Cisco PIX Firewall コマンド リファレンス
D ~ F のコマンド
D ~ F のコマンド
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

D ~ F のコマンド

debug

dhcpd

dhcprelay

disable

domain-name

dynamic-map

eeprom

enable

established

exit

failover

filter

fixup protocol

flashfs

floodguard

fragment

D ~ F のコマンド

debug

PIX Firewall を通してパケットや ICMP トレースをデバッグできます。debug コマンドを使用すると、PIX Firewall と共に、または PIX Firewall を通して動作しているプロトコルのトラブルシューティングに役立つ情報が得られます。

[ no ] debug aaa [ authentication | authorization| accounting | internal ]

[ no ] debug access-list all | standard | turbo

[ no ] debug arp

[ no ] debug crypto ca [ level ]

[ no ] debug ctiqbe

[ no ] debug crypto ipsec [ level ]

[ no ] debug crypto isakmp [ level ]

[ no ] debug crypto vpnclient

[ no ] debug dhcpc detail | error | packet

[ no ] debug dhcpd event | packet

[ no ] debug dhcprelay event | packet | error

[ no ] debug dns { resolver | all }

[ no ] debug fixup { udp | tcp }

[ no ] debug fover option

[ no ] debug h323 h225 [ asn | event ]

[ no ] debug h323 h245 [ asn | event ]

[ no ] debug h323 ras [ asn | event ]

[ no ] debug icmp trace

[ no ] debug ils

[ no ] debug ospf [ adj | database-timer | events |f lood | lsa-generation | packet | tree | retransmission | spf [ external | internal |intra ]]

[ no ] debug mgcp [ messages | parser | sessions ]

[ no ] debug ntp [ adjust | authentication | events | loopfilter | packets | params | select | sync | validity ]

[ no ] debug packet if_name [ src source_ip [ netmask mask ]] [ dst dest_ip [ netmask mask ]] [[ proto icmp ] | [ proto tcp [ sport src_port ] [ dport dest_port ]] | [ proto udp [ sport src_port ] [ dport dest_port ]] [ rx | tx | both ]

[ no ] debug pdm history

[ no ] debug ppp error | io | uauth | upap | chap | negotiation

[ no ] debug pppoe event | error | packet

[ no ] deubg pptp

[ no ] debug radius [ session | all | user username ]

[ no ] debug rip

[ no ] debug route

[ no ] debug rtsp

[ no ] debug sip

[ no ] debug skinny

[ no ] debug sqlnet

[ no ] debug ssh

[ no ] debug ssl [ cypher | device ]

[ no ] debug vpdn event | error | packet

no debug all

undebug all

show debug

 
文法説明

aaa

認証、許可、アカウンティングの情報を表示します。

access-list

アクセス リスト設定情報を表示します。

adjust

NTP クロック調整を表示します。

all

標準と TurboACL アクセス リスト情報の両方を表示します。

authentication

NTP クロック認証を表示します。

both

受信パケットと送信パケットの両方を表示します。

chap

CHAP/MS-CHAP 認証を表示します。

crypto ca

認証局(CA)トラフィックに関する情報を表示します。

crypto ipsec

IPSec トラフィックに関する情報を表示します。

crypto isakmp

IKE トラフィックに関する情報を表示します。

crypto vpnclient

ファイアウォール EasyVPN クライアントに関する情報を表示します。

ctiqbe

Cisco TAPI/JTAPI アプリケーションと共に使用される CTIQBE(CTI Quick Buffer Encoding)に関する情報を表示します。

cypher

HTTP サーバとクライアント間の暗号ネゴシエーションに関する情報を表示します。

device

セッションの開始と進行中のステータスを含む SSL デバイスに関する情報を表示します。

dhcpc detail

DHCP クライアント パケットに関する詳細な情報を表示します。

dhcpc error

DHCP クライアントに関連するエラー メッセージを表示します。

dhcpc packet

DHCP クライアントに関連するパケット情報を表示します。

dhcpd event

DHCP サーバに関連するイベント情報を表示します。

dhcpd packet

DHCP サーバに関連するパケット情報を表示します。

dhcprelay

DHCP リレー エージェント情報を表示します。

dns { resolver | all }

DNS デバッグ情報を表示します。 resolver オプションは、DNS レゾリューション情報を収集し、 all オプションは、すべての DNS 情報を収集します。

dport dest_port

宛先ポート。

dst dest_ip

宛先 IP アドレス。

events

NTP イベント情報を表示します。

fixup { udp | tcp }

フィックスアップ情報を表示します。UDP または TCP を使用します。

fover option

フェールオーバー情報を表示します。このオプションについては、 表 5-1 を参照してください。

h225 asn

デコードされた PDU の出力を表示します。

h225 events

H.225 シグナリングのイベントを表示するか、両方のトレースをオンにします。

h245 asn

デコードされた PDU の出力を表示します。

h245 events

H.245 シグナリングのイベントを表示するか、両方のトレースをオンにします。

h323

パケットベースのマルチメディア通信システム標準に関する情報を表示します。

icmp

ICMP トラフィックに関する情報を表示します。

if_name

パケットが到着するインターフェイスの名前。たとえば、PIX Firewall に入ってくるパケットを外部から監視するには、 if_name に outside を設定します。

ils

Internet Locator Service(ILS)のフィックスアップ情報を表示します(LDAP サービスで使用されます)。

level

デバッグ フィードバックのレベル。レベル番号が高くなるほど、多くの情報が表示されます。デフォルトのレベルは、1 です。各レベルは、次のイベントに対応しています。

Level 1:対象イベント

Level 2:標準イベントおよび対象イベント

Level 3:短縮イベント、標準イベント、および対象イベント

show debug コマンド内でデバッグ レベルがどのように表示されるかについては、このコマンド ページの最後にある「例」の項を参照してください。

loopfilter

NTP ループ フィルタ情報を表示します。

messages

MGCP メッセージに対するデバッグ情報を表示します。

negotiation

error、uauth、upap および chap debug コマンド オプションと同等。

netmask mask

ネットワーク マスク。

packet

パケット情報を表示します。

packets

NTP パケット情報を表示します。

params

NTP クロック パラメータを表示します。

parser

MGCP メッセージの構文解析に関する情報を表示します。

pdm history

PDM 履歴メトリック デバッグ情報をオンにします。このコマンドの no バージョンは、PDM 履歴メトリック デバッグをディセーブルにします。

ppp

vpdn コマンドで設定する L2TP トラフィックまたは PPTP トラフィックをデバッグします。

ppp error

L2TP または PPTP PPP 仮想インターフェイス エラー メッセージを表示します。

ppp io

L2TP または PPTP PPP 仮想インターフェイスのパケット情報を表示します。

ppp uauth

L2TP または PPTP PPP 仮想インターフェイス AAA ユーザ認証デバッグ メッセージを表示します。

pppoe error

PPPoE エラー メッセージを表示します。

pppoe event

PPPoE イベント情報を表示します。

pppoe packet

PPPoE パケット情報を表示します。

pptp

PPTP トラフィック情報を表示します。

proto icmp

ICMP パケットだけを表示します。

proto tcp

TCP パケットだけを表示します。

proto udp

UDP パケットだけを表示します。

radius all

すべての RADIUS デバッグ オプションをイネーブルにします。

radius session

RADIUS セッション情報と送受信された RADIUS パケットのアトリビュートを記録します。

ras asn

デコードされた PDU の出力を表示します。

ras events

RAS シグナリングのイベントを表示するか、両方のトレースをオンにします。

route

PIX Firewall ルーティング モジュールからの情報を表示します。

rx

PIX Firewall で受信したパケットだけを表示します。

select

NTP クロック セレクションを表示します。

sessions

MGCP セッションに対するデバッグ情報を表示します。

sip

fixup Session Initiation Protocol(SIP)モジュールをデバッグします。

skinny

SCCP プロトコル アクティビティをデバッグします(このオプションは、システム リソースを大量に使用するため、トラフィックの多いネットワーク セグメントのパフォーマンスに影響を与える可能性があります)。

sport src_port

発信元ポート。有効なポートのリテラル名の一覧については、「PIX Firewall コマンドの使用方法」「ポート」の項を参照してください。

sqlnet

SQL*Net トラフィックをデバッグします。

src source_ip

発信元 IP アドレス。

ssh

ssh コマンドに関連するデバッグ情報とエラー メッセージです。

ssl

ssl コマンドに関連するデバッグ情報とエラー メッセージです。

standard

非 TurboACL アクセス リスト情報を表示します。

sync

NTP クロック同期を表示します。

turbo

TurboACL アクセス リスト情報を表示します。

tx

PIX Firewall から送信されたパケットだけを表示します。

upap

PAP 認証を表示します。

user username

個々の「ユーザ名( username )」の情報だけを表示するように指定します。

validity

NTP ピア クロックの有効性を表示します。

vpdn error

L2TP または PPTP プロトコル エラー メッセージを表示します。

vpdn event

L2TP または PPTP トンネル イベント変更情報を表示します。

vpdn packet

PPTP トラフィックに関する L2TP または PPTP パケット情報を表示します。

 
デフォルト

MGCP デバッグは、デフォルトでディセーブルになっています。

 
コマンド モード

ほかが指定されていなければ、設定モードです。

debug mgcp コマンドは、特権モードで利用できます。

 
使用上のガイドライン

debug コマンドを使用すると、デバッグ情報を表示できます。 show debug コマンドは、トレースの現在の状態を表示します。debug packet コマンドを使用すると、ネットワーク層プロトコル パケットの内容をデバッグできます。


) debug コマンドを使用すると、通信量の多いネットワークのトラフィックが遅くなります。


非常に重い負荷がかかっている PIX Firewall 上で debug packet コマンドを使用すると、出力の表示が非常に速くなります。したがって、コンソールから no debug packet コマンドを入力しても、出力を停止できません。no debug packet コマンドは、Telnet セッションから入力できます。

ユーザが PIX Firewall を通して ping を実行できるようにするには、設定に access-list acl_grp permit icmp any any コマンド文を追加し、 access-group コマンドを使用して、テストする各インターフェイスにバインドします。その結果、ping の送受信ができるようになります。

debug packet trace コマンドを停止するには、次のコマンドを入力します。

no debug packet if_name
 

if_name をインターフェイスの名前に置き換えます。たとえば、inside、outside、または境界インターフェイス名にします。

no debug all and undebug all

no debug all コマンドと undebug all コマンド は、任意のデバッグ メッセージおよびすべてのデバッグ メッセージを表示しないようにします。

debug crypto

デジタル証明書を作成する場合、 debug crypto ca コマンドを使用して、証明書が正しく作成されたことを保障します。 debug crypto ca コマンドがイネーブルになっている場合は、重要なエラー メッセージだけが表示されます。たとえば、Entrust フィンガープリント値を誤って入力した場合、 debug crypto ca コマンド出力に値が誤りであることを示す警告メッセージだけが表示されます。

debug crypto ipsec debug crypto isakmp コマンドの出力は、Telnet コンソール セッションには表示されません。

debug dhcpc

debug dhcpc detail コマンドは、DHCP クライアントに関する詳細なパケット情報を表示します。 debug dhcpc error コマンドは、DHCP クライアント エラー メッセージを表示します。 debug dhcpc packet コマンドは、DHCP クライアントに関するパケット情報を表示します。 debug dhcpc コマンドの no 形式を使用して、デバッグをディセーブルにします。

debug dhcpd event コマンドは、DHCP サーバに関するイベント情報を表示します。 debug dhcpd packet コマンドは、DHCP サーバに関するパケット情報を表示します。 debug dhcpd コマンドの no 形式を使用して、デバッグをディセーブルにします。

debug h323

debug h323 コマンドを使用すると、H.323 接続をデバッグできます。 このコマンドの no 形式を使用して、デバッグをディセーブルにします。このコマンドは、 fixup protocol h323 コマンドがイネーブルになっている場合に、動作します。


debug h323 コマンド、特に debug h323 h225 asndebug h323 h245 asn、および debug h323 ras asn コマンドは、メッセージの送信を遅延させ、リアルタイム環境でのパフォーマンスを低下させる可能性があります。


debug icmp

debug icmp trace コマンドは、PIX Firewall 装置自身のインターフェイスへの ping を含め、PIX Firewall に対して到着、出発、通過するパケットの ICMP パケット情報、発信元 IP アドレス、および宛先アドレスを示します。

debug icmp trace コマンドを停止するには、次のコマンドを入力します。

no debug icmp trace

debug mgcp

debug mgcp コマンドは、Media Gateway Control Protocol(MGCP)トラフィックに対するデバッグ情報を表示します。オプションが明示的に指定されていない場合、 debug mgcp コマンドは、3 種類ある MGCP デバッグ オプションのすべてをイネーブルにします。 no debug mgcp コマンドは、オプションが明示的に指定されていない場合、すべての MGCP デバッグをディセーブルにします。

debug ospf

debug ospf コマンドは、すべての OSPF デバッグ オプションをイネーブルにして、 no debug ospf コマンドは、すべての OSPF デバッグ オプションをディセーブルにします。

debug ospf spf コマンドは、すべての SPF オプションをイネーブルにして、 no debug ospf spf コマンドは、すべての SPF オプションをディセーブルにします。

debug sqlnet

debug sqlnet コマンドは、PIX Firewall を通過する Oracle SQL*Net クライアントとサーバ間のトラフィックについて報告します。

debug ssh

debug ssh コマンドは、 ssh コマンドに関連する情報とエラー メッセージについて報告します。

debug pptp

debug pptp および debug vpdn コマンドは、PPTP トラフィックに関する情報を提供します。PPTP は、 vpdn コマンドで設定されます。

debug fover

表 5-1 には、debug fover コマンド用のオプションがリストアップされています。

 

表 5-1 debug fover コマンド オプション

オプション
説明

cable

フェールオーバー ケーブル ステータス

fail

フェールオーバー内部例外

fmsg

フェールオーバー メッセージ

get

受信した IP ネットワーク パケット

ifc

ネットワーク インターフェイス ステータス トレース

lanrx

LAN ベースのフェールオーバー受信処理メッセージ

lanretx

LAN ベースのフェールオーバー再送処理メッセージ

lantx

LAN ベースのフェールオーバー送信処理メッセージ

lancmd

LAN ベースのフェールオーバー メイン スレッド メッセージ

open

フェールオーバー デバイス オープン

put

送信した IP ネットワーク パケット

rx

フェールオーバー ケーブルの受信

rxdmp

ケーブル受信メッセージ ダンプ(シリアル コンソールのみ)

rxip

受信した IP ネットワーク フェールオーバー パケット

tx

フェールオーバー ケーブル送信

txdmp

ケーブル送信メッセージ ダンプ(シリアル コンソールのみ)

txip

IP ネットワーク フェールオーバー パケット送信

verify

フェールオーバー メッセージの確認

switch

フェールオーバー スイッチング ステータス

Trace Channel 機能

debug packet コマンドは、Trace Channel に出力を送信します。これ以外の debug コマンドは送信しません。Trace Channel を使用すると、画面に出力を表示する方法が PIX Firewall コンソール セッションまたは Telnet セッション中に変更できます。

debug コマンドが Trace Channel を使用していない場合、各セッションは独立して動作します。これは、セッション内で開始されたコマンドはそのセッション内だけに表示されることを意味します。デフォルトでは、Trace Channel を使用していないセッションには、デフォルトでディセーブルになっている出力があります。

Trace Channel の位置は、コンソール セッションと同時に実行中の同時 Telnet コンソール セッションの有無、または PIX Firewall シリアル コンソールだけを使用しているかどうかによって決まり、次のようになります。

PIX Firewall シリアル コンソールだけを使用している場合、すべての debug コマンドがシリアル コンソール上に表示されます。

シリアル console コンソール セッションとコンソールにアクセスする Telnet コンソール セッションの両方がある場合、debug コマンドを入力したコンソールに関係なく、出力は Telnet コンソール セッション上に表示されます。

2 つ以上の Telnet コンソール セッションがある場合、最初のセッションは Trace Channel です。そのセッションが閉じると、シリアル コンソール セッションが Trace Channel になります。コンソールにアクセスする次の Telnet コンソール セッションが次に Trace Channel になります。

debug crypto コマンドを除く debug コマンドは、すべての Telnet とシリアル コンソール セッション間で共有されます。


) Trace Channel 機能の不便な点は、ある管理者がシリアル コンソールを使用している場合、ほかの管理者が Telnet コンソール セッションを開始すると、シリアル コンソールの debug コマンド出力が、警告を発行せずに突然停止することです。さらに、Telnet コンソール セッションの管理者に、予期しない debug コマンド出力が突然表示されることがあります。シリアル コンソールを使用していて、debug コマンド出力が表示されない場合は、who コマンドを使用して、Telnet コンソール セッションが実行中であるかどうかを確認します。


次に、 debug dhcpc packet コマンドと debug dhcpc detail コマンドによる出力例の一部を示します。 debug dhcpc コマンドを入力した後で、 ip address dhcp setroute コマンドを設定して、デバッグ情報を取得します。

debug dhcpc packet
debug dhcpc detail
ip address outside dhcp setroute
DHCP:allocate request
DHCP:new entry. add to queue
DHCP:new ip lease str = 0x80ce8a28
DHCP:SDiscover attempt # 1 for entry:
Temp IP addr:0.0.0.0 for peer on Interface:outside
Temp sub net mask:0.0.0.0
DHCP Lease server:0.0.0.0, state:1 Selecting
DHCP transaction id:0x8931
Lease:0 secs, Renewal:0 secs, Rebind:0 secs
Next timer fires after:2 seconds
Retry count:1 Client-ID:cisco-0000.0000.0000-outside
 
DHCP:SDiscover:sending 265 byte length DHCP packet
DHCP:SDiscover 265 bytes
DHCP Broadcast to 255.255.255.255 from 0.0.0.0
DHCP client msg received, fip=10.3.2.2, fport=67
DHCP:Received a BOOTREP pkt
DHCP:Scan:Message type:DHCP Offer
DHCP:Scan:Server ID Option:10.1.1.69 = 450A44AB
DHCP:Scan:Server ID Option:10.1.1.69 = 450A44AB
DHCP:Scan:Lease Time:259200
DHCP:Scan:Subnet Address Option:255.255.254.0
DHCP:Scan:DNS Name Server Option:10.1.1.70, 10.1.1.140
DHCP:Scan:Domain Name:example.com
DHCP:Scan:NBNS Name Server Option:10.1.2.228, 10.1.2.87
DHCP:Scan:Router Address Option:10.3.2.1
DHCP:rcvd pkt source:10.3.2.2, destination: 255.255.255.255
...
 

