Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コマンド リファレンス 3.1(1)
cache-time ~ clear capture コマンド
cache-time ~ clear capture コマンド
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 14MB) | フィードバック

目次

cache-time ~ clear capture コマンド

cache-time

call-agent

capture

cd

certificate

chain

changeto

checkheaps

check-retransmission

class

class (policy-map)

class-map

clear aaa local user fail-attempts

clear aaa local user lockout

clear aaa-server statistics

clear access-list

clear arp

clear asp drop

clear blocks

clear capture

cache-time ~ clear capture コマンド

cache-time

CRL を失効とみなすまでのキャッシュ内の CRL の有効期間を分数で指定するには、ca-crl コンフィギュレーション モードで cache-time コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cache-time refresh-time

no cache-time

 
シンタックスの説明

refresh-time

キャッシュ内の CRL の有効期間を分数で指定します。範囲は、1 ~ 1440 分です。CRL に NextUpdate フィールドが表示されない場合、CRL はキャッシュされません。

 
デフォルト

デフォルト設定は 60 分です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ca-crl コンフィギュレーション

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central に対して、キャッシュ時間のリフレッシュ値を 10 分に指定する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# cache-time 10
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

crl コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

enforcenextupdate

証明書の NextUpdate CRL フィールドの処理方法を指定します。

call-agent

コール エージェント グループを指定するには、MGCP マップ コンフィギュレーション モードで call-agent コマンドを使用します。このモードには、 mgcp-map コマンドを使用してアクセスできます。設定を削除するには、このコマンドの no 形式を使用します。

call-agent ip_address group_id

no call-agent ip_address group_id

 
シンタックスの説明

ip_address

ゲートウェイの IP アドレスを指定します。

group_id

コール エージェント グループの ID を 0 ~ 217483647 の範囲で指定します。

 
デフォルト

このコマンドは、デフォルトではディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

MGCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

1 つまたは複数のゲートウェイを管理できるコール エージェント グループを指定するには、 call-agent コマンドを使用します。コール エージェント グループ情報は、グループ(ゲートウェイがコマンドを送信するグループ以外のグループ)内のコール エージェントの接続を開始して、任意のコール エージェントが応答を送信できるようにする場合に使用します。 group_id が同じコール エージェントは、同じグループに属します。コール エージェントは複数のグループに属すことができます。 group_id オプションは、0 ~ 4294967295 の数値になります。 ip_address オプションは、コール エージェントの IP アドレスを指定します。

次に、コール エージェント 10.10.11.5 および 10.10.11.6 でゲートウェイ 10.10.10.115 を制御し、コール エージェント 10.10.11.7 および 10.10.11.8 で 2 つのゲートウェイ 10.10.10.116 および 10.10.10.117 を制御するように設定する例を示します。

hostname(config)# mgcp-map mgcp_inbound
hostname(config-mgcp-map)# call-agent 10.10.11.5 101
hostname(config-mgcp-map)# call-agent 10.10.11.6 101
hostname(config-mgcp-map)# call-agent 10.10.11.7 102
hostname(config-mgcp-map)# call-agent 10.10.11.8 102
hostname(config-mgcp-map)# gateway 10.10.10.115 101
hostname(config-mgcp-map)# gateway 10.10.10.116 102
hostname(config-mgcp-map)# gateway 10.10.10.117 102
 

 
関連コマンド

コマンド
説明

debug mgcp

MGCP のデバッグ情報を表示できるようにします。

mgcp-map

MGCP マップを定義し、MGCP マップ コンフィギュレーション モードを開始します。

show mgcp

MGCP の設定およびセッション情報を表示します。

capture

パケット キャプチャ機能をイネーブルにして、パケットのスニフィングやネットワーク障害を検出するには、 capture コマンドを使用します。パケット キャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。

capture capture_name [ type { asp-drop [ drop-code ] | raw-data }] access-list access_list_name interface interface_name [ buffer buf_size ] [ ethernet-type type ] [ packet-length bytes ] [ circular-buffer ]

no capture capture-name [ type { asp-drop [ drop-code ] | raw-data }] [access-list access_list_name ] [interface interface_name ]

 
シンタックスの説明

access-list access_list_name

アクセス リストに一致するトラフィックをキャプチャします。マルチ コンテキスト モードでは、このキャプチャはコンテキスト内でのみ有効です。このキーワードは、 type asp-drop を指定した場合を除き、必須です。

asp-drop [ drop-code ]

(任意)高速セキュリティ パスが廃棄したパケットをキャプチャします。 drop-code は、高速セキュリティ パスが廃棄したトラフィック タイプを指定します。廃棄コードのリストについては、 show asp drop frame コマンドを参照してください。 drop-code 引数を入力しない場合は、廃棄されたすべてのパケットがキャプチャされます。

