Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コマンド リファレンス
FWSMコマンド
FWSMコマンド
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

FWSMコマンド

aaa accounting

aaa accounting match

aaa authentication

aaa authentication console

aaa authentication match

aaa authorization

aaa authorization command

aaa authorization match

aaa proxy-limit

aaa-server

aaa-server radius-acctport

aaa-server radius-authport

access-group

access-list alert-interval

access-list commit

access-list deny-flow-max

access-list ethertype

access-list extended

access-list icmp host

access-list mode

access-list object-group

access-list remark

access-list standard

activation-key

admin-context

alias

allocate-interface(コンテキスト サブモード)

area

arp

arp-inspection

auth-prompt

banner

ca authenticate

ca configure

ca crl request

ca enroll

ca generate rsa

ca identity

ca save-all

ca subject-name

ca verifycertdn

ca zeroize rsa

capture

cd

changeto

class

clear

clear aaa

clear aaa accounting

clear aaa authentication

clear aaa authorization

clear aaa-server

clear access-group

clear access-list

clear activation-key

clear alias

clear arp

clear arp-inspection

clear auth-prompt

clear banner

clear ca

clear capture

clear class

clear configure

clear conn

clear console-output

clear context

clear counters

clear crashdump

clear crypto dynamic-map

clear crypto interface counters

clear crypto ipsec sa

clear crypto isakmp sa

clear dhcpd

clear dhcprelay

clear dispatch stats

clear dynamic-map

clear established

clear failover

clear filter

clear firewall

clear fixup

clear flashfs

clear floodguard

clear fragment

clear ftp

clear gc

clear global

clear http

clear icmp

clear interface stats

clear ip address

clear ip ospf

clear ip verify reverse-path

clear local-host

clear logging rate-limit

clear mac-address-table

clear mac-learn

clear mgcp

clear monitor-interface

clear mp-passwd

clear nat

clear name

clear names

clear object-group

clear pager

clear password

clear pdm

clear privilege

clear resource usage

clear rip

clear route

clear route-map

clear routing

clear rpc-server

clear same-security-traffic

clear service

clear shun

clear snmp-server

clear ssh

clear static

clear sysopt

clear tacacs-server

clear telnet

clear terminal

clear tftp-server

clear timeout

clear uauth

clear url-block

clear url-cache

clear url-server

clear username

clear virtual

clear vpngroup

clear xlate

compatible rfc1583

configure

config-url(コンテキスト サブモード)

context

copy capture

copy disk

copy flash

copy ftp

copy http(s)

copy running-config/copy startup-config

copy tftp

crashdump force

crypto dynamic-map

crypto ipsec security-association lifetime

crypto ipsec transform-set

crypto map client

crypto map interface

crypto map ipsec

crypto map set peer

crypto map set pfs

crypto map set security-association lifetime

crypto map set session-key

crypto map set transform-set

crypto match address

dbg

debug

default-information originate(ルートOSPFサブコマンド)

delete

description(サブモード)

dhcpd

dhcprelay

dir

disable

distance(ルータ サブモード)

domain-name

dynamic-map

enable

established

exit

failover

failover interface ip

failover interface-policy

failover lan interface

failover lan unit

failover link

failover polltime

failover replication http

failover reset

filter ftp

filter https

filter url

firewall

fixup protocol

flashfs

floodguard

format

fragment

ftp mode

global

help

hostname

http

icmp

ignore lsa mospf

interface

ip address

ip local pool

ip prefix-list

ip verify reverse-path

isakmp

isakmp policy

kill

limit-resource

log

log-adj-changes

logging

logging rate-limit

login

logout

mac-address-table static

mac-address-table aging-time

mac-learn

match(ルート マップ サブモード)

match interface(ルート マップ サブモード)

match ip next-hop(ルート マップ サブモード)

match ip route-source(ルート マップ サブモード)

match metric(ルート マップ サブモード)

match route-type(ルート マップ サブモード)

member(コンテキスト サブモード)

mgcp

mkdir

mode

monitor-interface

more

mtu

name

nameif

names

nat

object-group

ospf(インターフェイス サブモード)

pager

password/passwd

pdm

perfmon

ping

privilege

pwd

quit

redistribute

reload

rename

rip

rmdir

route

route-map

router

router-id

router ospf

routing interface

rpc-server

same-security-traffic permit inter-interface

service

set(ルート マップ サブモード)

set ip next-hop(ルート マップ サブモード)

set metric(ルート マップ サブモード)

set metric-type(ルート マップ サブモード)

setup

show

show aaa

show aaa proxy-limit

show aaa-server

show access-group

show access-list

show access-list mode

show activation-key

show admin-context

show alias

show area

show arp

show auth-prompt

show banner

show blocks

show ca

show capture

show checksum

show chunkstat

show class

show clock

show compatible rfc1583

show configure

show conn

show console-output

show context

show counters

show cpu

show crashdump

show crypto dynamic-map

show crypto engine

show crypto interface

show crypto ipsec

show crypto map

show curpriv

show default-information originate

show dbg

show debug

show dhcpd

show dhcprelay

show disk

show dispatch stats

show dispatch table

show distance

show domain-name

show dynamic-map

show enable

show established

show failover

show file

show filter

show firewall

show fixup

show flashfs

show floodguard

show fragment

show ftp

show gc

show global

show h225

show h245

show h323-ras

show history

show http

show hw

show icmp

show igmp

show ignore lsa mospf

show interface

show ip address

show ip ospf

show ip ospf border-routers

show ip ospf database

show ip ospf flood-list

show ip ospf interface

show ip ospf neighbor

show ip ospf request-list

show ip ospf retransmission-list

show ip ospf summary-address

show ip ospf virtual-links

show ip verify

show isakmp

show isakmp policy

show local-host

show log-adj-changes

show logging

show logging rate-limit

show mac-address-table

show mac-learn

show match

show memory

show mode

show mgcp

show monitor-interface

show mroute

show mtu

show multicast

show name

show nameif

show names

show nat

show network

show nic

show object-group

show pager

show password/passwd

show pdm

show perfmon

show privilege

show processes

show redistribute

show resource allocation

show resource types

show resource usage

show rip

show rpc-server

show route

show route-map

show router

show router-id

show routing

show running-config

show same-security-traffic

show service

show serial

show session

show set

show shun

show snmp-server

show ssh

show startup-config

show static

show summary-address

show sysopt

show tech-support

show terminal

show tcpstat

show telnet

show tftp-server

show timeout

show timers

show uauth

show uptime

show url-block

show url-cache stat

show url-server

show username

show version

show virtual

show vlan

show vpngroup

show who

show xlate

shun

shutdown

snmp-server

ssh

static

summary-address

sysopt

telnet

terminal

tftp-server

timeout

timers

upgrade-mp

uptime

url-block

url-cache

url-server

username

virtual

vpngroup

who

write

write standby

FWSMコマンド

この章では、Catalyst 6500シリーズ スイッチおよびCisco 7600シリーズ ルータ上でのFirewall Services Module(FWSM;ファイアウォール サービス モジュール)の設定に使用できるすべてのコマンドをアルファベット順に紹介します。

aaa accounting

aaa-server コマンドで指定されたサーバ上のTACACS+またはRADIUSのユーザ アカウンティングを対象または除外対象にするには、 aaa accounting コマンドを使用します。アカウンティング サービスをディセーブルにするには、このコマンドの no 形式を使用します。

[no] aaa accounting { include | exclude } service interface_name source_ip source_mask [ destination_ip destination_mask ] server_tag

 
構文の説明

include

指定したサービスに含む新しい規則を作成します。

exclude

指定したサービスをアカウンティングから除外して、以前に記述した規則に対する例外を作成します。

service

アカウンティングサービス。有効値は、any、ftp、http、telnetです。

interface_name

ユーザが認証を要求するインターフェイス名

source_ip

認証または許可するローカル ホスト、またはホストのネットワークのIPアドレス

source_mask

source_ip のネットワーク マスク

destination_ip

(任意) source_ip アドレスにアクセスする宛先ホストのIPアドレス。 0 を指定すると、すべてのホストにアクセスが付与されます。

destination_mask

(任意) destination_ip のネットワーク マスク

server_tag

AAAサーバ グループ タグ

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

interface_name は、VLAN番号と同じである必要があります。

このコマンドを使用するには、 aaa-server コマンドを使用して、あらかじめAAAサーバを指定しておく必要があります。

アクセス リストで指定されたトラフィックに対するアカウンティングをイネーブルにするには、 aaa accounting match コマンドを使用します。

ユーザ アカウンティング サービスは、ユーザがアクセスするネットワーク サービスを記録します。この記録は、指定したAAAサーバにも記録されます。アカウンティング情報は、サーバ グループ内のアクティブなサーバにだけ送信されます。

service を指定する場合、すべてのTCPサービスに対してアカウンティングを可能にするには、 any キーワードを使用します。UDPサービスの場合、protocol/portを使用します。このポートは、TCPまたはUDPの宛先ポートに対応します。ポートの値に0(ゼロ)を使用すると、すべてのポートが指定されます。TCPまたはUDP以外のプロトコルの場合、portは適用されないので、使用しないでください。ポートについては、 付録B「ポートとプロトコルの値」 を参照してください。

aaa accounting コマンドは、 aaa authentication コマンドと併せて、さらにオプションで aaa authorization コマンドと併せて使用します。記録するトラフィックに対して認証を有効にしておく必要があります。

任意のホストからの接続を記録するには、ローカルIPアドレスおよびネットマスクに 0.0.0.0 0.0.0.0 または 0 0 を入力します。宛先ホストのIPアドレスおよびネットマスクについても同じ表記法を使用し、0.0.0.0 0.0.0.0を入力して宛先ホストを指定します。


ヒント help aaaコマンドを使用すると、aaa authentication aaa authorization aaa accounting、およびaaa proxy-limitコマンドの構文と使用方法がサマリで表示されます。


アクセス元の場所とユーザを特定するには、 interface_name と併せて source_ip アドレスおよび destination_ip アドレスを使用します。

次に、IPアドレス10.1.1.10の認証サーバが内部インターフェイス上にあり、デフォルトのTACACS+サーバ グループに含まれていることを指定する例を示します。

fwsm/context(config)# aaa accounting include any inside 0 0 0 0

aaa accounting match

アクセス リストで指定されたトラフィックに対するアカウンティングをイネーブルにするには、 aaa accounting match コマンドを使用します。アクセス リストで指定されたトラフィックに対するアカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

[no] aaa accounting match access_list_name interface_name server_tag

 
構文の説明

access_list_name

アクセス リスト名

interface_name

ユーザが認証を要求するインターフェイス名

server_tag

AAAサーバ グループ タグ

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

access_list_name は、 access-list extended コマンドで定義します。

ACLでは、permitでアカウントが有効になり、denyでアカウントが無効になります。

AAAサーバ グループ タグは、 aaa-server コマンドで定義します。このコマンドを使用するには、 aaa-server コマンドを使用して、あらかじめAAAサーバを指定しておく必要があります。

次に、特定のアクセス リストでアカウンティングをイネーブルにする例を示します。

fwsm/context(config)# aaa accounting match acl1 termite scram
fwsm/context(config)# show acl
access-list mode auto-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300

aaa authentication

FWSMを通過するトラフィックのユーザ認証を認証の対象または除外対象にするには、 aaa authentication コマンドを使用します。ユーザ認証をディセーブルにするには、このコマンドの no 形式を使用します。

[no] aaa authentication { include | exclude } authen_service interface_name source_ip source_mask [ destination_ip destination_mask ] server_tag

 
構文の説明

include

トラフィックを認証することを指定します。

exclude

トラフィックを認証の対象から除外します。

authen_service

選択されているサービス キーワードに基づいて認証の対象にするか、対象から除外するトラフィックのタイプを指定します。指定できるサービスについては、 付録B「ポートとプロトコルの値」 を参照してください。

interface_name

ユーザが認証を要求するインターフェイス名

source_ip

認証するホスト、またはホストのネットワークのIPアドレス

source_mask

source_ip のネットワーク マスク

destination_ip

(任意) source_ip アドレスにアクセスするホストのIPアドレス。 0 の場合は、すべてのホストが指定されます。

destination_mask

(任意) destination_ip のネットワーク マスク

server_tag

aaa-server コマンドで指定されるAAAサーバ グループ タグ

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

IPアドレスごとに、受信接続に対して1つの aaa authentication コマンドを使用でき、送信接続に対して1つの aaa authentication コマンドを使用できます。特定のIPアドレスで開始される接続は一方向のみです。

aaa authentication コマンドを使用すると、次の機能をイネーブルまたはディセーブルにできます。

aaa-server コマンドでIPアドレスが特定されるホストは、FTP、Telnet、またはHTTPを通じて接続を開始し、ユーザ名とパスワードの入力を求められます。ユーザ名とパスワードが、指定されたTACACS+またはRADIUS認証サーバで確認された場合、FWSMで認証ホストと宛先アドレス間の以降のトラフィックを許可します。

表示されるプロンプトは、認証を受けてFWSMにアクセスできる3つのサービスでそれぞれ異なります。

Telnetユーザには、FWSMが生成するプロンプトが表示されます。FWSMは、ユーザに対して4回までのログイン試行を許可し、それでもユーザ名とパスワードが違う場合、FWSMは接続をドロップします。このプロンプトは、auth-promptコマンドで変更できます。

FTPユーザは、FTPプログラムからプロンプトを受け取ります。ユーザの入力したパスワードが誤っている場合は、ただちに接続が中断されます。

認証データベース上のユーザ名およびパスワードが、FTPを使用してアクセスする宛先リモート ホスト上のユーザ名およびパスワードと異なっている場合は、ユーザ名とパスワードを次の形式で入力します。

authentication_user_name @remote_system_user_name
authentication_password @remote_system_password
 

FWSM装置をデイジーチェーン接続している場合、Telnet認証は装置が1台のときと同様に機能します。FTPおよびHTTPの場合は、ユーザ名またはパスワードごとにアットマーク(@)を追加して、各デイジーチェーン システムのユーザ名とパスワードを入力する必要があります。ユーザは、デイジーチェーン接続されている装置の台数、およびパスワードの長さに応じて、63文字までのパスワード制限を超えて入力できます。

FTPのGUI(グラフィカル ユーザ インターフェイス)の一部には、チャレンジ値を表示しないものがあります。

HTTPユーザには、ブラウザが生成するポップアップ ウィンドウが表示されます。ユーザの入力したパスワードが誤っている場合、ユーザは再入力を求められます。Webサーバと認証サーバがそれぞれ別ホスト上にある場合、正常な認証処理を実行するにはvirtualコマンドを使用します。

FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。

アクセス認証サービスの引数 authen_service には、次の値を指定できます。

telnet Telnetアクセス

ftp ― FTPアクセス

http ― HTTPアクセス

any ― すべてのサービス

service / port port を指定した場合、指定した宛先ポートを持つトラフィックのみが認証の対象または除外対象となります。 tcp/0 のオプション キーワードを使用すると、すべてのTCPトラフィック(FTP、HTTP、およびTelnetなど)に対する認証がイネーブルになります。


) FTP、Telnet、およびHTTPは、tcp/21tcp/23、およびtcp/80と同じです。



) インタラクティブなユーザ認証が行われるのは、Telnet、FTP、またはHTTPトラフィックだけです。


ip を指定すると、 include または exclude のどちらを指定したかに応じて、すべてのIPトラフィックが認証の対象または除外対象になります。すべてのIPトラフィックを認証の対象にすると、次の処理が実行されます。

ユーザを(発信元IPに基づいて)認証する前は、FTP要求、Telnet要求、またはHTTP要求を受信すると認証処理が発生し、ほかのIP要求はすべて拒否されます。

FTP認証、Telnet認証、HTTP認証、または仮想Telnet認証( virtual コマンドを参照)でユーザを認証すると、 uauth がタイムアウトするまで、どのトラフィックに対しても認証処理が発生しなくなります。

アクセス元の場所とユーザを特定するには、 interface_name source_ip 、および destination_ip を使用します。 source_ip のアドレスはセキュリティ レベルの最も高いインターフェイス上にあり、
destination_ip
のアドレスはセキュリティ レベルの最も低いインターフェイス上にあります。

HTTP認証で要求できるユーザ名の最大長は30文字です。パスワードの最大長は15文字です。

aaa authentication は、セキュリティ ポリシーの強制を目的としたコマンドではありません。ユーザがシステムにアクセスできるかどうかは、認証サーバが決定します。FWSMは、FTP、HTTP(Webアクセス)、およびTelnetと連携して、ネットワークへのログインまたはログインしてネットワークの外へ出る資格があるかどうかを確認します。

HTTP認証

aaa authentication コマンドは、HTTP認証をサポートしています。


注意 HTTPに対するAAA認証をイネーブルにして、受信接続と発信接続を同じAAAサーバで認証することは推奨できません。

「基本テキスト認証」または「NTチャレンジ」をイネーブルにしたMicrosoft IISを実行しているサイトに対してHTTP認証を使用すると、ユーザはMicrosoft IISサーバからアクセスを拒否されます。これは、ブラウザによって、「Authorization: Basic=Uuhjksdkfhk==」という文字列がHTTP GETコマンドに付加されるためです。この文字列には、FWSMの認証証明書が含まれています。

Windows NTのMicrosoft IISサーバは、この証明書に応答して、Windows NTユーザがサーバ上のアクセス制限付きページにアクセスしようとしていると仮定します。FWSMのユーザ名およびパスワードが、Microsoft IISサーバ上の有効なWindows NTユーザ名およびパスワードとまったく同じものである場合を除いて、このHTTP GETコマンドは拒否されます。

この問題を解決するために、FWSMにはvirtual http コマンドが用意されています。このコマンドは、ブラウザの初期接続をほかのIPアドレスにリダイレクトしてユーザを認証したあとで、ユーザが要求した元のURLにブラウザをリダイレクトします。

認証が終了したあとは、FWSMのuauthタイムアウトが非常に小さな値に設定されている場合でも、ユーザ側で再認証が必要になることはありません。これは、ブラウザが「Authorization: Basic=Uuhjksdkfhk==」文字列をキャッシュして、当該サイトへの後続の接続すべてに使用するためです。この文字列が消去されるのは、ユーザがNetscape NavigatorまたはInternet Explorerのインスタンスをすべて終了して、再起動したときだけです。キャッシュをフラッシュしても文字列は消去されません。

ユーザがインターネットを繰り返しブラウズするとき、ブラウザは「Authorization:
Basic=Uuhjksdkfhk==」文字列を毎回再送信して、ユーザを透過的に再認証します。

CU-SeeMe、Intelインターネット電話、MeetingPoint、MS NetMeetingなどのマルチメディア アプリケーションは、バックグラウンドでHTTPサービスを起動します。


) これらのアプリケーションの動作を妨げないようにするには、チャレンジされる全ポートを含めた包括的な送信aaaコマンド文(anyオプションを使用するものなど)を入力しないようにします。HTTPのチャレンジに使用するポートとアドレスは必要な分だけ設定し、ユーザ認証タイムアウトを設定するときは、大きめの値にします。マルチメディア プログラムの動作が妨げられると、内部からの送信セッションが確立した後に、PC上でエラーが発生したり、PCがクラッシュしたりする可能性があります。


TACACS+サーバおよびRADIUSサーバ

TACACS+サーバとRADIUSサーバは、256台まで使用できます(最大16までのサーバ グループ内にサーバを16台まで設定可能)。サーバ数の設定には、aaa-serverコマンドを使用します。ユーザがログインするときは、コンフィギュレーション内で指定されている最初のサーバから順に、サーバが応答するまでこれらのサーバが1台ずつアクセスされます。

FWSMで使用できる認証タイプは、ネットワークごとに1つだけです。たとえば、あるネットワークが認証にTACACS+を使用してFWSM経由で接続している場合、FWSM経由で接続している別のネットワークではRADIUSを使用して認証できます。しかし、1つのネットワークでTACACS+サーバとRADIUSサーバの両方を使用して認証することはできません。

TACACS+サーバでは、aaa-serverコマンド用の鍵を指定していない場合は暗号化が使用できません。

FWSMが表示するタイムアウト メッセージは、RADIUSとTACACS+のどちらの場合でも同じです。次のいずれかが発生した場合に、メッセージ「aaa server host machine not responding」を表示します。

AAAサーバ システムがダウンしたとき

AAAサーバ システムは動作しているが、サービスが実行されていないとき

次に、トラフィックを認証の対象に設定する例を示します。

fwsm/context(config)# aaa authentication include any 172.31.0.0 255.255.0.0 0.0.0.0 0.0.0.0 tacacs+
 

次に、トラフィックを認証の除外対象に設定する例を示します。

fwsm/context(config)# aaa authentication exclude telnet 172.31.38.0 255.255.255.0 0.0.0.0 0.0.0.0 tacacs+
 

次に、interface_name引数の使用方法を示します。ファイアウォールには、内部ネットワーク192.168.1.0、外側ネットワーク209.165.201.0(サブネット マスク255.255.255.224)、および境界ネットワーク162.65.20.28(サブネット マスク 255.255.255.224)が接続されています。

次の例では、内部ネットワークから外側ネットワーク宛てに送信される接続の認証をイネーブルにします。

fwsm/context(config)# aaa authentication include any 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224 tacacs+
 

次の例では、内部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。

fwsm/context(config)# aaa authentication include any 192.168.1.0 255.255.255.0 162.65.20.28 255.255.255.224 tacacs+
 

次の例では、外側ネットワークから内部ネットワーク宛てに送信される接続の認証をイネーブルにします。

fwsm/context(config)# aaa authentication include any 192.168.1.0 255.255.255.0 209.165.201.0 255.255.255.224 tacacs+
 

次の例では、外部ネットワークから境界ネットワーク宛てに送信される接続の認証をイネーブルにします。

fwsm/context(config)# aaa authentication include any 209.165.201.0 255.255.255.224 162.65.20.28 255.255.255.224 tacacs+
 

次の例では、境界ネットワークから外部ネットワーク宛てに送信される接続の認証をイネーブルにします。

fwsm/context(config)# aaa authentication include any 162.65.20.28 255.255.255.224 209.165.201.0 255.255.255.224 tacacs+
 

次の例では、IPアドレス10.0.0.1~10.0.0.254が送信接続を開始できることを指定したあと、ユーザ認証をイネーブルにして、これらのアドレスがファイアウォールの外部に送信するときにユーザ証明書の入力を要求します。この例の最初の aaa authentication コマンドでは、認証サーバが処理する対象に応じて、FTP、HTTP、またはTelnetに対する認証を許可します。2番めの aaa authentication コマンドでは、ホスト10.0.0.42が認証を受けなくても送信接続を開始できるようにしています。デフォルトの認証グループは tacacs+ です。

fwsm/context(config)# nat (inside) 1 10.0.0.0 255.255.255.0
fwsm/context(config)# aaa authentication include any 0 0 tacacs+
fwsm/context(config)# aaa authentication exclude 10.0.0.42 255.255.255.255 tacacs+ any
 

次の例では、ネットワーク アドレス209.165.201.0(サブネット マスク255.255.255.224)を指定して、209.165.201.1~209.165.201.30の範囲にあるすべてのIPアドレスへの受信アクセスを許可します。 access-list コマンドですべてのサービスを許可し、a aa authentication コマンドでは、認証サーバが処理する対象に応じて、FTP、HTTP、またはTelnetに対する認証を許可します。認証サーバは、内部インターフェイス上のIPアドレス10.16.1.20にあります。

fwsm/context(config)# aaa-server AuthIn protocol tacacs+
fwsm/context(config)# aaa-server AuthIn (inside) host 10.16.1.20 thisisakey timeout 20
fwsm/context(config)# static (inside,outside) 209.165.201.0 10.16.1.0 netmask 255.255.255.224
fwsm/context(config)# access-list acl_out permit tcp 10.16.1.0 255.255.255.0 209.165.201.0 255.255.255.224
fwsm/context(config)# access-group acl_out in interface outside
fwsm/context(config)# aaa authentication include any 0 0 AuthIn

aaa authentication console

FWSM CLIへのアクセスに対する認証をイネーブルにするには、 aaa authentication console コマンドを使用します。認証確認をディセーブルにするには、このコマンドの no 形式を使用します。

[no] aaa authentication { enable | telnet | ssh | http } console { server_tag [ LOCAL ] | LOCAL }

 
構文の説明

enable

(任意)FWSMのイネーブル モードに対するアクセス確認を指定します。

telnet

(任意)FWSMコンソールへのTelnetアクセスに対するアクセス確認を指定します。

ssh

(任意)FWSMコンソールへのSSHアクセスに対するアクセス確認を指定します。

http

(任意)FWSMへのHTTPアクセス(FDM経由)に対するアクセス確認を指定します。

server_tag

ローカル データベースのAAAサーバ グループ タグ

LOCAL

「使用上の注意事項」を参照してください。

 
デフォルト

デフォルト設定は、次のとおりです。

ログイン パスワードは、cisco です。


) ユーザ認証のパスワードを指定する場合、ciscoパスワードは使用できません。


イネーブル パスワードは設定されていません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

2.2(1)

このコマンドがLOCALへのフォールバックをサポートするよう変更されました。

 
使用上の注意事項

AAAサーバ グループ タグは、 aaa-server コマンドで定義します。

LOCAL キーワードは、ローカルだけで有効な認証方式を指定します。RADIUSまたはTACACS+サーバのみに指定される場合、 LOCAL キーワードは任意です。

ユーザ名とパスワードを要求するモジュール(SSH、Telnet、イネーブル)にアクセスする場合、パスワード要求が表示されるのは3回だけです。

enableおよび ssh キーワードを使用すると、アクセス試行が3回失敗したときにアクセス拒否メッセージが表示され、ログイン処理が停止します。

enableキーワードを使用すると、イネーブル モードにアクセスする前にユーザ名とパスワードを要求します。

sshキーワードを使用すると、SSHコンソール接続の最初のコマンドライン プロンプトを表示する前にユーザ名とパスワードを要求します。sshキーワードの場合は、最大3回の認証試行が可能です。

telnetキーワードの場合は、ユーザが正常にログインできるまで繰り返しプロンプトが表示されます。telnetキーワードの場合は、Telnetコンソール接続の最初のコマンドライン プロンプトを表示する前に、ユーザ名とパスワードを指定するようにユーザに要求します。

FWSMのCLIには、任意の内部インターフェイスおよびIPSec設定済みの外部インターフェイスからTelnetアクセスできます。Telnetアクセス前にtelnetコマンドを使用する必要があります。

また、FWSMコンソールへのSSHアクセスについても、IPSecを設定していない任意のインターフェイスから実行できます。SSHアクセスの前にsshコマンドを使用する必要があります。

aaa authentication ssh console server_tagコマンドを定義していない場合は、ユーザ名pix とFWSMのTelnetパスワード(passwdコマンドで設定)を使用してCLIにアクセスできます。aaaコマンドを定義した場合でも、SSH認証要求がタイムアウトしたとき(AAAサーバがダウンしているか、使用不能になっていると考えられる)は、ユーザ名PIX とイネーブル パスワード(enable passwordコマンドで設定)を使用してFWSMにアクセスできます。

FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。

server_tag が、 aaa-server コマンドで定義された既存の有効なTACACS+またはRADIUSサーバ グループを参照している場合、このコマンドではオプションの LOCAL キーワードだけが有効になります。最初の server_tag だけに LOCAL を設定することもできます。

このコマンドの no 形式を使用すると、コマンドが完全に取り消されます。個別の指示を取り消すことはできません。

次の例では、FWSMコンソールの認証サービスをイネーブルにします。

fwsm/context(config)# aaa authentication enable console 756

aaa authentication match

特定のアクセス リスト上で認証をイネーブルにするには、 aaa authentication matchコマンドを使用します。特定のアクセス リスト上の認証をディセーブルにするには、このコマンドの no 形式を使用します。

[no] aaa authentication match access_list_name interface_name server_tag

 
構文の説明

access_list_name

アクセス リストの名前

server_tag

AAAサーバ グループ タグ

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

access_list_name は、 access-list deny-flow-max コマンドで定義します。

AAAサーバ グループ タグは、 aaa-server コマンドで定義します。認証データベースを使用する場合は、 TACACS+ または RADIUS を入力します。

FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。

次の例では、特定のアクセス リストで認証をイネーブルにします。

fwsm/context(config)# aaa authentication match

aaa authorization

サービスを指定されたホストに対する許可の対象または除外対象にするには、 aaa authorization コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

[no] aaa authorization { include | exclude} service interface_name source_ip source_mask destination_ip destination_mask tacacs_server_tag

 
構文の説明

include

指定したサービスに含む新しい規則を作成します。

exclude

指定したサービスを指定されたホストへの許可対象から除外して、以前に記述した規則に対する例外を作成します。

service

許可を要求するサービス。詳細については、「使用上の注意事項」を参照してください。

interface_name

認証を要求するインターフェイス名

source_ip

許可するホスト、またはホストのネットワークのIPアドレス

source_mask

source_ip のネットワーク マスク

destination_ip

source_ip アドレスにアクセスするホストのIPアドレス

destination_mask

destination_ip のネットワーク マスク

tacacs_server_tag

TACACS+サーバ グループ タグ

 
デフォルト

IPアドレスを 0 にすると、すべてのホストが指定されます。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

2.2(1)

このコマンドが、AAAの設定に関する2つめのLOCAL方式をサポートするように変更されました。

 
使用上の注意事項

以前の except オプション キーワードが exclude キーワードに置き換えられ、特定のホスト(複数可)宛てのポートを指定して除外できるようになっています。

宛先IPアドレスに0を使用すると、すべてのホストが指定されます。

宛先およびローカル マスクには、必ず特定のマスク値を指定します。IPアドレスが0の場合、 0 を使用し、ホストには 255.255.255.255 を使用します。必ず特定のマスク値を指定します。

アクセス元の場所とユーザを特定するには、 interface_name と併せて source_ip アドレスおよび destination_ip アドレスを使用します。source_ipのアドレスはセキュリティ レベルの最も高いインターフェイス上にあり、 destination_ip のアドレスはセキュリティ レベルの最も低いインターフェイス上にあります。

すべてのホストを指定して、認証を受けるホストを認証サーバ側で決定するには、ローカルIPアドレスを 0 に設定します。

service に指定できる値は、 any ftp http telnet 、またはprotocol/portです。指定しないサービスは、暗黙的に許可されます。 aaa authentication コマンド内で指定したサービスは、許可を必要とするサービスには影響しません。

protocol/portを使用する場合は、次の値を指定できます。

protocol ― プロトコル(TCPの場合は 6 、UDPの場合は 17 、ICMPの場合は 1 など)

port ― TCPまたはUDPの宛先ポートまたは宛先ポート範囲。portには、ICMPタイプも入力できます。8がICMP echoまたはpingを表します。ポートの値に0(ゼロ)を使用すると、すべてのポートが指定されます。ポート範囲を指定できるのは、TCPプロトコルとUDPプロトコルだけです。ICMPの場合は指定できません。TCP、UDP、およびICMP以外のプロトコルの場合、portは適用されません。また、使用しないでください。次に、ポート指定の例を示します。

fwsm#/context(config)# aaa authorization include udp/53-1024 inside 0 0 0 0
 

この例では、すべてのクライアントを対象として、内部インターフェイスに対するDNS lookupの許可をイネーブルにしています。さらに、53~1024のポート範囲にあるほかのすべてのサービスへのアクセスを許可しています。

特定の許可ルールでは、それに対応する認証は必要ありません。認証が必要なのは、FTP、HTTP、またはTelnetの場合だけです。これらのサービスでは、ユーザはインタラクティブな許可証明書の入力が可能です。

コマンド許可とともに使用する場合を除いて、 aaa authorization コマンドでは事前に aaa
authentication
コマンドでの設定が必要です。ただし、 aaa authentication コマンドは aaa authorization コマンドを使用する必要はありません。

現時点では、 aaa authorization コマンドはローカル サーバおよびTACACS+サーバとともに使用できますが、RADIUSサーバとは使用できません。明示的なRADIUS許可を設定することはできませんが、RADIUSサーバでダイナミックACLを設定して、許可を可能にすることはできます(FWSMで設定されていなくてもよい)。


ヒント help aaaコマンドを使用すると、aaa authentication aaa authorization aaa accounting、およびaaa proxy-limitコマンドの構文と使用方法がサマリで表示されます。


IPアドレスごとに、1つの aaa authorization コマンドが許可されます。 aaa authorization で複数のサービスを許可するには、サービス タイプに any キーワードを使用します。

最初の許可試行が失敗し、2度めの試行でタイムアウトが発生した場合は、許可されなかったクライアントをservice resetinboundコマンドを使用してリセットし、そのクライアントが接続を再転送を行わないようにします。次の例は、Telnetの許可タイムアウト メッセージを示しています。

Unable to connect to remote host: Connection timed out
 

ユーザ許可サービスは、ユーザがどのネットワーク サービスにアクセスできるかを制御します。認証が完了した後、アクセスの制限されているサービスにユーザがアクセスを試行すると、FWSMは指定されたAAAサーバを使用してユーザのアクセス権を確認します。


) RADIUS許可は、access-list deny-flow-maxコマンドとともに使用して、さらにRADIUSサーバをacl=access_list_nameベンダー固有識別子を使用して設定する場合にサポートされます。詳細については、access-list deny-flow-maxコマンドおよびaaa-server radius-authportコマンドのページを参照してください。

