Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド リファレンス
tcp-map コマンド~ type echo コマンド
tcp-map コマンド~ type echo コマンド
発行日;2012/02/24 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 24MB) | フィードバック

目次

tcp-map コマンド~ type echo コマンド

tcp-map

tcp-options

telnet

terminal

terminal pager

terminal width

test aaa-server

test dynamic-access-policy attributes

test dynamic-access-policy execute

test regex

test sso-server

text-color

tftp-server

threat-detection basic-threat

threat-detection rate

threat-detection scanning-threat

threat-detection statistics

threshold

timeout

timeout(AAA サーバ ホスト)

timeout(dns サーバ グループ コンフィギュレーション モード)

timeout(GTP マップ)

timeout(RADIUS アカウンティング)

timeout(SLA モニタ)

timeout pinhole

time-range

timers lsa-group-pacing

timers spf

title

tls-proxy

tos

traceroute

track rtr

traffic-non-sip

transfer-encoding

trust-point

trustpoint(SSO サーバ)

tsig enforced

ttl-evasion-protection

tunnel-group

tunnel-group general-attributes

tunnel-group ipsec-attributes

tunnel-group ppp-attributes

tunnel-group webvpn-attributes

tunnel-group-map default-group

tunnel-group-map enable

tunnel-limit

tx-ring-limit

type echo

tcp-map コマンド~ type echo コマンド

tcp-map

一連の TCP 正規化アクションを定義するには、グローバル コンフィギュレーション モードで tcp-map コマンドを使用します。TCP 正規化機能により、異常なパケットを識別する基準を指定できます。これにより、異常なパケットが検出されるとセキュリティ アプライアンスによってドロップされます。TCP マップを削除するには、このコマンドの no 形式を使用します。

tcp-map map_name

no tcp-map map_name

 
シンタックスの説明

map_name

TCP マップ名を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

この機能では、モジュラー ポリシー フレームワークを使用します。最初に tcp-map コマンドを使用して、実行する TCP 正規化アクションを定義します。 tcp-map コマンドを実行すると、tcp マップ コンフィギュレーション モードが開始されます。このモードでは、TCP 正規化アクションを定義する 1 つ以上のコマンドを入力できます。次に、 class-map コマンドを使用して、TCP マップを適用するトラフィックを定義します。 policy-map コマンドを入力してポリシーを定義し、 class コマンドを入力してクラス マップを参照します。クラス コンフィギュレーション モードで、 set connection advanced-options コマンドを入力して TCP マップを参照します。最後に、 service-policy コマンドを使用して、インターフェイスにポリシー マップを適用します。モジュラー ポリシー フレームワークの動作方法については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。

次のコマンドを tcp マップ コンフィギュレーション モードで使用できます。

 

check-retransmission

再転送データのチェックをイネーブルおよびディセーブルにします。

checksum-verification

チェックサムの確認をイネーブルおよびディセーブルにします。

exceed-mss

ピアにより設定された MSS を超過したパケットを許可またはドロップします。

queue-limit

TCP 接続のキューに入れることができる順序付けされていないパケットの最大数を設定します。このコマンドは、ASA 5500 シリーズ適応型セキュリティ アプライアンスでのみ使用できます。PIX 500 シリーズのセキュリティ アプライアンスでは、キューに入れられるパケットは 3 つまでで、この数を変更することはできません。

reserved-bits

セキュリティ アプライアンスに予約済みフラグ ポリシーを設定します。

syn-data

データを持つ SYN パケットを許可またはドロップします。

tcp-options

selective-ack、timestamp、window-scale の各 TCP オプションを許可または消去します。

ttl-evasion-protection

セキュリティ アプライアンスにより提供された TTL 回避保護をイネーブルまたはディセーブルにします。

urgent-flag

セキュリティ アプライアンスを通して URG ポインタを許可または消去します。

window-variation

突然ウィンドウ サイズが変更された接続をドロップします。

たとえば、既知の FTP データ ポートと Telnet ポート間の TCP ポートの範囲に送信されるトラフィックすべての緊急フラグおよび緊急オフセット パケットを許可するには、次のコマンドを入力します。

hostname(config)# tcp-map tmap
hostname(config-tcp-map)# urgent-flag allow
 
hostname(config-tcp-map)# class-map urg-class
hostname(config-cmap)# match port tcp range ftp-data telnet
 
hostname(config-cmap)# policy-map pmap
hostname(config-pmap)# class urg-class
hostname(config-pmap-c)# set connection advanced-options tmap
 
hostname(config-pmap-c)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class(ポリシー マップ)

トラフィック分類に使用するクラス マップを指定します。

clear configure tcp-map

TCP マップのコンフィギュレーションを消去します。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

show running-config tcp-map

TCP マップ コンフィギュレーションに関する情報を表示します。

tcp-options

selective-ack、timestamp、window-scale の各 TCP オプションを許可または消去します。

tcp-options

セキュリティ アプライアンスを通して TCP オプションを許可または消去するには、tcp マップ コンフィギュレーション モードで tcp-options コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

tcp-options { selective-ack | timestamp | window-scale } { allow | clear }

no tcp-options { selective-ack | timestamp | window-scale } { allow | clear }

tcp-options range lower upper { allow | clear | drop }

no tcp-options range lower upper { allow | clear | drop }

 
シンタックスの説明

allow

TCP ノーマライザを通して TCP オプションを許可します。

clear

TCP ノーマライザを通して TCP オプションを消去し、パケットを許可します。

drop

パケットをドロップします。

lower

下位バインド範囲(6 ~ 7)および(9 ~ 255)です。

selective-ack

選択的な確認応答メカニズム(SACK)オプションを設定します。デフォルトでは、SACK オプションを許可します。

timestamp

timestamp オプションを設定します。timestamp オプションを消去すると、PAWS および RTT がディセーブルとなります。デフォルトでは、timestamp オプションを許可します。

upper

上位バインド範囲(6 ~ 7)および(9 ~ 255)です。

window-scale

window scale mechanism オプションを設定します。デフォルトでは、window scale mechanism オプションを許可します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

tcp マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで tcp-options コマンドを使用して、selective-acknowledgement オプション、window-scale オプション、および timestamp TCP オプションを消去します。また、明確に定義されていないオプションを持つパケットも消去またはドロップできます。

次の例では、TCP オプションが 6 ~ 7 および 9 ~ 255 の範囲にあるすべてのパケットをドロップする方法を示します。

hostname(config)# access-list TCP extended permit tcp any any
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# tcp-options range 6 7 drop
hostname(config-tcp-map)# tcp-options range 9 255 drop
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

set connection

接続値を設定します。

tcp-map

TCP マップを作成し、tcp マップ コンフィギュレーション モードにアクセスできるようにします。

telnet

コンソールへの Telnet アクセスを追加して、アイドル タイムアウトを設定するには、グローバル コンフィギュレーション モードで telnet コマンドを使用します。あらかじめ設定された IP アドレスから Telnet アクセスを削除するには、
このコマンドの no 形式を使用します。

telnet {{ hostname | IP_address mask interface_name } | { IPv6_address interface_name } | {timeout number }}

no telnet {{ hostname | IP_address mask interface_name } | { IPv6_address interface_name } | {timeout number } }

 
シンタックスの説明

hostname

セキュリティ アプライアンスの Telnet コンソールにアクセスできるホストの名前を指定します。

interface_name

Telnet へのネットワーク インターフェイスの名前を指定します。

IP_address

セキュリティ アプライアンスへのログインを認可するホストまたはネットワークの IP アドレスを指定します。

IPv6_address

セキュリティ アプライアンスへのログインを認可する IPv6 アドレスおよびプレフィックスを指定します。

mask

IP アドレスに関連付けられているネットマスクを指定します。

timeout number

Telnet セッションがセキュリティ アプライアンスによって停止されるまでにアイドル状態を維持する時間(分)。有効な値は 1 ~ 1,440 分です。

 
デフォルト

デフォルトでは、Telnet セッションのアイドル状態が 5 分間続くと、セキュリティ アプライアンスによって停止されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

変数 IPv6_address が追加されました。また、 no telnet timeout コマンドも追加されました。

 
使用上のガイドライン

telnet コマンドでは、Telnet でセキュリティ アプライアンス コンソールにアクセスできるホストを指定できます。セキュリティ アプライアンスへの Telnet 接続は、すべてのインターフェイスでイネーブルにできます。ただし、セキュリティ アプライアンスでは、外部インターフェイスへの Telnet トラフィックがすべて、必ず IPSec で保護されます。外部インターフェイスへの Telnet セッションをイネーブルにするには、まず外部インターフェイス上で、IPSec がセキュリティ アプライアンスの生成する IP トラフィックを含むように設定した後、外部インターフェイスで Telnet をイネーブルにします。

no telnet コマンドを使用すると、それまでに設定した IP アドレスから Telnet アクセスが削除されます。telnet timeout コマンドを使用すると、コンソールの Telnet セッションの最大アイドル時間を設定して、その時間が経過すると、セキュリティ アプライアンスがログオフするようにできます。no telnet コマンドは、telnet timeout コマンドと共に使用できません。

IP アドレスを入力した場合、ネットマスクも入力する必要があります。デフォルトのネットマスクはありません。内部ネットワークのサブネットワーク マスクを使用しないでください。netmask は、IP アドレスのビット マスクだけです。アクセスを IP アドレス 1 つに制限するには、255.255.255.255 のように各オクテットに 255 を使用します。

IPSec が動作中の場合に、アンセキュアなインターフェイス名(通常、外部インターフェイス)を指定できます。telnet コマンドでインターフェイス名を指定するには、少なくとも、crypto map コマンドを設定する必要があります。

passwd コマンドを使用して、コンソールへの Telnet アクセスで使用するパスワードを設定します。デフォルトは cisco です。who コマンドを使用して、現在セキュリティ アプライアンス コンソールにアクセスしている IP アドレスを表示します。kill コマンドを使用して、アクティブな Telnet コンソール セッションを終了します。

aaa コマンドを console キーワードと共に使用する場合は、Telnet コンソール アクセスを認証サーバで認証する必要があります。


) aaa コマンドを設定して、セキュリティ アプライアンス Telnet コンソール アクセスに認証を要求した場合に、コンソール ログイン要求がタイムアウトしたときは、セキュリティ アプライアンス ユーザ名と enable password コマンドで設定したパスワードを入力して、シリアル コンソールからセキュリティ アプライアンスにアクセスできます。


次の例では、ホスト 192.168.1.3 および 192.168.1.4 が Telnet を通してセキュリティ アプライアンス コンソールへのアクセス許可を得る方法を示します。さらに、192.168.2.0 ネットワーク上のすべてのホストがアクセスを許可されます。

hostname(config)# telnet 192.168.1.3 255.255.255.255 inside
hostname(config)# telnet 192.168.1.4 255.255.255.255 inside
hostname(config)# telnet 192.168.2.0 255.255.255.0 inside
hostname(config)# show running-config telnet
192.168.1.3 255.255.255.255 inside
192.168.1.4 255.255.255.255 inside
192.168.2.0 255.255.255.0 inside
 

次の例では、セッションの最大アイドル継続時間を変更する方法を示します。

hostname(config)# telnet timeout 10
hostname(config)# show running-config telnet timeout
telnet timeout 10 minutes
 

