネーブルにする例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# support-user-cert-validation
hostname(ca-trustpoint)#

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default enrollment

登録パラメータをデフォルトに戻します。

sysopt connection tcpmss

最大 TCP セグメント サイズが設定値を超えたり、最大値が指定サイズを下回らないようにするには、グローバル コンフィギュレーション モードで sysopt connection tcpmss コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

sysopt connection tcpmss [ minimum ] bytes

no sysopt connection tcpmss [ minimum ] [ bytes ]

 
シンタックスの説明

bytes

最大 TCP セグメント サイズをバイト数で指定します(48 から最大値までの値)。デフォルト値は 1380 バイトです。この機能をディセーブルにするには、 bytes を 0 に設定します。

minimum キーワードを指定した場合、 bytes は許可されている最小の最大値を表します。

minimum

(任意)最大セグメント サイズが bytes (48 ~ 65535 バイト)以上の値になるように上書きします。この機能は、デフォルトでディセーブルです(0 に設定)。

 
デフォルト

デフォルトの最大値は 1380 バイトです。minimum 機能は、デフォルトでディセーブルです(0 に設定)。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

ホストとサーバは両方とも、最初に接続を確立するときに最大セグメント サイズを設定できます。いずれかの最大値が sysopt connection tcpmss コマンドで設定された値よりも大きい場合、FWSM は最大値を無効にして、設定された値を挿入します。いずれかの最大値が sysopt connection tcpmss minimum コマンドで設定された値よりも小さい場合、FWSM は最大値を無効にして、設定された「minimum」値を挿入します(minimum 値は、実際は使用可能な最小の最大値です)。たとえば、最大サイズに 1200 バイト、最小サイズに 400 バイトが設定してある場合に、ホストが最大サイズとして 1300 バイトを要求すると、FWSM は 1200 バイト(最大値)を要求するようにパケットを変更します。別のホストが最大値として 300 バイトを要求した場合、FWSM は 400 バイト(最小値)を要求するようにパケットを変更します。

デフォルトの 1380 バイトは、合計パケット サイズがイーサネットのデフォルト MTU(最大伝送ユニット)である 1500 バイトを超過しないように、ヘッダー情報分のサイズを確保したサイズです。次の計算を参照してください。

1380 データ+ 20 TCP + 20 IP + 24 AH + 24 ESP_CIPHER + 12 ESP_AUTH + 20 IP = 1500 バイト

ホストまたはサーバが最大セグメント サイズを要求しない場合、FWSM は RFC 793 のデフォルト値である 536 バイトが有効であると想定します。

1380 を超える最大サイズを設定すると、MTU サイズ(デフォルトは 1500)に応じてパケットが分割されることがあります。分割数が多いと、フラグ ガード機能を使用する場合に、FWSM のパフォーマンスが低下することがあります。最小サイズを設定すると、TCP サーバがクライアントに多数の小さい TCP データ パケットを送信することでサーバおよびネットワークのパフォーマンスが低下することがなくなります。


) この機能を通常使用することは推奨しませんが、Syslog IPFRAG メッセージ 209001 および 209002 が表示された場合は、bytes 値を大きくすることができます。


次に、最大サイズを 1200 に、最小値を 400 に設定する例を示します。

hostname(config)# sysopt connection tcpmss 1200
hostname(config)# sysopt connection tcpmss minimum 400
 

 
関連コマンド

コマンド
説明

clear configure sysopt

sysopt コマンドの設定を消去します。

show running-config sysopt

sysopt コマンドの設定を表示します。

sysopt connection timewait

最後の標準 TCP 停止シーケンス後も、各 TCP 接続が短縮された TIME_WAIT 状態にとどまるように設定します。

sysopt nodnsalias

DNS 検査をディセーブルにして、 alias コマンドを使用したときに DNS A レコード アドレスが変更されないようにするには、グローバル コンフィギュレーション モードで sysopt nodnsalias コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。 alias コマンドで NAT だけを実行し、DNS パケット変換が不要な場合は、DNS アプリケーション検査をディセーブルにすることができます。

sysopt nodnsalias { inbound | outbound }

no sysopt nodnsalias { inbound | outbound }

 
シンタックスの説明

inbound

セキュリティの低いインターフェイスから、 alias コマンドで指定されたセキュリティの高いインターフェイスに送信されるパケットに対して、DNS レコード変更をディセーブルにします。

outbound

alias コマンドで指定されたセキュリティの高いインターフェイスからセキュリティの低いインターフェイスに送信されるパケットに対して、DNS レコード変更をディセーブルにします。

 
デフォルト

デフォルトでは、この機能はディセーブルです(DNS レコード アドレスは変更できます)。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

alias コマンドは NAT を実行して DNS A レコード アドレスを変更します。場合によっては、DNS レコード変更をディセーブルにすることができます。

次に、着信パケットの DNS アドレス変更をディセーブルにする例を示します。

hostname(config)# sysopt nodnsalias inbound
 

 
関連コマンド

コマンド
説明

alias

外部アドレスを変換し、変換を反映するように DNS レコードを変更します。

clear configure sysopt

sysopt コマンドの設定を消去します。

show running-config sysopt

sysopt コマンドの設定を表示します。

sysopt noproxyarp

インターフェイス上でプロキシ ARP をディセーブルにします。

sysopt noproxyarp

インターフェイス上で NAT グローバル アドレスのプロキシ ARP をディセーブルにするには、グローバル コンフィギュレーション モードで sysopt noproxyarp コマンドを使用します。グローバル アドレスのプロキシ ARP を再イネーブルにするには、このコマンドの no 形式を使用します。

sysopt noproxyarp interface_name

no sysopt noproxyarp interface_name

 
シンタックスの説明

interface_name

プロキシ ARP をディセーブルにするインターフェイスの名前を指定します。

 
デフォルト

グローバル アドレスのプロキシ ARP は、デフォルトでイネーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