次の例は、debug icmp trace コマンドを実行します。

debug icmp trace
 

あるインターフェイスから PIX Firewall を通してホストに ping する場合、コンソール上にトレース出力が表示されます。次に、外部ホスト(209.165.201.2)から PIX Firewall 装置の外側インターフェイス(209.165.201.1)への ping が成功した例を示します。

Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 512) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 768) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 768) 209.165.201.1 > 209.165.201.2
Outbound ICMP echo request (len 32 id 1 seq 1024) 209.165.201.2 > 209.165.201.1
Inbound ICMP echo reply (len 32 id 1 seq 1024) 209.165.201.1 > 209.165.201.2
NO DEBUG ICMP TRACE
ICMP trace off
 

この例では、ICMP パケット長が 32 バイト、ICMP パケット識別子が 1 であること、および ICMP シーケンス番号が示されています。ICMP シーケンス番号は、0 から始まり、要求が送信されるたびに 1 ずつ増加します。

次に、 show debug コマンドの出力例を示します。

show debug
debug ppp error
debug vpdn event
debug crypto ipsec 1
debug crypto isakmp 1
debug crypto ca 1
debug icmp trace
debug packet outside both
debug sqlnet
 

上記の出力例には、 debug crypto コマンドが含まれています。

次の例では、Diffie-Hellman group 5 を使用した Unity クライアント ネゴシエーションに対するデバッグ メッセージを示します。

pixfirewall(config)# debug crypto isakmp
 
check_isakmp_proposal:
is_auth_policy_configured: auth 1
is_auth_policy_configured: auth 4
ISAKMP (0): Checking ISAKMP transform 1 against priority 8 policy
ISAKMP: encryption 3DES-CBC
ISAKMP: hash SHA
ISAKMP: default group 5
ISAKMP: extended auth RSA sig
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 2 against priority 8 policy
ISAKMP: encryption 3DES-CBC
ISAKMP: hash MD5
ISAKMP: default group 5
ISAKMP: extended auth RSA sig
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 3 against priority 8 policy
ISAKMP: encryption 3DES-CBC
ISAKMP: hash SHA
ISAKMP: default group 5
ISAKMP: auth RSA sig
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b
ISAKMP (0): atts are not acceptable. Next payload is 3
ISAKMP (0): Checking ISAKMP transform 4 against priority 8 policy
ISAKMP: encryption 3DES-CBC
ISAKMP: hash MD5
ISAKMP: default group 5
ISAKMP: auth RSA sig
ISAKMP: life type in seconds
ISAKMP: life duration (VPI) of 0x0 0x20 0xc4 0x9b

ISAKMP (0): atts are acceptable.Next payload is 3

次の例では、 debug mgcp messages コマンドに対して考えられる出力を示します。

17: MGCP: Retransmitted command RSIP
Gateway IP gate-1
Transaction ID 1
18: MGCP: Expired command RSIP
Gateway IP gate-1
Transaction ID 1
19: MGCP: New command RSIP
Gateway IP gate-1
Transaction ID 1
Endpoint name d001
Call ID
Connection ID
Media IP 0.0.0.0
Media port 0
Flags 0x80
20: MGCP: Retransmitted command RSIP
Gateway IP gate-1
Transaction ID 1
 

次の例では、 debug mgcp parser コマンドに対して考えられる出力を示します。

28: MGCP packet:
RSIP 1 d001@10.10.10.11 MGCP 1.0
RM: restart
 
29: MGCP: command verb - RSIP
30: MGCP: transaction ID - 1
31: MGCP: endpoint name - d001
32: MGCP: header parsing succeeded
33: MGCP: restart method - restart
34: MGCP: payload parsing succeeded
35: MGCP packet:
RSIP 1 d001@10.10.10.11 MGCP 1.0
RM: restart
 
36: MGCP: command verb - RSIP
37: MGCP: transaction ID - 1
38: MGCP: endpoint name - d001
39: MGCP: header parsing succeeded
40: MGCP: restart method - restart
41: MGCP: payload parsing succeeded
 

次の例では、 debug mgcp sessions コマンドに対して考えられる出力を示します。

91: NAT::requesting UDP conn for generic-pc-2/6166 [209.165.202.128/0]
from dmz/ca:generic-pc-2/2427 to outside:generic-pc-1/2727
92: NAT::reverse route: embedded host at dmz/ca:generic-pc-2/6166
93: NAT::table route: embedded host at outside:209.165.202.128/0
94: NAT::pre-allocate connection for outside:209.165.202.128 to dmz/ca:generic-pc-2/6166
95: NAT::found inside xlate from dmz/ca:generic-pc-2/0 to outside:209.165.201.15/0
96: NAT::outside NAT not needed
97: NAT::created UDP conn dmz/ca:generic-pc-2/6166 <-> outside:209.165.202.128/0
98: NAT::created RTCP conn dmz/ca:generic-pc-2/6167 <-> outside:209.165.202.128/0
99: NAT::requesting UDP conn for 209.165.202.128/6058 [generic-pc-2/0]
from dmz/ca:genericgeneric-pc-2/2427 to outside:generic-pc-1/2727
100: NAT::table route: embedded host at outside:209.165.202.128/6058
101: NAT::reverse route: embedded host at dmz/ca:generic-pc-2/0
102: NAT::pre-allocate connection for dmz/ca:generic-pc-2 to outside:209.165.202.128/6058
103: NAT::found inside xlate from dmz/ca:generic-pc-2/0 to outside:209.165.201.15/0
104: NAT::outside NAT not needed
105: NAT::created UDP conn dmz/ca:generic-pc-2/0 <-> outside:209.165.202.128/6058
106: NAT::created RTCP conn dmz/ca:generic-pc-2/0 <-> outside:209.165.202.128/6059
107: MGCP: New session
Gateway IP generic-pc-2
Call ID 9876543210abcdef
Connection ID 6789af54c9
Endpoint name aaln/1
Media lcl port 6166
Media rmt IP 209.165.202.128
Media rmt port 6058
108: MGCP: Expired session, active 0:06:05
Gateway IP generic-pc-2
Call ID 9876543210abcdef
Connection ID 6789af54c9
Endpoint name aaln/1
Media lcl port 6166
Media rmt IP 209.165.202.128
Media rmt port 6058
 

debug packet コマンドを使用して、パケットの内容をデバッグできます。

debug packet inside
--------- PACKET ---------
-- IP --
4.3.2.1 ==> 255.3.2.1
ver = 0x4 hlen = 0x5 tos = 0x0 tlen = 0x60
id = 0x3902 flags = 0x0 frag off=0x0
ttl = 0x20 proto=0x11 chksum = 0x5885
-- UDP --
source port = 0x89 dest port = 0x89
len = 0x4c checksum = 0xa6a0
-- DATA --
00000014: 00 01 00 00 |
....
00000024: 00 00 00 01 20 45 49 45 50 45 47 45 47 45 46 46 | ..
.. EIEPEGEGEFF
00000034: 43 43 4e 46 41 45 44 43 41 43 41 43 41 43 41 43 | CC
NFAEDCACACACAC
00000044: 41 43 41 41 41 00 00 20 00 01 c0 0c 00 20 00 01 | AC
AAA.. ..... ..
00000054: 00 04 93 e0 00 06 60 00 01 02 03 04 00 | ..
....`......
--------- END OF PACKET ---------
 

これは、パケット内の情報のリストを表示します。

次に、show debug コマンドの出力例を示します。

show debug
debug icmp trace off
debug packet off
debug sqlnet off
 

 
関連コマンド

mgcp

Media Gateway Control Protocol fixup(パケット アプリケーション検査)の追加サポートを設定して、 fixup protocol mgcp コマンドと共に使用します。

show conn

アクティブな接続をすべて表示します。MGCP show conn オプションと接続フラグ「g」があります。

timeout

アイドル状態の最大継続時間を設定します(MGCP タイムアウト オプションがあります)。

dhcpd

DHCP サーバを設定します。

[ no ] dhcpd address ip1 [ - ip2 ] if_name

[ no ] dhcpd auto_config [ outside ]

[ no ] dhcpd dns dns1 [ dns2 ]

[ no ] dhcpd wins wins1 [ wins2 ]

[ no ] dhcpd lease lease_length

[ no ] dhcpd domain domain_name

[ no ] dhcpd enable if_name

[ no ] dhcpd option 66 ascii { server_name | server_ip_str }

[ no ] dhcpd option 150 ip server_ip1 [ server_ip2 ]

no dhcpd option code

[ no ] dhcpd ping_timeout timeout

[ no ] debug dhcpd event

[ no ] debug dhcpd packet

clear dhcpd [ binding | statistics ]

show dhcpd [ binding | statistics ]

 
文法説明

address ip1 [ ip2 ]

IP プール アドレス範囲。プールのサイズは、PIX 501 上で、10 ユーザ ライセンスの場合は 32 アドレスに、50 ユーザ ライセンスの場合は 128 アドレスに制限されています。PIX 501 上でユーザ ライセンスに制限がない場合、およびほかのすべての PIX Firewall プラットフォームの場合は、256 アドレスがサポートされています。

アドレス プールの範囲が 253 アドレスよりも大きい場合、PIX Firewall インターフェイスのネットマスクは、クラス C アドレス(たとえば、
255.255.255.0)にはできないため、それよりいくらか大きく、たとえば、255.255.254.0 にする必要があります。

auto_config

PIX Firewall が、DNS、WINS およびドメイン名の値を自動的に DHCP クライアントから DHCP サーバに設定できるようにします。ユーザが dns、wins、および domain パラメータも設定する場合は、CLI パラメータが auto_config パラメータを上書きします。

binding

与えられたサーバの IP アドレスとそれに関連付けられているクライアント ハードウェア アドレスとリース期間に対するバインディング情報。

code

DHCP オプション コードに 66 または 150 を指定します。

dns dns1 [ dns2 ]

DHCP クライアントに対する DNS サーバの IP アドレス。スタティック トランスレーションに一致する DNS A(アドレス)リソース レコードが書き直されることを指定します。2 番目のサーバ アドレスは、オプションです。

domain domain_name

DNS ドメイン名。たとえば、 example.com です。

if_name

DHCP サーバをイネーブルにするインターフェイスを指定します。

lease lease_length

DHCP サーバが DHCP クライアントに与えたリース期間を秒単位で指定します。リースは、クライアントが割り当てられた IP アドレスを使用できる期間を示します。デフォルトは、3600 秒です。最短リース期間は、300 秒で、最大リース期間は、2,147,483,647 秒です。

option 150

Cisco IP Phone 用に指示されている TFTP サーバの IP アドレスをドット付き 10 進形式で指定します。DHCP オプション 150 は、サイト専用であり、TFTP サーバのリストの IP アドレスを与えます。

option 66

Cisco IP Phone 用に指示されている TFTP サーバの IP アドレスを指定して、1 つの TFTP サーバの IP アドレスかホスト名を与えます。

outside

ファイアウォールの outside インターフェイス。

ping_timeout

ping のタイムアウト値をミリ秒単位で設定し、その時間が経過したら、IP アドレスを DHCP クライアントに割り当てるようにします。

server_ip(1,2)

TFTP サーバの IP アドレスを指定します。

server_ip_str

TFTP サーバをドット付き 10 進形式、たとえば 1.1.1.1 で指定しますが、PIX Firewall DHCP サーバは、これを文字列として取り扱います。

server_name

TFTP サーバを示す ASCII 文字列を指定します。

statistics

アドレス プール、バインディング数、形式が誤っているメッセージ、送信済みメッセージ、および受信済みメッセージなどの統計情報。

wins wins1 [ wins2 ]

Microsoft NetBIOS ネーム サーバ(WINS サーバ)の IP アドレス。2 番目のサーバ アドレスは、オプションです。

 
コマンド モード

設定モード。

 
使用上のガイドライン

DHCP サーバには、DHCP クライアントへのネットワーク設定パラメータがあります。PIX Firewall 内で DHCP サーバをサポートすることは、PIX Firewall が DHCP を使用して、接続されているクライアントを設定できることを意味します。この DHCP 機能は、エンタープライズ ネットワークや企業ネットワークへの接続を確立するリモート ホームや支店を対象に設計されています。DHCP サーバ機能を PIX Firewall にインプリメントする方法については、『 Cisco PIX Firewall and VPN Configuration Guide 』を参照してください。

PIX Firewall ソフトウェアの Version 6.3 を使用している場合は、すべての DHCP サーバ コマンドに対して、インターフェイス名「 if_name 」を指定する必要があります。初期のソフトウェア バージョンでは、内側インターフェイスだけが DHCP サーバとして設定できました。したがって、「 if_name 」を指定する必要はありませんでした。


) PIX Firewall DHCP サーバは、BOOTP 要求と failover 構成はサポートしていません。


dhcpd address ip1 [ - ip2 ] if_name コマンドは、DHCP サーバ アドレス プールを指定します。
PIX Firewall DHCP サーバのアドレス プールは、イネーブルになっている PIX Firewall インターフェイスと同じサブネットにある必要があり、「 if_name 」を使用して関連する PIX Firewall インターフェイスを指定する必要があります。言い換えると、クライアントは、物理的に PIX Firewall インターフェイスのサブネットに接続されている必要があります。プールのサイズは、PIX 501 上で、10 ユーザ ライセンスの場合は 32 アドレスに、50 ユーザ ライセンスの場合は 128 アドレスに制限されています。PIX 501 上でユーザ ライセンスに制限がない場合、およびほかのすべての PIX Firewall プラットフォームの場合は、256 アドレスがサポートされています。

名前に「-」(ダッシュ)文字が含まれる場合は、注意が必要です。 dhcpd address コマンドは、名前の中の最後の「-」文字(またはただ 1 つの「-」文字)を、名前の一部ではなく範囲指定子と解釈するからです。たとえば、 dhcpd address コマンドは、「 host-net2 」という名前を「 host 」から「 net2 」までの範囲として扱います。名前が「 host-net2-section3 」の場合は、「 host-net2 」から「 section3 」までの範囲と解釈されます。

The no dhcpd address command removes the DHCP server address pool you configured.

dhcpd dns コマンドは、DNS サーバの IP アドレスを DHCP クライアントに指定します。2 つの DNS サーバを指定するオプションがあります。 no dhcpd dns コマンドは、設定から DNS IP アドレスを削除します。

dhcpd wins コマンドは、WINS サーバのアドレスを DHCP クライアントに指定します。 no dhcpd dns コマンドは、設定から WINS サーバの IP アドレスを削除します。

dhcpd lease コマンドは、DHCP クライアントに与えたリース期間を秒単位で指定します。このリース期間は、DHCP が割り当てた IP アドレスを DHCP クライアントが使用できる期間を示します。 no dhcpd lease コマンドは、設定から指定したリース長を削除して、この値をデフォルト値の 3600 秒に置き換えます。

dhcpd domain コマンドは、DHCP クライアント用の DNS ドメイン名を指定します。たとえば、example.com を指定します。 no dhcpd domain コマンドは、設定から DNS ドメイン サーバを削除します。

dhcpd enable if_name コマンドを使用すると、DHCP デーモンが DHCP イネーブル インターフェイス上で DHCP クライアントの要求のリスンを開始します。 no dhcpd enable コマンドは、指定したインターフェイス上の DHCP サーバ機能をディセーブルにします。

DHCP は、このコマンドを使用できるようにする必要があります。 dhcpd enable if_name コマンドを使用して、DHCP を動作させます。


) PIX Firewall DHCP サーバ デーモンは、ファイアウォール インターフェイスに直接接続されていないクライアントをサポートしていません。また、このインターフェイスは、dhcprelay enable client_ifc コマンドで DHCP クライアント情報を取得するように設定されている必要があります。


dhcpd option 66 | 150 コマンドは、Cisco IP Phone 接続用の TFTP サーバ アドレス情報を取得します。

dhcpd option コマンド要求が PIX Firewall DHCP サーバに到着したとき、PIX Firewall は、 dhcpd option 66 | 150 が指定する値を応答に入れます。

dhcpd option code コマンドは、次のように使用します。

Cisco IP Phone 接続用の TFTP サーバが内側インターフェイス上にある場合、TFTP サーバのローカル IP アドレスを dhcpd option コマンド内で使用します。

TFTP サーバが安全性の低いインターフェイス上にある場合、NAT および内側 IP Phone 用の global コマンド文と access-list コマンド文のグループを作成して、TFTP サーバの実 IP アドレスを dhcpd option コマンド内で使用します。

TFTP サーバがよりセキュアなインターフェイス上にある場合、TFTP サーバ用に static コマンド文と access-list コマンド文のグループを作成して、TFTP サーバのグローバル IP アドレスを dhcpd option コマンド内で使用します。

show dhcpd コマンドは、 dhcpd コマンド、バインディング、および dhcpd コマンドのすべてに関連する統計情報を表示します。

clear dhcpd コマンドは、 dhcpd コマンド、バインディング、および統計情報をすべてクリアします。

debug dhcpd event コマンドは、DHCP サーバに関するイベント情報を表示します。 debug dhcpd packet コマンドは、DHCP サーバに関するパケット情報を表示します。 debug dhcpd コマンドの no 形式を使用して、デバッグをディセーブルにします。

次に示す設定例の一部では、 dhcpd address dhcpd dns 、および dhcpd enable if_name コマンドを使用して DHCP クライアント用のアドレス プールと各 DHCP クライアント用の DNS サーバ アドレスを設定する方法、および DHCP サーバ機能に対して PIX Firewall の dmz インターフェイスをイネーブルにする方法を示します。

dhcpd address 10.0.1.100-10.0.1.108 dmz
dhcpd dns 209.165.200.226
dhcpd enable dmz
 