このキーワードは、 packet-length circular-buffer 、および buffer と組み合わせて指定できますが、 interface access-list 、または ethernet と組み合わせて指定することはできません。

buffer buf_size

(任意)パケットの保存に使用するバッファのサイズをバイト単位で定義します。バッファが一杯になると、パケットのキャプチャが停止します。

capture_name

パケット キャプチャの名前を指定します。トラフィックの複数のタイプをキャプチャするには、複数の capture ステートメントに同一名を使用します。 show capture コマンドを使用してキャプチャのコンフィギュレーションを表示する場合、すべてのオプションが 1 行にまとめられます。

circular-buffer

(任意)バッファが一杯になったときに、先頭部分からバッファを上書きしていきます。

ethernet-type type

(任意)キャプチャするイーサネット タイプを選択します。デフォルトは、IP パケットです。

interface interface_name

パケット キャプチャに使用するインターフェイスの名前を設定します。キャプチャする任意のパケットのインターフェイスを設定する必要があります。同一名の複数の capture コマンドを使用して、複数のインターフェイスを設定できます。このキーワードは、 type asp-drop を指定した場合を除き、必須です。

packet-length bytes

(任意)キャプチャ バッファに保存する各パケットの最大サイズ(バイト数)を設定します。

raw-data

(任意)1 つまたは複数のインターフェイスのインバウンド パケットとアウトバウンド パケットをキャプチャします。この設定は、デフォルトです。

type

(任意)キャプチャされるデータ タイプを指定できます。

 
デフォルト

デフォルトの設定は次のとおりです。

デフォルトの type は、 raw-data です。

デフォルトの buffer size は、512 KB です。

デフォルトのイーサネット タイプは、IP です。

デフォルトの packet-length は、68 バイトです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

3.1(1)

汎用プロセッサを通過するトラフィックだけでなく、すべてのトラフィックをキャプチャする機能が追加されました。

 
使用上のガイドライン

接続障害のトラブルシューティングや不審な動作を監視する際に、パケットのキャプチャは有効です。複数のキャプチャを作成できます。パケット キャプチャを表示するには、 show capture name コマンドを使用します。ファイルにキャプチャを保存するには、 copy capture コマンドを使用します。

FWSM は、自身の内部を通過するすべての IP トラフィックをトラッキングできます。また、FWSM に対するすべての管理用トラフィック(SSH や Telnet トラフィックなど)も含め、FWSM 宛てのすべての IP トラフィックをキャプチャすることもできます。

キャプチャ バッファを削除せずにキャプチャを停止するには、 no capture コマンドに access-list interface キーワードを指定して入力します。キャプチャを停止し、バッファを削除するには、キーワードを何も指定せずに、 no capture name と入力します。


capture コマンドはコンフィギュレーションには保存されません。また、capture コマンドはフェールオーバー中にスタンバイ装置にコピーされることもありません。


次の例では、外部ホスト 171.71.69.234 から内部 HTTP サーバへのトラフィックがキャプチャされます。

hostname(config)# access-list http permit tcp host 10.120.56.15 eq http host 171.71.69.234
hostname(config)# access-list http permit tcp host 171.71.69.234 host 10.120.56.15 eq http
hostname(config)# capture captest access-list http packet-length 74 interface inside
 

[captest] という名前のキャプチャの内容を Web ブラウザで表示するには、次のアドレスを入力します。

https://171.69.38.95/capture/captest/pcap
 

Internet Explorer や Netscape Navigator などの Web ブラウザで使用される libpcap ファイルをローカル マシンにダウンロードするには、次のアドレスを入力します。

https://171.69.38.95/capture/http/pcap
 

 
関連コマンド

コマンド
説明

clear capture

キャプチャ バッファを消去します。

copy capture

キャプチャ ファイルをサーバにコピーします。

show capture

オプションが指定されていない場合に、キャプチャのコンフィギュレーションを表示します。

 

cd

現在の作業ディレクトリを指定したディレクトリに変更するには、特権 EXEC モードで cd コマンドを使用します。

cd [flash:] [ path ]

 
シンタックスの説明

flash:

内部フラッシュ メモリを、コロンを付けて指定します。

path

(任意)変更するディレクトリの絶対パス

 
デフォルト

ディレクトリを指定しない場合、ディレクトリはルート ディレクトリに変更されます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドのサポートが追加されました。

次に、[config] ディレクトリに変更する例を示します。

hostname# cd flash:/config/

 
関連コマンド

コマンド
説明

pwd

現在の作業ディレクトリを表示します。

certificate

指定した証明書を追加するには、crypto ca 証明書チェーン モードで certificate コマンドを使用します。このコマンドを使用する場合、FWSM は、コマンドによって入力されたデータを 16 進表記の証明書として解釈します。 quit 文字列は、証明書の末尾を示します。

証明書を削除するには、このコマンドの no 形式を使用します。

certificate { ca | ra-encrypt | ra-sign | ra-general } certificate-serial-number

no certificate certificate-serial-number

 
シンタックスの説明

certificate-serial-number

証明書のシリアル番号を 16 進表記で指定します。最後に quit の文字を入力します。

ca

証明書が CA から発行された証明書であることを指定します。

ra-encrypt

証明書が SCEP で使用される Registration Authority(RA; 登録局)鍵暗号化証明書であることを指定します。

ra-general

証明書が SCEP メッセージングのデジタル署名および鍵の暗号化で使用される RA 証明書であることを指定します。

ra-sign

証明書が SCEP メッセージングで使用される RA デジタル署名の証明書であることを指定します。

 
デフォルト

このコマンドにはデフォルト値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crypto ca 証明書チェーン コンフィギュレーション

