Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.2(2)
cache コマンド~ clear compression コマンド
cache コマンド~ clear compression コマンド
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

cache コマンド~

cache

cache-compressed

cache-time

call-agent

call-duration-limit

call-party-numbers

capture

cd

certificate

chain

changeto

character-encoding

checkheaps

check-retransmission

checksum-verification

class

class(ポリシー マップ)

class-map

class-map type inspect

class-map type management

class-map type regex

clear aaa local user fail-attempts

clear aaa local user lockout

clear aaa-server statistics

clear access-group

clear access-list

clear arp

clear asp drop

clear blocks

clear-button

clear capture

clear compression

cache コマンド~
clear compression コマンド

cache

キャッシュ モードに入り、キャッシング アトリビュートの値を設定するには、webvpn モードで cache コマンドを入力します。キャッシュ関連のコマンドをすべてコンフィギュレーションから削除し、それらをデフォルト値に戻すには、同様に webvpn モードで、このコマンドの no 形式を使用します。

cache

no cache

 
デフォルト

各キャッシュ アトリビュートのデフォルト設定でイネーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

キャッシングは頻繁に再利用されるオブジェクトをシステム キャッシュに保存します。キャッシュに保存しておくことにより、リライトやコンテンツの圧縮を繰り返し実行する必要が少なくなります。WebVPN とリモート サーバの間および WebVPN とエンドユーザのブラウザとの間の両方でトラフィックを削減します。その結果、多くのアプリケーションがさらに効率よく実行されます。

次の例は、キャッシュ モードに入る方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# cache
hostname(config-webvpn-cache)#
 

 
関連コマンド

コマンド
説明

cache-compressed

WebVPN キャッシュの圧縮を設定します。

disable

キャッシングをディセーブルにします。

expiry-time

オブジェクトを再検証せずにキャッシュする有効期限を設定します。

lmfactor

最終変更時刻のタイムスタンプだけを持つオブジェクトのキャッシングに関する再確認ポリシーを設定します。

max-object-size

キャッシュするオブジェクトの最大サイズを定義します。

min-object-size

キャッシュするオブジェクトの最小サイズを定義します。

cache-compressed

WebVPN セッションの圧縮オブジェクトをキャッシュするには、webvpn モードで cache-compressed コマンドを使用します。圧縮コンテンツのキャッシングを禁止するには、このコマンドの no 形式を入力します。

cache-compressed enable

no cache-compressed

 
シンタックスの説明

enable

WebVPN セッションの圧縮コンテンツのキャッシングをイネーブルにします。

 
デフォルト

圧縮コンテンツのキャッシングはデフォルトでイネーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

キャッシュ モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

キャッシングでは、頻繁に再利用されるオブジェクトがシステム キャッシュに保存されます。圧縮コンテンツのキャッシングがイネーブルの場合、セキュリティ アプライアンスは圧縮されたオブジェクトを保存します。圧縮コンテンツのキャッシングをディセーブルにすると、セキュリティ アプライアンスは圧縮ルーチンを呼び出す前にオブジェクトを保存します。

次の例は、圧縮コンテンツのキャッシングをディセーブルにする方法と、それを再度イネーブルにする方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# cache
hostname(config-webvpn-cache)# no cache-compressed
hostname(config-webvpn-cache)# cache-compressed enable

 
関連コマンド

コマンド
説明

cache

WebVPN キャッシュ モードに入ります。

disable

キャッシングをディセーブルにします。

expiry-time

オブジェクトを再検証せずにキャッシュする有効期限を設定します。

lmfactor

最終変更時刻のタイムスタンプだけを持つオブジェクトのキャッシングに関する再確認ポリシーを設定します。

max-object-size

キャッシュするオブジェクトの最大サイズを定義します。

min-object-size

キャッシュするオブジェクトの最小サイズを定義します。

cache-time

CRL を期限切れと見なす前にキャッシュに残す時間を分単位で指定するには、ca-crl コンフィギュレーション モードで cache-time コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cache-time refresh-time

no cache-time

 
シンタックスの説明

refresh-time

CRL をキャッシュに残す時間(分)を指定します。範囲は 1 ~ 1,440 分です。CRL に NextUpdate フィールドがない場合、CRL はキャッシュされません。

 
デフォルト

デフォルト設定は 60 分です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

CRL コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが導入されました。

次の例では、ca-crl コンフィギュレーション モードに入り、トラストポイント central に 10 分のキャッシュ時間のリフレッシュ値を指定します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# cache-time 10
hostname(ca-crl)#
 

 
関連コマンド

コマンド
説明

crl configure

crl コンフィギュレーション モードに入ります。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードに入ります。

enforcenextupdate

証明書で NextUpdate CRL フィールドを処理する方法を指定します。

call-agent

コール エージェントのグループを指定するには、MGCP マップ コンフィギュレーション モードで call-agent コマンドを使用します。このモードには、 mgcp-map コマンドを使用してアクセスできます。このコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

call-agent ip_address group_id

no call-agent ip_address group_id

 
シンタックスの説明

ip_address

ゲートウェイの IP アドレス。

group_id

コール エージェント グループの ID(0 ~ 2147483647)。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

call-agent コマンドは、1 つまたは複数のゲートウェイを管理できるコール エージェントのグループを指定するために使用します。コール エージェントのグループ情報は、どのコール エージェントも応答を送信できるように、グループ内の(ゲートウェイがコマンドを送信する先以外の)コール エージェントに接続を開くために使用されます。 group_id が同じコール エージェントは、同じグループに所属します。1 つのコール エージェントは複数のグループに所属できます。 group_id オプションは 0 ~ 4294967295 の数字です。 ip_address オプションでは、コール エージェントの IP アドレスを指定します。

次の例では、コール エージェント 10.10.11.5 と 10.10.11.6 がゲートウェイ 10.10.10.115 を制御できるようにし、コール エージェント 10.10.11.7 と 10.10.11.8 がゲートウェイ 10.10.10.116 と 10.10.10.117 の両方を制御できるようにしています。

hostname(config)# mgcp-map mgcp_inbound
hostname(config-mgcp-map)# call-agent 10.10.11.5 101
hostname(config-mgcp-map)# call-agent 10.10.11.6 101
hostname(config-mgcp-map)# call-agent 10.10.11.7 102
hostname(config-mgcp-map)# call-agent 10.10.11.8 102
hostname(config-mgcp-map)# gateway 10.10.10.115 101
hostname(config-mgcp-map)# gateway 10.10.10.116 102
hostname(config-mgcp-map)# gateway 10.10.10.117 102
 

 
関連コマンド

コマンド
説明

debug mgcp

MGCP に関するデバッグ情報の表示をイネーブルにします。

mgcp-map

MGCP マップを定義し、MGCP マップ コンフィギュレーション モードをイネーブルにします。

show mgcp

MGCP のコンフィギュレーションおよびセッション情報を表示します。

call-duration-limit

H.323 コール 1 回の制限時間を設定するには、パラメータ コンフィギュレーション モードで call-duration-limit コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

call-duration-limit hh:mm:ss

no call-duration-limit hh:mm:ss

 
シンタックスの説明

hh:mm:ss

時、分、秒で時間を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

次の例では、H.323 コール 1 回の制限時間を設定する方法を示します。

hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# call-duration-limit 0:1:0
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

call-party-numbers

H.323 コールのセットアップ時に発信側の番号の送信を必須にするには、パラメータ コンフィギュレーション モードで call-party-numbers コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

call-party-numbers

no call-party-numbers

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

次の例では、H.323 コールのセットアップ時に発信側の番号の送信を必須にする方法を示します。

hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# call-party-numbers
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

capture

パケット キャプチャ機能をイネーブルにして、パケットのスニッフィングやネットワーク障害を検出できるようにするには、 capture コマンドを使用します。パケットのキャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。

capture capture_name [ type { asp-drop [ drop-code ] | raw-data | isakmp | webvpn user webvpn-user [ url url] }] [ access-list access_list_name ] [ buffer buf_size ] [ ethernet-type type ] [ interface interface_name ] [ packet-length bytes ] [ circular-buffer ][ trace trace_count ]

no capture capture-name [access-list access_list_name ] [circular-buffer] [interface interface_name ]