次に示す設定例の一部では、253 アドレスの DHCP プールを定義する方法と、auto_config コマンドを使用して、DNS、WINS、および DOMAIN パラメータを設定する方法を示します。ファイアウォールの dmz インターフェイスは、DHCP サーバとして設定されており、 dmz インターフェイスのネットマスクは、255.255.254.0 であることに注目してください。

ip address dmz 10.0.1.1 255.255.254.0
dhcpd address 10.0.1.2-10.0.1.254 dmz
dhcpd auto_config outside
dhcpd enable dmz
 

次の設定例では、相互に関連する 3 つの新しい機能である DHCP サーバ、DHCP クライアント、および PAT を使用する方法を示します。インターフェイス IP を使用するこの 3 つの機能は、 inside インターフェイスを DHCP サーバとして使用して、SOHO(small office, home office)環境にある PIX Firewall を設定します。

! use dhcp to configure the outside interface and default route
ip address outside dhcp setroute
! enable dhcp server daemon on the inside interface
ip address inside 10.0.1.2 255.255.255.0
dhcpd address 10.0.1.100-10.0.1.108 inside
dhcpd dns 209.165.201.2 209.165.202.129
dhcpd wins 209.165.201.5
dhcpd lease 3600
dhcpd domain example.com
dhcpd enable inside
! use outside interface IP as PAT global address
nat (inside) 1 0 0
global (outside) 1 interface
 

次に、 show dhcpd コマンドの出力例を示します。

pixfirewall(config)# show dhcpd
dhcpd address 10.0.1.100-10.0.1.108 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd dns 209.165.201.2 209.165.202.129
dhcpd enable inside
 

次に、show dhcpd binding コマンドの出力例を示します。

pixfirewall(config)# show dhcpd binding
IP Address Hardware Address Lease Expiration Type
10.0.1.100 0100.a0c9.868e.43 84985 seconds automatic
 

次に、show dhcpd statistics コマンドの出力例を示します。

show dhcpd statistics
Address Pools 1
Automatic Bindings 1
Expired Bindings 1
Malformed messages 0
 
Message Received
BOOTREQUEST 0
DHCPDISCOVER 1
DHCPREQUEST 2
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
 
Message Sent
BOOTREPLY 0
DHCPOFFER 1
DHCPACK 1
DHCPNAK 1
 

 
関連コマンド

ip address

インターフェイスの IP アドレスとマスクを設定するか、ローカル アドレス プールを定義します。

dhcprelay

DHCP リレー エージェントを設定します。リレー エージェントは、DCHP サーバのファイアウォール インターフェイスと別のファイアウォール インターフェイス上の DHCP クライアントとの間の要求を中継します。

[ no ] dhcprelay enable client_ifc

[ no ] dhcprelay server dhcp_server_ip server_ifc

[ no ] dhcprelay setroute client_ifc

[ no ] dhcprelay timeout seconds

[ clear|show ] dhcprelay [ statistics ]

 
文法説明

client_ifc

DHCP リレー エージェントがクライアント要求を受け入れるインターフェイス名。

dhcp_server_ip

DHCP リレー エージェントがクライアント要求を転送する DHCP サーバの IP アドレス。

enable

DHCP リレー エージェントをイネーブルにして、指定したインターフェイス上のクライアントから DHCP 要求を受け入れます。

seconds

DHCP リレー アドレス ネゴシエーション用に許可されている時間(秒)。

server_ifc

DHCP サーバが常駐するファイアウォール インターフェイス名。

statistics

DHCP リレー統計情報は、 clear dhcprelay statistics コマンドが発行されるまで加算されます。

 
デフォルト

デフォルトでは、DHCP リレー エージェントはディセーブルになっています。

デフォルトの DHCP リレー タイムアウト値は、60 秒です。

 
コマンド モード

設定モード。 show dhcprelay コマンドは、特権モードでも利用できます。

 
使用上のガイドライン

dhcprelay enable コマンド、 dhcprelay server コマンド、および dhcprelay timeout コマンドを使用して、DCHP サーバのファイアウォール インターフェイスと別のファイアウォール インターフェイス上にある DHCP クライアントとの間の要求を中継するように DHCP リレー エージェントを設定します。


) DHCP クライアントの DHCP サーバが Easy VPN トンネルの反対側にある DHCP クライアントに対して、ネットワーク拡張モードを使用します。このモードを使用しない場合、DHCP クライアントが、クライアント モードを使用して Easy VPN Server に接続されている PIX VPN Easy Remote デバイスの背後にある場合、DHCP クライアントは Easy VPN Server の反対側にある DHCP サーバから DHCP IP アドレスを取得できません。


dhcprelay enable

ファイアウォールが dhcprelay enable client_ifc コマンドを使用して、DHCP リレー エージェントを起動するには、設定内に dhcprelay server コマンドが存在している必要があります。そのコマンドがなければ、ファイアウォールは次に示すようなエラー メッセージを表示します。

DHCPRA:Warning - There are no DHCP servers configured!
No relaying can be done without a server!
Use the 'dhcprelay server <server_ip> <server_ifc>' command
 

dhcprelay enable client_ifc コマンドは、指定したインターフェイス上で DHCP サーバ タスクを開始します。この dhcprelay enable コマンドが最初に発行される dhcprelay enable コマンドであり、設定内に dhcprelay server コマンドがあれば、参照される DHCP サーバ用のポートが開かれ、DHCP リレー タスクが開始します。

dhcprelay enable client_ifc コマンドが no dhcprelay enable client_ifc コマンドを使用して、削除されると、そのインターフェイスの DHCP サーバ タスクは停止します。削除される dhcprelay enable コマンドが設定内で最後の dhcprelay enable コマンドであれば、 dhcprelay server コマンドに指定されたサーバ用のポートすべてが閉じられ、DHCP リレー タスクが停止します。

dhcprelay server

少なくとも 1 つの dhcprelay server コマンドをファイアウォール設定に追加してから、 dhcprelay
enable
コマンドを入力します。この追加がないと、ファイアウォールがエラー メッセージを発行します。

dhcprelay server コマンドは、指定したサーバに対して指定したインターフェイスにある UDP ポート 67 を開き、 dhcprelay enable コマンドが設定に追加されるとすぐに DHCP リレー タスクを開始します。設定内に no dhcprelay enable コマンドがあれば、ソケットは開かれず、DHCP リレー タスクは開始しません。

dhcprelay server dhcp_server_ip [ server_ifc ] コマンドが削除されると、サーバ用のポートは閉じられます。削除される dhcprelay server コマンドが設定内で最後の dhcprelay server コマンドであれば、DHCP リレー タスクは停止します。

dhcprelay setroute

dhcprelay setroute client_ifc コマンドを使用すると、DHCP Relay Agent を設定して、最初のデフォルト ルータ アドレス(DHCP サーバから送信されるパケット内にある)を「 client_ifc 」のアドレスに変更するように設定できます。つまり、DHCP Relay Agent は、デフォルト ルータのアドレスを「 client_ifc 」のアドレスに置き換えます。

パケット内にデフォルトのルータ オプションがなければ、ファイアウォールは、「 client_ifc 」アドレスを含んでいるデフォルト ルータを追加します。その結果、クライアントは自分のデフォルト ルートがファイアウォールに向かうように設定できます。

dhcprelay setroute client_ifc コマンドが設定されていなければ(また、パケット内にデフォルトのルータ オプションがあれば)、変更されていないルータ アドレスでファイアウォールを通過します。

dhcprelay timeout

dhcprelay timeout コマンドは、DHCP サーバからの応答がリレー バインディング構造を通して DHCP クライアントに進むことが許されている時間の合計を秒単位で設定します。

no dhcprelay commands

no dhcprelay enable client_ifc コマンドは、 client_ifc だけによって指定されているインターフェイス用の DHCP リレー エージェント設定を削除します。

no dhcprelay server dhcp_server_ip [ server_ifc ] コマンドは、 dhcp_server_ip [ server_ifc ] だけによって指定されている DHCP サーバ用の DHCP リレー エージェント設定を削除します。

show dhcprelay

show dhcprelay コマンドは DHCP リレー エージェント設定を表示し、 show dhcprelay statistics コマンドは DHCP リレー エージェントによって中継されたパケット用のカウンタを表示します。

clear dhcprelay コマンドは、すべての DHCP リレー設定をクリアします。 clear dhcprelay statistics コマンドは、 show dhcprelay statistics カウンタをクリアします。

次の例は、10.1.1.1 という IP アドレスを持つ DHCP サーバ用の DHCP リレー エージェントをファイアウォールの外側インターフェイス上に設定し、クライアント要求をファイアウォールの内側インターフェイス上に設定して、さらにタイムアウト値を 90 秒に設定します。

pixfirewall(config)# dhcprelay server 10.1.1.1 outside
pixfirewall(config)# show dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay timeout 50
 
pixfirewall(config)# dhcprelay timeout 60
pixfirewall(config)# show dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay timeout 60
 
pixfirewall(config)# dhcprelay enable inside
pixfirewall(config)# show dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay enable inside
dhcprelay timeout 60
 

次の例では、設定内に dhcprelay enable コマンドが 1 つだけしかない場合に、DHCP リレー エージェントをディセーブルにする方法を示します。

pixfirewall(config)# no dhcprelay enable
pixfirewall(config)# show dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay timeout 60
 

次に、 show dhcprelay statistics コマンドの出力例を示します。

pixfirewall(config)# show dhcprelay statistics
Packets Relayed
BOOTREQUEST 0
DHCPDISCOVER 7
DHCPREQUEST 3
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0
 
BOOTREPLY 0
DHCPOFFER 7
DHCPACK 3
DHCPNAK 0

 
関連コマンド

dhcpd

DHCP サーバ機能を制御します。

disable

特権モードを終了して、ユーザ モードに戻ります。

enable

disable

 
文法説明

enable

PIX Firewall コマンドライン インターフェイス プロンプトで入力すると、特権モードに入ります。

disable

PIX Firewall コマンドライン インターフェイス プロンプトで入力すると、特権モードを終了します。

 
コマンド モード

特権モード。

 
使用上のガイドライン

enable コマンドを使用して、特権モードに入ります。 disable コマンドは、特権モードを終了して、ユーザ モードに戻ります。

次の例では、特権モードに入る方法を示します。

pixfirewall> enable
pixfirewall#

 

次の例では、特権モードを終了する方法を示します。

pixfirewall# disable
pixfirewall>

domain-name

IPSec ドメイン名を変更します。

domain-name name

 
文法説明

name

ドメイン名は、最大 63 文字です。

 
コマンド モード

設定モード。

 
使用上のガイドライン

domain-name コマンドによって、IPSec ドメイン名を変更できます。


) ドメイン名を変更すると、完全修飾ドメイン名が変更されます。完全修飾ドメイン名が変更されたら、ca zeroize rsa コマンドを使用して、RSA キー ペアを削除し、no ca identity ca_nickname コマンドを使用して、関連する証明書を削除します。


次の例では、 domain-name コマンドの使用方法を示します。

domain-name example.com

dynamic-map

ダイナミック暗号マップ エントリを表示または削除します。ダイナミック暗号マップ エントリを設定する方法については、 crypto dynamic-map コマンドを参照してください。

clear dynamic-map

show dynamic-map

 
文法説明

dynamic-map

ダイナミック暗号化マップ エントリ

 
コマンド モード

設定モード。

 
使用上のガイドライン

clear dynamic-map コマンドは、設定から dynamic-map コマンドを削除します。 show dynamic-map コマンドは、設定内の dynamic-map コマンドのリストを表示します。


) dynamic-map コマンドは、crypto dynamic-map コマンドと同じです。例やほかのコマンド オプションなどの詳細については、 crypto dynamic-map コマンドのページを参照してください。


eeprom

このコマンドは、シリアル番号 44480380055 ~ 44480480044 までの PIX 525 モデルだけに適用されます。低レベル イーサネット インターフェイス設定情報に使用する EEPROM 不揮発性記憶装置の内容を表示して、アップデートします。

eeprom update

show eeprom

 
文法説明

eeprom update

EEPROM レジスタ 6 に 16 進値 0x4701、レジスタ 10 に 16 進値 0x40c0 が入っていることを確認した後、必要があれば、EEPROM レジスタの設定値を変更します。これらのレジスタに別の値が入っていた場合は、この問題の影響を受けない MAC アドレス レジスタを除き、すべての
EEPROM レジスタの設定値が正しい値にリセットされます。

 
コマンド モード

設定モード。

 
使用上のガイドライン

Version 5.2(4) 以降に追加された eeprom コマンドは、オンボード イーサネット インターフェイス上の eeprom の破損を含む警告(CSCds76768)を修復します。詳細については、2000 年 12 月 20 日の Field Notice、『Cisco Secure PIX Firewall: PIX-525 Ethernet EEPROM Programming Issue』を参照してください。この Field Notice は、次の Web サイトで入手できます。

http://www.cisco.com/warp/public/770/fn13021.shtml

この問題は、次のように要約されています。

シリアル番号 44480380055 ~ 44480480044 の PIX 525 上のオンボード イーサネット インターフェイス(ethernet0 と ethernet1)を全二重に設定した場合、インターフェイス エラーとスループットの低下が生じる可能性があります。インターフェイスを半二重または自動検出に設定した場合、通常は速度と二重通信機能にエラーは発生しません。

eeprom コマンドは、ROM モニタ モードへのアクセスを必要とせずに、問題を解決して、「eedisk」ユーティリティと同じ機能を実行するように設計されています。eeprom コマンドの 2 つの変形として、show eeprom コマンドと eeprom update コマンドがあります。

eeprom update コマンドは、ROM モニタ モードにアクセスせずに、「eedisk」ユーティリティと同じ機能を実行しますが、show eeprom コマンドは、イーサネット EEPROM プログラミングが正しいか誤りかを示します。

show eeprom コマンドは、現在の EEPROM 設定を表示します。 eeprom update コマンドは、必要があれば、設定を変更します。eeprom コマンドが EEPROM 設定をアップデートした場合は、PIX Firewall を再度ブートしないことを推奨します。

eeprom コマンドは、EEPROM レジスタ設定値を確認して、推奨する値が設定されていなければ、アップデートします。eeprom コマンドは、設定値が正しければ、設定をアップデートしません。また、設定に変更がなければ、リブートは推奨しません。

eeprom update コマンドは、EEPROM レジスタ 6 に 16 進値 0x4701、レジスタ 10 に 16 進値 0x40c0 が入っていることを確認します。これらのレジスタに別の値が入っていた場合は、CSCds76768 の原因となっている問題の影響を受けない MAC アドレス レジスタを除き、すべての EEPROM レジスタの設定値が正しい値にリセットされます。

各レジスタは、16 ビットです。正しいレジスタ値を次に示します。

 

レジスタ
名前

レジスタ 0 ~ 2

MAC アドレス

各システムにより異なる(一意)

レジスタ 3

互換性ビット

0x3

レジスタ 5

コントローラとコネクタ タイプ

0x201

レジスタ 6

オンボード PHY タイプ

0x4701

レジスタ 10

オンボード Prom ID

0x40C0

レジスタ 12

ベンダー ID、8086 は Intel

0x8086

show eeprom コマンドは、現在の EEPROM レジスタ設定を表示します。

pix525# show eeprom
eeprom settings for ifc0:
reg0: 0x5000
reg1: 0xfe54
reg2: 0x65f6
reg3: 0x3
reg5: 0x201
reg6: 0x4702
reg10: 0x40c0
reg12: 0x8086
eeprom settings for ifc1:
reg0: 0x5000
reg1: 0xfe54
reg2: 0x66f6
reg3: 0x3
reg5: 0x201
reg6: 0x4702
reg10: 0x40c0
reg12: 0x8086reg12: 0x8086

コマンドが PIX 525 でない装置で実行されると、次のように表示されます。

pix515# show eeprom
This unit is not a PIX-525.
Type help or '?' for a list of available commands.
 

アップデートが PIX 525 で実行される必要があれば、eeprom update コマンドは、次のように返します。

pix525# eeprom update
eeprom settings on ifc0 are being reset to defaults:
reg0: 0x5000
reg1: 0xfe54
reg2: 0x65f6
reg3: 0x3
reg5: 0x201
reg6: 0x4701
reg10: 0x40c0
reg12: 0x8086
eeprom settings on ifc1 are being reset to defaults:
reg0: 0x5000
reg1: 0xfe54
reg2: 0x66f6
reg3: 0x3
reg5: 0x201
reg6: 0x4701
reg10: 0x40c0
reg12: 0x8086
*** WARNING! *** WARNING! *** WARNING! *** WARNING! ***
The system should be restarted as soon as possible.
*** WARNING! *** WARNING! *** WARNING! *** WARNING! ***

 

アップデートが成功したら、eeprom コマンドの出力は次のように表示されます。

pix525# eeprom update
eeprom settings on ifc0 are already up to date:
reg0: 0x5000
reg1: 0xfe54
reg2: 0x65f6
reg3: 0x3
reg5: 0x201
reg6: 0x4701
reg10: 0x40c0
reg12: 0x808
eeprom settings on ifc1 are already up to date:
reg0: 0x5000
reg1: 0xfe54
reg2: 0x66f6
reg3: 0x3
reg5: 0x201
reg6: 0x4701
reg10: 0x40c0
reg12: 0x80866

enable

特権モードを開始するか、特権レベルにアクセスします。

enable [ priv_1evel ]

disable [ priv_1evel ]

enable password [ pw ] [ level priv_1evel ] [ encrypted ]

no enable password [ level priv_1evel ]

show enable

 
文法説明

enable

プロセス、モード、または特権レベルをアクティブ化するように指定します。

enable priv_level

0 ~ 15 の特権レベルをイネーブルにするように指定します。

encrypted

用意されているパスワードがすでに暗号化されていることを指定します。

level priv_level

0 ~ 15 の特権レベルを設定するように指定します。

password

特権レベルを設定するように指定します。

pw

特権レベル パスワード文字列。

 
コマンド モード

enable に対してはユーザ モードで、enable password に対しては設定モードです。

 
使用上のガイドライン

enable コマンドは、特権モードを開始します。PIX Firewall は、特権モードのパスワードを入力するようにプロンプトを表示します。デフォルトでは、パスワードは必要ありません。Password プロンプトで Enter キーを押して、特権モードを開始します。 disable コマンドを使用して、特権モードを終了します。 enable password コマンドを使用して、パスワードを変更します。

enable password コマンドは、 enable コマンドを入力した後にプロンプトで要求される特権モードのパスワードを変更します。PIX Firewall が起動して、特権モードに入ると、パスワード プロンプトが表示されます。デフォルトのパスワードはありません(Password プロンプトで Enter キーを押します)

次のコマンドを入力すると、イネーブル パスワードを元の値(プロンプトで Enter キーを押す)に戻すことができます。

pixfirewall# enable password
pixfirewall#
 

) パスワードを変更したら、書き留めてサイトのセキュリティ ポリシーに合った方法で保管します。このパスワードを変更すると、再表示はできません。また、PIX Firewall コンソールにアクセスするユーザ全員に必ずこのパスワードを通知してください。


passwd コマンドを使用して、PIX Firewall コンソールへの Telnet アクセスで使用するパスワードを設定します。デフォルトの passwd 値は、 cisco です。

詳細については、 passwd コマンドのページを参照してください。

特権レベル名が指定されていなければ、最高の特権レベルとみなします。

show enable コマンドは、特権レベルに対するパスワード設定を表示します。

次の例では、 enable コマンドで特権モードを開始する方法と、 configure terminal コマンドで設定モードを開始する方法を示します。

pixfirewall> enable
Password:
pixfirewall# configure terminal
pixfirewall(config)#
 

次の例では、 enable コマンドで特権モードを開始する方法、 enable password コマンドでイネーブル パスワードを変更する方法、 configure terminal コマンドで設定モードに入る方法、および write terminal コマンドで現在の設定の内容を表示する方法を示します。

pixfirewall> enable
Password:
pixfirewall# enable password w0ttal1fe
pixfirewall# configure terminal
pixfirewall(config)# write terminal
Building configuration...
...
enable password 2oifudsaoid.9ff encrypted
...
 