AAAコンソール ログイン要求がタイムアウトした場合は、ユーザ名fwsmとイネーブル パスワードを入力することでFWSMにアクセスできます。


サービスに関する service オプションを指定する場合、有効値は、 telnet ftp http https tcp または 0 tcp または port udp または port icmp または port または protocol [/ port ]です。インタラクティブなユーザ認証が行われるのは、Telnet、FTP、HTTP、またはHTTPSトラフィックだけです。

コンソール アクセス、Telnetアクセス、SSHアクセス、およびイネーブル モード アクセスの認証を行う場合は、 telnet ssh 、または enable を指定します。

次の例では、デフォルトのFWSMプロトコル コンフィギュレーションを指定します。

fwsm/context(config)# aaa-server TACACS+ protocol tacacs+
fwsm/context(config)# aaa-server RADIUS protocol radius

fwsm/context(config)# aaa-server LOCAL protocol local

次の例では、デフォルト プロトコルのTACACS+をaaaコマンドで使用しています。最初のコマンドでは、IPアドレス10.1.1.10の認証サーバが内部インターフェイス上にあり、デフォルトのTACACS+サーバ グループに含まれていることを指定しています。その次の3つのコマンドで指定しているのは、任意の宛先ホストに対して送信接続を開始するユーザ全員をTACACS+で認証すること、正常に認証されたユーザに対してはどのサービスの使用も許可すること、およびすべての送信接続情報をアカウンティング データベースに記録することです。最後のコマンド文では、FWSM装置のシリアル コンソールにアクセスするには、TACACS+サーバから認証を受ける必要があることを指定しています。

fwsm/context(config)# aaa-server TACACS+ (inside) host 10.1.1.10 the key timeout 20
fwsm/context(config)# aaa authentication include any 0 0 0 0 TACACS+
fwsm/context(config)# aaa authorization include any 0 0 0 0
fwsm/context(config)# aaa accounting include any 0 0 0 0 TACACS+
fwsm/context(config)# aaa authentication TACACS+
 

次の例では、外部インターフェイスからのDNSルックアップの許可をイネーブルにしています。

fwsm/context(config)# aaa authorization include udp/53 0.0.0.0 0.0.0.0
 

次の例では、内部ホストから内部インターフェイスに到着する、ICMPエコー応答パケットの許可をイネーブルにします。

fwsm/context(config)# aaa authorization include 1/0 0.0.0.0 0.0.0.0
 

このように設定すると、ユーザはTelnet、HTTP、またはFTPを使用して認証を受けない限り、外部ホストにpingできなくなります。

次の例では、内部ホストから内部インターフェイスに到着するICMPエコー(ping)についてだけ許可をイネーブルにします。

fwsm/context(config)# aaa authorization include 1/8 0.0.0.0 0.0.0.0

aaa authorization command

ローカル サーバまたはTACACSサーバに対する許可をイネーブルにするには、 aaa authorization command コマンドを使用します。ローカル サーバまたはTACACSサーバに対する許可をディセーブルにするには、このコマンドの no 形式を使用します。

[no] aaa authorization command { LOCAL_server_tag | tacacs_server_tag }

 
構文の説明

LOCAL_server_tag

AAAのローカル プロトコルに対して定義済みのサーバ タグを指定します。

tacacs_server_tag

TACACSユーザ認証サーバに対して定義済みのサーバ タグを指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

2.2(1)

このコマンドが、AAAの設定に関する2つめのLOCAL方式をサポートするように変更されました。

 
使用上の注意事項

グループ タグ値に LOCAL_server_tag 引数を入力して、ローカルのコマンド許可特権レベルなど、ローカルのFWSMデータベースAAAサービスを使用できます。

次の例では、ローカル サーバまたはTACACSサーバの許可をイネーブルにします。

fwsm/context(config)# aaa authorization Server1

aaa authorization match

特定のaccess-listコマンド名に対するローカル ユーザ認証サービスまたはTACACS+ユーザ認証サービスをイネーブルにするには、aaa authorization match コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

[no] aaa authorization match access_list_name interface_name server_tag

 
構文の説明

access_list_name

access-listコマンド名を指定します。

interface_name

認証を要求するインターフェイス名

server_tag

AAAサーバ グループ タグを aaa-server コマンドで定義するように指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

2.2(1)

このコマンドが、AAAの設定に関する2つめのLOCAL方式をサポートするように変更されました。

 
使用上の注意事項

AAAサーバ グループ タグは、 aaa-server コマンドで定義します。認証データベースを使用する場合は、 TACACS+ または RADIUS を入力します。

access_list_name は、 access-list deny-flow-max コマンドで定義します。

FWSMは最大127文字までの認証ユーザ名と最大16文字までのパスワードをサポートしています(一部のAAAサーバは最大32文字のパスワードに対応)。パスワードとユーザ名の一部に「@」記号を使用することはできません。

次の例では、指定したアクセス リストの許可をイネーブルにします。

fwsm/context(config)# aaa authorization match my_access inside 0 0 0 0 Server2
 

aaa proxy-limit

ユーザ1人あたりに許可する同時プロキシ接続の数を指定するには、 aaa proxy-limit コマンドを使用します。

aaa proxy-limit { proxy_limit | disable }

 
構文の説明

proxy_limit

ユーザ1人あたりに許可する同時プロキシ接続の数を指定します。有効値は1~128です。

disable

プロキシ制限をディセーブルにします。

 
デフォルト

proxy_limit は16です。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

aaa proxy-limit コマンドを使用すると、ユーザ1人あたりに許可する同時プロキシ接続の数を設定することにより、uauthセッションの制限値を手作業で設定できます。

uauthセッションは認証または許可を実行するカットスルー セッションです(接続は代行される)。

発信元アドレスがプロキシ サーバである場合は、そのIPアドレスを認証の対象から除外するか、許容可能な未処理AAA要求の数を増やすことを検討してください。

次の例は、許容可能な未処理認証要求の最大数を設定および表示する方法を示しています。

fwsm/context(config)# aaa proxy-limit 6
fwsm/context(config)# show aaa proxy-limit
aaa proxy-limit 6
 

aaa-server

AAAサーバ グループを定義するには、 aaa-server コマンドを使用します。AAAサーバ グループを削除するには、このコマンドの no 形式を使用します。

[no ] aaa-server server_tag

[no ] aaa-server server_tag max-attempts number

[no ] aaa-server server_tag deadtime minutes

aaa-server server_tag [ interface_name ] host server_ip [ key ] [ timeout seconds ]

aaa-server server_tag protocol auth_protocol tacacs+ | radius

 
構文の説明

server_tag

サーバ グループの名前を表す英数字の文字列

max-attempts number

AAAサーバ グループ内の各AAAサーバに対するAAA要求の最大試行回数を指定します。指定できる範囲は1~5です。

deadtime minutes

AAAサーバ グループが無応答であるとみなす時間を指定します(分)。指定できる範囲は0~1440分です。

interface_name

(任意)サーバが存在しているインターフェイス名

host server_ip

(任意)TACACS+サーバまたはRADIUSサーバのIPアドレス

key

(任意)127文字までの英数字で構成されているキーワードで、TACACS+サーバ上の鍵と同じ値にします。アルファベットの大文字と小文字は区別されます。

timeout seconds

(任意)FWSMが次のAAAサーバを選択するまでの時間を指定する再送信タイマー

protocol auth_protocol

AAAサーバのタイプ。tacacs+またはradiusのいずれかにします。

 
デフォルト

デフォルト設定は、次のとおりです。

FWSMはポート1645でRADIUS認証を待機し、ポート1646でRADIUSアカウンティングを待機します。デフォルトポートはRFC 2058で定義されており、認証が1812でアカウンティングが1813です。FWSMのRADIUSポートは、下位互換性を維持するために変更されていません。

aaa-serverのデフォルト プロトコルは次のとおりです。

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

デフォルトのタイムアウト値は10秒です。

インターフェイス名 interface_name はデフォルトで外部インターフェイス名になります。

max-attempts は3です。

deadtime は10です。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

2.2(1)

このコマンドが、AAAの設定に関する2つめのLOCAL方式をサポートするように変更されました。

 
使用上の注意事項

aaa-server コマンドを使用すると、AAAサーバ グループを指定できます。FWSMでは、TACACS+サーバやRADIUSサーバのグループを複数定義して、それぞれにタイプの異なるトラフィックを指定できます。たとえば、受信トラフィック用のTACACS+サーバと送信トラフィック用のTACACS+サーバを分けることができます。また、送信HTTPトラフィックをすべてTACACS+サーバで認証して、受信トラフィックにはすべてRADIUSを使用することもできます。認証を統合して、FWSMにアクセスするVPNクライアントが認証されるようにするには、 aaa-server コマンドと crypto map コマンドを使用します。

特定のタイプのAAAサービスは、ほかのサーバに宛先変更できます。サービスは、複数のサーバにフェールオーバーされるように設定することもできます。

aaa authenticationコマンド文およびaaa accountingコマンド文をAAAサーバに関連付けるには、aaaコマンドの中でserver_tagを使用します。サーバ グループは14個まで使用できます。ただし、 LOCAL キーワードはFWSMによって事前定義されているため、 aaa-server コマンドで LOCAL キーワードは使用できません。

ほかのaaaコマンドは、 aaa-server コマンドの server_tag パラメータで定義されたサーバ タグ グループを参照します。このパラメータは、TACACS+サービスおよびRADIUSサービスの起動時に有効になるグローバル設定値です。


) カットスルー プロキシを設定する場合は、natコマンドまたはstaticコマンドでnorandomseqオプション キーワードを使用しているときでも、TCPセッション(Telnet、FTP、またはHTTP)のシーケンス番号がランダム化されます。この現象は、AAAサーバがTCPセッションを代行処理してユーザを認証し、アクセスを許可する場合に発生します。


AAAサーバ グループは、各認証サーバにそれぞれ別タイプのトラフィックを送信するための、タグ名によって定義されます。リストに含まれている最初の認証サーバで障害が発生すると、AAAサブシステムはタグ グループ内の次のサーバにフェールオーバーします。タグ グループは14個まで定義でき、各グループはAAAサーバを14台まで保持できるので、合計196台までのAAAサーバを保持できます。

max-attempts number のキーワードおよび引数を使用すると、サーバの無応答を宣言してグループ内の次のサーバに移るまでのAAAサーバに対するAAA要求回数を設定できます。フォールバック設定でコマンドを認証または許可する場合、 max-attempts number のキーワードおよび引数を使用して、フォールバックのタイムアウト値を設定する必要があります。たとえば、個々のAAAサーバを無応答として宣言する場合、 max-attempts number の設定を 1 または 2 まで減らす必要があります。

deadtime minutes のキーワードおよび引数は、 authenticationコマンド および authorization コマンドでLOCAL方式を設定していない場合でも設定できます。 deadtime minutes のキーワードおよび引数が作用するのは、AAAの認証および許可の方式を設定している場合だけです。


) 2つめの方式は必ずLOCALにする必要があります。


deadtime minutes のキーワードおよび引数は、特定の認証または許可方式を無応答としてマークし、省略する分数を指定します。AAAサーバ グループが無応答としてマークされると、FWSMはただちに指定された次の方式(ローカルのFWSMユーザ データベース)に対する認証または許可を実行します。


) グループ全体が無応答として宣言されるのは、グループ内のすべてのサーバが無応答としてマークされた場合です。


deadtime(デッドタイム)を0に設定すると、AAAサーバ グループは無応答とはみなされず、方式リスト内の次の方式を使用する前に、このAAAサーバ グループに対してすべての認証および許可要求を試行します。

deadtime コマンドの no 形式を使用すると、デフォルト値の10分に戻ります。

デッドタイムは、AAAサーバ グループ内の直前のサーバがダウン(無応答)としてマークされた時から計算されます。max-attemptsの値が上限に達してAAAが応答を受信できない場合、サーバはダウンとしてマークされます。デッドタイムの期限を過ぎると、AAAサーバ グループがアクティブになり、AAAサーバ グループ内のAAAサーバに対してすべての要求が提示されます。

一部のAAAサーバは最大32文字までのパスワードに対応していますが、FWSMで使用できるパスワードは16文字までです。

key(鍵)を指定する場合、127文字を超えて入力された文字は無視されます。この鍵は、クライアントとサーバの間でやり取りするデータを暗号化するために使用されます。鍵は、クライアント システムとサーバ システムの両方で同じにする必要があります。鍵にスペースは使用できませんが、その他の特殊文字は使用できます。

タイムアウトのデフォルト値は10秒です。最大値は30秒です。タイムアウト値を10秒にすると、FWSMは10秒間再送信を実行します確認応答を受信できない場合、FWSMは3回まで再試行します。合計で40秒間データを再送信したら、次のAAAサーバを選択します。

アカウンティングが有効になっている場合、アカウンティング情報はアクティブなサーバにだけ送信されます。

FWSMの以前のバージョンからアップグレードする場合、コンフィギュレーション内にaaaコマンド文があるときは、デフォルトのサーバ グループを使用することで、コンフィギュレーション内のaaaコマンド文との下位互換性を維持できます。

aaa authenticationコマンドとaaa accountingコマンドの末尾に付加していた従来のサーバ タイプ オプション キーワードは、aaa-server server_tag グループ名に置き換えられました。

次の例では、デフォルト プロトコルのTACACS+をaaaコマンドで使用しています。

fwsm/context(config)# aaa-server TACACS+ (inside) host 10.1.1.10 thekey timeout 20
fwsm/context(config)# aaa authentication include any 0 0 0 0 TACACS+
fwsm/context(config)# aaa authorization include any outbound 0 0 0 0 host 10.1.1.10
fwsm/context(config)# aaa accounting include any 0 0 0 0 TACACS+
fwsm/context(config)# aaa authentication TACACS+
 

前の例では、IPアドレス10.1.1.10の認証サーバが内部インターフェイス上にあり、デフォルトのTACACS+サーバ グループに含まれていることを指定しています。その次の3つのコマンドで指定しているのは、任意の宛先ホストに対して送信接続を開始するユーザ全員をTACACS+で認証すること、正常に認証されたユーザに対してはどのサービスの使用も許可すること、およびすべての送信接続情報をアカウンティング データベースに記録することです。最後のコマンド文では、FWSM装置のシリアル コンソールにアクセスするには、TACACS+サーバから認証を受ける必要があることを指定しています。

次の例では、RADIUS認証用にAuthOutサーバ グループとAuthInサーバ グループを作成し、内部インターフェイス上のサーバ10.0.1.40、10.0.1.41、および10.1.1.2が認証を提供することを指定しています。AuthInグループのサーバは受信接続を認証し、AuthOutグループのサーバは送信接続を認証します。

fwsm/context(config)# aaa-server AuthIn protocol radius
fwsm/context(config)# aaa-server AuthIn (inside) host 10.0.1.40 ab timeout 20
fwsm/context(config)# aaa-server AuthIn (inside) host 10.0.1.41 abc timeout 4
fwsm/context(config)# aaa-server AuthOut protocol radius
fwsm/context(config)# aaa-server AuthOut (inside) host 10.1.1.2 abc123 timeout 15
fwsm/context(config)# aaa authentication include any 0 0 0 0 AuthIn
fwsm/context(config)# aaa authentication include any 0 0 0 0 AuthOut
 

次の例は、Xauth暗号マップの確立に使用できるコマンドを示しています。

fwsm/context(config)# ip address inside 10.0.0.1 255.255.255.0
fwsm/context(config)# ip address outside 168.20.1.5 255.255.255.0
fwsm/context(config)# ip local pool dealer 10.1.2.1-10.1.2.254
fwsm/context(config)# nat (inside) 0 access-list 80
fwsm/context(config)# aaa-server TACACS+ host 10.0.0.2 secret123
fwsm/context(config)# crypto ipsec transform-set pc esp-des esp-md5-hmac
fwsm/context(config)# crypto dynamic-map cisco 4 set transform-set pc
fwsm/context(config)# crypto map partner-map 20 ipsec-isakmp dynamic cisco
fwsm/context(config)# crypto map partner-map client configuration address initiate
fwsm/context(config)# crypto map partner-map client authentication TACACS+
fwsm/context(config)# crypto map partner-map interface outside
fwsm/context(config)# isakmp key cisco1234 address 0.0.0.0 netmask 0.0.0.0
fwsm/context(config)# isakmp client configuration address-pool local dealer outside
fwsm/context(config)# isakmp policy 8 authentication pre-share
fwsm/context(config)# isakmp policy 8 encryption des
fwsm/context(config)# isakmp policy 8 hash md5
fwsm/context(config)# isakmp policy 8 group 1
fwsm/context(config)# isakmp policy 8 lifetime 86400
 

aaa-server radius-acctport

FWSMがアカウンティング機能で使用するRADIUSサーバのポート番号を設定するには、aaa-server radius-acctport コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[no] aaa-server radius-acctport [ acct_ port ]

 
構文の説明

acct_ port

(任意)RADIUS認証ポート番号。有効値は1~65535です。

 
デフォルト

acct_ portは1645です。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

FWSM上の許可ポートとアカウンティング ポートの設定は、 aaa-server radius-acctport コマンドと aaa-server radius-authport コマンドで変更できます。これらのコマンドは、認証機能やアカウンティング機能の割り当て先となる、リモートRADIUSサーバ ホストの宛先TCP/UDPポート番号を指定するものです。

デフォルトのRADIUSアカウンティング ポートは1645で、デフォルトのRADIUS許可ポートは1646です。認証サーバがポート1645およびポート1646以外のポートを使用している場合は、 aaa-server コマンドでRADIUSサービスを起動する前に、FWSMに適切なポートを設定する必要があります。たとえば、一部のRADIUSサーバはRFC 2138とRFC 2139で定義されているポート番号1812と1813を使用します。RADIUSサーバがポート1812とポート1813を使用している場合は、aaa-server radius-authportコマンドとaaa-server radius-acctportコマンドを使用して、ポート1812とポート1813を使用するようにFWSMを再設定します。

次のポート ペアは、RADIUSサーバ上で認証サービスとアカウンティング サービスに割り当てられているポートです。

1645(認証)、1646(アカウンティング) ― FWSMのデフォルト

1812(認証)、1813(アカウンティング) ― 代替設定

これらのポート番号、およびその他のよく利用されるポート番号の割り当ては、次のURLで確認できます。

http://www.iana.org/assignments/port-numbers

ポート番号割り当ての詳細については、付録Bの「ポート値の指定」を参照してください。

次の例は、FWSMがアカウンティング機能に使用するRADIUSサーバのポート番号の設定方法を示しています。

fwsm/context(config)# aaa-server radius-acctport
 

aaa-server radius-authport

FWSMが認証機能で使用するRADIUSサーバのポート番号を設定するには、 aaa-server radius-authport コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[no] aaa-server radius-authport [ auth_ port ]

 
構文の説明

acct_ port

(任意)RADIUS認証ポート番号。有効値は1~65535です。

 
デフォルト

auth_ portは1646です。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

FWSM上の許可ポートとアカウンティング ポートの設定は、 aaa-server radius-acctport コマンドと aaa-server radius-authport コマンドで変更できます。これらのコマンドは、認証機能やアカウンティング機能の割り当て先となる、リモートRADIUSサーバ ホストの宛先TCP/UDPポート番号を指定するものです。

デフォルトのRADIUSアカウンティング ポートは1645で、デフォルトのRADIUS許可ポートは1646です。認証サーバがポート1645およびポート1646以外のポートを使用している場合は、 aaa-server コマンドでRADIUSサービスを起動する前に、FWSMに適切なポートを設定する必要があります。たとえば、一部のRADIUSサーバはRFC 2138とRFC 2139で定義されているポート番号1812と1813を使用します。RADIUSサーバがポート1812とポート1813を使用している場合は、aaa-server radius-authportコマンドとaaa-server radius-acctportコマンドを使用して、ポート1812とポート1813を使用するようにFWSMを再設定します。

次のポート ペアは、RADIUSサーバ上で認証サービスとアカウンティング サービスに割り当てられているポートです。

1645(認証)、1646(アカウンティング) ― FWSMのデフォルト

1812(認証)、1813(アカウンティング) ― 代替設定

これらのポート番号、およびその他のよく利用されるポート番号の割り当ては、次のURLで確認できます。

http://www.iana.org/assignments/port-numbers

ポート番号割り当ての詳細については、付録Bの「ポート値の指定」を参照してください。

次の例は、FWSMが認証機能に使用するRADIUSサーバのポート番号の設定方法を示しています。

fwsm/context(config)# aaa-server radius-authport

access-group

アクセス リストをインターフェイスにバインドするには、 access-group コマンドを使用します。インターフェイスからアクセス リストのバインドを解除するには、このコマンドの no 形式を使用します。

[no] access-group access-list { in | out } interface interface_name

 
構文の説明

access-list

アクセス リストの id

in

所定のインターフェイスで受信パケットをフィルタリングします。

out

所定のインターフェイスで送信パケットをフィルタリングします。

interface interface_name

ネットワーク インターフェイスの名前

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

access-group コマンドは、アクセス リストをインターフェイスにバインドします。 in キーワードは、指定したインターフェイスのトラフィックにアクセス リストを適用します。 out キーワードは、送信トラフィックにアクセス リストを適用します。

no access-group コマンドは、アクセス リストをインターフェイス interface_name からアンバインドします。

show access-group コマンドは、インターフェイスにバインドされている現在のアクセス リストを表示します。

clear access-group コマンドは、インターフェイスからACLをすべて削除します。

次に、 access-group コマンドの使用例を示します。

fwsm/context(config)# static (inside,outside) 209.165.201.3 10.1.1.3
fwsm/context(config)# access-list acl_out permit tcp any host 209.165.201.3 eq 80
fwsm/context(config)# access-group acl_out in interface outside
 

この static コマンド文では、Webサーバ10.1.1.3にグローバル アドレス209.165.201.3を付与しています。 access-list コマンドでは、すべてのホストに対して、ポート80を使用してグローバル アドレスにアクセスすることを許可しています。 access-group コマンドでは、外部インターフェイスに受信するトラフィックに access-list コマンド文を適用することを指定しています。

access-list alert-interval

拒否フローの最大メッセージの間隔を指定するには、 access-list alert-interval コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[no] access-list alert-interval secs

 
構文の説明

secs

生成される拒否フローの最大メッセージ間隔を指定します。有効値は1~3600秒です。

 
デフォルト

300秒

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

access-list alert-interval コマンドは、Syslogメッセージ106101を生成する時間間隔を設定します。このメッセージは、FWSMが拒否フローの最大数に達したことを警告するものです。拒否フローの最大数に達したとき、前回の106101メッセージが生成されてから secs 秒以上経過していた場合は、さらに106101メッセージが生成されます。

拒否フロー最大メッセージの生成については、 access-list deny-flow-max コマンドを参照してください。

次の例では、拒否フローの最大メッセージの間隔を指定します。

fwsm/context(config)# access-list alert-interval 30

access-list commit

手動コミット モードでアクセス リストをコンパイルして適用するには、 access-list commit コマンドを使用します。

access-list commit

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

コンテキストがアクセスリスト モードの場合、 commit コマンドが実行されるまで、新しく追加された規則はCLS分類に追加されません。 commit コマンドが実行されると、それらの規則がフラグ付けされて追加されます。

コミット モードではユーザによるコンパイルが可能で、適用前にコンパイルが必要なネットワーク プロセッサにACLコンフィギュレーションとして保管されるすべてのコマンドに作用します。
access-list
commit コマンドは、次のコマンドに適用されます。

aaa authentication include および exclude バージョンのみ)

aaa authorization include および exclude バージョンのみ)

aaa accounting include および exclude バージョンのみ)

aaa access-list コマンド

established

filter コマンド

fixup protocol (commitコマンドのみが作用する)

http

icmp

nat 0 access-list

policy static または nat コマンド

ssh

telnet

手動コミット モードで、前出のコマンドのいずれかを変更する場合、モードを manual-commit に変更し、変更が有効になる前に変更をコミットします。

手動コミット モードでは、インターフェイスに対して追加済みでも、コミットされていない前出のコマンドのコンフィギュレーションをバインドするコマンドを入力しないでください。たとえば、 access-list 'foo' コマンドが手動コミット モードで追加済みで、その変更がコミットされていない場合、 foo をインターフェイスにバインドする access-group コマンドを入力しないでください。最初に access-list commit コマンドで「 foo 」をコミットしてから、 access-group コマンドを入力します。

手動コミット モードでは、ACEを削除すると削除フラグが付けられ、実行コンフィギュレーションからも削除されます。 access-list commit コマンドを入力する前に show running コマンドを入力すると、「uncommitted deletion」というコメントの付いた元のコンフィギュレーションが表示されます。ACEを追加すると追加済みフラグは付きますが、コミット済みのフラグは付きません。 access-list commit コマンドを入力する前に show running コマンドを入力すると、「uncommitted addition」というコメントの付いた元のコンフィギュレーションが表示されます。 access-list commit コマンドが実行されると、これらのコメントは削除され、コンフィギュレーションがアクティブになります。

次の例では、アクセスリスト規則のフラグ付けと追加を行います。

fwsm/context(config)# access-list commit

access-list deny-flow-max

作成できる同時拒否フローの最大数を指定するには、access-list deny-flow-max コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[no] access-list deny-flow-max n

 
構文の説明

n

同時ACL拒否フローの最大数を指定します。有効値は1~4096です。

 
デフォルト

デフォルトは4096です。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

FWSMでACL拒否フローの最大数 n に達すると、Syslogメッセージ106101が生成されます。

次の例では、作成できる同時拒否フローの最大数を指定します。

fwsm/context(config)# access-list deny-flow-max 256

access-list ethertype

コンフィギュレーションにEtherTypeアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list ethertype コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。

[ no ] access-list id ethertype { deny | permit } ether-value [ unicast | multicast | broadcast ]

 
構文の説明

id

アクセス リストの名前または番号

deny

条件に一致した場合、アクセスを拒否します。詳細については、「使用上の注意事項」を参照してください。

permit

条件に一致した場合、アクセスを許可します。詳細については、「使用上の注意事項」を参照してください。

ether-value

イーサネットの値を指定します。

unicast

(任意)ユニキャスト通知を指定します。

multicast

(任意)マルチキャスト通知を指定します。

broadcast

(任意)ブロードキャスト通知を指定します。

 
デフォルト

デフォルト設定は、次のとおりです。

個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。

ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。

log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、EtherTypeのアクセス リストを追加する例を示します。

fwsm/context(config)# access-list my_access ethertype permit unicast
 

access-list extended

コンフィギュレーションにアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list extended コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。

[no] access-list id [ extended ] { deny | permit protocol | object-group protocol_obj_grp_id host source_ip | source_mask | object-group network_obj_grp_id [ operator port [ port] | object-group service_obj_grp_id ] destination_ip destination_mask | object-group network_obj_grp_id [ operator port [ port ] | object-group service_obj_grp_id ]} [ log [ disable] | [ level ] | [ default ] | [ interval secs ]]

 
構文の説明

id

アクセス リストの名前または番号

extended

(任意)拡張アクセス リストを指定します。

deny

条件に一致した場合、アクセスを拒否します。詳細については、「使用上の注意事項」を参照してください。

permit

条件に一致した場合、アクセスを許可します。詳細については、「使用上の注意事項」を参照してください。

protocol

IPプロトコルの名前または番号。有効値は、 icmp ip tcp udp 、またはIPプロトコル番号を表す1~254の整数です。詳細については、「使用上の注意事項」を参照してください。

object-group

(任意)オブジェクト グループを指定します。詳細については、「使用上の注意事項」を参照してください。

protocol_obj_grp_id

既存のプロトコル オブジェクト グループID

source_ip

FWSMに対してローカルなネットワークまたはホストのアドレス。詳細については、「使用上の注意事項」を参照してください。

source_mask

送信元アドレスにネットワーク マスクを使用する場合、 source_addr に適用するネットマスク ビット(マスク)です。

network_obj_grp_id

既存のネットワーク オブジェクト グループID

operator

(任意)送信元IPアドレスと宛先IPアドレスを比較するオペランドを指定します。詳細については、「使用上の注意事項」を参照してください。

port

(任意)アクセスを許可または拒否するポートを指定します。詳細については、「使用上の注意事項」を参照してください。

service_obj_grp_id

(任意)オブジェクト グループを指定します。

destination_ip

パケットの送信先であるネットワークまたはホストのアドレス。詳細については、「使用上の注意事項」を参照してください。

destination_mask

宛先アドレスがネットワーク マスクの場合、 destination_addr に適用するネットマスク ビット(マスク)です。

icmp_type_obj_grp_id

(任意)オブジェクト グループのICMPタイプIDを指定します。

log default

(任意)ACEに対してSyslogメッセージ106100を生成することを指定します。「使用上の注意事項」を参照してください。

log disable

(任意)Syslogメッセージをディセーブルにします。詳細については、「使用上の注意事項」を参照してください。

log level

(任意)Syslogレベルを指定します。有効値は0~7です。「使用上の注意事項」を参照してください。

interval secs

(任意)Syslogメッセージ106100を生成する時間間隔を指定します。有効値は1~600秒です。

 
デフォルト

デフォルト設定は、次のとおりです。

具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。

ACLロギングでは、指定された拒否パケットについてのみSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。

log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

access-group コマンドとともに deny オプションを使用すると、パケットがFWSMを通過することが禁止されます。デフォルトでは、個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。

protocol を指定して、TCPおよびUDPを含むすべてのインターネット プロトコルに一致させる場合は、キーワード ip を使用します。

オブジェクト グループの設定方法については、 object-group コマンドの項を参照してください。

operator は、発信元IPアドレス( sip )または宛先IPアドレス( dip )のポートを比較します。使用できるオペランドは、 lt (小なり)、 gt (大なり) eq (同値)、 neq (非同値)、および range (範囲)です。すべてのポートを含めるには(デフォルト)、演算子を使用せずに access-list コマンドを使用します。

fwsm/context(config)# access-list acl_out permit tcp any host 209.165.201.1
 

特定のポートに対するアクセスだけを許可または拒否するには、eqとポートを使用します。たとえば、FTPに対してだけアクセスを許可または拒否するには、eq ftpを使用します。

fwsm/context(config)# access-list acl_out deny tcp any host 209.165.201.1 eq ftp
 

指定したポートより番号が小さいすべてのポートに対して、アクセスを許可または拒否するには、ltとポートを使用します。たとえば、well-knownポート(1~1024)に対してアクセスを許可または拒否するには、lt 2025を使用します。

fwsm/context(config)# access-list acl_dmz1 permit tcp any host 192.168.1.1 lt 1025
 

指定したポートより番号が大きいすべてのポートに対して、アクセスを許可または拒否するには、gtおよびポートを使用します。たとえば、43~65535のポートへのアクセスを許可または拒否するには、gt 42を使用します。

fwsm/context(config)# access-list acl_dmz1 deny udp any host 192.168.1.2 gt 42
 

指定したポート以外のすべてのポートに対して、アクセスを許可または拒否するには、neqおよびポートを使用します。たとえば、1~9および11~65535のポートへのアクセスを許可または拒否するには、neq 10を使用します。

fwsm/context(config)# access-list acl_dmz1 deny tcp any host 192.168.1.3 neq 10
 

指定範囲のポートに対してだけアクセスを許可または拒否するには、rangeおよびポート範囲を使用します。たとえば、10~1024のポートに対してだけアクセスを許可または拒否するには、range 10 1024を指定します。その他のポートは対象外になります。ポート範囲を使用すると、IPSecトンネル数が著しく増加します。たとえば、非常にダイナミックなプロトコル用に5000~65535のポート範囲を指定すると、最大60535のトンネルが作成される可能性があります。

サービスを指定するには、そのサービスを処理する port を指定します。たとえば、 smtp の場合はポート25、 www の場合はポート80を指定します。ポートは、ポートのリテラル名または0~65535のポート番号のどちらかで指定できます。有効なポート番号は、次のURLで確認できます。

http://www.iana.org/assignments/port-numbers

ポート範囲として有効なポートのリテラル名のリストについては、付録Bの「ポート値の指定」を参照してください。また、番号を指定することもできます。

log disable | default | level オプション キーワードの場合、次の内容に注意してください。

log オプション キーワードを指定すると、その適用対象となるACEについてSyslogメッセージ106100が生成されます(Syslogメッセージ106100は、ACEのpermitまたはdenyに一致した、FWSMを通過するすべてのフローについて生成される)。最初に一致したフローはキャッシュされます。以降にフローが一致した場合は、 show access-list コマンドで表示されるACEのヒット カウントが増分されます。フローのヒット カウントが0以外の場合は、 interval secs で定義した期間が終了したときに新しい106100メッセージが生成されます。

デフォルトのACLロギング動作( log キーワードが指定されていない)では、パケットが拒否されたときに106023メッセージが生成され、許可されたときはSyslogメッセージが生成されません。