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

CA は、セキュリティ証明書とメッセージ暗号化用の公開鍵を発行および管理するネットワーク内の機関です。Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)の一部として、デジタル証明書の要求者によって提供された情報を RA でチェックします。RA によって要求者の情報が確認されると、CA が証明書を発行します。

次に、central という名前のトラストポイントの ca トラストポイント モードを開始してから、central の crypto ca 証明書チェーン モードを開始し、シリアル番号が 29573D5FF010FE25B45 の CA 証明書を追加する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crypto ca certificate chain central
hostname(ca-cert-chain)# certificate ca 29573D5FF010FE25B45
30820345 308202EF A0030201 02021029 572A3FF2 96EF854F D0D6732F E25B4530
0D06092A 864886F7 0D010105 05003081 8F311630 1406092A 864886F7 0D010901
16076140 622E636F 6D310B30 09060355 04061302 55533116 30140603 55040813
0D6D6173 73616368 75736574 74733111 300F0603 55040713 08667261 6E6B6C69
6E310E30 0C060355 040A1305 63697363 6F310F30 0D060355 040B1306 726F6F74
6F75311C 301A0603 55040313 136D732D 726F6F74 2D736861 2D30362D 32303031
301E170D 30313036 32363134 31313430 5A170D32 32303630 34313430 3133305A
30818F31 16301406 092A8648 86F70D01 09011607 6140622E 636F6D31 0B300906
03550406 13025553 31163014 06035504 08130D6D 61737361 63687573 65747473
3111300F 06035504 07130866 72616E6B 6C696E31 0E300C06 0355040A 13056369
73636F31 0F300D06 0355040B 1306726F 6F746F75 311C301A 06035504 0313136D
732D726F 6F742D73 68612D30 362D3230 3031305C 300D0609 2A864886 F70D0101
01050003 4B003048 024100AA 3EB9859B 8670A6FB 5E7D2223 5C11BCFE 48E6D3A8
181643ED CF7E75EE E77D83DF 26E51876 97D8281E 9F58E4B0 353FDA41 29FC791B
1E14219C 847D19F4 A51B7B02 03010001 A3820123 3082011F 300B0603 551D0F04
04030201 C6300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604
14E0D412 3ACC96C2 FBF651F3 3F66C0CE A62AB63B 323081CD 0603551D 1F0481C5
3081C230 3EA03CA0 3A86386C 6461703A 2F2F7732 6B616476 616E6365 64737276
2F436572 74456E72 6F6C6C2F 6D732D72 6F6F742D 7368612D 30362D32 3030312E
63726C30 3EA03CA0 3A863868 7474703A 2F2F7732 6B616476 616E6365 64737276
2F436572 74456E72 6F6C6C2F 6D732D72 6F6F742D 7368612D 30362D32 3030312E
63726C30 40A03EA0 3C863A66 696C653A 2F2F5C5C 77326B61 6476616E 63656473
72765C43 65727445 6E726F6C 6C5C6D73 2D726F6F 742D7368 612D3036 2D323030
312E6372 6C301006 092B0601 04018237 15010403 02010130 0D06092A 864886F7
0D010105 05000341 0056221E 03F377B9 E6900BF7 BCB3568E ADBA146F 3B8A71F3
DF9EB96C BB1873B2 B6268B7C 0229D8D0 FFB40433 C8B3CB41 0E4D212B 2AEECD77
BEA3C1FE 5EE2AB6D 91
quit

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのコンフィギュレーションをすべてクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto ca certificate chain

crypto ca 証明書チェーン モードを開始します。

crypto ca trustpoint

ca トラストポイント モードを開始します。

show running-config crypto map

すべての暗号マップのコンフィギュレーションをすべて表示します。

chain

証明書チェーンの送信をイネーブルにするには、tunnel-group ipsec-attributes コンフィギュレーション モードで chain コマンドを使用します。この送信アクションには、ルート証明書と Subordinate Certification Authority(SCA; 下位認証局)の証明書が含まれます。デフォルトの設定に戻すには、このコマンドの no 形式を使用します。

chain

no chain

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドのデフォルト設定はディセーブルです。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

tunnel-group ipsec-attributes コンフィギュレーション

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

すべてのトンネルグループ タイプにこの属性を適用できます。

次に、config-ipsec コンフィギュレーション モードにおいて、209.165.200.225 の IP アドレスで IPSec LAN 間トンネル グループのチェーンの送信(ルート証明書と SCA の証明書を含む)をイネーブルにする例を示します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-ipsec)# chain
hostname(config-ipsec)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されたトンネル グループをすべて消去します。