 
シンタックスの説明

access-list access_list_name

(オプション)アクセス リストに一致するトラフィックをキャプチャします。マルチ コンテキスト モードでは、1 つのコンテキスト内でのみ使用できます。

asp-drop [ drop-code ]

(オプション)アクセラレーション セキュリティ パスでドロップされたパケットをキャプチャします。 drop-code で、アクセラレーション セキュリティ パスでドロップされたトラフィックのタイプを指定します。ドロップ コードの一覧については、 show asp drop frame コマンドを参照してください。 drop-code 引数を入力しないと、ドロップされたパケットがすべてキャプチャされます。

このキーワードは、 packet-length circular-buffer 、および buffer と一緒に入力できますが、 interface ethernet と一緒に入力することはできません。

buffer buf_size

(オプション)パケットの保存に使用するバッファのサイズをバイト単位で定義します。バッファがいっぱいになると、パケットのキャプチャが停止します。

capture_name

パケット キャプチャの名前を指定します。複数のタイプのトラフィックをキャプチャする場合は、複数の capture 文で同じ名前を使用します。 show capture コマンドでキャプチャのコンフィギュレーションを表示すると、すべてのオプションが 1 行にまとめて示されます。

circular-buffer

(オプション)バッファがいっぱいになったときに、先頭部分からバッファを上書きしていきます。

ethernet-type type

(オプション)キャプチャするイーサネット タイプを選択します。デフォルトは、IP パケットです。802.1Q タイプと VLAN タイプでは例外が発生します。802.1Q タグは自動的にスキップされ、条件に一致しているかどうかの判定には内部イーサネット タイプが使用されます。

interface interface_name

パケットのキャプチャ機能を使用するインターフェイスの名前を設定します。パケットをキャプチャする場合は、インターフェイスを設定する必要があります。複数の capture コマンドで同じキャプチャ名を指定して、複数のインターフェイスを設定できます。ASA 5500 シリーズ適応型セキュリティ アプライアンスのデータプレーン上のパケットをキャプチャするには、 interface キーワードと、インターフェイスの名前として asa_dataplane を指定します。

isakmp

(オプション)ISAKMP トラフィックをキャプチャします。マルチ コンテキスト モードでは使用できません。ISAKMP サブシステムは、上位層のプロトコルにアクセスできません。キャプチャは、PCAP パーサーを満たすために物理層、IP 層、および UDP 層が組み合された擬似キャプチャです。ピア アドレスは SA 交換から取得され、IP 層に保存されます。

packet-length bytes

(オプション)キャプチャ バッファに保存する各パケットの最大サイズ(バイト数)を設定します。

raw-data

(オプション)着信パケットと発信パケットを 1 つまたは複数のインターフェイス上でキャプチャします。これがデフォルトです。

type

(オプション)キャプチャするデータのタイプを指定します。

url url

(オプション)データをキャプチャするときに照合する URL のプレフィックスを指定します。サーバへの HTTP トラフィックをキャプチャするには、URL http:// server / path を使用します。サーバへの HTTPS トラフィックをキャプチャする場合は、https:// server / path を使用します。

user webvpn-user

(オプション)WebVPN キャプチャのユーザ名を指定します。

webvpn

(オプション)特定の WebVPN 接続の WebVPN データをキャプチャします。

trace trace_count

(オプション)パケットのトレース情報をキャプチャすることと、キャプチャするパケットの数を指定します。アクセス リストと共に使用し、パケットが正常に処理されたかどうかを確認するためにデータ パスにトレース パケットを挿入します。

 
デフォルト

デフォルトは次のとおりです。

type raw-data

buffer size は 512 KB

イーサネットのタイプは IP

packet-length は 68 バイト

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権モード

 
コマンド履歴

リリース
変更内容

6.2(1)

このコマンドが導入されました。

7.0(1)

新しいキーワード、特に type asp-drop type isakmp type raw-data 、および type webvpn を含めるように変更されました。

7.2(1)

trace キーワードを含めるように変更されました。

 
使用上のガイドライン

パケットのキャプチャは、接続上の問題のトラブルシューティングや疑わしいアクティビティのモニタリングを行う場合に役立ちます。複数のキャプチャを設定できます。パケットのキャプチャ情報を表示するには、 show capture name コマンドを使用します。キャプチャ情報をファイルに保存するには、 copy capture コマンドを使用します。パケットのキャプチャ情報を Web ブラウザで表示するには、 https:// security appliance-ip-address /capture/ capture_name [ / pcap ] コマンドを使用します。 pcap オプション キーワードを指定すると、libpcap 形式のファイルが Web ブラウザにダウンロードされるので、Web ブラウザを使用してファイルを保存できます。libcap ファイルは、TCPDUMP または Ethereal で表示できます。

バッファの内容を TFTP サーバに ASCII 形式でコピーする場合は、パケットの詳細や 16 進ダンプは表示されず、ヘッダーだけが表示されます。詳細や 16 進ダンプを表示するには、バッファを PCAP 形式で伝送し、TCPDUMP または Ethereal を使用して読み取る必要があります。

WebVPN のキャプチャをイネーブルにすると、セキュリティ アプライアンスが
capture_name_
ORIGINAL.000 と capture_name_ MANGLED.000 というファイルのペアを作成します。後続のキャプチャごとに同様のペアを作成しますが、ファイル名の番号を順次増やしていきます。


) WebVPN キャプチャをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成した後は、キャプチャをディセーブルにしてください。


キャプチャが消去されないようにする場合は、 no capture access-list オプション キーワードまたは interface オプション キーワードのいずれかを付加して入力します。オプション キーワードを付加せずに no capture を入力すると、キャプチャが削除されます。 access-list オプション キーワードを指定した場合は、キャプチャからアクセス リストが削除され、キャプチャは残されます。 interface キーワードを指定した場合は、指定したインターフェイスからキャプチャが分離され、そのまま残ります。


capture コマンドはコンフィギュレーションには保存されず、フェールオーバー中にスタンバイ装置にコピーされることもありません。


パケット キャプチャをイネーブルにするには、次のように入力します。

hostname# capture captest interface inside
hostname# capture captest interface outside
 

「captest」というキャプチャの内容を Web ブラウザで表示するには、次のアドレスを入力します。

https://171.69.38.95/capture/captest/pcap
 

Internet Explorer や Netscape Navigator などの Web ブラウザで使用される libcap ファイルをローカル マシンにダウンロードするには、次のアドレスを入力します。

https://171.69.38.95/capture/http/pcap
 

次の例では、外部ホスト 171.71.69.234 からキャプチャしたトラフィックが内部 HTTP サーバに伝送されます。

hostname# access-list http permit tcp host 10.120.56.15 eq http host 171.71.69.234
hostname# access-list http permit tcp host 171.71.69.234 host 10.120.56.15 eq http
hostname# capture http access-list http packet-length 74 interface inside
 

次の例では、ARP パケットをキャプチャする方法を示します。

hostname# capture arp ethernet-type arp interface outside
 

次の例では、wwwin.abcd.com/hr/people という Web サイトにアクセスする user2 の HTTP トラフィックをキャプチャする、 hr という WebVPN キャプチャを作成しています。

hostname# capture hr type webvpn user user2 url http://wwwin.abcd.com/hr/people
WebVPN capture started.
capture name hr
user name user2
url /http/0/wwwin.abcd.com/hr/people

次の例では、データ ストリームにトレース パケットを 5 つ挿入します。 access-list 101 は、TCP プロトコルが FTP であるトラフィックを定義しています。

hostname# capture ftptrace interface outside access-list 101 trace 5
 

上の例で show capture ftptrace コマンドを使用すると、トレースされたパケットと、パケットの処理に関する情報がわかりやすく表示されます。

 
関連コマンド

コマンド
説明

clear capture

キャプチャ バッファを消去します。

copy capture

キャプチャ ファイルをサーバにコピーします。

show capture

オプションが何も指定されていない場合は、キャプチャのコンフィギュレーションを表示します。

cd

現在の作業ディレクトリから指定したディレクトリに移動するには、特権 EXEC モードで cd コマンドを使用します。

cd [disk0: | disk1: | flash:] [ path ]

