Cisco PIX Firewall コマンド リファレンス
G ~ L のコマンド
G ~ L のコマンド
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

G ~ L のコマンド

global

help

hostname

http

icmp

igmp

interface

ip address

ip audit

ip local pool

ip verify reverse-path

isakmp

isakmp policy

kill

logging

login

G ~ L のコマンド

global

グローバル アドレス プールに対してエントリの作成または削除を行います。

[ no ] global [( if_name )] nat_id { global_ip [- global_ip ] [ netmask global_mask ]} | interface

clear global

show global

 
文法説明

clear

global コマンド文を設定から削除します。

global_ip

PIX Firewall が複数の接続で共有する 1 つまたは複数のグローバル IP アドレス。
外部ネットワークがインターネットに接続されている場合は、各グローバル IP アドレスが Network Information Center(NIC)に登録されている必要があります。ある範囲の IP アドレスは、アドレスをダッシュ(-)で区切って指定できます。

PAT(Port Address Translation; ポート アドレス変換) global コマンドは、1 つの IP アドレスを指定して作成できます。1 つのインターフェイスに対して、複数の PAT global コマンド文を作成できます。PAT は、最大 65,535 の xlate オブジェクトをサポートできます。

global_mask

global_ip のネットワーク マスク。サブネット化が有効な場合は、
255.255.255.128 のようにサブネット マスクを使用します。指定したアドレス範囲がサブネットに重なっている場合、global では、グローバル アドレス プールにあるブロードキャスト アドレスまたはネットワーク アドレスは使用されません。たとえば、255.255.255.224 とアドレス範囲
209.165.201.1-209.165.201.30 を使用する場合、209.165.201.31 というブロードキャスト アドレスと 209.165.201.0 というネットワーク アドレスはグローバル アドレス プールに含まれません。

if_name

グローバル アドレスを使用する外部ネットワーク。

interface

インターフェイスにある IP アドレスを使用して PAT を指定します。

nat_id

nat コマンドと共有する正の数で、nat コマンド文と global コマンド文を併せてグループ化します。有効な ID 番号は、2,147,483,647 以下の正の数です。

netmask

ネットワークの global_mask 変数を前置する予約語。

 
コマンド モード

設定モード。

 
使用上のガイドライン

global コマンドは、グローバル アドレス プールを定義します。プールにあるグローバル アドレスは、各発信接続、および発信接続の結果生じる受信接続に使用される IP アドレスとなります。関連する nat コマンド文と global コマンド文で、nat_id が同じであることを確認します。

名前に「-」(ダッシュ)が含まれる場合は、注意が必要です。 global コマンドは、名前に含まれる最後の「-」文字(またはただ 1 つの「-」文字)を、名前の一部ではなく範囲指定子と解釈するためです。たとえば、 global コマンドは、「 host-net2 」という名前を「 host 」から「 net2 」までの範囲として扱います。名前が「 host-net2-section3 」の場合は、「 host-net2 」から「 section3 」までの範囲と解釈されます。

次のコマンド形式は、PAT に限り使用されます。
global [( if_name )] nat_id {{ global_ip } [ netmask global_mask ] | interface }

global コマンド文を変更または削除した場合は、その後、clear xlate コマンドを使用します。

nat_id、PAT アドレス、または nat_id のアドレス、またはアドレス範囲にアクセスできなくするには、 no global を使用します。

show global コマンドを使用すると、設定にある global コマンド文がすべて表示されます。

PAT

global コマンドと IP アドレスを 1 つ入力することで、PAT 機能をイネーブルにできます。PAT を使用すると、複数の発信セッションが 1 つの IP アドレスから発信されているように見えます。PAT がイネーブルになっていると、PIX Firewall は、各発信 xlate(変換スロット)用に PAT IP アドレスから固有のポート番号を選択します。この機能は、インターネット サービス プロバイダーが発信接続に十分な数の固有の IP アドレスを割り当てられない場合に役立ちます。PAT 用に指定する IP アドレスは、ほかのグローバル アドレス プールでは使用できません。

PAT を使用してグローバル アドレス プールを増強した場合、グローバル プールのアドレスがまず全部使用された後、次の接続に PAT アドレスが使用されます。グローバル プール アドレスが利用できる場合は、次の接続にもグローバル プール アドレスが使用されます。グローバル プール アドレスは、常に PAT アドレスが使用されるよりも前に使用されます。グローバル アドレス プールを PAT で補強するには、グローバル プールと PAT を作成する global コマンド文のnat_idと同じ nat_id を使用します。

次に例を示します。

global (outside) 1 209.165.201.1-209.165.201.10 netmask 255.255.255.224
global (outside) 1 209.165.201.22 netmask 255.255.255.224
 

PAT は、H.323 アプリケーションおよびキャッシング ネームサーバと一緒には動作しません。PIX Firewall 経由でマルチメディア アプリケーションを実行する必要がある場合は、PAT を使用しないでください。マルチメディア アプリケーションは、PAT によるポートのマッピングと競合する可能性があります。

PIX Firewall は、すべての ICMP メッセージ タイプに PAT 機能を提供するのではなく、ICMP エコーとエコー応答パケット(タイプ 8 と 0)に限り PAT 機能を提供します。特に、ICMP エコーまたはエコー応答だけが、PAT xlate を作成します。したがって、ほかの ICMP メッセージ タイプが廃棄されるとき、syslog メッセージ 305006 が生成されます(PIX Firewall 上で)。

PAT は、 established コマンドと一緒には動作しません。PAT は、DNS、FTP と受動 FTP、HTTP、電子メール、RPC、rshell、Telnet、URL フィルタリング、および発信 traceroute と一緒に動作します。

しかし、受動 FTP と一緒に使用する場合は、次の例のように、 fixup protocol ftp strict コマンド文を access-list コマンド文を付けて使用して、発信 FTP トラフィックを許可します。

fixup protocol ftp strict ftp
access-list acl_in permit tcp any any eq ftp
access-group acl_in in interface inside
nat (inside) 1 0 0
global (outside) 1 209.165.201.5 netmask 255.255.255.224
 

インターフェイスの IP アドレスを使用する PAT を指定するには、 global [ ( int_name ) ] nat_id address | interface コマンドに interface キーワードを指定します。

次の例では、グローバル設定モードで外側インターフェイスの IP アドレスを使用して PAT をイネーブルします。

ip address outside 192.150.49.1
nat (inside) 1 0 0
global (outside) 1 interface
 

PAT 用に使用されるインターフェイスの IP アドレスは、xlate(変換スロット)の作成時にインターフェイスに関連付けられたアドレスです。これによって DHCP が取得したアドレスを PAT 用に使用できるので、DHCP の設定にとって重要です。

PAT がインターフェイス上でイネーブルになっているとき、TCP、UDP、および ICMP サービスがなお使用できる必要があります。これらのサービスは、PIX Firewall 装置の外側インターフェイスで終端することが可能になります。

異なるサブネット間での使用状況を追跡するために、サポートされている次の設定を使用して複数の PAT を指定できます。

次の例では、グローバル設定モードで、内部ネットワーク 10.1.0.0/24 上のホストをグローバル アドレス 192.168.1.1 に、内部ネットワーク 10.1.1.1/24 上のホストをグローバル アドレス 209.165.200.225 にマッピングします。

nat (inside) 1 10.1.0.0 255.255.255.0
nat (inside) 2 10.1.1.0 255.255.255.0
global (outside) 1 192.168.1.1 netmask 255.255.255.0
global (outside) 2 209.165.200.225 netmask 255.255.255.224
 

次の例では、内部ネットワーク 10.1.0.0/16 のホストに PAT をセットアップするために、2 つのポート アドレスをグローバル設定モードで設定します。

nat (inside) 1 10.1.0.0 255.255.0.0
global (outside) 1 209.165.200.225 netmask 255.255.255.224
global (outside) 1 192.168.1.1 netmask 255.255.255.0
 

この設定によって、アドレス 209.165.200.225 からのポート プールが一杯の場合、アドレス 192.168.1.1 だけが使用されます。

PAT と DNS

PIX Firewall 経由ですべての外部ネットワーク アドレスにアクセスできるためには、global コマンドで指定されるグローバル アドレス プール内の IP アドレスに、逆 DNS エントリが必要です。逆 DNS マッピングを作成するには、各グローバル アドレスに対して、アドレスから名前にマッピングしたファイルの DNS PTR レコードを使用します。DNS の詳細については、Paul Albitz/Cricket Liu 著、『DNS and BIND』、O'Reilly & Associates, Inc. 発行、ISBN 1-56592-010-4 を参照してください。PTR エントリがなければ、サイトからインターネットへの接続の速度低下や断続、FTP 要求の恒常的な失敗が発生することがあります。たとえば、グローバル IP アドレスが 209.165.201.1 で、PIX Firewall のドメインが pix.example.com の場合、PTR レコードは次のようになります。

1.201.165.209.in-addr.arpa. IN PTR pix.example.com
 

DNS サーバが高レベルのセキュリティを持つインターフェイスにあり、外側インターフェイス上のルート ネーム サーバからアップデートを取得する必要がある場合は、PAT が使用できません。この場合は、 static コマンド文を追加して、DNS サーバを外側インターフェイスのグローバル アドレスにマッピングする必要があります。

たとえば、PAT が次のコマンドによってイネーブルになっているとします。

nat (inside) 1 192.168.1.0 255.255.255.0
global (inside) 1 209.165.202.128 netmask 255.255.255.224
 

しかし、IP アドレス 192.168.1.5 の内側インターフェイス上の DNS サーバは、IP アドレス
209.165.202.130 の外側インターフェイス上のルート ネーム サーバに正しく到達できません。

内側 DNS サーバがルート ネーム サーバにアクセスできるようにするには、次の static コマンド文を挿入します。

static (inside,outside) 209.165.202.129 192.168.1.5
 

グローバル アドレス 209.165.202.129 が、IP アドレス 192.168.1.5 の内側サーバに対して変換済みアドレスを与えます。

次の例では、2 つのグローバル プール範囲と 1 つの PAT アドレスを宣言します。その結果、 nat コマンドによって、内側のユーザすべてが、外側ネットワークへの接続を開始できるようになります。

global (outside) 1 209.165.201.1-209.165.201.10 netmask 255.255.255.224
global (outside) 1 209.165.201.12 netmask 255.255.255.224
Global 209.165.201.12 will be Port Address Translated
nat (inside) 1 0 0
clear xlate
 

次の例では、クラス C の近接するアドレス範囲 2 つからグローバル プールを作成し、境界ホストがこのアドレス プールにアクセスして、外側インターフェイス上で接続を開始できるようにします。

global (outside) 1000 209.165.201.1-209.165.201.14 netmask 255.255.255.240
global (outside) 1000 209.165.201.17-209.165.201.30 netmask 255.255.255.240
nat (perimeter) 1000 0 0

help

ヘルプ情報を表示します。

help command

?

 
文法説明

?

現在の特権レベルとモードで利用できるコマンドをすべて表示します。

command

PIX Firewall コマンドを指定して、そのコマンドについて PIX Firewall コマンドライン インターフェイス(CLI)ヘルプを表示します。

help

コマンド名を指定しなければ、現在の特権レベルとモードで利用できるコマンドがすべて表示されます。コマンド名を指定した場合は、指定したコマンドについて PIX Firewall CLI ヘルプが表示されます。

 
コマンド モード

ユーザ モード、特権モード、および設定モード。

 
使用上のガイドライン

help または ? コマンドは、すべてのコマンドについてヘルプ情報を表示します。個々のコマンドについてのヘルプは、そのコマンド名の後に「 ? 」(疑問符)を入力することで、表示できます。

pager コマンドがイネーブルになっている場合は、24 行が表示されたときに、表示が一時停止して次のプロンプトが表示されます。

<--- More --->
 

More プロンプトは UNIX の more コマンドと同様のシンタックスを使用します。

次の画面を表示するには、Space キーを押す。

次の行を表示するには、 Enter キーを押す。

コマンド ラインに戻るには、q キーを押す。

次の例では、コマンド名の後に疑問符を付けてヘルプ情報を表示する方法を示します。

enable ?
usage: enable password <pw> [encrypted]
 

コア コマンド(show、no、clear 以外のコマンド)についてのヘルプ情報は、コマンド プロンプトで ? を入力すると表示されます。

?
aaa Enable, disable, or view TACACS+ or RADIUS
user authentication, authorization and accounting
...

hostname

PIX Firewall コマンドライン プロンプトに表示されるホスト名を変更します。

hostname newname

 
文法説明

newname

ファイアウォールの新しいホスト名を指定します。ホスト名は、ファイアウォール プロンプトに表示されます。名前には、63 文字以下の英数字を使用できます。

 
コマンド モード

設定モード。

 
使用上のガイドライン

hostname コマンドは、プロンプトのラベルとして使用されるホスト名を変更します。デフォルトのホスト名は、pixfirewall です。


) ホスト名を変更すると、完全修飾ドメイン名が変更されます。完全修飾ドメイン名が変更されたら、ca zeroize rsa コマンドを使用して RSA キー ペアを削除し、no ca identity ca_nickname コマンドで関連する証明書を削除します。


次の例では、ホスト名を変更する方法を示します。

pixfirewall(config)# hostname spinner
spinner(config)# hostname pixfirewall
pixfirewall(config)#

http

PIX Firewall HTTP サーバをイネーブルにし、サーバにアクセスできるクライアントを指定します。さらに、Cisco PIX Device Manager(PDM)は、アクセスできるように PIX Firewall の HTTP サーバがイネーブルになっていることを要求します。

[ no ] http ip_address [ netmask ] [ if_name ]