次の例では、 encrypted オプションの使用方法を示します。

enable password 1234567890123456 encrypted
show enable password
enable password 1234567890123456 encrypted
 
enable password 1234567890123456
show enable password
enable password feCkwUGktTCAgIbD encrypted
 

次の例では、デフォルト レベルの 15 以外のレベルに対してイネーブル パスワードを設定する方法を示します。

pixfirewall(config)# enable password cisco level 10
 
pixfirewall(config)# show enable
enable password wC38a.EQklqK3ZqY level 10 encrypted
enable password 8Ry2YjIyt7RRXU24 encrypted
 
pixfirewall(config)# enable password wC38a.EQklqK3ZqY level 12 encrypted
 
pixfirewall(config)# show enable
enable password wC38a.EQklqK3ZqY level 10 encrypted
enable password wC38a.EQklqK3ZqY level 12 encrypted
enable password 8Ry2YjIyt7RRXU24 encrypted
 
pixfirewall(config)# no enable password level 12
 
pixfirewall(config)# show enable
enable password wC38a.EQklqK3ZqY level 10 encrypted
enable password 8Ry2YjIyt7RRXU24 encrypted
 
pixfirewall(config)# no enable password level 10
 
pixfirewall(config)# show enable
enable password 8Ry2YjIyt7RRXU24 encrypted
 

ただし、特権レベル 10 と 12 を定義しても、レベル 15 のパスワードは、変更も削除もされないことに注目してください。

established

確立されている接続に基づく発信接続に使用されるポート以外のポート上のリターン接続を許可します。

[no] established dest_protocol [src_port] [permitto protocol port [-port]] [permitfrom protocol port[-port]]

clear established

show established

 
文法説明

dest_port

確立されている接続のルックアップに使用する宛先ポートを指定します。このポートは、発信トラフィックの宛先ポートであり、プロトコルが使用する宛先ポートを指定しない場合は、0 として指定される可能性があります。必要な場合に限り、ワイルドカード ポート(0)を使用します。

permitfrom

リターン トラフィックのプロトコルの指定とトラフィックが許可される発信元ポートの指定に使用します。

permitto

リターン トラフィックのプロトコルの指定とトラフィックが許可される宛先ポートの指定に使用します。

src_port

確立されている接続のルックアップに使用する発信元ポートを指定します。このポートは、発信トラフィックの発信元ポートであり、プロトコルが使用する発信元ポートを指定しない場合は、0 と指定される可能性があります。必要な場合に限り、ワイルドカード ポート(0)を使用します。

 
コマンド モード

設定モード。

 
使用上のガイドライン

established コマンドは、送信接続が PIX Firewall を通してリターン アクセスするのを許可します。このコマンドは、PIX Firewall によって保護されているネットワークからの元の接続の送信、および外部ホスト上の同じ 2 つのデバイス間のリターン接続受信という 2 つの接続と共に動作します。

指定されている第 1 のプロトコル、宛先ポート、およびオプションの発信元ポートは、最初の送信接続用です。permitto オプションと permitfrom オプションは、リターン受信接続を詳細に指定します。


) 常に permitto オプションおよび permitfrom オプションと共に established コマンドを指定するよう推奨します。これらのオプションなしで、established コマンドを使用すると、セキュリティ ホールが開きます。セキュリティ ホールは、内部システムの攻撃に利用される可能性があります。詳細については、後の「Security Problem」の項を参照してください。


permitto オプションによって、PIX Firewall においてリターン接続用の新しいプロトコルまたはポートを指定できます。

permitfrom オプションによって、リモート サーバで新しいプロトコルまたはポートを指定できるようになります。

no established コマンドは、established 機能をディセーブルにします。

clear established コマンドは、設定からすべての establish コマンド文を削除します。


) established コマンドが正しく動作するには、クライアントが permitto オプションで指定したポート上でリスンしている必要があります。


established コマンドは、nat 0 コマンド文(global コマンド文がない)を付けて使用できます。


) established コマンドは、PAT(ポート アドレス変換)を付けて使用できません。


established コマンドは、次に示すフォーマットで動作します。

established A B C permitto D E permitfrom D F
 

このコマンドは、「2 つのホスト間に、プロトコル A を使用して、発信元ポート B からポート C へ向かう接続が存在する場合、発信元ポートが F に対応し、宛先ポートが E に対応しているときは、プロトコル D を使用して PIX Firewall を通過するリターン接続を許可します(D は、A とは異なる可能性がある)」と書かれているように動作します。

次に例を示します。

established tcp 6060 0 permitto tcp 6061 permitfrom tcp 6059
 

このケースでは、接続が内部ホストから外部ホストへ TCP 発信元ポート 6060 と任意の宛先ポートを使用して開始されている場合、PIX Firewall は、このホスト間に TCP 宛先ポート 6061 と TCP 発信元ポート 6059 を経由するリターン トラフィックを許可します。

次に例を示します。

established udp 0 6060 permitto tcp 6061 permitfrom tcp 1024-65535
 

このケースでは、接続が内部ホストから外部ホストへ UDP 宛先ポート 6060 と任意の発信元ポートを使用して開始されている場合、PIX Firewall は、このホスト間に TCP 宛先ポート 6061 と TCP 発信元ポート 1024-65535 を経由するリターン トラフィックを許可します。

セキュリティ問題

established コマンドは、接続のルックアップに使用する宛先ポートをオプションで指定するように拡張されました。以前は、宛先ポートを 0(ワイルドカード)として、発信元ポートだけが指定できました。この追加によって、コマンドをさらに制御できるようになり、宛先ポートは既知であるが、発信元ポートは未知のプロトコルをサポートできます。

established コマンドは、注意深く使用しない場合、PIX Firewall に一時的にセキュリティ ホールを開く可能性があります。このコマンドを使用するときは、可能であれば、必ず permitto オプションと permitfrom オプションを使用して、アクセスが許可されている宛先ポートと発信元ポートを示します。これらのオプションがなければ、接続が確立されている外部システムは、その接続に関係する内部ホストに無制限に接続できます。次の例では、established コマンドを使用した場合に認められる可能性がある重要なセキュリティ違反を示します。

次に例を示します。

established tcp 0 4000
 

この例では、内部システムがポート 4000 上の外部ホストに TCP 接続を作成した場合、外部ホストは、任意のプロトコルを使用して任意のポート上に戻ることができます。

established tcp 0 0 (Same as previous releases established tcp 0 command.)
 

次の例は、ローカル ホスト 10.1.1.1 が外部のホスト 209.165.201.1 に対してポート 9999 上で TCP 接続を開始したときに発生します。この例では、外部ホスト 209.165.201.1 のポート 4242 からのパケットがローカル ホスト 10.1.1.1 のポート 5454 に戻ることが許可されます。

established tcp 9999 permitto tcp 5454 permitfrom tcp 4242
 

次の例では、外部ホスト 209.165.201.1 の任意のポートからローカル ホスト 10.1.1.1 のポート 5454 に戻るパケットが許可されます。

established tcp 9999 permitto tcp 5454

XDMCP サポート

PIX Firewall は、現在 established コマンドの支援を受けて XDMCP(X Display Manager Control Protocol)をサポートしています。

XDMCP は、デフォルトでオンになっていますが、established コマンドが使用されるまでセッションは作成されません。

次に例を示します。

established tcp 0 6000 to tcp 6000 from tcp 1024-65535
 

これによって、内部の XDMCP(UNIX または ReflectionX)搭載ホストが、外部の XDMCP 搭載 XWindows サーバにアクセスできます。UDP/177 ベースの XDMCP が TCP ベースの XWindows セッションをネゴシエートし、それに続く TCP リターン接続が許可されます。リターン トラフィックの発信元ポートが不明であるため、 src_port フィールドは 0(ワイルドカード)と指定する必要があります。宛先ポート、 dest_port は、一般的に、周知の XServer ポートである 6000 になります。「 dest_port 」は、6000 + n である必要があります。ここで、 n は、ローカル ディスプレイ番号です。次の UNIX コマンドを使用して、この値を変更します。

setenv DISPLAY hostname:displaynumber.screennumber
 

established コマンドが必要な理由は、多くの TCP 接続が生成され(ユーザとの対話に基づき)、これらの接続に使用される発信元ポートが不明であるためです。宛先ポートだけがスタティックです。PIX Firewall は、XDMCP フィックスアップを透過的に行います。設定は不要ですが、TCP セッションに対応するには established コマンドが必要です。このようなアプリケーションを PIX Firewall を通して使用する場合は、セキュリティ ホールが開く可能性があるので、慎重に行ってください。XWindows システムは過去に使用されたシステムですが、新しく導入された使用例も見られるようです。

exit

アクセス モードを終了します。

exit

enable

 
文法説明

exit

現在のコマンド モードを終了します。

enable

特権モードをイネーブルにします。

 
コマンド モード

すべてのモード。

 
使用上のガイドライン

exit コマンドを使用して、アクセス モードを終了します。このコマンドは、quit コマンドと同じです。

次の例では、設定モードを終了し、次に特権モードを終了します。

pixfirewall(config)# exit
pixfirewall# exit
pixfirewall>

 

failover

スタンバイ PIX Firewall 上で PIX Firewall フェールオーバー機能をイネーブルまたはディセーブルにします。

[ no ] failover [ active ]

[ no ] failover ip address if_name ip_address

[ no ] failover lan unit primary | secondary

[ no ] failover lan interface lan_ if_name

[ no ] failover lan key key_secret

[ no ] failover lan enable

[ no ] failover link [ stateful_if_name ]

[ no ] failover mac address mif_name act_mac stn_mac

[ no ] failover poll seconds

[ no ] failover replicate http

failover reset

show failover [ lan [ detail ]]

 
文法説明

act_mac

アクティブな PIX Firewall のインターフェイス MAC アドレス。

active

PIX Firewall をアクティブ装置にします。このコマンドを使用するのは、アクセスしている装置に接続の制御を強制的に戻す必要がある場合、たとえば、問題を解決した後、その装置から制御を戻して、サービスをプライマリ装置に戻す場合です。セカンダリ装置上で no failover active コマンドを入力して、サービスをプライマリに切り替えるか、プライマリ装置上で failover active コマンドを入力します。

detail

LAN ベースのフェールオーバー設定情報を表示します。

enable

LAN ベースのフェールオーバーをイネーブルにします。それ以外の場合は、シリアル ケーブルのフェールオーバーが使用されます。

if_name

フェールオーバー IP アドレスのインターフェイス名。

ip_address

スタンバイ装置がアクティブ装置との通信に使用する IP アドレス。ping コマンドでこの IP アドレスを使用して、スタンバイ装置のステータスを確認します。このアドレスは、システム IP アドレスと同じネットワーク内にある必要があります。たとえば、システム IP アドレスが 192.159.1.3 の場合、フェールオーバー IP アドレスに 192.159.1.4 を設定します。

key

PIX Firewall 間で LAN ベースのフェールオーバー メッセージの暗号化と認証をイネーブルにします。

key_secret

共有秘密キー。

lan

LAN ベースのフェールオーバーを指定します。

lan interface lan_ if_name

LAN ベース フェールオーバー専用のファイアウォール インターフェイスの名前。VLAN 論理インターフェイスのインターフェイス名は、「 lan_ if_name」に使用できません。

link

ファースト イーサネットまたはギガビット LAN リンクがステートフル フェールオーバー用に利用可能なインターフェイスを指定します。VLAN 論理インターフェイスは使用できません。

mif_name

MAC アドレスを設定するインターフェイス名。

poll seconds

フェールオーバーの待機時間を指定して、その時間が経過すると、特別なフェールオーバー「hello」パケットが、プライマリ装置とスタンバイ装置の間ですべてのネットワーク インターフェイスとフェールオーバー ケーブルを通して送信されるようにします。デフォルトは、15 秒です。最短は 3 秒で、最長は 15 秒です。ステートフル フェールオーバーには小さい値を設定します。ポール時間が短いほど、PIX Firewall は、それだけ速く障害を検出して、フェールオーバーを起動できます。ただし、検出が速すぎたり、ネットワークが一時的に輻輳したり、またはネットワーク カードの起動が遅いときに、不要な切り替えが行われることがあります。

primary

LAN ベースのフェールオーバーに使用するプライマリ PIX Firewall を指定します。

replicate http

[no] failover replicate http コマンドを使用すると、ステートフル フェールオーバー環境において HTTP セッションのステートフル複製を行うことができます。このコマンドの no フォームは、ステートフル フェールオーバー設定内の HTTP 複製をディセーブルにします。HTTP 複製がイネーブルになっている場合、show failover コマンドは、failover replicate http コマンド設定を表示します。

reset

両方の装置を強制的に障害が発生する前の状態に戻す。障害を修復したら、このコマンドを使用します。failover reset コマンドは、どちらの装置からでも入力できますが、最もよい方法は、常にアクティブな装置でコマンドを入力することです。アクティブな装置で failover reset コマンドを入力すると、スタンバイ装置を「unfail」にします。

secondary

LAN ベースのフェールオーバーに使用するセカンダリ PIX Firewall を指定します。

stateful_if_name

ステートフル フェールオーバーをサポートするには、フェールオーバー ケーブル以外に、専用のファースト イーサネットまたはギガビット LAN リンクが必要です。VLAN 論理インターフェイスのインターフェイス名は、「 stateful_ if_name」には使用できません。

stn_mac

スタンバイ PIX Firewall のインターフェイス MAC アドレス。

 
コマンド モード

設定モード。

 
使用上のガイドライン

デフォルトのフェールオーバー セットアップは、シリアル ケーブル フェールオーバーを使用します。LAN ベースのフェールオーバーには、明示的な LAN ベースのフェールオーバー設定が必要です。さらに、LAN ベースのフェールオーバーの場合、専用 100 Mbps またはギガビット イーサネット、フェールオーバー動作用の全二重 VLAN スイッチ接続をインストールする必要があります。2 つの PIX Firewall 装置間でクロスオーバー イーサネット ケーブルを使用するフェールオーバーは、サポートしていません。


) PIX 506/506E は、どのような構成でもフェールオーバーを使用できません。

PIX 515/515E、PIX 525、または PIX 535 フェールオーバー ペアのプライマリ装置は、無制限(UR)ライセンスを取得している必要があります。セカンダリ装置の取得ライセンスは、Failover(FO)または UR ライセンスのどちらにもできます。ただし、フェールオーバー ペアは、同じ PIX Firewall ハードウェアとソフトウェアで構成され、ライセンス以外の点では同一の装置 2 台である必要があります。


ステートフル フェールオーバー リンクには、 mtu コマンドを使用して、インターフェイスの最大伝送ユニット(MTU)に 1500 バイトまたはそれ以上を設定します。

シリアル ケーブル フェールオーバーの場合、オプションのフェールオーバー ケーブルをプライマリ PIX Firewall とセカンダリ PIX Firewall の間に接続した後、引数なしで failover コマンドを使用します。デフォルト設定では、フェールオーバーはイネーブルになっています。フェールオーバー機能を使用しない場合は、PIX Firewall の設定ファイルに no failover を入力します。 show failover コマンドを使用して、接続のステータスを確認して、どちらの装置がアクティブであるかを決定します。

LAN ベースのフェールオーバーでは、 failover lan コマンドを使用します。 show failover lan コマンドは、LAN ベースのフェールオーバー情報だけを表示します。 show failover lan detail コマンドは、LAN ベースのフェールオーバー設定に対するデバッグ情報を表示します。


) 設定情報については、『Cisco PIX Firewall and VPN Configuration Guide』を参照してください。


フェールオーバーでは、次のいずれかの方法で、PIX Firewall の使用していないインターフェイスすべてを設定する必要があります。

インターフェイスをシャットダウンして、IP アドレスも、フェールオーバー IP アドレスも設定しません。これらのアドレスが設定されている場合、 no ip address コマンドと no failover ip address コマンドを使用して、設定を削除します。

ほかのインターフェイスと同じようにインターフェイスを設定しますが、クロスオーバー イーサネット ケーブルを使用して、インターフェイスをスタンバイ装置に接続します。そのインターフェイスは、外部スイッチにも、ハブ デバイスにも接続しません。