 
シンタックスの説明

disk0 :

内蔵フラッシュ メモリを指定し、続けてコロン(:)を入力します。

disk1:

取り外し可能な外部フラッシュ メモリ カードを指定し、続けてコロン(:)を入力します。

flash:

内蔵フラッシュ メモリを指定し、続けてコロン(:)を入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。

path

(オプション)移動先ディレクトリの絶対パスです。

 
デフォルト

ディレクトリを指定しない場合、ルート ディレクトリに移動します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例では、「config」ディレクトリに移動する方法を示します。

hostname# cd flash:/config/

 
関連コマンド

コマンド
説明

pwd

現在の作業ディレクトリを表示します。

certificate

指定した証明書を追加するには、暗号 CA 証明書チェーン モードで certificate コマンドを使用します。このコマンドを使用する場合、セキュリティ アプライアンスは、コマンドに含まれているデータを 16 進形式の証明書として解釈します。 quit 文字列は証明書の終わりを示します。

証明書を削除するには、このコマンドの no 形式を使用します。

certificate [ ca | ra-encrypt | ra-sign | ra-general ] certificate-serial-number

no certificate certificate-serial-number

 
シンタックスの説明

 
シンタックスの説明シンタックスの説明

certificate-serial-number

quit で終わる 16 進形式の証明書のシリアル番号を指定します。

ca

証明書が certificate authority(CA; 認証局)発行の証明書であることを示します。

ra-encrypt

証明書が SCEP で使用される registration authority(RA; 登録局)の鍵暗号化証明書であることを示します。

ra-general

証明書が SCEP メッセージのデジタル署名および鍵暗号化に使用される登録局(RA)の証明書であることを示します。

ra-sign

証明書が SCEP メッセージで使用される登録局(RA)のデジタル署名証明書であることを示します。

 
デフォルト

このコマンドにデフォルト値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

証明書チェーン コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

認証局(CA)は、ネットワークにおいてセキュリティ クレデンシャルおよびメッセージ暗号化用の公開キーを発行、管理する組織です。公開キー インフラストラクチャの一部として、CA では登録局(RA)と共に、デジタル証明書の要求者から提供された情報を確認するためにチェックを行います。RA で要求者の情報が確認されると、CA は証明書を発行します。

次の例では、central という名前のトラストポイントの CA トラストポイント モードに入り、次に central の暗号 CA 証明書チェーン モードに入り、シリアル番号 29573D5FF010FE25B45 の CA を追加します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crypto ca certificate chain central
hostname(ca-cert-chain)# certificate ca 29573D5FF010FE25B45
30820345 308202EF A0030201 02021029 572A3FF2 96EF854F D0D6732F E25B4530
0D06092A 864886F7 0D010105 05003081 8F311630 1406092A 864886F7 0D010901
16076140 622E636F 6D310B30 09060355 04061302 55533116 30140603 55040813
0D6D6173 73616368 75736574 74733111 300F0603 55040713 08667261 6E6B6C69
6E310E30 0C060355 040A1305 63697363 6F310F30 0D060355 040B1306 726F6F74
6F75311C 301A0603 55040313 136D732D 726F6F74 2D736861 2D30362D 32303031
301E170D 30313036 32363134 31313430 5A170D32 32303630 34313430 3133305A
30818F31 16301406 092A8648 86F70D01 09011607 6140622E 636F6D31 0B300906
03550406 13025553 31163014 06035504 08130D6D 61737361 63687573 65747473
3111300F 06035504 07130866 72616E6B 6C696E31 0E300C06 0355040A 13056369
73636F31 0F300D06 0355040B 1306726F 6F746F75 311C301A 06035504 0313136D
732D726F 6F742D73 68612D30 362D3230 3031305C 300D0609 2A864886 F70D0101
01050003 4B003048 024100AA 3EB9859B 8670A6FB 5E7D2223 5C11BCFE 48E6D3A8
181643ED CF7E75EE E77D83DF 26E51876 97D8281E 9F58E4B0 353FDA41 29FC791B
1E14219C 847D19F4 A51B7B02 03010001 A3820123 3082011F 300B0603 551D0F04
04030201 C6300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604
14E0D412 3ACC96C2 FBF651F3 3F66C0CE A62AB63B 323081CD 0603551D 1F0481C5
3081C230 3EA03CA0 3A86386C 6461703A 2F2F7732 6B616476 616E6365 64737276
2F436572 74456E72 6F6C6C2F 6D732D72 6F6F742D 7368612D 30362D32 3030312E
63726C30 3EA03CA0 3A863868 7474703A 2F2F7732 6B616476 616E6365 64737276
2F436572 74456E72 6F6C6C2F 6D732D72 6F6F742D 7368612D 30362D32 3030312E
63726C30 40A03EA0 3C863A66 696C653A 2F2F5C5C 77326B61 6476616E 63656473
72765C43 65727445 6E726F6C 6C5C6D73 2D726F6F 742D7368 612D3036 2D323030
312E6372 6C301006 092B0601 04018237 15010403 02010130 0D06092A 864886F7
0D010105 05000341 0056221E 03F377B9 E6900BF7 BCB3568E ADBA146F 3B8A71F3
DF9EB96C BB1873B2 B6268B7C 0229D8D0 FFB40433 C8B3CB41 0E4D212B 2AEECD77
BEA3C1FE 5EE2AB6D 91
quit
 

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションを消去します。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto ca certificate chain

証明書暗号 CA 証明書チェーン モードに入ります。

crypto ca trustpoint

CA トラストポイント モードに入ります。

show running-config crypto map

すべての暗号マップのすべてのコンフィギュレーションを表示します。

chain

証明書チェーンの送信をイネーブルにするには、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで chain コマンドを使用します。この操作には、ルート証明書および伝送のすべての下位 CA 証明書が含まれます。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。

chain

no chain

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトでは、このコマンドの設定はディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ ipsec アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このアトリビュートは、すべての IPSec トンネル グループ タイプに適用できます。

次の例では、トンネル グループ ipsec アトリビュート コンフィギュレーション モードに入り、ルート証明書およびすべての下位 CA 証明書を含む IP アドレス 209.165.200.225 の IPSec LAN-to-LAN トンネル グループのチェーンの送信をイネーブルにします。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-tunnel-ipsec)# chain
hostname(config-tunnel-ipsec)#
 

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

現在のトンネル グループ コンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネル グループ ipsec アトリビュートを設定します。

changeto

セキュリティ コンテキストとシステムの間で切り替えを行うには、特権 EXEC モードで changeto コマンドを使用します。

changeto { system | context name }

 
シンタックスの説明

context name

指定した名前を持つコンテキストに変更します。

system

システム実行スペースに変更します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

システム実行スペースまたは管理コンテキストにログインする場合は、各コンテキスト内でコンテキスト、実行コンフィギュレーション、モニタリング タスクを切り替えることができます。コンフィギュレーション モードで編集、あるいは copy または write コマンドで使用される「実行」コンフィギュレーションは、どの実行スペースにいるかによって異なります。システム実行スペースにいる場合、実行コンフィギュレーションはシステム コンフィギュレーションだけで構成されます。コンテキスト実行スペースにいる場合、実行コンフィギュレーションはそのコンテキストだけで構成されます。たとえば、 show running-config コマンドを入力することで、実行コンフィギュレーションをすべて(システムとすべてのコンテキスト)表示することはできません。現在のコンフィギュレーションだけが表示されます。

次の例では、特権 EXEC モードでコンテキストとシステム間の切り替えを行います。

hostname/admin# changeto system
hostname# changeto context customerA
hostname/customerA#
 

次の例では、インターフェイス コンフィギュレーション モードでシステムと管理コンテキスト間の切り替えを行います。実行スペース間で切り替えを行い、コンフィギュレーション サブモードにいる場合、モードは新しい実行スペースでグローバル コンフィギュレーション モードに変わります。

hostname(config-if)# changeto context admin
hostname/admin(config)#

 
関連コマンド

コマンド
説明

admin-context

コンテキストを管理コンテキストに設定します。

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードに入ります。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

character-encoding

WebVPN ポータル ページでのグローバルな文字エンコーディングを指定するには、webvpn コンフィギュレーション モードで character-encoding コマンドを使用します。 no 形式は、
character-encoding アトリビュートの値を削除します。

character-encoding charset

no character-encoding [ charset ]