[ no ] http server enable

clear http

show http

 
文法説明

clear http

すべての HTTP ホストを削除し、サーバをディセーブルにします。

http

HTTP に関連しています。

http server enable

PDM の実行に必要な HTTP サーバをイネーブルにします。

if_name

HTTP 接続を開始するホストまたはネットワークが常駐する PIX Firewall インターフェイス名。

ip_address

PIX Firewall への HTTP 接続の開始を許可するホストまたはネットワークを指定します。

netmask

http ip_address のネットワーク マスクを指定します。

 
デフォルト

ネットマスクを指定しない場合、デフォルトは IP アドレスのクラスにかかわらず、 255.255.255.255 です。デフォルトの if_name は inside です。

 
コマンド モード

設定モード。

 
使用上のガイドライン

ip_address netmask 0.0.0.0 0.0.0.0 (または 0 0 )を指定すると、すべてのホストからのアクセスが許可されます。

show http コマンドは、許可されたホストと HTTP サーバがイネーブルになっているかどうかを表示します。

次の例の http コマンドは、1 つのホストに対して使用されます。

http 16.152.1.11 255.255.255.255 outside
 

次の例の http コマンドは、すべてのホストに対して使用されます。

http 0.0.0.0 0.0.0.0 inside

icmp

インターフェイスで終端する Internet Control Message Protocol(ICMP)トラフィックに対して、アクセス ルールを設定します。

[ no ] icmp { permit | deny } ip_address net_mask [ icmp_type ] if_name

clear icmp

show icmp

 
文法説明

deny

条件に合致している場合、アクセスを拒否します。

icmp_type

ICMP メッセージのタイプ。詳細については、 表 6-1 を参照してください。

if_name

インターフェイス名。

ip_address

ICMP メッセージをインターフェイスに送信するホストの IP アドレス。

net_mask

ip_address に適用されるマスク。

permit

条件に合致している場合、アクセスを許可します。

 
コマンド モード

設定モード。

 
使用上のガイドライン

デフォルトでは、PIX Firewall は外側インターフェイスを通る着信トラフィックをすべて拒否します。ネットワークのセキュリティ ポリシーに基づいて、PIX Firewall の設定を、すべての ICMP トラフィックを外側インターフェイスで拒否するか、必要と思われるその他のインターフェイスで拒否するかを検討する必要があります。この設定には、 icmp コマンドを使用します。

icmp コマンドは、ファイアウォールが受信した ICMP トラフィックを制御します。ICMP コントロール リストが設定されていない場合、PIX Firewall は、すべてのインターフェイス(外側インターフェイスを含む)に終端する ICMP トラフィックをすべて受け入れます。ただし、PIX Firewall は、ブロードキャスト アドレス宛ての ICMP エコー要求には応答しません。

icmp deny コマンドは、インターフェイスへの ping をディセーブルにし、icmp permit コマンドは、インターフェイスへの ping をイネーブルにします。ping をディセーブルにすると、PIX Firewall がネットワーク上で検出できなくなります。これは、設定可能なプロキシ ping とも呼ばれます。

PIX Firewall だけを通してルーティングされるトラフィックに対しては、 access-list コマンドまたは access-group コマンドを使用して、PIX Firewall 経由でルーティングされる ICMP トラフィックを制御できます。

ICMP 到達不能メッセージ タイプ(タイプ 3)は、許可することを推奨します。ICMP 到達不能メッセージを拒否すると、Path MTU Discovery がディセーブルになるため、IPSec トラフィックと PPTP のトラフィックが停止される場合があります。Path MTU Discovery の詳細については、RFC 1195 と RFC 1435 を参照してください。

ICMP コントロール リストが設定されている場合、PIX Firewall は ICMP トラフィックと最初に一致したエントリを使用し、それ以降のエントリはすべて暗黙的に拒否します。つまり、最初に一致したエントリが許可エントリの場合、その ICMP パケットは処理が続けられます。最初に一致したエントリが拒否エントリの場合、またはエントリが一致しなかった場合は、PIX Firewall がその ICMP パケットを廃棄し、%PIX-3-313001 syslog メッセージを生成します。例外は、ICMP コントロール リストが設定されていない場合で、その場合は、許可があるものとみなされます。

この syslog メッセージは次のとおりです。

%PIX-3-313001: Denied ICMP type=type, code=code from source_address on interface interface_number

このメッセージが表示された場合は、ピアの管理者に連絡してください。

ICMP メッセージのタイプ

表 6-1 に、ICMP タイプで可能な値を示します。

 

表 6-1 ICMP タイプとリテラル

ICMP タイプ
リテラル

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

mask-request

18

mask-reply

31

conversion-error

32

mobile-redirect

1. たとえば、ping 要求も含め、外側インターフェイスへの ICMP トラフィックをすべて拒否するには、次のコマンドを入力します。

icmp deny any outside
 

CIMP トラフィックを拒否する追加インターフェイスそれぞれに対して、続けて icmp deny any interface コマンドを入力します。

2. 外側インターフェイスで、すべての ping 要求を拒否し、すべての到達不能メッセージを許可するには、次のように入力します。

icmp deny any echo-reply outside
icmp permit any unreachable outside
 

3. ホスト 172.16.2.15 またはサブネット 172.22.1.0/16 上のホストに、外側インターフェイスへの ping を許可するには、次のように入力します。

icmp permit host 172.16.2.15 echo-reply outside
icmp permit 209.165.201.1 255.255.255.0 echo-reply outside
icmp permit any unreachable outside

igmp

igmp サブコマンドについては、 multicast コマンドを参照してください。

Internet Group Management Protocol(IGMP)は、IP ホストがそのマルチキャスト グループ メンバーシップを近接のマルチキャスト ルータに報告するためのプロトコルです。PIX Firewall では、IGMP のサポートは、 multicast コマンドのサブコマンドとしてインプリメントされています。

interface

ネットワーク インターフェイス パラメータを設定し、VLAN を構成します。

interface hardware_id [ hardware_speed [ shutdown ]]

[ no ] interface hardware_id vlan_id [ logical | physical ] [ shutdown ]

interface hardware_id change-vlan old_vlan_id new_vlan_id

clear interface

show interface hardware_id [ hardware_speed ] [ shutdown ]

 
文法説明

change-vlan

インターフェイスの VLAN 識別子を変更するためのキーワード。

hardware_id

ネットワーク インターフェイスのタイプを識別します。指定できる値は、
ethernet0
ethernet1 ethernet n 、または gb-ethernet n で、PIX Firewall にあるネットワーク数によって決まります。

hardware_speed

ネットワーク インターフェイスの速度(オプション)。

aui :AUI ケーブル インターフェイスを使用する 10 Mbps イーサネット半二重通信用に設定。

auto :イーサネット速度と二重通信設定の自動ネゴシエーション。この auto キーワードは、Intel 10/100 自動速度感知ネットワーク インターフェイス カードがある場合に限り使用できます。

bnc :BNC ケーブル インターフェイスを使用する 10 Mbps イーサネット半二重通信用に設定。

指定できるイーサネットの値は、次のいずれかです。

10baseT :10 Mbps イーサネット半二重通信用に設定。

10full :10 Mbps イーサネット全二重通信用に設定。

100baseTX :100 Mbps イーサネット半二重通信用に設定。

100full :100 Mbps イーサネット全二重通信用に設定。

指定できるギガビット イーサネット(gb-ethernetX)の値は、次のいずれかです。

1000auto :速度と二重通信を自動ネゴシエーション。

1000full :1000 Mbps 全二重を自動ネゴシエーションおよびアドバタイズ。

1000full nonegotiate :1000 Mbps 全二重へのリンクを強制。

logical

論理インターフェイスを作成し、VLAN を適用します。

new_vlan_id

新しい VLAN 識別子。

old_vlan_id

現在の VLAN 識別子。

physical

VLAN を物理インターフェイスに適用します。

shutdown

インターフェイスをディセーブルにします。

vlan_id

VLAN 識別子。たとえば、vlan10、vlan20 などです。

 
コマンド モード

設定モード。

 
デフォルト

VLAN 論理インターフェイスは、設定時にはデフォルトでイネーブルになっています。

 
使用上のガイドライン

interface コマンドは、ネットワーク インターフェイス ボードの速度と二重化通信を設定し、指定したインターフェイスを始動します。interface コマンドを変更した場合は、その後、clear xlate コマンドを使用します。


) ステートフル フェールオーバーが正しく動作するには、interface コマンドの 100full オプションを使用して、ステートフル フェールオーバー専用インターフェイスを 100 Mbps 全二重に設定します。

PIX Firewall で現在使用されている i82542 ギガビット イーサネット インターフェイスは、半二重をサポートしていないため、このインターフェイスで使用する場合、1000auto1000full と同じです。


VLAN インターフェイス

VLAN(仮想 LAN)は、1 つまたは複数の異なる物理 LAN セグメント上のデバイスをソフトウェアによって接続し、その結果、それらのデバイスが、同じ物理 LAN に接続されているかのように動作します。VLAN は、この接続を物理接続によってではなく、論理(ソフトウェア)接続によって行います。この論理接続の結果、VLAN の柔軟性もきわめて高くなり、どのセグメントをどの VLAN に接続するかを、完全にソフトウェアによって設定(または設定変更)できます。

PIX Firewall は 802.1Q VLAN だけをサポートしています。特に、このファイアウォールは、物理インターフェイス上で複数の 802.1Q VLAN をサポートしており、802.1Q のタグ付きパケットを送受信できます。VLAN は、PIX 501 と PIX 506/PIX 506E ではサポートされていません。

ファイアウォールは、どのブリッジング プロトコルにもネゴシエーションまたは参加しないため、現在 LAN トランク(2 つのスイッチ間の物理および論理接続)用の実行可能コマンドはサポートしていません。ファイアウォールは、VLAN トランク上の LAN だけを表示します。ファイアウォールは、LAN トランクの状態を、物理インターフェイスの状態と同じであると認識します。リンクが物理イーサネット上で動作中であれば、VLAN が LAN トランク用に割り当て、または設定されるとすぐに、ファイアウォールはそのトランクを動作中と認識します。加えて、ファイアウォールの物理イーサネット インターフェイス上で、 vlan_id を割り当て、または設定するとすぐに、VLAN がアクティブになります。

VLAN を PIX Firewall の物理インターフェイスに割り当てるには、interface hardware_id vlan_id physical コマンドを使用します。 interface hardware_id vlan_id logical コマンドでは、1 つの物理インターフェイスに複数の論理インターフェイスを設定し、各論理インターフェイスを特定の VLAN に、その vlan_id を使用して割り当てることができます(VLAN ID は、インターフェイスに適用するものと考えるとわかりやすい)。

物理インターフェイスは、ブート時に各 NIC に 1 つだけ作成され、削除はできません。論理インターフェイスは、実行時に各 NIC に対して複数作成され、ソフトウェアの設定変更によって削除できます。VLAN をサポートするには、すべての PIX Firewall プラットフォームに対して、最低 2 つの物理インターフェイスが必要です。

ほかのプラットフォーム上で設定できる論理インターフェイス数は、プラットフォームによって異なります。PIX 515/515E では 4 ~ 8 の論理インターフェイスがサポートされ、PIX 525 では 4 ~ 10、PIX 535 では 14 ~ 24 と、プラットフォームに対するライセンスに応じて決まります。

論理インターフェイスが持つのは、Layer 3 のアトリビュートだけです。したがって、たとえばフェールオーバーのように、物理インターフェイスには発行できるが、論理インターフェイスでは使用できないコマンドもあります。物理インターフェイスをディセーブルにすると、関連する論理インターフェイスがすべてディセーブルになります。論理インターフェイスをディセーブルにしても、影響を受けるのは論理インターフェイスだけです。


) 論理インターフェイスと VLAN を物理インターフェイスに割り当てない限り、ファイアウォール ポートを VLAN スイッチに接続しないことを推奨します。これによって、タグの付かないパケットがファイアウォールからスイッチに転送されなくなるため、そのインターフェイス上でネイティブ VLAN への攻撃が発生することを効果的に防止できます。


VLAN コンフィギュレーションに関する情報を表示するには、 show interface コマンドを入力します。

論理インターフェイスを一時的にディセーブルにするには、 interface hardware_id vlan_id logical shutdown コマンドを入力します。

VLAN を再割り当てするには、 interface hardware_id change-vlan old_vlan_id new_vlan_id コマンドを使用します。

VLAN 構成を削除するには、 no interface hardware_id vlan_id logical コマンドを使用します。

no コマンドと clear コマンド

clear interface コマンドは、入力バイト数以外のインターフェイスの統計情報をすべてクリアします。このコマンドは、すべてのシステム インターフェイスをシャットダウンできなくなります。clear interface コマンドは、ギガビット イーサネット以外のすべてのインターフェイス タイプで動作します。 clear interface コマンドはまた、すべてのインターフェイスに対する Unicast RPF のパケット廃棄数もクリアします。

論理インターフェイスと VLAN 定義を削除するには、 no interface コマンドを使用します(しかし、 no interface コマンドは、interface shutdown コマンドを無効にはしません)。


) 論理インターフェイス(VLAN コンフィギュレーションに使用されているインターフェイス)で no interface コマンドを使用すると、その論理インターフェイスがシステムから削除されます。論理インターフェイスを削除すると、インターフェイスに適用されているコンフィギュレーション ルールもすべて削除されるため、no interface コマンドを論理インターフェイスに使用するときには注意が必要です。


shutdown オプションを使用すると、インターフェイスをディセーブルにできます。初めて PIX Firewall をインストールしたときには、すべてのインターフェイスがデフォルトでシャットダウンされています。shutdown オプションを指定せずにコマンドを入力して、インターフェイスを明示的にイネーブルにする必要があります。コマンドに shutdown オプションがなければ、パケットは、ドライバとカードの間で受け渡しされます。

shutdown オプションが存在する場合、パケットは両方向で廃棄されます。新しいカードを挿入すると、shutdown オプションを含むデフォルトのインターフェイス コマンドがデフォルトになります(つまり、新しいカードを追加して write memory コマンドを入力すると、そのインターフェイスについて、shutdown オプションがフラッシュ メモリに保存されます)。旧バージョンから現行バージョンにアップグレードしたときには、インターフェイスがイネーブルになっています。