生成されるSyslogメッセージ(106100)に関して、オプションのSyslog level (0~7)を指定することもできます。 level を指定しない場合、新しいACEのデフォルト レベルは6(通知)になります。ACEがすでに存在する場合には、既存のログ レベルは変更されません。

log disable オプション キーワードを指定しない場合、アクセス リストのロギングが完全にディセーブルになります。メッセージ106023も含めて、Syslogメッセージは生成されません。

log default オプション キーワードを指定すると、デフォルトのアクセス リスト ロギング動作が復元されます。


) ロギングの詳細については、『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide』を参照してください。


interval secs のキーワードおよび引数は、非アクティブのフローを削除するためのタイムアウト値として使用されます。 interval secs オプション キーワードを指定しない場合、新しいACEに対するデフォルト間隔は300秒になります。ACEがすでに存在する場合には、そのACEに関連付けられている間隔値は変更されません。

icmp_type 引数はIPSec以外で使用し、ICMPメッセージ タイプへのアクセスを許可または拒否します(ICMPタイプのリテラルを参照)。すべてのICMPタイプを指定するには、このオプション キーワードを省略します。

ICMPメッセージ タイプは、IPSecを使用する場合は指定できません。 access-list コマンドを crypto map コマンドとともに使用する場合は、 icmp_type は無視されます。

access-list コマンドを使用すると、IPアドレスがポートまたはプロトコルにアクセスすることを許可するかどうかを指定できます。同じアクセス リスト名を持つ1つまたは複数の access-list コマンド文を「アクセス リスト」と呼びます。IPSecに関連付けられているアクセス リストは「暗号化用アクセス リスト」と呼びます。

アクセス リストをグループにまとめるには、 object-group コマンドを使用します。

発信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合の注意点は、次のとおりです。

32ビットの4分割ドット付き10進数形式を使用します。

アドレスとマスクを0.0.0.0 0.0.0.0にする場合は、短縮形の any キーワードを使用します。このキーワードは、IPSecでは使用しないでください。

マスクを255.255.255.255にする場合は、短縮形の host address を使用します。

ネットワーク マスクを指定する場合の注意点は、次のとおりです。

アドレスがホスト アドレスである場合は、マスクを指定しません。宛先アドレスがホストである場合は、アドレスの前に host パラメータを使用します。

fwsm/context(config)# access-list acl_grp permit tcp any host 192.168.1.1
 

アドレスがネットワーク アドレスである場合は、32ビットの4分割ドット付き10進数形式でマスクを指定します。無視するビット位置には、0を指定します。

ネットワーク マスクの指定方法が、Cisco IOSソフトウェアの access-list コマンドとは異なることに注意してください。FWSMでは、クラスAアドレスには 255.0.0.0 を使用し、クラスBアドレスには 255.255.0.0 を使用し、クラスCアドレスには 255.255.255.0 を使用します。サブネット化されたネットワーク アドレスを使用する場合は、適切なネットワーク マスクを使用してください。

fwsm/context(config)# access-list acl_grp permit tcp any 209.165.201.0 255.255.255.224
 

access-list コマンドはsunrpcサービスをサポートしています。

show access-list コマンドは、コンフィギュレーション内の access-list コマンド文を表示し、 access-list コマンドの検索中に各エントリが一致した回数(ヒット カウント)を表示します。また、アクセス リスト内のaccess list文の数を表示し、リストがTurboACL用に設定されているかどうかも示します。リストに含まれているACEが18個未満でも、TurboACLが設定されているとマークされますが、実際にはエントリが19個以上にならないとTurboACL用に設定されません。

show access-list source_addr オプション キーワードおよび引数は、showコマンドの出力をフィルタリングして、発信元IPアドレスが一致するアクセス リスト エントリだけを表示します(フィルタリングしない場合は、発信元IPアドレスとして any が使用される)。

clear access-list コマンドは、コンフィギュレーションから access-list コマンドをすべて削除します。 id が指定されている場合は、そのアクセス リストを削除します。clear access-list id counters コマンドは、指定したアクセス リストのヒット カウントを消去します。

no access-listコマンドは、コンフィギュレーションからaccess-listコマンドを削除します。アクセス リスト内のaccess-listコマンド文をすべて削除する場合、no access-listコマンドを使用すると、対応するaccess-groupコマンドもコンフィギュレーションから削除されます。


) aaaコマンド、crypto mapコマンド、およびicmpコマンドは、access-listコマンド文を使用します。


access-list loggingコマンド

次の例では、 access-list log オプション キーワードをイネーブルにした場合の動作を示します。

fwsm/context(config)# access-group outside-acl in interface outside
fwsm/context(config)# access-list outside-acl permit ip host 1.1.1.1 any log 7 interval 600
fwsm/context(config)# access-list outside-acl permit ip host 2.2.2.2 any
fwsm/context(config)# access-list outside-acl deny ip any any log 2
 

前の例は、ICMPコンテキストでの、アクセス リスト ロギングの使用方法を示しています。

1. ICMPエコー要求(1.1.1.1 -> 192.168.1.1)が外部インターフェイスに到着します。

2. アクセス チェックに outside-acl というACLが適用されます。

3. パケットは、 outside-acl の最初のACEによって許可されます。このACEでは、 log オプション キーワードがイネーブルになっています。

4. ログ フロー(ICMP、1.1.1.1(0)、192.168.1.1(8))はキャッシュされていませんでした。このため、次のSyslogメッセージが生成され、ログ フローがキャッシュされます。

106100: access-list outside-acl permitted icmp outside/1.1.1.1(0) -> inside/192.168.1.1(8) hit-cnt 1 (first hit)
 

5. このようなパケットが20個、次の10分(600秒)間に外部インターフェイスに到達します。ログ フローがキャッシュされているため、ログ フローが検索され、パケットごとにログ フローのヒット カウントが増加します。

6. 10分間の最後に、次のSyslogメッセージが生成され、ログ フローのヒット カウントが0にリセットされます。

106100: access-list outside-acl permitted icmp outside/1.1.1.1(0) -> inside/192.168.1.1(8) hit-cnt 20 (300-second interval)
 

7. 次の10分間には、このようなパケットが外部インターフェイスに到達しません。したがって、ログ フローのヒット カウントは0のままです。

8. ヒット カウントが0であるため、20分間の最後に、キャッシュされたフロー(ICMP、1.1.1.1(0)、192.168.1.1(8))が削除されます。

ACEを削除せずに log オプション キーワードをディセーブルにするには、 access-list id log disable コマンドを使用します。

log オプション キーワードがイネーブルになっているACEを no access-list コマンドを使用して削除するときは、logオプションをすべて指定する必要はありません。ACE内のpermit規則またはdeny規則がACEを一意に識別するために使用されている場合、ACEは削除されます。ただし、( log オプション キーワードがイネーブルになっている)ACEを削除しても、ACEに関連付けられているキャッシュ済みフローは削除されません。キャッシュされているフローを削除するには、ACL全体を削除する必要があります。キャッシュされているフローがACLの削除によってフラッシュされると、そのフローのヒット カウントが0以外の場合にはSyslogメッセージが生成されます。

キャッシュされているフローをすべて消去するには、 clear access-list コマンドを使用します。

access-list id remarkコマンド

access-list id [ line line-num ] remark text コマンドを使用すると、ACL内のエントリに関するコメントを挿入できます。コメントを利用することで、ACLを読んで理解することが容易になります。1つのコメント行は100文字までです。

ACLコメントは access-list コマンド文の前後いずれにも記述できますが、記述する場所を統一して、どのコメントがどの access-list コマンドを説明しているのかが明確になるようにしてください。

no access-list id line line-num remark text および no access-list id line line-num コマンドは、どちらも指定した行番号にあるコメントを削除します。

次に、アクセス リスト コメントの例を示します。

access-list out-acl remark - ACL for the outside interface
access-list out-acl remark - Allow Joe Smith's group to login
access-list out-acl permit tcp 1.1.1.0 255.255.255.0 server
access-list out-acl remark - Allow Lee White's group to login
access-list out-acl permit tcp 1.1.3.0 255.255.255.0 server
access-list out-acl remark - Deny known hackers
access-list out-acl deny ip host 192.23.56.1 any
access-list out-acl deny ip host 197.1.1.125 any

RADIUS許可

FWSMでは、RADIUS認証応答メッセージの中で、RADIUSサーバからFWSMにユーザ グループ アトリビュートを送信できます。また、FWSMではRADIUSサーバから アクセス リストをダウンロードできます。たとえば、Cisco Secure ACSサーバ上にアクセス リストを設定して、RADIUS許可中にFWSMにアクセス リストをダウンロードできます。

ユーザの認証が完了すると、FWSMは認証サーバから返されるCiscoSecure aclアトリビュートを使用して、所定のユーザ グループのアクセス リストを識別できます。このファイアウォールでは、TACACS+についても同じ機能を提供しています。

ユーザを3台のサーバにだけアクセスできるようにして、ほかのサーバはすべて拒否する場合、access-listコマンドは次のようになります。

fwsm/context(config)# access-list eng permit ip any server1 255.255.255.255
fwsm/context(config)# access-list eng permit ip any server2 255.255.255.255
fwsm/context(config)# access-list eng permit ip any server3 255.255.255.255
fwsm/context(config)# access-list eng deny ip any any
 

この例では、CiscoSecureコンフィギュレーション内のベンダー固有アトリビュート文字列がacl=engに設定されています。CiscoSecureコンフィギュレーション内のこのフィールドには、access-listの識別名が含まれます。FWSMはacl= id をCiscoSecureから取得し、アトリビュート文字列からACL番号を抽出します。アトリビュート文字列は、ユーザのuauthエントリに配置されています。ユーザが接続を開始しようとすると、FWSMはユーザのuauthエントリにあるアクセス リストをチェックし、アクセス リストの許可ステータスまたは拒否ステータスのどちらに一致したかに基づいて、接続を許可または拒否します。接続を拒否する場合、FWSMはそれに対応するSyslogメッセージを生成します。アクセス リストの内容に一致しない場合は、暗黙の規則であるdenyが適用されます。

所定のユーザの発信元IPアドレスは、ユーザがどこからログインしているかに応じて異なります。このため、access-listコマンド文の発信元アドレスはanyに設定し、ユーザにどのネットワーク サービスへのアクセスを許可または拒否するかは、宛先アドレスで特定します。特定のサブネットからログインするユーザだけが指定サービスを使用できるように指定する場合は、anyを使用する代わりにサブネットを指定します。


) RADIUS許可に使用されるアクセス リストの場合は、ステートメントをインターフェイスにバインドするためのaccess-groupコマンドは不要です。


aaa authorizationコマンドには、radiusオプション キーワードはありません。

アトリビュート11で指定されているアクセス リストは、ユーザごとのアクセス リスト名を指定するように設定します。この設定にしない場合、ユーザ認証用のアクセス リストがないときは、コンフィギュレーションからアトリビュート11を削除してください。ユーザがログインを試行したときにFWSM上でアクセス リストが設定されていない場合、ログインは失敗します。

詳細は、『 Cisco FWSM and VPN Configuration Gui de 』を参照してください。

使用上の注意

clear access-list コマンドを実行すると、 crypto map コマンドまたはインターフェイスからアクセス リストが自動的にアンバインドされます。 crypto map コマンドからアクセス リストをアンバインドすると、パケットがすべて廃棄される状態になる可能性があります。これは、アクセス リストを参照している crypto map コマンド文が不完全なものになるためです。この状態を解消するには、別の access-list コマンド文を定義して crypto map コマンド文を完全なものにするか、 access-list コマンド文に関係する crypto map コマンド文を削除します。詳細は、crypto map clientコマンドを参照してください。

FWSM上でAAAサーバによって動的にアップデートされるACLは、 show access-list コマンドでのみ表示できます。 write コマンドでは、これらのアップデートされたリストは保存されず、表示されません。

access-list コマンドでは、最初に一致したエントリが使用されます。

access-listコマンド文を指定して access-group コマンド文でインターフェイスにバインドすると、デフォルトでは、そのインターフェイスへのトラフィックがすべて拒否されます。トラフィックを明示的に許可する必要があります。「受信」は、トラフィックがインターフェイスを通過することを意味し、トラフィックが低セキュリティ レベル インターフェイスから高セキュリティ レベル インターフェイスへと流れることを意味する訳ではありません。

アクセスについては、常に許可を先に記述して、その後に拒否を記述します。このように記述すると、ホストのエントリが一致した場合は permit キーワードが使用され、一致しない場合はデフォルトの deny キーワードが使用されます。特定のホストを拒否して、その他すべてのホストを許可する場合にだけ、許可の後に deny キーワードを追加指定する必要があります。

インターフェイスのセキュリティ レベルは、 show nameif コマンドで表示できます。

オプションのICMPメッセージ タイプ( icmp_type )引数は、IPSecでは無視されます。これは、ISAKMPではメッセージ タイプをネゴシエートできないためです。

access-group コマンドを使用してインターフェイスにバインドできるアクセス リストは、1つだけです。

アクセス リストに permit オプション キーワードを指定した場合、FWSMはパケットの処理を続行します。アクセス リストに deny オプションを指定した場合には、FWSMはパケットを廃棄して、次のSyslogメッセージを生成します。

%fwsm#-4-106019: IP packet from source_addr to destination_addr, protocol protocol received from interface interface_name deny by access-group id
 

access-list コマンドのシンタックスはCisco IOSソフトウェアの access-list コマンドと同じですが、FWSMではサブネット マスクを使用するのに対し、Cisco IOSソフトウェアではワイルドカード マスクを使用する点が異なります。たとえば、Cisco IOSソフトウェアの access-list コマンドで0.0.0.255と指定するサブネット マスクは、FWSMの access-list コマンドでは255.255.255.0と指定します。

access-list コマンドは、 outbound コマンドとは併用しないことを推奨します。これらのコマンドを同時に使用すると、デバッグ時に問題となる可能性があります。 outbound コマンドは1つのインターフェイスからほかのインターフェイスへと作用しますが、 access-group コマンドとともに使用した access-list コマンドは、1つのインターフェイスにだけ適用されるためです。これらのコマンドを同時に使用する必要がある場合、FWSMは、 access-list コマンドを評価してから outbound コマンドをチェックします。

access-list コマンドを使用してサーバ アクセスを提供し、送信ユーザ アクセスを制限する方法の詳細については、『 Cisco Firewall and VPN Configuration Guide 』の第3章「Managing Network Access and Use」を参照してください。

ポートの設定を確認または変更するには、aaa-server radius-acctportコマンドとaaa-server radius-authportコマンドの項を参照してください。

ICMPメッセージ タイプ

IPSecを使用しない場合に限りますが、ICMPアクセスをきめ細かく制御するには、このコマンドの最後のオプション キーワードとしてICMPメッセージ タイプを1つ指定します。 表 2-1 に、使用できるICMPタイプ値を示します。

 

表 2-1 ICMPタイプのリテラル

ICMPタイプ
リテラル

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

address-mask-request

18

address-mask-reply

31

conversion-error

32

mobile-redirect

次の例では、IPSecで使用するためのICMPメッセージ タイプを指定しても、FWSMはその指定を無視します。

fwsm/context(config)# access-list 10 permit icmp any any echo-reply
 

IPSecがイネーブルで、このaccess-listコマンドの id をcrypto mapコマンドが参照している場合、echo-reply ICMPメッセージ タイプは無視されます。

access-listコマンドとIPSecの使用方法

アクセス リストが access-group コマンドでインターフェイスにバインドされている場合は、そのアクセス リストに基づいて、FWSMを通過できるトラフィックが選択されます。 crypto map コマンドにバインドされている場合は、そのアクセス リストに基づいて、IPSecで保護するIPトラフィックおよび保護されないトラフィックが選択されます。たとえば、サブネットXとサブネットY間のIPトラフィックや、ホストAとホストB間のIPトラフィックをすべて保護するアクセス リストを作成できます。

アクセス リストは、IPSecでの使用に限定されるものではありません。特定のアクセス リストのpermitに一致したトラフィックに対してIPSec処理を適用するかどうかは、そのアクセス リストを参照する crypto map コマンドで定義します。

IPSec crypto map コマンドに関連付けられている暗号化用アクセス リストは、主に次のような機能を持っています。

IPSecで保護する送信トラフィックを選択します(permitに一致したものが保護の対象)。

IPSecセキュリティ アソシエーションのネゴシエーションを開始するときに、(1つのpermitエントリで指定された)新しいセキュリティ アソシエーションで保護するデータ フローを指定します。

受信トラフィックを処理して、IPSecが保護しているトラフィックをフィルタリングして除外し、廃棄します。

IPSecピアからのIKEネゴシエーションを処理するときに、要求されたデータ フローのためのIPSecセキュリティ アソシエーションを求める要求を受け入れるかどうかを決定する(ネゴシエーションが実行されるのは、 ipsec-isakmp オプション キーワードが指定されている crypto map コマンド文に対してのみ)。ピアの開始したIPSecネゴシエーションが受け入れられるためには、 ipsec-isakmp 暗号マップ エントリに関連付けられている暗号化用アクセス リストで許可されたデータ フローを指定する必要があります。

暗号化用アクセス リストをインターフェイスに関連付けるには、対応する crypto map コマンド文を定義し、その暗号マップ セットをインターフェイスに適用します。同じ暗号マップ セット内の各エントリに対しては、それぞれ異なるアクセス リストを使用する必要があります。FWSMから出るトラフィックに対してはアクセス リストの基準が順方向に適用され、FWSMに入るトラフィックに対しては逆方向に適用されます。

あるトラフィックに特定のIPSec保護の組み合せ(たとえば、認証のみ)を適用し、ほかのトラフィックには別のIPSec保護の組み合せ(たとえば、認証と暗号化の両方)を適用する場合は、それぞれ異なる2タイプのトラフィックを指定した、2つの暗号化用アクセス リストを作成する必要があります。これらのアクセス リストを、それぞれ異なるIPSecポリシーを定義した、それぞれ異なる暗号マップ エントリで使用します。

any キーワードを使用することは避けて、IPSecで使用するための「ミラー イメージ」暗号化用アクセス リストを設定することを推奨します。

所定の暗号化用アクセス リストに複数のエントリを設定した場合、最初に一致した permit キーワードがIPSecセキュリティ アソシエーションの範囲の決定に使用されます。つまり、一致したキーワード エントリの基準だけをトラフィックが満たしていれば、そのトラフィックを保護するためのIPSecセキュリティ アソシエーションが設定されます。トラフィックが暗号化用アクセス リスト内の別の permit エントリに一致した場合は、access listコマンドに新たに一致したトラフィックを保護するための、別のIPSecセキュリティ アソシエーションが新しくネゴシエートされます。

FTPなどの一部のサービスに対しては、2つの access-list コマンド文が必要です。FTPトラフィックを適切に暗号化するには、1つをポート10用、もう1つをポート21用に作成します。

次の例では、クラスCサブネットをIPパケットの発信元および宛先として指定した番号付きアクセス リストを作成します。 access-list コマンドが crypto map コマンド文の中で参照されているため、FWSMは、発信元サブネットと宛先サブネットの間で交換されるすべてのIPトラフィックを暗号化します。

fwsm/context(config)# access-list 101 permit ip 172.21.3.0 255.255.0.0 172.22.2.0 255.255.0.0
fwsm/context(config)# access-group 101 in interface outside
fwsm/context(config)# crypto map mymap 10 match address 101
 

次の例では、エコー応答ICMPメッセージ タイプのみ、外部インターフェイスに送信することを許可しています。

fwsm/context(config)# access-list acl_out permit icmp any any echo-reply
fwsm/context(config)# access-group acl_out interface outside
 

次の例は、FWSMによるACEの番号付けおよびコメントの挿入を示しています(コメントには行番号は割り当てされない)。

fwsm/context(config)# show access-list ac
access-list ac; 2 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
 
fwsm/context(config)# access-list ac permit tcp object-group remote object-group locals
fwsm/context(config)# show access-list ac
access-list ac; 3 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac line 3 permit tcp object-group remote object-group locals
fwsm/context(config)# access-list ac remark This comment describes the ACE line 3
 
fwsm/context(config)# show access-list ac
access-list ac; 3 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit tcp object-group remote object-group locals
 
fwsm/context(config)# access-list ac permit tcp 171.0.0.0 255.0.0.0 any
fwsm/context(config)# show access-list ac
access-list ac; 4 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit tcp object-group remote object-group locals
access-list ac line 4 permit tcp 171.0.0.0 255.0.0.0 any (hitcnt=0)
 
fwsm/context(config)# no access-list ac permit tcp object-group remote object-group locals
fwsm/context(config)# show access-list ac
access-list ac; 3 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit tcp 171.0.0.0 255.0.0.0 any (hitcnt=0)

次の例では、アクセス リストのコメントを削除する方法を示しています。

fwsm/context(config)# access-list ac remark This comment diatribes the ACE line 5
fwsm/context(config)# sh access-list ac
access-list ac; 3 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit tcp 171.0.0.0 255.0.0.0 any (hitcnt=0)
access-list ac remark This comment describes the ACE line 5
 
fwsm/context(config)# no access-list ac remark This comment describes the ACE line 5
fwsm/context(config)# show access-list ac
access-list ac; 3 elements
access-list ac permit ip any any line 1 (hitcnt=0)
access-list ac permit tcp any any line 2 (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac permit tcp 171.0.0.0 255.0.0.0 any line 4 (hitcnt=0)
 

次の例は、access-listエントリを特定の行番号に挿入する方法を示しています。

fwsm/context(config)# show access-list ac
access-list ac; 3 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit tcp 171.0.0.0 255.0.0.0 any (hitcnt=0)
 
fwsm/context(config)# access-list ac line 3 permit ip 172.0.0.0 255.0.0.0 any
fwsm/context(config)# show access-list ac
access-list ac; 4 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit ip 172.0.0.0 255.0.0.0 any (hitcnt=0)
access-list ac line 4 permit tcp 171.0.0.0 255.0.0.0 any (hitcnt=0)
 

ここで show access-list コマンドを実行すると、次の行が出力されます。この出力には、キャッシュされているACLログ フローの総数(total)、キャッシュされている拒否フローの数(denied)、および拒否フローの許容最大数が示されています。

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
 

access-list icmp host

コンフィギュレーションにICMPホストのアクセス リストを追加して、FWSMを通過するIPトラフィックのポリシーを設定するには、 access-list icmp hostコマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。

[no] access-list id { deny | permit } host { source_ip | { source_ip source_mask }} [ log [ disable | [ level ] | default ] | [ interval secs ]]

 
構文の説明

id

アクセス リストの名前または番号

deny

条件に一致した場合、アクセスを拒否します。詳細については、「使用上の注意事項」を参照してください。

permit

条件に一致した場合、アクセスを許可します。詳細については、「使用上の注意事項」を参照してください。

host

アクセス リストにホストを追加することを指定します。

source_ip

パケット送信元のネットワークまたはホストのIPアドレスです。

source_mask

送信元アドレスにネットワーク マスクを使用する場合、 source_addr に適用するネットマスク ビット(マスク)です。

log default

(任意)ACEに対してSyslogメッセージ106100を生成することを指定します。「使用上の注意事項」を参照してください。

log disable

(任意)Syslogメッセージをディセーブルにします。「使用上の注意事項」を参照してください。

log level

(任意)Syslogレベルを指定します。有効値は0~7です。「使用上の注意事項」を参照してください。

interval secs

Syslogメッセージ106100を生成する時間間隔を指定します。有効値は1~600秒です。

 
デフォルト

デフォルト設定は、次のとおりです。

具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。

ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。

log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

access-group コマンドとともに deny オプションを使用すると、パケットがFWSMを通過することが禁止されます。デフォルトでは、個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。

log disable | default | level オプション キーワードの場合、次の内容に注意してください。

log オプション キーワードを指定すると、その適用対象となるACEについてSyslogメッセージ106100が生成されます。(Syslogメッセージ106100は、ACEのpermitまたはdenyに一致した、FWSMを通過するすべてのフローについて生成される)。最初に一致したフローはキャッシュされます。以降にフローが一致した場合は、 show access-list コマンドで表示されるACEのヒット カウントが増分されます。フローのヒット カウントが0以外の場合は、 interval secs で定義した期間が終了したときに新しい106100メッセージが生成されます。

デフォルトのACLロギング動作( log キーワードが指定されていない)では、パケットが拒否されたときに106023メッセージが生成され、許可されたときはSyslogメッセージが生成されません。

生成されるSyslogメッセージ(106100)に関して、オプションのSyslog level (0~7)を指定することもできます。 level を指定しない場合、新しいACEのデフォルト レベルは6(通知)になります。ACEがすでに存在する場合には、既存のログ レベルは変更されません。

log disable オプション キーワードを指定しない場合、アクセス リストのロギングが完全にディセーブルになります。メッセージ106023も含めて、Syslogメッセージは生成されません。

log default オプション キーワードを指定すると、デフォルトのアクセス リスト ロギング動作が復元されます。


) ロギングの詳細については、『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide』を参照してください。


access-list コマンドを使用すると、IPアドレスがポートまたはプロトコルにアクセスすることを許可するかどうかを指定できます。同じアクセス リスト名を持つ1つまたは複数の access-list コマンド文を「アクセス リスト」と呼びます。IPSecに関連付けられているアクセス リストは「暗号化用アクセス リスト」と呼びます。

アクセス リストをグループにまとめるには、 object-group コマンドを使用します。

発信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合の注意点は、次のとおりです。

32ビットの4分割ドット付き10進数形式を使用します。

アドレスとマスクを0.0.0.0 0.0.0.0にする場合は、短縮形の any キーワードを使用します。このキーワードは、IPSecでは使用しないでください。

マスクを255.255.255.255にする場合は、短縮形の host address を使用します。

ネットワーク マスクを指定する場合の注意点は、次のとおりです。

アドレスがホスト アドレスである場合は、マスクは指定しません。宛先アドレスがホストである場合は、アドレスの前に host パラメータを使用します。

fwsm/context(config)# access-list acl_grp permit tcp any host 192.168.1.1
 

アドレスがネットワーク アドレスである場合は、32ビットの4分割ドット付き10進数形式でマスクを指定します。無視するビット位置には、0を指定します。

ネットワーク マスクの指定方法が、Cisco IOSソフトウェアの access-list コマンドとは異なることに注意してください。FWSMでは、クラスAアドレスには 255.0.0.0 を使用し、クラスBアドレスには 255.255.0.0 を使用し、クラスCアドレスには 255.255.255.0 を使用します。サブネット化されたネットワーク アドレスを使用する場合は、適切なネットワーク マスクを使用してください。

fwsm/context(config)# access-list acl_grp permit tcp any 209.165.201.0 255.255.255.224
 

access-list コマンドはsunrpc サービスをサポートしています。

show access-list コマンドは、コンフィギュレーション内の access-list コマンド文を表示し、 access-list コマンドの検索中に各エントリが一致した回数(ヒット カウント)を表示します。また、アクセス リスト内のaccess list文の数を表示し、リストがTurboACL用に設定されているかどうかも示します。リストに含まれているACEが18個未満でも、TurboACLが設定されているとマークされますが、実際にはエントリが19個以上にならないとTurboACL用に設定されません。

show access-list source_addr オプション キーワードおよび引数は、showコマンドの出力をフィルタリングして、発信元IPアドレスが一致するアクセス リスト エントリだけを表示します(フィルタリングしない場合は、発信元IPアドレスとして any が使用される)。

clear access-list コマンドは、コンフィギュレーションから access-list コマンドをすべて削除します。 id が指定されている場合は、そのアクセス リストを削除します。clear access-list id counters コマンドは、指定したアクセス リストのヒット カウントを消去します。

no access-listコマンドは、コンフィギュレーションからaccess-listコマンドを削除します。アクセス リスト内のaccess-listコマンド文をすべて削除する場合、no access-listコマンドを使用すると、対応するaccess-groupコマンドもコンフィギュレーションから削除されます。


) aaaコマンド、crypto mapコマンド、およびicmpコマンドは、access-listコマンド文を使用します。


access-list loggingコマンド

次の例では、 access-list log オプション キーワードをイネーブルにした場合の動作を示します。

fwsm/context(config)# access-group outside-acl in interface outside
fwsm/context(config)# access-list outside-acl permit ip host 1.1.1.1 any log 7 interval 600
fwsm/context(config)# access-list outside-acl permit ip host 2.2.2.2 any
fwsm/context(config)# access-list outside-acl deny ip any any log 2
 

前の例は、ICMPコンテキストでの、アクセス リスト ロギングの使用方法を示しています。

1. ICMPエコー要求(1.1.1.1 -> 192.168.1.1)が外部インターフェイスに到着します。

2. アクセス チェックに outside-acl というACLが適用されます。

3. パケットは、 outside-acl の最初のACEによって許可されます。このACEでは、 log オプション キーワードがイネーブルになっています。

4. ログ フロー(ICMP、1.1.1.1(0)、192.168.1.1(8))はキャッシュされていませんでした。このため、次のSyslogメッセージが生成され、ログ フローがキャッシュされます。

106100: access-list outside-acl permitted icmp outside/1.1.1.1(0) -> inside/192.168.1.1(8) hit-cnt 1 (first hit)
 

5. このようなパケットが20個、次の10分(600秒)間に外部インターフェイスに到達します。ログ フローがキャッシュされているため、ログ フローが検索され、パケットごとにログ フローのヒット カウントが増加します。

6. 10分間の最後に、次のSyslogメッセージが生成され、ログ フローのヒット カウントが0にリセットされます。

106100: access-list outside-acl permitted icmp outside/1.1.1.1(0) -> inside/192.168.1.1(8) hit-cnt 20 (300-second interval)
 

7. 次の10分間には、このようなパケットが外部インターフェイスに到達しません。したがって、ログ フローのヒット カウントは0のままです。

8. ヒット カウントが0であるため、20分間の最後に、キャッシュされたフロー(ICMP、1.1.1.1(0)、192.168.1.1(8))が削除されます。

ACEを削除せずに log オプション キーワードをディセーブルにするには、 access-list id log disable コマンドを使用します。

log オプション キーワードがイネーブルになっているACEを no access-list コマンドを使用して削除するときは、ログ オプションをすべて指定する必要はありません。ACE内のpermit規則またはdeny規則がACEを一意に識別するために使用されている場合、ACEは削除されます。ただし、( log オプション キーワードがイネーブルになっている)ACEを削除しても、ACEに関連付けられているキャッシュ済みフローは削除されません。キャッシュされているフローを削除するには、ACL全体を削除する必要があります。キャッシュされているフローがACLの削除によってフラッシュされると、そのフローのヒット カウントが0以外の場合にはSyslogメッセージが生成されます。

キャッシュされているフローをすべて消去するには、 clear access-list コマンドを使用します。

access-list id remarkコマンド

access-list id [ line line-num ] remark text コマンドを使用すると、ACL内のエントリに関するコメントを挿入できます。コメントを利用することで、ACLを読んで理解することが容易になります。1つのコメント行は100文字までです。

ACLコメントは access-list コマンド文の前後いずれにも記述できますが、記述する場所を統一して、どのコメントがどの access-list コマンドを説明しているのかが明確になるようにしてください。

no access-list id line line-num remark text および no access-list id line line-num コマンドは、どちらも指定した行番号にあるコメントを削除します。

次に、アクセス リスト コメントの例を示します。

access-list out-acl remark - ACL for the outside interface
access-list out-acl remark - Allow Joe Smith's group to login
access-list out-acl permit tcp 1.1.1.0 255.255.255.0 server
access-list out-acl remark - Allow Lee White's group to login
access-list out-acl permit tcp 1.1.3.0 255.255.255.0 server
access-list out-acl remark - Deny known hackers
access-list out-acl deny ip host 192.23.56.1 any
access-list out-acl deny ip host 197.1.1.125 any

RADIUS許可

FWSMでは、RADIUS認証応答メッセージの中で、RADIUSサーバからFWSMにユーザ グループ アトリビュートを送信できます。また、FWSMではRADIUSサーバから アクセス リストをダウンロードできます。たとえば、Cisco Secure ACSサーバ上にアクセス リストを設定して、RADIUS許可中にFWSMにアクセス リストをダウンロードできます。

ユーザの認証が完了すると、FWSMは認証サーバから返されるCiscoSecure aclアトリビュートを使用して、所定のユーザ グループのアクセス リストを識別できます。このファイアウォールでは、TACACS+についても同じ機能を提供しています。

ユーザを3台のサーバにだけアクセスできるようにして、ほかのサーバはすべて拒否する場合、access-listコマンドは次のようになります。

fwsm/context(config)# access-list eng permit ip any server1 255.255.255.255
fwsm/context(config)# access-list eng permit ip any server2 255.255.255.255
fwsm/context(config)# access-list eng permit ip any server3 255.255.255.255
fwsm/context(config)# access-list eng deny ip any any
 

この例では、CiscoSecureコンフィギュレーション内のベンダー固有アトリビュート文字列がacl=engに設定されています。CiscoSecureコンフィギュレーション内のこのフィールドには、access-listの識別名が含まれます。FWSMはacl= id をCiscoSecureから取得し、アトリビュート文字列からACL番号を抽出します。アトリビュート文字列は、ユーザのuauthエントリに配置されています。ユーザが接続を開始しようとすると、FWSMはユーザのuauthエントリにあるアクセス リストをチェックし、アクセス リストの許可ステータスまたは拒否ステータスのどちらに一致したかに基づいて、接続を許可または拒否します。接続を拒否する場合、FWSMはそれに対応するSyslogメッセージを生成します。アクセス リストの内容に一致しない場合は、暗黙の規則であるdenyが適用されます。

