Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コマンド リファレンス 3.1(1)
backup-servers ~ bridge-group コマンド
backup-servers ~ bridge-group コマンド
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 14MB) | フィードバック

目次

backup-servers ~

backup-servers

banner

banner (group-policy)

blocks

bridge-group

backup-servers ~
bridge-group コマンド

backup-servers

バックアップ サーバを設定するには、グループ ポリシー コンフィギュレーション モードで backup-servers コマンドを使用します。バックアップ サーバを削除するには、このコマンドの no 形式を使用します。実行コンフィギュレーションからバックアップ サーバの属性を削除するには、引数を指定せずにこのコマンドの no 形式を使用します。これにより、別のグループ ポリシーからバックアップ サーバの値が継承されるようになります。

プライマリ FWSM を利用できない場合、IPSec バックアップ サーバを利用することにより、VPN クライアントは中央サイトに接続できます。バックアップ サーバを設定すると、IPSec トンネルが確立されたときに、FWSM がクライアントにサーバ リストをプッシュします。

backup-servers { server1 server2 .. . . server10 | clear-client-config | keep-client-config}

no backup-servers [ server1 server2 .. . . server10 | clear-client-config | keep-client-config ]

 
シンタックスの説明

clear-client-config

クライアントがバックアップ サーバを使用しないように指定します。FWSM は、ヌル サーバ リストをプッシュします。

keep-client-config

FWSM がクライアントにバックアップ サーバ情報を送信しないように指定します。独自のバックアップ サーバ リストを設定している場合、クライアントはそのリストを使用します。

server1 server 2.... server10

プライマリ FWSM を利用できない場合、VPN クライアントが使用するスペースで区切られたプライオリティ順のサーバ リストを提供します。IP アドレスまたはホスト名でサーバを指定します。リストの最大長は 500 文字ですが、含めることができるエントリ数は 10 個だけです。

 
デフォルト

バックアップ サーバは、ユーザがクライアントまたはプライマリ FWSM のいずれかに設定するまで存在しません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

クライアントまたはプライマリ FWSM のいずれかにバックアップ サーバを設定します。FWSM にバックアップ サーバを設定した場合、FWSM はグループ内のクライアントにバックアップ サーバ ポリシーをプッシュし、クライアントのバックアップ サーバ リストがすでに設定されている場合は、それを置き換えます。


) ホスト名を使用している場合、プライマリ DNS と WINS サーバとは別のネットワークにバックアップ DNS と WINS サーバを置くことが賢明です。そうしないと、ハードウェア クライアントの背後にあるクライアントが DHCP 経由でハードウェア クライアントから DNS と WINS 情報を取得した場合に、プライマリ サーバに対する接続が失敗して、バックアップ サーバの DNS と WINS 情報が別の情報になると、DHCP リース期限が切れるまで、クライアントが更新されません。さらに、ホスト名を使用している場合に、DNS サーバを利用できないと、大幅な遅延が生じることがあります。


次に、[FirstGroup] という名前のグループ ポリシーに対して、10.10.10.1 と 192.168.10.14 の IP アドレスを使用するバックアップ サーバを設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# backup-servers 10.10.10.1 192.168.10.14
 

banner

セッション バナー、ログイン バナー、または MoTD(Message-of-The-Day)バナーを設定するには、グローバル コンフィギュレーション モードで banner コマンドを使用します。 no banner コマンドは、指定したバナー キーワードのすべての行を削除します( exec login 、または motd )。

banner {exec | login | motd text }

[no] banner {exec | login | motd [ text ]}

 
シンタックスの説明

exec

イネーブル プロンプトを表示する前に、バナーを表示するようにシステムを設定します。

login

ユーザが Telnet を使用して FWSM にアクセスしたときに、パスワード ログイン プロンプトを表示する前にバナーを表示するようにシステムを設定します。

motd

MoTD バナーを表示するようにシステムを設定します。

text

表示するメッセージ テキストの行

 
デフォルト

デフォルトでは、ログイン バナー、セッション バナー、および MoTD バナーは表示されません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

banner コマンドは、キーワードで指定したバナーを表示するように設定します。 text 文字列は、最初の空白文字(スペース)のあとに続く、行末(CR [復帰] または LF [改行])までのすべての文字で構成されます。テキスト内にあるスペースはそのまま表示されます。ただし、CLI ではタブは入力できません。