 
シンタックスの説明

charset

最大 40 文字から成る文字列で、 http://www.iana.org/assignments/character-sets で特定されている有効な文字セットのいずれかに相当するもの。上記のページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。たとえば、iso-8859-1、shift_jis、ibm850 などです。

この文字列は、大文字と小文字が区別されません。コマンド インタプリタは、セキュリティ アプライアンス コンフィギュレーションで、大文字を小文字に変換します。

 
デフォルト

デフォルトの動作や値はありません。このアトリビュートに値がない場合、リモート ブラウザに設定された符号化タイプによって WebVPN ポータル ページの文字セットが決定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

文字エンコーディング (「文字コーディング」または「文字セット」ともいいます)は、未加工のデータ(0 と 1 からなるデータなど)と、そのデータを表す文字をペアにする方式です。使用する文字エンコーディング方式は、言語によって決まります。1 つの方式を使用する言語も、そうではない言語もあります。通常、ブラウザによって使用されるデフォルトのエンコーディング方式は、地理的な地域によって決まりますが、ユーザはそれを変更できます。ブラウザは、ページで指定されているエンコーディングを検出し、それに応じて文書を表示することもできます。
character-encoding アトリビュートを使用すると、WebVPN ポータル ページ上に文字エンコーディング方式の値を指定し、ユーザがブラウザを使用している地域やブラウザに行った変更にかかわらず、ページがブラウザで適切に表示されるようにできます。

character-encoding アトリビュートは、デフォルトでは、すべての WebVPN ポータル ページに継承されるグローバルな設定です。ただし、character-encoding アトリビュートの値と異なる文字エンコーディングを使用する Common Internet File System サーバの file-encoding アトリビュートを上書きすることはできます。異なる文字エンコーディングを必要とする CIFS サーバ用に対して、異なる file-encoding 値を使用できます。

CIFS サーバから WebVPN ユーザにダウンロードされた WebVPN ポータル ページは、サーバを識別する WebVPN file-encoding アトリビュートの値を符号化します。符号化が行われなかった場合は、character-encoding アトリビュートの値を継承します。リモート ユーザのブラウザは、この値を文字エンコーディング セットのエントリにマッピングして、使用する適切な文字セットを決定します。WebVPN コンフィギュレーションで CIFS サーバ用の file-encoding エントリが指定されてなく、character-encoding アトリビュートも設定されていない場合、WebVPN ポータル ページは値を指定しません。WebVPN ポータル ページが文字エンコーディングを指定しない場合、またはブラウザがサポートしていない文字エンコーディング値を指定した場合、リモート ブラウザはブラウザ自身のデフォルト エンコーディングを使用します。

CIFS サーバに適切な文字エンコーディングを、広域的には webvpn character-encoding アトリビュートによって、個別的には file-encoding の上書きによってマッピングすることで、ページと同様にファイル名やディレクトリ パスを適切にレンダリングすることが必要な場合には、CIFS ページの正確な処理と表示が可能になります。


) character-encoding の値および file-encoding の値は、ブラウザによって使用されるフォント ファミリを排除するものではありません。日本語 Shift_JIS 文字エンコーディングを使用している場合、フォント ファミリを入れ替えるには、次の例で示すように webvpn カスタマイゼーション コマンド モードで page style コマンドを使用してこれらの値の設定を含めるか、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力してフォント ファミリを削除する必要があります。


次の例では、日本語 Shift_JIS 文字をサポートするように character-encoding アトリビュートを設定し、フォント ファミリを削除し、デフォルトの背景色を保持しています。

hostname(config)# webvpn
hostname(config-webvpn)# character-encoding shift_jis
F1-asa1(config-webvpn)# customization DfltCustomization
F1-asa1(config-webvpn-custom)# page style background-color:white
F1-asa1(config-webvpn-custom)#
 

 
関連コマンド

コマンド
説明

file-encoding

このアトリビュートの値を上書きするために、CIFS サーバと、関連付ける文字エンコーディングを指定します。

show running-config [ all ] webvpn

WebVPN の実行コンフィギュレーションを表示します。デフォルトのコンフィギュレーションを含めるには、 all キーワードを使用します。

debug webvpn cifs

CIFS についてのデバッグ メッセージを表示します。

checkheaps

チェックヒープ確認の間隔を設定するには、グローバル コンフィギュレーション モードで
checkheaps
コマンドを使用します。値をデフォルトに設定するには、このコマンドの no 形式を使用します。チェックヒープは、ピープ メモリ バッファ(ダイナミック メモリはシステム ヒープ メモリ領域から割り当てられる)の健全性およびコード領域の完全性を確認する定期的なプロセスです。

checkheaps { check-interval | validate-checksum } seconds

no checkheaps { check-interval | validate-checksum } [ seconds ]

 
シンタックスの説明

check-interval

バッファ確認の間隔を設定します。バッファ確認のプロセスはヒープ(割り当てられ、解放されたメモリ バッファ)の健全性を確認します。プロセスをそれぞれ呼び出している間、セキュリティ アプライアンスは各メモリ バッファを確認し、ヒープ全体をチェックします。不一致がある場合、セキュリティ アプライアンスは「allocated buffer error」または「free buffer error」を発行します。エラーがある場合、セキュリティ アプライアンスは可能であればトレースバック情報をダンプし、リロードします。

validate-checksum

コード スペース チェックサム確認の間隔を設定します。セキュリティ アプライアンスは、最初の起動時にコード全体のハッシュを計算します。その後、定期チェックの間に、セキュリティ アプライアンスは新しいハッシュを生成し、最初のハッシュと比較します。ミスマッチがある場合、セキュリティ アプライアンスは「text checksum checkheaps error」を発行します。エラーがある場合、セキュリティ アプライアンスは可能であればトレースバック情報をダンプし、リロードします。

seconds

1 ~ 2,147,483 の間隔を秒単位で指定します。

 
デフォルト

デフォルトの間隔はそれぞれ 60 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例では、バッファ割り当ての間隔を 200 秒に設定し、コード スペース チェックサムの間隔を 500 秒に設定します。

hostname(config)# checkheaps check-interval 200
hostname(config)# checkheaps validate-checksum 500
 

 
関連コマンド

コマンド
説明

show checkheaps

チェックヒープ統計情報を表示します。

check-retransmission

TCP 再送信スタイルの攻撃を防止するには、tcp マップ コンフィギュレーション モードで check-retransmission コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

check-retransmission

no check-retransmission

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

tcp マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP 検査をカスタマイズします。 policy-map コマンドを使用して新しい TCP マップを適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。矛盾する再送信のエンド システムの解釈によって発生する TCP 再送信スタイルの攻撃を防止するには、tcp マップ コンフィギュレーション モードで check-retransmission コマンドを使用します。

セキュリティ アプライアンスは、再送信内のデータが元のデータと同じであるかどうかを確認しようとします。データが一致しない場合、接続はセキュリティ アプライアンスによってドロップされます。この機能がイネーブルの場合、TCP 接続上のパケットは、順番に許可されます。詳細については、 queue-limit コマンドを参照してください。

次の例では、すべての TCP フロー上で、TCP check-retransmission 機能をイネーブルにします。

hostname(config)# access-list TCP extended permit tcp any any
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# check-retransmission
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

help

policy-map class 、および description コマンドのシンタックス ヘルプを表示します。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

set connection

接続値を設定します。

tcp-map

TCP マップを作成し、tcp マップ コンフィギュレーション モードにアクセスできるようにします。

checksum-verification

TCP チェックサムの確認をイネーブルまたはディセーブルにするには、tcp マップ コンフィギュレーション モードで checksum-verification コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

checksum-verification

no checksum-verification

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

チェックサムの確認は、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

tcp マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP 検査をカスタマイズします。 policy-map コマンドを使用して新しい TCP マップを適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで checksum-verification コマンドを使用して、TCP チェックサムの確認をイネーブルにします。チェックが失敗した場合、パケットはドロップされます。