まれに、グローバル アドレスのプロキシ ARP をディセーブルにしなければならない場合があります。

同じイーサネット ネットワーク上の別のデバイスに IP トラフィックを送信するホストでは、このデバイスの MAC アドレス情報が必要です。ARP は、IP アドレスから MAC アドレスへの変換を解決するレイヤ 2 プロトコルです。ホストは、「この IP アドレスは誰ですか?」とたずねる ARP 要求を送信します。その IP アドレスを持つデバイスが「その IP アドレスは私が所有しています。私の MAC アドレスをお知らせします。」と応答します。

プロキシ ARP は、デバイスがこの IP アドレスを所有していない場合でも、ARP 要求に自身の MAC アドレスで応答する場合に使用します。ユーザが NAT を設定し、FWSM インターフェイスと同じネットワーク上のグローバル アドレスを指定した場合、FWSM はプロキシ ARP を使用します。トラフィックがホストに到達するには、FWSM がプロキシ ARP を使用して、FWSM MAC アドレスが宛先グローバル アドレスに割り当てられていることを示す必要があります。

次に、内部インターフェイスでプロキシ ARP をディセーブルにする例を示します。

hostname(config)# sysopt noproxyarp inside
 

 
関連コマンド

コマンド
説明

alias

外部アドレスを変換し、変換を反映するように DNS レコードを変更します。

clear configure sysopt

sysopt コマンドの設定を消去します。

show running-config sysopt

sysopt コマンドの設定を表示します。

sysopt nodnsalias

alias コマンドを使用する場合に、DNS A レコード アドレスの変更を禁止します。

sysopt np completion-unit

高速パスの Network Processors(NP; ネットワーク プロセッサ)内のハードウェアユニット全体をイネーブルにして、パケットが、NP の入力キューで受信された順番と同じ順番で転送されることを確認するには、グローバル コンフィギュレーション モードで sysopt np completion-unit コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

sysopt np completion-unit

no sysopt np completion-unit

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドは、デフォルトではディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

(管理だけ)

--

 
コマンドの履歴

リリース
変更

3.2(5)

このコマンドが追加されました。

 
使用上のガイドライン

管理コンテキストのこのコマンドをイネーブルにすると、デバイス全体に対してコマンドがイネーブルにされます。このコマンドは、コンテキストごとに個別に設定できません。

設計上の制限のため次の制限事項に注意してください。

このコマンドは、高速パスにより転送されたパケットにだけ機能します。たとえば、検査が必要なパケットは、セッション管理パスまたは制御パスを通過し、このコマンドの影響を受けません。

このコマンドは、マルチキャスト パケットがルーテッド モードで維持されることを保証しません。

このコマンドは、MTU のため、分割されたパケットまたは FMSW に分割されるパケットの順番を保証しません。

次に、ハードウェア ユニット全体をイネーブルにする例を示します。

hostname(config)# sysopt np completion-unit
 

 
関連コマンド

コマンド
説明

clear configure sysopt

sysopt コマンドの設定を消去します。

show running-config sysopt

sysopt コマンドの設定を表示します。

sysopt radius ignore-secret

RADIUS アカウンティング応答内の認証鍵を無視するには、グローバル コンフィギュレーション モードで sysopt radius ignore-secret コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。一部の RADIUS サーバとの互換性を保つために、認証鍵を無視しなければならない場合があります。

sysopt radius ignore-secret

no sysopt radius ignore-secret

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能は、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

Livingston Version 1.16 など、鍵をアカウンティング確認応答内の認証ハッシュに含めない一部の RADIUS サーバでは、使用時に注意する必要があります。この場合、FWSM がアカウンティング要求を再送信し続けることがあります。アカウンティング確認応答のオーセンティケータの鍵を無視して、再送信問題を回避するには、 sysopt radius ignore-secret コマンドを使用します (ここで説明している鍵は、 aaa-server host コマンドで設定された鍵です)。

次に、アカウンティング応答内の認証鍵を無視する例を示します。

hostname(config)# sysopt radius ignore-secret
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバを識別します。

clear configure sysopt

sysopt コマンドの設定を消去します。

show running-config sysopt

sysopt コマンドの設定を表示します。

sysopt uauth allow-http-cache

Web ブラウザが FWSM の仮想 HTTP サーバを使用して再認証する場合に( virtual http コマンドを参照)、キャッシュ内のユーザ名およびパスワードを提供できるようにするには、グローバル コンフィギュレーション モードで sysopt uauth allow-http-cache コマンドを使用します。HTTP キャッシュを禁止する場合は、認証セッションがタイムアウトしたあと、次に仮想 HTTP サーバに接続するときに、ユーザ名およびパスワードが再要求されます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

sysopt uauth allow-http-cache

no sysopt uauth allow-http-cache

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

この機能は、デフォルトでディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、HTTP キャッシュの使用を許可する例を示します。

hostname(config)# sysopt uauth allow-http-cache
 

 
関連コマンド

コマンド
説明

virtual http

FWSM で HTTP 認証を使用し、HTTP サーバも認証を要求している場合、このコマンドを使用すると、FWSM および HTTP サーバで別々に認証することができます。仮想 HTTP を使用しない場合、FWSM での認証に使用したのと同じユーザ名およびパスワードが HTTP サーバに送信されます。HTTP サーバのユーザ名およびパスワードが別に要求されることはありません。

clear configure sysopt

sysopt コマンドの設定を消去します。

show running-config sysopt

sysopt コマンドの設定を表示します。