次の例では、Telnet コンソール ログイン セッションを示します(パスワードは入力時には表示されません)。

hostname# passwd: cisco
 
Welcome to the XXX
...
Type help or ‘?’ for a list of available commands.
hostname>
 

no telnet コマンドを使用して個々のエントリを削除することも、すべての telnet コマンド文を clear configure telnet コマンドで削除することもできます。

hostname(config)# no telnet 192.168.1.3 255.255.255.255 inside
hostname(config)# show running-config telnet
192.168.1.4 255.255.255.255 inside
192.168.2.0 255.255.255.0 inside
 
hostname(config)# clear configure telnet
 

 
関連コマンド

コマンド
説明

clear configure telnet

コンフィギュレーションから Telnet 接続を削除します。

kill

Telnet セッションを終了します。

show running-config telnet

セキュリティ アプライアンスへの Telnet 接続の使用を認可されている IP アドレスの現在のリストを表示します。

who

セキュリティ アプライアンス上のアクティブな Telnet 管理セッションを表示します。

terminal

現在の Telnet セッションでシステム ログ メッセージの表示を許可するには、特権 EXEC モードで terminal monitor コマンドを使用します。システム ログ メッセージの表示をディセーブルにするには、 terminal no monitor コマンドを使用します。

terminal { monitor | no monitor }

 
シンタックスの説明

monitor

現在の Telnet セッションでシステム ログ メッセージの表示をイネーブルにします。

no monitor

現在の Telnet セッションでシステム ログ メッセージの表示をディセーブルにします。

 
デフォルト

システム ログ メッセージは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次の例は、現在のセッションでシステム ログ メッセージの表示をイネーブルおよびディセーブルにする方法を示します。

hostname# terminal monitor
hostname# terminal no monitor

 
関連コマンド

コマンド
説明

clear configure terminal

端末の表示幅設定を消去します。

pager

Telnet セッションで「 ---more--- 」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されます。

show running-config terminal

現在の端末設定を表示します。

terminal pager

Telnet セッションで「 ---more--- 」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されません。

terminal width

端末の表示幅を設定します。

terminal pager

Telnet セッションで「 ---more--- 」プロンプトが表示されるまでの 1 ページあたりの行数を設定するには、特権 EXEC モードで terminal pager コマンドを使用します。

terminal pager [lines] lines

 
シンタックスの説明

[ lines ] lines

(オプション)「 ---more--- 」プロンプトが表示されるまでの 1 ページあたりの行数を設定します。デフォルトは 24 行です。0 は、ページが無制限であることを示します。範囲は 0 ~ 2,147,483,647 行です。

 
デフォルト

デフォルトは 24 行です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、現在の Telnet セッションに対してだけ pager line 設定を変更します。新しいデフォルトの pager 設定をコンフィギュレーションに保存するには、 pager コマンドを使用します。

管理コンテキストに Telnet 接続する場合、ある特定のコンテキスト内の pager コマンドに異なる設定があっても、他のコンテキストに移ったときには、pager line 設定はユーザのセッションに従います。現在の pager 設定を変更するには、新しい設定で terminal pager コマンドを入力するか、 pager コマンドを現在のコンテキストで入力します。 pager コマンドは、コンテキスト コンフィギュレーションに新しい pager 設定を保存する以外に、新しい設定を現在の Telnet セッションに適用します。

次の例では、表示される行数を 20 に変更します。

hostname# terminal pager 20
 

 
関連コマンド

コマンド
説明

clear configure terminal

端末の表示幅設定を消去します。

pager

Telnet セッションで「 ---more--- 」プロンプトが表示されるまでの行数を設定します。このコマンドはコンフィギュレーションに保存されます。

show running-config terminal

現在の端末設定を表示します。

terminal

システム ログ メッセージが Telnet セッションで表示されるようにします。

terminal width

端末の表示幅を設定します。

terminal width

コンソール セッション中に情報を表示する幅を設定するには、グローバル コンフィギュレーション モードで terminal width コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

terminal width columns

no terminal width columns

 
シンタックスの説明

columns

端末の幅をカラム単位で指定します。デフォルトは 80 です。範囲は 40 ~ 511 です。

 
デフォルト

デフォルトの表示幅は 80 カラムです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

次の例では、端末の表示幅を 100 カラムにする方法を示します。

hostname# terminal width 100

 
関連コマンド

コマンド
説明

clear configure terminal

端末の表示幅設定を消去します。

show running-config terminal

現在の端末設定を表示します。

terminal

特権 EXEC モードで端末回線のパラメータを設定します。

test aaa-server

セキュリティ アプライアンスが特定の AAA サーバでユーザを認証または認可できるかどうかを確認するには、特権 EXEC モードで test aaa-server コマンドを使用します。AAA サーバへの到達に失敗する場合、セキュリティ アプライアンスのコンフィギュレーションが誤っているか、他の理由(ネットワーク コンフィギュレーションまたはサーバのダウンタイムが制限されているなど)で到達不能になっている可能性があります。

test aaa-server { authentication server_tag [ host ip_address ] [ username username ] [ password password ] | authorization server_tag [ host ip_address ] [ username username ]}

 
シンタックスの説明

authentication

AAA サーバに認証機能があるかどうかをテストします。

authorization

AAA サーバに従来の VPN 認可機能があるかどうかをテストします。

host ip_address

サーバの IP アドレスを指定します。コマンドで IP アドレスが指定されていない場合、入力するよう求めるプロンプトが表示されます。

password password

ユーザ パスワードを指定します。コマンドでパスワードが指定されていない場合、入力するよう求めるプロンプトが表示されます。

server_tag

aaa-server コマンドで設定した AAA サーバ タグを指定します。

username username

AAA サーバ設定のテストに使用されるアカウントのユーザ名を指定します。AAA サーバ上にそのユーザ名が存在することを確認します。存在しない場合、テストは失敗します。コマンドでユーザ名が指定されていない場合、入力するよう求めるプロンプトが表示されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更内容

7.0(4)

このコマンドが導入されました。

 
使用上のガイドライン

test aaa-server コマンドを使用して、セキュリティ アプライアンスが特定の AAA サーバでユーザを認証できるかどうか、また従来の VPN 認可の場合は、ユーザを認可できるかどうかを確認できます。このコマンドでは、認証または認可を試みる実際のユーザがいなくても AAA サーバをテストできます。また、AAA が機能しなかった場合、それが AAA サーバ パラメータの設定の誤り、AAA サーバへの接続の問題、またはセキュリティ アプライアンスでのその他のコンフィギュレーション エラーに起因するものかどうかを識別できます。

次の例では、ホスト「192.168.3.4」に対して「srvgrp1」という名前の RADIUS AAA サーバを設定し、タイムアウトを 9 秒に、リトライ間隔を 7 秒に、認証ポートを 1650 に設定しています。AAA サーバ パラメータの設定に続く test aaa-server コマンドは、認証テストがサーバに到達できず失敗したことを示しています。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 192.168.3.4
hostname(config-aaa-server-host)# timeout 9
hostname(config-aaa-server-host)# retry-interval 7
hostname(config-aaa-server-host)# authentication-port 1650
hostname(config-aaa-server-host)# exit
hostname(config)# test aaa-server authentication svrgrp1
Server IP Address or name: 192.168.3.4
Username: bogus
Password: mypassword
INFO: Attempting Authentication test to IP address <192.168.3.4> (timeout: 10 seconds)
ERROR: Authentication Rejected: Unspecified
 

次に、 test aaa-server コマンドが成功した場合の出力例を示します。

hostname# test aaa-server authentication svrgrp1 host 192.168.3.4 username bogus password mypassword
INFO: Attempting Authentication test to IP address <10.77.152.85> (timeout: 12 seconds)
INFO: Authentication Successful
 

 
関連コマンド

コマンド
説明

aaa authentication console

管理トラフィックの認証を設定します。

aaa authentication match

通過トラフィックの認証を設定します。

aaa-server

AAA サーバ グループを作成します。

aaa-server host

AAA サーバをサーバ グループに追加します。

test dynamic-access-policy attributes

dap アトリビュート モードを開始するには、特権 EXEC モードから
test dynamic-access-policy attributes コマンドを入力します。これで、ユーザとエンドポイントのアトリビュート値ペアを指定できます。

dynamic-access-policy attributes

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

通常、セキュリティ アプライアンスはユーザ認可アトリビュートを AAA サーバから取得し、エンドポイント アトリビュートを Cisco Secure Desktop、Host Scan、CNA、または NAC から取得します。test コマンドの場合、ユーザ認可アトリビュートとエンドポイント アトリビュートをこのアトリビュート モードで指定します。セキュリティ アプライアンスは、これらのアトリビュートを、DAP サブシステムが DAP レコードの AAA 選択アトリビュートとエンドポイント選択アトリビュートを評価するときに参照するアトリビュート データベースに書き込みます。

この機能を利用して DAP レコードの作成を実験できます。

次の例は、 attributes コマンドを使用する方法を示しています。

hostname # test dynamic-access-policy attributes
hostname(config-dap-test-attr)#
 

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードを作成します。

attributes

アトリビュート モードに入ります。このモードでは、ユーザ アトリビュート値のペアを指定できます。

display

現在のアトリビュート リストを表示します。

test dynamic-access-policy execute

test regex

正規表現をテストするには、特権 EXEC モードで test regex コマンドを使用します。

test regex input_text regular_expression

 
シンタックスの説明

input_text

正規表現と照合するテキストを指定します。

regular_expression

最大 100 文字の正規表現を指定します。正規表現で使用できるメタ文字のリストについては、 regex コマンドを参照してください。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

test regex コマンドは、正規表現が一致すべきものと一致するかどうかをテストします。

入力したテキストと正規表現が一致すると、次のメッセージが表示されます。

INFO: Regular expression match succeeded.
 

一致しない場合は、次のメッセージが表示されます。

INFO: Regular expression match failed.
 

次の例は、入力したテキストと正規表現が一致するかどうかをテストします。

hostname# test regex farscape scape
INFO: Regular expression match succeeded.
 
hostname# test regex farscape scaper
 
INFO: Regular expression match failed.

 
関連コマンド

コマンド
説明

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

トラフィック クラスを 1 つまたは複数のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション検査のための特別なアクションを定義します。

class-map type regex

正規表現クラス マップを作成します。

regex

正規表現を作成します。

test sso-server

テスト認証要求で SSO サーバをテストするには、特権 EXEC モードで test sso-server コマンドを使用します。

test sso-server server-name username user-name

 
シンタックスの説明

 
シンタックスの説明シンタックスの説明

server-name

テストされる SSO サーバの名前を指定します。

user-name

テストされる SSO サーバ上のユーザ名を指定します。

 
デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

config-webvpn

--

--

--

config-webvpn-sso-saml

--

--

--

config-webvpn-sso-siteminder

--

--

--

グローバル コンフィギュレーション モード

--

--

--

特権 EXEC

--

--

--

 
コマンドの履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、さまざまなサーバで各種のセキュアなサービスにアクセスできます。 test sso-server コマンドは、SSO サーバが認識されるかどうか、および認証要求に応答するかどうかをテストします。

server-name 引数により指定された SSO サーバが検出されない場合は、次のエラーが表示されます。

ERROR: sso-server server-name does not exist

SSO サーバが検出されても user-name 引数によって指定されたユーザが検出されない場合、認証は拒否されます。

認証では、セキュリティ アプライアンスは SSO サーバへの WebVPN ユーザのプロキシとして動作します。セキュリティ アプライアンスは現在、SiteMinder SSO サーバ(以前の Netegrity SiteMinder)と SAML POST タイプの SSO サーバをサポートしています。このコマンドは、SSO サーバの両方のタイプに適用されます。

特権 EXEC モードで入力された次の例では、my-sso-server という名前の SSO サーバが Anyuser というユーザ名を使用して正常にテストされています。

hostname# test sso-server my-sso-server username Anyuser
INFO: Attempting authentication request to sso-server my-sso-server for user Anyuser
INFO: STATUS: Success
hostname#
 

次の例は同じサーバのテストを示していますが、Anotheruser というユーザ名は認識されず、認証は失敗しています。

hostname# test sso-server my-sso-server username Anotheruser
INFO: Attempting authentication request to sso-server my-sso-server for user Anotheruser
INFO: STATUS: Failed
hostname#