ステートフル フェールオーバー専用インターフェイスの速度を、ファースト イーサネット インターフェイス用の 100full、またはギガビット イーサネット インターフェイス用の 1000fullsx に設定します。

failover active コマンドを使用して、スタンバイ装置からフェールオーバー スイッチを起動します。または、アクティブな装置から no failover active コマンドを起動して、フェールオーバー スイッチを起動します。この機能を使用して、障害が発生した装置をサービスに戻し、メンテナンスのため、アクティブ装置を強制的にオフラインにします。スタンバイ装置は各接続に対する状態情報を保存しないため、すべてのアクティブな接続は廃棄され、クライアントによって再確立される必要があります。

failover link コマンドを使用して、ステートフル フェールオーバーをイネーブルにします。no failover link コマンドを入力して、ステートフル フェールオーバー機能をディセーブルにします。

フェールオーバー IP アドレスが入力されていなければ、show failover コマンドは IP アドレスに対して 0.0.0.0 を表示し、インターフェイスのモニタリングは、「waiting」状態のままになります。フェールオーバー IP アドレスは、フェールオーバーが動作するために設定する必要があります。

failover mac address コマンドを使用すると、PIX Firewall フェールオーバー ペア用の仮想 MAC アドレスを設定できます。 failover mac address コマンドは、PIX Firewall が仮想 MAC アドレスを使用するように設定しますが、その仮想 MAC アドレスは、そのフェールオーバー ピアと通信して取得するのではなく、フェールオーバーの後、PIX Firewall 設定に保管されているものを使用します。これを行うことにより、PIX Firewall フェールオーバー ピアがフェールオーバーの後、正しい MAC アドレスを維持できるようになります。仮想 MAC アドレスが指定されていない場合、PIX Firewall フェールオーバー ピアは、書き込まれているネットワーク インターフェイス カード(NIC)アドレスを MAC アドレスとして使用します。しかし、LAN ベースのフェールオーバー用に設定されているインターフェイスには、 failover mac address コマンドは、必要ありません(したがって、このコマンドは使用できません)。failover lan interface lan_ if_name コマンドは、フェールオーバーが発生したときに IP アドレスおよび MAC アドレスのどちらも変更しないためです。

failover mac address コマンドを設定に追加する場合は、仮想 MAC アドレスを設定し、その設定をフラッシュ メモリに保存し、次に PIX Firewall ペアをリロードすることが最も良い方法です。アクティブ接続があるときに仮想 MAC アドレスが追加されると、そのアクティブ接続は停止します。また、 failover mac address コマンドを含む完全な PIX Firewall 設定をセカンダリ PIX Firewall のフラッシュ メモリに書き込んで、仮想 MAC アドレッシングを有効にする必要があります。

failover poll seconds コマンドを使用して、フェールオーバーの待機時間を指定し、その時間が経過すると、特別なフェールオーバー「hello」パケットが、プライマリ装置とスタンバイ装置間ですべてのネットワーク インターフェイスとフェールオーバー ケーブルを通して送信されるようにします。デフォルトは、15 秒です。最短は 3 秒で、最長は 15 秒です。ステートフル フェールオーバーには小さい値を設定します。ポール時間が短いほど、PIX Firewall は、それだけ速く障害を検出して、フェールオーバーを起動できます。ただし、検出が速すぎたり、ネットワークが一時的に輻輳したり、またはネットワーク カードの起動が遅いときに、不要な切り替えが行われることがあります。

フェールオーバー ケーブルで 2 つの PIX Firewall 装置を接続するときは、 failover コマンドを入力して明示的にフェールオーバーをイネーブルにするまで、 no failover コマンドがフェールオーバーをディセーブルにしています。以前は、フェールオーバー ケーブルで 2 つの PIX Firewall 装置を接続して、 no failover コマンドを入力すると、フェールオーバーは 15 秒後に自動的に再度イネーブルになりました。

また、SNMP を使用して show failover コマンドからの情報を表示できます。フェールオーバーの設定に関する詳細については、『 Cisco PIX Firewall and VPN Configuration Guide 』を参照してください。

使用上の注意

1. LAN ベースのフェールオーバーには、専用インターフェイスが必要ですが、同じインターフェイスがステートフル フェールオーバーでも使用されます。しかし、このインターフェイスは、LAN ベースのフェールオーバーとステートフル フェールオーバー トラフィックの両方を取り扱うために十分な容量が必要です。容量が不十分な場合は、2 つの別の専用インターフェイスを使用します。

2. write memory コマンドを入力せずに、PIX Firewall を再度ブートしたときに、フェールオーバー ケーブルが接続されている場合は、フェールオーバー モードは自動的にイネーブルになります。

シリアル ケーブル(デフォルト)フェールオーバー

次の出力例では、フェールオーバーがイネーブルになっており、プライマリ装置がアクティブである場合を示します。

show failover
pixfirewall (config)# show failover
Failover On
Cable status:Normal
Reconnect timeout 0:00:00
Poll frequency 15 seconds
failover replication http
This host:Secondary - Standby
Active time:0 (sec)
Interface FailLink (209.165.201.6):Normal
Interface 4th (209.165.200.230):Normal
Interface int5 (209.165.200.226):Normal
Interface intf2 (192.168.1.1):Normal
Interface outside (209.165.200.225):Normal
Interface inside (10.1.1.4):Normal
Other host:Primary - Active
Active time:242145 (sec)
Interface FailLink (172.16.31.1):Normal
 

それ以外のコマンド出力は省略します。

「Cable status」は、次の値をとります。

Normal:アクティブ装置が動作中で、スタンバイ装置が待機中であることを示します。

Waiting:ほかの装置のネットワーク インターフェイスのモニタリングをまだ開始していないことを示します。

Failed:PIX Firewall が故障していることを示します。

「Stateful Obj」は、次の値をとります。

Xmit:送信したパケット数を示します。

Xerr:送信エラーの数を示します。

Rcv:受信したパケット数を示します。

Rcv:受信エラーの数を示します。

各行は、特定オブジェクトのスタティック カウント用です。

General:ステートフル オブジェクト全部の合計。

Sys cmd:論理アップデート システム コマンド、たとえば、login または stay alive を参照します。

Up time:アクティブ PIX Firewall 装置がスタンバイ装置に渡す PIX Firewall アップタイムの値

Xlate:PIX Firewall 変換情報。

Tcp conn:PIX Firewall ダイナミック TCP 接続情報。

Udp conn:PIX Firewall ダイナミック UDP 接続情報。

ARP tbl:PIX Firewall ダイナミック ARP テーブル情報。

RIF tbl:ダイナミック ルータ テーブル情報。

show failover コマンドを使用して表示される Standby Logical Update Statistics 出力は、ステートフル フェールオーバーだけを説明します。「xerrs」値は、フェールオーバーにおけるエラーは指摘しませんが、むしろ、パケット送信エラーの数を示します。

show ip address コマンドでスタンバイ装置の IP アドレスを表示できます。

show ip address
System IP Addresses:
ip address outside 209.165.201.2 255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address perimeter 192.168.70.3 255.255.255.0
Current IP Addresses:
ip address outside 209.165.201.2 255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address perimeter 192.168.70.3 255.255.255.0
 

Current IP Addresses は、フェールオーバー アクティブ装置の System IP Addresses と同じです。プライマリ装置が障害になると、Current IP Addresses がスタンバイ装置の IP アドレスになります。

LAN ベースのフェールオーバー

LAN ベースのフェールオーバーが必ず正しく起動するようにするには、次に示す設定ステップを実行します。


ステップ 1 プライマリ PIX Firewall 装置を設定してから、フェールオーバー LAN インターフェイスを接続します。

ステップ 2 プライマリ装置設定をフラッシュ メモリに保存します。

ステップ 3 適切な failover lan コマンドを使用して、PIX Firewall セカンダリ装置を設定してから、LAN ベースのフェールオーバー インターフェイスを接続します。

ステップ 4 セカンダリ装置設定をフラッシュ メモリに保存します。

ステップ 5 両方の装置を再度ブートして、LAN ベースのフェールオーバー インターフェイスを、指定されているフェールオーバー スイッチ、ハブ、または VLAN に接続します。

ステップ 6 failover lan コマンド内のいずれかの項目で変更が必要であれば、LAN ベースのフェールオーバー インターフェイスの接続をはずして、これまでのステップを繰り返します。


 


) 正しく設定された場合、プライマリ PIX Firewall 装置とセカンダリ PIX Firewall 装置の LAN ベースのフェールオーバー設定は、どちらがプライマリで、どちらがセカンダリであるかを反映して、異なっている必要があります。


次の例では、2 つの PIX Firewall 装置間で LAN ベースのフェールオーバーを設定する方法の概要を示します。

Primary PIX Firewall コンフィギュレーション

:

pix(config)# nameif ethernet0 outside security0
pix(config)# nameif ethernet1 inside security100
pix(config)# nameif ethernet2 stateful security20
pix(config)# nameif ethenret3 lanlink security30

:

pix(config)#interface ethernet0 100full
pix(config)#interface ethernet1 100full
pix(config)#interface ethernet2 100full
pix(config)#interface ethenret3 100full
pix(config)#interface ethernet4 100full

:

pix(config)# ip address outside 172.23.58.70 255.255.255.0
pix(config)# ip address inside 10.0.0.2 255.255.255.0
pix(config)# ip address stateful 10.0.1.2 255.255.255.0
pix(config)# ip address lanlink 10.0.2.2 255.255.255.0
pix(config)# failover ip address outside 172.23.58.51
pix(config)# failover ip address inside 10.0.0.4
pix(config)# failover ip address stateful 10.0.1.4
pix(config)# failover ip address lanlink 10.0.2.4
pix(config)# failover
pix(config)# failover poll 15
pix(config)# failover lan unit primary
pix(config)# failover lan interface lanlink
pix(config)# failover lan key 12345678
pix(config)# failover lan enable

:

Secondary PIX Firewall コンフィギュレーション

Pix2(config)# nameif ethernet3 lanlink security30
pix2(config)# interface ethernet3 100full
pix2(config)# ip address lanlink 10.0.2.2 255.255.255.0
pix2(config)# failover ip address lanlink 10.0.2.4
pix2(config)# failover
pix2(config)# failover lan unit secondary (optional)
pix2(config)# failover lan interface lanlink
pix2(config)# failover lan key 12345678
pix2(config)# failover lan enable
 

次の例では、 failover mac address コマンドの使用方法を説明します。

ip address outside 172.23.58.50 255.255.255.224
ip address inside 192.168.2.11 255.255.255.0
ip address intf2 192.168.10.11 255.255.255.0
failover
failover ip address outside 172.23.58.51
failover ip address inside 192.168.2.12
failover ip address intf2 192.168.10.12
failover mac address outside 00a0.c989.e481 00a0.c969.c7f1
failover mac address inside 00a0.c976.cde5 00a0.c922.9176
failover mac address intf2 00a0.c969.87c8 00a0.c918.95d8
failover link intf2
...:
 

show failover コマンドの出力には、LAN ベースのフェールオーバーがイネーブルになっていれば、次に示すように、LAN ベースのフェールオーバーの項が含まれています。

pix(config)# show failover
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: Primary - Standby
Active time: 255 (sec)
Interface outside (192.168.1.232): Normal
Interface inside (192.168.5.2): Normal
Other host: Secondary - Active
Active time: 256305 (sec)
Interface outside (192.168.1.231): Normal
Interface inside (192.168.5.1): Normal
 
Stateful Failover Logical Update Statistics
Link : Unconfigured.
 
Lan Based Failover is Active
interface dmz (209.165.200.226): Normal, peer (209.165.201.1): Normal
 

show failover lan コマンドは、次に示すように LAN ベースのフェールオーバーの項だけを表示します。

pix(config)# show failover lan
Lan Based Failover is Active
interface dmz (209.165.200.226): Normal, peer (209.165.201.1): Normal
 

show failover lan detail コマンドは、主にデバッグ目的で使用され、次に示すような情報を表示します。

pix(config)# show failover lan detail
Lan Failover is Active
This Pix is Primary
Command Interface is dmz
Peer Command Interface IP is 209.165.201.1
My interface status is 0x1
Peer interface status is 0x1
Peer interface downtime is 0x0
Total msg send: 103093, rcvd: 103031, droped: 0, retrans: 13, send_err: 0
Total/Cur/Max of 51486:0:5 msgs on retransQ
...
LAN FO cmd queue, count: 0, head: 0x0, tail: 0x0
Failover config state is 0x5c
Failover config poll cnt is 0
Failover pending tx msg cnt is 0
Failover Fmsg cnt is 0
:

filter

URL、Java、または ActiveX フィルタリングをイネーブルまたはディセーブルにするか、表示します。

[ no ] filter activex port local_ip mask foreign_ip mask

[ no ] filter ftp dest-port local_ip local_mask foreign _ip foreign _mask [ allow ] [ interact-block ]

[ no ] filter java port [ - port ] local_ip mask foreign_ip mask

[ no ] filter https dest-port local_ip local_mask foreign _ip foreign _mask [ allow ]

[ no ] filter url [ http | port [ - port ]] local_ip local_mask foreign _ip foreign _mask [ allow ] [ proxy-block ] [ longurl - truncate | longurl - deny ] [ cgi-truncate ]

[ no ] filter url except local_ip local_mask foreign_ip foreign_mask

[ no ] filter url port | except local_ip mask foreign_ip mask [ allow ] [ proxy-block ] [ longurl-truncate | longurl-deny ] [ cgi-truncate ]

clear filter

show filter

 
文法説明

activex

送信パケットから送信 ActiveX、Java アプレット、およびその他の HTML <オブジェクト> タグをブロックします。

allow

filter url だけで利用できます。サーバが利用できなければ、送信接続はフィルタリングなしでファイアウォールを通過します。このオプションを省略した場合、および N2H2 または Websense サーバがオフラインの場合、
PIX Firewall は送信用ポート 80(Web)トラフィックを、N2H2 または Websense サーバがオンラインに戻るまで、停止します。

cgi_truncate

CGI スクリプトを URL として送信します。

dest-port

宛先ポート番号。

except

filter url だけで利用できます。以前の filter 条件への例外を作成します。

foreign_ip

セキュリティ レベルが最も低い、アクセスが要求されているインターフェイスの IP アドレス。 0 .0.0.0(短縮形は 0)を使用して、すべてのホストを指定できます。

foreign_mask

foreign_ip のネットワーク マスク。常に特定のマスク値を指定します。 0 .0.0.0(短縮形は 0)を使用して、すべてのホストを指定できます。

ftp

File Transfer Protocol(FTP; ファイル転送プロトコル)フィルタリングをイネーブルにします。Websense URL フィルタリングだけで利用できます。

http

ポート 80 を指定します(ポート 80 を示す 80 の代わりに http または www を入力できます)。

https

HTTPS フィルタリングをイネーブルにします。Websense URL フィルタリングだけで利用できます。

interact-block

ユーザが対話型の FTP プログラムを使用して FTP サーバに接続しないようにします。

java

送信接続から返ってくる Java アプレットをフィルタリングで削除するように指定します。

local_ip

セキュリティ レベルが最も高い、アクセスが要求されているインターフェイスの IP アドレス。このアドレスに 0 .0.0.0(短縮形は 0)を設定して、すべてのホストを指定できます。

local_mask

local_ip のネットワーク マスク。 0 .0.0.0(短縮形は 0)を使用して、すべてのホストを指定できます。

longurl-deny

URL が URL バッファ サイズの制限を超えている場合、または URL バッファが利用できない場合に、URL 要求を拒否します。

longurl-truncate

URL が URL バッファの制限を超えている場合、発信ホスト名または発信 IP アドレスだけを Websense サーバに送信します。

mask

任意のマスク。

port

PIX Firewall 上の Internet トラフィックを受信するポート。一般的に、これはポート 80 ですが、ほかの値でも受け入れられます。ポート 80 の代わりに、http または url リテラルが使用できます。

proxy-block

ユーザが HTTP プロキシ サーバに接続できないようにします。

url

PIX Firewall を通して移動するデータから Universal Resource Locators(URL)をフィルタリングします。

 
コマンド モード

設定モード。

 
使用上のガイドライン

clear filter コマンドは、設定からすべての filter コマンドを削除します。

filter activex

filter activex コマンドは、送信パケットから ActiveX、Java アプレット、およびその他の HTML <object> の使用をフィルタリングで削除します。ActiveX コントロールは、以前は OLE コントロールまたは OCX コントロールと呼ばれており、web ページまたはほかのアプリケーションに挿入できるコンポーネントです。これらのコントロールには、情報の収集や表示に使用するためのカスタム フォームや、カレンダ、多数のサードパーティ フォームがあります。

技術としては、ネットワーク クライアントに対して起こる可能性のある問題、たとえば、ワークステーション障害の発生、ネットワーク セキュリティ問題の導入、またはサーバへの攻撃というような問題が数多く生じています。

この機能は、HTML <object> タグをブロックして、HTML web ページ内でコメント アウトします。


) <object> タグは、Java アプレット、イメージ ファイル、およびマルチメディア オブジェクトでも使用されますが、これらは、filter activex コマンドによってブロックされます。<object> タグまたは </object> HTML タグがネットワーク パケット間で分割されている場合、またはタグ内のコードが MTU 内のバイト数よりも長い場合、PIX Firewall はタグをブロックできません。


ユーザが alias コマンドで参照される IP アドレスにアクセスする場合、ActiveX ブロッキングは発生しません。

すべての送信接続が ActiveX ブロッキングを持つように指定するには、次のコマンドを使用します。

filter activex 80 0 0 0 0
 

このコマンドは、ポート 80 上において、あらゆるローカル ホストから来て、あらゆる外部ホスト接続へ向かう Web トラフィックに ActiveX ブロッキングが適用されることを指定します。

filter java

filter java コマンドは、送信接続から PIX Firewall に返る Java アプレットをフィルタリングします。ユーザは、引き続き HTML ページを受信できますが、アプレットに対する Web ページのソースがコメント アウトされるため、アプレットは実行できません。 local_ip IP アドレスまたは foreign_ip IP アドレスに 0 を使用して、すべてのホストを示します。