インターフェイスの設定は、バッファの割り当てに影響を与えます(PIX Firewall は、回線速度が速いほど、より多くのバッファを割り当てます)。バッファの割り当ては、 show blocks コマンドでチェックできます。


) interface hardware_id auto コマンドによって、インターフェイスの速度自動感知がデフォルトで設定されている場合でも、たとえば、10baseT や 100baseTX のように、ネットワーク インターフェイスの速度を指定することを推奨します。これによって、PIX Firewall が、自動感知を正しく処理しないスイッチやほかのデバイスを含むネットワーク環境で動作できるようになります。


show interface

show interface コマンドは、イーサネットについてのネットワーク インターフェイスの情報を表示します。これは、PIX Firewall のインストール後、ネットワーク接続を確立するときに、最初に使用する必要があるコマンドの 1 つです。


) PIX 501 スイッチ インターフェイスは、スイッチ ポートが速度と二重通信設定についてネゴシエートした場合でも、常に、100000 Kbit full duplex(100,000 Kbps 全二重)を示します。


ギガビット インターフェイス カードは、バージョン 5.0(3) で導入された拡張機能である show interface コマンド カウンタの情報を提供しません。ギガビット イーサネット インターフェイスでは、入力(受信)キューのブロック数について、現在のカウントと最大のカウントが常に同じ(63)です。

次の 表 6-2 に、show interface コマンドの情報を示します。

表 6-2 show interface の説明

説明

Ethernet という文字列は、インターフェイスの設定に interface コマンドを使用していたことを示します。この文は、内側か外側か、インターフェイスが利用可能(「アップ」)か利用不能(「ダウン」)かを示します。

line protocol up」は、使用しているケーブルがネットワーク インターフェイスに接続されていることを意味します。メッセージが「line protocol down」の場合は、ケーブルが誤っているか、インターフェイス コネクタに接続されていません。show interface コマンドは、BNC ケーブル接続と 3Com カードについて「line protocol down」と報告します。

ネットワーク インターフェイス タイプ。

割り込みベクトル。インターフェイス カードが同じ割り込みを持つことは許可されます。

MAC アドレス。インテル製のカードは「i」、3Com 製のカードは「3c」で始まります。

最大伝送ユニット(MTU)。データがネットワーク経由で最も効率的に送信できるサイズ。単位はバイトです。

「nn packets input」は、パケットが PIX Firewall で受信されていることを示します。

「nn packets output」は、パケットが PIX Firewall から送信中であることを示します。

Line duplex status: Half duplex は、ネットワーク インターフェイスが、情報の送信と受信との間で切り替わることを示します。full duplex は、ネットワーク インターフェイスが情報の送受信を同時に行ことを示します。

Line speed で 10baseT は 10,000 Kb、100baseTX は 100,000 Kb と表示されます。

show interface コマンドには、8 つのステータス カウンタが用意されています(イーサネット インターフェイスに限り有効)。

次の例では、出力例を示します。

show interface
interface ethernet0 "outside" is up, line protocol is up
Hardware is i82559 ethernet, address is 00aa.0000.003b
IP address 209.165.201.7, subnet mask 255.255.255.224
MTU 1500 bytes, BW 100000 Kbit half duplex
1184342 packets input, 1222298001 bytes, 0 no buffer
Received 26 broadcasts, 27 runts, 0 giants
4 input errors, 0 CRC, 4 frame, 0 overrun, 0 ignored, 0 abort
1310091 packets output, 547097270 bytes, 0 underruns, 0 unicast rpf drops
0 output errors, 28075 collisions, 0 interface resets
0 babbles, 0 late collisions, 117573 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/1)
output queue (curr/max blocks): hardware (0/2) software (0/1)
 

表 6-3 では、 show interface カウンタを説明します。

 

表 6-3 show interface カウンタ

カウンタ
説明

output errors

衝突が設定されている最大数を超えたために伝送されなかったフレーム数。このカウンタは、ネットワーク トラフィックが大きい間は増加します。

collisions

イーサネット衝突(1 つまたは複数の衝突)が原因で、再送されたメッセージ数。これは、通常、拡張しすぎた LAN(イーサネット ケーブルまたはトランシーバ ケーブルが長すぎる、ステーション間にリピータが 3 つ以上ある、またはカスケード接続されたマルチポート トランシーバが多すぎる)で発生します。衝突したパケットは、出力パケットによって一度だけカウントされます。

interface resets

インターフェイスがリセットされた回数。インターフェイスが 3 秒間伝送できない場合、PIX Firewall はインターフェイスをリセットして、伝送を再開します。このインターバルの間も、接続状態は保持されます。インターフェイスのリセットは、インターフェイスがループバックされた場合、またはシャットダウンされた場合にも起こります。

babbles

未使用(「babble」は、トランスミッタがインターフェイス上に留まっている時間が、最大長のフレームの伝送に要する時間を超えたことを意味します)。

late collisions

衝突が表示される通常のウィンドウに表示されない衝突が発生したために伝送されなかったフレーム数。遅延衝突は、パケットの伝送で遅れて検出される衝突です。通常は、このようなことは起こらないようになっています。2 つのイーサネット ホストが同時に伝送を試みた場合、両ホストが早期にパケットの衝突を起こして両方がバックオフするか、2 番目のホストが 1 番目のホストの伝送に気付いて待機します。

遅延衝突が発生した場合、デバイスが割り込んでイーサネット上でパケットの送信を試み、同時に PIX Firewall がパケットの送信を一部終了します。PIX Firewall は、パケットの最初の部分が入ったバッファをすでに解放してしまっている可能性があるため、パケットを再送信しません。ネットワーキング プロトコルは、パケットを再送信することで衝突に対処するように設計されているため、これは大きな問題ではありません。しかし、遅延衝突はネットワークに問題が存在することを示します。よくある問題は、リピータを何台も使用して拡張したネットワーク、および仕様範囲外で動作しているイーサネット ネットワークです。

deferred

リンク上のアクティビティが原因で、伝送前に延期されたフレーム数。

lost carrier

伝送中に搬送信号が消失した回数。

no carrier

未使用。

input queue
(curr/max blocks)

Input queue:入力(受信)ハードウェアおよびソフトウェア キュー。

hardware :(現在のブロックと最大ブロック)。入力ハードウェア キューに現存するブロック数、およびそのキューにこれまでに存在した最大ブロック数。例では、入力ハードウェア キューに現在 128 ブロックあり、このキューにこれまで存在した最大ブロック数は 128 です。

software :(現在のブロックと最大ブロック)。入力ソフトウェア キューに現存するブロック数、およびそのキューにこれまでに存在した最大ブロック数。例では、入力ソフトウェア キューに現在 0 ブロックあり、このキューにこれまで存在した最大ブロック数は 1 です。

output queue
(curr/max blocks)

Output queue:出力(送信)ハードウェアおよびソフトウェア キュー。

hardware :(現在のブロックと最大ブロック)。出力ハードウェア キューに現存するブロック数、およびそのキューにこれまでに存在した最大ブロック数。例では、出力ハードウェア キューに現在 0 ブロックあり、このキューにこれまで存在した最大ブロック数は 2 です。

software :(現在のブロックと最大ブロック)。出力ソフトウェア キューに現存するブロック数、およびそのキューにこれまでに存在した最大ブロック数。例では、出力ソフトウェア キューに現在 0 ブロックあり、このキューにこれまで存在した最大ブロック数は 1 です。

次の例では、インターフェイス ethernet0( outside と命名されている)上のインターフェイス アクティビティを示します。

show interface
interface ethernet0 "outside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0000.0001.0001
IP address 209.165.201.17, subnet mask 255.255.255.0
MTU 1500 bytes, BW 10000 Kbit full duplex
4203 packets input, 376390 bytes, 0 no buffer
Received 3894 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1320 packets output, 123652 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (35/128) software (0/2)
output queue (curr/max blocks): hardware (0/1) software (0/1)
 

次の例では、ギガビット イーサネット インターフェイス( gb0 と命名されている)を 1000full nonegotiate に設定します。

pixfirewall(config)# interface gb0 1000full nonegotiate
 

続いて show interface コマンドを実行した場合の出力例を次に示します。

pixfirewall(config)# show interface gb0
interface gb-ethernet0 "intf2" is up, line protocol is down
Hardware is i82543 rev02 gigabit ethernet, address is 0003.47df.1e1c
MTU 1500 bytes, BW 1 Gbit full duplex, Force link-up
5133 packets input, 628176 bytes, 0 no buffer
Received 4202 broadcasts, 2 runts, 8 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1832 packets output, 124948 bytes, 0 underruns
input queue (curr/max blocks): hardware (41/128) software (0/2)
output queue (curr/max blocks): hardware (0/2) software (0/4)
 

Force link-up 」キーワードは、リンクが強制され、ネゴシエートされていないことを示します。

次に、PIX 501 での show interface コマンドの出力例を示します。インターフェイス速度と設定が、常に 100000 Kbit half duplex と表示されていることに注目してください。

pixfirewall(config)# show interface

interface ethernet0 "outside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0007.eb9b.56aa
MTU 1500 bytes, BW 100000 Kbit half duplex
114 packets input, 6840 bytes, 0 no buffer
Received 114 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
62982 packets output, 78915110 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
1483 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/1)
output queue (curr/max blocks): hardware (0/115) software (0/64)
interface ethernet1 "inside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0007.eb9b.56ab
IP address 192.168.1.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 100000 Kbit full duplex
55005197 packets input, 903916376 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
2 packets output, 120 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/59)
output queue (curr/max blocks): hardware (0/1) software (0/1)

 
関連コマンド

nameif

インターフェイスに名前を割り当てます。

ip address

インターフェイスの IP アドレスとマスクを設定するか、ローカル アドレス プールを定義します。

ip address

ネットワーク インターフェイスのアドレスを識別し、PIX Firewall が DHCP 情報のポーリングを行う回数を設定できます。

ip address if_name ip_address [ netmask ]

ip address outside dhcp [setroute] [retry retry_cnt]

ip address if_name pppoe [ setroute ]

ip address if_name ip_address netmask pppoe [ setroute ]

clear ip

show ip

show ip address if_name dhcp

show ip address if_name pppoe

 
文法説明

clear ip

すべてのインターフェイス IP アドレスをクリアします。 clear ip コマンドは、 ip local pool コマンドまたは ip verify reverse-route コマンドには影響しません。

dhcp

PIX Firewall が DHCP を使用して情報のポーリングを行うことを指定します。指定したインターフェイス上で、DHCP クライアント機能をイネーブルにします。

if_name

nameif コマンドによって指定される内側インターフェイス名または外側インターフェイス名。

ip_address

PIX Firewall 装置のネットワーク インターフェイス IP アドレス。

netmask

ip_address のネットワーク マスク。

outside

PIX Firewall が、情報のポーリングを行うインターフェイス。

pppoe

Point-to-Point Protocol over Ethernet(PPPoE)を使用して IP アドレスを割り当てることを指定します。

retry

PIX Firewall が、DHCP 情報のポーリングをリトライできるようにします。

retry_cnt

PIX Firewall が DHCP 情報をポーリングする回数を指定します。利用可能な値は、4 ~ 16 です。値を指定しない場合、デフォルトは 4 です。

setroute

このオプションは、PIX Firewall に対して、DHCP サーバまたは PPPoE サーバが返すデフォルトのゲートウェイ パラメータを使用して、デフォルト ルートを設定するように指示します。

 
コマンド モード

設定モード。

 
デフォルト

デフォルトでは、PIX Firewall は DHCP 情報のポーリングをリトライしません。 retry_cnt のデフォルト値は 4 です。

 
使用上のガイドライン

ip address コマンドは、各インターフェイスに IP アドレスを割り当てる場合に使用します。 show ip コマンドを使用して、ネットワーク インターフェイスに割り当てられているアドレスを表示します。このコマンドの入力を誤った場合は、コマンドを再入力して正しい情報を設定します。 clear ip コマンドは、すべてのインターフェイス IP アドレスをクリアします。 clear ip コマンドは、 ip local pool コマンドまたは ip verify reverse-route コマンドには影響しません。


clear ip コマンドは、PIX Firewall 装置を経由するトラフィックをすべて停止します。


ip address コマンドを変更した場合は、その後、clear xlate コマンドを使用します。

ip address コマンドでは常にネットワーク マスクを指定します。PIX Firewall が、IP アドレスに基づいてネットワーク マスクを割り当てるようにした場合、別のインターフェイスのアドレスが最初のアドレスと同じ範囲にあるときに、後続の IP アドレスが入力できない場合があります。たとえば、ネットワーク マスクを指定せずに 10.1.1.1 という内側インターフェイス アドレスを指定した後、境界インターフェイス マスクとして 10.1.2.2 を指定しようとすると、PIX Firewall は、「Sorry, not allowed to enter IP address on same network as interface n .」というエラー メッセージを表示します。この問題を解決するには、正しいネットワーク マスクを指定して、最初のコマンドを再入力します。

255.255.255.255 のように、すべて 255 のネットマスクは設定しないでください。設定した場合は、インターフェイスへのアクセスができなくなります。代わりに、ネットワーク アドレスとして、クラス C アドレスには 255.255.255.0 を、クラス B アドレスには 255.255.0.0 を、クラス A アドレスには 255.0.0.0 を使用します。