 
関連コマンド

コマンド
説明

max-retry-attempts

失敗した SSO 認証に対して、セキュリティ アプライアンスが認証を再試行する回数を設定します。

policy-server-secret

SiteMinder SSO サーバへの認証要求の暗号化に使用する秘密鍵を作成します。

request-timeout

失敗した SSO 認証試行がタイムアウトになるまでの秒数を指定します。

show webvpn sso-server

セキュリティ デバイスに設定されている全 SSO サーバの動作統計情報を表示します。

sso-server

シングル サインオン サーバを作成します。

web-agent-url

セキュリティ アプライアンスが、SiteMinder SSO 認証を要求する SSO サーバの URL を指定します。

text-color

ログイン ページ、ホーム ページ、およびファイル アクセス ページの WebVPN タイトルバーのテキストに色を設定するには、WebVPN モードで text-color コマンドを使用します。テキストの色をコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。

text-color [ black | white | auto ]

no text-color

 
シンタックスの説明

auto

secondary-color コマンドの設定に基づいて黒または白を選択します。つまり、2 番目の色が黒の場合、この値は白となります。

black

タイトルバーのテキストのデフォルト色は白です。

white

色を黒に変更できます。

 
デフォルト

タイトルバーのテキストのデフォルト色は白です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

Webvpn

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例では、タイトルバーのテキストの色を黒に設定する方法を示します。

hostname(config)# webvpn
hostname(config-webvpn)# text-color black

 
関連コマンド

コマンド
説明

secondary-text-color

WebVPN ログイン ページ、ホーム ページ、およびファイル アクセス ページの 2 番目のテキストの色を設定します。

tftp-server

configure net コマンドまたは write net コマンドで使用するデフォルトの TFTP サーバおよびパスとファイル名を指定するには、グローバル コンフィギュレーション モードで tftp-server コマンドを使用します。サーバ コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。このコマンドは、IPv4 アドレスと IPv6 アドレスをサポートしています。

tftp-server interface_name server filename

no tftp-server [ interface_name server filename ]

 
シンタックスの説明

interface_name

ゲートウェイ インターフェイス名を指定します。最高のセキュリティ インターフェイス以外のインターフェイスを指定した場合、このインターフェイスがセキュアでないことを示す警告メッセージが表示されます。

server

TFTP サーバの IP アドレスまたは名前を設定します。IPv4 アドレスまたは IPv6 アドレスを入力できます。

filename

パスとファイル名を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンドの履歴

リリース
変更内容

7.0(1)

現在ではゲートウェイ インターフェイスが必要です。

 
使用上のガイドライン

tftp-server コマンドを使用すると、 configure net コマンドと write net コマンドの入力が容易になります。 configure net コマンドや write net コマンドを入力するときに、 tftp-server コマンドで指定した TFTP サーバを継承するか、独自の値を指定できます。また、 tftp-server コマンドのパスをそのまま継承したり、 tftp-server コマンド値の末尾にパスとファイル名を追加したり、 tftp-server コマンド値を上書きすることもできます。

セキュリティ アプライアンスがサポートする tftp-server コマンドは 1 つだけです。

次の例では、TFTP サーバを指定し、コンフィギュレーションを /temp/config/test_config ディレクトリから読み取る方法を示します。

hostname(config)# tftp-server inside 10.1.1.42 /temp/config/test_config
hostname(config)# configure net
 

 
関連コマンド

コマンド
説明

configure net

コンフィギュレーションを指定した TFTP サーバおよびパスからロードします。

show running-config tftp-server

デフォルトの TFTP サーバ アドレスとコンフィギュレーション ファイルのディレクトリを表示します。

threat-detection basic-threat

基本脅威検出をイネーブルにするには、グローバル コンフィギュレーション モードで threat-detection basic-threat コマンドを使用します。基本脅威検出をディセーブルにするには、このコマンドの no 形式を使用します。

threat-detection basic-threat

no threat-detection basic-threat

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

基本脅威検出はデフォルトでイネーブルになっています。次のデフォルト レート制限が使用されます。

 

表 31-1 基本脅威検出のデフォルト設定

パケット ドロップの理由
トリガー設定
平均レート
バースト レート

DoS 攻撃を検出

パケット形式が不良

接続制限値を超過

疑わしい ICMP パケットを検出

直前の 600 秒間で 100 ドロップ/秒。

直前の 10 秒間で 400 ドロップ/秒。

直前の 3600 秒間で 80 ドロップ/秒。

直前の 60 秒間で 320 ドロップ/秒。

スキャン攻撃を検出

直前の 600 秒間で 5 ドロップ/秒。

直前の 10 秒間で 10 ドロップ/秒。

直前の 3600 秒間で 4 ドロップ/秒。

直前の 60 秒間で 8 ドロップ/秒。

TCP SYN 攻撃の検出やデータなし UDP セッション攻撃の検出などの不完全セッションを検出(複合)

直前の 600 秒間で 100 ドロップ/秒。

直前の 10 秒間で 200 ドロップ/秒。

直前の 3600 秒間で 80 ドロップ/秒。

直前の 60 秒間で 160 ドロップ/秒。

アクセス リストによる拒否

直前の 600 秒間で 400 ドロップ/秒。

直前の 10 秒間で 800 ドロップ/秒。

直前の 3600 秒間で 320 ドロップ/秒。

直前の 60 秒間で 640 ドロップ/秒。

基本ファイアウォール検査に不合格

パケットがアプリケーション検査に不合格

直前の 600 秒間で 400 ドロップ/秒。

直前の 10 秒間で 1600 ドロップ/秒。

直前の 3600 秒間で 320 ドロップ/秒。

直前の 60 秒間で 1280 ドロップ/秒。

インターフェイス過負荷

直前の 600 秒間で 2000 ドロップ/秒。

直前の 10 秒間で 8000 ドロップ/秒。

直前の 3600 秒間で 1600 ドロップ/秒。

直前の 60 秒間で 6400 ドロップ/秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

基本脅威検出をイネーブルにすると、セキュリティ アプライアンスは次の理由により、ドロップ パケットとセキュリティ イベントのレートを監視します。

アクセス リストによる拒否

不良パケット形式(invalid-ip-header や invalid-tcp-hdr-length など)

接続制限超過(システム全体のリソース制限およびコンフィギュレーションで設定される制限の両方)

DoS 攻撃を検出(無効な SPI、ステートフル ファイアウォール検査不合格など)

基本ファイアウォール検査に不合格(このオプションは、ここで列挙するファイアウォールに関連したパケット ドロップすべてを含む複合レートです。インターフェイスの過負荷、アプリケーション検査で不合格になったパケット、および検出されたスキャン攻撃など、ファイアウォールに関連しないドロップは含まれません)

疑わしい ICMP パケットを検出

パケットがアプリケーション検査に不合格

インターフェイス過負荷

スキャン攻撃を検出(このオプションでは、たとえば最初の TCP パケットが SYN パケットでない、またはスリーウェイ ハンドシェイクで TCP 接続に失敗したなどのスキャン攻撃を監視します。完全スキャン脅威検出( threat-detection scanning-threat コマンドを参照)では、このスキャン攻撃レートの情報を取得し、その情報を基にして、たとえばホストを攻撃者に分類して自動的に遮断するなどの方法で対処します)

TCP SYN 攻撃の検出やデータなし UDP セッション攻撃の検出などの不完全セッションを検出

セキュリティ アプライアンスは、脅威を検出するとすぐにシステム ログ メッセージ(730100)を送信し、ASDM に警告します。

基本脅威検出は、ドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響します。このようなシナリオでも、パフォーマンスへの影響はわずかです。

デフォルト」セクションの 表 31-1 に、デフォルト設定の一覧を示します。すべてのデフォルト設定は、 show running-config all threat-detection コマンドを使用して表示できます。イベントのタイプごとのデフォルト設定は、 threat-detection rate コマンドを使用して上書きできます。

イベント レートが超過すると、セキュリティ アプライアンスはシステム メッセージを送信します。セキュリティ アプライアンスは、一定間隔での平均イベント レートと短いバースト間隔でのバースト イベント レートという、2 つのタイプのレートを追跡します。バースト イベント レートは、平均レート間隔の 60 分の 1 または 10 秒のうち、どちらか大きい方の値です。受信するイベントごとに、セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックします。両方のレートが超過している場合、セキュリティ アプライアンスはバースト期間あたりのレート タイプごとに最大 1 つのメッセージを生成して、2 つの異なるシステム メッセージを送信します。

次の例では、基本脅威検出をイネーブルにし、DoS 攻撃のトリガー値を変更しています。

hostname(config)# threat-detection basic-threat
hostname(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100
 

 
関連コマンド

コマンド
説明

clear threat-detection rate

基本脅威検出統計情報を消去します。

show running-config all threat-detection

脅威検出コンフィギュレーションを表示します。個別にレート設定をしていない場合はデフォルトのレート設定も表示されます。

show threat-detection rate

基本脅威検出統計情報を表示します。

threat-detection rate

イベント タイプごとの脅威検出レート制限を設定します。

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

threat-detection rate

threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにする場合は、グローバル コンフィギュレーション モードで threat-detection rate コマンドを使用して、各イベント タイプのデフォルト レート制限を変更できます。 threat-detection scanning-threat コマンドを使用してスキャン脅威検出をイネーブルにする場合、 scanning-threat キーワードを指定してこのコマンドを使用し、ホストを攻撃者またはターゲットと見なす時期を設定することもできます。設定しない場合、基本脅威検出およびスキャン脅威検出の両方でデフォルトの scanning-threat 値が使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

threat-detection rate { acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop | icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack } rate-interval rate_interval average-rate av_rate burst-rate burst_rate

no threat-detection rate { acl-drop | bad-packet-drop | conn-limit-drop | dos-drop | fw-drop | icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack } rate-interval rate_interval average-rate av_rate burst-rate burst_rate

 
シンタックスの説明

acl-drop

アクセス リストに拒否されたためにドロップされたパケットのレート制限を設定します。

average-rate av_rate

0 ~ 2147483647 の範囲で平均レート制限(ドロップ/秒)を設定します。

bad-packet-drop

不良パケット形式(invalid-ip-header または invalid-tcp-hdr-length など)が拒否されたためにドロップされたパケットのレート制限を設定します。

burst-rate burst_rate

0 ~ 2147483647 の範囲でバースト レート制限(ドロップ/秒)を設定します。バースト レートは、 N 秒ごとの平均レートとして計算されます。 N はバースト レート間隔です。バースト レート間隔は、 rate-interval rate_interval 値の 60 分の 1 または 10 秒のうち、どちらか大きい方の値です。

conn-limit-drop

接続制限(システム全体のリソース制限とコンフィギュレーションで設定された制限の両方)を超えたためにドロップされたパケットのレート制限を設定します。

dos-drop

DoS 攻撃(無効な SPI、ステートフル ファイアウォール検査不合格など)が検出されたためにドロップされたパケットのレート制限を設定します。

fw-drop

基本ファイアウォール検査に不合格だったためにドロップされたパケットのレート制限を設定します。このオプションは、このコマンドのファイアウォールに関連したパケット ドロップをすべて含む複合レートです。 interface-drop inspect-drop 、および scanning-threat など、ファイアウォールに関連しないドロップ レートは含まれません。

icmp-drop

疑わしい ICMP パケットが検出されたためにドロップされたパケットのレート制限を設定します。

inspect-drop

アプリケーション検査に不合格だったためにドロップされたパケットのレート制限を設定します。

interface-drop

インターフェイスの過負荷のためにドロップされたパケットのレート制限を設定します。

rate-interval rate_interval

600 秒~ 2592000 秒(30 日)の範囲で平均レート間隔を設定します。レート間隔は、ドロップ数の平均値を求めるときの期間を判断するために使用されます。また、バーストしきい値レート間隔も判断します。

scanning-threat

スキャン攻撃が検出されたためにドロップされたパケットのレート制限を設定します。このオプションでは、スキャン攻撃(最初の TCP パケットが SYN パケットになっていない、またはスリーウェイ ハンドシェイクで TCP 接続に失敗したなど)を監視します。完全スキャン脅威検出( threat-detection scanning-threat コマンドを参照)では、このスキャン攻撃レートの情報を取得し、その情報を基にして、たとえばホストを攻撃者として分類し自動的に遮断するなどの方法で対処します。

syn-attack

TCP SYN 攻撃やデータなし UDP セッション攻撃などの不完全なセッションのためにドロップされたパケットのレート制限を設定します。

 
デフォルト

threat-detection basic-threat コマンドを使用して基本脅威検出をイネーブルにする場合は、次のデフォルト レート制限を使用します。

 