次の例では、10.0.0.0 ~ 20.0.0.0 の TCP 接続上で TPC チェックサムの確認をイネーブルにします。

hostname(config)# access-list TCP1 extended permit tcp 10.0.0.0 255.0.0.0 20.0.0.0 255.0.0.0
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# checksum-verification
 
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP1
 
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
 
hostname(config)# service-policy pmap global

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

help

policy-map class 、および description コマンドのシンタックス ヘルプを表示します。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

set connection

接続値を設定します。

tcp-map

TCP マップを作成し、tcp マップ コンフィギュレーション モードにアクセスできるようにします。

class

セキュリティ コンテキストを割り当てるリソース クラスを作成するには、グローバル コンフィギュレーション モードで class コマンドを使用します。クラスを削除するには、このコマンドの no 形式を使用します。

class name

no class name

 
シンタックスの説明

name

クラスの名前を 20 文字までの文字列で指定します。デフォルト クラスの制限を設定する場合は、 default という名前を入力します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

デフォルトでは、コンテキストごとの上限値が適用されていない限り、すべてのセキュリティ コンテキストがセキュリティ アプライアンスのリソースに無制限にアクセスできます。ただし、1 つまたは複数のコンテキストがリソースを大量に消費しているために、他のコンテキストで接続が拒否されていることが分かった場合などは、リソース管理を設定することによって、リソースの使用をコンテキストごとに制限できます。

セキュリティ アプライアンスでは、コンテキストをリソース クラスに割り当てることでリソースを管理します。各コンテキストは、クラスによって設定されるリソース制限値を使用します。

クラスを作成すると、セキュリティ アプライアンスによって、そのクラスに割り当てるそれぞれのコンテキスト分のリソースを確保するのではなく、使用できるリソースの上限が設定されます。リソースをオーバーサブスクライブした場合や、一部のリソースを無制限に許可した場合は、いくつかのコンテキストがそれらのリソースを使い果たして、他のコンテキストへのサービスに影響を及ぼす可能性があります。クラス用のリソースの制限を設定する方法については、 limit-resource コマンドを参照してください。

すべてのコンテキストは、別のクラスに割り当てられていない場合、デフォルト クラスに属します。コンテキストをデフォルト クラスに割り当てる必要はありません。

コンテキストがデフォルト クラス以外に属している場合は、常にこのクラスの設定でデフォルト クラスの設定が上書きされます。ただし、そのデフォルト以外のクラスに一切の設定がない場合、そのクラスに属すコンテキストはデフォルト クラスの制限を使用します。たとえば、すべての同時接続についてリソースの上限を 2 パーセントとし、他の制限は設定しないでクラスを作成したとします。その他の制限についてはすべてデフォルト クラスから継承します。逆に、すべてのリソースの制限を設定したクラスを作成した場合は、デフォルト クラスの設定は何も使用されません。

デフォルトでは、次に示すコンテキストあたりの上限を除き、デフォルト クラスの全コンテキストからアクセスできるリソースに制限はありません。

Telnet セッション:5 セッション。

SSH セッション:5 セッション。

MAC アドレス:65,535 エントリ。

次の例では、conns に関するデフォルト クラスの制限値を、無制限から 10% に設定し直しています。

hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
 

他のリソースは、すべて無制限のままです。

gold というクラスを追加するには、次のコマンドを入力します。

hostname(config)# class gold
hostname(config-class)# limit-resource mac-addresses 10000
hostname(config-class)# limit-resource conns 15%
hostname(config-class)# limit-resource rate conns 1000
hostname(config-class)# limit-resource rate inspects 500
hostname(config-class)# limit-resource hosts 9000
hostname(config-class)# limit-resource asdm 5
hostname(config-class)# limit-resource ssh 5
hostname(config-class)# limit-resource rate syslogs 5000
hostname(config-class)# limit-resource telnet 5
hostname(config-class)# limit-resource xlates 36000
 

 
関連コマンド

コマンド
説明

clear configure class

クラス コンフィギュレーションを消去します。

context

セキュリティ コンテキストを設定します。

limit-resource

クラスに対してリソース制限を設定します。

member

リソース クラスにコンテキストを割り当てます。

show class

クラスに割り当てられているコンテキストを表示します。

class(ポリシー マップ)

クラス マップのトラフィックに対するアクションを特定するポリシー マップにクラス マップを割り当てるには、ポリシー マップ コンフィギュレーション モードで class コマンドを使用します。ポリシー マップからクラス マップを削除するには、このコマンドの no 形式を使用します。

class classmap-name

no class classmap-name

 
シンタックスの説明

classmap-name

クラス マップの名前を指定します。レイヤ 3/4 ポリシー マップ( policy-map コマンドを使用)の場合は、レイヤ 3/4 クラス マップの名前( class-map コマンドか class-map type management コマンドを使用)を指定する必要があります。検査ポリシー マップ( policy-map type inspect コマンドを使用)の場合は、検査クラス マップの名前( class-map type inspect コマンドを使用)を指定する必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

コンフィギュレーションは、すべてのトラフィックに一致する「class-default」というクラス マップを必ず含んでいます。どのレイヤ 3/4 ポリシー マップの末尾でも、アクションが何も定義されていない class-default クラス マップがコンフィギュレーションに含まれています。このマップは内部でのみ使用され、修正することはできません。

1 つのポリシー マップで、class-default を含め、 class コマンドと match コマンドを 63 個まで設定できます。

class コマンドでポリシー マップにクラス マップを追加したなら、トラフィックへのアクション(複数可)を定義します。レイヤ 3/4 ポリシー マップのクラス コンフィギュレーション モードでサポートされている機能は、次のとおりです。

TCP 正規化、TCP 接続と UDP 接続の制限およびタイムアウト、TCP シーケンス番号のランダム化

CSC

アプリケーション検査

IPS

QoS ポリシング

QoS プライオリティ キュー

検査ポリシー マップのクラス コンフィギュレーション モードでサポートされている機能は、次のとおりです。

パケットのドロップ

接続のドロップ

接続のリセット

ロギング

メッセージのレートの制限

コンテンツのマスク

次に、 class コマンドを含む、接続ポリシーの policy-map コマンドの例を示します。ここでは、Web サーバ 10.1.1.1 にアクセスできる接続の数を制限しています。

hostname(config)# access-list http-server permit tcp any host 10.1.1.1
hostname(config)# class-map http-server
hostname(config-cmap)# match access-list http-server
 
hostname(config)# policy-map global-policy
hostname(config-pmap)# description This policy map defines a policy concerning connection to http server.
hostname(config-pmap)# class http-server
hostname(config-pmap-c)# set connection conn-max 256
 

次の例では、ポリシー マップで複数一致がどのように機能するかを示しています。

hostname(config)# class-map inspection_default
hostname(config-cmap)# match default-inspection-traffic
hostname(config)# class-map http_traffic
hostname(config-cmap)# match port tcp eq 80
 
hostname(config)# policy-map outside_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect http http_map
hostname(config-pmap-c)# inspect sip
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:10:0
 

次の例では、使用可能な最初のクラス マップにトラフィックが一致し、同じ機能ドメインのアクションを指定している以降のどのクラス マップにも一致しない様子を示しています。

hostname(config)# class-map telnet_traffic
hostname(config-cmap)# match port tcp eq 23
hostname(config)# class-map ftp_traffic
hostname(config-cmap)# match port tcp eq 21
hostname(config)# class-map tcp_traffic
hostname(config-cmap)# match port tcp range 1 65535
hostname(config)# class-map udp_traffic
hostname(config-cmap)# match port udp range 0 65535
hostname(config)# policy-map global_policy
hostname(config-pmap)# class telnet_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:0:0
hostname(config-pmap-c)# set connection conn-max 100
hostname(config-pmap)# class ftp_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:5:0
hostname(config-pmap-c)# set connection conn-max 50
hostname(config-pmap)# class tcp_traffic
hostname(config-pmap-c)# set connection timeout tcp 2:0:0
hostname(config-pmap-c)# set connection conn-max 2000
 