) Java アプレットは、<object> タグに含まれていることが分かっていれば、filter activex コマンドを使用して削除します。


すべての送信接続が Java アプレット ブロッキングを持つように指定するには、次のコマンドを使用します。

filter java 80 0 0 0 0
 

このコマンドは、ポート 80 上において、あらゆるローカル ホストから来て、あらゆる外部ホスト接続へ向かう Web トラフィックに Java ブロッキングが適用されることを指定します。

filter url

filter url コマンドによって、送信ユーザが N2H2 または Websense フィルタリング アプリケーションを使用して、指示した World Wide Web URL にアクセスしないようにします。


url-server コマンドは、HTTPS と FTP 用に filter コマンドを発行する前に設定する必要があります。すべての URL サーバがサーバ リストから削除されると、URL フィルタリングに関連するすべての filter コマンドも削除されます。


filter コマンドの allow オプションは、PIX Firewall が N2H2 または Websense サーバがオフラインになった場合に動作する方法を決定します。filter コマンドで allow オプションを使用している場合、N2H2 または Websense サーバがオフラインになると、ポート 80 トラフィックはフィルタリングなしで PIX Firewall を通過します。allow オプションなしの場合、サーバがオフラインになると、PIX Firewall はサーバがオンラインに戻るまで送信ポート 80(Web)のトラフィックを停止するか、またはほかの URL サーバが利用できる場合は、次の URL サーバに制御を渡します。


) allow オプションが設定されている場合、N2H2 または Websense サーバがオフラインになると、PIX Firewall は制御を代替サーバに渡します。


N2H2 サーバまたは Websense サーバは、PIX Firewall と共に動作して、企業のセキュリティ ポリシーに基づいて、ユーザが Web サイトにアクセスすることを拒否します。

Websense プロトコル Version 4 は、グループとユーザ名の認証を、ホストと PIX Firewall の間でイネーブルにします。PIX Firewall がユーザ名のルックアップを実行し、次に、Websense サーバが URL フィルタリングとユーザ名ロギングを処理します。

N2H2 サーバは、IFP Server を実行している Windows ワークステーション(2000、NT、または XP)であり、推奨する最小メモリとして 512 MB RAM を搭載している必要があります。また、N2H2 サービス用の長い URL のサポートは、Websense の上限よりも少ない 3 KB に制限されます。

Websense プロトコルの Version 4 には、次の機能拡張があります。

URL フィルタリングを使用すると、PIX Firewall は、発信 URL 要求を Websense サーバ上に定義されているポリシーと照合してチェックします。

ユーザ名ロギングは、Websense サーバ上のユーザ名、グループ、およびドメイン名を追跡します。

ユーザ名ルックアップを使用すると、PIX Firewall がユーザ認証テーブルを使用して、ホストの IP アドレスをユーザ名にマッピングできます。

次の手順を実行して、URL フィルタリングを行います。


ステップ 1 N2H2 サーバまたは Websense サーバに url-server コマンドの適切なベンダー固有のフォームを指示します。

ステップ 2 filter コマンドでフィルタリングをイネーブルにします。

ステップ 3 必要であれば、url-cache コマンドを使用して、スループットを改善します。ただし、このコマンドは Websense ログをアップデートしないため、Websense アカウンティング レポートに影響を与える可能性があります。url-cache コマンドを使用する前に Websense 実行ログを累積します。

ステップ 4 show url-cache stats コマンドおよび show perfmon コマンドを使用して、実行情報を表示します。


 

Websense に関する情報は、次の Web サイトで利用できます。

http://www.websense.com/

次の例では、10.0.2.54 ホストからの接続を除く、すべての送信 HTTP 接続をフィルタリングします。

url-server (perimeter) host 10.0.1.1
filter url 80 0 0 0 0
filter url except 10.0.2.54 255.255.255.255 0 0
 

次の例では、ポート 8080 上でリスンするプロキシ サーバに向かう送信 HTTP 接続をすべてブロックします。

filter url 8080 0 0 0 0 proxy-block

fixup protocol

PIX Firewall プロトコル フィックスアップを修正して、サービスと機能のデフォルトを追加、削除、または変更します。

fixup protocol ctiqbe 2748

fixup protocol esp-ike

fixup protocol ftp [ strict ] [ port ]

fixup protocol http [ port [ - port ]

fixup protocol h323 { h225 | ras } port [ - port ]

fixup protocol icmp error

fixup protocol ils [ port [ - port ]]

[ no ] fixup protocol mgcp [ port [- port ]]

fixup protocol pptp 1723

fixup protocol rsh [ 514 ]

fixup protocol rtsp [ port ]

fixup protocol sip [ port [ - port ]

[ no ] fixup protocol sip udp 5060

fixup protocol skinny [ port [ - port ]

fixup protocol smtp [ port [ - port ]]

fixup protocol sqlnet [ port [ - port ]]

no fixup protocol [ protocol_name ] [ port ]

clear fixup

show ctiqbe

show fixup

show fixup protocol protocol [ protocol ]

show conn state [ protocol ]

show h225

show h245

show h323-ras

show mgcp

show sip

show skinny

show timeout protocol

 
文法説明

ctiqbe

CTIQBE(Computer Telephony Interface Quick Buffer Encoding)フィックスアップをイネーブルにします。 Cisco TAPI/JTAPI アプリケーションと共に使用します。

esp-ike

ESP(Encapsulating Security Payload)単一トンネル用の PAT をイネーブルにします。

fixup protocol ils

LDAP を使用して ILS サーバとディレクトリ情報を交換する Microsoft
NetMeeting、SiteServer、および Active Directory 製品のサポートを提供します。

fixup protocol protocol [ protocol ] [ port [ - port ]]

PIX Firewall プロトコル フィックスアップを修正して、サービスと機能のデフォルトを追加、削除、または変更します。

ftp

ftp ポート番号の変更を指定します。

h323 h225

H.225.0 セッションの確立とパケット化を管理する ITU 標準 H.225 を H.323 と共に使用するように指定します。H.225.0 は、実際に各種のプロトコル、たとえば、RAS、Q.931 の使用、および RTP の使用について説明します。

h323 ras

H.323 と共に RAS を使用するように指定して、類似性のない通信デバイス間で互いに通信できるようにします。H.323 は、CODEC、コールのセットアップとネゴシエーション手順、および基本データ転送方法の共通セットを定義します。

http [ port [ - port ]

HTTP のデフォルト ポートは、80 です。 port オプションを使用して、HTTP ポートを変更するか、 port-port オプションを使用して、HTTP ポートの範囲を指定します。

ils

Internet Locator Service を指定します。デフォルト ポートは、TCP LDAP サーバのポート 389 です。

mgcp

Media Gateway Control Protocol(MGCP)フィックスアップをイネーブルにします( mgcp コマンドを使用して、MGCP フィックスアップへの追加サポートを設定します)。

no

no fixup コマンドを使用して、設定からプロトコルの fixup をすべて削除することで、プロトコルのフィックスアップをディセーブルにします。プロトコルに対するすべての fixup を削除した後、コマンドの no fixup 形式またはデフォルト ポートは設定内に保管されています。

port

フィックスアップをイネーブルにするポート(アプリケーションの検査)。ポート番号またはサポートされているポート リテラルが使用できます。デフォルトのポートは、 ftp 用の TCP 21、 ils 用の TCP LDAP サーバのポート 389、http 用の TCP 80、 h323 h225 用の TCP 1720、 h323 ras 用の UDP 1718-1719、 rsh 用の TCP 514、 rtsp 用の TCP 554 skinny 用の TCP 2000、smtp 用の TCP 25、sqlnet 用の TCP 1521、および sip 用の TCP 5060 です。rsh のデフォルトのポート値は変更できませんが、追加ポート文は追加できます。有効なポートのリテラル名のリストは、「PIX Firewall コマンドの使用方法」「ポート」の項を参照してください。指定されているプロトコルが通るポートです。

port - port

ポートの範囲を指定します。

pptp

PPTP(Point-to-Point Tunneling Protocol)アプリケーションの検査をイネーブルにする。デフォルト ポートは、1723 です。

protocol

修正するプロトコルを指定します。

protocol_name

プロトコル名。

ras

RAS(Registration, Admission, and Status)は、登録、許可、帯域幅の変更、ステータス、および VoIP ゲートウェイとゲートキーパーの間の開放手順を実行するシグナリング プロトコルです。

sip

SIP をイネーブルにします。

skinny

SCCP アプリケーション検査をイネーブルにします。デフォルト ポートは、 2000 です。SCCP プロトコルは、IP テレフォニーをサポートし、H.323 環境で共存できます。アプリケーション層は、すべての SCCP シグナリングとメディア パケットが PIX Firewall を通過し、H.323 端末と相互動作することを保証します。

Skinny は、Skinny Client Control Protocol(SCCP)の短縮名です。

strict

Web ブラウザが FTP 要求内の埋め込みコマンドを送信しないようにします。各 FTP コマンドは、新しいコマンドが許可される前に確認される必要があります。埋め込みコマンドを送信する接続は、廃棄されます。

upd

UDP ポート番号を指定します。

 
コマンド モード

すべての fixup protocol コマンドは、特に指定がない限り、設定モードで利用できます。

show fixup protocol mgcp コマンドは、特権モードで利用できます。

 
デフォルト

PIX Firewall フィックスアップ プロトコル用のデフォルト ポートは、次のようになります。

fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
 

(これらは、ソフトウェア Version 6.3 を実行している PIX Firewall 上でイネーブルになっているデフォルトです)。

MGCP のフィックスアップは、デフォルトではディセーブルになっています。

 
使用上のガイドライン

fixup protocol コマンドによって、PIX Firewall を通してサービスまたはプロトコルの使用を表示、変更、イネーブル、またはディセーブルにできます。指定するポートは、PIX Firewall がそれぞれのポートにおいて対応するサービスがあるかどうかをリスンするポートです。このポート値は、rsh を除く各サービスで変更できます。fixup protocol コマンドは、設定内に常に存在し、デフォルトでイネーブルになっています。

fixup protocol コマンドは、デフォルトとは別のポート番号に基づいて、Adaptive Security Algorithm を実行します。このコマンドは、グローバルで、受信接続および送信接続の両方に対して各種事項を変更でき、static コマンド文に限定されていません。

clear fixup コマンドは、フィックスアップ コンフィギュレーションをデフォルトの状態にリセットします。このコマンドは、デフォルトの fixup protocol コマンドを削除しません。

no fixup コマンドを使用して設定からプロトコルの fixup をすべて削除することで、プロトコルのフィックスアップをディセーブルにできます。プロトコルに対する fixup をすべて削除した後、コマンドの no fixup 形式またはデフォルト ポートは設定内に保管されています。

show fixup コマンド

show fixup コマンドは、現在のフィックスアップ コンフィギュレーションとポート値を表示します。

show fixup protocol protocol [ protocol ] コマンドは、指定した個々のプロトコル用のポート値を表示します。

show conn state [ sip ] コマンドは、指示されているプロトコルの接続状態を表示します。

show h225 コマンド、 show h245 コマンド、および show h323-ras コマンドは、H.323 フィックスアップ問題のトラブルシューティングに使用される接続情報を表示します。説明は、fixup protocol h323 {h225 | ras} コマンドと一緒にします。

show skinny コマンドは、SKINNY フィックスアップ問題のトラブルシューティングに役立ちます。説明は、 fixup protocol skinny コマンドと一緒にします。

show sip コマンドは、SKINNY フィックスアップ問題のトラブルシューティングに役立ちます。説明は、 fixup protocol sip udp 5060 コマンドと一緒にします。 show timeout sip コマンドは、指示されているプロトコルのタイムアウト値を表示します。

fixup protocol ctiqbe 2748

fixup protocol ctiqbe 2748 コマンドは、NAT、PAT、および双方向 NAT をサポートする CTIQBE プロトコル検査をイネーブルにします。これによって、Cisco IP SoftPhone とほかの Cisco TAPI/JTAPI アプリケーションが、ファイアウォールを越えてコール セットアップを行うために、Cisco CallManager と問題なく連携動作するようになります。

デフォルトでは、fixup protocol ctiqbe 2748 はディセーブルになっています。次の例に示すように CTIQBE フィックスアップをイネーブルにします。

pixfirewall(config)# fixup protocol ctiqbe 2748
 
pixfirewall(config)# show fixup protocol ctiqbe
fixup protocol ctiqbe 2748
 

no fixup protocol ctiqbe 2748 コマンドは、CTIQBE フィックスアップをディセーブルにします。

show ctiqbe コマンドは、PIX Firewall を越えて確立されている CTIQBE セッションの情報を表示します。 debug ctiqbe show local-host と共に、このコマンドは、CTIQBE フィックスアップ問題のトラブルシューティングに使用されます。


show ctiqbe コマンドを使用する前に pager コマンドを設定することを推奨します。多くの CTIQBE セッションが存在し、pager コマンドが設定されていない場合、show ctiqbe コマンドの出力が最後まで到達するには、しばらく時間がかかることがあります。


次の条件における show ctiqbe コマンドの出力例を示します。PIX Firewall を越えてセットアップされているアクティブ CTIQBE セッションは 1 つだけです。そのセッションは、ローカル アドレス 10.0.0.99 の内部 CTI デバイス(たとえば、Cisco IP SoftPhone)と 172.29.1.77 の外部 Cisco Call Manager の間で確立されています。ここで、TCP ポート 2748 は、Cisco CallManager です。このセッションのハートビート間隔は 120 秒です。

pixfirewall(config)# show ctiqbe
 
Total: 1
LOCAL FOREIGN STATE HEARTBEAT
---------------------------------------------------------------
1 10.0.0.99/1117 172.29.1.77/2748 1 120
----------------------------------------------
RTP/RTCP: PAT xlates: mapped to 172.29.1.99(1028 - 1029)
----------------------------------------------
MEDIA: Device ID 27 Call ID 0
Foreign 172.29.1.99 (1028 - 1029)
Local 172.29.1.88 (26822 - 26823)
----------------------------------------------
 

CTI デバイスは、すでに CallManager に登録されています。デバイスの内部アドレスと RTP リスン ポートは、172.29.1.99 UDP ポート 1028 に PAT 変換されています。その RTCP 受信ポートは、UDP 1029 に PAT 変換されています。

RTP/RTCP : PAT xlates: で始まる行は、内部 CTI デバイスが外部 CallManager に登録され、CTI デバイスのアドレスとポートは、その外側インターフェイスに PAT 変換されている場合に限り表示されます。この行は、CallManager が内側インターフェイス上に位置する場合、または内部 CTI デバイスのアドレスとポートが、CallManager が使用しているのと同じ外側インターフェイスに NAT 変換されている場合は、表示されません。

この出力は、コールがこの CTI デバイスと 172.29.1.88 にある別のフォンの間に確立されていることを示します。ほかのフォンの RTP および RTCP 受信ポートは、UDP 26822 および 26823 です。PIX Firewall は 2 番目の電話機と CallManager に関連する CTIQBE セッション レコードを維持できないので、ほかの電話機は、CallManager と同じインターフェイス上にあります。CTI デバイス側のアクティブ コール レグは、Device ID 27 および Call ID 0 で確認できます。

次に、これらの CTIBQE 接続に対する xlate 情報を示します。

pixfirewall(config)# show xlate debug
3 in use, 3 most used
Flags: D - DNS, d - dump, I - identity, i - inside, n - no random,
o - outside, r - portmap, s - static
TCP PAT from inside:10.0.0.99/1117 to outside:172.29.1.99/1025 flags ri idle 0:00:22 timeout 0:00:30
UDP PAT from inside:10.0.0.99/16908 to outside:172.29.1.99/1028 flags ri idle 0:00:00 timeout 0:04:10
UDP PAT from inside:10.0.0.99/16909 to outside:172.29.1.99/1029 flags ri idle 0:00:23 timeout 0:04:10
 

fixup protocol esp-ike

fixup protocol esp-ike コマンドは、ESP(Encapsulating Security Payload)単一トンネル用の PAT をイネーブルにします。

デフォルトでは、 fixup protocol esp-ike コマンドはディセーブルになっています。 fixup protocol esp-ike コマンドが発行されると フィックスアップがオンになり、ファイアウォールは Internet Key Exchange(IKE)の発信元ポートを保存して、ESP トラフィック用の PAT 変換を作成します。さらに、 esp-ike fixup がオンになると、ISAKMP はどのインターフェイスでもオンにできなくなります。

fixup protocol ftp

fixup protocol ftp コマンドを使用して、File Transfer Protocol(FTP; ファイル転送プロトコル)用の受信ポートを指定します。次のリストでは、このコマンドの機能と使用方法を説明します。

PIX Firewall は、デフォルトでは、ポート 21 で FTP があるかどうかリスンします。

複数のポートを指定できます。

FTP 制御接続用のポートだけを指定して、データ接続用は指定しません。PIX Firewall ステートフル検査は、必要に応じて、ダイナミックにデータ接続を用意します。たとえば、次の記述方法は誤りです。

INCORRECT

fixup protocol ftp 21
fixup protocol ftp 20
 

次は、正しい記述方法です。

CORRECT

fixup protocol ftp 21
 

FTP を上位のポートに移動する場合は、注意が必要です。たとえば、 fixup protocol ftp 2021 を入力して、FTP ポートを 2021 に設定した場合、ポート 2021 に向けて開始する接続はすべて、データ ペイロードが FTP コマンドとして解釈されます。