所定のユーザの発信元IPアドレスは、ユーザがどこからログインしているかに応じて異なります。このため、access-listコマンド文の発信元アドレスはanyに設定し、ユーザにどのネットワーク サービスへのアクセスを許可または拒否するかは、宛先アドレスで特定します。特定のサブネットからログインするユーザだけが指定サービスを使用できるように指定する場合は、anyを使用する代わりにサブネットを指定します。


) RADIUS許可に使用されるアクセス リストの場合は、ステートメントをインターフェイスにバインドするためのaccess-groupコマンドは不要です。


aaa authorizationコマンドには、radiusオプション キーワードはありません。

アトリビュート11で指定されているアクセス リストは、ユーザごとのアクセス リスト名を指定するように設定します。この設定にしない場合、ユーザ認証用のアクセス リストがないときは、コンフィギュレーションからアトリビュート11を削除してください。ユーザがログインを試行したときにFWSM上でアクセス リストが設定されていない場合、ログインは失敗します。

詳細は、『 Cisco FWSM and VPN Configuration Gui de 』を参照してください。

使用上の注意

clear access-list コマンドを実行すると、 crypto map コマンドまたはインターフェイスからアクセス リストが自動的にアンバインドされます。 crypto map コマンドからアクセス リストをアンバインドすると、パケットがすべて廃棄される状態になる可能性があります。これは、アクセス リストを参照している crypto map コマンド文が不完全なものになるためです。この状態を解消するには、別の access-list コマンド文を定義して crypto map コマンド文を完全なものにするか、 access-list コマンド文に関係する crypto map コマンド文を削除します。詳細は、crypto map clientコマンドを参照してください。

FWSM上でAAAサーバによって動的にアップデートされるACLは、 show access-list コマンドでのみ表示できます。 write コマンドでは、これらのアップデートされたリストは保存されず、表示されません。

access-list コマンドでは、最初に一致したエントリが使用されます。

access-listコマンド文を指定して access-group コマンド文でインターフェイスにバインドすると、デフォルトでは、そのインターフェイスへのトラフィックがすべて拒否されます。トラフィックを明示的に許可する必要があります。「受信」は、トラフィックがインターフェイスを通過することを意味し、トラフィックが低セキュリティ レベル インターフェイスから高セキュリティ レベル インターフェイスへと流れることを意味する訳ではありません。

アクセスについては、常に許可を先に記述して、その後に拒否を記述します。このように記述すると、ホストのエントリが一致した場合は permit キーワードが使用され、一致しない場合はデフォルトの deny キーワードが使用されます。特定のホストを拒否して、その他すべてのホストを許可する場合にだけ、許可の後に deny キーワードを追加指定する必要があります。

インターフェイスのセキュリティ レベルは、 show nameif コマンドで表示できます。

オプションのICMPメッセージ タイプ( icmp_type )引数は、IPSecアプリケーションでは無視されます。これは、ISAKMPではメッセージ タイプをネゴシエートできないためです。

access-group コマンドを使用してインターフェイスにバインドできるアクセス リストは、1つだけです。

アクセス リストに permit オプション キーワードを指定した場合、FWSMはパケットの処理を続行します。アクセス リストに deny オプションを指定した場合には、FWSMはパケットを廃棄して、次のSyslogメッセージを生成します。

%fwsm#-4-106019: IP packet from source_addr to destination_addr, protocol protocol received from interface interface_name deny by access-group id
 

access-list コマンドの構文はCisco IOSソフトウェアの access-list コマンドと同じですが、FWSMではサブネット マスクを使用するのに対し、Cisco IOSソフトウェアではワイルドカード マスクを使用する点が異なります。たとえば、Cisco IOSソフトウェアの access-list コマンドで0.0.0.255と指定するサブネット マスクは、FWSMの access-list コマンドでは255.255.255.0と指定します。

access-list コマンドは、 outbound コマンドとは併用しないことを推奨します。これらのコマンドを同時に使用すると、デバッグ時に問題となる可能性があります。 outbound コマンドは1つのインターフェイスからほかのインターフェイスへと作用しますが、 access-group コマンドとともに使用した access-list コマンドは、1つのインターフェイスにだけ適用されるためです。これらのコマンドを同時に使用する必要がある場合、FWSMは、 access-list コマンドを判断してから outbound コマンドをチェックします。

access-list コマンドを使用してサーバ アクセスを提供し、送信ユーザ アクセスを制限する方法の詳細については、『 Cisco Firewall and VPN Configuration Guide 』の第3章「Managing Network Access and Use」を参照してください。

ポートの設定を確認または変更するには、aaa-server radius-acctportコマンドとaaa-server
radius-authportコマンドの項を参照してください。

ICMPメッセージ タイプ

IPSecを使用しない場合に限りますが、ICMPアクセスをより細かく制御するには、このコマンドの最後のオプション キーワードとしてICMPメッセージ タイプを1つ指定します。 表 2-2 に、使用できるICMPタイプ値を示します。

 

表 2-2 ICMPタイプのリテラル

ICMPタイプ
リテラル

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

address-mask-request

18

address-mask-reply

31

conversion-error

32

mobile-redirect

次の例では、IPSecで使用するためのICMPメッセージ タイプを指定しても、FWSMはその指定を無視します。

fwsm/context(config)# access-list 10 permit icmp any any echo-reply
 

IPSecがイネーブルで、このaccess-listコマンドの id をcrypto mapコマンドが参照している場合、echo-reply ICMPメッセージ タイプは無視されます。

access-listコマンドとIPSecの使用方法

アクセス リストが access-group コマンドでインターフェイスにバインドされている場合は、そのアクセス リストに基づいて、FWSMを通過できるトラフィックが選択されます。 crypto map コマンドにバインドされている場合は、そのアクセス リストに基づいて、IPSecで保護するIPトラフィックおよび保護されないトラフィックが選択されます。たとえば、サブネットXとサブネットY間のIPトラフィックや、ホストAとホストB間のIPトラフィックをすべて保護するアクセス リストを作成できます。

アクセス リストは、IPSecでの使用に限定されるものではありません。特定のアクセス リストのpermitに一致したトラフィックに対してIPSec処理を適用するかどうかは、そのアクセス リストを参照する crypto map コマンドで定義します。

IPSec crypto map コマンドに関連付けられている暗号化用アクセス リストは、主に次のような機能を持っています。

IPSecで保護する送信トラフィックを選択します(permitに一致したものが保護の対象)。

IPSecセキュリティ アソシエーションのネゴシエーションを開始するときに、(1つのpermitエントリで指定された)新しいセキュリティ アソシエーションで保護するデータ フローを指定します。

受信トラフィックを処理して、IPSecが保護しているトラフィックをフィルタリングして除外し、廃棄します。

IPSecピアからのIKEネゴシエーションを処理するときに、要求されたデータ フローのためのIPSecセキュリティ アソシエーションを求める要求を受け入れるかどうかを決定します(ネゴシエーションが実行されるのは、 ipsec-isakmp オプション キーワードが指定されている crypto map コマンド文に対してのみ)。ピアの開始したIPSecネゴシエーションが受け入れられるためには、 ipsec-isakmp 暗号マップ エントリに関連付けられている暗号化用アクセス リストで許可されたデータ フローを指定する必要があります。

暗号化用アクセス リストをインターフェイスに関連付けるには、対応する crypto map コマンド文を定義し、その暗号マップ セットをインターフェイスに適用します。同じ暗号マップ セット内の各エントリに対しては、それぞれ異なるアクセス リストを使用する必要があります。FWSMから出るトラフィックに対してはアクセス リストの基準が順方向に適用され、FWSMに入るトラフィックに対しては逆方向に適用されます。

あるトラフィックに特定のIPSec保護の組み合せ(たとえば、認証のみ)を適用し、ほかのトラフィックには別のIPSec保護の組み合せ(たとえば、認証と暗号化の両方)を適用する場合は、それぞれ異なる2タイプのトラフィックを指定した、2つの暗号化用アクセス リストを作成する必要があります。これらのアクセス リストを、それぞれ異なるIPSecポリシーを定義した、それぞれ異なる暗号マップ エントリで使用します。

any キーワードを使用することは避けて、IPSecで使用するための「ミラー イメージ」暗号化用アクセス リストを設定することを推奨します。

所定の暗号化用アクセス リストに複数のエントリを設定した場合、最初に一致した permit キーワードがIPSecセキュリティ アソシエーションの範囲の決定に使用されます。つまり、一致したキーワード エントリの基準だけをトラフィックが満たしていれば、そのトラフィックを保護するためのIPSecセキュリティ アソシエーションが設定されます。その後、トラフィックが暗号化用アクセス リスト内の別の permit エントリに一致した場合は、access listコマンドに新たに一致したトラフィックを保護するための、別のIPSecセキュリティ アソシエーションが新しくネゴシエートされます。

FTPなどの一部のサービスに対しては、2つの access-list コマンド文が必要です。FTPトラフィックを適切に暗号化するには、1つをポート10用、もう1つをポート21用に作成します。

次の例では、クラスCサブネットをIPパケットの発信元および宛先として指定した番号付きアクセス リストを作成します。 access-list コマンドが crypto map コマンド文の中で参照されているため、FWSMは、発信元サブネットと宛先サブネットの間で交換されるすべてのIPトラフィックを暗号化します。

fwsm/context(config)# access-list 101 permit ip 172.21.3.0 255.255.0.0 172.22.2.0 255.255.0.0
fwsm/context(config)# access-group 101 in interface outside
fwsm/context(config)# crypto map mymap 10 match address 101
 

次の例では、エコー応答ICMPメッセージ タイプのみ、外部インターフェイスに送信することを許可しています。

fwsm/context(config)# access-list acl_out permit icmp any any echo-reply
fwsm/context(config)# access-group acl_out interface outside
 

次の例は、FWSMによるACEの番号付けおよびコメントの挿入を示しています(コメントには行番号は割り当てされない)。

fwsm/context(config)# show access-list ac
access-list ac; 2 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
 
fwsm/context(config)# access-list ac permit tcp object-group remote object-group locals
fwsm/context(config)# show access-list ac
access-list ac; 3 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac line 3 permit tcp object-group remote object-group locals
fwsm/context(config)# access-list ac remark This comment describes the ACE line 3
 
fwsm/context(config)# show access-list ac
access-list ac; 3 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit tcp object-group remote object-group locals
 
fwsm/context(config)# access-list ac permit tcp 171.0.0.0 255.0.0.0 any
fwsm/context(config)# show access-list ac
access-list ac; 4 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit tcp object-group remote object-group locals
access-list ac line 4 permit tcp 171.0.0.0 255.0.0.0 any (hitcnt=0)
 
fwsm/context(config)# no access-list ac permit tcp object-group remote object-group locals
fwsm/context(config)# show access-list ac
access-list ac; 3 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit tcp 171.0.0.0 255.0.0.0 any (hitcnt=0)
 

次の例では、アクセス リストのコメントを削除する方法を示しています。

fwsm/context(config)# access-list ac remark This comment diatribes the ACE line 5
fwsm/context(config)# sh access-list ac
access-list ac; 3 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit tcp 171.0.0.0 255.0.0.0 any (hitcnt=0)
access-list ac remark This comment describes the ACE line 5
 
fwsm/context(config)# no access-list ac remark This comment describes the ACE line 5
fwsm/context(config)# show access-list ac
access-list ac; 3 elements
access-list ac permit ip any any line 1 (hitcnt=0)
access-list ac permit tcp any any line 2 (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac permit tcp 171.0.0.0 255.0.0.0 any line 4 (hitcnt=0)
 

次の例は、access-listエントリを特定の行番号に挿入する方法を示しています。

fwsm/context(config)# show access-list ac
access-list ac; 3 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit tcp 171.0.0.0 255.0.0.0 any (hitcnt=0)
 
fwsm/context(config)# access-list ac line 3 permit ip 172.0.0.0 255.0.0.0 any
fwsm/context(config)# show access-list ac
access-list ac; 4 elements
access-list ac line 1 permit ip any any (hitcnt=0)
access-list ac line 2 permit tcp any any (hitcnt=0)
access-list ac remark This comment describes the ACE line 3
access-list ac line 3 permit ip 172.0.0.0 255.0.0.0 any (hitcnt=0)
access-list ac line 4 permit tcp 171.0.0.0 255.0.0.0 any (hitcnt=0)
 

ここで show access-list コマンドを実行すると、次の行が出力されます。この出力には、キャッシュされているACLログ フローの総数(total)、キャッシュされている拒否フローの数(denied)、および拒否フローの許容最大数が示されています。

access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)

access-list mode

FWSMのコンパイル モード(manual-commitおよびauto-commit)を切り換えるには、 access-list mode コマンドを使用します。

access-list mode { auto-commit | manual-commit }

 
構文の説明

auto-commit

ACLのコンパイルをただちに自動で行います。

manual-commit

access-list commit コマンド入力後に手動でACLコンパイルを有効にするように指定します。

 
デフォルト

auto-commit

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

ACLのコミットを使用すると、ACLのコンパイル動作を同期コンパイルに変更できます。コンパイル モードは、実行コンフィギュレーションまたは保存されているコンフィギュレーションの一部には保存されません。

ACL規則を新しくダウンロードする場合、どちらのコンパイル方式も同じ動作をします。新しい規則が完全にダウンロードされ、ネットワーク プロセッサにコミットされるまで、新しいACL規則は有効にならず、従来のACL規則が適用され続けます。新しい規則をダウンロードしても、トラフィックには影響しません。

手動コミット(manual-commit)機能は、管理用に提供されています。

次の例では、manual-commitモードを使用してトラフィックを中断することなく既存のアクセス リストを変更します。

fwsm(config)# access-list mode manual-commit
fwsm(config)# no access-list old-acl
fwsm(config)# access-list old-acl .... : New ACE1
fwsm(config)# access-list old-acl .... : New ACE2
fwsm(config)# ..........
fwsm(config)# access-list old-acl .... : New ACEn
fwsm(config)# access-list commit
 

次の例では、古いアクセス リストを削除して、別の名前の新しいアクセス リストを追加します。

fwsm(config)# access-list mode manual-commit
fwsm(config)# no access-list old-acl
fwsm(config)# access-list new-acl .... : New ACE1
fwsm(config)# access-list new-acl .... : New ACE2
fwsm(config)# ..........
fwsm(config)# access-list new-acl .... : New ACEn
fwsm(config)# access-list commit
fwsm(config)# access-group new-acl in interface old-interface
 

前の例では、古いインターフェイス上でトラフィックがわずかに中断されます。中断される時間は、最後の2行のコマンド ラインでコミットを実行し、 access-group コマンドを適用するのに必要な時間です。

次の例では、トラフィックを中断することなく、前の例に示すアクセス リストを設定する方法を示します。

fwsm(config)# access-list mode manual-commit
fwsm(config)# access-list new-acl .... : New ACE1
fwsm(config)# access-list new-acl .... : New ACE2
fwsm(config)# ..........
fwsm(config)# access-list new-acl .... : New ACEn
fwsm(config)# access-list commit
fwsm(config)# access-group new-acl in interface old-interface
fwsm(config)# no access-list old-acl
fwsm(config)# access-list commit
 

前の例では、古いインターフェイス上でトラフィックは中断されません。この一連のコマンドの唯一の欠点は、FWSM上で設定されるACEの総数が一時的に古いACL(old-acl)と新しいACL(new-acl)を合計した数になることです。

 

次に、manual-commitモードの使用例を示します。

fwsm(config)# show access-list mode
ERROR: access-list <mode> does not exists
fwsm(config)#
fwsm(config)# show access-list
access-list mode auto-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
fwsm(config)#
fwsm(config)# access-list 1 permit ip any any
fwsm(config)# Access Rules Download Complete: Memory Utilization: < 1%
fwsm(config)#
fwsm(config)# show access-list
access-list mode auto-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list 1; 1 elements
access-list 1 extended permit ip any any (hitcnt=0)
fwsm(config)#
fwsm(config)# access-list commit
ERROR: access-list mode set to auto-commit; command ignored
fwsm(config)#
fwsm(config)# Access Rules Download Complete: Memory Utilization: < 1%
fwsm(config)#
fwsm(config)# show access-list
access-list mode auto-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
fwsm(config)#
fwsm(config)# access-list mode manual-commit
fwsm(config)#
fwsm(config)# show access-list
access-list mode manual-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
fwsm(config)#
fwsm(config)# access-list 1 permit ip any any
fwsm(config)#
fwsm(config)# show access-list
access-list mode manual-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list 1; 1 elements
access-list 1 extended permit ip any any (hitcnt=0) (uncommitted addition)
fwsm(config)#
fwsm(config)# access-group 1 in interface inside
ERROR: access-list not committed, ignoring command
fwsm(config)# access-list commit
Access Rules Download Complete: Memory Utilization: < 1%
fwsm(config)#
fwsm(config)# access-group 1 in interface inside
fwsm(config)# show access-list
access-list mode manual-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list 1; 1 elements
access-list 1 extended permit ip any any (hitcnt=0)
fwsm(config)#
fwsm(config)# no access-list 1 permit ip any any
fwsm(config)#
fwsm(config)# show access-list
access-list mode manual-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list 1; 1 elements
access-list 1 extended permit ip any any (hitcnt=0) (uncommitted deletion)
fwsm(config)#
fwsm(config)# access-list commit
Access Rules Download Complete: Memory Utilization: < 1%
fwsm(config)# #
fwsm(config)# show access-list
access-list mode manual-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
fwsm(config)#

access-list object-group

コンフィギュレーションにアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list object-groupコマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。

[no] access-list id { deny | permit } object-group { network_obj_grp_id destination_ip destination_mask } [ log [ disable | [ level ] | default ] | [ interval secs ]]

[no] access-list id { deny | permit } { object-group { network_obj_grp_id [ icmp_type [ icmp_type_obj_grp_id ]]} [ log [ disable | [ level ] | default ] | [ interval secs ]]

 
構文の説明

id

アクセス リストの名前または番号

deny

条件に一致した場合、アクセスを拒否します。詳細については、「使用上の注意事項」を参照してください。

permit

条件に一致した場合、アクセスを許可します。詳細については、「使用上の注意事項」を参照してください。

network_obj_grp_id

既存のネットワーク オブジェクト グループID

destination_ip

パケット宛先のネットワークまたはホストのIPアドレスです。詳細については、「使用上の注意事項」を参照してください。

destination_mask

宛先アドレスがネットワーク マスクの場合、 destination_ip に適用するネットマスク ビット(マスク)です。

log disable | default | level

(任意)ACEに対してSyslogメッセージ106100を生成することを指定します。詳細については、 log コマンドの項を参照してください。

interval secs

Syslogメッセージ106100を生成する時間間隔を指定します。有効値は1~600秒です。

icmp_type

(任意)ICMPタイプを指定します。

icmp_type_obj_grp_id

(任意)オブジェクト グループのICMPタイプIDを指定します。

 
デフォルト

デフォルト設定は、次のとおりです。

具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。

ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。

log オプション キーワードを指定する場合、Syslogメッセージ106100のデフォルト レベルは6(通知)になります。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear access-list コマンドを実行すると、 crypto map コマンドまたはインターフェイスからアクセス リストが自動的にアンバインドされます。 crypto map コマンドからアクセス リストをアンバインドすると、パケットがすべて廃棄される状態になる可能性があります。これは、アクセス リストを参照している crypto map コマンド文が不完全なものになるためです。この状態を解消するには、別の access-list コマンド文を定義して crypto map コマンド文を完全なものにするか、 access-list コマンド文に関係する crypto map コマンド文を削除します。詳細は、crypto map clientコマンドを参照してください。

FWSM上でAAAサーバによって動的にアップデートされるACLは、 show access-list コマンドでのみ表示できます。 write コマンドでは、これらのアップデートされたリストは保存されず、表示されません。

access-list コマンドでは、最初に一致したエントリが使用されます。

access-listコマンド文を指定して access-group コマンド文でインターフェイスにバインドすると、デフォルトでは、そのインターフェイスへのトラフィックがすべて拒否されます。トラフィックを明示的に許可する必要があります。「受信」は、トラフィックがインターフェイスを通過することを意味し、トラフィックが低セキュリティ レベル インターフェイスから高セキュリティ レベル インターフェイスへと流れることを意味する訳ではありません。

アクセスについては、常に許可を先に記述して、その後に拒否を記述します。このように記述すると、ホストのエントリが一致した場合は permit キーワードが使用され、一致しない場合はデフォルトの deny キーワードが使用されます。特定のホストを拒否して、その他すべてのホストを許可する場合にだけ、許可の後に deny キーワードを追加指定する必要があります。

インターフェイスのセキュリティ レベルは、 show nameif コマンドで表示できます。

オプションのICMPメッセージ タイプ( icmp_type )引数は、IPSecでは無視されます。これは、ISAKMPではメッセージ タイプをネゴシエートできないためです。

access-group コマンドを使用してインターフェイスにバインドできるアクセス リストは、1つだけです。

アクセス リストに permit オプション キーワードを指定した場合、FWSMはパケットの処理を続行します。アクセス リストに deny オプションを指定した場合には、FWSMはパケットを廃棄して、次のSyslogメッセージを生成します。

%fwsm#-4-106019: IP packet from source_addr to destination_addr, protocol protocol received from interface interface_name deny by access-group id
 

access-list コマンドの構文はCisco IOSソフトウェアの access-list コマンドと同じですが、FWSMではサブネット マスクを使用するのに対し、Cisco IOSソフトウェアではワイルドカード マスクを使用する点が異なります。たとえば、Cisco IOSソフトウェアの access-list コマンドで0.0.0.255と指定するサブネット マスクは、FWSMの access-list コマンドでは255.255.255.0と指定します。

access-list コマンドは、 outbound コマンドとは併用しないことを推奨します。これらのコマンドを同時に使用すると、デバッグ時に問題となる可能性があります。 outbound コマンドは1つのインターフェイスからほかのインターフェイスへと作用しますが、 access-group コマンドとともに使用した access-list コマンドは、1つのインターフェイスにだけ適用されるためです。これらのコマンドを同時に使用する必要がある場合、FWSMは、 access-list コマンドを評価してから outbound コマンドをチェックします。

access-list コマンドを使用してサーバ アクセスを提供し、送信ユーザ アクセスを制限する方法の詳細については、『 Cisco Firewall and VPN Configuration Guide 』の第3章「Managing Network Access and Use」を参照してください。

ポートの設定を確認または変更するには、aaa-server radius-acctportコマンドとaaa-server
radius-authportコマンドの項を参照してください。

ICMPメッセージ タイプ

IPSecを使用しない場合に限りますが、ICMPアクセスをきめ細かく制御するには、このコマンドの最後のオプション キーワードとしてICMPメッセージ タイプを1つ指定します。 表 2-3 に、使用できるICMPタイプ値を示します。

 

表 2-3 ICMPタイプのリテラル

ICMPタイプ
リテラル

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

address-mask-request

18

address-mask-reply

31

conversion-error

32

mobile-redirect

次に、アクセス リストのオブジェクト グループを設定する例を示します。

fwsm/contexta(config)# access-list VPN_SPLIT extended permit object-group ip host 209.165.200.225 host 10.1.1.1
 

次に、アクセス リストのオブジェクト グループの内容を表示する例を示します。

FWSM(config)# show access-list
access-list mode auto-commit
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
alert-interval 300

access-list remark

access-list extended コマンドの前後に追加するコメント テキストを指定するには、 access-list remark コマンドを使用します。コメントを削除するには、このコマンドの no 形式を使用します。

[no] access-list id remark text

 
構文の説明

id

アクセス リストの名前です。

remark text

access-list extended コマンド文の前後に添えるコメント テキスト

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

コメント テキストは、スペースと句読点を含めて最長100文字までです。

コメントだけが記載されたACLでは、 access-group コマンドは使用できません。

次の例では、 access-list コマンドの前後に追加するコメント テキストを指定する方法を示します。

fwsm/context(config)# access-list 77 remark checklist

access-list standard

コンフィギュレーションにアクセス リストを追加して、ファイアウォールを通過するIPトラフィックのポリシーを設定するには、 access-list standard コマンドを使用します。アクセス リストを削除するには、このコマンドの no 形式を使用します。

[ no ] access-list id standard { deny | permit } { any | ip_mask }

 
構文の説明

id

アクセス リストの名前または番号

deny

条件に一致した場合、アクセスを拒否します。詳細については、「使用上の注意事項」を参照してください。

permit

条件に一致した場合、アクセスを許可します。詳細については、「使用上の注意事項」を参照してください。

any

任意の相手に対するアクセスを指定します。

ip_mask

特定のIPネットマスクに対するアクセスを指定します。

 
デフォルト

デフォルト設定は、次のとおりです。

具体的なアクセスを指定しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。

ACLロギングでは、拒否されたパケットについてSyslogメッセージ106023が生成されます。拒否されたパケットをロギングする場合、必ず拒否パケットが表示されます。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

access-group コマンドとともに deny オプションを使用すると、パケットがFWSMを通過することが禁止されます。デフォルトでは、個々のアクセスを許可しない限り、FWSMは発信元インターフェイスのパケットをすべて拒否します。

protocol を指定して、TCPおよびUDPを含むすべてのインターネット プロトコルに一致させる場合は、キーワード ip を使用します。

オブジェクト グループの設定方法については、 object-group コマンドの項を参照してください。

アクセス リストをグループにまとめるには、 object-group コマンドを使用します。

発信元アドレス、ローカル アドレス、または宛先アドレスを指定する場合の注意点は、次のとおりです。

32ビットの4分割ドット付き10進数形式を使用してください。

アドレスとマスクを0.0.0.0 0.0.0.0にする場合は、短縮形の any キーワードを使用します。このキーワードは、IPSecでは使用しないでください。

マスクを255.255.255.255にする場合は、短縮形の host address を使用します。

次の例では、ファイアウォールを通過するIPトラフィックを拒否する方法を示します。

fwsm/context(config)# access-list 77 standard deny
 

次の例では、条件が一致した場合に、ファイアウォールを通過するIPトラフィックを許可する方法を示します。

fwsm/context(config)# access-list 77 standard permit

 
関連コマンド

object-group

activation-key

FWSMのアクティべーション キーを変更し、FWSM上で運用されているアクティべーション キーを、FWSMのフラッシュ メモリに保存されているアクティべーション キーと比較してチェックするには、 activation-key コマンドを使用します。

activation-key activation-key-four-tuple

 
構文の説明

activation-key-four-tuple

アクティべーション キー。表記上の注意点については「使用上の注意事項」を参照してください。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

activation-key-four-tuple は、4つの要素で構成される16進文字列で、各要素の間にスペースを1つ入れます。

0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e
 

先頭部分の0x指定子は省略できます。値はすべて16進数であると見なされます。

キーはコンフィギュレーション ファイルには保管されません。キーはシリアル番号に関連付けられます。

次に、FWSMでアクティベーション キーを変更する例を示します。

fwsm(config)# activation-key 0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e

admin-context

管理者コンテキストを設定するには、 admin-context コマンドを使用します。

admin-context admin-context-name

 
構文の説明

admin-context-name

コンテキスト名を指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:マルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

システムには適切な管理者コンテキストが1つ必要です。また、管理者コンテキストはディスク上に配置する必要があります。管理者コンテキストを作成するまで、他のコンテキストは作成できません。 admin-context コマンドを使用すると、管理者コンテキストをその他のコンテキストに変更できます。ただし、変更前に管理者コンテキストが既に存在しており、ディスク上に配置されている必要があります。

次に、FWSMで管理者コンテキストを設定する例を示します。

fwsm(config)# admin-context test1

 
関連コマンド

context
show admin-context
show context

alias

1つのアドレスを別のアドレスに変換するには、 alias コマンドを使用します。設定済みの alias コマンドをディセーブルにするには、このコマンドの no 形式を使用します。

[no] alias { interface_name } dnat_ip destination_ip [ netmask ]

 
構文の説明

interface_name

destination_ipに変換される内部ネットワークのインターフェイス名

dnat_ip

内部ネットワーク上のアドレスと同じ外部アドレスに対して代替IPアドレスを提供する内部ネットワーク上のIPアドレス

destination_ip

内部ネットワーク上のホストと同じアドレスを持つ外部ネットワーク上のIPアドレス

netmask

(任意)両方のIPアドレスに適用されるネットワーク マスク

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

netmask を指定する場合、ホスト マスクには 255.255.255.255 を使用します。

alias コマンドは、インターネットやほかのイントラネットのアドレスと同じIPアドレスがネットワーク上にある場合に、競合を防止するために使用します。また、宛先アドレスに対してアドレス変換を実行する場合にも使用できます。たとえば、ホストがパケット209.165.201.1に送信する場合は、 alias コマンドを使用することで、トラフィックをほかのアドレス(209.165.201.30など)にリダイレクトできます。


) DNS fixupを正しく機能させるためには、proxy-arpをディセーブルにします。DNS fixupに対してaliasコマンドを使用する場合は、aliasコマンドを実行した後にsysopt noproxyarp internal_interfaceコマンドを使用して、proxy-arpをディセーブルにします。


alias コマンドを変更または削除した後は、 clear xlate コマンドを使用します。

DNSゾーン ファイルの中に、 alias コマンドに含まれている「dnat」アドレスのA(アドレス)レコードが存在している必要があります。

aliasコマンドには2つの使用方法があります。以下にその概略を示します。

FWSMがdnat_IP_address宛てのパケットを取得した場合に、 alias コマンドを使用して、そのパケットをdestination_ip_addressに送信するように設定できます。

FWSMがdestination_network_address宛てにDNSパケットを送信し、そのパケットがFWSMに戻ってきた場合は、 alias コマンドを使用して、DNSパケットで宛先ネットワーク アドレスをdnat_network_addressに変更するように設定できます。

alias コマンドは、ネットワーク上のDNSサーバと自動的に対話して、エイリアスが設定されたIPアドレスへのドメイン名によるアクセスを透過的に処理します。

destination_ip dnat_ip アドレスにネットワーク アドレスを使用すると、ネット エイリアスを指定できます。たとえば、 alias 192.168.201.0 209.165.201.0 255.255.255.224 コマンドを実行すると、209.165.201.1~209.165.201.30の各IPアドレスのエイリアスが作成されます。

staticコマンドおよびaccess-listコマンドでalias dnat_ipアドレスにアクセスするには、access-listコマンドの中で、許可されるトラフィック発信元アドレスとしてdnat_ipアドレスを指定します。次に例を示します。

fwsm/context(config)# alias (inside) 192.168.201.1 209.165.201.1 255.255.255.255
fwsm/context(config)# static (inside,outside) 209.165.201.1 192.168.201.1 netmask 255.255.255.255
fwsm/context(config)# access-list acl_out permit tcp host 192.168.201.1 host 209.165.201.1 eq ftp-data
fwsm/context(config)# access-group acl_out in interface outside
 

内部アドレス192.168.201.1を宛先アドレス209.165.201.1にマッピングして、エイリアスを指定しています。

内部ネットワーク クライアント209.165.201.2がexample.comに接続すると、内部クライアントのクエリに対する外部DNSサーバからのDNS応答は、FWSMによって192.168.201.29へと変更されます。FWSMで209.165.200.225~209.165.200.254をグローバル プールIPアドレスとして使用している場合、パケットはFWSMにSRC=209.165.201.2およびDST=192.168.201.29として送信されます。FWSMは、アドレスを外部のSRC=209.165.200.254およびDST=209.165.201.29に変換します。

次の例では、内部ネットワークにIPアドレス209.165.201.29が含まれています。このアドレスはインターネット上にあり、example.comに属しています。内部のクライアントがexample.comにアクセスしても、パケットはFWSMに到達しません。これは、クライアントが209.165.201.29がローカルの内部ネットワーク上にあると判断するためです。

この動作を修正するには、 alias コマンドを次のように使用します。

fwsm/context(config)# alias (inside) 192.168.201.0 209.165.201.0 255.255.255.224
 
fwsm/context(config)# show alias
alias 192.168.201.0 209.165.201.0 255.255.255.224
 

次の例では、Webサーバが内部の10.1.1.11にあり、このサーバ用に作成したstaticコマンド文では209.165.201.11を指定しています。発信元ホストは、外部のアドレス209.165.201.7にあります。外部のDNSサーバには、次に示すとおり、www.example.comのレコードが登録されています。

dns-server# www.example.com. IN A 209.165.201.11
 

ドメイン名www.example.com.の末尾のピリオドは必要です。

次に、aliasコマンドの使用例を示します。

fwsm/context(config)# alias 10.1.1.11 209.165.201.11 255.255.255.255
 

FWSMは、内部クライアント用のネームサーバ応答を10.1.1.11に変更して、Webサーバに直接接続できるようにします。

アクセスを可能にするには、次のコマンドも必要です。

fwsm/context(config)# static (inside,outside) 209.165.201.11 10.1.1.11
 
fwsm/context(config)# access-list acl_grp permit tcp host 209.165.201.7 host 209.165.201.11 eq telnet
fwsm/context(config)# access-list acl_grp permit tcp host 209.165.201.11 eq telnet host 209.165.201.7
 

次の例では、UNIXの nslookup コマンドを使用して、ホストのDNSエントリをテストしています。

fwsm(config)# nslookup -type=any www.example.com

 
関連コマンド

access-list extended
static

allocate-interface(コンテキスト サブモード)

コンテキストにVLANインターフェイスを割り当てるには、コンテキスト サブモードを開始してから、 allocate-interface コマンドを使用します。コンテキストからVLANインターフェイスを削除するには、このコマンドの no 形式を使用します。