show running-config tunnel-group

指定された証明書マップ エントリを表示します。

tunnel-group-map default-group

crypto ca certificate map コマンドを使用して作成された証明書マップ エントリにトンネル グループを対応付けます。

changeto

各セキュリティ コンテキスト間およびシステムとの切り替えを行うには、特権 EXEC モードで changeto コマンドを使用します。

changeto { system | context name }

 
シンタックスの説明

context name

指定した名前のコンテキストに変更します。

system

システムの実行スペースに変更します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

システムの実行スペースまたは管理コンテキストにログインした場合、コンテキストを変更し、各コンテキスト内でコンフィギュレーションを実行して、タスクを監視できます。コンフィギュレーション モードで編集する「実行」コンフィギュレーション、または copy あるいは write コマンドで使用されている「実行」コンフィギュレーションは、ユーザが作業している実行スペースによって異なります。システム実行スペースで作業している場合、実行コンフィギュレーションはシステム コンフィギュレーションのみで構成されます。コンテキスト実行スペースで作業している場合、実行コンフィギュレーションはコンテキストのみで構成されます。たとえば、 show running-config コマンドを入力して、すべての実行コンフィギュレーション(システムおよびすべてのコンテキスト)を表示することはできません。現在のコンフィギュレーションだけが表示されます。

次に、特権 EXEC モードで、コンテキストからシステム、システムからコンテキストに変更する例を示します。

hostname/admin# changeto system
hostname# changeto context customerA
hostname/customerA#
 

次に、インターフェイス コンフィギュレーション モードで、システムから管理コンテキストに変更する例を示します。実行スペースを変更するときにコンフィギュレーション モードを開始している場合、モードは新しい実行スペースのグローバル コンフィギュレーション モードに変わります。

hostname(config-if)# changeto context admin
hostname/admin(config)#

 
関連コマンド

コマンド
説明

admin-context

コンテキストを管理コンテキストに設定します。

context

システム コンフィギュレーション内にセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

show context

コンテキスト(システム実行スペース)リストまたは現在のコンテキストに関する情報を表示します。

 

checkheaps

チェックヒープ検証間隔を設定するには、グローバル コンフィギュレーション モードで checkheaps コマンドを使用します。値をデフォルトに設定するには、このコマンドの no 形式を使用します。チェックヒープは、ヒープ メモリ バッファの妥当性(動的メモリはシステム ヒープ メモリ領域から割り当てられます)、およびコード領域の整合性を検証する定期的なプロセスです。

checkheaps { check-interval | validate-checksum } seconds

no checkheaps { check-interval | validate-checksum } [ seconds ]

 
シンタックスの説明

check-interval

バッファの検証間隔を設定します。バッファ検証プロセスは、ヒープの健全性(割り当てられたメモリ バッファ、解放されたメモリ バッファ)をチェックします。各プロセスの呼び出しで、FWSM はヒープ全体をチェックし、各メモリ バッファを検証します。不一致が生じると、FWSM は、「割り当てバッファエラー」または「空きバッファエラー」のどちらかを発行します。エラーが発生すると、FWSM は、可能であればトレースバック情報をダンプし、リロードします。

validate-checksum

コード スペースのチェックサム検証間隔を設定します。FWSM の初回起動時に、FWSM がすべてのコードのハッシュを計算します。その後の定期的なチェックの際に、FWSM は新しいハッシュを生成し、最初のハッシュと比較します。不一致が生じると、FWSM は「テキスト チェックサム チェックヒープ エラー」を発行します。エラーが発生すると、FWSM は、可能であればトレースバック情報をダンプし、リロードします。

seconds

間隔(秒単位)を 1 ~ 2147483 で設定します。

 
デフォルト

デフォルトの間隔は、それぞれ 60 秒です。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

次に、バッファ割り当ての間隔を 200 秒に、コード スペースのチェックサム間隔を 500 秒に設定する例を示します。

hostname(config)# checkheaps check-interval 200
hostname(config)# checkheaps validate-checksum 500
 

 
関連コマンド

コマンド
説明

show checkheaps

チェックヒープの統計情報を表示します。

check-retransmission

TCP 再送信攻撃を防止するには、tcp-map コンフィギュレーション モードで check-retransmission コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

check-retransmission

no check-retransmission

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトは、ディセーブルにされています。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

tcp-map コンフィギュレーション

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

tcp-map コマンドは、モジュラ ポリシー フレームワーク基盤で使用します。 class-map コマンドを使用してトラフィック クラスを定義し、 tcp-map コマンドを使用して TCP 検査をカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドを使用して、TCP 検査をアクティブにします。

tcp-map コンフィギュレーション モードを開始するには、 tcp-map コマンドを使用します。エンドシステムの矛盾した再送信の解釈によって発生する TCP 再送信スタイルの攻撃を防止するには、tcp-map コンフィギュレーション モードで check-retransmission コマンドを使用します。