次に、複数の FTP fixup を使用する fixup protocol ftp コマンド設定の例を示します。

:
: For a PIX Firewall with two interfaces
:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
:
: There is an inside host 10.1.1.15 that will be
: exported as 192.168.1.15. This host runs the FTP
: services at port 21 and 1021
:
static (inside, outside) 192.168.1.15 10.1.1.15
:
: Construct an access list to permit inbound FTP traffic to
: port 21 and 1021
:
access-list outside permit tcp any host 192.168.1.15 eq ftp
access-list outside permit tcp any host 192.168.1.15 eq 1021
access-group outside in interface outside
:
: Specify that traffic to port 21 and 1021 are FTP traffic
:
fixup protocol ftp 21
fixup protocol ftp 1021
 

no fixup protocol ftp コマンドを使用して、FTP フィックスアップをディセーブルにすると、送信ユーザはパッシブ モードだけで接続を開始でき、受信 FTP はすべてディセーブルになります。

fixup protocol ftp コマンドの strict オプションは、Web ブラウザが FTP 要求内の埋め込みコマンドを送信できないようにします。各 FTP コマンドは、新しいコマンドが許可される前に確認される必要があります。埋め込みコマンドを送信する接続は、廃棄されます。strict オプションは、FTP サーバが 227 コマンドを生成することだけを許可し、FTP クライアントが PORT コマンドを生成することだけを許可します。227 コマンドと PORT コマンドはチェックして、エラー文字列内に表示されないようにします。

fixup protocol h323 {h225 | ras}

fixup protocol h323 { h225 | ras } コマンドは、Cisco CallManager および VocalTec Gatekeeper などの H.323 に準拠したアプリケーションをサポートしています。H.323 は、International Telecommunication Union(ITU; 国際電気通信連合)が定義した LAN 上のマルチメディア会議用のプロトコル スイートです。

PIX Firewall ソフトウェアの Version 5.3 以降は、コール セットアップを速くする Fast Connect または Fast Start Procedure 付きの H.323 v2、およびリソースの保存と、コールの同期、セットアップ時間の短縮を行う H.245 トンネリングをサポートしています。

PIX Firewall ソフトウェアの Versions 6.2 以降は、H.323 用の PAT をサポートしています。PIX Firewall ソフトウェアの Version 6.2 より前のリリースから、アップグレードする場合は、設定に次のコマンドを追加します。

fixup protocol h323 ras 1718-1719
 

さらに、fixup protocol h323 port は、 fixup protocol h323 h225 port になります。 no fixup protocol h323 { h225 | ras } port [- port ] コマンドを使用して、H.225 シグナリングまたは RAS fixup(または両方)をディセーブルにできます。

PIX Firewall ソフトウェアの Version 6.3 以降は、One Call Signaling Channel 上の Multiple Calls の H.323 v3 機能だけでなく、H.323 v3 メッセージと H.323 v4 メッセージをサポートしています。

show h225 コマンド、 show h245 コマンド、および show h323-ras コマンドは、H.323 fixup 問題のトラブルシューティングに使用される接続情報を表示します。


show h225show h245、または show h323-ras コマンドを使用する前に、pager コマンドを設定することを推奨します。多くのセッション レコードが存在し、pager コマンドが設定されていない場合、show コマンドの出力が最後まで到達するには、しばらく時間がかかることがあります。異常なほど多くの接続が存在する場合は、デフォルトのタイムアウト値または設定した値を基づいてセッションがタイムアウトしているかどうか確認します。タイムアウトしていなければ問題があるので、調査が必要です。


show h225 コマンドは、PIX Firewall を越えて確立されている H.225 セッションの情報を表示します。 debug h323 h225 event debug h323 h245 event 、および show local-host コマンドと共に、このコマンドは、H.323 fixup 問題のトラブルシューティングに使用されます。

次に、 show h225 コマンドの出力例を示します。

pixfirewall(config)# show h225
Total H.323 Calls: 1
1 Concurrent Call(s) for
Local: 10.130.56.3/1040 Foreign: 172.30.254.203/1720
1. CRV 9861
Local: 10.130.56.3/1040 Foreign: 172.30.254.203/1720
0 Concurrent Call(s) for
Local: 10.130.56.4/1050 Foreign: 172.30.254.205/1720
 

この出力は、現在 PIX Firewall を通過しているアクティブ H.323 コールが 1 つ、ローカル エンドポイント 10.130.56.3 と外部のホスト 172.30.254.203 の間にあることを示しています。また、これらの特定のエンドポイントの間に、同時コールが 1 つあり、そのコールの CRV(Call Reference Value)が 9861 であることを示しています。

ローカル エンドポイント 10.130.56.4 と外部ホスト 172.30.254.205 に対して、同時コールは 0 です。つまり H.225 セッションがまだ存在しているものの、このエンドポイント間にはアクティブ コールがないことを意味します。この状況は、 show h225 コマンドを実行したときに、コールはすでに終了しているが、H.225 セッションがまだ削除されていない場合に発生する可能性があります。または、2 つのエンドポイントが、「maintainConnection」を TRUE に設定しているため、TCP 接続をまだ開いたままにしていることを意味する可能性もあります。したがって、「maintainConnection」を再度 FALSE に設定するまで、または設定内の H.225 タイムアウト値に基づくセッションのタイムアウトが起こるまで、セッションは開いたままになります。

show h245 コマンドは、スロースタートを使用しているエンドポイントが PIX Firewall を越えて確立した H.245 セッションの情報を表示します(スロースタートは、コールの 2 つのエンドポイントが H.245 用の別の TCP コントロール チャネルを開いた場合です。ファースト スタートは、H.245 メッセージが H.225 コントロール チャネル上の H.225 メッセージの一部として交換された場合です)。 debug h323 h245 event debug h323 h225 event 、および show local-host コマンドと共に、このコマンドは、H.323 fixup 問題のトラブルシューティングに使用されます。

次に、 show h245 コマンドの出力例を示します。

pixfirewall(config)# show h245
Total: 1
LOCAL TPKT FOREIGN TPKT
1 10.130.56.3/1041 0 172.30.254.203/1245 0
MEDIA: LCN 258 Foreign 172.30.254.203 RTP 49608 RTCP 49609
Local 10.130.56.3 RTP 49608 RTCP 49609
MEDIA: LCN 259 Foreign 172.30.254.203 RTP 49606 RTCP 49607
Local 10.130.56.3 RTP 49606 RTCP 49607
 

PIX Firewall を越えているアクティブな H.245 コントロール セッションが、現在 1 つあります。ローカル エンドポイントは、10.130.56.3 であり、TPKT 値が 0 であることから、このエンドポイントからの次のパケットには TPKT ヘッダーがあると予測します(TKTP ヘッダーは、各 H.225/H.245 メッセージの前に送られる 4 バイトのヘッダーです。このヘッダーで、この 4 バイトのヘッダーを含むメッセージの長さが分かります)。外部のホストのエンドポイントは、172.30.254.203 であり、TPKT 値が 0 であることから、このエンドポイントからの次のパケットには TPKT ヘッダーがあると予測します。

これらのエンドポイント間でネゴシエートされたメディアには、258 という LCN(論理チャネル番号)があり、外部に 172.30.254.203/49608 という RTP IP アドレス/ポート ペアと 172.30.254.203/49609 という RTCP IP アドレス/ポート ペアを持ち、ローカルに 10.130.56.3/49608 という RTP IP アドレス/ポート ペアと 49609 という RTCP ポートを持っています。

259 という 2 番目の LCN には、外部に 172.30.254.203/49606 という RTP IP アドレス/ポート ペアと 172.30.254.203/49607 という RTCP IP アドレス/ポート ペアがあり、ローカルに 10.130.56.3/49606 という RTP IP アドレス/ポート ペアと 49607 という RTCP ポートを持っています。

show h323-ras コマンドは、PIX Firewall を越えてゲートキーパーとその H.323 エンドポイントの間に確立されている H.323 RAS セッションの情報を表示します。 debug h323 ras event および show local-host コマンドと共に、このコマンドは、H.323 RAS フィックスアップ問題のトラブルシューティングに使用されます。

次に、 show h323-ras コマンドの出力例を示します。

pixfirewall(config)# show h323-ras
Total: 1
GK Caller
172.30.254.214 10.130.56.14
 

この出力は、ゲートキーパー 172.30.254.214 とそのクライアント 10.130.56.14 の間にアクティブな登録が 1 つあることを示しています。

fixup protocol http

fixup protocol http コマンドは、HTTP トラフィック アプリケーション検査用にポートを設定します。HTTP のデフォルト ポートは、80 です。

ポート オプションを使用して、デフォルトのポート割り当て 80 を変更できます。 port-port オプションを使用して、ポート番号の範囲に HTTP アプリケーション検査を適用します。


no fixup protocol http コマンド文は、filter url コマンドもディセーブルにします。


HTTP 検査は、いくつかの機能を実行します。

GET メッセージの URL ロギング

N2H2 または Websense を使用する URL のスクリーニング

Java と ActiveX のフィルタリング

後の 2 つの機能は、 filter コマンドと共に設定する必要があります。

fixup protocol icmp error

fixup protocol icmp error コマンドは、ICMP エラー メッセージの NAT をイネーブルにできます。この変換によって、ファイアウォール上のスタティック変換設定またはネットワーク アドレス変換設定に基づいて中間ホップに対する変換が作成されます。

no fixup protocol icmp error は、ICMP エラー メッセージを生成する中間ノード用の変換(xlate)の作成をディセーブルにします。

デフォルトでは、 fixup protocol icmp error はディセーブルになっています。

fixup protocol ils

fixup protocol ils コマンドは、LightWeight Directory Access Protocol(LDAP)を使用して Internet Locator Service(ILS)サーバとディレクトリ情報を交換する Microsoft NetMeeting、SiteServer および Active Directory 製品用の NAT をサポートしています。

fixup protocol mgcp

ユーザが MGCP を使用する場合、通常、少なくとも 2 つの fixup protocol コマンドを設定する必要があります。1 つはゲートウェイがコマンドを受信するポート用で、もう 1 つは Call Agent がコマンドを受信するポート用です。

通常、Call Agent は、ゲートウェイのデフォルトの MGCP ポート 2427 にコマンドを送信し、ゲートウェイは、Call Agents のデフォルトの MGCP ポート 2727 にコマンドを送信します。

次の例では、デフォルトのポートを使用する Call Agents とゲートウェイ用のフィックスアップ サポートを追加します。

fixup protocol mgcp 2427
fixup protocol mgcp 2727

no fixup protocol mgcp コマンドは、MGCP フィックスアップ コンフィギュレーションを削除します。

show fixup protocol mgcp コマンドは、設定されている MGCP フィックスアップを表示します。show mgcp コマンドの詳細については、 mgcp コマンドを参照してください。

fixup protocol pptp

fixup protocol pptp [ 1723 ] コマンドは、PPTP プロトコル パケットを検査して、PPTP トラフィックの許可に必要な GRE 接続と xlates をダイナミックに作成します。

特に、ファイアウォールは、PPTP バージョンのアナウンスメントと発信コールの要求/応答シーケンスを検査します。RFC 2637 に定義されている PPTP Version 1 だけが検査されます。どちらかの側でアナウンスされたバージョンが Version 1 でなければ、TCP コントロール チャネルはそれ以上検査されません。さらに、発信コール要求と応答シーケンスが追跡されます。接続と xlates は、必要に応じてダイナミックに割り当てられて、それ以後のセカンダリ GRE データ トラフィックを送ることが可能になります。

デフォルトでは、fixup protocol pptp 1723 コマンドはディセーブルになっています。次のコマンドを入力して、PPTP fixup をイネーブルにします。

pixfirewall(config)# fixup protocol pptp 1723
pixfirewall(config)# show fixup
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
fixup protocol pptp 1723
fixup protocol sip udp 5060
 

PPTP フィックスアップは、PPTP トラフィックを PAT で変換するためにイネーブルにする必要があります。さらに、PAT は、GRE(RFC2637)の修正版に対してだけで実行されます。これは、
PPTP TCP コントロール チャネルを越えてネゴシエートされる場合だけです。PAT は、修正前のバージョンの GRE(RFC 1701 と RFC 1702)に対しては実行されません。

fixup protocol rtsp

fixup protocol rtsp コマンドは、PIX Firewall が Real Time Streaming Protocol(RTSP)パケットを通過させるようにします。RTSP は、RealAudio、RealNetworks、Apple QuickTime 4、RealPlayer、および Cisco IP/TV 接続が使用します。

Cisco IP/TV を使用している場合は、RTSP TCP ポート 554 と TCP 8554 を使用します。

fixup protocol rtsp 554
fixup protocol rtsp 8554
 

fixup protocol rtsp コマンドには、次の制約事項が適用されます。

1. この PIX Firewall は、UDP ポートを通過する RTSP メッセージを修正しません。

2. fixup protocol rtsp コマンドは、PAT をサポートしていません。

3. PIX Firewall は、RTSP メッセージが HTTP メッセージ内に隠されている HTTP クローキングを認識する機能はありません。

4. PIX Firewall は、RTSP メッセージについて NAT は実行できません。その理由は、埋め込み IP アドレスが HTTP または RTSP メッセージの一部として、SDP ファイルに含まれているからです。パケットはフラグメント化される可能性があり、PIX Firewall は、フラグメント化されたパケットについて NAT は実行できません。

5. Cisco IP/TV では、メッセージの SDP 部分について PIX Firewall が実行する NAT の数は、Content Manager にあるプログラム リストの数に比例します(各プログラム リストには、少なくとも 6 個の埋め込み IP アドレスを含めることができます)。

6. Apple QuickTime 4 または RealPlayer 用の NAT を設定できます。Viewer と Content Manager がネットワークの外側ネットワークに、サーバが内側ネットワークにある場合、Cisco IP/TV は、NAT が使用できる場合に限り動作します。

7. RealPlayer を使用している場合、転送モードを正しく設定することが重要です。PIX Firewall では、 access-list コマンド文は、サーバからクライアントへと、またはその逆で追加されます。RealPlayer の場合、 Options > Preferences > Transport > RTSP Settings をクリックすることで、転送モードを変更します。

RealPlayer 上で TCP モードを使用している場合、 Use TCP to Connect to Server チェックボックスと Attempt to use TCP for all content チェックボックスをオンにします。PIX Firewall 上では、フィックスアップを設定する必要はありません。

RealPlayer 上で UDP モードを使用している場合、 Use TCP to Connect to Server チェックボックスと Attempt to use UDP for all content チェックボックスをオンにします。 Multicast 経由で入手できないライブ コンテンツに対しても同様です。 PIX Firewall 上で、 fixup protocol rtsp port コマンド文を追加します。

fixup protocol sip

fixup protocol sip [ port [ - port ] コマンドを使用して、SIP-over-TCP アプリケーションの検査をイネーブルにするか、 fixup protocol sip udp 5060 コマンドを使用して、SIP-over-UDP アプリケーション検査をイネーブルにします。どちらかの SIP フィックスアップ方法がイネーブルになっていれば、SIP パケットは検査され、適切な IP アドレスに対して NAT が提供されます。デフォルトでは、SIP フィックスアップが TCP ポートまたは UDP ポート 5060 上でそれぞれイネーブルにされます。ただし、TCP SIP fixup ポートだけは、PIX Firewall ソフトウェアの Version 6.3 で設定可能です。SIP-over-UDP fixup 用のファイアウォール上のポートは変更できませんが、 no fixup protocol sip udp 5060 コマンドを使用して、SIP-over-UDP fixup をディセーブルにできます。

Session Initiation Protocol(SIP)は、IETF(Internet Engineering Task Force)によって定義されているように、コール処理セッションと 2 パーティの音声会議(通話)をイネーブルにします。SIP は、SDP(Session Description Protocol)と共に動作してコール シグナリングを行います。SDP は、メディア ストリーム用のポートを指定します。SIP を使用すると、PIX Firewall は、あらゆる SIP Voice over IP(VoIP)ゲートウェイまたは VoIP プロキシ サーバをサポートできます。SIP と SDP は、次の RFC に定義されています。

SIP:Session Initiation Protocol、RFC 2543

SDP:Session Description Protocol、RFC 2327

SIP をサポートするには、PIX Firewall を通したコール、メディア接続アドレス用のシグナリング メッセージ、メディア ポート、およびメディアへの初期接続を検査する必要があります。これは、シグナリングが周知の宛先ポート(UDP/TCP 5060)に送信されることに対して、メディア ストリームがダイナミックに割り当てられるためであり、また SIP が、テキスト全体に IP アドレスが含まれているテキストベースのプロトコルであるためです。

PIX Firewall ソフトウェアの Versions 6.2 以降は、SIP 用の PAT をサポートしています。PIX Firewall ソフトウェアの Version 6.3 以降では、UDP シグナリングと TCP シグナリングの両方に対する SIP フィックスアップを、それぞれ、 no fixup protocol sip udp 5060 コマンドと no fixup protocol sip [ port [ - port ] コマンドを使用して、ディセーブルにできます。

SIP プロトコルの詳細については、RFC 2543 を参照してください。SDP(Session Description Protocol)の詳細については、RFC 2327 を参照してください。

show sip コマンドは、PIX Firewall を超えて確立されている SIP セッションの情報を表示します。 debug sip show local-host コマンドと共に、このコマンドは、SIP フィックスアップ問題のトラブルシューティングに使用されます。


show sip コマンドを使用する前に pager コマンドを設定することを推奨します。多くの SIP セッション レコードが存在し、pager コマンドが設定されていない場合、show sip コマンドの出力が最後まで到達するには、しばらく時間がかかることがあります。


次に、 show sip コマンドの出力例を示します。

pixfirewall(config)# show sip

Total: 2
call-id c3943000-960ca-2e43-228f@10.130.56.44
state Call init, idle 0:00:01
call-id c3943000-860ca-7e1f-11f7@10.130.56.45
state Active, idle 0:00:06
 

この例は、PIX Firewall 上の 2 つのアクティブな SIP セッションを示しています( Total フィールドで示されているように)。各 call-id は、コールを表わしています。

最初のセッションは、 call-id c3943000-960ca-2e43-228f@10.130.56.44 で、 Call Init 状態にあります。これは、このセッションはまだコール セットアップ中であることを示しています。コール セットアップは、コールへの最後の応答が受信されるまでは完了しません。たとえば、発信者はすでに INVITE を送信して、100 Response を受信した可能性がありますが、200 OK はまだ受信していません。したがって、コール セットアップはまだ完了していません。1xx で始まっていない応答メッセージは最後の応答と考えられます。このセッションは、1 秒間アイドル状態でした。