フェールオーバーを使用する PIX Firewall の設定には、スタンバイ装置の各ネットワーク インターフェイスに対して、別の IP アドレスが必要です。システム IP アドレスは、アクティブ装置のアドレスです。アクティブ装置で show ip コマンドを実行するとき、現在の IP アドレスはシステム IP アドレスと同じです。スタンバイ装置で show ip コマンドを実行するとき、システム IP アドレスは、スタンバイ装置に設定されているフェールオーバー IP アドレスです。

show ip address コマンド

show ip コマンドは、ネットワーク インターフェイスに割り当てられている IP アドレスを表示します。

show ip address if_name dhcp コマンドは、DHCP リースに関する詳細を表示します。

show ip address if_name pppoe コマンドは、PPPOE 接続に関する詳細を表示します。

DHCP クライアント

ip address dhcp コマンドは、PIX Firewall 内で DHCP クライアント機能をイネーブルにします。このコマンドを使用すると、PIX Firewall が DHCP サーバに対する DHCP クライアントとなり、DHCP サーバから設定パラメータが提供されます。この場合、DHCP サーバが提供する設定パラメータは、DHCP クライアント機能がイネーブルになっているインターフェイスの IP アドレスとサブネット マスクです。オプションの setroute 引数を使用すると、DHCP サーバが返すデフォルトのゲートウェイ パラメータを使用して、PIX Firewall がデフォルト ルートを設定します。 setroute 引数が設定されていると、 show route コマンド出力に、デフォルト ルートが DHCP サーバによる設定として表示されます。インターフェイスをリセットし、DHCP リースを PIX Firewall から削除するには、 ip address if_name ip_address [ netmask ] コマンドまたは ip address if_name pppoe | dhcp [ setroute ] コマンドを使用してスタティック IP アドレスを設定するか、 clear ip コマンドを使用します。

ip address dhcp コマンド オプションと pppoe コマンド オプションは、互いに排他的です。


ip address dhcp コマンドまたは ip address pppoe コマンドで setroute 引数を使用している場合は、PIX Firewall にデフォルト ルートを設定しないでください。


PPPoE クライアント

PPPoE クライアント機能は、デフォルトでオフになっているため、まず vpdn コマンドを使用して PIX Firewall を PPPoE 用に設定します。また、 vpdn コマンドを使用して、PPPoE にアクセスするためのユーザ名、パスワード、および認証プロトコルを設定します。

PPPoE は、PIX Firewall ソフトウェア バージョン 6.2 で、PIX Firewall 外側インターフェイス上だけでサポートされています。

ip address pppoe コマンドは、PIX Firewall 内で PPPoE クライアント機能をイネーブルします(このコマンドは、PPPoE セッションのクリアと再開始にも使用できます。このコマンドを入力すると、現在のセッションがシャットダウンし、新しいセッションが再開始します)。 ip address pppoe コマンドで PPPoE をイネーブルにする前に、 vpdn コマンドを使用して PPPoE 設定を入力する必要があります。

PPPoE は手動で IP アドレスを入力してイネーブルにもできます。これには、 ip address if_name ip_address netmask pppoe コマンドを使用します。このコマンドは、PIX Firewall が PPPoE サーバとネゴシエートしてアドレスを割り当てるのではなく、指定したアドレスを使用するように設定します。

ip address setroute コマンドを使用すると、アクセス コンセントレータが PPPoE クライアントのデフォルト ルートを設定できます。

ip address pppoe コマンド オプションと dhcp コマンド オプションは、互いに排他的です。

詳細について

DHCP と PPPoE のクライアント機能の詳細については、『 Cisco PIX Firewall and VPN Configuration Guide 』を参照してください。

次に、show ip コマンドの出力例を示します。

show ip
System IP Addresses:
ip address outside 209.165.201.2 255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address perimeter 192.168.70.3 255.255.255.0
Current IP Addresses:
ip address outside 209.165.201.2 255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address perimeter 192.168.70.3 255.255.255.0
 

Current IP Addresses は、フェールオーバー アクティブ装置の System IP Addresses と同じです。プライマリ装置が障害になると、Current IP Addresses がスタンバイ装置の IP アドレスになります。

次に、 show ip address dhcp コマンドの出力例を示します。

show ip address outside dhcp
Temp IP Addr:209.165.201.57 for peer on interface:outside
Temp sub net mask:255.255.255.224
DHCP Lease server:209.165.200.225, state:3 Bound
DHCP Transaction id:0x4123
Lease:259200 secs, Renewal:129600 secs, Rebind:226800 secs
Temp default-gateway addr:209.165.201.1
Next timer fires after:111797 secs
Retry count:0, Client-ID:cisco-0000.0000.0000-outside
 
ip address outside dhcp retry 10
 

 
関連コマンド

dhcpd

DHCP サーバを設定します。

vpdn

VPDN(PPTP、L2TP、PPPoE)ポリシーを設定します。

ip audit

IDS シグニチャを使用するように設定します。

[ no ] ip audit attack [ action [ alarm ] [ drop ] [ reset ]]

[ no ] ip audit info [action [alarm] [drop] [reset]]

[ no ] ip audit interface if_name audit_name

[ no ] ip audit name audit_name attack [ action [ alarm ] [ drop ] [ reset ]]

[ no ] ip audit name audit_name info [ action [ alarm] [ drop ] [ reset ]]

[ no ] ip audit signature signature_number disable

show ip audit count [ global ] [ interface interface ]

show ip audit { info | attack }

show ip audit interface [ if_name ]

show ip audit name [ audit_name [ info|attack ]]

show ip audit signature [ signature_number ]

clear ip audit [ configuration ]

clear ip audit count [ global | interface interface ]

 
文法説明

action [ alarm ] [ drop ] [ reset ]

alarm オプションは、設定されている syslog サーバすべてに対して、パケットでシグニチャの一致が検出されたことを報告します。drop オプションは、不要なパケットを廃棄します。reset オプションは、不要なパケットを廃棄します。廃棄するパケットがアクティブな接続の一部である場合は、接続を終了します。デフォルトは alarm です。オプションが指定されていない場合(「 ip audit info action 」とだけ入力した場合)は、すべてのアクションがディセーブルになります。

audit attack

攻撃シグニチャに対してデフォルトで実行するアクションを指定します。

audit info

情報シグニチャに対してデフォルトで実行するアクションを指定するか、すべてのアクションをディセーブルにします。

audit interface

監査仕様または監査ポリシーを、ip audit name コマンドを使用してインターフェイスに適用します。

audit name

ip audit signature コマンドによってディセーブルまたは除外とされたもの以外の情報シグニチャをポリシーの一部として指定します。

audit signature

表示するメッセージの指定、グローバル ポリシーのシグニチャへの付加、およびシグニチャの監査に対するディセーブル化または排除を行います。

audit_name

show ip audit name コマンドによって表示される監査ポリシー名。

clear

name、signature、interface、attack、info をそれぞれのデフォルト値にリセットします。

configuration

すでに設定済みの ip audit コマンド。

count

一致したシグニチャの数。

global

すべてのファイアウォール インターフェイス。

interface interface

ファイアウォール インターフェイスの名前。 nameif コマンドで定義されています。

signature_number

IDS シグニチャ番号。

 
コマンド モード

設定モード。

 
使用上のガイドライン

Cisco Intrusion Detection System(Cisco IDS)は、IP ベースのシステム用に次の機能を備えています。

トラフィック監査。アプリケーション レベルのシグニチャは、アクティブ セッションの一部とする場合に限り監査されます。

監査のインターフェイスへの適用。

さまざまな監査ポリシーのサポート。シグニチャに一致するトラフィックが検出されると、設定可能な一連のアクションがトリガーされます。

シグニチャ監査をディセーブルにする。

IDS をイネーブルにするが、シグニチャ クラス(情報、攻撃)のアクションはディセーブルのままにしておく。

監査は、IP パケットを、入力インターフェイスに到着したときに、検査することによって実行されます。パケットがあるシグニチャをトリガーしても、事前設定済みのアクションによってパケットが廃棄されなければ、同じパケットがほかのシグニチャをトリガーできます。

PIX Firewall は、受信監査と発信監査の両方をサポートしています。

サポートされている Cisco IDS シグニチャ、その説明、およびそれが攻撃メッセージであるか情報メッセージであるかをすべて記載したリストについては、『Cisc o PIX Firewall Sy stem Log Messages』を参照してください。

各シグニチャの詳細については、『Cisco Secure Intrusion Detection System Version 2.2.1 User Guide』を参照してください。このガイドの「NSDB and Signatures」の章は、次の Web サイトにあります。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/sigs.htm

次項以降では、ip audit コマンドについて説明します。

ip audit attack

ip audit attack [action [alarm] [drop] [reset]] コマンドは、攻撃シグニチャに対して実行するデフォルトのアクションを指定します。監査ポリシー(監査規則)は、インターフェイスに適用できるシグニチャすべてに対するアトリビュートを一連のアクションとともに定義しています。監査ポリシーを使用すると、監査されるトラフィックを制限することも、シグニチャが一致したときに実行するアクションを指定することもできます。監査ポリシーはそれぞれ名前によって識別され、情報シグニチャ用か攻撃シグニチャ用かを定義できます。各インターフェイスには、情報シグニチャ用と攻撃シグニチャ用の 2 つのポリシーが設定できます。アクションを指定せずにポリシーを定義した場合は、事前設定済みのデフォルトのアクションが有効になります。各ポリシーには、違う名前を付ける必要があります。

no ip audit attack コマンドを使用すると、攻撃シグニチャに対して実行するアクションが、デフォルトのアクションにリセットされます。

ip audit info

ip audit info [ action [ alarm ] [ drop ] [ reset ]] コマンドは、 情報シグニチャに分類されるシグニチャに対して実行するデフォルトのアクションを指定します。ip audit info action コマンドは、すべてのアクションをディセーブルにします。次に例を示します。

pixfirewall(config)# ip audit info action
Warning: no actions specified. All actions disabled.
 

no ip audit info コマンドは、情報および予備調査に分類されるシグニチャに対して実行するアクションをデフォルトのアクションに設定します。

ip audit interface

ip audit interface if_name audit_name コマンドは、監査仕様または監査ポリシーをインターフェイスに適用します(ip audit name コマンドを通して)。no ip audit interface [ if_name ] コマンドは、インターフェイスからポリシーを削除します。

ip audit name

ip audit name audit_name info [action [alarm] [drop] [reset]] コマンドは、ip audit signature コマンドによってディセーブルまたは除外とされたもの以外の情報シグニチャをポリシーの一部として指定します。no ip audit name audit_name [info] コマンドは、監査ポリシー audit_name を削除します。

ip audit signature

ip audit signature signature_number disable コマンドは、表示するメッセージの指定、グローバル ポリシーのシグニチャへの付加、およびシグニチャの監査に対するディセーブル化と排除を行います。no ip audit signature signature_number コマンドは、シグニチャからポリシーを削除します。このコマンドは、シグニチャを再度イネーブルにする場合に使用します。

show ip audit コマンド

show ip audit attack コマンドは、デフォルトの攻撃アクションを表示します。

show ip audit info コマンドは、デフォルトの情報アクションを表示します。

show ip audit interface コマンドは、インターフェイス設定を表示します。

show ip audit name コマンドは、可能であれば、すべての監査ポリシーまたは名前とタイプによって参照される特定のポリシーを表示します。

show ip audit signature コマンドは、 ディセーブルになっているシグニチャを表示します。

サポートされている IDS シグニチャ

PIX Firewall が表示する単一パケットの IDS シグニチャ メッセージは、1000-1006、1100、1102、1103、2000 ~ 2012、2150、2151、2154、3040 ~ 3042、4050 ~ 4052、6050 ~ 6053、6100 ~ 6103、6150 ~ 6155、6175、6180、6190 です。PIX Firewall は、このリリースでは、一部のシグニチャ メッセージをサポートしていません。IDS syslog メッセージは、すべて %PIX-4-4000nn で始まり、次の形式になります。

%PIX-4-4000nn IDS:sig_num sig_msg from faddr to laddr on interface int_name
 

オプションは次のとおりです。

sig_num

シグニチャ番号。

sig_msg

シグニチャ メッセージ:Cisco IDS シグニチャ メッセージと同様です。

faddr

攻撃を行っている外部ホストの IP アドレス(「外部」は相対的な概念であり、攻撃は、外側ホストから内側ホスト、または内側ホストから外側ホストの両方に対して行われる可能性があります)。

laddr

攻撃を受けているローカル ホストの IP アドレス(「ローカル」は相対的な概念であり、攻撃は、外側ホストから内側ホスト、または内側ホストから外側ホストの両方に対して行われる可能性があります)。

int_name

シグニチャが作成されたインターフェイスの名前。

次に例を示します。

%PIX-4-400013 IDS:2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
%PIX-4-400032 IDS:4051 UDP Snork attack from 10.1.1.1 to 192.168.1.1 on interface outside

次の例では、シグニチャ 6102 をグローバルにディセーブルにします。

ip audit signature 6102 disable
 

次の例では、デフォルトの情報アクションを指定します。

ip audit name attack1 info
 

次の例では、攻撃ポリシーを指定します。

ip audit name attack2 attack action alarm drop reset
 

次の例では、ポリシーをインターフェイスに適用します。

ip audit interface outside attack1
ip audit interface inside attack2

ip local pool

ローカル プールのアドレスを識別します。

[ no ] ip local pool pool_name pool_start-address [ - pool_end-address ]

clear ip local pool pool_name ip_address [ - ip_address ]

show ip local pool pool_name ip_address [ - ip_address ]