次に、すべての TCP フローの TCP チェック再送信機能をイネーブルにする例を示します。

hostname(config)# access-list TCP extended permit tcp any any
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# check-retransmission
hostname(config-tcp-map)# class-map cmap
hostname(config-cmap)# match access-list TCP
hostname(config-cmap)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config-pmap)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィックを分類するためのクラス マップを指定します。

policy-map

トラフィック クラスと 1 つ以上のアクションを関連付けたものであるポリシーを設定します。

set connection

接続値を設定します。

tcp-map

TCP マップを作成し、tcp-map コンフィギュレーション モードにアクセスできるようにします。

class

セキュリティ コンテキストを割り当てるリソース クラスを作成するには、グローバル コンフィギュレーション モードで class コマンドを使用します。クラスを削除するには、このコマンドの no 形式を使用します。

class name

no class name

 
シンタックスの説明

name

名前として、20 文字までの長さのテキスト文字列を指定します。デフォルト クラスの制限を設定する場合は、名前として default と入力します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

該当なし

該当なし

--

--

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、コンテキスト別の最大限度が適用される場合を除き、あらゆるセキュリティ コンテキストが FWSM のリソースに無制限にアクセスできます。ただし、1 つまたは複数のコンテキストがリソースを多く使用しすぎていて、他のコンテキストの接続が拒否される場合など、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。

FWSM は、リソース クラスにコンテキストを割り当てることによってリソースを管理します。各コンテキストは、クラスによって設定されたリソース限度を使用します。


) FWSM はコンテキストごとに帯域幅制限を行いません。ただし、FWSM を搭載したスイッチは、VLAN 単位で帯域幅を制限できます。詳細については、スイッチのマニュアルを参照してください。


クラスを作成する場合、FWSM はクラスに割り当てられた各コンテキスト用にリソースの一部を確保しないで、コンテキストに最大限のリソースを設定します。FWSMリソースをオーバースクライブさせた場合、または一部のリソースを無制限にした場合は、少数のコンテキストでこれらのリソースを使い果たしてしまい、他のコンテキストのサービスが悪影響を受ける可能性があります。クラスのリソースを設定する場合は、 limit-resource コマンドを参照してください。

特定のクラスに割り当てないかぎり、すべてのコンテキストはデフォルト クラスに所属するため、コンテキストをデフォルト クラスに割り当てる操作は不要です。

コンテキストがデフォルト クラス以外のクラスに所属する場合、そのクラスの設定値によってデフォルト クラスの設定値が上書きされます。ただし、別のクラスで設定が定義されていない場合には、メンバー コンテキストはデフォルト クラスの制限を使用します。たとえば、すべての同時接続に関して 2% の制限を持ち、他に制限のないクラスを作成した場合、その他の制限はすべてデフォルト クラスから継承されます。逆に、すべてのリソースに対して 2% の制限を持つクラスを作成すると、そのクラスはデフォルト クラスの設定を使用しません。

デフォルトでは、デフォルト クラスはすべてのコンテキストのリソースに対して無制限のアクセスを提供しています(次の制限のようにデフォルトで各コンテキストで許容される最大限のリソースが設定されている場合は除きます)。

Telnet セッション ― 5 セッション

SSH セッション ― 5 セッション

IPSec セッション ― 5 セッション

MAC アドレス ― 65,535 エントリ

次に、conns のデフォルト クラス限度を無制限ではなく、10% に設定する例を示します。

hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
 

その他のすべてのリソースは無制限のままです。

fixups だけは 10% に設定し、それ以外のリソースはすべて 5% に設定して、gold というクラスを追加する場合、次のコマンドを入力します。

hostname(config)# class gold
hostname(config-class)# limit-resource all 5%
hostname(config-class)# limit-resource fixups 10%
 

Syslog メッセージだけは 500/秒に設定し、それ以外のリソースはすべて 3% に設定して、silver というクラスを追加する場合、次のコマンドを入力します。

hostname(config)# class silver
hostname(config-class)# limit-resource all 3%
hostname(config-class)# limit-resource rate syslogs 500
 

 
関連コマンド

コマンド
説明

clear configure class

クラス設定を消去します。

context

セキュリティ コンテキストを設定します。

limit-resource

クラスのリソース制限を設定します。

member

リソース クラスにコンテキストを割り当てます。

show class

クラスに割り当てられたコンテキストを表示します。

class (policy-map)

トラフィックの分類用にクラス マップをポリシーに割り当てるには、ポリシー マップ モードで class コマンドを使用します。ポリシー マップのクラス マップ指定を解除するには、このコマンドの no 形式を使用します。

class classmap-name

no class classmap-name

 
シンタックスの説明

classmap-name

クラス マップの名前。名前の最大長は 40 文字です。

 
デフォルト

デフォルトでは、常に [class class-default] がポリシー マップの末尾に割り当てられます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

class-default を含む、最大 63 のクラス コマンドをポリシー マップに設定できます。

[class-default] の名前は、デフォルト クラスに対して予約された名前で、常に割り当てられます。つまり、コンフィギュレーションにこの名前を加えることは可能ですが、CLI を使用して再設定したり、削除したりすることはできません。詳細については、 class-map コマンドの説明を参照してください。