表 31-2 基本脅威検出のデフォルト設定

パケット ドロップの理由
トリガー設定
平均レート
バースト レート

dos-drop

bad-packet-drop

conn-limit-drop

icmp-drop

直前の 600 秒間で 100 ドロップ/秒。

直前の 10 秒間で 400 ドロップ/秒。

直前の 3600 秒間で 100 ドロップ/秒。

直前の 60 秒間で 400 ドロップ/秒。

scanning-threat

直前の 600 秒間で 5 ドロップ/秒。

直前の 10 秒間で 10 ドロップ/秒。

直前の 3600 秒間で 5 ドロップ/秒。

直前の 60 秒間で 10 ドロップ/秒。

syn-attack

直前の 600 秒間で 100 ドロップ/秒。

直前の 10 秒間で 200 ドロップ/秒。

直前の 3600 秒間で 100 ドロップ/秒。

直前の 60 秒間で 200 ドロップ/秒。

acl-drop

直前の 600 秒間で 400 ドロップ/秒。

直前の 10 秒間で 800 ドロップ/秒。

直前の 3600 秒間で 400 ドロップ/秒。

直前の 60 秒間で 800 ドロップ/秒。

fw-drop

inspect-drop

直前の 600 秒間で 400 ドロップ/秒。

直前の 10 秒間で 1600 ドロップ/秒。

直前の 3600 秒間で 400 ドロップ/秒。

直前の 60 秒間で 1600 ドロップ/秒。

interface-drop

直前の 600 秒間で 2000 ドロップ/秒。

直前の 10 秒間で 8000 ドロップ/秒。

直前の 3600 秒間で 2000 ドロップ/秒。

直前の 60 秒間で 8000 ドロップ/秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

レート間隔は、イベント タイプごとに 3 つまで設定できます。

基本脅威検出をイネーブルにすると、セキュリティ アプライアンスは、「シンタックスの説明」の表で示すイベント タイプが原因でドロップされるパケットおよびセキュリティ イベントのレートを監視します。

セキュリティ アプライアンスは、脅威を検出するとすぐにシステム ログ メッセージ(730100)を送信し、ASDM に警告します。

基本脅威検出は、ドロップまたは潜在的な脅威が存在した場合にだけパフォーマンスに影響します。このようなシナリオでも、パフォーマンスへの影響はわずかです。

デフォルト」セクションの 表 31-2 に、デフォルト設定の一覧を示します。すべてのデフォルト設定は、 show running-config all threat-detection コマンドを使用して表示できます。

イベント レートが超過すると、セキュリティ アプライアンスはシステム メッセージを送信します。セキュリティ アプライアンスは、一定間隔での平均イベント レートと短いバースト間隔でのバースト イベント レートという、2 つのタイプのレートを追跡します。受信するイベントごとに、セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックします。両方のレートが超過している場合、セキュリティ アプライアンスはバースト期間あたりのレート タイプごとに最大 1 つのメッセージを生成して、2 つの異なるシステム メッセージを送信します。

次の例では、基本脅威検出をイネーブルにし、DoS 攻撃のトリガー値を変更しています。

hostname(config)# threat-detection basic-threat
hostname(config)# threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100
 

 
関連コマンド

コマンド
説明

clear threat-detection rate

基本脅威検出統計情報を消去します。

show running-config all threat-detection

脅威検出コンフィギュレーションを表示します。個別にレート設定をしていない場合はデフォルトのレート設定も表示されます。

show threat-detection rate

基本脅威検出統計情報を表示します。

threat-detection basic-threat

基本脅威検出をイネーブルにします。

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

threat-detection scanning-threat

スキャン脅威検出をイネーブルにするには、グローバル コンフィギュレーション モードで threat-detection scanning-threat コマンドを使用します。スキャン脅威検出をディセーブルにするには、このコマンドの no 形式を使用します。

threat-detection scanning-threat [ shun
[ except { ip-address ip_address mask | object-group network_object_group_id } | duration seconds ]]

no threat-detection scanning-threat [ shun
[ except { ip-address ip_address mask | object-group network_object_group_id } | duration seconds ]]

 
シンタックスの説明

duration seconds

攻撃元ホストに対する shun の継続時間を 10 ~ 2592000 秒の範囲で設定します。デフォルトの長さは、3600 秒(1 時間)です。

except

排除対象から IP アドレスを除外します。このコマンドを複数回入力して、排除対象から除外する複数の IP アドレスまたはネットワーク オブジェクト グループを指定します。

ip-address ip_address mask

排除対象から除外する IP アドレスを指定します。

object-group network_object_group_id

排除対象から除外するネットワーク オブジェクト グループを指定します。オブジェクト グループを作成するには、 object-group network コマンドを参照してください。

shun

セキュリティ アプライアンスがホストを攻撃者であると識別すると、システム ログ メッセージ 730101 を送信し、さらにホスト接続を自動的に終了します。

 
デフォルト

デフォルトの shun の継続時間は、3600 秒(1 時間)です。

スキャン攻撃イベントでは、次のデフォルト レート制限が適用されます。

 

表 31-3 スキャン脅威検出のデフォルト レート制限

平均レート
バースト レート

直前の 600 秒間で 5 ドロップ/秒。

直前の 10 秒間で 10 ドロップ/秒。

直前の 3600 秒間で 5 ドロップ/秒。

直前の 60 秒間で 10 ドロップ/秒。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

8.0(4)/8.1(2)

duration キーワードが追加されました。

 
使用上のガイドライン

一般的なスキャン攻撃は(サブネット内の多くのホストを経由してスキャンするか、ホストまたはサブネットの多くのポートを経由してスイープすることにより)サブネット内のすべての IP アドレスのアクセス可能性をテストするホストで構成されています。スキャン脅威検出機能では、ホストがいつスキャンを実行するか判定します。トラフィック シグニチャに基づく IPS スキャン検出とは異なり、セキュリティ アプライアンスのスキャン脅威検出機能では、スキャン動作を分析可能なホストの統計情報を含む広範なデータベースを保持しています。

ホストのデータベースは、戻りアクティビティのない接続、閉じているサービス ポートへのアクセス、非ランダム IPID などの危険な TCP 動作など、疑わしいアクティビティを追跡します。


注意 スキャン脅威検出機能は、ホストおよびサブネットベースのデータ構造と情報を作成および収集する間、セキュリティ アプライアンスのパフォーマンスとメモリに大きな影響を与える可能性があります。

セキュリティ アプライアンスを設定して攻撃者に関するシステム ログ メッセージを送信するか、またはホストを自動的に排除することができます。デフォルトでは、ホストが攻撃者として識別されると、システム ログ メッセージ 730101 が生成されます。

セキュリティ アプライアンスは、スキャン脅威のイベント レートが超過したら、攻撃者およびターゲットを識別します。セキュリティ アプライアンスは、一定間隔での平均イベント レートと短いバースト間隔でのバースト イベント レートという、2 つのタイプのレートを追跡します。スキャン攻撃の一部と考えられるイベントが検出されるたびに、セキュリティ アプライアンスは平均レート制限とバースト レート制限をチェックします。ホストから送信されたトラフィックでどちらかのレートが超過していると、そのホストは攻撃者と見なされます。ホストが受信したトラフィックでどちらかのレートが超過していると、そのホストはターゲットと見なされます。スキャン脅威イベントのレート制限は、 threat-detection rate scanning-threat コマンドを使用して変更できます。

攻撃者またはターゲットに分類されたホストを表示するには、 show threat-detection scanning-threat コマンドを使用します。

排除されたホストを表示するには、 show threat-detection shun コマンドを使用します。排除対象からホストを除外するには、 clear threat-detection shun コマンドを使用します。

次の例では、スキャン脅威検出をイネーブルにし、攻撃者として分類されたホストを自動的に排除します(10.1.1.0 ネットワークのホストを除く)。スキャン脅威検出のデフォルト レート制限も変更されています。

hostname(config)# threat-detection scanning-threat shun except ip-address 10.1.1.0 255.255.255.0
hostname(config)# threat-detection rate scanning-threat rate-interval 1200 average-rate 10 burst-rate 20
hostname(config)# threat-detection rate scanning-threat rate-interval 2400 average-rate 10 burst-rate 20
 

 
関連コマンド

コマンド
説明

clear threat-detection shun

排除対象からホストを除外します。

show threat-detection scanning-threat

攻撃者またはターゲットとして分類されたホストを表示します。

show threat-detection shun

現在排除されているホストを表示します。

threat-detection basic-threat

基本脅威検出をイネーブルにします。

threat-detection rate

イベント タイプごとの脅威検出レート制限を設定します。

threat-detection statistics

スキャン脅威検出統計情報をイネーブルにするには、グローバル コンフィギュレーション モードで threat-detection statistics コマンドを使用します。スキャン脅威検出統計情報をディセーブルにするには、このコマンドの no 形式を使用します。


注意 統計情報をイネーブルにすると、イネーブルにする統計情報のタイプに応じて、セキュリティ アプライアンスのパフォーマンスが影響を受けます。threat-detection statistics host コマンドはパフォーマンスに著しく影響を与えるため、トラフィックの負荷が高い場合は、このタイプの統計情報を一時的にイネーブルにできます。一方、threat-detection statistics port コマンドによる影響はそれほど大きくありません。

threat-detection statistics [ access-list | host [ number-of-rate { 1 | 2 | 3 } | port | protocol | tcp-intercept [ rate-interval minutes ] [ burst-rate attacks_per_sec ] [ average-rate attacks_per_sec ]]

no threat-detection statistics [ access-list | host | port | protocol | tcp-intercept [ rate-interval minutes ] [ burst-rate attacks_per_sec ] [ average-rate attacks_per_sec ]]

 
シンタックスの説明

access-list

(オプション)アクセス リスト拒否の統計情報をイネーブルにします。アクセス リスト統計情報は、 show threat-detection top access-list コマンドを使用するときだけ表示されます。

average-rate attacks_per_sec

(オプション)TCP 代行受信の場合、syslog メッセージ生成の平均レートしきい値を 25 ~ 2147483647 の範囲で設定します。デフォルトは、1 秒あたり 200 です。平均レートを超えると、syslog メッセージ 733105 が生成されます。

burst-rate attacks_per_sec

(オプション)TCP 代行受信の場合、syslog メッセージ生成のしきい値を 25 ~ 2147483647 の範囲で設定します。デフォルトは、1 秒あたり 400 です。バースト レートを超えると、syslog メッセージ 733104 が生成されます。

host

(オプション)ホスト統計情報をイネーブルにします。ホスト統計情報は、ホストがアクティブで、スキャン脅威ホスト データベース内にある限り累積します。ホストは、非アクティブな時間が 10 分を過ぎるとデータベースから削除されます(統計情報は消去されます)。

number-of-rate { 1 | 2 | 3 }

(オプション)ホスト統計情報に対して維持されるレート間隔の数を設定します。ホスト統計情報では、メモリの使用量が多くなるため、レート間隔の数をデフォルトの 3 から減らすと、メモリの使用量も減ります。 show threat-detection statistics host コマンドを実行すると、デフォルトでは、3 つのレート間隔(たとえば、直前の 1 時間、8 時間、および24時間)の情報が表示されます。このキーワードを 1 に設定すると、最短のレート間隔の統計情報だけが維持されます。この値を 2 に設定すると、2 つの最短の間隔が維持されます。

port

(オプション)ポート統計情報をイネーブルにします。

protocol

(オプション)プロトコル統計情報をイネーブルにします。

rate-interval minutes

(オプション)TCP 代行受信の場合、履歴監視ウィンドウのサイズを 1 ~ 1440 分の範囲で設定します。デフォルトは 30 分です。この間に、セキュリティ アプライアンスが攻撃をサンプリングする回数は 60 回です。

tcp-intercept

(オプション)TCP 代行受信によって代行受信された攻撃に関する統計情報をイネーブルにします。TCP 代行受信をイネーブルにするには、 set connection embryonic-conn-max コマンド 、あるいは nat コマンドまたは static コマンドを参照してください。

 
デフォルト

アクセス リスト統計情報は、デフォルトでイネーブルになっています。このコマンドでオプションを何も指定しないと、すべてのオプションがイネーブルになります。

デフォルトの tcp-intercept rate-interval は 30 分です。デフォルトの burst-rate は、1 秒あたり 400 です。デフォルトの average-rate は、1 秒あたり 200 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

8.0(4)/8.1(2)

tcp-intercept キーワードが追加されました。

8.1(2)

number-of-rates キーワードが追加されました。

 
使用上のガイドライン

show threat-detection statistics コマンドを使用して統計情報を表示します。

スキャン脅威検出は、 threat-detection scanning-threat コマンドを使用してイネーブルにする必要はありません。検出と統計情報は別々に設定できます。