Telnet 接続を開始すると、 class telnet_traffic が照合されます。同様に、FTP 接続を開始すると、 class ftp_traffic が照合されます。Telnet と FTP 以外の TCP 接続では、 class tcp_traffic が照合されます。Telnet 接続や FTP 接続を class tcp_traffic と照合できますが、すでに他のクラスと照合されているので、セキュリティ アプライアンスはこれらの接続を照合しません。

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

class-map type management

管理トラフィック用のレイヤ 3/4 クラス マップを作成します。

clear configure policy-map

service-policy コマンドで使用されているポリシー マップを除く、すべてのポリシー マップ コンフィギュレーションを削除します。

match

トラフィックの照合用パラメータを定義します。

policy-map

ポリシー(それぞれ 1 つまたは複数のアクションがある 1 つまたは複数のトラフィック クラスのアソシエーション)を設定します。

class-map

モジュラ ポリシー フレームワークを使用しているときに、アクションを適用するレイヤ 3 または 4 トラフィックを特定するには、グローバル コンフィギュレーション モードで class-map コマンドを type キーワードなしで使用します。クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map class_map_name

no class-map class_map_name

 
シンタックスの説明

class_map_name

最大 40 文字のクラス マップ名を指定します。「class-default」という名前と、「_internal」または「_default」で始まる名前は予約されています。すべてのタイプのクラス マップが同じネーム スペースを使用しているため、他のタイプのクラス マップですでに使用されている名前は再使用できません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このタイプのクラス マップは、レイヤ 3/4 の通過トラフィック専用です。セキュリティ アプライアンス宛ての管理トラフィックのクラス マップについては、 class-map type management コマンドを参照してください。

コンフィギュレーションは、すべてのトラフィックに一致する「class-default」というクラス マップを必ず含んでいます。どのレイヤ 3/4 ポリシー マップの末尾でも、アクションが何も定義されていない class-default クラス マップがコンフィギュレーションに含まれています。このマップは内部でのみ使用され、修正することはできません。

レイヤ 3/4 クラス マップでは、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。すべてのタイプのクラス マップの最大数は、シングルモードでは 255 個、マルチモードではコンテキストごとに 255 個です。このコンフィギュレーションは、セキュリティ アプライアンスがデフォルト グローバル ポリシーで使用するデフォルトのレイヤ 3/4 クラス マップを含みます。このクラス マップは inspection_default といい、デフォルトの検査トラフィックを照合します。

class-map inspection_default
match default-inspection-traffic
 

各レイヤ 3/4 ポリシー マップに複数のレイヤ 3/4 クラス マップを作成できます。

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. (アプリケーション検査のみ) policy-map type inspect コマンドを使用して、アプリケーション検査トラフィックのための特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスに対するアクションを有効にします。

class-map コマンドを使用して、クラス マップ コンフィギュレーション モードに入ります。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。レイヤ 3/4 クラス マップには、 match tunnel-group コマンドと match default-inspection-traffic コマンド以外に、クラス マップに含まれるトラフィックを特定する match コマンドを 1 つだけ指定できます。

次の例では、レイヤ 3/4 クラス マップを 4 つ作成します。

hostname(config)# access-list udp permit udp any any
hostname(config)# access-list tcp permit tcp any any
hostname(config)# access-list host_foo permit ip any 10.1.1.1 255.255.255.255
 
hostname(config)# class-map all_udp
hostname(config-cmap)# description "This class-map matches all UDP traffic"
hostname(config-cmap)# match access-list udp
 
hostname(config-cmap)# class-map all_tcp
hostname(config-cmap)# description "This class-map matches all TCP traffic"
hostname(config-cmap)# match access-list tcp
 
hostname(config-cmap)# class-map all_http
hostname(config-cmap)# description "This class-map matches all HTTP traffic"
hostname(config-cmap)# match port tcp eq http
 
hostname(config-cmap)# class-map to_server
hostname(config-cmap)# description "This class-map matches all traffic to server 10.1.1.1"
hostname(config-cmap)# match access-list host_foo
 

 
関連コマンド

コマンド
説明

class-map type management

セキュリティ アプライアンスに対するトラフィックのクラス マップを作成します。

policy-map

トラフィック クラスを 1 つまたは複数のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

service-policy

ポリシー マップを 1 つまたは複数のインターフェイスと関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

class-map type inspect

モジュラ ポリシー フレームワークの使用時に、検査アプリケーションに固有の照合基準を作成するには、グローバル コンフィギュレーション モードで class-map type inspect コマンドを使用します。検査のクラス マップを削除するには、このコマンドの no 形式を使用します。

class-map type inspect application [ match-all] class_map_name

no class-map [ type inspect application [ match-all ]] class_map_name

 
シンタックスの説明

application

照合するアプリケーション トラフィックのタイプを指定します。指定できるタイプは、次のとおりです。

dns

ftp

h323

http

im

sip

class_map_name

最大 40 文字のクラス マップ名を指定します。「class-default」という名前と、「_internal」または「_default」で始まる名前は予約されています。すべてのタイプのクラス マップが同じネーム スペースを使用しているため、他のタイプのクラス マップですでに使用されている名前は再使用できません。

match-all

(オプション)トラフィックがクラス マップと一致するには、すべての基準を満たす必要があることを指定します。 match-all がデフォルトで、他にオプションはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを利用すると、数多くのアプリケーション検査のための特別なアクションを設定できます。レイヤ 3/4 ポリシー マップで検査エンジンをイネーブルにする場合は、 inspection policy map で定義するアクションをイネーブルにすることもできます( policy-map type inspect コマンドを参照)。

検査ポリシー マップを設定するときに、検査クラス マップを作成することにより、処理の対象になるトラフィックを特定できます。クラス マップには、1 つまたは複数の match コマンドを含めます(1 つの検査ポリシー マップとアクションを対にする場合は、検査ポリシー マップ内で直接 match コマンドを使用します)。アプリケーションに固有の照合基準を指定できます。たとえば、DNS トラフィックでは、DNS クエリーのドメイン名を照合できます。

クラス マップは、トラフィックの複数の照合基準をグループにまとめたものです。トラフィックがクラス マップと一致するには、 すべて match コマンドで指定した基準と一致しなければなりません。クラス マップを作成する場合と、検査ポリシー マップで直接トラフィックの照合を定義する場合の違いは、クラス マップでは複数の照合基準をグループにまとめられることと、クラス マップを再利用できることです。このクラス マップで特定されるトラフィックには、検査ポリシー マップで指定されている接続のドロップ、リセット、ログの記録などのアクションを指定できます。

次の例では、HTTP の検査クラス マップを作成します。

hostname(config)# class-map type inspect http match-all test
hostname(config-cmap)# match req-resp content-type mismatch
hostname(config-cmap)# match request body length gt 1000
hostname(config-cmap)# match not request args regex regex1
 

 
関連コマンド

コマンド
説明

class-map

通過トラフィックのためのレイヤ 3/4 クラス マップを作成します。

policy-map

トラフィック クラスを 1 つまたは複数のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

service-policy

ポリシー マップを 1 つまたは複数のインターフェイスと関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

class-map type management

モジュラ ポリシー フレームワークを使用しているときに、セキュリティ アプライアンス宛てのレイヤ 3 または 4 のどの管理トラフィックにアクションを適用するかを指定するには、グローバル コンフィギュレーション モードで class-map type management コマンドを使用します。クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map type management class_map_name

no class-map type management class_map_name

 
シンタックスの説明

class_map_name

最大 40 文字のクラス マップ名を指定します。「class-default」という名前と、「_internal」または「_default」で始まる名前は予約されています。すべてのタイプのクラス マップが同じネーム スペースを使用しているため、他のタイプのクラス マップですでに使用されている名前は再使用できません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このタイプのクラス マップは、管理トラフィック専用です。通過トラフィックについては、 class-map コマンド( type キーワードなし)を参照してください。

セキュリティ アプライアンスに対する管理トラフィックでは、この種類のトラフィック特有の処理が必要な場合があります。ポリシー マップの管理クラス マップに指定できるアクションは、管理トラフィック専用です。たとえば、RADIUS アカウンティング トラフィックを検査できます。

レイヤ 3/4 クラス マップでは、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。すべてのタイプのクラス マップの最大数は、シングルモードでは 255 個、マルチモードではコンテキストごとに 255 個です。