クラス モードを開始するには、 class コマンドを使用します。このモードでは、次のコマンドを入力できます。

set connection

inspect

ips

詳細については、個々のコマンドの項を参照してください。

次は、HTTP サーバに対する接続数を最大 256 に制限する接続ポリシーに対して、 class コマンドを使用した場合の policy-map コマンドの例です。

hostname(config)# access-list myhttp permit tcp any host 10.1.1.1
hostname(config)# class-map myhttp
 
hostname(config-cmap)# match access-list myhttp
hostname(config-cmap)# exit
 
hostname(config)# policy-map global-policy
hostname(config-pmap)# description This policy map defines a policy concerning connection to http server.
hostname(config-pmap)# class myhttp
hostname(config-pmap-c)# set connection conn-max 256
 

 
関連コマンド

コマンド
説明

clear configure policy-map

service-policy コマンドで使用されているポリシー マップを除いて、すべてのポリシー マップのコンフィギュレーションを削除します。

policy-map

1 つまたは複数のトラフィック クラスを 1 つまたは複数のアクションに関連付けることによって、ポリシーを設定します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

class-map

Modular Policy Framework を使用してセキュリティ機能を設定する際に、インターフェイスのトラフィックを分類するには、グローバル コンフィギュレーション モードで class-map コマンドを使用します。クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map class_map_name

no class-map class_map_name

 
シンタックスの説明

class_map_name

クラス マップ名のテキスト。テキストの最大長は 40 文字です。クラス マップの名前スペースは、セキュリティ コンテキストに対してローカルです。したがって、同一名が複数のセキュリティ コンテキストで使用される場合があります。セキュリティ コンテキスト当たりの最大クラス マップ数は 255 です。

 
デフォルト

デフォルト クラスである class-default は、常に割り当てられ、CLI を使用して設定したり、削除したりすることはできません。ポリシー マップで使用される場合、デフォルト クラスは、「他のトラフィックすべて」です。class-default の定義は、次のとおりです。

class-map class-default
match any
 

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

Modular Policy Framework を使用してセキュリティ機能を設定する場合、 class-map コマンドを使用してトラフィック クラスを定義できます。Modular Policy Framework は、Cisco IOS ソフトウェア QoS CLI と同じような方法で FWSM 機能を設定するための一貫性と柔軟性がある方法を提供します。Modular Policy Framework を使用してセキュリティ機能を設定するには、 class-map policy-map 、および service-policy グローバル コンフィギュレーション コマンドを使用します。

class-map グローバル コンフィギュレーション コマンドを使用して、トラフィック クラスを定義します。次に、 policy-map グローバル コンフィギュレーション コマンドを使用して、トラフィック クラスを 1 つまたは複数のアクションに関連付けてポリシー マップを作成します。最後に、 service-policy コマンドを使用して、ポリシー マップを 1 つまたは複数のインターフェイスに関連付けてセキュリティ ポリシーを作成します。

トラフィック クラス マップには、多くても 1 つの match コマンドが含まれます
match default-inspection-traffic コマンドを除く)。 match コマンドは、トラフィック クラスに含まれているトラフィックを特定します。パケットがクラス マップに対して照合される場合、照合の結果は match または no match のいずれかになります。

クラス マップ コンフィギュレーション モードを開始するには、 class-map コマンドを使用します。クラス マップ コンフィギュレーション モードから match コマンドを使用することによって、クラスに含めるトラフィックを定義できます。クラス マップ コンフィギュレーション モードで使用できるコマンドは、次のとおりです。

 

description

クラス マップの記述を指定します。

match access-list

一致条件として使用する ACL の名前を指定します。パケットが ACL のエントリと一致しなかった場合、照合結果は no-match になります。パケットが ACL のエントリと一致し、なおかつ許可エントリだった場合、照合結果は match になります。拒否の ACL エントリと一致した場合の照合結果は、no-match になります。

match port

TCP/UDP 宛先ポートを使用して、トラフィックを照合するように指定します。

match precedence

IP ヘッダー内の TOS バイトで表された優先順位値を照合するように指定します。

match dscp

IP ヘッダー内の IETF 定義の DSCP 値を照合するように指定します。

match rtp

RTP ポートを照合するように指定します。

match default-inspection-traffic

inspect コマンドのデフォルト トラフィックを照合するように指定します。

次に、クラス マップを使用して、宛先がポート 21 であるすべての TCP トラフィックのトラフィック クラスを定義する例を示します。

hostname(config)# class-map ftp-port
hostname(config-cmap)# match port tcp eq 21
 

 
関連コマンド

コマンド
説明

clear configure class-map

トラフィック マップの定義をすべて削除します。

policy-map

トラフィック クラスを 1 つまたは複数のアクションに関連付けることによって、ポリシー マップを作成します。

service-policy

ポリシー マップを 1 つまたは複数のインターフェイスに関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップの設定情報を表示します。

clear aaa local user fail-attempts

ユーザのロックアウト ステータスを変更することなく、ユーザ認証試行の失敗回数をゼロにリセットするには、特権 EXEC モードで clear aaa local user fail-attempts コマンドを使用します。

clear aaa local user authentication fail-attempts { username name | all }

 
シンタックスの説明

all

すべてのユーザの失敗試行カウンタをゼロ(0)にリセットします。

name

失敗試行カウンタをゼロ(0)にリセットする特定のユーザ名を指定します。

username

後続のパラメータが、失敗試行カウンタをゼロ(0)にリセットするユーザ名であることを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、たとえば、設定が最近変更された場合など、ユーザが数回認証に失敗しても、カウンタをゼロにリセットする場合に使用します。