次の例では、ホストを除くすべてのタイプで、スキャン脅威検出とスキャン脅威統計情報をイネーブルにします。

hostname(config)# threat-detection scanning-threat shun except ip-address 10.1.1.0 255.255.255.0
hostname(config)# threat-detection statistics access-list
hostname(config)# threat-detection statistics port
hostname(config)# threat-detection statistics protocol
hostname(config)# threat-detection statistics tcp-intercept
 

 
関連コマンド

コマンド
説明

threat-detection scanning-threat

脅威検出のスキャンをイネーブルにします。

show threat-detection statistics host

ホストの統計情報を表示します。

show threat-detection statistics port

ポートの統計情報を表示します。

show threat-detection statistics protocol

プロトコルの統計情報を表示します。

show threat-detection statistics top

上位 10 位までの統計情報を表示します。

threshold

監視オペレーションのしきい値超過イベントを決めるしきい値を設定するには、SLA モニタ コンフィギュレーション モードで threshold コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

threshold milliseconds

no threshold

 
シンタックスの説明

milliseconds

宣言する上限値をミリ秒で指定します。有効な値は 0 ~ 2147483647 です。ただし、タイムアウト値に設定された値より大きな値を指定できません。

 
デフォルト

デフォルトのしきい値は 5000 ミリ秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

SLA モニタ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

しきい値は、しきい値超過イベントを示すためだけに使われます。このイベントは、到達可能性には影響しませんが、 timeout コマンドの設定が正しいかどうかを調べるために使用できます。

次の例では、ID が 123 の オペレーションを設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA オペレーションの頻度を 10 秒、しきい値を 2,500 ミリ秒、タイムアウト値を 4,000 ミリ秒に設定しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# threshold 2500
hostname(config-sla-monitor-echo)# timeout 4000
hostname(config-sla-monitor-echo)# frequency 10
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

sla monitor

監視オペレーションを定義します。

timeout

オペレーションが応答を待機する期間を定義します。

timeout

各種機能に対してアイドル状態のグローバル最大継続時間を設定するには、グローバル コンフィギュレーション モードで timeout コマンドを使用します。すべてのタイムアウトをデフォルトに設定するには、このコマンドの no 形式を使用します。1 つの機能をデフォルト設定にリセットするには、デフォルト値で timeout コマンドを再入力します。

timeout { xlate | conn | udp | icmp | rpc | h225 | h323 | mgcp | mgcp-pat | sip | sip-disconnect | sip-invite | sip_media | sip-provisional-media } hh : mm : ss

timeout uauth hh : mm : ss [ absolute | inactivity ]

no timeout

 
シンタックスの説明

absolute

(オプション)uauth タイムアウトになった場合、再認証を求めます。デフォルトでは、 absolute キーワードがイネーブルになっています。無活動状態が一定時間継続した後にタイムアウトになるように uauth タイマーを設定するには、このキーワードの代わりに inactivity キーワードを入力します。

conn

(オプション)接続が終了するまでのアイドル時間を指定します。有効な値は 0:05:0 ~ 1193:0:0 です。デフォルトは 1 時間(1:0:0)です。接続がタイムアウトにならないようにするには、0 を使用します。

hh : mm : ss

タイムアウト値を時、分、秒で指定します。接続がタイムアウトにならないようにするには、0 を使用します(可能な場合)。

h225

(オプション)H.225 シグナリング接続が終了するまでのアイドル時間の指定します。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 1 時間(1:0:0)です。タイムアウト値を 0:0:01 に設定すると、タイマーがディセーブルになり、すべてのコールが消去された後、TCP 接続がすぐに終了します。

h323

(オプション)H.245(TCP)および H.323(UDP)メディア接続が終了するまでのアイドル時間を指定します。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 5 分(0:5:0)です。H.245 および H.323 メディア接続の両方に同じ接続フラグが設定されるため、H.245(TCP)接続は H.323(RTP および RTCP)メディア接続とアイドル タイムアウトを共有します。

half-closed

(オプション)TCP ハーフクローズ接続が解放されるまでのアイドル時間を指定します。有効な値は 0:5:0 ~ 1193:0:0 です。デフォルトは 10 分(0:10:0)です。接続がタイムアウトにならないようにするには、0 を使用します。

icmp

(オプション)ICMP のアイドル時間を指定します。有効な値は 0:0:02 ~ 1193:0:0 です。デフォルトは 2 秒(0:0:02)です。

inactivity

(オプション)無活動タイムアウトになった場合は、uauth 再認証を求めます。

mgcp

(オプション)MGCP メディア接続が削除されるまでのアイドル時間を設定します。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 5 分(0:5:0)です。

mgcp-pat

(オプション)MGCP PAT 変換が削除されるまでの絶対間隔を設定します。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 5 分(0:5:0)です。

rpc

(オプション)RPC スロットが解放されるまでのアイドル時間を指定します。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 5 分(0:05:0)です。

sip

(オプション)SIP 制御接続が閉じられるまでのアイドル時間を指定します。有効な値は 0:5:0 ~ 1193:0:0 です。デフォルトは 30 分(0:30:0)です。接続がタイムアウトにならないようにするには、0 を使用します。

sip-disconnect

(オプション)CANCEL または BYE メッセージに対して、200 OK が受信されない場合、SIP セッションが削除されるまでのアイドル時間を指定します。有効な値は 0:0:1 ~ 1193:0:0 です。デフォルトは 2 分(0:2:0)です。

sip-invite

(オプション)暫定応答およびメディア xlates のピンホールが閉じられるまでのアイドル時間を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 3 分(0:3:0)です。

sip_media

(オプション)SIP メディア接続が閉じられるまでのアイドル時間を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 2 分(0:2:0)です。接続がタイムアウトにならないようにするには、0 を使用します。

SIP メディア タイマーを使用します。メディア タイマーは、UDP 非アクティビティ タイムアウトの代わりに、SIP UDP メディア パケットを扱う SIP RTP/RTCP で使用されます。

sip-provisional-media

(オプション)SIP 暫定メディア接続のタイムアウト値を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 2 分(0:2:0)です。

sunrpc

(オプション)SUNRPC スロットが閉じられるまでのアイドル時間を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 10 分(0:10:0)です。接続がタイムアウトにならないようにするには、0 を使用します。

uauth

(オプション)認証および認可キャッシュがタイムアウトするまでの継続時間を指定します。ユーザは、次回の接続時に再認証を必要とします。有効な値は 0:0:0 ~ 1193:0:0 です。デフォルトは 5 分(0:5:0)です。デフォルトのタイマーは absolute です。 inactivity キーワードを入力すると、無活動の期間後にタイムアウトが発生するように設定できます。 uauth 継続時間は、 xlate 継続時間より短かく設定する必要があります。キャッシュをディセーブルにするには、0 に設定します。接続に受動 FTP を使用している場合、または Web 認証に virtual http コマンドを使用している場合は、 0 を使用しないでください。

udp

(オプション)UDP スロットが解放されるまでのアイドル時間を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 2 分(0:2:0)です。接続がタイムアウトにならないようにするには、0 を使用します。

xlate

(オプション)変換スロットが解放されるまでのアイドル時間を指定します。有効な値は 0:1:0 ~ 1193:0:0 です。デフォルトは 3 時間(3:0:0)です。

 
デフォルト

デフォルトは次のとおりです。

conn hh : mm : ss は、1 時間( 1:0:0 )です。

h225 hh : mm : ss は、1 時間( 1:0:0 )です。

h323 hh : mm : ss は、5 分( 0:5:0 )です。

half-closed hh : mm : ss は、10 分( 0:10:0 )です。

icmp hh:mm:ss は 2 秒( 0:0:2 )です。

mgcp hh:mm:ss は、5 分( 0:5:0 )です

mgcp-pat hh:mm:ss は、5 分( 0:5:0 )です

rpc hh : mm : ss は、5 分( 0:5:0 )です。

sip hh:mm: は、30 分( 0:30:0 )です。

sip-disconnect hh:mm:ss は、2 分( 0:2:0 )です。

sip-invite hh:mm:ss は、3 分( 0:3:0 )です。

sip_media hh:mm:ss は、2 分( 0:2:0 )です。

sip-provisional-media hh:mm:ss は、2 分( 0:2:0 )です。

sunrpc hh:mm:ss は、10 分( 0:10:0 )です。

uauth hh:mm:ss は、5 分( 00:5:00 absolute )です。

udp hh : mm : ss は、2 分( 00:02:00 )です。

xlate hh : mm : ss は、3 時間( 03:00:00 )です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション モード

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

mgcp-pat、 sip-disconnect、および sip-invite キーワードが追加されました。

8.1(1)

sip-provisional-media キーワードが追加されました。

 
使用上のガイドライン

timeout コマンドを使用すると、グローバル タイムアウトを設定できます。一部の機能では、 set connection timeout コマンドを実行すると、このコマンドで指定されたトラフィックを優先します。

timeout コマンドの後ろにキーワードと値を複数入力できます。

接続タイマー( conn )は、変換タイマー( xlate )に優先します。つまり、変換タイマーは、すべての接続がタイムアウトした後に初めて動作します。

次の例では、アイドル状態の最大継続時間を設定する方法を示します。

hostname(config)# timeout uauth 0:5:0 absolute uauth 0:4:0 inactivity
hostname(config)# show running-config timeout
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00
sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute uauth 0:04:00 inactivity
 

 
関連コマンド

コマンド
説明

clear configure timeout

タイムアウト コンフィギュレーションを消去し、デフォルトにリセットします。

set connection timeout

モジュラ ポリシー フレームワークを使用して、接続タイムアウトを設定します。

show running-config timeout

指定したプロトコルのタイムアウト値を表示します。

timeout(AAA サーバ ホスト)

AAA サーバとの接続の確立を中止するまでの、ホスト固有の最大応答時間を秒単位で設定するには、AAA サーバ ホスト モードで timeout コマンドを使用します。タイムアウト値を削除して、タイムアウト時間をデフォルト値の 10 秒にリセットするには、このコマンドの no 形式を使用します。

timeout seconds

no timeout

 
シンタックスの説明

seconds

要求に対するタイムアウト間隔(1 ~ 60 秒)を指定します。この時間を超えると、セキュリティ アプライアンスは、プライマリ AAA サーバへの要求を断念します。スタンバイ AAA サーバが存在する場合、セキュリティ アプライアンスは要求をそのバックアップ サーバに送信します。

 
デフォルト

デフォルトのタイムアウト値は 10 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ ホスト コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、すべての AAA サーバ プロトコル タイプに有効です。

timeout コマンドを使用して、セキュリティ アプライアンスが AAA サーバへの接続を試みる時間の長さを指定します。 retry-interval コマンドを使用して、セキュリティ アプライアンスが接続を試行する間隔を指定します。

タイムアウトは、セキュリティ アプライアンスがサーバとのトランザクションの完了に必要となる合計所要時間です。リトライ間隔は、タイムアウト期間中に通信が再試行される頻度を決定します。したがって、リトライ間隔がタイムアウト値以上の場合、再試行されません。再試行する場合は、リトライ間隔をタイムアウト値よりも小さくする必要があります。

次の例では、ホスト 1.2.3.4 上の「svrgrp1」という名前の RADIUS AAA サーバに、タイムアウト値 30 秒、リトライ間隔 10 秒を設定します。したがって、セキュリティ アプライアンスは、30 秒後に中止するまで通信を 3 度試行します。

hostname(config)# aaa-server svrgrp1 protocol radius
hostname(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
hostname(config-aaa-server-host)# timeout 30
hostname(config-aaa-server-host)# retry-interval 10
hostname(config-aaa-server-host)#
 

 
関連コマンド

コマンド
説明

aaa-server host

AAA サーバ ホスト コンフィギュレーション モードに入って、ホスト固有の AAA サーバ パラメータを設定できるようにします。

clear configure aaa-server

すべての AAA コマンド文をコンフィギュレーションから削除します。

show running-config aaa

現在の AAA コンフィギュレーション値を表示します。

timeout(dns サーバ グループ コンフィギュレーション モード)

次の DNS サーバを試すまで待機する時間を指定するには、dns サーバ グループ コンフィギュレーション モードで timeout コマンドを使用します。デフォルトのタイムアウトに戻すには、このコマンドの no 形式を使用します。

timeout seconds

no timeout [ seconds ]