各レイヤ 3/4 ポリシー マップに複数のレイヤ 3/4 クラス マップ(管理トラフィックまたは通過トラフィック)を作成できます。

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. (アプリケーション検査のみ) policy-map type inspect コマンドを使用して、アプリケーション検査トラフィックのための特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスに対するアクションを有効にします。

class-map type management コマンドを使用して、クラス マップ コンフィギュレーション モードに入ります。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。TCP ポートまたは UDP ポートだけを照合する管理クラス マップを指定できます。レイヤ 3/4 クラス マップには、クラス マップに含めるトラフィックを特定する match コマンドを 1 つだけ指定できます。

次の例では、レイヤ 3/4 管理クラス マップを作成します。

hostname(config)# class-map type management radius_acct
hostname(config-cmap)# match port tcp eq 10000
 

 
関連コマンド

コマンド
説明

class-map

通過トラフィックのためのレイヤ 3/4 クラス マップを作成します。

policy-map

トラフィック クラスを 1 つまたは複数のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

service-policy

ポリシー マップを 1 つまたは複数のインターフェイスと関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

class-map type regex

モジュラ ポリシー フレームワークを使用しているときに、照合するテキストの正規表現をグループにまとめるには、グローバル コンフィギュレーション モードで class-map type regex コマンドを使用します。正規表現のクラス マップを削除するには、このコマンドの no 形式を使用します。

class-map type regex match-any class_map_name

no class-map [ type regex match-any ] class_map_name

 
シンタックスの説明

class_map_name

最大 40 文字のクラス マップ名を指定します。「class-default」という名前と、「_internal」または「_default」で始まる名前は予約されています。すべてのタイプのクラス マップが同じネーム スペースを使用しているため、他のタイプのクラス マップですでに使用されている名前は再使用できません。

match-any

トラフィックが正規表現のいずれか 1 つにでも一致すると、クラス マップと一致したと見なすことを指定します。 match-any が唯一のオプションです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを利用すると、数多くのアプリケーション検査のための特別なアクションを設定できます。レイヤ 3/4 ポリシー マップで検査エンジンをイネーブルにする場合は、 inspection policy map で定義するアクションをイネーブルにすることもできます( policy-map type inspect コマンドを参照)。

検査ポリシー マップでは、1 つ以上の match コマンドを含んだ検査クラス マップを作成することで、アクションの実行対象となるトラフィックを指定できます。または、 match コマンドを検査ポリシー マップ内で直接使用することもできます。一部の match コマンドでは、パケットに含まれているテキストを正規表現を使用して識別できます。たとえば、HTTP パケットに含まれている URL 文字列と一致するかどうかを確認できます。正規表現は、正規表現クラス マップ内にグループにまとめます。

正規表現のクラス マップを作成する前に、 regex コマンドを使用して正規表現を作成します。次に、クラス マップ コンフィギュレーション モードで match regex コマンドを使用して、指定の正規表現を特定します。

次の例では、正規表現を 2 つ作成し、1 つの正規表現クラス マップに追加します。トラフィックに「example.com」か「example2.com」という文字列が含まれていると、このトラフィックはクラス マップと一致します。

hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
hostname(config)# class-map type regex match-any URLs
hostname(config-cmap)# match regex example
hostname(config-cmap)# match regex example2
 

 
関連コマンド

コマンド
説明

class-map type inspect

アプリケーション固有のトラフィックに一致するかどうかを調べるための検査クラス マップを作成します。

policy-map

トラフィック クラスを 1 つまたは複数のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

service-policy

ポリシー マップを 1 つまたは複数のインターフェイスと関連付けることによって、セキュリティ ポリシーを作成します。

regex

正規表現を作成します。

clear aaa local user fail-attempts

ユーザのロックアウト ステータスを変更せずに、失敗したユーザ認証試行の回数を 0 にリセットするには、特権 EXEC モードで clear aaa local user fail-attempts コマンドを使用します。

clear aaa local user authentication fail-attempts { username name | all }

 
シンタックスの説明

all

すべてのユーザの失敗試行カウンタを 0 にリセットします。

name

失敗試行カウンタが 0 にリセットされる特定のユーザ名を指定します。

username

後続のパラメータが、失敗試行カウンタが 0 にリセットされるユーザ名であることを示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ユーザが数回認証に失敗した場合は、このコマンドを使用します。ただし、たとえば、コンフィギュレーションが最近変更された場合などは、カウンタを 0 にリセットします。

認証試行の失敗が設定された回数を超えると、ユーザはシステムからロックアウトされ、システム管理者がユーザ名をアンロックするか、システムをリブートするまで正常にログインできません。

ユーザが正常に認証された場合、またはセキュリティ アプライアンスがリブートした場合は、失敗試行回数が 0 にリセットされ、ロックアウト ステータスが No にリセットされます。

ユーザ名のロックまたはアンロックにより、syslog メッセージが生成されます。

特権レベル 15 のシステム管理者は、ロックアウトされません。

次の例では、 clear aaa local user authentication fail-attempts コマンドを使用して、ユーザ名 anyuser の失敗試行カウンタを 0 にリセットする方法を示します。

hostname(config)# clear aaa local user authentication fail-attempts username anyuser
hostname(config)#
 

次の例では、 clear aaa local user authentication fail-attempts コマンドを使用して、すべてのユーザの失敗試行カウンタを 0 にリセットする方法を示します。

hostname(config)# clear aaa local user authentication fail-attempts all
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

ユーザ認証試行の失敗が許可される回数の制限を設定します。

clear aaa local user lockout

ユーザのロックアウト ステータスを変更せずに、失敗したユーザ認証試行の回数を 0 にリセットします。

show aaa local user [locked]

現在ロックされているユーザ名のリストを表示します。

clear aaa local user lockout

指定したユーザのロックアウト ステータスを消去し、失敗試行カウンタを 0 にリセットするには、特権 EXEC モードで clear aaa local user lockout コマンドを使用します。

clear aaa local user lockout { username name | all}

 
シンタックスの説明

all

すべてのユーザの失敗試行カウンタを 0 にリセットします。

name

失敗試行カウンタが 0 にリセットされる特定のユーザ名を指定します。

username

後続のパラメータが、失敗試行カウンタが 0 にリセットされるユーザ名であることを示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

username オプションを使用してユーザを 1 人だけ指定することも、 all オプションを使用してすべてのユーザを指定することもできます。

このコマンドは、ロックアウトされているユーザのステータスだけに影響を及ぼします。

管理者は、デバイスからロックアウトされません。

ユーザ名のロックまたはアンロックにより、syslog メッセージが生成されます。

次の例では、 clear aaa local user lockout コマンドを使用してロックアウト状態を消去し、ユーザ名 anyuser の失敗試行カウンタを 0 にリセットする方法を示します。

hostname(config)# clear aaa local user lockout username anyuser
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

ユーザ認証試行の失敗が許可される回数の制限を設定します。

clear aaa local user fail-attempts

ユーザのロックアウト ステータスを変更せずに、失敗したユーザ認証試行の回数を 0 にリセットします。

show aaa local user [locked]

現在ロックされているユーザ名のリストを表示します。

clear aaa-server statistics

AAA サーバの統計情報をリセットするには、特権 EXEC モードで clear aaa-server statistics コマンドを使用します。

clear aaa-server statistics [ LOCAL | groupname [ host hostname ] | protocol protocol ]

 
シンタックスの説明

LOCAL

(オプション)LOCAL ユーザ データベースの統計情報を消去します。

groupname

(オプション)グループ内のサーバの統計情報を消去します。

host hostname

(オプション)グループ内の特定のサーバの統計情報を消去します。

protocol protocol

(オプション)次の特定のプロトコルのサーバの統計情報を消去します。

kerberos

ldap

nt

radius

sdi

tacacs+

 
デフォルト

すべてのグループのすべての AAA サーバ統計情報を削除します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