 
文法説明

clear ip local pool

ローカル プールの IP アドレスをデフォルト値にリセットします。

ip local pool

ダイナミック IP アドレスのリモート VPN クライアントへの割り当てに使用されるローカル アドレス プールを作成します。このローカル アドレス プールのアドレス範囲は、IP アドレスの指定に使用するその他のコマンド文と重複しないようにします。

ip_address

1 つの IP アドレスとして指定するか、-ip_address を付けて使用して IP アドレスのリストを指定します。

- ip_address

オプションの終了 IP アドレス。

no ip local pool

ローカル アドレス プールを削除します。

pool_name

ローカル プール名。

pool_start_address
pool_end_address

ローカル プールの IP アドレス範囲。

 
コマンド モード

設定モード。

 
使用上のガイドライン

ip local pool コマンドを使用すると、ダイナミック IP アドレスをリモート VPN クライアントに割り当てるのに使用されるローカル アドレス プールを作成できます。このローカル アドレス プールのアドレス範囲は、IP アドレスの指定に使用するその他のコマンド文と重複しないようにします。アドレス プールを削除するには、 no ip local pool コマンドを使用します。

ip local pool コマンドで設定されたアドレス プールが空の場合、次の syslog メッセージが表示されます。

%PIX-4-404101: ISAKMP: Failed to allocate address for client from pool poolname

 

このローカル アドレス プールを参照するには、 isakmp client configuration address-pool コマンドを使用します。isakmp コマンドの詳細については、『 Cisco PIX Firewall and VPN Configuration Guide 』を参照してください。

次の例では、IP アドレス プールを作成し、そのプールの内容を表示します。

ip local pool mypool 10.0.0.10-10.0.0.20
show ip local pool mypool
 
Pool Begin End Free In use
mypool 10.0.0.10 10.0.0.20 11 0
 
Available Addresses:
10.0.0.10
10.0.0.11
10.0.0.12
10.0.0.13
10.0.0.14
10.0.0.15
10.0.0.16
10.0.0.17
10.0.0.18
10.0.0.19
10.0.0.20

 

ip verify reverse-path

Unicast RPF IP スプーフィング保護をインプリメントします。

ip verify reverse-path interface int_name

no ip verify reverse-path interface int_name

clear ip verify reverse-path interface int_name

clear ip verify

show ip verify [ reverse-path [ interface int_name ]]

show ip verify statistics

 
文法説明

clear ip verify

i p verify コマンドを設定から削除します。

clear ip verify reverse-path interface

個別のインターフェイス用の ip verify reverse-path コマンドを設定から削除します。

int_name

DoS 攻撃から保護するインターフェイスの名前。

ip verify reverse-path interface

入力フィルタリングと出力フィルタリングの両方をイネーブルにしてアドレッシングとルートの整合性を確認することによって、個々のインターフェイスを IP スプーフィングから保護します。このコマンドは、それまで設定に定義されているデフォルト ルートに依存します。詳細については、RFC 2267 を参照してください。

no ip verify reverse-path interface

個々のインターフェイス用の ip verify reverse-path フィルタリングをディセーブルにします。

 
コマンド モード

設定モード。

 
使用上のガイドライン

ip verify reverse-path コマンドは、発信元アドレスに基づいてルート ルックアップを行うセキュリティ機能です。通常、ルート ルックアップは、宛先アドレスに基づいて行われます。ルート ルックアップが、逆パス転送と呼ばれるのはこのためです。このコマンドをイネーブルにすると、パケットは、そのパケットに対してルートが検出されない場合、または検出されたルートと、そのパケットが到着したインターフェイスが一致しない場合に廃棄されます。

ip verify reverse-path コマンドは、RFC 2267 に記載されているように、ネットワーク入力フィルタリングとネットワーク出力フィルタリングを使用して IP スプーフィング攻撃から保護するインターフェイスを指定します。このコマンドはデフォルトではディセーブルになっていますが、これを使用すると PIX Firewall 用の Unicast Reverse Path Forwarding(Unicast RPF)機能が使用できるようになります。

clear ip verify コマンドは、 ip verify コマンドを設定から削除します。Unicast RPF は、インターフェイスに到着する受信パケットをスクリーニングする一方向の入力機能です。送信パケットはスクリーニングされません。

IP プロトコルでは IP スプーフィングの危険があるため、可能であればその危険を抑える手段を取る必要があります。Unicast RPF、つまり逆ルート ルックアップは、一定の状況ではこのような不正な操作を防止します。


) ip verify reverse-path コマンドは、外側インターフェイス用の設定内に、IP アドレスとネットワーク マスク用の route コマンド文に 0.0.0.0 0.0.0.0 が含まれているデフォルト ルート文が存在するかどうかに依存します。


ip verify reverse-path コマンドは、入力フィルタリングと出力フィルタリングの両方を提供します。入力フィルタリングは、受信パケットをチェックして IP 発信元アドレスの整合性を調べます。入力フィルタリングは、実行エンティティのローカル ルーティング テーブルにあるネットワークのアドレスに限定されています。着信パケットが、ルートによって表される発信元アドレスを持たない場合、そのパケットが発信元から可能な最適なパスで到着したかどうかは判断できません。これは、ルーティング エンティティがすべてのネットワークのルートを保持できない場合に多く発生します。

出力フィルタリングは、管理対象ドメインの外側のホスト宛てのパケットが、実行エンティティのローカル ルーティング テーブルにあるルートによって確認できる IP 発信元アドレスを持っていることを確認します。出力パケットが、発信側への最適なリターン パス経由で戻ってきていない場合は、そのパケットが廃棄され、アクティビティが記録されます。ほとんどの攻撃は、攻撃を実行しているホストの ID の隠蔽に IP スプーフィングを使用するため、出力フィルタリングは、内部のユーザがローカル ドメインの外側にある IP 発信元アドレスを使用して攻撃を仕掛けることを防止できます。出力フィルタリングによって、攻撃元の追跡作業が容易になります。出力フィルタリングを使用すると、有効なネットワーク アドレス プールから取得される IP 発信元アドレスが強制されます。アドレスは実行エンティティのローカルに保存されているため、追跡が容易です。

Unicast RPF は、次のようにインプリメントされます。

ICMP パケットにはセッションがないため、個々のパケットはチェックされません。

UDP と TCP にはセッションがあるため、最初のパケットは逆ルート ルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。


) このコマンドを使用する前に、保護するインターフェイスにアクセスできるネットワークすべてに対して、スタティック route コマンド文を追加します。このコマンドは、ルーティングがすべて指定されている場合に限り、イネーブルにします。これ以外の場合にイネーブルにすると、ルーティングが不適切である場合に、指定したインターフェイス上のトラフィックが PIX Firewall によって停止されます。


廃棄されたパケットの数を表示するには、show interface コマンドを使用します。「unicast rpf drops」カウンタにパケット数が表示されます。

次の例では、内側インターフェイスと外側インターフェイスの間のトラフィックを保護し、route コマンド文によって、2 つのネットワーク 10.1.2.0 と 10.1.3.0 がハブ経由で内側インターフェイスに接続するように設定しています。

ip address inside 10.1.1.1 255.255.0.0
route inside 10.1.2.0 255.255.0.0 10.1.1.1 1
route inside 10.1.3.0 255.255.0.0 10.1.1.1 1
ip verify reverse-path interface outside
ip verify reverse-path interface inside
 

ip verify reverse-path interface outside コマンド文は、インターネットからのネットワーク入力攻撃から外側インターフェイスを保護します。一方、 ip verify reverse-path interface inside コマンド文は、内部ネットワークのユーザによるネットワーク出力攻撃から内側インターフェイスを保護します。

次に、 show ip verify statistics コマンドと clear ip verify statistics コマンドの出力例を示します。

pixfirewall(config)# show ip verify statistics
interface outside: 2 unicast rpf drops
interface inside: 1 unicast rpf drops
interface intf2: 3 unicast rpf drops
 
pixfirewall(config)# clear ip verify statistics
 
pixfirewall(config)# show ip verify statistics
interface outside: 0 unicast rpf drops
interface inside: 0 unicast rpf drops
interface intf2: 0 unicast rpf drops

isakmp

IPSec Internet Key Exchange(IKE)用の Internet Security Association Key Management Protocol(ISAKMP)を設定します。 isakmp policy コマンドも参照してください。

[ no ] isakmp client configuration address-pool local pool-name [ interface-name ]

[ no ] isakmp enable interface-name

[ no ] isakmp identity { address | hostname | [ key-id key_id_string ]}

isakmp keepalive seconds [retry_seconds]

[ no ] isakmp key keystring address peer-address [ netmask mask ] [ no-xauth ] [ no-config-mode ]

isakmp nat-traversal [ natkeepalive ]

[ no ] isakmp peer fqdn fqdn no-xauth no-config-mode

clear [ crypto ] isakmp sa

clear isakmp

show isakmp identity

show isakmp sa [ detail ]

 
文法説明

address

ISAKMP の識別情報を交換するホストの IP アドレス。

fqdn fqdn

ピアの完全修飾ドメイン名。セキュリティ ゲートウェイであるピアの識別に使用されます。

hostname

ISAKMP の識別情報を交換するホストの名前。

interface-name

ISAKMP ネゴシエーションをイネーブルにするインターフェイスの名前。

keepalive seconds

キープアライブ インターバルは、10 ~ 3600 秒に設定できます。リトライ インターバルは、2 ~ 10 秒に設定できます。デフォルトは 2 秒です。リトライ インターバルは、キープアライブ応答が受信されなくなった後のリトライ間のインターバルです。キープアライブ インターバルは、リトライ インターバルを指定することなく指定できますが、リトライ インターバルの指定には、キープアライブ インターバルを指定する必要があります。

key

認証の事前共有キーを指定します。128 文字以下の英数字の組み合せを使用します。事前共有キーは、両方のピアで同じキーである必要があります。

key-id key_id_string

リモート ピアが、事前共有キーの検索に使用する文字列(Unity プロトコルをサポートしていないサードパーティの VPN ヘッドエンド デバイスで使用されます)。

netmask mask

(オプション)ネットマスク 0.0.0.0 をワイルドカードとして入力できます。このワイルドカードは、特定の IP アドレスに関連付けられているキーを持たないピアすべてに、そのキーが使用できることを示しています。

natkeepalive

NAT キープアライブ インターバルを 10 ~ 3600 秒の範囲で設定します。デフォルトは、20 秒です。

nat-traversal

NAT Traversal のオンとオフを切り替えます(デフォルトで NAT Traversal はオフです)。

no-config-mode

このオプションは、IKE Mode Configuration 機能がイネーブルで、ゲートウェイである IPSec ピアが存在する場合に限り使用します。このオプションは、所定の事前共有キーをゲートウェイに関連付け、 crypto map client configuration address コマンドでイネーブルにした IKE Mode Configuration 機能に例外を設けます。

no-xauth

このオプションは、Xauth 機能がイネーブルで、ゲートウェイである IPSec ピアが存在する場合に限り使用します。このオプションは、所定の事前共有キーをゲートウェイに関連付け、 crypto map client authentication コマンドによってイネーブルにした Xauth 機能に例外を設けます。

peer-address

事前共有キー用の IPSec ピアの IP アドレスを指定します。

pool-name

ダイナミック クライアント IP を割り当てるためのローカル アドレス プール名を指定します。

retry_seconds

待ち時間を指定して、前回の要求に対するキープアライブ応答が待ち時間内に受信されなかった場合に、キープアライブ メッセージを送信します。

 
コマンド モード

設定モード。

 
デフォルト

デフォルトで、NAT Traversal( isakmp nat-traversal )はディセーブルになっています。

デフォルトの ISAKMP ID は、 isakmp identity hostname です。

 
使用上のガイドライン

show isakmp identity コマンドは、現在の ISAKMP ID を表示します。

show isakmp sa コマンドは、PIX Firewall とそのピアの間の、現在の IKE セキュリティ結合をすべて表示します。

次の項以降では、各 isakmp コマンドについて説明します。

isakmp client configuration address-pool local

isakmp client configuration address-pool local コマンドは、IKE を参照するように IP アドレス ローカル プールを設定するために使用します。 no crypto isakmp client configuration address-pool local コマンドは、デフォルト値の復元に使用します。

このコマンドを使用する前に、ip local pool コマンドを使用して、リモート IPSec ピアに割り当てるローカル アドレス プールを定義します。

次の例は、IKE への IP アドレス ローカル プールをプール名として「mypool」を使用して参照します。

isakmp client configuration address-pool local mypool outside

isakmp enable

isakmp enable コマンドは、IPSec ピアが PIX Firewall と通信するインターフェイス上で、ISAKMP ネゴシエーションをイネーブルにするために使用します。ISAKMP はデフォルトでイネーブルになっています。 no isakmp enable コマンドは、IKE のディセーブル化に使用します。

次の例では、内側インターフェイス上で IKE をディセーブルにする方法を示します。

no isakmp enable inside

isakmp identity

IKE プロトコルに参加するときに、PIX Firewall が使用する ISAKMP ID を定義するには、 isakmp identity コマンドを使用します。ISAKMP ID を IP アドレスのデフォルト値にリセットするには、 no isakmp identity コマンドを使用します。デフォルトの ISAKMP ID は、 hostname です。

2 つのピアが IKE を使用して IPSec セキュリティ結合を確立するとき、各ピアは、その ISAKMP ID をリモート ピアに送信します。各ピアは、それぞれの ISAKMP ID の設定に応じて、IP アドレスまたはホスト名を送信します。デフォルトでは、PIX Firewall 装置の ISAKMP ID には、IP アドレスが設定されています。一般に、PIX Firewall とそのピアの ID は同じ方法で設定して、IKE ネゴシエーションが失敗しないようにします。この失敗は、PIX Firewall またはそのピアが、ピアの ID を認識できないために起こることがあります。


) IKE ポリシーに認証方式として RSA シグニチャを使用している場合は、参加する各ピアの ID を hostname に設定することを推奨します。それ以外のホスト名を設定すると、IKE のフェーズ 1 で確立されるはずの ISAKMP セキュリティ結合が失敗する可能性があります。