 
シンタックスの説明

seconds

タイムアウトを秒単位で指定します(1 ~ 30 秒)。デフォルトは 2 秒です。セキュリティ アプライアンスが一連のサーバを試すたびに、このタイムアウトは倍増します。再試行の回数を設定するには、dns サーバ グループ コンフィギュレーション モードで retries コマンドを使用します。

 
デフォルト

デフォルトのタイムアウトは 2 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

次の例では、DNS サーバ グループの「dnsgroup1」に対してタイムアウトを 1 秒に設定しています。

hostname(config)# dns server-group dnsgroup1
hostname(config-dns-server-group)# dns timeout 1
 

 
関連コマンド

コマンド
説明

clear configure dns

ユーザが作成したすべての DNS サーバ グループを削除して、デフォルトのサーバ グループのアトリビュートをデフォルト値にリセットします。

domain-name

デフォルトのドメイン名を設定します。

retries

セキュリティ アプライアンスが応答を受信しないときに、一連の DNS サーバへのアクセスを再試行する回数を指定します。

show running-config dns server-group

現在の実行 DNS サーバ グループ コンフィギュレーションを表示します。

timeout(GTP マップ)

GTP セッションの非アクティビティ タイマーを変更するには、GTP マップ コンフィギュレーション モードで timeout コマンドを使用します。このモードには、 gtp-map コマンドを使用してアクセスできます。これらの間隔にデフォルト値を設定するには、このコマンドの no 形式を使用します。

timeout { gsn | pdp-context | request | signaling | t3-response | tunnel } hh : mm : ss

no timeout { gsn | pdp-context | request | signaling | t3-response | tunnel } hh : mm : ss

 
シンタックスの説明

hh : mm : ss

これはタイムアウトで、hh は時間、mm は分、ss は秒を示し、これら 3 つの要素はコロン(:)で分けられます。値 0 は、すぐには絶対に終了しないことを意味します。

gsn

GSN が削除されるまでの非アクティビティの継続時間を指定します。

pdp-context

PDP コンテキストの受信を開始するまでの、許可される最大時間を指定します。

request

GTP メッセージの受信を開始するまでの、許可される最大時間を指定します。

signaling

GTP シグナリングが削除されるまでの非アクティビティの継続時間を指定します。

t3-response

GTP 接続が削除されるまでに応答を待つ最長時間を指定します。

tunnel

GTP トンネルが終了するまでの非アクティビティの継続時間を指定します。

 
デフォルト

デフォルトは、 gsn pdp-context 、および signaling に対して 30 分です。

request のデフォルトは 1 分です。

tunnel のデフォルトは 1 時間です(Delete PDP Context Request を受信していない場合)。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

パケット データ プロトコル(PDP)コンテキストは、IMSI と NSAPI の組み合せであるトンネル識別子(TID)によって識別されます。各 MS は最大 15 の NSAPI を持つことができ、様々な QoS レベルのアプリケーション要件に基づいて、それぞれが異なる NSAPI を持つ複数の PDP コンテキストを作成できます。

GTP トンネルは、それぞれ別個の GSN ノードにある、2 つの関連する PDP コンテキストによって定義され、トンネル ID によって識別されます。GTP トンネルは、外部パケット データ ネットワークとモバイル ユーザの間でパケットを転送するために必要です。

次の例では、要求キューに対して 2 分のタイムアウト値を設定します。

hostname(config)# gtp-map gtp-policy
hostname(config-gtpmap)# timeout request 00:02:00
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバル GTP 統計情報を消去します。

debug gtp

GTP 検査に関する詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション検査に使用する特定の GTP マップを適用します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。

timeout(RADIUS アカウンティング)

RADIUS アカウンティングのユーザの非アクティビティ タイマーを変更するには、RADIUS アカウンティング パラメータ コンフィギュレーション モードで timeout コマンドを使用します。このモードには、 inspect radius-accounting コマンドを使用してアクセスできます。これらの間隔にデフォルト値を設定するには、このコマンドの no 形式を使用します。

timeout users hh : mm : ss

no timeout users hh : mm : ss

 
シンタックスの説明

hh : mm : ss

これはタイムアウトで、hh は時間、mm は分、ss は秒を示し、これら 3 つの要素はコロン(:)で分けられます。値 0 は、すぐには絶対に終了しないことを意味します。デフォルトは 1 時間です。

users

ユーザのタイムアウト値を指定します。

 
デフォルト

ユーザのデフォルトのタイムアウト値は 1 時間です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

RADIUS アカウンティング パラメータ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

次の例では、ユーザのタイムアウト値を 10 分に設定します。

hostname(config)# policy-map type inspect radius-accounting ra
hostname(config-pmap)# parameters
hostname(config-pmap-p)# timeout user 00:10:00
 

 
関連コマンド

コマンド
説明

inspect radius-accounting

RADIUS アカウンティングの検査を設定します。

parameters

検査ポリシー マップのパラメータを設定します。

timeout(SLA モニタ)

SLA オペレーションで要求パケットへの応答を待つ時間を設定するには、SLA モニタ プロトコル コンフィギュレーション モードで timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

timeout milliseconds

no timeout

 
シンタックスの説明

milliseconds

0 ~ 604800000

 
デフォルト

デフォルトのタイムアウト値は 5000 ミリ秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

SLA モニタ プロトコル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

SLA オペレーションで要求パケットを送信する頻度を設定するには frequency コマンドを使用し、要求への応答を受信するために待機時間を設定するには timeout コマンドを使用します。 timeout コマンドで指定する値は、 frequency コマンドで指定する値より大きくすることはできません。

次の例では、ID が 123 の オペレーションを設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。SLA オペレーションの頻度を 10 秒、しきい値を 2,500 ミリ秒、タイムアウト値を 4,000 ミリ秒に設定しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# threshold 2500
hostname(config-sla-monitor-echo)# timeout 4000
hostname(config-sla-monitor-echo)# frequency 10
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

frequency

オペレーションを繰り返す頻度を指定します。

sla monitor

監視オペレーションを定義します。

timeout pinhole

DCERPC ピンホールのタイムアウト値を設定し、グローバルなシステム ピンホール タイムアウト値である 2 分を上書きするには、パラメータ コンフィギュレーション モードで timeout pinhole コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

timeout pinhole hh:mm:ss

no timeout pinhole

 
シンタックスの説明

hh:mm:ss

ピンホール接続のタイムアウト値。0:0:1 ~ 1193:0:0 の値を指定できます。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

次の例では、DCERPC 検査ポリシー マップのピンホール接続のタイムアウト値を設定する方法を示します。

hostname(config)# policy-map type inspect dcerpc dcerpc_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# timeout pinhole 0:10:00
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

time-range

時間範囲コンフィギュレーション モードに入り、トラフィックの規則、またはアクションに関連付ける時間範囲を定義するには、グローバル コンフィギュレーション モードで time-range コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

time-range name

no time-range name

 
シンタックスの説明

name

時間範囲の名前。64 文字以下にする必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

時間範囲を作成しても、デバイスへのアクセスは制限されません。 time-range コマンドは、時間範囲だけを定義します。時間範囲を定義したら、トラフィックの規則かアクションに関連付けます。

時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended time-range コマンドと共に使用して、時間範囲を ACL にバインドします。

時間範囲は、セキュリティ アプライアンスのシステム クロックによって決まりますが、NTP で同期を取れます。

次の例では、「New_York_Minute」という時間範囲を作成し、時間範囲コンフィギュレーション モードを開始します。

hostname(config)# time-range New_York_Minute
hostname(config-time-range)#
 

時間範囲を作成し、時間範囲コンフィギュレーション モードに入ったら、 absolute キーワードと periodic キーワードを使用して時間範囲のパラメータを定義できます。 time-range コマンドの absolute キーワードおよび periodic キーワードの設定をデフォルトに戻すには、時間範囲コンフィギュレーション モードで default コマンドを使用します。

時間ベース ACL を実装するには、 time-range コマンドを使用して、週および 1 日の中の特定の時刻を定義します。次に、 access-list extended コマンドを使用して、時間範囲を ACL にバインドします。次の例では、「Sales」という ACL を「New_York_Minute」という時間範囲にバインドします。

hostname(config)# access-list Sales line 1 extended deny tcp host 209.165.200.225 host 209.165.201.1 time-range New_York_Minute
hostname(config)#
 

ACL の詳細については、 access-list extended コマンドを参照してください。

 
関連コマンド

コマンド
説明

absolute

時間範囲が有効である絶対時間を定義します。

access-list extended

セキュリティ アプライアンス経由の IP トラフィックを許可または拒否するためのポリシーを設定します。

default

time-range コマンドの absolute キーワードと periodic キーワードの設定をデフォルトに戻します。

periodic

時間範囲機能をサポートする機能に対して、定期的な(週単位の)時間範囲を指定します。

timers lsa-group-pacing

OSPF Link-State Advertisement(LSA; リンクステート アドバタイズメント)が 1 つのグループに収集され、リフレッシュ、チェックサム、またはエージングされるときの間隔を指定するには、ルータ コンフィギュレーション モードで timers lsa-group-pacing コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

timers lsa-group-pacing seconds

no timers lsa-group-pacing [ seconds ]

 
シンタックスの説明

seconds

OSPF リンクステート アドバタイズメント(LSA)が 1 つのグループに収集され、リフレッシュ、チェックサム、またはエージングされる間隔。有効な値は 10 ~ 1800 秒です。

 
デフォルト

デフォルトの間隔は 240 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

OSPF リンクステート アドバタイズメント(LSA)が 1 つのグループに収集され、リフレッシュ、チェックサム、またはエージングされるときの間隔を変更するには、 timers lsa-group-pacing seconds コマンドを使用します。デフォルトのタイマー値に戻すには、 no timers lsa-group-pacing コマンドを使用します。

次の例では、LSA のグループ処理間隔を 500 秒に設定します。

hostname(config-router)# timers lsa-group-pacing 500
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードに入ります。

show ospf

OSPF ルーティング プロセスに関する一般情報を表示します。

timers spf

Shortest Path First(SPF; 最短パス優先)計算の遅延時間と待機時間を指定します。

timers spf

最短パス優先(SPF)計算の遅延時間と待機時間を指定するには、ルータ コンフィギュレーション モードで timers spf コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

timers spf delay holdtime

no timers spf [ delay holdtime ]

 
シンタックスの説明

delay

OSPF によるトポロジ変更の受信と最短パス優先(SPF)計算の開始との間の遅延時間(1 ~ 65,535 秒)を指定します。

holdtime

2 つの連続した SPF 計算の間の待機時間(秒)で、有効な値は 1 ~ 65,535 秒です。

 
デフォルト

デフォルトは次のとおりです。

delay は 5 秒です。

holdtime は 10 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

OSPF プロトコルによるトポロジ変更受信と計算開始との間の遅延時間、および 2 つの連続した SPF 計算での待機時間を設定するには、 timers spf コマンドを使用します。デフォルトのタイマー値に戻すには、 no timers spf コマンドを使用します。

次の例では、SPF 計算の遅延時間に 10 秒、SPF 計算の待機時間に 20 秒を設定します。

hostname(config-router)# timers spf 10 20
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードに入ります。

show ospf

OSPF ルーティング プロセスに関する一般情報を表示します。

timers lsa-group-pacing

OSPF リンクステート アドバタイズメント(LSA)が収集されてリフレッシュ、チェックサム、またはエージングされる間隔を指定します。

title

WebVPN ユーザがセキュリティ アプライアンスに接続するときに WebVPN のページに表示されるタイトルをカスタマイズするには、webvpn カスタマイゼーション モードで title コマンドを使用します。

title { text | style } value

[ no ] title { text | style } value

コマンドをコンフィギュレーションから削除し、値が継承されるようにするには、このコマンドの no 形式を使用します。

 
シンタックスの説明

text

テキストを変更することを指定します。

style

スタイルを変更することを指定します。

value

実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

 
デフォルト

デフォルトのタイトル テキストは「WebVPN Service」です。

デフォルトのタイトルのスタイルは次のとおりです。

background-color:white;color:maroon;border-bottom:5px groove #669999;font-size:larger;
vertical-align:middle;text-align:left;font-weight:bold