失敗した認証試行が設定数に達すると、ユーザはシステムからロックアウトされ、システム管理者がユーザ名のロックを解除するか、システムが再起動されるまで、正常にログインできません。

ユーザが正常に認証されるか、FWSM が再起動されると、失敗試行回数がゼロにリセットされ、ロックアウト ステータスが No にリセットされます。

ユーザ名がロックされるか、ロック解除されると、Syslog メッセージが生成されます。

特権レベルが 15 のシステム管理者は、ロックアウトされません。

次に、 clear aaa local user authentication fail-attempts コマンドを使用して、ユーザ名が anyuser の失敗試行カウンタをゼロ(0)にリセットする例を示します。

hostname(config)# clear aaa local user authentication fail-attempts username anyuser
hostname(config)#
 

次に、 clear aaa local user authentication fail-attempts コマンドを使用して、すべてのユーザの失敗試行カウンタをゼロ(0)にリセットする例を示します。

hostname(config)# clear aaa local user authentication fail-attempts all
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

ユーザ認証試行の失敗許可数を設定します。

clear aaa local user lockout

ユーザのロックアウト ステータスを変更することなく、ユーザ認証試行の失敗回数をゼロにリセットします。

show aaa local user [ locked ]

現在ロックされているユーザ名のリストを表示します。

 

clear aaa local user lockout

指定したユーザのロックアウト ステータスをクリアし、失敗試行カウンタをゼロ(0)に設定するには、特権 EXEC モードで clear aaa local user lockout コマンドを使用します。

clear aaa local user lockout { username name | all}

 
シンタックスの説明

all

すべてのユーザの失敗試行カウンタをゼロ(0)にリセットします。

name

失敗試行カウンタをゼロ(0)にリセットする特定のユーザ名を指定します。

username

後続のパラメータが、失敗試行カウンタをゼロ(0)にリセットするユーザ名であることを指定します。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

username オプションで特定のユーザを指定することも、または all オプションですべてのユーザを指定することもできます。

このコマンドが作用するのは、ロックアウトされているユーザのステータスだけです。

装置から管理者をロックアウトすることはできません。

ユーザ名がロックされるか、ロック解除されると、Syslog メッセージが生成されます。

次に、 clear aaa local user lockout コマンドを使用して、ロックアウトの状態をクリアし、ユーザ名が anyuser の失敗試行カウンタをゼロ(0)にリセットする例を示します。

hostname(config)# clear aaa local user lockout username anyuser
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

ユーザ認証試行の失敗許可数を設定します。

clear aaa local user fail-attempts

ユーザのロックアウト ステータスを変更することなく、ユーザ認証試行の失敗回数をゼロにリセットします。

show aaa local user [ locked ]

現在ロックされているユーザ名のリストを表示します。

clear aaa-server statistics

AAA サーバの統計情報をリセットするには、特権 EXEC モードで clear aaa-server statistics コマンドを使用します。

clear aaa-server statistics [ LOCAL | groupname [ host hostname ] | protocol protocol ]

 
シンタックスの説明

LOCAL

(任意)LOCAL ユーザ データベースの統計情報をクリアします。

groupname

(任意)グループ内のサーバの統計情報をクリアします。

host hostname

(任意)グループ内の特定サーバの統計情報をクリアします。

protocol protocol

(任意)指定したプロトコルのサーバの統計情報をクリアします。

kerberos

ldap

nt

radius

sdi

tacacs+

 
デフォルト

すべてのグループの AAA サーバ統計情報を削除します。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドが追加されました。

次のコマンドは、グループ内の特定サーバの AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics svrgrp1 host 1.2.3.4
 

次のコマンドは、サーバ グループすべての AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics svrgrp1
 

次のコマンドは、すべてのサーバ グループの AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics
 

次のコマンドは、特定のプロトコル(この場合、TACACS+)の AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics protocol tacacs+

 
関連コマンド

コマンド
説明

aaa-server protocol

AAA サーバ接続データのグループ化を指定し、管理します。

clear configure aaa-server

非デフォルトのすべての AAA サーバ グループを削除するか、指定したグループをクリアします。

show aaa-server

AAA サーバの統計情報を表示します。

show running-config aaa-server

現在の AAA サーバのコンフィギュレーション値を表示します。

clear access-list

アクセス リストのカウンタをクリアするには、グローバル コンフィギュレーション モードで clear access-list コマンドを使用します。

clear access-list [ id counters ]