次の例では、ピアである 2 つの PIX Firewall 装置(PIX Firewall 1 と PIX Firewall 2)の間の事前共有キーを使用して、両方の ISAKMP ID をホスト名に設定します。

PIX Firewall 1 で、ISAKMP ID を hostname に設定します。

isakmp identity hostname
 

PIX Firewall 2 で、ISAKMP ID を hostname に設定します。

isakmp identity hostname

isakmp identity key-id

isakmp identity key-id key_id_string コマンドは、指定した key_id_string の送信にアグレッシブ モードを使用します。このコマンドは、Unity プロトコルをサポートしていないサードパーティの VPN ヘッドエンド デバイスが、リモート サイトにある DHCP 対応のファイアウォールと連携して動作できるようにするものです。


) ファイアウォールで VPN クライアント機能をイネーブルにすると、vpnclient グループ名が、isakmp identity key-id の設定に優先し、ファイアウォールが vpnclient グループ名を key-id として送信します。


isakmp keepalive

isakmp keepalive seconds [retry_seconds] コマンドは、キープアライブ ライフタイム インターバルを設定します。キープアライブ インターバルは、10 ~ 3600 秒に設定できます。リトライ インターバルは、2 ~ 10 秒に設定できます。デフォルトは 2 秒です。リトライ インターバルは、キープアライブ応答が受信されなくなった後のリトライ間のインターバルです。キープアライブ ライフタイム インターバルは、リトライ インターバルを指定することなく指定できますが、リトライ インターバルの指定には、キープアライブ ライフタイム インターバルを指定する必要があります。

isakmp key address

事前共有認証キーを設定し、そのキーを IPSec ピア アドレスまたはホスト名に関連付けるには、 isakmp key address コマンドを使用します。事前共有認証キーとそれに関連する IPSec ピア アドレスを削除するには、 no isakmp key address コマンドを使用します。

IKE ポリシーに事前共有キーを指定するときは、常に両方のピアで事前共有キーを設定します。両方のピアで設定しない場合、IKE プロセスでの照合にキーが提示されないため、ポリシーが使用できません。

ネットマスク 0.0.0.0 をワイルドカードとして入力できます。このワイルドカードは、特定の有効な事前共有キーを持つ IPSec ピアすべてが有効なピアであることを示します。


) PIX Firewall またはすべての IPSec ピアは、複数のピアと同じ認証キーを使用できますが、この方法は、各ペア間で固有の認証キーを使用する場合のようにはセキュアでありません。


ある特定のセキュリティ ゲートウェイに関連付ける事前共有キーは、リモート VPN クライアントを識別、認証するために使用するワイルドカード事前共有キー(事前共有キーとネットマスク 0.0.0.0 の組み合せ)とは異なるように設定します。

no-xauth または no-config-mode のコマンド オプションは、次の基準がすべて満たされる場合に限り使用します。

IKE ポリシー内で、事前共有キー認証方式を使用している。

セキュリティ ゲートウェイと VPN クライアント ピアが同じインターフェイス上で終端する。

Xauth 機能または IKE Mode Configuration 機能が VPN クライアント ピアに対してイネーブルになっている。

isakmp key keystring address ip-address [ no-xauth ] [ no-config-mode ] コマンドを使用すると、事前共有認証キーを設定すること、キーを所定のセキュリティ ゲートウェイ アドレスに関連付けること、およびこのピアに対してイネーブルにされている Xauth 機能か IKE Mode Configuration 機能、またはこの両方(一般的には両方)に例外を設けることができます。

Xauth 機能と IKE Mode Configuration 機能は、どちらも特にリモート VPN クライアント用に設計された機能です。Xauth 機能では、PIX Firewall が、IKE ネゴシエーション時にユーザ名とパスワードをピアに要求できます。IKE Mode Configuration を使用すると、PIX Firewall が、ピアに IP アドレスをダウンロードして、ダイナミック IP アドレスを割り当てることができます。ほとんどのセキュリティ ゲートウェイは、Xauth 機能と IKE Mode Configuration 機能はサポートしていません。

Microsoft L2TP/IPSec クライアント v1.0(Windows NT、Windows XP、Windows 98、および Windows ME OS 上で利用可能)を使用して L2TP/IPSec トンネルを終端している場合、インターフェイス上で Xauth および IKE Mode Configuration のどちらもイネーブルにできません。この場合、次のいずれかを実行できます。

Windows 2000 L2TP/IPSec クライアントを使用する。

isakmp key keystring address ip-address netmask mask no-xauth no-config-mode コマンドを使用して、L2TP クライアントを Xauth と IKE Mode Configuration から免除する。ただし、L2TP クライアントを Xauth または IKE Mode Configuration から免除した場合は、すべての L2TP クライアントを 1 つのグループとし、同じ ISAKMP 事前共有キーまたは証明書を割り当てて、同じ完全修飾ドメイン名を付ける必要があります。

no-xauth コマンド オプションを設定した場合、PIX Firewall は、ピアにユーザ名とパスワードを要求しません。同様に、 no-config-mode コマンド オプションを設定した場合、PIX Firewall は、ピアへの IP アドレスのダウンロードを試行せず、ダイナミック IP アドレス割り当ては行われません。

no key keystring address ip-address [ no-xauth ] [ no-config-mode ] コマンドを使用すると、前にイネーブルにした key keystring address ip-address [ no-xauth ] [ no-config-mode ] コマンドをディセーブルにできます。

Xauth 機能の詳細については、 crypto map コマンド ページにある crypto map client authentication コマンドを参照してください。IKE Mode Config 機能の詳細については、 crypto map コマンド ページにある crypto map client configuration address コマンドを参照してください。

次の例では、「sharedkeystring」を、PIX Firewall および IP アドレス 10.1.0.0 で指定されている PIX Firewall のピア間で共有される認証鍵であることを示します。

isakmp key sharedkeystring address 10.1.0.0
 

次の例では、ワイルドカード事前共有キーの使用方法を示します。「sharedkeystring」は、PIX Firewall および IP アドレス 0.0.0.0 とネットマスク 0.0.0.0 で指定されている PIX Firewall のピア(この場合 VPN クライアント)間で共有される認証キーです。

isakmp key sharedkeystring address 0.0.0.0 netmask 0.0.0.0
 

次の例では、セキュリティ ゲートウェイである 3 つの PIX Firewall ピアについてコマンド オプション no-xauth と no-config-mode を使用する方法を示します。これらのセキュリティ ゲートウェイは、VPN クライアントと同じインターフェイス上で IPSec を終端します。Xauth 機能と IKE Mode Config 機能の両方がイネーブルになっています。したがって、各セキュリティ ゲートウェイについて、これら 2 つの機能の例外を設ける必要があります。この例では、各セキュリティ ゲートウェイのピアに、PIX Firewall と共有する固有の事前共有キーがあることが示されています。ピアの IP アドレスはそれぞれ 10.1.1.1、10.1.1.2、10.1.1.3 で、ネットマスク 255.255.255.255 が指定されています。

isakmp key secretkey1234 address 10.1.1.1 netmask 255.255.255.255 no-xauth no-config-mode
isakmp key secretkey4567 address 10.1.1.2 netmask 255.255.255.255 no-xauth no-config-mode
isakmp key secretkey7890 address 10.1.1.3 netmask 255.255.255.255 no-xauth no-config-mode

isakmp nat-traversal

NAT は、PAT も含め、IPSec も使用している多くのネットワークで使用されていますが、IPSec パケットが NAT デバイスを問題なく通過することを妨げる非互換性が数多くあります。NAT Traversal を使用すると、ESP パケットが 1 つまたは複数の NAT デバイスを通過できるようになります。

ファイアウォールは、IETF の「UDP Encapsulation of IPsec Packets」ドラフトのバージョン 2 とバージョン 3( http://www.ietf.org/html.charters/ipsec-charter.html から入手可能)に記述されているとおり NAT Traversal をサポートしています。NAT Traversal は、ダイナミックとスタティックの両方の暗号マップについてサポートされています。ファイアウォールでは、NAT Traversal はデフォルトでディセーブルになっています。

NAT Traversal をイネーブルにするには、ISAKMP がイネーブルであることを確認し(イネーブルにするには、 isakmp enable if_name コマンドを使用します)、次に、 isakmp nat-traversal [ natkeepalive ] コマンドを使用します(このコマンドは、ISAKMP と NAT Traversal の両方がイネーブルになっている場合に、設定で利用できます)。NAT Traversal がイネーブルのときに、これをディセーブルにするには、 no isakmp nat-traversal コマンドを使用します。 natkeepalive の有効な値は、10 ~ 3600 秒です。デフォルトは、20 秒です。

必要であれば、NAT Traversal のデバッグに役立てるために、 show isakmp sa detail コマンドを使用できます。

isakmp peer fqdn no-xauth | no-config-mode

isakmp peer fqdn fqdn no-xauth | no-config-mode コマンドは、次の基準がすべて満たされる場合に限り使用します。

IKE ポリシー内で RSA シグニチャ認証方式を使用している。

セキュリティ ゲートウェイと VPN クライアント ピアが同じインターフェイス上で終端する。

Xauth 機能または IKE Mode Configuration 機能が VPN クライアント ピアに対してイネーブルになっている。

isakmp peer fqdn fqdn no-xauth | no-config-mode コマンドを使用すると、セキュリティ ゲートウェイであるピアを識別すること、およびこのピアに対してイネーブルにされている Xauth 機能か IKE Mode Configuration 機能、またはこの両方(一般的には両方)に例外を設けることができます。

Xauth 機能と IKE Mode Configuration 機能は、どちらも特にリモート VPN クライアント用に設計された機能です。Xauth 機能では、PIX Firewall が、IKE ネゴシエーション時にユーザ名とパスワードをピアに要求できます。IKE Mode Configuration を使用すると、PIX Firewall が、ピアに IP アドレスをダウンロードして、ダイナミック IP アドレスを割り当てることができます。ほとんどのセキュリティ ゲートウェイは、Xauth 機能と IKE Mode Configuration 機能はサポートしていません。

no-xauth コマンド オプションを設定した場合、PIX Firewall は、ピアにユーザ名とパスワードを要求しません。同様に、 no-config-mode コマンド オプションを設定した場合、PIX Firewall は、ピアへの IP アドレスのダウンロードを試行せず、ダイナミック IP アドレス割り当ては行われません。


) IKE ポリシーに認証方式として RSA シグニチャを使用している場合は、isakmp identity hostname コマンドを使用して、参加する各ピアの ID をホスト名に設定することを推奨します。それ以外のホスト名を設定すると、IKE のフェーズ 1 で確立されるはずの ISAKMP セキュリティ結合が失敗する可能性があります。


イネーブルになっている isakmp peer fqdn fqdn no-xauth | no-config-mode コマンドをディセーブルにするには、 no isakmp peer fqdn fqdn no-xauth | no-config-mode コマンドを使用します。

Xauth 機能の詳細については、 crypto map コマンド ページにある crypto map client authentication を参照してください。IKE Mode Config 機能の詳細については、 crypto map コマンド ページにある crypto map client configuration address コマンドを参照してください。

次の例では、セキュリティ ゲートウェイである 3 つの PIX Firewall ピアについてコマンド オプション no-xauth と no-config-mode を使用する方法を示します。これらのセキュリティ ゲートウェイは、VPN クライアントと同じインターフェイス上で IPSec を終端します。Xauth 機能と IKE Mode Config 機能の両方がイネーブルになっています。したがって、各セキュリティ ゲートウェイについて、これら 2 つの機能の例外を設ける必要があります。各セキュリティ ゲートウェイ ピアの完全修飾ドメイン名が指定されています。

isakmp peer fqdn hostname1.example.com no-xauth no-config-mode
isakmp peer fqdn hostname2.example.com no-xauth no-config-mode
isakmp peer fqdn hostname3.example.com no-xauth no-config-mode

show isakmp sa

PIX Firewall とそのピアの間の現在の IKE セキュリティ結合をすべて表示するには、 show isakmp sa コマンドを使用します。

次に、PIX Firewall とそのピア間の IKE ネゴシエーションが成功した後の show isakmp sa コマンドの出力例を示します。

pixfirewall# show isakmp sa
dst src state pending created
16.132.40.2 16.132.30.2 QM_IDLE 0 1
 

次に、 show isakmp sa detail コマンドの出力例を示します(NAT Traversal のデバッグに使用します)。

pixfirewall# show isakmp sa detail
Total : 1
Embryonic : 0
Local Remote Encr Hash Auth State Lifetime
192.168.10.2:4500 192.168.10.5:1178 3des sha psk QM_IDLE 117

Local は、コマンドが実行されたファイアウォールの IP アドレスとポートです(形式は、IP_Address:port)。 Remote は、ピアの IP アドレスとポートです。 Encr は暗号化アルゴリズム、 Hash はハッシュ アルゴリズムです。 Auth は、許可方式、事前共有キー、または rsa です。 State は接続状態、 Lifetime はキーの再生成までの時間または期限満了と削除までの時間です。

clear isakmp

clear isakmp コマンドは、設定からすべての isakmp コマンド文が削除します。

clear [crypto] isakmp sa

clear [ crypto ] isakmp sa コマンドは、アクティブな IKE セキュリティ結合を削除します。キーワードの crypto はオプションです。

isakmp policy

特定の Internet Key Exchange(IKE)アルゴリズムとパラメータを、IPSec Internet Security Association Key Management Protocol(ISAKMP)フレームワーク内で、Authentication Header(AH)および Encapsulating Security Payload(ESP)という IPSec プロトコル用に設定します。 isakmp コマンドも参照してください。