先にバナーを消去しないかぎり、後続の text エントリは既存バナーの末尾に追加されます。


) $(domain) および $(hostname) のトークンを使用すると、それぞれ FWSM のドメイン名とホスト名に置き換えられます。コンテキストの設定で $(system) トークンを使用すると、コンテキストはシステム コンフィギュレーションで設定されたバナーを使用します。


バナーを複数行にするには、追加する 1 行ごとに banner コマンドを新しく入力します。入力した行は、既存バナーの末尾に付加されていきます。RAM およびフラッシュ メモリの容量による限界を除いて、バナーの長さに制限はありません。

Telnet または SSH で FWSM にアクセスする場合、バナー メッセージの処理に必要なシステム メモリが十分にないときや、TCP 書き込みエラーが発生したときは、セッションが閉じます。SSH での FWSM に対するアクセスは、exec および motd バナーのみでサポートされています。login バナーは、SSH をサポートしていません。

バナーを置き換えるには、no banner コマンドを使用してから、新しい行を追加します。

キーワードで指定したバナーに含まれている行をすべて削除するには、no banner {exec | login | motd} コマンドを使用します。

no banner コマンドでは、テキスト文字列の一部だけを削除できません。このため、no banner コマンドの末尾に入力した text はすべて無視されます。

次に、 exec login 、および motd の各バナーを設定する例を示します。

hostname(config)# banner motd Think on These Things
hostname(config)# banner exec Enter your password carefully
hostname(config)# banner login Enter your password to log in
hostname(config)# show running-config banner
exec:
Enter your password carefully
 
login:
Enter your password to log in
 
motd:
 

次に、 motd バナーに 2 行めを追加する例を示します。

hostname(config)# banner motd and Enjoy Today
hostname(config)# show running-config banner motd
 

 
関連コマンド

コマンド
説明

clear configure banner

すべてのバナーを削除します。

show running-config banner

すべてのバナーを表示します。

banner (group-policy)

リモート クライアントが接続されるときに、リモート クライアントにバナーまたは初期メッセージ テキストを表示するには、グループ ポリシー コンフィギュレーション モードで banner コマンドを使用します。バナーを削除するには、このコマンドの no 形式を使用します。このオプションによって、別のグループ ポリシーからバナーを継承できるようになります。バナーを継承できないようにするには、 banner none コマンドを使用します。

banner { value banner_string | none}

no banner


) VPN グループ ポリシーで複数のバナーを設定し、いずれかのバナーを削除すると、すべてのバナーが削除されます。


 
シンタックスの説明

none

バナーが使用されないように、バナーにヌル値を設定します。デフォルトまたは指定したグループ ポリシーからバナーを継承できないようにします。

value banner_string

バナー テキストを構成します。文字列の最大サイズは、500 文字です。[\n] シーケンスを使用して、CR(復帰)を挿入します。

 
デフォルト

デフォルトのバナーはありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、[FirstGroup] という名前のグループ ポリシーにバナーを作成する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# banner value Welcome to Cisco Systems 7.0.

blocks

show blocks コマンドで表示される診断をブロックするための追加のメモリを割り当てるには、特権 EXEC モードで blocks コマンドを使用します。値をデフォルトに戻すには、このコマンドの no 形式を使用します。割り当てられるメモリ量は、最大 150 KB になりますが、空きメモリ量は 50% 以上になりません。状況に応じて、手動でメモリ サイズを指定できます。

blocks queue history enable [ memory_size ]

no blocks queue history enable [ memory_size ]