CLI ガイドラインに沿うように、このコマンドが変更されました。プロトコルの値の nt-domain nt に、 rsa-ace sdi に置き換えられました。

次のコマンドは、グループ内の特定のサーバの AAA 統計情報をリセットする方法を示しています。

hostname(config)# clear aaa-server statistics svrgrp1 host 1.2.3.4
 

次のコマンドは、1 つのサーバ グループ全体の AAA 統計情報をリセットする方法を示しています。

hostname(config)# clear aaa-server statistics svrgrp1
 

次のコマンドは、すべてのサーバ グループの AAA 統計情報をリセットする方法を示しています。

hostname(config)# clear aaa-server statistics
 

次のコマンドは、特定のプロトコル(この場合は TACACS+)の AAA 統計情報をリセットする方法を示しています。

hostname(config)# clear aaa-server statistics protocol tacacs+

 
関連コマンド

コマンド
説明

aaa-server protocol

AAA サーバ接続データのグループ化を指定および管理します。

clear configure aaa-server

デフォルト以外のすべての aaa サーバ グループを削除、または指定したグループを消去します。

show aaa-server

AAA サーバの統計情報を表示します。

show running-config aaa-server

現在の AAA サーバのコンフィギュレーション値を表示します。

clear access-group

すべてのインターフェイスからアクセス グループを削除するには、 clear access-group コマンドを使用します。

clear access-group

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次の例では、すべてのアクセス グループを削除する方法を示します。

hostname(config)# clear access-group
 

 
関連コマンド

コマンド
説明

access-group

アクセス リストをインターフェイスにバインドします。

show running-config access-group

現在のアクセス グループ コンフィギュレーションを表示します。

clear access-list

アクセス リスト カウンタを消去するには、グローバル コンフィギュレーション モードで clear access-list コマンドを使用します。

clear access-list [ id ] counters

 
シンタックスの説明

counters

アクセス リスト カウンタを消去します。

id

(オプション)アクセス リストの名前または番号。

 
デフォルト

すべてのアクセス リスト カウンタが消去されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

clear access-list コマンドを入力するときに id を指定しないと、すべてのアクセス リスト カウンタが消去されます。

次の例では、特定のアクセス リスト カウンタを消去する方法を示します。

hostname# clear access-list inbound counters
 

 
関連コマンド

コマンド
説明

access-list extended

アクセス リストをコンフィギュレーションに追加し、ファイアウォールを通過する IP トラフィック用のポリシーを設定します。

access-list standard

アクセス リストを追加して、OSPF 再配布のルートマップに使用できる、OSPF ルートの宛先 IP アドレスを指定します。

clear configure access-list

実行コンフィギュレーションからアクセス リストを消去します。

show access-list

アクセス リストのエントリを番号別に表示します。

show running-config access-list

セキュリティ アプライアンスで実行されているアクセス リスト コンフィギュレーションを表示します。

clear arp

ダイナミック ARP エントリまたは ARP 統計情報を消去するには、特権 EXEC モードで clear arp コマンドを使用します。

clear arp [ statistics ]

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次の例では、ARP 統計情報をすべて消去します。

hostname# clear arp statistics
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

透過ファイアウォール モードで、ARP パケットを調べて ARP スプーフィングを防止します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

clear asp drop

アクセラレーション セキュリティ パスのドロップ統計情報を消去するには、特権 EXEC モードで clear asp drop コマンドを使用します。

clear asp drop [ flow type | frame type ]

 
シンタックスの説明

flow

(オプション)ドロップされたフロー統計情報を消去します。

frame

(オプション)ドロップされたパケット統計情報を消去します。

type

(オプション)特定のプロセスのドロップされたフローまたはパケットの統計情報を消去します。タイプのリストについては、「 使用上のガイドライン 」を参照してください。

 
デフォルト

デフォルトでは、このコマンドはすべてのドロップ統計情報を消去します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

プロセス タイプには、次のものがあります。

acl-drop
audit-failure
closed-by-inspection
conn-limit-exceeded
fin-timeout
flow-reclaimed
fo-primary-closed
fo-standby
fo_rep_err
host-removed
inspect-fail
ips-fail-close
ips-request
ipsec-spoof-detect
loopback
mcast-entry-removed
mcast-intrf-removed
mgmt-lockdown
nat-failed
nat-rpf-failed
need-ike
no-ipv6-ipsec
non_tcp_syn
out-of-memory
parent-closed
pinhole-timeout
recurse
reinject-punt
reset-by-ips
reset-in
reset-oout
shunned
syn-timeout
tcp-fins
tcp-intecept-no-response
tcp-intercept-kill
tcp-intercept-unexpected
tcpnorm-invalid-syn
tcpnorm-rexmit-bad
tcpnorm-win-variation
timeout
tunnel-pending
tunnel-torn-down
xlate-removed

次の例では、ドロップ統計情報をすべて消去します。

hostname# clear asp drop
 

 
関連コマンド

コマンド
説明

show asp drop

ドロップされたパケットのアクセラレーション セキュリティ パス カウンタを表示します。

clear blocks

最低水準点や履歴情報などのパケット バッファ カウンタをリセットするには、特権 EXEC モードで clear blocks コマンドを使用します。

clear blocks

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

最低水準点カウンタを各プール内で現在使用可能なブロックにリセットします。また、前回のバッファ割り当ての失敗時に保存された履歴情報も消去します。

次の例では、ブロックを消去します。

hostname# clear blocks
 

 
関連コマンド

コマンド
説明

blocks

ブロック診断に割り当てられているメモリを増やします。

show blocks

システム バッファの使用状況を表示します。

clear-button

WebVPN ユーザがセキュリティ アプライアンスに接続したときに表示される WebVPN ページ ログイン ボックスの Clear ボタンをカスタマイズするには、webvpn カスタマイゼーション モードで clear-button コマンドを使用します。

clear-button { text | style } value

[ no ] clear-button { text | style } value

このコマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

 
シンタックスの説明

text

テキストを変更することを指定します。

style

スタイルを変更することを指定します。

value

実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

 
デフォルト

デフォルトのテキストは「Clear」です。

デフォルトのスタイルは border:1px solid black;background-color:white;font-weight:bold;font-size:80% です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

Webvpn カスタマイゼーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

style オプションは、有効な Cascading Style Sheet(CSS)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。


次の例では、Clear ボタンのデフォルトの背景色を黒から青に変更しています。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# clear-button style background-color:blue
 

 
関連コマンド

コマンド
説明

login-button

WebVPN ページ Login ボックスのログイン ボタンをカスタマイズします。

login-title

WebVPN ページ Login ボックスのタイトルをカスタマイズします。

group-prompt

WebVPN ページ Login ボックスのグループ プロンプトをカスタマイズします。

password-prompt

WebVPN ページ Login ボックスのパスワード プロンプトをカスタマイズします。

username-prompt

WebVPN ページ Login ボックスのユーザ名プロンプトをカスタマイズします。

clear capture

キャプチャ バッファを消去するには、 clear capture capture_name コマンドを使用します。

clear capture capture_name

 
シンタックスの説明

capture_name

パケット キャプチャの名前。

 
デフォルト

このコマンドにデフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権モード

 
コマンド履歴

リリース
変更内容

7.0

このコマンドがサポートされるようになりました。

 
使用上のガイドライン

誤ってすべてのパケット キャプチャを消去することがないように、 clear capture の短縮形( cl cap clear cap など)はサポートされていません。

次の例では、キャプチャ バッファ「trudy」のキャプチャ バッファを消去する方法を示します。

hostname(config)# clear capture trudy
 

 
関連コマンド

コマンド
説明

capture

パケット キャプチャ機能を有効にして、パケットのスニッフィングやネットワーク障害を検出できるようにします。

show capture

オプションが何も指定されていない場合は、キャプチャのコンフィギュレーションを表示します。

clear compression

すべての SVC および WebVPN 接続についての圧縮統計情報を消去するには、特権 EXEC モードで clear compression コマンドを使用します。

clear compression { all | svc | http-comp }

 
デフォルト

このコマンドには、デフォルトの動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

次の例では、ユーザは圧縮コンフィギュレーションを消去します。

hostname#(config) clear configure compression
 

 
関連コマンド

コマンド
説明

compression

すべての SVC および WebVPN 接続の圧縮をイネーブルにします。

svc compression

SVC 接続上のデータの圧縮を特定のグループまたはユーザに対してイネーブルにします。