[no] allocate-interface vlan number [-vlan number ] [ mapped_name [- mapped_name ]]

 
構文の説明

vlan number

VLAN番号を指定します。

-vlan number

(任意)VLAN番号の範囲を指定します。

mapped_name - mapped_name

(任意)コンテキスト内でVLAN番号の代わりに使用できるVLANインターフェイスの別名(英数字)

 
コマンド モード

セキュリティ コンテキスト モード:マルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

config-url(コンテキスト サブモード) コマンドを入力する前に、 allocate-interface コマンドを使用します。FWSMでは、コンテキストのコンフィギュレーションを読み込む前にVLANインターフェイスをコンテキストに割り当てる必要があります。コンテキストのコンフィギュレーションには、インターフェイスに関するコマンド( nameif nat global など)が含まれる場合があります。最初に config-url(コンテキスト サブモード) コマンドを入力すると、FWSMはコンテキストのコンフィギュレーションをただちに読み込みます。コンテキストにインターフェイスに関連するコマンドが含まれている場合、これらのコマンドは機能しません。

マップ名(mapped_name)を指定しない場合、コンテキスト内ではVLAN番号が使用されます。

セキュリティ保護のため、コンテキストの管理者にコンテキストが使用するVLANを知らせたくない場合があります。たとえば、 nameif コマンドでは、VLAN番号を使用する代わりに、コンテキストのマップ名(mapped_name)を使用する必要があります。

allocate-interface コマンドの no 形式を使用すると、コンテキスト内のすべてのインターフェイス コンフィギュレーションが削除されます。

VLAN IDの範囲を指定する場合には、コンテキストの別名の一致する範囲を指定できます。次の注意事項に従ってください。

mapped_name では、次のように英字部分に続けて数字部分を記述する必要があります。

int0
 

範囲の両端を示す mapped_name の英字部分は、一致している必要があります。

vlan2-vlan10
 

mapped_name の数字部分には、 vlanx-vlany エントリと同じ数の数字を指定する必要があります。次の例では、両方の範囲に100のインターフェイスが含まれています。

fwsm/context(config)# allocate-interface vlan100-vlan199 int1-int100
 

vlan キーワードと数字の間には、スペースを入れないでください。

vlan100-vlan199 int1-int15 または vlan100-vlan199 happy1-sad5 と入力すると、コマンドは有効になりません。

コンテキスト サブコンフィギュレーション モードのコマンドには、ほかに config-url(コンテキスト サブモード) コマンドがあります。

次に、コンテキストにVLANインターフェイスを割り当てる例を示します。

fwsm(config)# context test1
Creating context ‘test1’... Done.(3)
fwsm/context(config)# allocate-interface vlan5
fwsm/context(config)# allocate-interface vlan6-vlan10

area

標準のOSPFエリアを設定するには、 area コマンドを使用します。 area コマンドは router ospf コマンドのサブコマンドです。設定済みのエリアを削除するには、このコマンドの no 形式を使用します。

[ no ] area area_id { authentication [ message-digest ]} | { default-cost cost } | { filter-list prefix { prefix_list_name in | out }} | { range ip_address netmask [ advertise | not-advertise ]}

[ no ] area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type 1 | 2 ] [ metric metric_value ]] [ no-summary ]

area area_id stub [ no-summary ]

[ no ] area area_id { virtual-link router_id } [ authentication [ message-digest | null ]] [ hello-interval seconds ] [ retransmit-interval seconds ] [ transmit-delay seconds ] [ dead-interval seconds ] [ authentication-key password ] [ message-digest-key id md5 password ]

 
構文の説明

area_id

標準のOSPFエリアを指定します。

authentication

認証タイプを指定します。

message-digest

(任意)使用するメッセージ ダイジェスト認証を指定します。

default-cost cost

スタブまたはNSSAで使用するデフォルト集約ルートのコストを指定します(0~65535)。 cost のデフォルト値は1です。

filter-list prefix prefix_list_name

プレフィックス リストの名前を指定します。

in

指定エリアに着信するアドバタイズされたプレフィックスに、設定済みプレフィックス リストを適用します。

out

指定エリアから発信されるアドバタイズされたプレフィックスに、設定済みプレフィックス リストを適用します。

range ip_address

IPアドレス形式でルータのIDを指定します。

netmask

集約ルートに使用するIPアドレス マスクまたはIPサブネット マスクです。

advertise

(任意)アドレス範囲ステータスをadvertiseに設定し、タイプ3の集約Link-State Advertisement(LSA;リンク ステート アドバタイズ)を生成します。

not-advertise

(任意)アドレス範囲ステータスをDoNotAdvertiseに設定します。タイプ3の集約LSAの表示が抑止され、コンポーネント ネットワークはほかのネットワークからは見えないままになります。

nssa

not-so-stubby area(NSSA)を指定します。

no-redistribution

(任意)NSSAエリアではなく、通常エリアだけにルートをインポートします。

default-information-originate

(任意)NSSAエリアでのタイプ7デフォルトを生成します。

metric-type 1 | 2

(任意)タイプ 1 またはタイプ 2 のメトリック タイプを指定します。

metric metric_value

(任意)OSPFデフォルト メトリック値を指定します(0~16777214)。

no-summary

(任意)Area Border Router(ABR;エリア境界ルータ)が集約LSAをスタブ エリアに送信しないようにします。

stub

このOSPFエリアが、デフォルト ルートと、エリア内およびエリア間ルートを伝送し、外部ルートは伝送しないことを指定します。

virtual-link router-id

OSPFプロセスのルータIDを設定します。

null

(任意)認証を使用しないことを指定します。パスワードまたはメッセージ ダイジェスト認証がOSPFエリアに設定されていても、無効になります。

hello-interval seconds

(任意)インターフェイス上で送信されるHelloパケットの間隔を指定します。有効値は1~65535秒です。

retransmit-interval seconds

(任意)インターフェイスに属する隣接ルータのLSA再送信の間隔を指定します。有効値は1~65535秒です。

transmit-delay seconds

(任意)OSPFがトポロジー変更を受信してから、Shortest Path First(SPF)の計算を開始するまでの遅延時間(0~65535秒)を指定します。デフォルトは5秒です。

dead-interval seconds

(任意)ネイバのルーティング デバイスがダウンしていることを宣言するまでのHelloメッセージの待機時間を設定します。有効値は1~65535秒です。

authentication-key password

(任意)ネイバのルーティング デバイスで使用するOSPF認証パスワードを指定します。

message-digest-key key_id

(任意)MD5(Message Digest 5)認証をイネーブルにし、認証鍵ID番号を指定します。有効値は1~255です。

md5 password

(任意)最大16バイトの英数字パスワードを指定します。

 
デフォルト

デフォルト設定は、次のとおりです。

FWSMで、OSPFルーティングはディセーブルです。

cost は1です。

エリアの認証タイプは 0 で、これは認証がないことを表します。

FWSMを介したOSPFルーティングはRFC 1583と互換性があります。

area area_id range ip_address netmask [ advertise | not-advertise ]コマンドのデフォルトは、 advertise です。

dead-interval は、 ospf hello-interval コマンドで設定した間隔の4倍になります。

hello-interval seconds は10秒です。

retransmit-interval seconds は5秒です。

transmit-delay seconds は1秒です。

area area_id nssa [[ no-redistribution ] [ default-information-originate ][ no-summary ]] コマンドには、エリアは定義されていません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

FWSM上で、このコマンドのサポートが追加されました。

 
使用上の注意事項

OSPFプロトコルは、Routing Information Protocol(RIP)の代わりに使用されます。OSPFとRIPの両方を同時に使用するようにFWSMを設定しないでください。

router ospf コマンドは、FWSM上で稼働しているOSPFルーティング プロセスに対するグローバル コンフィギュレーション コマンドです。これは、OSPFコンフィギュレーション コマンドすべてのメイン コマンドです。

router ospf コマンドを入力すると、サブモードになっていることを示すコマンド プロンプト(config-router)#が表示されます。

area_idを設定する場合、次の注意事項を参照してください。

area_id は、すべてのコンテキストで10進数またはIPアドレスのいずれかで指定できます。

IDは、OSPFアドレス範囲に関連付けられるエリアです。エリアにIPサブネットを関連付ける場合には、 area_id としてサブネット アドレスを指定できます。

認証のコンテキストで使用する場合、 area_id は認証をイネーブルにするエリアの識別名です。

コストのコンテキストで使用する場合、 area_id はスタブまたはNSSAの識別名です。

プレフィックス リストのコンテキストで使用する場合、 area_id はフィルタリングを設定するエリアの識別名です。

スタブ エリアまたはNSSAのコンテキストで使用する場合、 area_id はスタブ エリアまたはNSSAの識別名です。

エリア範囲のコンテキストで使用する場合、 area_id はルートを集約する境界にあるエリアの識別名です。

area area_id サブ コマンドは、通常のOSPFエリアを作成します。 no area area_id コマンドは、OSPFエリアが通常エリア、スタブ エリア、またはnot-so-stubby area(NSSA)のいずれであっても削除します。

fwsm(config)# area area_id authentication message-digest
 

エリアのデフォルト認証タイプは 0 で、これは認証がないことを表します。OSPFエリアで認証をイネーブルにするには、area area_id authentication message-digestサブコマンドを使用します。エリアから認証設定を削除するには、 no area area_id authentication message-digestサブコマンドを使用します。

fwsm(config)# area area_id default-cost cost
 

スタブ エリアまたはnot-so-stubby area(NSSA)に送信されたデフォルト サマリ ルートのコストを指定するには、area area_id default-cost cost サブコマンドを使用します。割り当てられたデフォルト ルート コストを削除するには、 no area area_id default-cost サブコマンドを使用します。 cost のデフォルト値は1です。

fwsm(config)# area area_id filter-list prefix prefix_list_name [in | out]
 

ABRのOSPFエリア間のタイプ3 LSAでアドバタイズされたプレフィックスをフィルタリングするには、 area area_id filter-list prefix prefix_list_name [ in | out ]サブコマンドを使用します。フィルタを変更または取り消すには、 no area area_id filter-list prefix prefix_list_name [ in | out ] サブコマンドを使用します。

fwsm(config)# area area_id nssa [no-redistribution] [default-information-originate [metric-type 1 | 2] [metric metric_value]] [no-summary] nssa
 

ほかのルーティング プロトコル(または別のOSPFプロセス)を起点とするルート、および再配布によってOSPFに投入されたルートは、外部ルートと呼ばれます。外部メトリックにはタイプ1およびタイプ2という2つの形式があります。これらのルートは、IPルーティング テーブル内では
O E2 (タイプ2の場合)または O E1 (タイプ1の場合)として表され、FWSMが内部ルーティング テーブルを作成し終わった後に検査されます。検査の後、ルートは変更されずに自律システム(AS)全体にフラッディングされます(自律システムはネットワークの集まりで、共通のルーティング方針を共有する共通管理のもとに、エリアで細分される)。

OSPFタイプ1メトリックは、内部OSPFメトリックを外部ルート メトリックに追加するルートになり、OSPFリンク状態メトリックと同じ用語でも表されます。内部OSPFメトリックは外部の宛先に到達するためにかかる総コストで、これには到達するのに要した内部OSPFネットワーク コストがすべて含まれます。これらのコストは、外部ルートに到達する必要があるデバイスによって計算されます。コストがこのように計算方法されるため、OSPFタイプ1メトリックが優先されます。

OSPFタイプ2メトリックは内部OSPFメトリックを外部ルートのコストに追加しません。これは、OSPFで使用するデフォルト タイプです。OSPFタイプ2メトリックの使用では、自律システム(AS)間でのルーティングを前提としているため、コストはどの内部メトリックよりも大きいものと考えられます。これを使用することにより、内部OSPFメトリックを追加する必要はなくなります。

default-information-originate オプション キーワードが有効なのはNSSA ABR上またはNSSA
Autonomous System Boundary Router(ASBR;自律システム境界ルータ)上だけです。

NSSAエリアを設定するには、 area area_id nssa [ no-redistribution ] [ default-information-originate [ metric-type 1 | 2 ] [ metric metric_value ]] [ no-summary ] サブコマンドを使用します。NSSAの設定全体を削除するには、 no area area_id nssa サブコマンドを使用します。NSSA設定オプション キーワードを1つ削除するには、 no サブコマンドでそのオプション キーワードを指定します。たとえば、 no-redistribution オプション キーワードを削除するには、 no area area_id nssa no-redistribution コマンドを使用します。デフォルトでは、NSSAは定義されません。

fwsm(config)# area area_id range address netmask [advertise | not-advertise]
 

エリアの境界でルートを統合および集約するには、area area_id range address netmask [ advertise | not-advertise ] サブコマンドを使用します。この機能をディセーブルにするには、 no area area_id range ip_address netmask サブコマンドを使用します。 no area area_id range ip_address netmask not-advertise サブコマンドは、 not-advertise オプション キーワードだけを削除します。

fwsm(config)# area area_id stub [no-summary]
 

エリアをスタブ エリアとして定義するには、area area_id stub [ no-summary ] サブコマンドを使用します。スタブ エリア機能を削除するには、 no area area_id stub [ no-summary ] サブコマンドを使用します。area area_id stub no-summaryが設定されている場合は、 no area area_id stub no-summary サブコマンドを使用して no summary オプション キーワードを削除する必要があります。デフォルトでは、スタブ エリアは定義されません。

仮想リンクはスタブ エリアを越えて設定できません。また、ASBRを含むことはできません。

fwsm(config)# [no] area area_id virtual-link router_id [hello-interval seconds] [retransmit-interval seconds] [transmit-delay seconds] [dead-interval seconds] [authentication-key password] [message-digest-key id md5] password
 

OSPF仮想リンクを定義するには、area area_id virtual-link router-id サブコマンドにオプションのパラメータを指定して使用します。仮想リンクを削除するには、 no area area_id virtual-link router_id サブコマンドを使用します。

次に、 area コマンドの使用例を示します。

fwsm/context(config)# area authentication
 

 
関連コマンド

router ospf
show area

arp

ARPエントリを追加してARP保存タイマーを設定するには、 arp コマンドを使用します。ARPをディセーブルにするか、またはコンフィギュレーションからARPキャッシュ タイムアウトを削除するには、このコマンドの no 形式を使用します。

[ no ] arp interface_name ip_addr mac_addr [ alias ]

[ no ] arp timeout seconds

 
構文の説明

interface_name

ARPテーブルを変更または表示するインターフェイス名を指定します。

ip_addr

ARPテーブル エントリのIPアドレスを指定します。

mac_addr

ARPテーブル エントリのハードウェアMACアドレスを指定します。

alias

(任意)指定されたアドレスについて、スタティック プロキシARPマッピング(プロキシIPアドレスと物理アドレスとのバインド)を設定します。

timeout seconds

ARPテーブルが再構築され、新しいホスト情報が自動更新までの時間を指定します。

 
デフォルト

デフォルト設定は、次のとおりです。

プロキシARPはすべてのインターフェイスでイネーブルになっています。

ARP保存タイマーのデフォルト値は、14,400秒(4時間)です。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

ARPはIPアドレスをMACアドレス(00e0.1e4e.3d8bなど)にマッピングするもので、RFC 826で定義されています。プロキシARPは、ARPプロトコルの派生形で、FWSMなどの中間デバイスが、エンド ノードに代わって要求元ホストにARP応答を送信するときに、このプロトコルを利用します。ARPマッピングは、FWSMがトラフィックを処理するときに自動的に実行されますが、ARPキャッシュのタイムアウト値、スタティックARPテーブル エントリ、およびプロキシARPを手作業で設定することもできます。ARPキャッシュ タイムアウトの最大値は、3567587秒です。


) ARPは、(特定のIPアドレスを持つノードに対し、物理アドレスを返信するように求めるARP要求を通じて)IPアドレスをノードのMAC(物理)アドレスに解決する低レベルのTCP/IPプロトコルです。このため、ARPキャッシュにエントリが存在するとことは、FWSMがネットワークに接続されていることを示します。


arp timeout コマンドは、ARPテーブルを新しいホスト情報に自動的に更新して再構築するまでの、ARPテーブルの持続期間を指定します。この機能は、ARP保存タイマーとも呼ばれます。 no arp timeout コマンドは、ARP保存タイマーをリセットしてデフォルト値にします。

arp interface_name ip mac コマンドは、FWSMのARPキャッシュにスタティック(永続)エントリを追加します。たとえば、 arp interface_name ip mac コマンドを使用して、ネットワーク上のホストについてIPアドレスとMACアドレスとのスタティック マッピングを設定できます。スタティックARPマッピングを削除するには、 no arp interface_name ip mac コマンドを使用します。

arp エントリおよび arp alias エントリは、ARP保存タイマーがタイムアウトしても消去されません。また、コンフィギュレーションを保存するために write コマンドを使用すると、コンフィギュレーションに自動的に保存されます。

arp interface_name ip mac alias コマンドは、指定されたIPアドレスとMACアドレスについてプロキシARPを設定します。プロキシARPをイネーブルにすると、指定されたIPアドレスで、そのホストから別のホストへのプロキシが設定されます。FWSMは2つのホストの中間にあるため、FWSMは受信パケットを代理ホストに送信します。FWSMはプロキシ応答でFWSMのMACアドレスを返します。スタティックARPマッピングを削除するには、 no arp interface_name ip mac alias コマンドを使用します。

interface_name argument は、 nameif コマンドで指定します。

次に、ARPの設定方法を示します。

fwsm/context(config)# arp inside 192.168.0.42 00e0.1e4e.2a7c
fwsm/context(config)# arp outside 192.168.0.43 00e0.1e4e.3d8b alias
fwsm/context(config)# arp timeout 60
 
fwsm/context(config)# show arp stat
Number of ARP entries:
 
PIX 270
NP1 269
NP2 269
 
NP_IPPS_ADD_ARP_ENTRY_NP_count = 538
NP_IPPS_UPDATE_ARP_ENTRY_NP_count = 4
NP_IPPS_DELETE_ARP_ENTRY_NP_count = 0
NP_IPPS_ADD_ARP_ENTRY_NP_resend_count = 0
NP_IPPS_UPDATE_ARP_ENTRY_NP_resend_count = 0
NP_IPPS_DELETE_ARP_ENTRY_NP_resend_count = 0
NP_IPPS_ADD_ARP_ENTRY_NP_failed_count = 0
NP_IPPS_UPDATE_ARP_ENTRY_NP_failed_count = 0
NP_IPPS_DELETE_ARP_ENTRY_NP_failed_count = 0
arp_miss_counter = 310
arp_miss_invalid_vcid = 0
Dropped blocks in ARP: 0
Maximum Queued blocks: 1
Queued blocks: 0
Interface collision ARPs Received: 0
ARP-defense Gratuitous ARPS sent: 0
Total ARP retries: 0
Unresolved hosts: 0
Maximum Unresolved hosts: 11

 
関連コマンド

clear arp
show arp
sysopt

arp-inspection

Address Resolution Protocol(ARP;アドレス解決プロトコル)応答を挿入し、ARPエントリに対する検証を行うには、 arp-inspection コマンドを使用します。ARP検査を解除するには、このコマンドの no 形式を使用します。

[no] arp -inspection

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:トランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、ARP検査を設定する例を示します。

fwsm/context(config)# arp-inspection
 

 
関連コマンド

clear arp
show arp
sysopt

auth-prompt

HTTP、FTP、およびTelnetアクセスに対してAAAチャレンジ テキストを変更するには、 auth-prompt コマンドを使用します。チャレンジ テキストをディセーブルにするには、このコマンドの no 形式を使用します。

[no] auth-prompt [ prompt | accept | reject ] prompt text

 
構文の説明

prompt

(任意)AAAチャレンジ プロンプト文字列を指定します。

accept

(任意)Telnet経由のユーザ認証を受け入れる場合に、プロンプト文字列を表示します。

reject

(任意)Telnet経由のユーザ認証を拒否する場合に、プロンプト文字列を表示します。

prompt text

235文字または31単語(どちらか最初に達した方)までの英数字で構成される文字列

 
デフォルト

デフォルト設定は、次のとおりです。

Microsoft Internet Explorerでは、認証プロンプトで37文字まで表示されます。

Netscape Navigatorでは、120文字まで表示されます。

TelnetおよびFTPでは、認証プロンプトで235文字まで表示されます。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

AAAチャレンジ テキストは、ユーザのログイン時に表示されます。このコマンドを使用しない場合、ユーザ名とパスワード プロンプトの上に次の内容が表示されます。

FTPユーザの場合:「FTP authentication」

HTTPユーザの場合:「HTTP authentication」

Telnetアクセスでは、チャレンジ テキストは表示されません。

ユーザ認証がTelnetから発生する場合は、acceptオプション キーワードとrejectオプション キーワードを使用すると、認証試行が認証サーバで受け入れられたか拒否されたかに応じて、それぞれ異なる認証プロンプトを表示できます。

特殊文字は使用できませんが、スペースと句読点は使用できます。文字列を終了するには、疑問符を入力するか、Enterキーを押します(疑問符が文字列に表示される)。

次の例は、認証プロンプトを設定する方法、およびユーザに表示されるプロンプトを示しています。

fwsm/context(config)# auth-prompt XYZ Company Firewall Access
 

コンフィギュレーションにこの文字列を追加すると、ユーザには次のプロンプトが表示されます。

Example.com Company Firewall Access
User Name:
Password:
 

) promptキーワードは、指定しても省略してもどちらでも構いません。


次の例は、promptキーワードを使用して、認証プロンプトを設定しています。

fwsm/context(config)# auth-prompt prompt Hello There!
 

次の例は、promptキーワードを使用せずに、認証プロンプトを設定しています。

fwsm/context(config)# auth-prompt Hello There!

banner

セッション バナー、ログイン バナー、およびMoTD(Message-of-The-Day)バナーを設定するには、 banner コマンドを使用します。指定したバナー オプション キーワードのすべての行を削除するには、このコマンドの no 形式を使用します。

[no] banner { exec | login | motd text }

 
構文の説明

exec

イネーブル プロンプトを表示する前に、バナーを表示するようにシステムを設定します。

login

ユーザがTelnetを使用してFWSMにアクセスしたときに、パスワード ログイン プロンプトを表示する前にバナーを表示するようにシステムを設定します。

motd

MoTDバナーを表示するようにシステムを設定します。

text

FWSMのCLIに表示するメッセージ テキスト

 
デフォルト

デフォルトでは、セッション バナー、ログイン バナー、およびMoTDバナーは表示されません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

bannerコマンドは、オプション キーワードで指定したバナーを表示するように設定します。 text 文字列は、最初の空白文字(スペース)の後に続く、行末(CR[復帰]またはLF[改行])までのすべての文字で構成されます。テキスト内にあるスペースはそのまま表示されます。ただし、CLIではタブは入力できません。

先にバナーを消去しない限り、後続の text エントリは既存バナーの末尾に追加されます。


) $(domain)および$(hostname)のトークンを使用すると、それぞれFWSMのドメイン名とホスト名に置き換えられます。コンテキストの設定で$(system)トークンを使用すると、コンテキストはシステム コンフィギュレーションで設定されたバナーを使用します。


バナーを複数行にするには、追加する1行ごとにbannerコマンドを新しく入力します。入力した行は、既存バナーの末尾に付加されていきます。テキストが空の場合は、バナーにCR(復帰)が追加されます。RAMおよびフラッシュ メモリの容量による限界を除いて、バナーの長さに制限はありません。

TelnetまたはSSHでFWSMにアクセスする場合、バナー メッセージの処理に必要なシステム メモリが十分にないときや、TCP書き込みエラーが発生したときは、セッションが閉じます。

バナーを置き換えるには、no bannerコマンドを使用してから、新しい行を追加します。

no banner { exec | login | motd } コマンドは、オプション キーワードで指定したバナーに含まれている行をすべて削除します。

no bannerコマンドでは、テキスト文字列の一部だけを削除できません。このため、no bannerコマンドの末尾に入力した text はすべて無視されます。

次の例は、 motd exec 、および login の各バナーを設定する方法を示しています。

fwsm(config)# banner motd Think on These Things
fwsm(config)# banner exec Enter your password carefully
fwsm(config)# banner login Enter your password to log in
fwsm(config)# show banner
exec:
Enter your password carefully
 
login:
Enter your password to log in
 
motd:
Think on These Things
 

次の例は、バナーに2行めを追加する方法を示しています。

fwsm(config)# banner motd and Enjoy Today
fwsm(config)# show banner motd
Think on These Things
and Enjoy Today

ca authenticate

FWSMで、認証局(CA)の公開鍵を含むCA自己署名証明書を入手することによってCAを認証するには、 ca authenticate コマンドを使用します。

ca authenticate ca_nickname [ fingerprint ]

 
構文の説明

ca_nickname

認証局(CA)の名前

fingerprint

(任意)FWSMがCAの証明書の認証に使用する、英数字で構成された鍵

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

ca_nickname には、任意の文字列を入力できます。すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定します。CAには、固有の名前(CAのドメイン名など)が必要です。

FWSMが一度にサポートできるCAは1つだけです。

FWSMは、VeriSign、Entrust、Baltimore Technologies、およびMicrosoftのCAサーバをサポートしています。

証明書のライフタイムとCertificate Revocation List(CRL;証明書失効リスト)は、Coordinated Universal Time(UTC;協定世界時)に基づいてチェックされます。FWSMのクロックはスイッチと同期しています。このクロックの設定によって、証明書のライフタイムと失効が決まります。

FWSMが認証するのは、エンティティ証明書(デバイス証明書)です。FWSMでは、信頼できる同じポイントまたはルート(CAサーバ)からエンティティ証明書が発行されることを前提としています。結果として、信頼できるポイントまたはルートは同じルート証明書(発行者証明書)を持っている必要があります。FWSMは、エンティティがエンティティ証明書だけを交換することを前提としており、エンティティ証明書とルート証明書の両方を含む証明書チェーンは処理できません。

ピアの証明書を認証するには、CAの公開鍵が含まれているCA証明書をFWSMが取得する必要があります。CA証明書は自己署名証明書であるため、CAの管理者に連絡して手作業で鍵を認証する必要があります。CA証明書の公開鍵を認証するには、 ca authenticate コマンドの中で鍵のフィンガープリントを指定します。指定したフィンガープリントと受信したフィンガープリントが異なる場合、FWSMは受信したCA証明書を廃棄して、エラー メッセージを生成します。鍵をコマンド内に入力せずに、2つのフィンガープリントを比較することもできます。

ca configure コマンドの中でRAモードを使用している場合は、 ca authenticate コマンドを発行すると、RAの署名証明書と暗号化証明書、およびCA証明書がCAから返されます。

ca authenticate コマンドは、FWSMのコンフィギュレーションには保存されません。ただし、受信したCA(およびRA)証明書に埋め込まれている公開鍵については、RSA公開鍵 レコード(「RSA公開鍵 チェーン」と呼ばれる)の一部としてコンフィギュレーションに保存されます。公開鍵をフラッシュ メモリに長期間保存するには、 ca save all コマンドを使用します。CAの証明書を表示するには、 show ca certificate コマンドを使用します。


) このコマンドを発行した後でCAがタイムアウト期間内に応答しない場合は、このコマンドが停滞しないように端末制御が返されます。端末制御が返された場合は、コマンドを再入力する必要があります。


次の例では、CA証明書に対する要求がCAに送信されています。このコマンドには、フィンガープリントは指定されていません。CAはCA証明書を送信し、FWSMはCA証明書のフィンガープリントをチェックすることにより、CA証明書を確認するよう要求します。両方のフィンガープリントが一致すると、証明書は有効とみなされます。

fwsm/context(config)# ca authenticate myca
Certificate has the following attributes:
Fingerprint: 0123 4567 89AB CDEF 0123
 

次に、エラー メッセージの例を示します。このコマンドでは、フィンガープリントが指定されています。2つのフィンガープリントが一致しないため、証明書は有効になりません。

fwsm/context(config)# ca authenticate myca 0123456789ABCDEF0123
Certificate has the following attributes:
Fingerprint: 0123 4567 89AB CDEF 5432
%Error in verifying the received fingerprint. Type help or ‘?’ for a list of
available commands.

 
関連コマンド

show ca

ca configure

FWSMとCA間の通信パラメータを指定するには、 ca configure コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[no ] ca configure ca_nickname { ca | ra } retry_period retry_count [ crloptional ]

 
構文の説明

ca_nickname

認証局(CA)の名前

ca

CAにアクセスします。

ra

登録局(RA)にアクセスします。

retry_period

以前の証明書要求に対する応答をCAから受信できないときに、FWSMが証明書要求をCAに再送信するまでの待機時間(分単位)を指定します。有効値は1~60分です。

retry_count

以前の証明書要求でCAから証明書を受信できなかったときに、FWSMが証明書要求を再送信する回数を指定します。有効値は、1~100です。

crloptional

FWSMが適切なCertificate Revocation List(CRL;証明書失効リスト)にアクセスできない場合でも、FWSMでほかのピアの証明書を受け入れることができるようにします。

 
デフォルト

デフォルト設定は、次のとおりです。

retry_period は1分です。

retry_count は0です(FWSMは保留中の証明書を取得するまで何回でもCAにアクセスする)。

デフォルトでは、 crloptional オプション キーワードは指定されていません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

ca_nickname には、任意の文字列を入力できます。すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定します。CAには、固有の名前(CAのドメイン名など)が必要です。

FWSMが一度にサポートできるCAは1つだけです。

次の例では、 myca をCAの名前にし、RAではなくCAへのアクセスを指定しています。また、応答がない場合、FWSMは5分間待機してから次の証明書要求を送信し、合計15回再送信したらその要求を撤回することを指定しています。CRLがアクセス不能になっている場合、 crloptional オプションは、FWSMがほかのピアの証明書を受け入れることを指定します。

fwsm/context(config)# ca configure myca ca 5 15 crloptional

 
関連コマンド

ca authenticate
show ca

ca crl request

FWSMがアップデートされたCRLをCAからいつでも取得できるようにするには、 ca crl request コマンドを使用します。FWSMからCRLを削除するには、このコマンドの no 形式を使用します。

[no ] ca crl request ca_nickname

 
構文の説明

ca_nickname

認証局(CA)の名前

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

ca_nickname には、任意の文字列を入力できます。すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定します。CAには、固有の名前(CAのドメイン名など)が必要です。

FWSMが一度にサポートできるCAは1つだけです。

CRLは、失効したすべてのネットワーク デバイス証明書の一覧です。FWSMは失効した証明書を受け入れないため、失効した証明書を持つピアは、IPSecトラフィックをFWSMと交換できません。

FWSMがピアから初めて証明書を受信すると、CAからCRLがダウンロードされます。FWSMはCRLをチェックして、ピアの証明書が失効していないことを確認します。証明書がCRLに記載されている場合、その証明書は受け入れられず、ピアは認証されません。

CRLは、CRLの有効期限が切れるまでは後続の証明書に対しても再利用できます。CRLの有効期限が切れたときは、FWSMが新しいCRLをダウンロードし、有効期限の切れたCRLを新しいCRLに置き換えて、CRLを自動的にアップデートします。

有効期限の切れていないCRLがFWSM内にあるものの、その内容が最新のものでない可能性がある場合は、 ca crl request コマンドを使用して、最新のCRLをダウンロードして、古いCRLを置き換えます。

ca crl request コマンドは、リロードするまでFWSMのコンフィギュレーションには保存されません。

show ca crl コマンドを使用すると、RAM内にCRLがあるかどうか、およびCRLのダウンロード元とダウンロード日時を知ることができます。

次の例では、FWSMがアップデートされたCRLをmycaという名前のCAから取得するように指定しています。

fwsm/context(config)# ca crl request myca

 
関連コマンド

ca authenticate
show ca

 

ca enroll

CAに登録要求を送信して、FWSMのすべての鍵ペアに対する証明書を要求するには、 ca enroll コマンドを使用します。現在の登録要求を取り消すには、このコマンドの no 形式を使用します。

[no ] ca enroll ca_nickname challenge_password [ serial ] [ ipaddress ]

 
構文の説明

ca_nickname

認証局(CA)の名前

challenge_password

ユーザが証明書を失効させるように要求したときに、CA管理者が何らかの形で認証を実行するために必要なパスワードを指定します。パスワードは最長80文字まで指定できます。

serial

(任意)証明書内のFWSMのシリアル番号を返します。

ipaddress

(任意)証明書内のFWSMのIPアドレスを返します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

ca_nickname には、任意の文字列を入力できます(すでにCAを宣言していてCAの特性だけをアップデートする場合は、以前に作成した名前を指定)。CAには、固有の名前(CAのドメイン名など)が必要です。

FWSMが一度にサポートできるCAは1つだけです。

ca enroll コマンドを使用すると、CAに登録要求を送信して、FWSMのすべての鍵ペアに対する証明書を要求できます。これは、CAへの「登録」とも呼ばれます。

FWSMでは、RSA鍵ペアごとにCAからの署名証明書が必要になります。以前に汎用鍵を生成した場合は、 ca enroll コマンドを実行すると、1組の汎用RSA鍵ペアに対応する1通の証明書を取得できます。以前に特定用途向け鍵を生成した場合は、特定用途向けの各RSA鍵ペアに対応する、2通の証明書を取得できます。