 
シンタックスの説明

memory_size

(任意)ダイナミック値を適用するのではなく、ブロック診断用にバイト単位でメモリ サイズを設定します。空きメモリよりこの値が大きいと、エラー メッセージが表示され、値が受け入れられません。この値が空きメモリの 50% を超えると、警告メッセージが表示されますが、値は受け入れられます。

 
デフォルト

ブロック診断をトラッキングするために割り当てられたデフォルト メモリは、2136 バイトです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更

7.0(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

現在割り当てられているメモリを表示するには、 show blocks queue history コマンドを入力します。

FWSM をリロードすると、メモリ割り当てがデフォルトに戻ります。

次に、ブロック診断用にメモリ サイズを拡張する例を示します。

hostname# blocks queue history enable
 

次に、メモリ サイズを 3000 バイトに拡張する例を示します。

hostname# blocks queue history enable 3000
 

次の例では、メモリ サイズを 3000 バイトに拡張しようとしていますが、値が空きメモリを超えています。

hostname# blocks queue history enable 3000
ERROR: memory size exceeds current free memory
 

次の例では、メモリ サイズを 3000 バイトに拡張していますが、値が空きメモリの 50% を超えています。

hostname# blocks queue history enable 3000
WARNING: memory size exceeds 50% of current free memory

 
関連コマンド

コマンド
説明

clear blocks

システム バッファ統計情報を消去します。

show blocks

システム バッファの利用率を表示します。

 

bridge-group

トランスペアレント ファイアウォール モードのブリッジ グループにインターフェイスを割り当てるには、インターフェイス コンフィギュレーション モードで bridge-group コマンドを使用します。インターフェイスの割り当てを解除するには、このコマンドの no 形式を使用します。トランスペアレント ファイアウォールは、内部インターフェイスと外部インターフェイスとで同一ネットワークを接続します。インターフェイスの各ペアは、ブリッジ グループに属します。

bridge-group number

no bridge-group number

 
シンタックスの説明

number

1 ~ 100 の整数を指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

2 つのインターフェイスのそれぞれに最大 8 つのブリッジ グループを設定できます。ブリッジ グループに割り当てることができるのは、2 つのインターフェイスだけです。同じインターフェイスを複数のブリッジ グループに割り当てることはできません。

interface bvi コマンドのあとに ip address コマンドを使用して、ブリッジ グループに管理 IP アドレスを割り当てます。

ブリッジ グループごとに異なるネットワークに接続します。ブリッジ グループのトラフィックは、他のブリッジ グループから切り離されます。したがって、FWSM 内部の別のブリッジ グループにトラフィックがルーティングされることはありません。また、FWSM からいったん出なければ、外部ルータで FWSM 内部の別のブリッジ グループにルーティングすることはできません。

セキュリティ コンテキストのオーバーヘッドを防ぐ場合、またはセキュリティ コンテキストの使用を最大限に引き出す場合は、複数のブリッジ グループを使用する必要がある場合もあります。ブリッジング機能は各ブリッジ グループで別個のものですが、その他の多数の機能はすべてのブリッジ グループで共有されています。たとえば、すべてのブリッジ グループは Syslog サーバまたは AAA サーバのコンフィギュレーションを共有します。セキュリティ ポリシーを完全に分離するには、各コンテキストの 1 つのブリッジ グループでセキュリティ コンテキストを使用します。

次に、ブリッジ グループ 1 に VLAN 100 を割り当てる例を示します。

hostname(config)# interface vlan 100
hostname(config-if)# bridge-group 1
 

 
関連コマンド

コマンド
説明

interface bvi

管理 IP アドレスを設定できるように、ブリッジ グループについてインターフェイス コンフィギュレーション モードを開始します。

interface

インターフェイスを設定します。

ip address

ブリッジ グループの管理 IP アドレスを設定します。

nameif

インターフェイス名を設定します。

security-level

インターフェイスのセキュリティ レベルを設定します。