 
シンタックスの説明

id counters

(任意)アクセス リストの名前または番号

 
デフォルト

すべてのアクセス リストのカウンタがクリアされます。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

id を指定せずに clear access-list コマンドを入力すると、すべてのアクセス リストのカウンタがクリアされます。

次に、特定のアクセス リストのカウンタをクリアする例を示します。

hostname# clear access-list inbound counters
 

 
関連コマンド

コマンド
説明

access-list extended

設定にアクセス リストを追加し、ファイアウォールを通過する IP トラフィックのポリシーを設定します。

access-list standard

アクセス リストを追加して、OSPF ルートの宛先 IP アドレスを特定します。OSPF ルートは、OSPF 再配布用のルート マップに使用できます。

clear configure access-list

実行コンフィギュレーションからアクセス リストを消去します。

show access-list

アクセス リスト エントリを番号別に表示します。

show running-config access-list t

FWSM で稼働中のアクセス リストのコンフィギュレーションを表示します。

clear arp

ダイナミック ARP エントリまたは ARP の統計情報をクリアするには、特権 EXEC モードで clear arp コマンドを使用します。

clear arp [ statistics ]

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更

1.1(1)

このコマンドが追加されました。

次に、すべての ARP の統計情報をクリアする例を示します。

hostname# clear arp statistics
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

トランスペアレント ファイアウォール モードの場合に、ARP スプーフィングを防止するために ARP パケットを検査します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在の設定を表示します。

clear asp drop

高速セキュリティ パスの廃棄の統計情報をクリアするには、特権 EXEC モードで clear asp drop コマンドを使用します。

clear asp drop [ flow type | frame type ]

 
シンタックスの説明

flow

(任意)廃棄されたフローの統計情報をクリアします。

frame

(任意)廃棄されたパケットの統計情報をクリアします。

type

(任意)特定のプロセスで廃棄されたフローまたはパケットの統計情報をクリアします。タイプのリストについては、「」を参照してください。

 
デフォルト

デフォルトでは、このコマンドがすべての廃棄の統計情報をクリアします。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更

3.1(1)

このコマンドのサポートが追加されました。

 
使用上のガイドライン

プロセス タイプには、次の内容が含まれます。

acl-drop
audit-failure
closed-by-inspection
conn-limit-exceeded
fin-timeout
flow-reclaimed
fo-primary-closed
fo-standby
fo_rep_err
host-removed
inspect-fail
ips-fail-close
ips-request
ipsec-spoof-detect
loopback
mcast-entry-removed
mcast-intrf-removed
mgmt-lockdown
nat-failed
nat-rpf-failed
need-ike
no-ipv6-ipsec
non_tcp_syn
out-of-memory
parent-closed
pinhole-timeout
recurse
reinject-punt
reset-by-ips
reset-in
reset-oout
shunned
syn-timeout
tcp-fins
tcp-intecept-no-response
tcp-intercept-kill
tcp-intercept-unexpected
tcpnorm-invalid-syn
tcpnorm-rexmit-bad
tcpnorm-win-variation
timeout
tunnel-pending
tunnel-torn-down
xlate-removed

次に、すべての廃棄の統計情報をクリアする例を示します。

hostname# clear asp drop
 

 
関連コマンド

コマンド
説明

show asp drop

廃棄されたパケット数を示す高速セキュリティ パスのカウンタを表示します。

clear blocks

最低水準点および履歴情報などのパケット バッファ カウンタをリセットするには、特権 EXEC モードで clear blocks コマンドを使用します。

clear blocks

 
シンタックスの説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドには、デフォルトの動作または値はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

最低水準点のカウンタを各プールで現在利用できるブロックにリセットします。直前のバッファ割り当ての失敗時に保存された履歴情報もクリアします。

次に、ブロックをクリアする例を示します。

hostname# clear blocks
 

 
関連コマンド

コマンド
説明

blocks

ブロック診断に割り当てるメモリを増加させます。

show blocks

システム バッファの利用率を表示します。

clear capture

キャプチャ バッファを消去するには、 clear capture capture_name コマンドを使用します。

clear capture capture_name

 
シンタックスの説明

capture_name

パケット キャプチャの名前

 
デフォルト

このコマンドにはデフォルト設定はありません。

 
コマンド モード

次の表に、コマンドを入力できるモードを示します。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権モード

 
コマンド履歴

リリース
変更

2.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

すべてのパケット キャプチャが誤って消去されることを防ぐため、 clear capture cl cap clear cap など)の短縮形はサポートされていません。

次に、キャプチャ バッファ [trudy] のキャプチャ バッファをクリアする例を示します。

hostname(config)# clear capture trudy
 

 
関連コマンド

コマンド
説明

capture

パケット キャプチャ機能をイネーブルにして、パケット スニフィングおよびネットワーク障害検出を有効にします。

show capture

オプションが指定されていない場合に、キャプチャのコンフィギュレーションを表示します。