鍵の証明書をすでに取得していた場合は、このコマンドの処理を完了できません。既存の証明書をまず削除するように求められます。

ca enroll コマンドは、リロードするまでFWSMのコンフィギュレーションには保存されません。登録プロセスが正常に完了したことを確認し、FWSM装置の証明書を表示するには、 show ca certificate コマンドを使用します。

FWSMの証明書を失効させる必要が生じた場合は、チャレンジ パスワードが必要になります。CAの管理者に証明書を失効させるように求める場合は、悪意のある失効要求や誤った失効要求から保護する手段として、このチャレンジ パスワードを提示する必要があります。


) このパスワードはどこにも保存されないため、管理者が記憶しておく必要があります。


管理者がパスワードを忘れた場合でも、CAの管理者はFWSMの証明書を失効させることができます。ただし、FWSM管理者の身元を手作業で認証する必要が生じます。

FWSMのシリアル番号は省略可能です。 serial オプション キーワードを指定すると、取得した証明書の中にシリアル番号が記載されます。このシリアル番号はIPSecおよびInternet Key Exchange(IKE)では使用されませんが、証明書を認証するときや、あとで証明書を特定のデバイスと関連付けるときにCAで使用できます。証明書の中にシリアル番号を含める必要があるかどうかについては、CAの管理者に問い合わせてください。判断できない場合は、 serial オプション キーワードを指定してください。

FWSMのIPアドレスは省略可能です。 ipaddress オプション キーワードを指定すると、取得した証明書の中にIPアドレスが記載されます。IPアドレスは、証明書よりも強固に個々のエンティティとバインドされているため、 ipaddress オプション キーワードは通常は指定しません。また、FWSMを移動した場合に、新しい証明書を発行する必要が生じます。


) 証明書ベースの認証でISAKMPを設定する場合は、ISAKMPのIDタイプが証明書タイプと一致している必要があります。ca enrollコマンドでは、ホスト名に基づいたIDを使用して証明書を取得します。isakmp identityコマンドでは、ホスト名ではなくアドレスに基づいて証明書を取得します。このIDタイプの不一致を解消するには、isakmp identity addressコマンドを使用します。isakmp identity addressコマンドについては、isakmpコマンドの項を参照してください。


次の例では、FWSMが登録要求をmyca.example.comというCAに送信します。

fwsm/context(config)# ca enroll myca.example.com 1234567890 serial

 
関連コマンド

ca authenticate
show ca

ca generate rsa

FWSM用のRSA鍵ペアを生成するには、 ca generate rsa コマンドを使用します。

ca generate rsa { key | specialkey } key_modulus_size

 
構文の説明

key

FWSM用のRSA鍵を生成します。

specialkey

1組の汎用鍵ではなく、2組の特定用途向けRSA鍵ペアの生成します。

key_modulus_size

RSA鍵の生成に使用する係数のサイズをビット単位で定義します。有効値は、 512 768 1024 、および 2048 ビットです。


) このコマンドを発行する前に、Firewall Services Moduleのホスト名とドメイン名が設定されていることを確認してください(hostnamedomain-nameコマンドを使用)。ホスト名とドメイン名が設定されていない場合は、FWSMはデフォルトのドメインであるciscopix.comを使用します。


 
デフォルト

デフォルト設定は、次のとおりです。

RSA鍵係数のデフォルトは、 768 です(PDMセットアップ時)。

デフォルト ドメインは、 ciscofwsm.com です。

 
コマンド モード

コンフィギュレーション モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

RSA鍵はペアで生成されます。1つはRSA公開鍵、もう1つはRSA秘密鍵です。

このコマンドを発行した時点でFWSM用のRSA鍵がすでに存在する場合は、警告が表示され、既存の鍵を新しい鍵で置き換えるように求められます。


) 指定する鍵係数のサイズが大きくなるにしたがって、RSA鍵の生成時間も長くなります。デフォルト値の768を使用することを推奨します。


PDMはSecure Socket Layer(SSL)通信プロトコルを使用してファイアウォールと通信します。

SSLは ca generate rsa コマンドで生成された秘密鍵を使用します。証明書の場合、SSLは認証局(CA)から取得した鍵を使用します。その鍵が存在しない場合、SSLはRSA鍵ペアの生成時に作成されたFWSM自己署名証明書を使用します。

ca generate rsa コマンドは、FWSMのコンフィギュレーションには保存されません。ただし、このコマンドで生成した鍵はフラッシュ メモリ内の永続的なデータ ファイルに保存されます。保存する場合は ca save-all コマンドを使用し、保存内容を表示する場合は show ca my rsa key コマンドを使用します。

次の例では、1組の汎用RSA鍵ペアを生成します。鍵係数として選択したサイズは、 1024 です。

fwsm(config) ca generate rsa key 1024
Key name:firewall.cisco.com
Usage:General Purpose Key
Key Data:
30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00c8ed4c
9f5e0b52 aea931df 04db2872 5c4c0afd 9bd0920b 5e30de82 63d834ac f2e1db1f
1047481a 17be5a01 851835f6 18af8e22 45304d53 12584b9c 2f48fad5 31e1be5a
bb2ddc46 2841b63b f92cb3f9 8de7cb01 d7ea4057 7bb44b4c a64a9cf0 efaacd42
e291e4ea 67efbf6c 90348b75 320d7fd3 c573037a ddb2dde8 00df782c 39020301 0001

 
関連コマンド

show ca

ca identity

FWSMで使用するCAを宣言するには、 ca identity コマンドを使用します。 ca identity コマンドをコンフィギュレーションから削除し、指定されたCAから発行された証明書とCRLをすべて削除するには、このコマンドの no 形式を使用します。

[no ] ca identity ca_nickname [ ca_ipaddress | hostname [ : ca_script_location ] [ ldap_ip address | hostname ]]

 
構文の説明

ca_nickname

認証局(CA)の名前

ca_ipaddress

(任意)CAのIPアドレス

hostname

(任意)ホスト

: ca_script_location

(任意)CAサーバ上でのスクリプトの場所

ldap_ipaddress

(任意)Lightweight Directory Access Protocol(LDAP)サーバのIPアドレス

 
デフォルト

デフォルト設定は、次のとおりです。

: ca_script_location ― CAサーバ上でのスクリプトの位置は/cgi-bin/pkiclient.exeです。

ldap_ipaddress ― 証明書またはCRLのクエリはシスコのPKIプロトコルを利用して実行されます。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

CAがLDAPをサポートしている場合は、クエリ機能でもLDAPを使用する場合があります。

FWSMが一度にサポートできるCAは1つだけです。

CA管理者がこの位置にCGIスクリプトを配置していない場合は、 ca identity コマンド文の中でスクリプトの位置と名前を指定する必要があります。

FWSMは、HTTPプロトコルのサブセットを使用してCAにアクセスするため、CA要求を処理する特定のcgi-binスクリプトを識別できる必要があります。CAサーバ上でのスクリプトのデフォルトの位置と名前は、/cgi-bin/pkiclient.exeです。設定した位置にCA管理者がCGIスクリプトを配置していない場合は、 ca identity コマンド文の中でスクリプトの位置と名前を指定します。

デフォルトでは、証明書またはCRLのクエリはシスコのPKIプロトコルを利用して実行されます。CAがLDAPをサポートしている場合、クエリ機能はLDAPを使用する場合があります。 ca identity コマンド文の中で、LDAPサーバのIPアドレスを指定する必要があります。

次の例では、CA myca.example.comをFWSMでサポートされるCAとして宣言しています。CAのIPアドレスとして、205.139.94.231を指定しています。

fwsm/context(config)# ca identity myca.example.com 205.139.94.231

 
関連コマンド

show ca

 

ca save-all

リロード時に、FWSMのRSA鍵ペア、CA、RA、FWSMの証明書、およびCAのCRLをフラッシュ メモリ内の永続的なデータ ファイルに保存するには、 ca save-all コマンドを使用します。FWSMのフラッシュ メモリから保存されたデータを削除するには、このコマンドの no 形式を使用します。

[no ] ca save-all

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

ca save コマンドは、リロードするまでFWSMのコンフィギュレーションには保存されません。

要求した証明書の現在のステータス、および受信した証明書の関連情報を表示するには、 show ca certificate コマンドを使用します。証明書には機密データが含まれていないため、この show コマンドはどのユーザでも使用できます。

次に、FWSMのRSA鍵ペアを保存する例を示します。

fwsm/context(config)# ca save-all
 

 
関連コマンド

show ca

ca subject-name

サブジェクトDistinguished Name(DN;認定者名)を使用して、デバイス証明書を作成するには、 ca subject-name コマンドを使用します。サブジェクトDNを削除するには、このコマンドの no 形式を使用します。

[no ] ca subject-name ca_nickname X.500_string

 
構文の説明

ca_nickname

認証局(CA)の名前

X.500_string

送信されたDNを示す文字列

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

X.500_string は、RFC 1779形式で指定します。

ca subject-name ca_nickname X.500_string コマンドは、X.500ディレクトリ名をサポートするための証明書登録拡張です。

ca subject-name ca_nickname X.500_string コマンドを設定すると、FWSMは、RFC 1779形式で X.500_string に指定されているサブジェクトDNを使用して、デバイス証明書を登録します。 表 2-4 に、サポートされているDN属性を示します。

 

表 2-4 サポートされているDN属性

属性
説明

ou

組織単位の名前

o

組織の名前

st

州名または都道府県名

c

国/地域名

ea

電子メール アドレス(RFC 1779形式外の属性)

RFC 1779の詳細については、次のURLを参照してください。

http://www.ietf.org/rfc/rfc1779.txt

FWSMソフトウェア バージョン2.2(1)では、VPNクライアント上でX.509(証明書サポート)をサポートしています。Cisco IOSソフトウェア、VPN 3000コンセントレータ、およびFWSMは、「ou」属性に基づいて正しいVPNグループ(モード設定グループ)を検索します(「ou」属性は、Easy VPNクライアントがRSAシグニチャをネゴシエートするときの、デバイス証明書のサブジェクトDNの一部)。


) Cisco VPN 3000ヘッドエンドとFWSM間でX.500_stringを使用して通信している場合は、VPN 3000ヘッドエンドの設定にバックアップ サーバのDNS名を使用しないでください。バックアップ サーバはIPアドレスで指定してください。


次の例では、サブジェクトDNを使用してデバイス証明書を作成します。この例では、my_departmentがVPNグループです。

fwsm/context(config)# ca subject-name myca ou=my_department, o=my_org, st=CA, c=US

 
関連コマンド

show ca

ca verifycertdn

X.500_string に基づいて証明書のDistinguished Name(DN;認定者名)を検証し、サブジェクト名フィルタとして機能するには、 ca verifycertdn コマンドを使用します。サブジェクト名フィルタをディセーブルにするには、このコマンドの no 形式を使用します。

[no ] ca verifycertdn X.500_string

 
構文の説明

X.500_string

送信されたDNを示す文字列

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

ca verifycertdnコマンドを入力して、ピア証明書のサブジェクト名が X.500_string と一致する場合、そのサブジェクト名はフィルタリングされて除外され、ISAKMPネゴシエーションが失敗します。

次に、証明書のDNを検証する例を示します。

fwsm/context(config)# ca verifycertdn woeruweoru

 
関連コマンド

show ca

ca zeroize rsa

FWSMによって以前に生成されたRSA鍵をすべて削除するには、 ca zeroize rsa コマンドを使用します。

ca zeroize rsa [ keypair_name ]

 
構文の説明

keypair_name

(任意)鍵ペアの名前

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

ca zeroize rsa コマンドは、FWSMによって以前に生成されたRSA鍵をすべて削除します。このコマンドを発行する場合は、ほかに次の2つの作業を実施する必要があります。

1. no ca identity コマンドを使用して、FWSMの証明書をコンフィギュレーションから手作業で削除します。この操作によって、CAから発行された証明書がすべて削除されます。

2. CAの管理者に連絡して、CAにあるFWSMの証明書を失効させるように要請します。最初にFWSMの証明書を取得したときに crypto ca enroll コマンドを使用して作成した、チャレンジ パスワードを提示します。

RSA鍵ペアを保存するには、 ca save-all コマンドを使用します。特定のRSA鍵ペアを削除するには、 ca zeroize rsa コマンド文の中で keypair_name オプションを使用して、削除するRSA鍵の名前を指定します。


) Secure Shell(SSH;セキュア シェル)を使用するために、RSA鍵ペアを複数保持していることがあります。詳細については、sshコマンドの項を参照してください。


次に、RSA鍵を削除する例を示します。

fwsm/context(config)# ca zeroize rsa keys
 

 
関連コマンド

show ca

capture

パケット キャプチャ機能をイネーブルにして、パケットのスニッフィングやネットワーク障害を検出するには、 capture コマンドを使用します。パケット キャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。

capture capture_name [ access-list access_list_name ] [ buffer buf_size ] [ ethernet-type type ] [ interface interface_name ] [ packet-length bytes ] [ circular-buffer ]

no capture capture-name [access-list access_list_name ] [circular-buffer] [ interface interface_name ]

 
構文の説明

capture_name

パケット キャプチャの名前

access-list access_list_name

(任意)特定のアクセス リストを識別するために、IPフィールドまたはより高位のフィールドに基づいて、パケットを選択します。

buffer buf_size

(任意)パケットの保存に使用するバッファのサイズをバイト単位で定義します。

ethernet-type type

(任意)キャプチャの対象から除外するイーサネット タイプを選択します。

interface interface_name

パケット キャプチャに使用するインターフェイスの名前

packet-length bytes

(任意)キャプチャ バッファに保存する各パケットの最大サイズ(バイト数)を設定します。

circular-buffer

(任意)バッファが一杯になったときに、先頭部分からバッファを上書きしていきます。

 
デフォルト

デフォルト設定は、次のとおりです。

buffer サイズは、512 KBです。

除外されるイーサネット タイプはありません。

すべてのIPパケットが一致します。

packet-length 68 バイトです。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

接続障害のトラブルシューティングや不審な動作を監視する際に、パケットのキャプチャは有効です。FWSMでは、汎用プロセッサを通過するトラフィック(管理トラフィックおよびインスペクション エンジンを含む)のパケット情報を記録できます。FWSMはネットワーク プロセッサを通過するトラフィック(大半の通過トラフィックなど)をキャプチャできません。パケット キャプチャ機能を使用する場合は、テクニカル サポートに問い合わせることを推奨します。

キャプチャから除外するイーサネット タイプを選択する場合の例外は802.1Q(VLANタイプ)です。802.1Qタグは自動的にスキップされ、条件に一致しているかどうかの判定には内部イーサネット タイプが使用されます。デフォルトでは、すべてのイーサネット タイプが選択されます。

バッファが一杯になると、パケットのキャプチャが停止します。

パケット キャプチャをイネーブルにするには、 interface オプション引数を使用してキャプチャをインターフェイスに関連付けます。複数のinterface文を使用すると、キャプチャが複数のインターフェイスに関連付けられます。

バッファの内容がTFTPサーバにASCII形式でコピーされる場合は、ヘッダーだけを表示できます。パケットの詳細や16進ダンプは表示できません。詳細や16進ダンプを表示するには、バッファをPCAP形式で伝送し、TCPDUMPまたはEtherealを使用して読み取ります。

ethernet-type および access-list オプション キーワードを使用すると、バッファに保存するパケットを選択できます。イーサネット フィルタとアクセス リスト フィルタの両方を通過したパケットだけがキャプチャ バッファに保存されます。

capture capture_name circular-buffer コマンドを使用すると、キャプチャ バッファが一杯になったときに、キャプチャ バッファを先頭部分から上書きできます。

キャプチャが消去されないようにする場合は、 no capture コマンドに access-list または interface オプション キーワードのいずれかを付加して入力します。オプション キーワードを付加せずに no capture を入力すると、キャプチャが削除されます。 access-list オプション キーワードを指定した場合は、キャプチャからアクセス リストが削除され、キャプチャは残されます。 interface オプションを指定した場合は、指定したインターフェイスからキャプチャが分離され、キャプチャは残されます。


captureコマンドはコンフィギュレーションには保存されません。また、captureコマンドはフェールオーバー中にスタンバイ装置に複製されることもありません。


キャプチャ情報をリモートのTFTPサーバにコピーするには、 copy capture : capture_name
tftp://server/ path [pcap] コマンドを使用します。

パケット キャプチャ情報をWebブラウザで表示するには、
https:// fwsm-ip-address /capture/ capture_name [ / pcap ] コマンドを使用します。

pcap オプション キーワードを指定すると、libpcap形式のファイルがWebブラウザにダウンロードされるので、Webブラウザを使用してファイルを保存できます(libcapファイルは、TCPDUMPまたはEtherealで表示可能)。

パケット キャプチャをイネーブルにするには、次のように入力します。

fwsm(config)# capture captest interface inside interface outside
 

「mycapture」という名前のキャプチャの内容をWebブラウザで表示するには、次のアドレスを入力します。

https://171.69.38.95/capture/mycapture/pcap

 

Internet ExplorerやNetscape NavigatorなどのWebブラウザで使用されるlibcapファイルをローカル マシンにダウンロードするには、次のアドレスを入力します。

https://171.69.38.95/capture/http/pcap
 

次の例では、外部ホスト171.71.69.234から内部HTTPサーバへのトラフィックがキャプチャされます。

fwsm/context(config)# access-list http permit tcp host 10.120.56.15 eq http host 171.71.69.234
fwsm/context(config)# access-list http permit tcp host 171.71.69.234 host 10.120.56.15 eq http
fwsm/context(config)# capture http access-list http packet-length 74 interface inside
 

次に、ARPパケットをキャプチャする例を示します。

fwsm/context(config)# capture arp ethernet-type arp interface outside

 
関連コマンド

clear capture
copy capture
show capture

cd

カレント ディレクトリを指定したディレクトリに変更するには、 cd コマンドを使用します。

cd disk: path

 
構文の説明

disk: path

カレント ディレクトリを変更します。

 
デフォルト

ディレクトリを指定しない場合、ディレクトリはディスクのルートに変更されます。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、configディレクトリに変更する例を示します。

fwsm#(config)# cd disk:/config/
 

changeto

コマンドが適用される実行スペースを変更するには、 changeto コマンドを使用します。

changeto {system | context name}

 
構文の説明

system

コマンドの実行スペースをシステムに変更します。

context

コマンドの実行スペースをコンテキストに変更します。

name

実行スペースの名前を指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:マルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

コンテキスト名は、コマンドライン プロンプトに挿入されます。プロンプトが変更されるのは、コンテキスト内で作業する場合だけです。シングル コンテキスト モードからマルチ コンテキスト モードに変更しても、プロンプトは変更されません。

次に、「test1」というコンテキストに変更する例を示します。

fwsm(config)# changeto context test1
fwsm#/my_context(config)#
 

次に、「test1」というコンテキストからシステム コンテキストに変更する例を示します。

fwsm#/my_context(config)# changeto system
fwsm#(config)#

 
関連コマンド

context

class

コンテキストの割り当てが可能なクラスを作成し、クラス サブモードを開始するには、 class コマンドを使用します。クラスを削除するには、このコマンドの no 形式を使用します。

[no] class name

 
構文の説明

name

クラス名の文字列(最長20文字)を指定します。

 
デフォルト

デフォルトのクラスは、すべての割り当てられていないコンテキストが属する特別なクラスです。

 
コマンド モード

セキュリティ コンテキスト モード:マルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

各クラス メンバーのリソース制限はクラス パラメータによって決まります。クラス名は20文字までに制限されています。デフォルト クラスは削除できません。デフォルト クラスの制限を変更する場合は、 name default を指定します。クラスを削除するには、このコマンドの no 形式を使用します。 class コマンドを入力すると、FWSMはクラス サブコンフィギュレーション モードを開始します。サブモードでは、 limit-resource コマンドを使用できます。

デフォルトでは、すべてのセキュリティ コンテキストでほとんどのFWSMリソースを利用できます。ただし、1つまたは複数のコンテキストがリソースを多く使用しすぎていて、他のコンテキストの接続が拒否される場合、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。

リソースの一覧については、 limit-resource コマンドの項を参照してください。また、 show resource types コマンドの項も参照してください。


) FWSMはコンテキストごとの帯域幅制限は行いません。FWSMを搭載したスイッチまたはルータは、VLAN単位で帯域幅を制限できます。詳細については、Catalyst 6500シリーズ スイッチまたはCisco 7600シリーズ ルータのマニュアルを参照してください。


デフォルト クラス

特定のクラスに割り当てない限り、すべてのコンテキストはデフォルト クラスに所属するため、コンテキストをデフォルト クラスに割り当てる操作は不要です。

コンテキストが別のクラスに所属している場合、そのクラスの設定がデフォルト クラスの設定よりも優先されます。ただし、別のクラスで設定が定義されていない場合には、メンバー コンテキストはデフォルト クラスの制限を使用します。たとえば、すべての同時接続に関して2%の制限を持ち、他に制限のないクラスを作成した場合、その他の制限はすべてデフォルトから継承されます。逆に、すべてのリソースに対して2%の制限を持つクラスを作成すると、そのクラスはデフォルトの設定を使用しません。

デフォルトでは、デフォルト クラスはすべてのコンテキストの大半のリソースに対して無制限のアクセスを提供しています。コンテキストごとに制限されるリソースは、次のとおりです。

Telnet ― 5

SSH ― 5

IPsec ― 5

ブリッジテーブル エントリ ― 65,535

他のすべてのコンテキストは、無制限のアクセスを提供しています。

リソース メンバー

リソース クラスの設定を使用するには、コンテキストをクラスに割り当てます。特定のクラスに割り当てない限り、すべてのコンテキストはデフォルト クラスに所属するため、コンテキストをデフォルト クラスに割り当てる操作は不要です。コンテキストを割り当てることができるリソース クラスは1つだけです。ただし、メンバー クラスで定義されていない制限については、デフォルト クラスから継承されます。コンテキストは、デフォルト クラスに別のクラスを加えたクラスのメンバーであると言えます。

コンテキストをクラスに割り当てるには、 member(コンテキスト サブモード) コマンドを使用します。

次に、「empire」というクラスを作成する例を示します。

fwsm(config)# class empire
fwsm#(config-class)# limit-resource all 50%
fwsm#(config-class)# limit-resource empire 50%
(config-class)# exit
 
fwsm(config)# show class
Class Name Members ID Flags
default All 1 0001
empire 0 2 0000
 

次に、デフォルト クラス パラメータを変更する例を示します。

fwsm(config)# class default
fwsm#(config-class)# limit-resource all 10%
fwsm#(config-class)# limit-resource default 50%
fwsm#(config-class)# exit

clear

コンフィギュレーションからコンフィギュレーション ファイルおよびコマンドを削除するか、またはコマンド値をリセットするには、 clear コマンドを使用します。

clear command

 
構文の説明

command

削除またはリセットする内容を指定します。

 
デフォルト

デフォルト設定は、使用する clear コマンドによって異なります。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

コマンドの no 形式を使用すると、コンフィギュレーションを変更できます。

clear コマンドは、さまざまなセキュリティ レベルのモードで使用できます。セキュリティ レベルが低いモードで使用できる clear コマンドは、よりセキュリティ レベルの高いモードでも使用できます。ただし、セキュリティ レベルの高いモードの clear コマンドは、セキュリティ レベルの低いモードでは使用できません。

clear aaa

TACACS+、RADIUS、またはローカル ユーザのAuthentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)をイネーブル化、ディセーブル化、または表示するには、 clear aaa コマンドを使用します。

clear aaa authentication | authorization | accounting

 
構文の説明

authentication

AAA認証を指定します。

authorization

AAA許可を指定します。

accounting

AAAアカウンティングを指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、定義済みのサーバ グループを削除する例を示します。

fwsm/context(config)# clear aaa authentication
 

clear aaa accounting

ローカル、TACACS+、またはRADIUSのユーザ アカウントをクリアするには、 clear aaa accounting コマンドを使用します。

clear aaa accounting { include | exclude } service interface_name source_ip source_mask [destination_ip destination_mask] server_tag

 

include

指定したサービスに含む新しい規則を作成します。

exclude

指定したサービスをアカウンティングから除外して、以前に記述した規則に対する例外を作成します。

service

アカウンティングサービス。指定できる値は、any、ftp、http、telnet、またはprotocol/portです。

interface_name

ユーザが認証を要求するインターフェイス名

source_ip

認証または許可する送信元ホスト、またはホストのネットワークのIPアドレス

source_mask

送信元IPのネットワーク マスク

destination_ip

(任意)送信元IPアドレスにアクセスするホストのIPアドレス。 0 の場合は、すべてのホストが指定されます。

destination_mask

(任意)宛先IPのネットワーク マスク

server_tag

AAAサーバ グループ タグ

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

service を指定する場合、すべてのTCPサービスに対してアカウンティングを可能にするには、 any を使用します。UDPサービスに対してアカウンティングを可能にするには、protocol/port引数を使用します。protocol/port形式では、たとえばTCPプロトコルは6と表示され、UDPプロトコルは17と表示されます。ポートは、TCPまたはUDPの宛先ポートです。ポートの値に0(ゼロ)を使用すると、すべてのポートが指定されます。TCPまたはUDP以外のプロトコルの場合、portは使用されません。ローカルのFWSMユーザ認証データベースを使用する場合は、 LOCAL を指定します。

次に、ユーザ アカウントをクリアする例を示します。

fwsm/context(config)# clear aaa accounting

 
関連コマンド

aaa accounting

clear aaa authentication

ローカル、TACACS+、またはRADIUSのユーザ認証をクリアするには、 clear aaa authentication コマンドを使用します。

clear aaa authentication { include | exclude } authen_service interface_name source_ip source_mask [destination_ip destination_mask] server_tag

 
構文の説明

include

指定したサービスに含む新しい規則を作成します。

exclude

指定したサービスをアカウンティングから除外して、以前に記述した規則に対する例外を作成します。

authen_service

選択されているサービスのオプション キーワードに基づいて認証の対象に加えるか、または対象から除外するトラフィックのタイプをクリアします。有効値については、「使用上の注意事項」を参照してください。

interface_name

ユーザが認証を要求するインターフェイス名

source_ip

認証または許可するローカルホスト、またはホストのネットワークのIPアドレス

source_mask

ローカルIPのネットワーク マスク

destination_ip

(任意)ローカルIPアドレスにアクセスするホストのIPアドレス。 0 の場合は、すべてのホストが指定されます。

destination_mask

(任意)宛先IPのネットワーク マスク

server_tag

AAAサーバ グループ タグ

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

ローカルのFWSMユーザ認証データベースを使用する場合は、 LOCAL を指定します。

次に、AAA認証をクリアする例を示します。

fwsm/context(config)# clear aaa authentication

 
関連コマンド

aaa accounting

clear aaa authorization

ローカルまたはTACACS+のユーザ認証をクリアするには、 clear aaa authorization コマンドを使用します。

clear aaa authorization { include | exclude } authen_service interface_name source_ip source_mask [destination_ip destination_mask ] server_tag

 
構文の説明

include

指定したサービスに含む新しい規則を作成します。

exclude

指定したサービスをアカウンティングから除外して、以前に記述した規則に対する例外を作成します。

authen_service

選択されているサービスのオプション キーワードに基づいて認証の対象に加えるか、または対象から除外するトラフィックのタイプをクリアします。有効値については、「使用上の注意事項」を参照してください。

interface_name

ユーザが認証を要求するインターフェイス名

source_ip

認証または許可するローカル ホスト、またはホストのネットワークのIPアドレス

source_mask

ローカルIPのネットワーク マスク

destination_ip

(任意)ローカルIPアドレスにアクセスするホストのIPアドレス。 0 の場合は、すべてのホストが指定されます。

destination_mask

(任意)宛先IPのネットワーク マスク

server_tag

AAAサーバ グループ タグ

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

aaa authorization コマンドはローカル サーバおよびTACACS+サーバとともに使用できますが、RADIUSサーバとは使用できません。ローカルのFWSMユーザ認証データベースを使用する場合は、 LOCAL を指定します。

次に、AAA許可をクリアする例を示します。

fwsm/context(config)# clear aaa authorization

clear aaa-server

定義済みのサーバ グループを削除するには、 clear aaa-server コマンドを使用します。

clear aaa-server [ tag ]

 
構文の説明

tag

(任意)AAAサーバ グループ タグ。ローカルのFWSMユーザ認証データベースを使用する場合は、 LOCAL を指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、定義済みのサーバ グループを削除する例を示します。

fwsm/context(config)# clear aaa-server LOCAL

 
関連コマンド

aaa-server

clear access-group

すべてのインターフェイスからアクセス グループを削除するには、 clear access-group コマンドを使用します。

clear access-group

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、すべてのアクセス グループを削除する例を示します。

fwsm/context(config)# clear access-group

 
関連コマンド

access-group
show access-group

clear access-list

アクセス リストを削除するか、またはアクセス リスト カウンタをクリアするには、 clear access-list コマンドを使用します。

clear access-list [i d ] [ counters ]

 
構文の説明

id

(任意)アクセス リストの名前または番号

counters

(任意)アクセス リスト カウンタをクリアします。

 
デフォルト

すべてのアクセス リストが削除されます。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

id を指定せずに clear access-list コマンドを使用すると、すべての access-list コマンド( access-list deny-flow-max など)がクリアされます。 また、 access-group コマンドなどの、ACLに関連するコマンドも削除されます。

次に、特定のアクセス リスト カウンタをクリアする例を示します。

fwsm/context(config)# clear access-list 77 23 counters
 

次に、すべてのアクセス リスト カウンタをクリアする例を示します。

fwsm/context(config)# clear access-list inbound counters

 
関連コマンド

access-list extended
show access-list

clear activation-key

FWSM のアクティベーション キーをクリアして、 FWSM をデフォルトのフィーチャ セットに戻すには、 clear activation-key コマンドを使用します。

clear activation-key

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

マルチ セキュリティ コンテキスト モードでは、デフォルトのフィーチャ セットを使用すると2つのコンテキストが許可されます。

次に、アクティベーション キーをクリアする例を示します。

fwsm(config)# clear activation-key

 
関連コマンド

activation-key

clear alias

コンフィギュレーションからすべての alias コマンドを削除するには、 clear alias コマンドを使用します。

clear alias

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションから alias コマンドを削除する例を示します。

fwsm/context(config)# clear alias

 

 
関連コマンド

alias

clear arp

ARPキャッシュ テーブル内のエントリ( arp interface_name ip mac コマンドで直接設定したものを除く)をすべてクリアするには、 clear arp コマンドを使用します。

clear arp [ stats ]

 
構文の説明

stats

(任意)ARP統計情報のエントリをクリアします。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、ARPキャッシュ テーブルのエントリをクリアする例を示します。

fwsm/context(config)# clear arp
 

 
関連コマンド

arp
show arp

clear arp-inspection

ARP検査の設定をクリアするには、 clear arp-inspection コマンドを使用します。

clear arp-inspection

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:トランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、ARP検査の設定をクリアする例を示します。

fwsm/context(config)# clear arp-inspection
 

 
関連コマンド

arp
arp-inspection
show arp

clear auth-prompt

HTTP、FTP、およびTelnetアクセスに対するAAAチャレンジ テキストをクリアするには、 clear auth-prompt コマンドを使用します。

clear auth-prompt

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、許可プロンプトのAAAチャレンジ テキストをクリアする例を示します。

fwsm/context(config)# clear auth-prompt
 

 
関連コマンド

auth-prompt
show auth-prompt

clear banner

すべてのバナーを削除するには、clear bannerコマンドを使用します。

clear banner

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、バナーをクリアする例を示します。

fwsm/context(config)# clear banner
 

 
使用上の注意事項

banner
show banner

clear ca

CAのコンフィギュレーションを削除するには、clear caコマンドを使用します。

clear ca

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、CAのコンフィギュレーションをクリアする例を示します。

fwsm/context(config)# clear ca
 

 
使用上の注意事項

ca configure
show ca

clear capture

キャプチャ バッファをクリアするには、 clear capture capture_name コマンドを使用します。

clear capture capture_name

 
構文の説明

capture_name

パケット キャプチャの名前

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

すべてのパケット キャプチャを誤って削除することを防ぐため、 clear capture cl cap clear cap など)の短縮形はサポートされていません。

次に、キャプチャ バッファ「orlando」のキャプチャ バッファをクリアする例を示します。

fwsm/context(config)# clear capture orlando
 

 
関連コマンド

capture
show capture

clear class

すべてのクラスを削除して、デフォルト クラスをデフォルト設定に戻すには、 clear class コマンドを使用します。

clear class

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:マルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、すべてのクラスを削除する例を示します。

fwsm(config)# clear class

 
関連コマンド

class
show class

clear configure

実行コンフィギュレーションの要素をクリアするには、 clear configure コマンドを使用します。

clear configure { primary | secondary | all }

 
構文の説明

primary

(任意)特定のコマンドをデフォルト値に設定し、コンフィギュレーション内のすべてのコマンドからインターフェイス名を削除して、コマンドをデフォルト設定に戻します。

secondary

(任意)コンフィギュレーションから特定のコマンドを削除して、コマンドをデフォルト設定に戻します。

all

(任意)実行コンフィギュレーション全体を統合して、デフォルト設定に戻します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear configure all コマンドは、コンフィギュレーションをデフォルト値にリセットします。このコマンドは、テンプレート コンフィギュレーションを作成する場合や、すべての値を消去する場合に使用します。