2 番目のセッションは、 Active 状態です。ここでは、コール セットアップは完了して、エンドポイントはメディアを交換しています。このセッションは、6 秒間アイドル状態でした。

fixup protocol skinny

Skinny Client Control Protocol(SCCP または「skinny」)プロトコルは、IP テレフォニーをサポートしており、H.323 環境で共存できます。アプリケーション層は、すべての SCCP シグナリングとメディア パケットが PIX Firewall を通過し、H.323 端末と相互動作することを保証します。skinny フィックスアップは、NAT 設定と PAT 設定の両方をサポートしています。


) 内部の Cisco CallManager のアドレスが NAT または PAT 用に別の IP アドレスかポートを設定している場合、PIX Firewall は、現在のところ TFTP を経由して転送するファイルの内容に対して NAT または PAT をサポートしていないため、外部の Cisco IP Phone 用の登録は失敗します。PIX Firewall は、TFTP メッセージの NAT をサポートしており、TFTP ファイル用のピンホールを空けて、ファイアウォールを通過させますが、電話機の登録中に TFTP を使用して転送される Cisco IP Phone の設定ファイルに埋め込まれている Cisco CallManager IP アドレスとポートは変換できません。

skinny メッセージがフラグメント化されると、ファイアウォールはそのメッセージの認識または検査ができません。Skinny メッセージのフラグメント化は、コンファレンス ブリッジを含むコールが確立されたときに発生する可能性があります。ファイアウォールは、skinny プロトコルを追跡して、RTP トラフィック用のコンジットを開き、RTP トラフィックを通しますが、フラグメント化された skinny メッセージでは、このコンジットを正しくセットアップできません。


show skinny コマンドは、PIX Firewall を越えて確立されている Skinny(SCCP)セッションの情報を表示します。 debug skinny show local-host と共に、このコマンドは、Skinny フィックスアップ問題のトラブルシューティングに使用されます。


show skinny コマンドを使用する前に pager コマンドを設定することを推奨します。多くの Skinny セッションが存在し、pager コマンドが設定されていない場合、show skinny コマンド出力が最後まで到達するには、しばらく時間がかかることがあります。


次の条件での show skinny コマンドの出力例を示します。PIX Firewall を越えて 2 つのアクティブな Skinny セッションがセットアップされています。最初の Skinny セッションは、ローカル アドレス 10.0.0.11 にある内部 Cisco IP Phone と 172.18.1.33 にある外部 Cisco CallManager の間に確立されています。TCP ポート 2000 は、CallManager です。2 番目の Skinny セッションは、ローカル アドレス 10.0.0.22 にある別の内部 Cisco IP Phone と同じ Cisco CallManager の間に確立されています。

pixfirewall(config)# show skinny
LOCAL FOREIGN STATE
---------------------------------------------------------------
1 10.0.0.11/52238 172.18.1.33/2000 1
MEDIA 10.0.0.11/22948 172.18.1.22/20798
2 10.0.0.22/52232 172.18.1.33/2000 1
MEDIA 10.0.0.22/20798 172.18.1.11/22948
 

この出力は、両方の内部 Cisco IP Phone 間でコールが確立されていることを示します。最初と 2 番目の電話機の RTP リスン ポートは、それぞれ UDP 22948 と 20798 です。

次に、これらの Skinny 接続に対する xlate 情報を示します。

pixfirewall(config)# show xlate debug
2 in use, 2 most used
Flags: D - DNS, d - dump, I - identity, i - inside, n - no random,
o - outside, r - portmap, s - static
NAT from inside:10.0.0.11 to outside:172.18.1.11 flags si idle 0:00:16 timeout 0:05:00
NAT from inside:10.0.0.22 to outside:172.18.1.22 flags si idle 0:00:14 timeout 0:05:00

fixup protocol smtp

fixup protocol smtp コマンドは、Mail Guard 機能をイネーブルにします。この機能は、メール サーバは、RFC 821、4.5.1 項の HELO、MAIL、RCPT、DATA、RSET、NOOP、および QUIT というコマンドを受信できるようにするだけです。ほかのすべてのコマンドは、内部サーバにより拒否される X に変換されます。この結果は、「500 Command unknown: 'XXX'」のようなメッセージで表示されます。不完全なコマンドは、廃棄されます。


) 対話型の SMTP セッションの間、様々な SMTP セキュリティ規則が、Telnet セッションを拒否し、またはデッドロックにします。これらの規則には、SMTP コマンドは少なくとも 4 文字の長さが必要である、SMTP コマンドは改行と復帰で終了する必要がある、次の返信を発行する前に応答を待つ必要がある、という事項が含まれています。


PIX Firewall ソフトウェアの Version 5.1 以降では、fixup protocol smtp コマンドは、SMTP バナーの中の文字を、「2」、「0」、「0」 文字を除いて、アスタリスクに変更します。復帰(CR)と改行(LF)は、無視されます。

PIX Firewall ソフトウェアの Version 4.4 では、SMTP バナー内の文字がすべてアスタリスクに変換されます。

fixup protocol sqlnet

PIX Firewall は、SQL*Net 用にポート 1521 を使用します。このポートは、Oracle が SQL*Net 用に使用しているデフォルトのポートです。しかし、この値は、IANA ポート割り当てとは一致していません。

次の例では、Mail Guard を実行している内側サーバへのアクセスをイネーブルにします。

static (inside,outside) 209.165.201.1 192.168.42.1 netmask 255.255.255.255
access-list acl_out permit tcp host 209.165.201.1 eq smtp any
access-group acl_out in interface outside
fixup protocol smtp 25
 

次の例では、Mail Guard をディセーブルにするコマンドを示します。

static (dmz1,outside) 209.165.201.1 10.1.1.1 netmask 255.255.255.255
access-list acl_out permit tcp host 209.165.201.1 eq smtp any
access-group acl_out in interface outside
no fixup protocol smtp 25
 

この例では、static コマンドが、グローバル アドレスをセットアップして、外側のホストが dmz1 インターフェイス上の 10.1.1.1 メール サーバ ホストにアクセスすることを許可します(DNS 用の MX レコードは、209.165.201.1 アドレスを指す必要があり、これによってメールはこのアドレスに送信されます)。access-list コマンドによって、任意の外側ユーザが SMTP ポート(25)を経由して、グローバル アドレスにアクセスできます。no fixup protocol コマンドは、Mail Guard 機能をディセーブルにします。

次の例では、ファイアウォール上で MGCP fixup をイネーブルにする方法を示します。

pixfirewall(config)# fixup protocol mgcp 2427
pixfirewall(config)# fixup protocol mgcp 2727
pixfirewall(config)# show running-config
: Saved
:
PIX Version 6.3
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name cisco.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
fixup protocol mgcp 2427
fixup protocol mgcp 2727
fixup protocol sip udp 5060
names
access-list 101 permit tcp any host 10.1.1.3 eq www
access-list 101 permit tcp any host 10.1.1.3 eq smtp
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 172.23.59.232 255.255.0.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
routing interface inside
route outside 0.0.0.0 0.0.0.0 172.23.59.225 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 10.1.1.2 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcprelay server 10.1.1.1 outside
terminal width 80
Cryptochecksum:00000000000000000000000000000000
: end
 

次の例では、設定から MGCP フィックスアップを削除する方法を示します。

pixfirewall(config)# show fixup protocol mgcp
fixup protocol mgcp 2427
fixup protocol mgcp 2727
pixfirewall(config)# no fixup protocol mgcp
pixfirewall(config)#

 
関連コマンド

debug

Media Gateway Control Protocol(MGCP)トラフィックのデバッグ情報を表示します。

mgcp

Media Gateway Control Protocol fixup(パケット アプリケーション検査)の追加サポートを設定して、 fixup protocol mgcp コマンドと共に使用します。

show conn

アクティブな接続をすべて表示します。MGCP show conn オプションと接続フラグ「g」があります。

timeout

アイドル状態の最大継続時間を設定します(MGCP タイムアウト オプションがあります)。

flashfs

ファイルシステム情報をクリア、表示、またはダウングレードします。

flashfs downgrade { 4.x | 5.0 | 5.1 }

clear flashfs

show flashfs

 
文法説明

downgrade 4.x

フラッシュ メモリのファイルシステム情報をクリアしてから、
PIX Firewall ソフトウェア Version 4.0、4.1、4.2、4.3、または 4.4 にダウングレードします。

downgrade 5.0 | 5.1

ファイルシステムをフラッシュ メモリに書き込んでから、適切な PIX Firewall ソフトウェア Version 5.0 以降にダウングレードします。

 
コマンド モード

設定モード。

 
使用上のガイドライン

clear flashfs コマンドと flashfs downgrade 4.x コマンドは、PIX Firewall 内のフラッシュ メモリのファイルシステム部分をクリアします。Versions 4.n は、ファイルシステムの情報を使用できません。以前のバージョンが正しく動作するためには、ファイルシステムの情報をクリアする必要があります。

flashfs downgrade 5.x コマンドは、フラッシュ メモリのファイルシステム部分を再編成するので、以前のバージョンを使用してファイルシステムに保管された情報にアクセスできます。PIX Firewall は、フラッシュ メモリ内のファイルシステムを維持して、システム情報、IPSec 秘密キー、証明書、および CRL を保管します。以前の PIX Firewall バージョンにダウングレードする前にファイルシステムをクリアするか、再フォーマットすることが重要です。これを行わない場合、ファイルシステムはフラッシュ メモリの実際の内容と一致しなくなり、この装置が後でアップグレードされたときに、問題が発生します。

PIX Firewall が 16 MB のフラッシュ メモリを搭載し、IPSec 秘密キー、証明書、または CRL をフラッシュ メモリに保管しており、そして、 ca save all コマンドを使用して、これらの事項をフラッシュ メモリに保存した場合は、 flashfs downgrade 5.x コマンドだけを使用する必要があります。ファイルシステムがフラッシュ メモリ デバイス内のイメージ、設定、またはプライベート データの一部が利用できないことを示している場合、 flashfs downgrade 5.x コマンドは失敗します。

clear flashfs コマンドと flashfs downgrade コマンドは、フラッシュ メモリに保管されている設定には影響を与えません。

clear flashfs コマンドは、flashfs downgrade 4.x コマンドと同じです。

show flashfs コマンドは、ファイルシステムの各セクターのサイズをバイト単位で表示し、現在のファイルシステムの状態を表示します。各セクターに含まれるデータは、次のとおりです。

file 0:PIX Firewall のバイナリ イメージで、.bin ファイルが保管されています。

file 1:PIX Firewall 設定データで、show config コマンドを使用して表示できます。

file 2:PIX Firewall データ ファイルで、IPSec キーと証明書情報を保管しています。

file 3:flashfs downgrade 情報で、show flashfs コマンドで使用されます。

file 4:フラッシュ メモリ内の圧縮された PIX Firewall イメージ サイズ。

次に、 show flashfs コマンドの出力例を示します。

pixfirewall(config)# show flashfs
flash file system: version:2 magic:0x12345679
file 0: origin: 0 length:1511480
file 1: origin: 2883584 length:3264
file 2: origin: 0 length:0
file 3: origin: 3014656 length:4444164
file 4: origin: 8257536 length:280
 

次のコマンドを使用して、ファイルシステムをフラッシュ メモリに書き込んでから、低いバージョンのソフトウェアにダウングレードします。

pixfirewall(config)# flashfs downgrade 5.3
 

次のコマンドは、ファイルシステムのセクター サイズを表示します。

pixfirewall(config)# show flashfs
flash file system: version:1 magic:0x12345679
file 0: origin: 0 length:1794104
file 1: origin: 2095104 length:1496
file 2: origin: 0 length:0
file 3: origin: 2096640 length:140
file 4: origin: 8257536 length:280
 
pixfirewall(config)#flashfs downgrade 5.3
pixfirewall(config)#show flashfs
flash file system: version:0 magic:0x0
file 0: origin: 0 length:0
file 1: origin: 0 length:0
file 2: origin: 0 length:0
file 3: origin: 0 length:0
file 4: origin: 8257536 length:280
 

起点の値は、基本となっているファイルシステムのセクター サイズの整数倍です。

floodguard

フラッド攻撃を防ぐ Flood Defender をイネーブルまたはディセーブルにします。

floodguard enable

floodguard disable

clear floodguard

show floodguard

 
文法説明

enable

Flood Defender をイネーブルにします。

disable

Flood Defender をディセーブルにします。

 
コマンド モード

設定モード。

 
使用上のガイドライン

floodguard コマンドを使用すると、ユーザ認証(uauth)サブシステムのリソースが不足した場合に、PIX Firewall リソースを再利用できます。受信または送信の uauth 接続が攻撃を受けている場合、または過度に使用されている場合、PIX Firewall は積極的に TCP ユーザ リソースを再利用します。

リソースが枯渇すると、PIX Firewall は、リソースまたは TCP ユーザが不足しているというメッセージを表示します。

PIX Firewall uauth サブシステムが枯渇すると、緊急性に従って、次の順序で、別の状態の TCP ユーザ リソースが再利用されます。

1. Timewait

2. FinWait

3. Embryonic

4. Idle

floodguard コマンドは、デフォルトではイネーブルになっています。

次の例では、 floodguard コマンドをイネーブルにし、設定内の floodguard コマンド文を表示します。

floodguard enable
show floodguard
floodguard enable
 

fragment

fragment コマンドは、特別なパケット フラグメント化の管理を提供して、NFS との互換性を改善します。

fragment size database-limit [ interface ]

fragment chain chain-limit [ interface ]

fragment timeout seconds [ interface ]

clear fragment

show fragment [ interface ]

 
文法説明

chain

完全な IP パケットがフラグメント化されるパケット数の最大値を示す。デフォルトは 24 です。

chain-limit

デフォルトは 24 です。最大は 8200 です。

clear

フラグメント データベースとデフォルトをリセットします。現在再組み立てを待っているフラグメントがすべて廃棄され、size、chain、および timeout オプションがデフォルト値にリセットされます。

database-limit

デフォルトは 200 です。最大値は、1,000,000 またはブロックの総数です。

interface

PIX Firewall インターフェイス。指定されていなければ、このコマンドはすべてのインターフェイスに適用されます。

seconds

デフォルトは、5 秒です。最大は 30 秒です。

show

フラグメント データベースの状態を表示します。

Size:size オプションでセットされるパケットの最大サイズ。

Chain:chain オプションでセットされる 1 つのパケットの最大フラグメント。

Timeout:timeout オプションでセットされる最大秒数。

Queue:現在再組み立てを待っているパケット数。

Assemble:再組み立てに成功したパケット数。

Fail:再組み立てに失敗したパケット数。

Overflow:フラグメント データベースからオーバーフローしたパケット数。

size

フラグメント データベース内のパケット数の最大値を設定。デフォルトは 200 です。

timeout

最初のフラグメントが受信された後、パケット フラグメントが再組み立てを待つ最大時間を秒で指定します。この時間が経過するとフラグメントは廃棄されます。デフォルトは、5 秒です。

 
コマンド モード

設定モード。

 
使用上のガイドライン

デフォルトでは、PIX Firewall は、完全な IP パケットの再構築するために、最大 24 個のフラグメントを受け入れます。ネットワーク セキュリティ ポリシーに基づいて、各インターフェイスについて fragment chain 1 interface コマンドを入力することで、フラグメント化されたパケットがファイアウォールを通過できなくするように PIX Firewall の設定を検討する必要があります。制限に 1 を設定すると、すべてのパケットが元のまま、つまり、フラグメント化されていない状態である必要があります。

PIX Firewall を通過するネットワーク トラフィックのほとんどが NFS である場合、データベースのオーバーフローを防ぐため、さらに調整が必要になる可能性があります。追加情報については、システム ログ メッセージ 209003 を参照してください。

WAN インターフェイスなどのように NFS サーバとクライアントの間の MTU が小さな環境では、chain オプションをさらに調整する必要があります。この場合、効率を改善するには NFS over TCP を強く推奨します。

size オプションの「database-limit」に大きな値を設定すると、PIX Firewall は、さらにフラグメント フラッディングによる DoS 攻撃を受けやすくなります。「database-limit」に 1550 プールまたは 16384 プール内のブロックの総数以上の値を設定しないでください。詳細については、show block コマンドを参照してください。デフォルト値は、そのインターフェイスだけに対するフラグメント フラッディングによる DoS を制限します。

show fragment [ interface ] コマンドは、フラグメント データベースの状態を表示します。インターフェイス名が指定されていれば、指定したインターフェイスに常駐するデータベースの情報だけを表示します。

たとえば、外側インターフェイスと内側インターフェイス上のパケットのフラグメント化を避けるには、次のコマンドを入力します。

pixfirewall(config)# fragment chain 1 outside
pixfirewall(config)# fragment chain 1 inside
 

パケットのフラグメント化をさせない追加インターフェイスそれぞれに対して、続けて fragment chain 1 interface コマンドを入力します。

次の例では、外側フラグメント データベースを、最大サイズ 2000、最大チェイン長 45、待ち時間 10 秒に制限するように設定します。

pixfirewall(config)#
pixfirewall(config)# fragment outside size 2000
pixfirewall(config)# fragment outside chain 45
pixfirewall(config)# fragment outside timeout 10
pixfirewall(config)#
 

clear fragment コマンドは、フラグメント データベースをリセットします。特に、再組み立てを待っているフラグメントがすべて廃棄されます。さらに、サイズは 200 にリセットされ、チェイン制限は 24 にリセットされ、タイムアウトは 5 秒にリセットされます。

show fragment コマンドは、フラグメント データベースの状態を表示します。インターフェイス名が指定されていれば、指定したインターフェイスに常駐するデータベースだけを表示します。

pixfirewall(config)# show fragment outside
Interface:outside
Size:2000, Chain:45, Timeout:10
Queue:1060, Assemble:809, Fail:0, Overflow:0
 

上記の例は、「外側」フラグメント データベースが次の値になっていることを示します。

データベース サイズの制限は、2000 パケット。

チェイン長の制限は、45 フラグメント。

タイムアウトは 10 秒。

1060 パケットが現在再組み立て待ち。

809 パケットが完全に再組み立て済み。

再組み立て失敗なし。

オーバーフローなし。

このフラグメント データベースは、過度に使用されています。

PIX Firewall には、余分な IP フラグメント化から保護する FragGuard も含まれています。詳細については、『 Cisco PIX Firewall and VPN Configuration Guide 』を参照してください。