[ no ] isakmp policy priority authentication pre-share | rsa-sig

[ no ] isakmp policy priority encryption aes | aes-192| aes-256 | des | 3des

[ no ] isakmp policy priority group 1 | 2 | 5

[ no ] isakmp policy priority hash md5 | sha

[ no ] isakmp policy priority lifetime seconds

show isakmp policy

 
文法説明

3des

IKE ポリシーで、Triple DES 暗号化アルゴリズムを使用することを指定します。

aes

このオプションを選択すると、このスイートによって保護される IKE メッセージが、128 ビット キーの AES によって暗号化されます。

aes-192

このオプションを選択すると、このスイートによって保護される IKE メッセージが、192 ビット キーの AES によって暗号化されます。

aes-256

このオプションを選択すると、このスイートによって保護される IKE メッセージが、256 ビット キーの AES によって暗号化されます。

des

IKE ポリシーで、暗号化アルゴリズムとして 56 ビット DES-CBC を使用することを指定します。

group 1

IKE ポリシーで、768 ビットの Diffie-Hellman グループ 1 を使用することを指定します。768 ビットは、デフォルト値です。

group 2

IKE ポリシーで、1024 ビットの Diffie-Hellman グループ 2 を使用することを指定します。

group 5

IKE ポリシーで、1536 ビットの Diffie-Hellman グループ 5 を使用することを指定します。

lifetime seconds

各セキュリティ結合が期限満了するまでの秒数を指定します。60 ~ 86,400 秒(1 日)の整数を使用します。

md5

IKE ポリシーで使用するハッシュ アルゴリズムとして、MD5(HMAC バリアント)を指定します。

pre-share

認証方式として、事前共有キーを指定します。

priority

Internet Key Exchange(IKE)ポリシーを一意に識別し、そのポリシーに優先順位を割り当てます。1 ~ 65,534 の整数を使用します。1 は優先順位が最も高く、65,534 が最も低くなります。

rsa-sig

認証方式として、RSA シグニチャを指定します。

RSA シグニチャは、IKE ネゴシエーションに対する否認防止ができます。これは、基本的にユーザがピアとの IKE ネゴシエーションを行ったかどうかを、第三者に証明できることを意味します。

sha

IKE ポリシーで使用するハッシュ アルゴリズムとして、SHA-1(HMAC バリアント)を指定します。これはデフォルトのハッシュ アルゴリズムです。

 
コマンド モード

設定モード。

 
デフォルト

デフォルトの ISKMP ポリシー暗号化は des です。

デフォルトのハッシュ アルゴリズムは SHA-1(HMAC バリアント)です。

 
使用上のガイドライン

isakmp policy コマンドを使用すると、IPSec セキュリティ結合がネゴシエートでき、IPSec セキュア通信が可能になります。

次に、isakmp policy コマンドの例を示します。

isakmp policy 93 group 2


) Cisco VPN Client バージョン 3.x では、isakmp policy に DH group 2 を設定する必要があります(DH group 1 を設定すると、Cisco VPN Client は接続できません)。

AES は、VPN-3DES のライセンスがあるファイアウォールに限りサポートされます。AES が提供するキーはサイズが大きいため、ISAKMP ネゴシエーションには、group 1group 2 ではなく、Diffie-Hellman (DH) group 5 を使用する必要があります。この設定には、isakmp policy priority group 5 コマンドを使用します。


show isakmp policy コマンドは、各 IKE ポリシーのパラメータをデフォルトも含めて表示します。

isakmp policy authentication

isakmp policy authentication コマンドは、IKE ポリシー内の認証方式を指定する場合に使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。

RSA シグニチャを指定する場合は、CA から証明書を取得するように PIX Firewall とそのピアを設定する必要があります。事前共有キーを指定する場合は、PIX Firewall とそのピアに、事前共有キーを別々に設定する必要があります。

認証方式を RSA シグニチャのデフォルト値にリセットするには、 no isakmp policy authentication コマンドを使用します。

次の例では、 isakmp policy authentication コマンドの使用方法を示します。この例では、優先順位番号 40 の IKE ポリシーに認証方式 rsa-signatures を使用するように設定します。

isakmp policy 40 authentication rsa-sig

isakmp policy encryption

isakmp policy encryption コマンドは、IKE ポリシー内の暗号化アルゴリズムを指定する場合に使用します。サポートされている暗号化アルゴリズムは、128 ビット キーの AES( aes )、192 ビット キーの AES( aes-192 )、256 ビット キーの AES( aes-256 )、DES( des )、および 3DES( 3des )です(IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです)。

暗号化アルゴリズムをデフォルト値の des にリセットするには、 no isakmp policy encryption コマンドを使用します。

次に、 isakmp policy encryption コマンドの使用方法を示します。この例では、優先順位番号 25 の IKE ポリシーに 128 ビット キーの AES アルゴリズムを使用するように設定します。

isakmp policy 25 encryption aes

次の例では、優先順位番号 40 の IKE ポリシーに 3DES アルゴリズムを使用するように設定します。

isakmp policy 40 encryption 3des

isakmp policy group

isakmp policy group コマンドは、IKE ポリシーに Diffie-Hellman グループを使用するように指定する場合に使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。

グループ オプションには、768 ビット(DH Group 1)、1024 ビット(DH Group 2)、1536 ビット(DH Group 5)の 3 つがあります。1024 ビットと 1536 ビットの Diffie-Hellman グループは、セキュリティが高くなりますが、CPU の処理時間は長くなります。

Diffie-Hellman グループ識別子を、デフォルト値であるグループ 1(768 ビット Diffie Hellman)にリセットするには、 no isakmp policy group コマンドを使用します。

次の例では、 isakmp policy group コマンドの使用方法を示します。この例では、優先順位番号 40 の IKE ポリシーに、グループ 2、1024 ビット Diffie Hellman を使用するように設定します。

isakmp policy 40 group 2
 

) Cisco VPN Client バージョン 3.x は Diffie-Hellman グループ 2 を使用し、Cisco VPN Client 3000 バージョン 2.5/2.6 は Diffie-Hellman グループ 1 を使用します。Cisco VPN Client バージョン 3.x を使用している場合は、isakmp policy group 2 コマンドを使用して、Diffie-Hellman グループ 2 を設定してください。


isakmp policy hash

isakmp policy hash コマンドは、IKE ポリシーで使用するハッシュ アルゴリズムを指定する場合に使用します。IKE ポリシーは、IKE ネゴシエーション時に使用するパラメータのセットを定義したものです。

ハッシュ アルゴリズムのオプションには、SHA-1 と MD5 の 2 つがあります。MD5 は、SHA-1 よりもダイジェストが小さく、わずかに速いとされています。

ハッシュ アルゴリズムを SHA-1 のデフォルト値にリセットするには、 no isakmp policy hash コマンドを使用します。

次の例では、 isakmp policy hash コマンドの使用方法を示します。この例では、優先順位番号 40 の IKE ポリシーに MD5 ハッシュ アルゴリズムを使用するように設定します。

isakmp policy 40 hash md5

isakmp policy lifetime

isakmp policy lifetime コマンドは、IKE セキュリティ結合の期限が満了するまでのライフタイムを指定する場合に使用します。セキュリティ結合のライフタイムをデフォルト値の 86,400 秒(1 日)にリセットするには、 no isakmp policy lifetime コマンドを使用します。

IKE は、ネゴシエーションを開始するとき、自身のセッション用のセキュリティ パラメータを合意しようとします。合意されたパラメータは、次に、各ピアにおいてセキュリティ結合によって参照されます。セキュリティ結合は、そのセキュリティ結合のライフタイムが期限満了するまで、各ピアによって保持されます。セキュリティ結合は、期限満了するまでその後の IKE ネゴシエーションで再利用できるため、IPSec セキュリティ結合を設定するときに時間を節約できます。新しいセキュリティ結合は、現在のセキュリティ結合が期限満了する前にネゴシエーションが行われます。

IPSec のセットアップ時間を短縮するには、IKE セキュリティ結合のライフタイムを長く設定します。ただし、ライフタイムをある程度短くすると、IKE ネゴシエーションの安全性が高くなります。


) PIX Firewall は、IPSec ピアとの間で IKE ネゴシエーションを開始するとき、ピアのポリシーのライフタイムが PIX Firewall のポリシーのライフタイムより短い場合に限り、IKE ポリシーを選択できます。次に、2 つのライフタイムが異なる場合は、短いほうのライフタイムが選択されます。


次の例では、 isakmp policy lifetime コマンドの使用方法を示します。この例では、優先順位番号 40 の IKE ポリシー内に IKE セキュリティ結合のライフタイムを 50,400 秒(14 時間)に設定します。

isakmp policy 40 lifetime 50400

show isakmp policy

show isakmp policy コマンドは、各 IKE ポリシーのパラメータを、デフォルト パラメータを含めて表示する場合に使用します。

次に、2 つの IKE ポリシー(それぞれ優先順位 70 と 90)を設定した後の show isakmp policy コマンドの出力例を示します。

show isakmp policy
 
Protection suite priority 70
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Message Digest 5
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #2 (1024 bit)
lifetime: 5000 seconds, no volume limit
Protection suite priority 90
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
lifetime: 10000 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
 

) ライフタイムに「no volume limit」と出力されていますが、現在、時間ライフタイム(86,400 秒など)だけが設定できます。容量限界ライフタイムは、設定できません。


次に、ISAKMP ポリシーに Diffie-Hellman group 5 を使用している設定に対する show isakmp コマンドと show isakmp policy コマンドの出力例を示します。

pixfirewall(config)# show isakmp
isakmp enable outside
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 5
isakmp policy 1 lifetime 86400
 
pixfirewall(config)# show isakmp policy
Protection suite of priority 8
encryption algorithm: Three key triple DES
hash algorithm: Message Digest 5
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #5 (1536 bit)
lifetime: 86400 seconds, no volume limit

 
関連コマンド

ca

Certificate Enrollment Protocol(CEP)に対して、RSA キー ペアを作成し、Public Key Infrastructure (PKI)に登録します。

crypto dynamic-map

IPSec 暗号ダイナミック マップ ポリシーを設定します。

crypto ipsec

トランスフォーム セットと IPSec セキュリティ結合(SA)ライフタイムを設定します。

crypto map

IPSec 暗号マップ ポリシーを設定します。

kill

Telnet セッションを終了します。

kill telnet_id

 
文法説明

telnet_id

Telnet セッションの ID。

 
コマンド モード

特権モード。

 
使用上のガイドライン

kill コマンドは、Telnet セッションを終了します。Telnet セッション ID の値を表示するには、 who コマンドを使用します。Telnet セッションを強制終了すると、ユーザに警告を与えることなく、PIX Firewall は、あらゆるアクティブ コマンドを終了して、接続をドロップします。

次に、 show who コマンドを使用してアクティブな Telnet セッションを表示し、Telnet セッション 2 を終了するために kill コマンドを使用した場合の出力例を示します。

show who
2: From 10.10.54.0
kill 2

 
関連コマンド

who

ファイアウォール上のアクティブな管理セッションを表示します。

telnet

Telnet アクセスをファイアウォール コンソールに追加し、アイドル タイムアウトを設定します。

logging

syslog と SNMP ロギングをイネーブルまたはディセーブルにします。

[ no ] logging on

[ no ] logging buffered level

[ no ] logging console level

logging device-id { hostname | ipaddress if_name | string text }

no logging device-id

[ no ] logging facility facility

[ no ] logging history level

[ no ] logging host [ in_if_name ] ip_address [ protocol / port ] [ format emblem ]

[ no ] logging message syslog_id [ level level ]

[ no ] logging monitor level

[ no ] logging queue queue_size

[ no ] logging standby

[ no ] logging timestamp

[ no ] logging trap level

clear logging [ disable ]

show logging [ message { syslog_id | all } | level | disabled ]

show logging queue

 
文法説明

all

すべての syslog メッセージ ID。

buffered

syslog メッセージを内部バッファに送信します。送信されたメッセージは、show logging コマンドで表示できます。メッセージ バッファをクリアするには、clear logging コマンドを使用します。新しいメッセージは、バッファの最後に追加されます。

clear

logging buffered コマンド併用して、バッファをクリアします。

console

syslog メッセージが発生するたびに、PIX Firewall コンソールに表示されるように指定します。コンソールに表示されるメッセージのタイプは、level によって制限できます。このコマンドは、使用すると PIX Firewall のパフォーマンスが低下するため、実稼働環境では使用しないことを推奨します。

device-id

syslog メッセージに含まれる PIX Firewall のデバイス ID。

disabled

抑制されたメッセージをクリアまたは表示します。メッセージを抑制するには、 no logging message コマンドを使用します。

facility

syslog ファシリティを指定します。デフォルトは 20 です。

facility

LOCAL0(16) から LOCAL7(23) までの 8 つのファシリティ。デフォルトは、LOCAL4(20) です。ホストは、メッセージの facility 番号をもとに、メッセージをファイルします。

format emblem

このオプションは、syslog サーバ別の EMBLEM 形式のロギングをイネーブルにします。EMBLEM 形式のロギングは、UDP システム メッセージに対してだけ利用できます。デフォルトではディセーブルになっています。

history

syslog トラップを送信するための SNMP メッセージ レベルを設定します。

host

PIX Firewall から送信されたメッセージを受信する syslog サーバを指定します。複数の logging host コマンドを使用して複数の追加サーバを指定すると、追加したサーバすべてが syslogs メッセージを受信します。ただし、サーバは UDP か TCP のどちらか一方を受信するように指定でき、両方を受信するようには指定できません。PIX Firewall は、TCP syslog メッセージだけを PIX Firewall Syslog Server(PFSS)に送信できます。

hostname

PIX Firewall のホスト名を使用して、PIX Firewall からの syslog メッセージを一意に識別するように指定します。

if_name

PIX Firewall からの syslog メッセージを一意に識別するために使用する IP アドレスを持つインターフェイスの名前を指定します。

in_if_name

syslog サーバが常駐するインターフェイス。

ip_address

Syslog サーバの IP アドレス。

ipaddress

指定した PIX Firewall インターフェイスの IP アドレスを使用して、PIX Firewall からの syslog メッセージを一意に識別することを指定します。

level

syslog メッセージのレベルを数字または文字列で指定します。level を指定すると、その level とその level より下のメッセージが表示されます。たとえば、level が 3 の場合、syslog は 0、1、2、3 のメッセージをすべて表示します。level の値として指定できる数字または文字列は次のとおりです。