コンテキスト モードで clear config all コマンドを使用すると、コンテキストの実行コンフィギュレーション全体が削除されますが、コンテキストのコンフィギュレーションURLやコンテキストは削除されません。また、システム コンフィギュレーションで指定されたパラメータも削除されません。


) システム モードでclear configureコマンドを使用すると、システム コンフィギュレーションおよびコンテキストのすべてのコンフィギュレーションが削除されます。


clear configure primaryコマンドは、interface、ip、mtu、nameif、およびroute コマンドをデフォルト値にリセットし、コンフィギュレーション内のすべてのコマンドからインターフェイス名を削除して、デフォルト設定に戻します。

clear configure secondaryコマンドは、コンフィギュレーションから、aaa-server、alias、 access-list 、apply、global、outbound、static、telnet、およびurl-serverコマンドを削除します。ただし、tftp-serverコマンドは削除されません。

フラッシュ メモリのスタートアップ コンフィギュレーションをクリアするには、write eraseコマンドを使用します。

次に、RAMのコンフィギュレーションをクリアする例を示します。

fwsm/context(config)# clear configure all

 
関連コマンド

configure
show configure
write

clear conn

システムから接続を削除するには、 clear conn コマンドを使用します。

clear conn

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:マルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、システムから接続を削除する例を示します。

fwsm/context_name# clear conn
 

 
関連コマンド

show conn

clear console-output

現在キャプチャされているコンソール出力を削除するには、 clear console-output コマンドを使用します。

clear console-output

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、現在設定済みのコンソール出力を削除する例を示します。

fwsm/context_name# clear console-output
 

 
関連コマンド

clear console-output

clear context

すべての稼働中のコンテキスト(管理者コンテキストを含む)を停止し、システム コンフィギュレーションからコンテキストのエントリを削除するには、 clear context コマンドを使用します。

clear context

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:マルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear context コマンドは、すべてのコンテキストとそのコンフィギュレーション、およびすべてのコンテキストのコンテキスト サブコマンド(メンバーおよびconfig-url)を削除します。 clear context コマンドでは、RMクラスの定義は削除されません。

次の例では、すべての稼働中のコンテキスト(管理者コンテキストを含む)を停止し、システム コンフィギュレーションからコンテキストのエントリを削除します。

fwsm(config)# clear context

 
関連コマンド

context
show context

clear counters

プロトコル スタック カウンタをクリアするには、 clear counters コマンドを使用します。

clear counters [context context-name | top N | all | summary] [protocol protocol_name [: counter_name ]| detail]

 
構文の説明

context

(任意)コンテキストを指定します。

context-name

(任意)コンテキスト名を指定します。

top N

(任意)指定した場所のカウンタの詳細を表示します。

all

(任意)フィルタの詳細を表示します。

summary

(任意)カウンタのサマリを表示します。

protocol

(任意)指定したプロトコルのカウンタを表示します。

protocol_name

(任意)プロトコル名を指定します。

: counter_name

(任意)カウンタ名を指定します。

detail

(任意)カウンタを詳細に表示します。

 
デフォルト

clear counters summary detail

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、プロトコル スタック カウンタをクリアする例を示します。

fwsm(config)# clear counters

 

 
関連コマンド

show counters

clear crashdump

FWSMのフラッシュ メモリからクラッシュ情報ファイルを削除するには、 clear crashdump コマンドを使用します。

clear crashdump

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、クラッシュ情報ファイルを削除する例を示します。

fwsm(config)# clear crashdump

 
関連コマンド

crashdump force
show crashdump

clear crypto dynamic-map

コンフィギュレーションから crypto dynamic-map コマンドを削除するには、 clear crypto
dynamic-map
コマンドを使用します。

clear [ crypto ] dynamic-map [ dynamic-map-name ] [ dynamic-seq-num ]

 
構文の説明

crypto

(任意)ダイナミック マップの暗号化を指定します。

dynamic-map-name

(任意)ダイナミック暗号マップ セットの名前を指定します。

dynamic-seq-num

(任意)ダイナミック暗号マップ エントリに対応したシーケンス番号を指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

crypto キーワードは省略できます。

次に、コンフィギュレーションから crypto dynamic-map コマンドを削除する例を示します。

fwsm/context(config)# clear crypto dynamic-map alarms 323
 

 
関連コマンド

crypto dynamic-map
show crypto engine

clear crypto interface counters

暗号インターフェイス カウンタをクリアするには、 clear crypto interface counters コマンドを使用します。

clear crypto interface counters

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear crypto interface counters コマンドは、パケット、ペイロード バイト、キュー長、および移動平均のカウンタのみをクリアします。キューにある実際のパケットには影響を与えません。

次に、暗号インターフェイス カウンタをクリアする例を示します。

fwsm#/context_name(config)# clear crypto interface counters

clear crypto ipsec sa

IPSecのセキュリティ アソシエーションを削除するには、 clear crypto ipsec sa コマンドを使用します。

clear [ crypto ] ipsec sa [ counters | entry { destination-address protocol spi } | map map-name | peer ]

 
構文の説明

crypto

(任意)暗号コンフィギュレーションを指定します。

counters

(任意)各セキュリティ アソシエーションのトラフィック カウンタをクリアします。

entry

(任意)指定されたアドレス、プロトコル、およびSPIを使用して、IPSecのセキュリティ アソシエーションを削除します。

destination-address

(任意)ピアまたはリモート ピアのIPアドレスを指定します。

protocol

(任意)セキュリティ アソシエーションをプロトコルで指定します。有効値は、 ah または esp です。

spi

(任意)セキュリティ アソシエーションを識別するためのSecurity Parameter Index(SPI)を指定します。有効値は、256~4294967295(16進数のFFFF FFFF)です。

map map-name

(任意)指定した暗号マップ セットのIPSecセキュリティ アソシエーションを削除します。

peer

(任意)指定したピアのIPSecセキュリティ アソシエーションを削除します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

Internet Key Exchange(IKE)を使用してセキュリティ アソシエーションが確立されている場合、セキュリティ アソシエーションが削除されるため、以降のIPSecトラフィックでは新しいセキュリティ アソシエーションが必要です。IKEを使用している場合、IPSecセキュリティ アソシエーションは必要なときにだけ確立されます。

セキュリティ アソシエーションを手作業で確立した場合は、セキュリティ アソシエーションが削除されます。

引数を指定せずに clear [ crypto ] ipsec sa コマンドを使用すると、IPSecセキュリティ アソシエーションがすべて削除されます。

セキュリティ アソシエーションを手作業で確立した場合は、セキュリティ アソシエーションが削除され、もう一度確立されます(IKEを使用していない場合は、コンフィギュレーションが完了するとすぐにIPSecセキュリティ アソシエーションが作成される)。

先行する何らかのコマンドによって特定のセキュリティ アソシエーションが削除される場合は、同じIKEネゴシエーション中に確立された「兄弟の」セキュリティ アソシエーションもすべて削除されます。

counters オプション キーワードを使用すると、セキュリティ アソシエーションごとに保持されているトラフィック カウンタだけが消去されます。セキュリティ アソシエーション自体は消去されません。

セキュリティ アソシエーションに影響を及ぼす設定変更を行う場合、その変更は既存のセキュリティ アソシエーションには適用されませんが、後続のセキュリティ アソシエーションのネゴシエーションには適用されます。すべてのセキュリティ アソシエーションで最新のコンフィギュレーション設定値が使用されるようにするには、 clear [crypto] ipsec sa コマンドを使用してすべてのセキュリティ アソシエーションを再起動します。手作業で確立したセキュリティ アソシエーションに影響を及ぼす変更を行う場合、その変更内容を適用するには、 clear [crypto] ipsec sa コマンドを使用する必要があります。


) IPSecコンフィギュレーションを大幅に変更する場合(たとえば、アクセス リストやピアに変更を加える場合)は、clear [crypto] ipsec saコマンドでは新しいコンフィギュレーションが有効になりません。このような場合は、crypto map interfaceコマンドを使用して、暗号マップをインターフェイスに再バインドします。


FWSMがアクティブなIPSecトラフィックを処理している間は、セキュリティ アソシエーション データベースのうち、変更の影響を受ける部分だけを消去して、アクティブなIPSecトラフィックの処理が一時的に失敗することを避けてください。

clear [ crypto ] ipsec sa コマンドは、IPSecセキュリティ アソシエーションだけを消去します。IKEセキュリティ アソシエーションを消去するには、 clear [ crypto ] isakmp sa コマンドを使用します。

次の例では、FWSMのIPSecセキュリティ アソシエーションをすべて消去し、必要に応じて再初期化します。

fwsm/context(config)# clear crypto ipsec sa
 

次の例では、AHプロトコルを使用してアドレス10.0.0.1用に確立されたSPI 256のセキュリティ アソシエーションとともに確立された、受信IPSecセキュリティ アソシエーションと送信IPSecセキュリティ アソシエーションを消去し、必要に応じて再初期化します。

fwsm/context(config)# clear crypto ipsec sa entry 10.0.0.1 AH 256

clear crypto isakmp sa

コンフィギュレーションからIKE SAの isakamp policy コマンドを削除するには、 clear crypto isakamp sa コマンドを使用します。

clear crypto isakamp sa

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションから isakamp policy コマンドを削除する例を示します。

fwsm/context(config)# clear isakamp sa

clear dhcpd

DHCPサーバ コマンド、バインディング、および統計情報をすべてクリアするには、 clear dhcp コマンドを使用します。

clear dhcpd [ binding | statistics ]

 
構文の説明

binding

(任意)すべてのクライアント アドレス バインディングをクリアします。

statistics

(任意)統計情報(アドレス プール、バインディング数、不正メッセージ、送信メッセージ、受信メッセージなど)をクリアします。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear dhcpd コマンドは、すべての dhcpd コマンド、バインディング、および統計情報をクリアします。 clear dhcp statistics コマンドは、 show dhcp statistics のカウンタをクリアします。

次に、 dhcpd コマンドをクリアする例を示します。

fwsm/context(config)# clear dhcpd statistics
 

 
関連コマンド

dhcpd
dhcprelay
show dhcpd
show dhcprelay

clear dhcprelay

DHCPリレー コンフィギュレーション コマンドをクリアするには、 clear dhcprelay コマンドを使用します。

clear dhcprelay [statistics]

 
構文の説明

statistics

(任意)DHCPリレー統計カウンタをクリアします。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear dhcprelay コマンドは、すべてのDHCPリレー コンフィギュレーションをクリアします。 clear dhcprelay statistics コマンドは、 show dhcprelay statistics のカウンタをクリアします。

次に、 DHCP リレー コンフィギュレーションをクリアする例を示します。

fwsm/context(config)# clear dhcprelay statistics
 

 
関連コマンド

dhcpd
dhcprelay
show dhcpd
show dhcprelay

clear dispatch stats

ディスパッチ レイヤの統計情報をクリアするには、 clear dispatch stats コマンドを使用します。

clear dispatch stats [funcid | all]

 
構文の説明

funcid

(任意)ディスパッチ レイヤ統計情報のファンクションIDを指定します。

all

(任意)すべてのディスパッチ レイヤ統計情報を指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、ディスパッチ レイヤ統計情報をすべて削除する例を示します。

fwsm(config)# clear dispatch stats all
 

clear dynamic-map

ダイナミック暗号マップ エントリを削除するには、 clear dynamic-map コマンドを使用します。

clear [ crypto ] dynamic-map [ dynamic-map-name ] [ dynamic-seq-num ]

 
構文の説明

crypto

(任意)暗号コンフィギュレーションを指定します。

dynamic-map-name

(任意)マップ名を指定します。

dynamic-seq-num

(任意)マップのシーケンス番号を指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、ダイナミック マップ エントリを削除する例を示します。

fwsm/context(config)# clear dynamic-map
 

 
関連コマンド

crypto dynamic-map
dynamic-map

clear established

確立されたコマンドをすべて削除するには、 clear established コマンドを使用します。

clear established

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

established コマンドで確立された接続を削除するには、 clear xlate コマンドを使用します。

次に、確立されたコマンドを削除する例を示します。

fwsm/context(config)# clear established

 
関連コマンド

established
show established

clear failover

すべてのフェールオーバー コンフィギュレーションを削除するには、 clear failover コマンドを使用します。

clear failover

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、フェールオーバー コンフィギュレーションを削除する例を示します。

fwsm(config)# clear failover
 

clear filter

コンフィギュレーションから filter コマンドを削除するには、 clear filter コマンドを使用します。

clear filter

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、すべての filter コマンドを削除する例を示します。

fwsm/context(config)# clear filter
 

 
関連コマンド

filter ftp
filter https
filter url

clear firewall

ファイアウォール モードをデフォルト設定に戻すには、 clear firewall コマンドを使用します。

clear firewall

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトのファイアウォール モードは、ルーテッド ファイアウォール モードです。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、ファイアウォール モードをルーテッド ファイアウォール モードに設定する例を示します。

fwsm/context(config)# clear firewall
 

 
関連コマンド

firewall
show firewall

clear fixup

フィックスアップ コンフィギュレーションをリセットするには、 clear fixup コマンドを使用します。

clear fixup

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear fixup コマンドでは、デフォルトのfixup protocolコマンドは削除されません。

次に、フィックスアップ コンフィギュレーションをリセットする例を示します。

fwsm/context(config)# clear fixup
 

 
関連コマンド

fixup protocol
show fixup

clear flashfs

FWSM内のフラッシュ メモリのファイル システムをクリアするには、 clear flashfs コマンドを使用します。

clear flashfs

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear flashfsコマンドを使用すると、FWSM内のフラッシュ メモリのファイル システムがクリアされます。

clear flashfsコマンドは、フラッシュ メモリに保存されたコンフィギュレーションには影響しません。

次に、FWSM内のフラッシュ メモリのファイル システムをクリアする例を示します。

fwsm# clear flashfs

 
関連コマンド

flashfs
show flashfs

clear floodguard

フラッド保護をディセーブルにするには、 clear floodguard コマンドを使用します。

clear floodguard

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、フラッド保護をディセーブルにする例を示します。

fwsm/context(config)# clear floodguard
 

 
関連コマンド

floodguard
show floodguard

clear fragment

フラグメント データベースをデフォルトにリセットするには、 clear fragment コマンドを使用します。

clear fragment

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear fragmentコマンドを使用すると、フラグメント データベースがリセットされます。特に、再組み立てを待っているフラグメントはすべて廃棄されます。さらに、サイズは200にリセットされ、チェイン制限は24にリセットされ、タイムアウトは5秒にリセットされます。

現在、再組み立てを待っているフラグメントはすべて廃棄され、size、chain、およびtimeoutオプション キーワードがそれぞれのデフォルト値にリセットされます。

sysopt security fragguard および fragguard コマンドは、 fragment コマンドに置き換えられています。

次に、フラグメント データベースをデフォルトにリセットする例を示します。

fwsm/context(config)# clear fragment
 

 
関連コマンド

fragment
show fragment

clear ftp

FTPモードをデフォルト設定に戻すには、 clear ftpコマンドを使用します。

clear ftp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトのFTPモードは、パッシブ モードです。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、FTPモードをパッシブ モードに設定する例を示します。

fwsm(config)# clear ftp

 
関連コマンド

ftp mode
show ftp

clear gc

ガーベッジ コレクション処理の統計情報を削除するには、 clear gc コマンドを使用します。

clear gc

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、ガーベッジ コレクション処理の統計情報を削除する例を示します。

fwsm# clear gc
 

 
関連コマンド

show gc

clear global

コンフィギュレーションから global コマンドを削除するには、 clear global コマンドを使用します。

clear global

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:トランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションから global コマンドを削除する例を示します。

fwsm/context(config)# clear global
 

 
関連コマンド

global
show global

clear http

すべてのHTTPホストを削除して、サーバをディセーブルにするには、 clear http コマンドを使用します。

clear http

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、すべてのHTTPホストを削除して、サーバをディセーブルにする例を示します。

fwsm/context(config)# clear http
 

 
関連コマンド

http
show http

clear icmp

インターフェイスで終端するICMPトラフィックに対するアクセスを削除するには、 clear icmp コマンドを使用します。

clear icmp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear icmp コマンドは、ICMPエントリを消去します。

次に、ICMPトラフィックに対するアクセスを削除する例を示します。

fwsm/context(config)# clear icmp

 
関連コマンド

icmp
show http

clear interface stats

インターフェイスの統計情報をクリアするには、 clear interface stats コマンドを使用します。

clear interface [ interface ] stats

 
構文の説明

interface-id

(任意)インターフェイスの識別名または番号

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear interfaceコマンドは、すべてのインターフェイス統計情報をクリアします。このコマンドは、すべてのシステム インターフェイスをシャットダウンする訳ではありません。 clear interface コマンドは、すべてのインターフェイスに対するユニキャストRPFのパケット廃棄数もクリアします。

次に、内部インターフェイスの統計情報をクリアする例を示します。

fwsm/context(config)# clear interface inside stats

 
関連コマンド

interface
show interface

clear ip address

すべてのIPアドレスをクリアするには、 clear ip address コマンドを使用します。

clear ip address

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

ip address コマンドを変更した場合は、その後、 clear xlate コマンドを使用します。

次に、インターフェイスのすべてのIPアドレスをクリアして、FWSMモジュールを通過するトラフィックをすべて停止する例を示します。

fwsm/context(config)# clear ip address
 

clear ip ospf

IP OSPFに関する情報をクリアするには、 clear ospf コマンドを使用します。

clear ip ospf [ pid ] { process | counters | neighbor [ neighbor-intf ] [ neighbr-id ]}

 
構文の説明

pid

(任意)OSPFルーティング プロセスで内部的に使用される識別パラメータ。
有効値は、1~65535です。

process

OSPFルーティング プロセスIDをクリアします。

counters

OSPFカウンタをクリアします。

neighbor

OSPFネイバをクリアします。

neighbor-intf

(任意)OSPFインターフェイス ルータ指定をクリアします。

neighbr-id

(任意)OSPFネイバ ルータIDをクリアします。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

このコマンドを使用しても、コンフィギュレーションは削除されません。OSPFコンフィギュレーションを削除するには、 router ospfコマンド または routing interface コマンドの no 形式を使用します。

次に、OSPFパラメータをクリアする例を示します。

fwsm/context(config)# clear ospf

 
関連コマンド

routing interface
show ip ospf

clear ip verify reverse-path

コンフィギュレーションから ip verify reverse-path コマンドを削除するには、 clear ip verify reverse-path コマンドを使用します。

clear ip verify reverse-path [ interface int_name ] [ statistics ]

 
構文の説明

interface int_name

コンフィギュレーションから ip verify reverse-path コマンド設定を削除します。

statistics

(任意)統計情報を削除します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear ip verify コマンドを使用すると、コンフィギュレーションから ip verify コマンドを削除できます。ユニキャストReverse Path Forwarding(RPF)は、インターフェイスに到着する受信パケットをスクリーニングする一方向の入力機能です。送信パケットはスクリーニングされません。

次に、コンフィギュレーションから ip verify reverse-path コマンドを削除する例を示します。

fwsm/context(config)# clear ip verify reverse-path

clear local-host

ローカル ホストについて表示される情報をクリアするには、 clear local-host コマンドを使用します。


) ローカル ホストのネットワーク ステートをクリアすると、ローカル ホストに関連付けられている接続やxlateはすべて停止します。


clear local-host [ ip_address ]

 
構文の説明

ip_address

(任意)ローカル ホストのIPアドレス

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

表示を1つのホストに制限する場合は、 ip_address オプションを使用します。

FWSMでは、クリアされたホストはライセンス制限から除外されます。ライセンス制限にカウントされているホストの数は、 show local-host コマンドを使用して表示できます。

次に、clear local-hostコマンドでローカル ホストに関する情報をクリアする例を示します。

fwsm/context(config)# clear local-host 10.1.1.15
fwsm/context(config)# show local-host 10.1.1.15
 

情報がクリアされると、ホストが再び接続を確立するまで、何も表示されません。

 
関連コマンド

show local-host

clear logging rate-limit

拒否メッセージを元のメッセージにリセットするには、 clear logging rate-limit コマンドを使用します。

clear logging rate-limit

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、拒否メッセージをリセットする例を示します。

fwsm/context(config)# clear logging rate-limit
 

情報がクリアされると、ホストが再び接続を確立するまで、何も表示されません。

 
関連コマンド

clear logging rate-limit

clear mac-address-table

ブリッジ テーブルからインターフェイス名のエントリを削除するには、 clear mac-address-table コマンドを使用します。

clear mac-address-table interface_name

 
構文の説明

interface_name

インターフェイスの名前を指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:トランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、ブリッジ テーブルからインターフェイス名のエントリを削除する例を示します。

fwsm/context(config)# clear mac-address-table my_context
 

clear mac-learn

MAC学習を停止するには、 clear mac-learn コマンドを使用します。

clear mac-learn

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:トランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、MAC学習を停止する例を示します。

fwsm(config)# clear mac-learn

 
関連コマンド

mac-learn
show mac-learn

clear mgcp

Media Gateway Command Protocol(MGCP)コンフィギュレーションを削除して、コマンドのキュー制限をデフォルトの200にリセットするには、 clear mgcp コマンドを使用します。

clear mgcp

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、MGCPコンフィギュレーションを削除して、コマンド キューをリセットする例を示します。

fwsm/context(config)# clear mgcp
 

 
関連コマンド

mgcp
show mgcp

clear monitor-interface

フェールオーバーのインターフェイス モニタ設定を削除するには、 clear monitor-interface コマンドを使用します。

clear monitor-interface

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、インターフェイス モニタ設定を削除する例を示します。

fwsm/context(config)# clear monitor-interface

clear mp-passwd

メンテナンス パーティション パスワードを削除して、デフォルト パスワードにリセットするには、 clear mp-passwd コマンドを使用します。

clear mp-passwd

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトのパスワードは、「cisco」です。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、メンテナンス パーティション パスワードを削除する例を示します。

fwsm(config)# clear mp-passwd

 
関連コマンド

upgrade-mp

clear nat

NATのコンフィギュレーションを削除するには、 clear nat コマンドを使用します。

clear nat

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

2.2(1)

このコマンドが、ローカル ホストに対するUDPの最大接続数をサポートするように変更されました。

 
使用上の注意事項


) トランスペアレント ファイアウォール モードの場合、有効なNAT IDは0だけです。


次に、NATコンフィギュレーションを削除する例を示します。

fwsm/context(config)# clear nat

 
関連コマンド

clear nat
nat
show nat

clear name

FWSMコンフィギュレーションから名前のリストを削除するには、 clear name コマンドを使用します。

clear name

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、FWSMから名前のリストをクリアする例を示します。

fwsm/context(config)# clear name

 
関連コマンド

clear names
name
names
show name
show names

clear names

name コマンドの使用をディセーブルにするには、 clear names コマンドを使用します。

clear names

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、名前の使用をディセーブルにする例を示します。

fwsm/context(config)# clear names
 

 
関連コマンド

clear name
name
names
show name
show names

clear object-group

コンフィギュレーションからobject groupコマンドを削除するには、 clear object-group コマンドを使用します。

clear object-group [{ protocol | service | icmp-type | network }] [ obj_grp_id ]

 
構文の説明

protocol

(任意)プロトコル グループをクリアします。

service

(任意)サービス グループをクリアします。

icmp-type

(任意)ICMPグループをクリアします。

network

(任意)ネットワーク グループをクリアします。

obj_grp_id

(任意)定義済みオブジェクト グループの名前

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションから object-group コマンドを削除する例を示します。

fwsm/context(config)# clear object-group

 
関連コマンド

object-group
show object-group

clear pager

area コマンドをデフォルト設定に戻すには、 clear pager コマンドを使用します。

clear pager

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:非イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、 area コマンドをデフォルト設定に戻す例を示します。

fwsm> clear pager

 
関連コマンド

pager
show pager

clear password

パスワードを「cisco」にリセットするには、clear passwordコマンドを使用します。

clear { password | passwd }

 
構文の説明

password

パスワードをクリアすることを指定します。

passwd

パスワードをクリアすることを指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、パスワードを「cisco」にリセットする例を示します。

fwsm(config)# clear password

 
関連コマンド

password/passwd
show password/passwd

clear pdm

FWSM Device Managerのロケーションをすべて削除し、ロギングをディセーブルにして、PDMバッファをクリアするには、 clear pdm コマンドを使用します。

clear pdm [location | group | logging]

 
構文の説明

location

(任意)PDMのロケーションを指定します。

group

(任意)PDMグループを指定します。

l ogging

(任意)ロギング メッセージとレベルを指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear pdm、 pdm group 、pdm history、pdm location、およびpdm logging コマンドがコンフィギュレーションに表示される場合がありますが、これらのコマンドは、PDMからFWSMへの内部コマンドとして機能する設計になっていて、PDMにだけアクセスできます。

次に、FWSM Device Managerのすべてのロケーションを削除し、ロギングをディセーブルにして、PDMバッファをクリアする例を示します。

fwsm(config)# clear pdm

 
関連コマンド

pdm
show pdm

clear privilege

コンフィギュレーションを削除して、コマンドの権限レベルを表示するには、 clear privilege コマンドを使用します。

clear privilege

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションを削除して、コマンドの権限レベルを表示する例を示します。

fwsm(config)# clear privilege

 
関連コマンド

copy capture
show privilege

clear resource usage

最大カウンタを現在のカウンタの値に設定し、拒否カウンタをクリアするには、 clear resource usage コマンドを使用します。

clear resource usage [ context context_name | top n | all | summary | system ] [ resource {[ rate ] resource_name | all } | detail ]

 
構文の説明

context

(任意)コンテキストを指定します。

context_name

(任意)コンテキストの名前

top n

(任意)リソース番号を指定します。

all

(任意)すべてのリソースを指定します。

summary

(任意)リソースのサマリを指定します。

system

(任意)システム リソースを指定します。

resource

(任意)特定のリソースを指定します。

rate

(任意)リソースのレートを指定します。

resource_name

(任意)リソース名を指定します。

all

(任意)すべてのリソースを指定します。

detail

(任意)詳細を指定します。

 
デフォルト

設定可能なすべてのリソース

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear resource usage コマンドは、このコマンドで指定されたリソースに対して機能します。リソース タイプが指定されていない場合、このコマンドはすべてのリソースに対してデフォルトを使用します。リソース タイプの詳細を指定すると、すべてのリソース タイプがクリアされます。

次に、使用されていたシステム リソースのリストを削除する例を示します。

fwsm(config)# clear resource usage
 

clear rip

Routing Information Protocol(RIP)の設定を削除するには、 clear rip コマンドを使用します。

clear rip

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モード

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、RIPの設定を削除する例を示します。

fwsm(config)# clear rip

 
関連コマンド

rip
show rip

clear route

connect キーワードを含まないコンフィギュレーションから route コマンドを削除するには、 clear
route
コマンドを使用します。

clear route [ interface_name ip_address [ netmask gateway_ip ]]

 
構文の説明

interface_name

(任意)内部または外部ネットワークのインターフェイス名

ip_address

(任意)内部または外部ネットワークのIPアドレス

netmask

(任意) ip_address に適用するネットワーク マスクを指定します。

gateway_ip

(任意)ゲートウェイ ルータのIPアドレス(このルートのネクスト ホップ アドレス)を指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

デフォルト ルートを指定するには、 0.0.0.0 を使用します。0.0.0.0のIPアドレスを 0 に、0.0.0.0の netmask 0 に省略できます。

次に、 connect キーワードを含まないコンフィギュレーションから route コマンドを削除する例を示します。

fwsm(config)# clear route

 
関連コマンド

route
show route

clear route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を削除するには、 clear route-map コマンドを使用します。

clear route-map map_tag [ permit | deny ] [ seq_num ]

 
構文の説明

map_tag

ルート マップ タグのテキスト。ルート マップで意味のある名前を定義します(最長58文字)。

permit

(任意)ルート マップの一致条件を指定します。設定された条件に基づいて制御されたルートが再配布されます。

deny

(任意)ルート マップの一致条件を指定します。ルートは再配布されません。

seq_num

(任意)ルート マップのシーケンス番号。有効値は0~65535です。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:トランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

permit キーワードが指定されていて、一致条件に適合しない場合、同じ map_tag を持つ次のルート マップがテストされます。ルートが、同じ名前のすべてのルート マップの一致条件に適合しない場合、そのルートは再配布されません。

次に、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布する条件を削除する例を示します。

fwsm(config)# clear route-map 77 permit

 
関連コマンド

route
route-map
show route

clear routing

インターフェイス固有のルーティング設定をデフォルトにリセットし、インターフェイス固有のルーティング設定を削除するには、 clear routing コマンドを使用します。

clear routing

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:トランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

このコマンドでは、定義済みのOSPFデータ構造は削除されません。

次に、インターフェイス固有のルーティング設定をデフォルトにリセットし、インターフェイス固有のルーティング設定を削除する例を示します。

fwsm(config)# clear routing

 
関連コマンド

route
route-map
show route

clear rpc-server

FWSMからRemote Processor Call(RPC)をクリアするには、 clear rpc-server コマンドを使用します。

clear rpc-server [active]

 
構文の説明

active

(任意)FWSM上で現在アクティブなRPCサービスを識別します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

rpc-server コマンドを使用すると、設定済みの router ospf サブコマンドが表示されます。


) FWSMの最上位のIPアドレスがプライベート アドレスになっている場合、このアドレスはHelloパケットおよびDatabase Definition(DBD)で送信されます。こうした動作を防ぐためには、router-id ip_addressをグローバル アドレスに設定します。


次に、FWSMからRPCサービスをクリアする例を示します。

fwsm(config)# clear rpc-server active

 
関連コマンド

rpc-server
show rpc-server

clear same-security-traffic

同じセキュリティのインターフェイス通信をディセーブルにするには、 clear same-security-traffic コマンドを使用します。

clear same-security-traffic

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、同じセキュリティのインターフェイス通信をディセーブルにする例を示します。

fwsm(config)# clear same-security-traffic

clear service

コンフィギュレーションから service コマンドを削除するには、 clear service コマンドを使用します。

clear service

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションから service コマンドを削除する例を示します。

fwsm/context(config)# clear service

 
関連コマンド

service
show service

clear shun

現在イネーブルであるすべての遮断をディセーブルにして、遮断統計情報をクリアするには、 clear shun コマンドを使用します。

clear shun [ statistics ]

 
構文の説明

statistics

(任意)インターフェイスのカウンタのみをクリアします。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:イネーブル モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次の例では、現在イネーブルであるすべての遮断をディセーブルにして、遮断統計情報をクリアします。

fwsm/context(config)# clear shun

 
関連コマンド

show shun
shun

clear snmp-server

SNMP(簡易ネットワーク管理プロトコル)サーバをディセーブルにするには、 clear snmp-server コマンドを使用します。

clear snmp-server

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、SNMPサーバをディセーブルにする例を示します。

fwsm/context(config)# clear snmp-server
 

 
関連コマンド

show snmp-server
snmp-server

clear ssh

コンフィギュレーションから ssh コマンドをすべて削除するには、 clear ssh コマンドを使用します。

clear ssh

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションから ssh コマンドをすべて削除する例を示します。

fwsm/context(config)# clear ssh
 

 
関連コマンド

show ssh
ssh

clear static

コンフィギュレーションから static コマンドをすべて削除するには、 clear static コマンドを使用します。

clear static

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

2.2(1)

このコマンドが、ローカル ホストに対するUDPの最大接続数をサポートするように変更されました。

次に、コンフィギュレーションから static コマンドをすべて削除する例を示します。

fwsm/context(config)# clear static
 

 
関連コマンド

show ssh
static

clear sysopt

コンフィギュレーションから sysopt コマンドをすべて削除するには、 clear sysopt コマンドを使用します。

clear sysopt

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションから sysopt コマンドをすべて削除する例を示します。

fwsm/context(config)# clear sysopt
 

 
関連コマンド

show sysopt
sysopt

clear tacacs-server

コンフィギュレーションから tacacs-server コマンドをすべて削除するには、 clear tacacs-server コマンドを使用します。

clear tacacs-server

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションから tacacs-server コマンドをすべて削除する例を示します。

fwsm/context(config)# clear tacacs-server
 

 
関連コマンド

aaa-server
telnet

clear telnet

コンフィギュレーションからTelnet接続およびアイドル タイムアウトを削除するには、 clear telnet コマンドを使用します。

clear telnet [ ip_address [ netmask ] [ interface_name ]]

 
構文の説明

ip_address

(任意)FWSMのTelnetコンソールにアクセスできるホストまたはネットワークのIPアドレス

netmask

(任意) ip_address のビット マスク

interface_name

(任意)セキュアでないインターフェイス名

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

アクセスをIPアドレス1つに制限するには、255.255.255.255のように各オクテットに255を使用します。 netmask を指定しない場合、 source_ip のクラスに関係なく、デフォルトの255.255.255.255になります。内部ネットワークのサブネットワーク マスクを使用しないでください。netmaskは、 ip_address のIPアドレスに対するビット マスクです。

IPSecが動作している場合は、セキュアでないインターフェイス名(通常、外部インターフェイス)を指定できます。telnetコマンドでインターフェイス名を指定するには、少なくとも、crypto mapコマンドを設定する必要があります。