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

Webvpn カスタマイゼーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

タイトルを入れない場合は、 value の引数なしで title text コマンドを使用します。

style オプションは、有効な Cascading Style Sheet(CSS)パラメータとして表現されます。このパラメータの説明は、このマニュアルでは取り扱いません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト www.w3.org の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手可能です。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)について 0 ~ 255 の範囲で 10 進値を入力します。このカンマ区切りのエントリは、他の 2 色と混合する各色の輝度のレベルを示しています。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番目は赤を、3 番目と 4 番目は緑を、5 番目と 6 番目は青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することをお勧めします。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するのに便利な機能があります。


次の例では、タイトルを「Cisco WebVPN Service」というテキストでカスタマイズします。

hostname(config)# webvpn
hostname(config-webvpn)# customization cisco
hostname(config-webvpn-custom)# title text Cisco WebVPN Service
 

 
関連コマンド

コマンド
説明

logo

WebVPN ページのロゴをカスタマイズします。

page style

Cascading Style Sheet(CSS)パラメータを使用して WebVPN ページをカスタマイズします。

tls-proxy

TLS コンフィギュレーション モードで TLS プロキシ インスタンスを設定するか、または最大セッションを設定するには、グローバル コンフィギュレーション モードで tls-proxy コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

tls-proxy [maximum-sessions max_sessions | proxy_name]

no tls-proxy [maximum-sessions max_sessions | proxy_name]

 
シンタックスの説明

max_sessions max_sessions

プラットフォームでサポートする TLS プロキシ セッションの最大数を指定します。

proxy_name

TLS プロキシ インスタンスの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

8.0(2)

このコマンドが導入されました。

 
使用上のガイドライン

tls-proxy コマンドを使用して TLS プロキシ コンフィギュレーション モードに入り、TLS プロキシ インスタンスを作成するか、またはプラットフォームでサポートされる最大セッションを設定します。

ジャンボ フレームを使用する場合は TCP の MSS(最大セグメント サイズ)値も設定してください。MSS は MTU より 120 バイト少ないサイズにします。たとえば、MTU を 9000 に設定した場合、MSS は 8880 に設定する必要があります。MSS は sysopt connection tcpmss .コマンドで設定できます。

フェールオーバー ペアがジャンボ フレームをサポートするよう、プライマリ装置およびセカンダリ装置の両方をリブートする必要があります。ダウンタイムを回避するには、次の内容を実行します。

アクティブな装置でコマンドを発行します。

アクティブな装置で実行コンフィギュレーションを保存します。

一度に 1 つずつプライマリ装置およびセカンダリ装置をリブートします。

次の例では、TLS プロキシ インスタンスを作成する方法を示します。

hostname(config)# tls-proxy my_proxy
hostname(config-tlsp)# server trust-point ccm_proxy
hostname(config-tlsp)# client ldc issuer ldc_server
hostname(config-tlsp)# client ldc keypair phone_common
 

 
関連コマンド

コマンド
説明

client

暗号スイートを定義し、ローカル ダイナミック証明書の発行者またはキー ペアを設定します。

ctl-provider

CTL プロバイダー インスタンスを定義し、プロバイダー コンフィギュレーション モードに入ります。

server trust-point

TLS ハンドシェイク中に提示するプロキシ トラストポイント証明書を指定します。

show tls-proxy

TLS プロキシを表示します。

tos

SLA オペレーションの要求パケットの IP ヘッダーでタイプ オブ サービス(ToS)バイトを定義するには、SLA モニタ プロトコル コンフィギュレーション モードで tos コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

tos number

no tos

 
シンタックスの説明

number

IP ヘッダーで使用するサービス タイプの値。有効な値は 0 ~ 255 です。

 
デフォルト

デフォルトは 0 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

SLA モニタ プロトコル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このフィールドには、遅延、優先度、信頼性などの情報が入っています。ネットワークにある他のルータのポリシー ルーティングや、専用アクセス レートなどの機能で使用されます。

次の例では、ICMP エコー要求/応答時間プローブ オペレーションを使用する、ID が 123 の オペレーションを設定しています。また、エコー要求パケットのペイロード サイズを 48 バイト、SLA オペレーション中に送信するエコー要求の数を 5、タイプ オブ サービス バイトを 80 に設定しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# num-packets 5
hostname(config-sla-monitor-echo)# request-data-size 48
hostname(config-sla-monitor-echo)# tos 80
hostname(config-sla-monitor-echo)# timeout 4000
hostname(config-sla-monitor-echo)# threshold 2500
hostname(config-sla-monitor-echo)# frequency 10
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

num-packets

オペレーション中に送信する要求パケットの数を指定します。

request-data-size

要求パケットのペイロードのサイズを指定します。

sla monitor

監視オペレーションを定義します。

type echo

オペレーションをエコー応答時間プローブ オペレーションとして設定します。

traceroute

パケットが宛先に到達するまでにたどるルートを調査するには、 traceroute コマンドを使用します。

traceroute destination_ip | hostname [ source source_ip | source-interface ] [ numeric ] [ timeout timeout_value ] [ probe probe_num ] [ ttl min_ttl max_ttl ] [ port port_value ] [ use-icmp ]

 
シンタックスの説明

destination_ip

traceroute の宛先 IP アドレスを指定します。

hostname

ルートをトレースする先のホストのホスト名。ホスト名を指定する場合は、 name コマンドを使用して定義するか、DNS サーバを設定して traceroute がホスト名を IP アドレスに名前解決できるようにします。www.example.com などの DNS ドメイン名がサポートされています。

source

トレース パケットの送信元となる IP アドレスまたはインターフェイスを指定します。

source_ip

パケット トレースの送信元の IP アドレスを指定します。この IP アドレスは、送信元インターフェイスの IP アドレスでなければなりません。透過モードでは、セキュリティ アプライアンスの管理 IP アドレスを指定する必要があります。

source_interface

パケット トレースの送信元インターフェイスを指定します。指定した場合は、送信元のインターフェイスの IP アドレスが使用されます。

numeric

このコマンドの出力に、中間のゲートウェイの IP アドレスだけが表示されるようにします。このキーワードを指定しないと、トレース中に到達したゲートウェイのホスト名が検索されます。

timeout

使用するタイムアウト値を指定します。

timeout_value

接続がタイムアウトになるまでに、応答を待つ時間を秒単位で指定します。デフォルトは 3 秒です。

probe
probe_num

TTL の各レベルで送信するプローブの数。デフォルトは 3 です。

ttl

プローブで使用する Time To Live(TTL; 存続可能時間)の範囲を指定するキーワード。

min_ttl

最初のプローブの TTL の値。デフォルトは 1 ですが、高い値に設定して、既知のホップが表示されないようにすることもできます。

max-ttl

使用できる TTL の最大値。デフォルトは 30 です。トレースルート パケットが宛先に到達するか、TTL がこの値になるとコマンドは終了します。

port
port_value

User Datagram Protocol(UDP; ユーザ データグラム プロトコル)プローブ メッセージで使用する宛先ポート。デフォルトは 33434 です。

use-icmp

UDP プローブ パケットではなく、ICMP プローブ パケットを使用することを指定します。

 
デフォルト

このコマンドにデフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

traceroute コマンドは、送信された各プローブの結果を出力します。出力の各行が 1 つの TTL 値に対応します(昇順)。次の表に、 traceroute コマンドによって出力される出力記号を示します。

出力に示される記号
説明

*

タイムアウトの期間内にプローブへの応答を受信しませんでした。

nn msec

各ノードで、指定した数のプローブのラウンドトリップにかかる時間(ミリ秒)。

!N.

ICMP ネットワークに到達できません。

!H

ICMP のホストに到達できません。

!P

ICMP プロトコルが見つかりません。

!A

ICMP が設定によって禁止されています。

?

ICMP の原因不明のエラーが発生しました。

次の例では、traceroute コマンドで宛先 IP アドレスを指定した場合の出力を示します。

hostname# traceroute 209.165.200.225
 
Tracing the route to 209.165.200.225
 
1 10.83.194.1 0 msec 10 msec 0 msec
2 10.83.193.65 0 msec 0 msec 0 msec
3 10.88.193.101 0 msec 10 msec 0 msec
4 10.88.193.97 0 msec 0 msec 10 msec
5 10.88.239.9 0 msec 10 msec 0 msec
6 10.88.238.65 10 msec 10 msec 0 msec
7 172.16.7.221 70 msec 70 msec 80 msec
8 209.165.200.225 70 msec 70 msec 70 msec
 

 
関連コマンド

コマンド
説明

capture

トレース パケットを含めて、パケット情報をキャプチャします。

show capture

オプションが何も指定されていない場合は、キャプチャのコンフィギュレーションを表示します。

packet-tracer

パケットのトレース機能をイネーブルにします。

track rtr

SLA オペレーションの到達可能性を調べるには、グローバル コンフィギュレーション モードで track rtr コマンドを使用します。SLA トラッキングを削除するには、このコマンドの no 形式を使用します。

track track-id rtr sla-id reachabilitity

no track track-id rtr sla-id reachabilitity

 
シンタックスの説明

reachability

オブジェクトの到達可能性を追跡することを指定します。

sla-id

トラッキング エントリで使用する の ID。

track-id

トラッキング エントリのオブジェクト ID を作成します。有効な値は 1 ~ 500 です。

 
デフォルト

SLA のトラッキングはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

track rtr コマンドで、トラッキング エントリのオブジェクト ID を作成し、そのエントリで使用する SLA を指定します。

オペレーションごとに、オペレーション戻りコード値が保持されます。この値は、トラッキング プロセスで解釈されます。戻りコードには、OK、Over Threshold、およびその他の複数のものがあります。 表 31-4 に、戻りコードが意味するオブジェクトの到達可能性の状態を示します。

 

表 31-4 SLA トラッキングの戻りコード

トラッキング
戻りコード
トラッキング状態

到達可能性

OK または Over Threshold

アップ

その他のコード

ダウン

次の例では、ID が 123 の SLA オペレーションを設定し、ID が 1 のトラッキング エントリを作成して、SLA の到達可能性を追跡しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# timeout 1000
hostname(config-sla-monitor-echo)# frequency 3
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

route

スタティック ルートを設定します。

sla monitor

監視オペレーションを定義します。

traffic-non-sip

既知の SIP シグナリング ポートを使用して SIP 以外のトラフィックを許可するには、パラメータ コンフィギュレーション モードで traffic-non-sip コマンドを使用します。パラメータ コンフィギュレーション モードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

traffic-non-sip

no traffic-non-sip

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

このコマンドは、デフォルトではイネーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

次の例では、SIP 検査ポリシー マップで、既知の SIP シグナリング ポートを使用した SIP 以外のトラフィックを許可する方法を示します。

hostname(config)# policy-map type inspect sip sip_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# traffic-non-sip

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

transfer-encoding

転送符号化タイプを指定することで HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで transfer-encoding コマンドを使用します。このモードには、 http-map コマンドを使用してアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

transfer-encoding type { chunked | compress | deflate | gzip | identity | default } action { allow | reset | drop } [ log ]

no transfer-encoding type { chunked | compress | deflate | gzip | identity | default } action { allow | reset | drop } [ log ]

 
シンタックスの説明

action

指定した転送符号化タイプを使用している接続が検出された場合に実行されるアクションを指定します。

allow

メッセージを許可します。

chunked

メッセージ本文が一連のチャンクとして転送される転送符号化タイプを識別します。

compress

UNIX ファイル圧縮を使用してメッセージ本文が転送される転送符号化タイプを識別します。

default

サポートされている要求メソッドがトラフィックに含まれていて、そのメソッドが設定済みリストに記載されていない場合に、セキュリティ アプライアンスが実行するデフォルト アクションを指定します。

deflate

zlib 形式(RFC 1950)およびデフレート圧縮(RFC 1951)を使用して、メッセージ本文が転送される転送符号化タイプを識別します。

drop

接続を終了します。

gzip

GNU zip(RFC 1952)を使用してメッセージ本文が転送される転送符号化タイプを識別します。

identity

転送符号化が実行されていないメッセージ本文の接続を識別します。

log

(オプション)syslog を生成します。

reset

TCP リセット メッセージをクライアントまたはサーバに送信します。

type

HTTP アプリケーション検査を通して制御される転送符号化タイプを指定します。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。コマンドがイネーブルで、サポートされる転送符号化タイプが指定されていない場合、デフォルトのアクションは接続をロギングなしで許可します。デフォルト アクションを変更するには、 default キーワードを使用して別のデフォルト アクションを指定します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