0:emergencies:システム使用不能メッセージ

1:alerts:ただちに処置が必要

2:critical:クリティカルな状態

3:errors:エラー メッセージ

4:warnings:警告メッセージ

5:notifications:正常だが、注意が必要な状態

6:informational:情報メッセージ

7:debugging:デバッグ メッセージ、ログ FTP コマンド、WWW URL

message

表示を許可するメッセージを指定します。syslog メッセージを抑制するには、 no logging message コマンドを使用します。禁止されたメッセージを元の設定にリセットするには、clear logging disabled コマンドを使用します。抑制されたメッセージのリストを表示するには、show message disabled コマンドを使用します。すべての syslog メッセージは、明示的に禁止されない限り、表示が許可されています。「PIX Startup begin」メッセージはブロックできません。また、コマンド文あたり複数のメッセージもブロックできません。

monitor

PIX Firewall コンソールの Telnet セッションに、syslog メッセージを表示するように指定します。

on

すべての出力先に syslog メッセージの送信を開始します。すべてのロギングを停止するには、no logging on コマンドを使用します。

port

PIX Firewall が UDP か TCP のどちらかの syslog メッセージの送信に使用するポート。syslog サーバがリスンするポートと同じポートを指定する必要があります。UDP ポートでは、デフォルトは 514 で、値の変更に使用できる範囲は 1025 ~ 65535 です。TCP ポートでは、デフォルトは 1470 で、使用できる値の範囲は 1025 ~ 65535 です。TCP ポートは、PIX Firewall Syslog Server でだけ動作します。

protocol

syslog メッセージの送信に使用するプロトコル。tcp か udp のどちらかです。PIX Firewall は、TCP syslog メッセージだけを PIX Firewall Syslog Serverに送信できます。それまでにwrite terminal コマンドを使用して入力したポートとプロトコルの値だけを表示できます。表示されるリストでコマンドを確認できます。TCP プロトコルは 6、UDP プロトコルは 17 と表示されます。

queue queue_size

syslog メッセージを格納するためのキューのサイズを指定します。このパラメータは、syslog メッセージが処理される前に使用します。queue パラメータのデフォルトは 512 メッセージで、0(ゼロ)は、制限がないことを示します(利用可能なブロック メモリに依存します)。最小値は、1 メッセージです。

standby

フェールオーバー用のスタンバイ装置も syslog メッセージを送信するように設定します。このオプションは、デフォルトではディセーブルになっています。これをイネーブルにすると、フェールオーバーが起こったときに、スタンバイ装置の syslog メッセージの同期が保証されます。ただし、このオプションをイネーブルにすると、syslog サーバのトラフィックが 2 倍になります。ディセーブルにするには、no logging standby コマンドを使用します。

syslog_id

メッセージ番号を表示するかどうかを指定します。メッセージが syslog に %PIX-1-101001 と記載されている場合は、 syslog_id に「101001」を使用します。メッセージ番号の詳細については、『 Cisco PIX Firewall System Log Messages 』を参照してください。

text

PIX Firewall からの syslog メッセージを一意に識別するテキスト文字列を指定します。最大長は 16 文字です。空白(ブランク)は使用できません。

timestamp

syslog サーバに送信される各 syslog メッセージに、タイムスタンプ値を付けるように指定します。

trap

syslog メッセージだけにロギング レベルを設定します。

 
デフォルト

EMBLEM 形式のロギングは、デフォルトではディセーブルになっています。

logging device-id コマンドは、デフォルトではディセーブルになっています。

コンソール ロギング(logging console コマンド)は、デフォルトではディセーブルになっています。

 
コマンド モード

設定モード。

 
使用上のガイドライン

logging コマンドを使用すると、コンソール、syslog サーバ、または SNMP 管理ステーションへの情報メッセージの送信をイネーブルまたはディセーブルにできます。

PIX Firewall は、コンソールよりも詳細な情報をメッセージとして syslog サーバに提供しますが、コンソールの情報だけでも、効果的なトラブルシューティングを行うことができます。


) logging console コマンドを使用するとシステム パフォーマンスが低下するため、PIX Firewall が実稼働環境にあるときは使用しないことを推奨します。代わりに、logging buffered コマンドでロギングを開始し、show logging コマンドでメッセージを表示して、clear logging コマンドでバッファをクリアして最新のメッセージが簡単に表示されるようにします。


aaa accounting authentication enable console コマンドを使用すると、シリアル コンソールから設定を変更するたびに、syslog レベル 4 で syslog メッセージが送信されます。

show logging コマンドは、イネーブルになっているロギング オプションを表示します。logging buffered コマンドを使用している場合は、show logging コマンドによって現在のメッセージ バッファが表示されます。 show logging disabled コマンドは、抑制された syslog メッセージを表示します。

logging device-id

logging device-id コマンドは、syslog サーバに送信される EMBLEM 形式以外の形式の syslog メッセージにある一意のデバイス ID を表示します。このコマンドは、PIX Firewall ソフトウェア バージョン 6.2.2.115 以降で利用できます。

イネーブルにすると、PIX Firewall は、EMBLEM 形式でない syslog メッセージすべてにデバイス ID を表示します。EMBLEM 形式の syslog メッセージ テキストには影響しません。


) syslog メッセージのデバイス ID の部分は、syslog サーバだけで表示され、ファイアウォール上には直接表示されません。


ipaddress オプションを使用すると、デバイス ID は、メッセージが送信されたインターフェイスに関係なく、指定した PIX Firewall インターフェイスの IP アドレスとなります。このオプションの使用により、そのデバイスから送信されるメッセージすべてに、1 つの同じデバイス ID が割り当てられます。

logging history

SNMP メッセージのレベルを設定するには、 logging history コマンドを使用します。

logging host

logging host ip_address format emblem コマンドは、syslog サーバ別の EMBLEM 形式のロギングをイネーブルにします。EMBLEM 形式のロギングは、UDP システム メッセージにだけ利用できます(RME アナライザだけが UDP syslog メッセージをサポートしています)。EMBLEM 形式のロギングを特定の syslog ホストに対してイネーブルにすると、EMBLEM 形式のメッセージがそのホストに送信されます。 logging timestamp オプションもイネーブルにすると、タイムスタンプが付いた EMBLEM 形式のメッセージが送信されます。EMBLEM 形式のロギングは、デフォルトではディセーブルになっています。

logging message

syslog メッセージのレベルを変更するには、 logging message syslog_id level level コマンドを使用します。no logging message コマンドは、syslog メッセージ「 %PIX-6-199002: PIX startup completed. Beginning operation. 」をブロックできません。

logging queue

logging queue コマンドを使用すると、処理を待つメッセージ用の syslog メッセージ キューのサイズを指定できます。トラフィックが多い場合、メッセージが廃棄される場合があります。

show logging queue コマンドは、次の事項を表示します。

キュー内のメッセージ数

キューに記録されたメッセージの最大数

処理に利用できるブロック メモリがなかったために廃棄されたメッセージ数

logging standby

logging standby コマンドを使用すると、フェールオーバー用のスタンバイ装置が syslog メッセージを送信します。このオプションは、デフォルトではディセーブルになっています。これをイネーブルにすると、フェールオーバーが起こったときに、スタンバイ装置の syslog メッセージの同期が保証されます。ただし、このオプションをイネーブルにすると、syslog サーバのトラフィックが 2 倍になります。ディセーブルにするには、no logging standby コマンドを使用します。

logging timestamp

logging timestamp コマンドを使用するは、clock コマンドを設定する必要があります。

logging trap

SNMP メッセージのレベルを設定するには、 logging history コマンドを使用します。

トラブルシューティング

ロギング トランスポート プロトコルとして TCP を使用している場合、PIX Firewall は、PIX Firewall が syslog サーバに到達できない場合、syslog サーバの設定が誤っている場合(たとえば、PFSS で)、またはディスクが一杯の場合のいずれかのエラー状態が発生すると、セキュリティ保護手段としてトラフィックの送信を停止します(UDP ベースのロギングでは、syslog サーバに障害が発生しても、PIX Firewall はトラフィックの送信を停止しません)。

PIX Firewall をイネーブルにして、トラフィックの送信を再開するには、次の手順を実行します。


ステップ 1 syslog サーバの接続性、設定の誤り、またはディスク容量のエラー状態を確認して修正します。

ステップ 2 コマンド logging host inside 10.1.1.1 tcp/1468 を入力して、ロギングを再度イネーブルにします。

別の方法として、コマンド logging host inside 10.1.1.1 を実行して、ロギングを UDP/514 でのデフォルト ロギングに変更することもできます。UDP ベースのロギングは、syslog サーバに障害が発生しても、トラフィックを送信します。


 

詳細について

syslog、および logging コマンドの使用方法の詳細については、『 Cisco PIX Firewall System Log Messages 』を参照してください。また logging message コマンドを使用して個別に抑制できるメッセージ番号の取得にも、『 Cisco PIX Firewall System Log Messages 』を利用できます。

次の例では、コンソール ロギングを開始し、その結果を表示する方法を示します。

pixfirewall(config)# logging buffered debugging
pixfirewall(config)# show logging
Syslog logging: enabled
Timestamp logging: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: level debugging, 37 messages logged
Trap logging: disabled
305001: Portmapped translation built for gaddr 209.165.201.5/0 laddr 192.168.1.2/256
...
 

305001 で始まる出力行は、192.168.1.2 のホストからグローバル アドレス 209.165.201.5 を経由した PAT グローバルへの変換を示します。「305001」は、PAT グローバルを経由して変換を作成するために、syslog メッセージを識別します。syslog メッセージの詳細については、『 Cisco PIX Firewall System Log Messages 』を参照してください。

次に、 pixfirewall-1 というホスト(最終行に表示されています)上で logging device-id hostname コマンドが設定されているときに、 show logging を使用した場合の出力例を示します。

pixfirewall-1(config)# logging device-id hostname
pixfirewall-1(config)# show logging
Syslog logging: disabled
Facility: 20
Timestamp logging: disabled
Standby logging: disabled
Console logging: level debugging, 0 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: disabled
Trap logging: disabled
History logging: disabled
Device ID: hostname "pixfirewall-1"
 

次の例は、logging queue コマンドと show logging queue コマンドの出力例です。

pixfirewall(config)# logging queue 0
pixfirewall(config)# show logging queue
Logging Queue length limit : Unlimited
Current 5 msg on queue, 3513 msgs most on queue, 1 msg discard.
 

この例では、logging queue コマンドが 0 に設定されており、メッセージ数に上限がないこと、つまりすべての syslog メッセージが処理されることを意味します。show logging queue コマンドは、キューにあるメッセージが 5 つ、PIX Firewall が最後にブートされてから同時にキューに存在したメッセージの最大数が 3513、廃棄されたメッセージが 1 つであることを表示しています。無制限に設定した場合でも、ブロック メモリを使い切ると、メッセージが廃棄されることがあります。

次に、TCP syslog サーバに到達できない場合の、 show logging コマンド出力の出力例を示します。この結果、PIX Firewall がトラフィックの送信を停止し、内側へのロギングが disabled と設定されます。

pixfirewall(config)# show logging
Syslog logging: enabled
Timestamp logging: enabled
Standby logging: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: level debugging, 827 messages logged
Trap logging: level debugging, facility 20, 840 messages logged
Logging to inside 10.1.1.1 tcp/1468 disabled
 

次の例では、syslog メッセージのレベルを変更し、syslog メッセージの現在のレベルとデフォルトのレベルを表示する方法を示します。

pixfirewall(config)# logging message 403503
pixfirewall(config)# show logging message 403503
syslog 403503: default-level errors (enabled)
 
pixfirewall(config)# logging message 403503 level 1
pixfirewall(config)# show logging message 403503
syslog 403503: default-level errors, current-level alerts (enabled)
 
pixfirewall(config)# logging message 403503 level 6
pixfirewall(config)# show logging message 403503
syslog 403503: default-level errors, current-level informational (enabled)
 
pixfirewall(config)# logging message 403503 level 3
pixfirewall(config)# show logging message 403503
syslog 403503: default-level errors (enabled)

 
関連コマンド

auto-update

自動アップデートのサポートを設定します。

telnet

Telnet アクセスをファイアウォール コンソールに追加し、アイドル タイムアウトを設定します。

terminal

端末回線のパラメータを設定します。

login

PIX Firewall 上で、特定のユーザとして、セッションの開始、ほかの特権レベル、またはコマンド モードへのアクセス用のログイン プロンプトを起動します。

login

 
文法説明

login

特定のユーザとしてログインすることを指定します。

 
コマンド モード

ユーザ モード。

 
使用上のガイドライン

login コマンドを使用すると、 username コマンドによって作成されたローカル ユーザ認証データベースを使用して、ユーザが PIX Firewall、ほかの特権レベル、またはコマンド モードにログインできます。このコマンドは、ユーザ モードで利用できます。

ログインしたユーザは、 logout exit quit のいずれかのコマンドを使用して、ユーザ モードに戻ることができます。

次の例では、 login コマンドを入力した後のプロンプトを示します。

pixfirewall> login
Username:

 
関連コマンド

privilege

コマンドに対して、特権レベルを設定します。

username

ローカル ユーザ認証データベースを設定します。