インターフェイス名が指定されていない場合、アドレスは内部インターフェイス上のアドレスとみなされます。FWSMは、自動的にこのIPアドレスをip addressコマンドによって指定されているIPアドレスと照合して確認し、指定したアドレスが内部インターフェイスにあることを確認します。インターフェイス名が指定されている場合、FWSMは、指定したインターフェイスと照合してホストをチェックします。

Telnetを使用してFWSMへのアクセスが許可されるホストまたはネットワークは最大16までで、同時にコンソールにアクセスできるホストまたはネットワークは5つです。 no telnet コマンドまたは clear telnet コマンドを使用すると、それまでに設定したIPアドレスからTelnetアクセスが削除されます。telnet timeoutコマンドを使用すると、コンソールのTelnetセッションの最大アイドル時間を設定して、その時間が経過すると、FWSMがログオフするようにできます。clear telnetコマンドは、telnet timeoutコマンドで設定した継続時間に影響を与えません。no telnetコマンドは、telnet timeoutコマンドと併せて使用できません。

次に、FWSMのコンフィギュレーションからTelnet接続とアイドル タイムアウトを削除する例を示します。

fwsm/context(config)# clear telnet
 

 
関連コマンド

show telnet
telnet

clear terminal

コンソール端末回線パラメータの設定を削除するには、 clear terminal コマンドを使用します。

clear terminal

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

次に、FWSMのコンフィギュレーションからコンソール端末回線パラメータの設定を削除する例を示します。

fwsm/context(config)# clear terminal
 

 
関連コマンド

show telnet
terminal

clear tftp-server

コンフィギュレーションからTrivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)サーバのアドレスとディレクトリを削除するには、 clear tftp-server コマンドを使用します。

clear tftp-server [[ interface_name ] ip_address path ]

 
構文の説明

interface_name

(任意)TFTPサーバが存在しているインターフェイス名

ip_address

(任意)TFTPサーバのIPアドレスまたはネットワーク

path

(任意)コンフィギュレーション ファイルのパスと名前

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

指定しない場合は、内部インターフェイスとみなされます。外部インターフェイスを指定した場合、外部インターフェイスはセキュアでないことを示す警告メッセージが表示されます。パスの内容は、解釈もチェックもされずに、サーバに直接渡されます。パスの形式は、サーバ上のオペレーティング システムのタイプによって異なります。コンフィギュレーション ファイルは、TFTPサーバに存在する必要があります。多くのTFTPサーバでは、コンフィギュレーション ファイルに書き込むためには、ファイルを誰でも書き込める状態にし、コンフィギュレーション ファイルから読み取るためには、ファイルを誰でも読み取れる状態にしておく必要があります。

次に、コンフィギュレーションからTFTPサーバのアドレスとディレクトリを削除する例を示します。

fwsm/context(config)# clear tftp-server

 
関連コマンド

show tftp-server
tftp-server

clear timeout

コンフィギュレーションから最大アイドル時間を削除するには、 clear timeout コマンドを使用します。

clear timeout

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションから最大アイドル時間を削除する例を示します。

fwsm/context(config)# clear timeout

 
関連コマンド

show timeout
timeout

clear uauth

ユーザの許可キャッシュをすべて削除するには、 clear uauth コマンドを使用します。

clear uauth [ username ]

 
構文の説明

username

(任意)ユーザの認証情報をユーザ名別にクリアまたは表示します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear uauth コマンドは、1人のユーザまたはすべてのユーザのAAA許可および認証キャッシュを削除します。したがって、ユーザは、次回接続時に強制的に再認証されます。

このコマンドは、 timeout コマンドと併せて使用します。

各ユーザ ホストのIPアドレスには、許可キャッシュがアタッチされます。ユーザが適切なホストから、キャッシュされたサービスにアクセスしようとすると、FWSMはユーザを許可済みであると見なし、すぐに接続を代行処理します。あるWebサイトへのアクセスを一度許可されると、イメージを読み込むたびに許可サーバと通信することはありません(イメージが同じIPアドレスからであるとみなす)。これにより、許可サーバ上でパフォーマンスが大幅に向上し、負荷も大幅に軽減されます。

ユーザ ホストごとにアドレスとサービスのペアを最大16個までキャッシュできます。

show uauth コマンドの出力では、認証および許可の目的で許可サーバに提供されたユーザ名、およびユーザ名がバインドされているIPアドレスが表示されます。また、ユーザが認証されただけであるか、キャッシュされたサービスを持っているかが表示されます。


) 通常、Xauthがイネーブルである場合、クライアントに割り当てられているIPアドレスのエントリがuauthテーブルに追加されます(clear uauthコマンドを参照)。ただし、ネットワーク拡張モードでEasy VPN Remote機能とともにXauthを使用する場合、ネットワーク間にIPSecトンネルが作成されるため、ファイアウォールの背後のユーザをIPアドレスに関連付けることができません。したがって、Xauthの完了時にuauthエントリが作成されません。AAA許可またはアカウンティング サービスが必要な場合は、AAA認証プロキシをイネーブルにして、ファイアウォールの背後のユーザを認証できます。AAA認証プロキシの詳細は、aaaコマンドを参照してください。


ユーザの接続がアイドルになった後にキャッシュを保持する期間を指定するには、 timeout uauth コマンドを使用します。すべてのユーザのすべての許可キャッシュを削除するには、 clear uauth コマンドを使用します。次回接続を作成するときには再認証される必要が生じます。

次に、ユーザ「Pat」に再認証が必要となる例を示します。

fwsm(config)# clear uauth pat

 
関連コマンド

aaa authorization
clear uauth
timeout

clear url-block

保留されているURLブロック バッファと長いURLサポート使用カウンタをクリアするには、 clear url-block コマンドを使用します。

clear url-block

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

「Current number of packets held (global)」カウンタはクリアされません。

次に、保留されているURLブロック バッファと長いURLサポート使用カウンタをクリアする例を示します。

fwsm/context(config)# clear url-block
 

 
関連コマンド

show url-block
url-block

clear url-cache

URLキャッシュをディセーブルにするには、 clear url-cache コマンドを使用します。

clear url-cache

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、URLキャッシュをディセーブルにする例を示します。

fwsm/context(config)# clear url-cache
 

 
関連コマンド

show url-cache stat
url-cache

clear url-server

コンフィギュレーションからURLフィルタ サーバを削除するには、 clear url-server コマンドを使用します。

clear url-server

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションからURLフィルタ サーバを削除する例を示します。

fwsm(config)# clear url-server
 

 
関連コマンド

show url-server
url-server

clear username

ユーザ認証ローカル データベースからユーザ名を削除するには、 clear username コマンドを使用します。

clear username

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、ユーザ認証ローカル データベースからユーザ名を削除する例を示します。

fwsm(config)# clear username
 

 
関連コマンド

show username
username

clear virtual

コンフィギュレーションから認証仮想サーバを削除するには、 clear virtual コマンドを使用します。

clear virtual

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次に、コンフィギュレーションから認証仮想サーバを削除する例を示します。

fwsm/context(config)# clear virtual
 

 
関連コマンド

show virtual
virtual

clear vpngroup

フラッシュ メモリに保存されているEasy VPN Remote設定とセキュリティ ポリシーをクリアするには、 clear vpngroup コマンドを使用します。

clear vpngroup

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

次の例では、フラッシュ メモリに保存されているEasy VPN Remote設定とセキュリティ ポリシーをクリアします。

fwsm/context(config)# clear vpngroup
 

 
関連コマンド

show vpngroup
vpngroup

clear xlate

現在の変換および接続スロット情報をクリアするには、 clear xlate コマンドを使用します。

clear xlate [ global | local ip1 [ - ip2 ] [ netmask mask ]] { gport | lport port1 [ - port2 ]]
[
interface if1 [ , if2 ]] [ state static [ ,portmap ] [ ,norandomseq ] [ ,identity ]] [ debug ] [ count ]

 
構文の説明

global | local ip1 - ip2
netmask mask

(任意)ネットワーク マスクを使用してIPアドレスを限定し、グローバルIPアドレスまたはローカルIPアドレス別にアクティブな変換を表示します。

interface if1 , if2 , ifn

(任意)アクティブな変換をインターフェイス別にクリアします。

gport | lport port - port2

(任意)アクティブな変換をローカルおよびグローバルのポート指定別に表示します。有効なポート リテラル名のリストは、 Appendix B, “ポートとプロトコルの値,” 「ポート値の指定」の項を参照してください。

interface

(任意)アクティブな変換をインターフェイス別に表示します。

if1 , if2

(任意)インターフェイスを指定します。

state static

(任意)アクティブな変換を状態別にクリアします。有効値は、スタティック変換(static)、dump(クリーンアップ)、PAT global(portmap)、norandomseq設定でのnatまたはstatic変換(norandomseq)、nat 0の使用、またはID機能(identity)です。

,portmap

(任意)ポート マップを指定します。

norandomseq

(任意)非ランダム シーケンスを指定します。

,identity

(任意)IDを指定します。

debug

(任意)デバッグを指定します。

count

(任意)カウントを指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

clear xlate コマンドは、変換スロットの内容をクリアします(「xlate」は変換スロットの意味)。コンフィギュレーション内で aaa-server access-list 、alias、global、nat、route、またはstaticコマンドを追加、変更、または削除した後には、必ずclear xlateコマンドを使用します。

次に、現在の変換および接続スロット情報をクリアする例を示します。

fwsm/context(config)# clear xlate global

 
関連コマンド

show conn
clear uauth
show xlate
timeout

compatible rfc1583

サマリー ルート コスト計算で使用する方式をRFC 1583に戻すには、compatible rfc1583サブコマンドを使用します。RFC 1583の互換性をディセーブルにするには、このコマンドの no 形式を使用します。

[no] compatible rfc1583

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルト設定は、次のとおりです。

FWSMで、OSPFルーティングはディセーブルです。

FWSMを介したOSPFルーティングはRFC 1583と互換性があります。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モード

アクセス場所:コンテキスト コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

Open Shortest Path First(OSPF)プロトコルは、Routing Information Protocol(RIP)の代わりに使用されます。OSPFとRIPの両方を同時に使用するようにFWSMを設定しないでください。

compatible rfc1583 コマンドは router ospf コマンドのサブコマンドです。 router ospf コマンドは、FWSM上で稼働しているOSPFルーティング プロセスのグローバル コンフィギュレーション コマンドです。compatible rfc1583 コマンド は、OSPFコンフィギュレーション コマンドすべてのメイン コマンドです。

show ip ospf コマンドを使用すると、設定済みの router ospf サブコマンドが表示されます。

compatible rfc1583サブコマンドは、 no compatible rfc1583サブコマンドによってディセーブルになった場合だけコンフィギュレーションに表示され、そのときの内容は「no compatible rfc1583」となります。

次の例では、サマリー ルート コスト計算で使用する方式をRFC 1583に戻します。

fwsm#/context_name(config)# compatible rfc1583
 

 
関連コマンド

router ospf
show ip ospf

configure

端末、フラッシュ メモリ、またはネットワークから設定を行うには、 configure コマンドを使用します。コンフィギュレーションを削除するには、 clear configure コマンドを使用します。

configure [terminal | memory]

configure net [[ tftp_ip ] : [ filename ]]

 
構文の説明

terminal

(任意)端末から設定を行えるようにします。

memory

(任意)メモリを設定します。

net

コンフィギュレーションをTFTPサーバ上の指定パスからロードします。

tftp_ip

(任意)新しいコンフィギュレーションにマージするサーバのIPアドレスと名前

filename

TFTPサーバ server_ip 上にあるコンフィギュレーション ファイルの位置を限定するために指定するファイル名

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

設定は、端末、フラッシュ メモリ、またはネットワークから行うことができます。新しいコンフィギュレーションは、アクティブなコンフィギュレーションにマージされます。

configuration コマンドを使用するには、イネーブル モードにする必要があります。 configure
terminal
config t )コマンドは例外で、イネーブル モードからコンフィギュレーション モードを開始できます。設定モードはquitコマンドで終了できます。設定モードを終了したら、 write memory コマンドを使用して変更内容をフラッシュ メモリに保存するか、 write floppy を使用してコンフィギュレーションをディスクに保存します。

フラッシュ メモリ( configure memory を使用)およびTFTP転送(configure netを使用)から取得する各コマンドは、次の規則に従って読み込まれて評価されます。

フラッシュ メモリまたはディスク内のコマンドに、現在のコンフィギュレーションの既存コマンドとまったく同じものがある場合、そのコマンドは無視されます。

フラッシュ メモリまたはディスク内のコマンドが、既存コマンドの追加インスタンスである場合、現在のコンフィギュレーションにそれらのコマンドが両方とも反映されます。

コマンドが既存コマンドを再定義している場合は、ディスクまたはフラッシュ メモリ内のコマンドによって、RAMにある現在のコンフィギュレーションのコマンドが上書きされます。たとえば、現在のコンフィギュレーションに hostname ram コマンドがあって、ディスクに hostname floppy コマンドがある場合、コンフィギュレーションのコマンドは hostname floppy になり、ディスクからこのコマンドが読み込まれると、新しいホスト名を反映するようにコマンドライン プロンプトが変更されます。

tftp-server コマンドで filename を指定する場合は、configureコマンド内で指定せずに、コロン( : )だけを使用します。

configure net コマンドに関する注意事項は、次のとおりです。

configure net コマンドを使用すると、現在の実行コンフィギュレーションに、指定されたIPアドレスおよびファイル名で保存されているTFTPコンフィギュレーションをマージできます。IPアドレスとパス名の両方を tftp-server コマンドで指定する場合は、 server_ip : filename をコロン( : )で指定できます。たとえば、 configure net : と指定できます。

コンフィギュレーションをファイルに保存するには、 write net コマンドを使用します。

TFTPサーバにすでにFWSMコンフィギュレーションがある場合、サイズの小さいコンフィギュレーションを同じファイル名でTFTPサーバに保存すると、一部のTFTPサーバでは、元のコンフィギュレーションの一部が最初の「:end」マークの後に残されることがあります。 configure net コマンドは最初の「:end」マークに到達した時点で読み込みを停止するため、残された部分がFWSMに影響を及ぼすことはありません。Cisco TFTP Serverバージョン1.1(Windows NT版)を使用すると、この現象は発生しません。


) 多くのTFTPサーバでは、コンフィギュレーション ファイルを誰でもアクセスして読み取れる状態にしておく必要があります。


configure memory コマンドを使用すると、フラッシュ メモリ内のコンフィギュレーションをRAM内の現在のコンフィギュレーションにマージできます。

次の例は、TFTPで取得したコンフィギュレーションを使用してFWSMを設定する方法を示しています。

fwsm/context(config)# configure net 10.1.1.1:/tftp/config/fwsmconfig
 

FWSMのコンフィギュレーション ファイルは、TFTPサーバ10.1.1.1のtftp/configフォルダに保存されています。

次の例は、フラッシュ メモリに保存されているコンフィギュレーションを使用してFWSMを設定する方法を示しています。

fwsm/context(config)# configure memory
 

enable コマンドを使用してイネーブル モードに切り替え、 configure terminal コマンドを使用してコンフィギュレーション モードに切り替えます。 write terminal コマンドで現在のコンフィギュレーションを表示し、 write memory コマンドを使用してコンフィギュレーションをフラッシュ メモリに保存します。

fwsm> enable
password:
fwsm# configure terminal
fwsm(config)# write terminal
: Saved
[... current configuration ...]
: End
fwsm(config)# write memory
 

FWSM以外のプラットフォームで configure factory-default コマンドを入力すると、FWSMは「not supported」というエラー メッセージを表示します。FWSMでは次のメッセージが表示されます。

fwsm(config)# configure factory default
'config factory-default' is not supported on FWSM

 
関連コマンド

show configure

config-url(コンテキスト サブモード)

FWSMがコンテキスト ファイルをダウンロードするURLを設定するには、 config-url コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

[no] config-url url

 
構文の説明

url

FWSMがコンテキスト ファイル(テキスト形式)をダウンロードするURL

 
デフォルト

デフォルトの number は0です。この場合、コンソールはタイムアウトしません。

 
コマンド モード

セキュリティ コンテキスト モード:マルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

config-url コマンドを使用する前に、 allocate-interface(コンテキスト サブモード) コマンドを入力します。FWSMでは、コンテキストのコンフィギュレーションを読み込む前にVLANインターフェイスをコンテキストに割り当てる必要があります。コンテキストのコンフィギュレーションには、インターフェイスに関するコマンド( nameif nat global など)が含まれる場合があります。最初に config-url コマンドを入力すると、FWSMはコンテキストのコンフィギュレーションをただちに読み込みます。コンテキストにインターフェイスに関連するコマンドが含まれている場合、これらのコマンドは機能しません。

コンテキストのURLを追加すると、FWSMはただちにコンテキストをロードして、実行します。URLの構文は、次のとおりです。

disk://[<path>/]<filename>
ftp://<server>/[<path>/]<filename>
tftp://<server>/[<path>/]<filename>
http://<server>/[<path>/]<filename>
https://<server>/[<path>/]<filename>
 

コンテキストは、TFTPまたはFTPサーバ、HTTPまたはHTTPSサーバ、あるいはローカル ディスク( ディスク という)からダウンロードできます。ディスクは、操作可能なファイル システム(および関連コマンド)を使用するフラッシュ メモリの64 MBパーティションです。このディスク パーティションは、コンテキストの保存にのみ使用されます。スタートアップ コンフィギュレーション(マルチプル セキュリティ コンテキスト モードではシステム コンフィギュレーション)およびソフトウェア イメージは、フラッシュ メモリ内にあります。フラッシュ メモリ(フラッシュという)は、FWSMのフラッシュ ファイル システムを使用します。

URLは、管理者コンテキストからアクセスできる必要があります。また、管理者コンテキスト ファイルはディスク上に保管されている必要があります。

ファイル名にファイルの拡張子を使用することは必須ではありませんが、「.cfg」を使用してください。

サーバが使用できないために、FWSMがコンテキストのコンフィギュレーション ファイルを取得できない場合、またはファイルが存在しない場合には、FWSMは空のコンテキストを作成します。空のコンテキストは、CLI(コマンドライン インターフェイス)を使用してすぐに設定できます。

コンテキストのURLを変更するには、新しいURLを使用して config-url コマンドを再入力します。ただし、新しいコンフィギュレーションは既存のコンフィギュレーションを上書きしません。FWSMは2つのコンフィギュレーションをマージします。マージすると、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドが追加されます。コンフィギュレーションが同じである場合、変更は行われません。実行コンフィギュレーションが空の場合(たとえば、サーバが使用できなかった場合やコンフィギュレーションがダウンロードされなかった場合)には、新しいコンフィギュレーションが使用されます。

次に、コンソールのタイムアウトを15分に設定する例を示します。

fwsm(config)# context cisco
fwsm/context(config)# allocate-interface vlan100 int0
fwsm/context(config)# allocate-interface vlan101 int1
fwsm/context(config)# member gold
fwsm/context(config)# config-url tftp://10.1.1.1/contexts/cisco.cfg
fwsm/context(config)# exit
fwsm(config)#

context

コンテキストを作成して、コンテキスト サブモードを開始するには、 context コマンドを使用します。実行コンフィギュレーションからコンテキストを削除して、システム コンフィギュレーションからコンテキストのエントリを削除するには、 clear context コマンドを使用します。コンテキストを1つ削除するには、このコマンドの no 形式を使用します。

[ no ] context name

 
構文の説明

name

コンテキストの名前(最長31文字)

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:マルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:コンフィギュレーション モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

FWSMでは、100のコンテキストをサポートしています。

admin-context コマンドを使用して最初のコンテキストを作成するまで、どのコンテキスト コマンドも使用できません。 context コマンドを使用して、現在の管理者コンテキストを削除することはできません。詳細については、 admin-context コマンドの項を参照してください。管理者コンテキストの名前は16文字までに制限されています。この名前は、URLで指定されているファイル名と一致する必要はありません。

コンテキスト サブモードを開始すると、次のコマンドが使用できるようになります。

allocate-interface ― コンテキストに割り当てるインターフェイスを指定します。

member コンテキストのクラス メンバーシップを指定します。

config-url コンテキスト コンフィギュレーションのURLを指定します。

description コンテキストの説明を記述します。

次に、コンテキストを作成する例を示します。

fwsm(config)# context admincontext
fwsm(config_context)# allocate-interface vlan100 int0
fwsm(config_context)# allocate-interface vlan101 int1
fwsm(config_context)# member gold
fwsm(config_context)# config-url disk:/admin.cfg
fwsm(config_context)# exit
 

copy capture

TFTPサーバにキャッシュ ファイルをコピーするには、 copy capture コマンドを使用します。

copy capture: capture_name tftp://server/ pathname [pcap]

 
構文の説明

capture_name

キャプチャを識別するための一意の名前

tftp://server

TFTPサーバを指定します。

pathname

サーバ上のファイルへのパスの最終コンポーネントを示すパス名

pcap

(任意)設定済みTFTPサーバのデフォルトを指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

FWSMは、ルーティング テーブル情報を使用して tftp_pathname 引数で指定した場所に到達する方法を把握する必要があります。この情報は、コンフィギュレーションに応じて ip address コマンド、 route コマンド、またはRIPによって決定されます。 tftp_pathname には、サーバ上のファイルへのパスの最終コンポーネントのほか、任意のディレクトリ名を指定できます。

pathname には、サーバ上のファイルへのパスの最終コンポーネントのほか、任意のディレクトリ名を指定できます。パス名にスペースを入れることはできません。ディレクトリ名にスペースが含まれている場合は、 copy tftp flash コマンドでディレクトリを指定するのではなく、TFTPサーバにディレクトリを設定してください。


) この機能を使用して、バージョン2.2より前のイメージを取得することはできません。


次の例は、フルパスを指定せずに copy capture コマンドを入力した場合に表示されるプロンプトを示しています。

fwsm/context(config)# copy capture:abc tftp
Address or name of remote host [171.68.11.129]?
Source file name [username/cdisk]?
copying capture to tftp://171.68.11.129/username/cdisk:
[yes|no|again]? y
!!!!!!!!!!!!!
 

フルパスは、次のように指定できます。

fwsm/context(config)# copy capture:abc tftp:171.68.11.129/tftpboot/abc.cap pcap
 

TFTPサーバが設定されている場合は、次のようにファイルの位置や名前を省略できます。

fwsm/context(config)# tftp-server outside 171.68.11.129 tftp/cdisk
fwsm/context(config)# copy capture:abc tftp:/tftp/abc.cap
 

次の例は、事前に設定したTFTPサーバのデフォルト値を copy capture コマンドで使用する方法を示しています。

fwsm/context(config)# copy capture:abc tftp:pcap
 

copy disk

TFTPサーバのディスク パーティションから、ディスク パーティションの別の場所、フラッシュ メモリ、スタートアップ コンフィギュレーション、または実行コンフィギュレーションにファイルをコピーするには、 copy disk コマンドを使用します。

copy [ /noconfirm ] disk: [ path ] tftp [ : [[//server][/ pathname ]]]

copy [ /noconfirm ] disk:[ path ] disk:[ path ]

copy [ /noconfirm ] disk:[ path ] [flash:[image | pdm]

copy [ /noconfirm ] disk:[ path ] [startup-config | running-config]

copy [ /noconfirm ] disk:[ path ] ftp: //[user[ : password]@] server [ pathname ] [ ;type= xx ]

 
構文の説明

/noconfirm

(任意)確認プロンプトを表示しないように指定します。

path

(任意)ファイルの場所までのパス

tftp

TFTPサーバを指定します。

server

(任意) name コマンドで設定されるサーバのIPアドレスと名前

pathname

(任意)コピー先のディレクトリ パスとファイル名

disk:

コピーするディスク パーティションを指定します。

flash

(任意)コピー先がフラッシュ メモリであることを指定します。

image

(任意)イメージをコピーすることを指定します。

pdm

(任意)FDMファイルをデフォルトのフラッシュ メモリにコピーすることを指定します。

startup-config

(任意)ファイルをスタートアップ コンフィギュレーションにコピーすることを指定します。

running-config

(任意)ファイルを実行コンフィギュレーションにコピーすることを指定します。

ftp

FTPトランザクションを指定します。

user

(任意)FTPで使用するユーザ名

: password

(任意)FTPサーバにログインするパスワード

@

(任意)サーバ アドレスとログイン情報を区切ります。

;type= xx

(任意)転送タイプを指定します。xxは ap ah ip (デフォルト)、または in です。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

FWSM上のフラッシュにイメージをコピーした場合、再起動するまでこのイメージは使用できません。ダウンロードされたPDMイメージ ファイルは、再起動しなくてもFWSMですぐに使用できます。ファイルを起動パーティションにコピーする場合、再起動するか、または copy start run コマンドを使用する必要があります。 : (コロン)を使用せずにTFTPを指定すると、プロンプトが表示されます。

次に、ディスクからTFTPサーバにファイルをコピーする例を示します。

fwsm/context(config)# copy disk:my_context/my_context.cfg tftp://10.7.0.80/my_context/my_context.cfg
 

次に、ディス上のある場所から別の場所にファイルをコピーする例を示します。コピー先のファイル名は、コピー元のファイル名でも、別のファイル名でも構いません。

fwsm/context(config)# copy disk:my_context.cfg disk:my_context/my_context.cfg
 

次に、ディスクからフラッシュ メモリにイメージまたはFDMファイルをコピーする例を示します。

fwsm/context(config)# copy disk:cdisk flash:image
fwsm/context(config)# copy disk:pdm flash:pdm
 

次に、ディスクからスタートアップ コンフィギュレーションまたは実行コンフィギュレーションにファイルをコピーする例を示します。

fwsm/context(config)# copy disk:my_context/my_context.cfg startup-config
fwsm/context(config)# copy disk:my_context/my_context.cfg running-config
 

copy flash

TFTPサーバのフラッシュ メモリから、ディスク パーティション、スタートアップ コンフィギュレーション、または実行コンフィギュレーションにファイルをコピーするには、 copy flash コマンドを使用します。

copy flash[: [image | pdm]] tftp [ : [[//server][/ pathname ]]]

copy [/noconfirm] flash:[image | pdm]] disk:[ path ]

 
構文の説明

image

(任意)イメージをコピーすることを指定します。

pdm

(任意)FDMファイルをコピーすることを指定します。

tftp

TFTPサーバを指定します。

server

(任意) name コマンドで設定したIPアドレスと名前

pathname

(任意)ディレクトリ パスとファイル名を指定します。

/noconfirm

(任意)確認プロンプトを表示しないように指定します。

disk:

コピー先がディスク パーティションであることを指定します。

path

(任意)ファイルの場所までのパス

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

: (コロン)を使用せずにTFTPを指定すると、プロンプトが表示されます。

次に、フラッシュ メモリからTFTPサーバにイメージまたはFDMファイルをコピーする例を示します。

fwsm/context(config)# copy flash:image tftp://10.7.0.80/image
fwsm/context(config)# copy flash:pdm tftp://10.7.0.80/FWSM/pdm
 

次に、フラッシュ メモリからディスクにイメージまたはFDMファイルをコピーする例を示します。

fwsm/context(config)# copy flash:image disk:cdisk
fwsm/context(config)# copy flash:pdm disk:pdm

copy ftp

TFTPサーバのフラッシュ メモリから、ディスク パーティション、スタートアップ コンフィギュレーション、または実行コンフィギュレーションにファイルをコピーするには、 copy flash コマンドを使用します。

copy ftp:// [ user [ : password ]@] location / pathname [ ;type =< xx >] [ startup-config running-config ]

copy [/noconfirm] ftp:// [ user [ : password ]@] location / pathname [ ;type =< xx >] [ startup-config running-config ]

 
構文の説明

user

(任意)HTTPサーバにログインするユーザ名

password@

(任意)HTTPサーバにログインするパスワード

location / pathname

name コマンドで設定したIPアドレスと名前

;type= xx

(任意)転送タイプを指定します。xxは ap ah ip (デフォルト)、または in です。

/noconfirm

(任意)確認プロンプトを表示しないように指定します。

startup-config

(任意)スタートアップ コンフィギュレーションを指定します。

running-config

(任意)実行コンフィギュレーションを指定します。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

: (コロン)を使用せずにFTPを指定すると、プロンプトが表示されます。

次に、ディスクからスタートアップ コンフィギュレーションまたは実行コンフィギュレーションにファイルをコピーする例を示します。

fwsm/context(config)# copy ftp:my_context/my_context.cfg startup-config
fwsm/context(config)# copy ftp:my_context/my_context.cfg running-config
 

copy http(s)

HTTPSサーバからファイルをコピーするには、 copy http [ s ] コマンドを使用します。

copy http [ s ] :// [ user : password@ ] server [ : port ]/ pathname flash: [ image | pdm ]

copy [/noconfirm] http[s] : //[ user : password @] location [ :port ]/ pathname disk: [pathname]

copy http[s]://[user : password @] server [ : port ]/ pathname {startup-config | running-config}

 
構文の説明

user

(任意)HTTPSサーバにログインするユーザ名

password@

(任意)HTTPSサーバにログインするパスワード

server

サーバ名

location

(任意) name コマンドで設定したIPアドレスと名前

port

(任意)HTTPサーバと通信するポートを指定します。

pathname

(任意)コピーするFWSMソフトウェア イメージまたはFDMファイルを含むリソースの名前

flash

フラッシュ メモリ内のダウンロード場所を指定します。

image

(任意)選択したFWSMイメージをフラッシュ メモリにダウンロードします。

pdm

(任意)選択したPDMイメージをフラッシュ メモリにダウンロードします。

/noconfirm

(任意)確認プロンプトを表示しないように指定します。

disk

ディスクに対するダウンロード場所を指定します。

startup-config

(任意)スタートアップ コンフィギュレーションを指定します。

running-config

(任意)実行コンフィギュレーションを指定します。

 
デフォルト

デフォルトの port は、HTTPの場合は80、HTTPSの場合は443です。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システム コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

2.2(1)

このコマンドのサポートが変更され、FWSM上のディスク、スタートアップ コンフィギュレーション、および実行コンフィギュレーションが追加されました。

 
使用上の注意事項

: (コロン)を使用せずにTFTPを指定すると、プロンプトが表示されます。

次の例は、FWSMソフトウェア イメージをパブリックHTTPサーバからコピーして、FWSMのフラッシュ メモリに格納する方法を示しています。

fwsm/context(config)# copy http://171.68.11.129/auto/cdisk flash:image
 

次の例は、HTTPS(SSLを利用するHTTP)を使用してFDMソフトウェア イメージをコピーする方法を示しています。SSL認証用に、ユーザ名「alice」とパスワード「xyz」を指定しています。

fwsm/context(config)# copy https://alice:xyz@171.68.11.129/auto/pdm.bin flash:pdm
 

次の例は、標準以外のポートを使用するHTTPSサーバからFWSMソフトウェア イメージをダウンロードする方法を示しています。デフォルトでは、ファイルは標準のポートを使用してフラッシュ メモリのソフトウェア イメージ領域にコピーされます。

fwsm/context(config)# copy https://alice:zyx@171.68.11.129:8080/auto/cdisk flash
 

) URLに「?」の文字を入力する場合、最初にCtrl-vを押します。


copy running-config/copy startup-config

実行コンフィギュレーションまたはスタートアップ コンフィギュレーションをTFTPサーバまたはFTPサーバからディスク パーティションへコピーするには、 copy running-config または copy startup-config コマンドを使用します。

copy running-config startup-config

copy startup-config running-config

copy [ startup-config | running-config ] tftp [ : [[ // location ][ / pathname ]]]

copy [ /noconfirm ] [ startup-config | running-config] disk: [ path ]

copy [ startup-config | running-config] ftp: // [ user [ : password ] @ ] location / pathname [ ;type=<xx> ]

 
構文の説明

running-config

(任意)ファイルを実行コンフィギュレーションにコピーすることを指定します。

startup-config

(任意)ファイルをスタートアップ コンフィギュレーションにコピーすることを指定します。

tftp

TFTPを使用してコピーすることを指定します。

/ location

(任意)サーバのIPアドレスを指定します。

/ pathname

(任意)ファイルをコピーするディレクトリを指定します。

/noconfirm

(任意)確認プロンプトを表示しないように指定します。

disk:

コピー先がディスク パーティションであることを指定します。

path

(任意)ファイルの場所までのパス

ftp

FTPを使用してコピーすることを指定します。

user

(任意)ユーザを指定します。

password

(任意)ユーザ パスワードを指定します。

;type= xx

(任意)転送タイプを指定します。xxは ap ah ip (デフォルト)、または in です。

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

セキュリティ コンテキスト モード:シングル コンテキスト モードおよびマルチ コンテキスト モード

アクセス場所:システムおよびコンテキスト コマンド ライン

コマンド モード:イネーブル モード

ファイアウォール モード:ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートがFWSMに追加されました。

 
使用上の注意事項

: (コロン)を使用せずにTFTPを指定すると、プロンプトが表示されます。

次に、実行コンフィギュレーションをスタートアップ コンフィギュレーション ファイルにコピーする例を示します。

fwsm(config)# copy running-config startup-config
 

次に、実行コンフィギュレーション ファイルをTFTPサーバにコピーする例を示します。

fwsm(config)# copy running-config tftp://10.7.0.80/FWSM/my_context/my_context.cfg