HTTP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

transfer-encoding コマンドをイネーブルにする場合、セキュリティ アプライアンスは、サポートおよび設定された各転送符号化タイプの HTTP 接続に、指定したアクションを適用します。

セキュリティ アプライアンスは、設定したリストの転送符号化タイプに一致 しない すべてのトラフィックに、 default アクションを適用します。事前設定済みの default アクションでは、接続をロギングなしで allow します。

たとえば、事前設定済みのデフォルトのアクションが与えられ、 drop および log のアクションを伴う符号化タイプを 1 つ以上指定する場合、セキュリティ アプライアンスは設定済みの符号化タイプを含む接続をドロップして、各接続のログを記録し、サポートされるその他の符号化タイプに対してすべての接続を許可します。

より厳しいポリシーを設定する場合は、デフォルト アクションを drop (または reset )および log に変更します(イベントをログに記録する場合)。次に、 allow アクションを使用して、許容される符号化タイプをそれぞれ設定します。

適用する各設定に対して、 transfer-encoding コマンドを 1 度入力します。 transfer-encoding コマンドの 1 つのインスタンスはデフォルト アクションの変更に使用し、もう 1 つのインスタンスは設定済みの転送符号化タイプのリストに各符号化タイプを追加するために使用します。

このコマンドの no 形式を使用して、設定済みのアプリケーション タイプのリストからアプリケーション カテゴリを削除する場合は、アプリケーション カテゴリのキーワードの後ろに入力した文字がすべて無視されます。

次の例では、事前設定済みのデフォルトを使用して、緩やかなポリシーを指定しています。サポートされているすべてのアプリケーション タイプを、個別に拒否されていない限り許可します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# transfer-encoding gzip drop log
hostname(config-http-map)#
 

この場合、GNU zip を使用した接続だけがドロップされ、イベントのログが記録されます。

次の例では、特に許可されていない任意の符号化タイプに対し、接続をリセットしてイベントをログに記録するようにデフォルト アクションを変更した厳しいポリシーを指定します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# port-misuse default action reset log
hostname(config-http-map)# port-misuse identity allow
hostname(config-http-map)#
 

この場合、転送符号化を使用していない接続だけが許可されます。サポートされるその他の符号化タイプの HTTP トラフィックを受信した場合、セキュリティ アプライアンスは接続をリセットして、syslog エントリを作成します。

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug appfw

高度な HTTP 検査に関連付けられているトラフィックに関する詳細情報を表示します。

http-map

高度な HTTP 検査を設定するための HTTP マップを定義します。

inspect http

アプリケーション検査用に特定の HTTP マップを適用します。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

trust-point

IKE ピアに送信される証明書を識別するトラストポイントの名前を指定するには、トンネル グループ IPSec アトリビュート モードで trust-point コマンドを使用します。トラストポイント仕様を削除するには、このコマンドの no 形式を使用します。

trust-point trust-point-name

no trust-point trust-point-name

 
シンタックスの説明

trust-point-name

使用するトラストポイントの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ IPSec アトリビュート

--

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このアトリビュートは、すべての IPSec トンネル グループ タイプに適用できます。

次の例は config-ipsec コンフィギュレーション モードで入力され、209.165.200.225 という名前の IPSec LAN-to-LAN トンネル グループの IKE ペアに送られる証明書を識別するためのトラストポイントを設定します。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-tunnel-ipsec)# trust-point mytrustpoint
 

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネル グループ ipsec アトリビュートを設定します。

trustpoint(SSO サーバ)

SAML POST タイプの SSO サーバに送信する証明書を識別するトラストポイントの名前を指定するには、config-webvpn-sso-saml モードで trustpoint コマンドを使用します。トラストポイント仕様を削除するには、このコマンドの no 形式を使用します。

trustpoint trustpoint-name

no trustpoint trustpoint-name

 
シンタックスの説明

trustpoint-name

使用するトラストポイントの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

Config-webvpn-sso-saml

--

--

--

 
コマンドの履歴

リリース
変更内容

7.3

このコマンドが導入されました。

 
使用上のガイドライン

シングル サインオンは、WebVPN でのみサポートされています。これにより、ユーザはユーザ名とパスワードを一度だけ入力すれば、さまざまなサーバで各種のセキュアなサービスにアクセスできます。セキュリティ アプライアンスは現在、SAML POST タイプの SSO サーバと SiteMinder タイプの SSO サーバをサポートしています。

このコマンドは、SAML タイプの SSO サーバにだけ適用されます。

トラストポイントは認証局 ID を表し、特に証明書パスの最初の公開鍵として使用される公開鍵証明書など、検証テストを行わなくても有効と見なされて信頼することができる CA 発行証明書を基にしています。

次の例では、SAML POST タイプ SSO サーバに送信する証明書を識別するために、config-webvpn-sso-saml モードでトラストポイントに名前を付けています。

hostname(config-webvpn)# sso server
hostname(config-webvpn-sso-saml)# trustpoint mytrustpoint
 

 
関連コマンド

コマンド
説明

crypto ca trustpoint

トラストポイント情報を管理します。

show webvpn sso-server

セキュリティ デバイスに設定されている全 SSO サーバの動作統計情報を表示します。

sso-server

SSO サーバのタイプを作成および指定し、名前を付けます。

tsig enforced

TSIG リソース レコードを必須とするには、パラメータ コンフィギュレーション モードで tsig enforced コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

tsig enforced action {drop [log] | log}

no tsig enforced [action {drop [log] | log}]

 
シンタックスの説明

drop

TSIG が存在しない場合に、パケットをドロップします。

log

システム メッセージ ログを生成します。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、DNS トランザクションにおいて、TSIG の監視をイネーブルにし、TSIG が必ず存在することを要求します。

次の例では、DNS 検査ポリシー マップで TSIG 強制をイネーブルにする方法を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# tsig enforced action log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップに含めるクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するための検査クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のすべてのポリシー マップ コンフィギュレーションを表示します。

ttl-evasion-protection

Time-To-Live 回避保護をディセーブルにするには、tcp マップ コンフィギュレーション モードで ttl-evasion-protection コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

ttl-evasion-protection

no ttl-evasion-protection

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

セキュリティ アプライアンスが提供する TTL 回避保護は、デフォルトでイネーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

tcp マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

tcp-map コマンドをモジュラ ポリシー フレームワーク インフラストラクチャと共に使用します。トラフィックのクラスを class-map コマンドを使用して定義し、TCP 検査を tcp-map コマンドを使用してカスタマイズします。その新しい TCP マップを policy-map コマンドを使用して適用します。TCP 検査を service-policy コマンドを使用して有効にします。

tcp-map コマンドを使用して、tcp マップ コンフィギュレーション モードに入ります。tcp マップ コンフィギュレーション モードで ttl-evasion-protection コマンドを使用して、セキュリティ ポリシーを回避しようとした攻撃を防止します。

たとえば、攻撃者は非常に短い TTL を持つポリシーを通過するパケットを送信できます。TTL が 0 になると、セキュリティ アプライアンスとエンドポイントの間のルータはパケットをドロップします。攻撃者は、この時点で長い TTL を持つ悪意のあるパケットを送信できます。セキュリティ アプライアンスはこのパケットを再送と見なし、通過させます。ただし、エンドポイントのホストでは、このパケットが攻撃者より受信した最初のパケットとなります。このような場合、攻撃者は攻撃を防ぐセキュリティがなくても成功します。この機能をイネーブルにすると、このような攻撃を防ぐことができます。

次の例では、ネットワーク 10.0.0.0 から 20.0.0.0 へのフローで TTL 回避保護をディセーブルにする方法を示します。

hostname(config)# access-list TCP1 extended permit tcp 10.0.0.0 255.0.0.0 20.0.0.0 255.0.0.0
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# ttl-evasion-protection disable
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP1
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

policy-map

ポリシー(トラフィック クラスと 1 つまたは複数のアクションのアソシエーション)を設定します。

set connection

接続値を設定します。

tcp-map

TCP マップを作成し、tcp マップ コンフィギュレーション モードにアクセスできるようにします。

tunnel-group

IPSec および WebVPN トンネルに対する接続固有のレコードのデータベースを作成し、管理するには、グローバル コンフィギュレーション モードで tunnel-group コマンドを使用します。トンネル グループを削除するには、このコマンドの no 形式を使用します。

tunnel-group name type type

no tunnel-group name

 
シンタックスの説明

name

トンネル グループの名前を指定します。これには、任意の文字列を選択できます。名前が IP アドレスの場合は、通常、ピアの IP アドレスとなります。

type

トンネル グループのタイプを次のように指定します。

remote-access:ユーザは、IPSec リモート アクセス、または WebVPN(ポータルまたはトンネル クライアント)を使用して接続できます。

ipsec-l2l:IPsec LAN-to-LAN を指定し、2 つのサイトまたは LAN を、インターネットのようなパブリック ネットワーク全体で安全に接続できます。

セキュリティ アプライアンスは、これらのタイプをリモート アクセス タイプに変換します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

注を参照してください。

--

--


) tunnel-group コマンドは、透過ファイアウォール モードで使用して、LAN-to-LAN トンネル グループのコンフィギュレーションを許可できますが、リモートアクセス グループまたは WebVPN グループは許可できません。また、LAN-to-LAN で使用できるすべての tunnel-group コマンドは、透過ファイアウォール モードでも使用できます。


 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.1(1)

webvpn タイプが追加されました。

8.0(2)

リモート アクセス タイプが追加され、ipsec-ra タイプと webvpn タイプが廃止されました。

 
使用上のガイドライン

セキュリティ アプライアンスには、次のデフォルト トンネル グループがあります。

DefaultRAGroup:デフォルトの IPSec リモート アクセス トンネル グループ

DefaultL2LGroup:デフォルトの IPSec LAN-to-LAN トンネル グループ

DefaultWEBVPNGroup:デフォルトの WebVPN トンネル グループ

これらのグループの変更はできますが、削除はできません。セキュリティ アプライアンスは、トンネル ネゴシエーション中に特定のトンネル グループが識別されない場合、これらのグループを使用して、リモートアクセスおよび LAN-to-LAN トンネル グループに対してデフォルトのトンネル パラメータを設定します。

tunnel-group コマンドを入力した後、特定のトンネル グループに特定のアトリビュートを設定するには、次のコマンドから適切なものを入力します。それぞれのコマンドは、トンネル グループ アトリビュートを設定するためのコンフィギュレーション モードに入ります。

tunnel-group general-attributes

tunnel-group ipsec-attributes

tunnel-group webvpn-attributes

tunnel-group ppp-attributes

次の例は、グローバル コンフィギュレーション モードで入力されています。最初のコマンドは、リモート アクセス トンネル グループを設定します。グループ名は group1 です。

hostname(config)# tunnel-group group1 type remote-access
hostname(config)#
 

次の例では、「group1」という名前の webvpn トンネル グループを設定する tunnel-group コマンドを示します。このコマンドはグローバル コンフィギュレーション モードで入力します。

hostname(config)# tunnel-group group1 type webvpn
hostname(config)#
 

 
関連コマンド

コマンド
説明

clear configure tunnel-group

設定されているすべてのトンネル グループを消去します。

show running-config tunnel-group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

一般トンネル グループ アトリビュートを設定する config-general モードに入ります。

tunnel-group ipsec-attributes

IPSec トンネル グループ アトリビュートを設定する config-ipsec モードに入ります。

tunnel-group ppp-attributes

L2TP 接続の PPP を設定する config-ppp モードに入ります。

tunnel-group webvpn-attributes

WebVPN トンネル グループ アトリビュートを設定する config-webvpn モードに入ります。

tunnel-group general-attributes

一般アトリビュート コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで tunnel-group general-attributes コマンドを使用します。このモードは、サポートされるすべてのトンネリング プロトコルに共通の値を設定するために使用されます。

一般アトリビュートをすべて削除するには、このコマンドの no 形式を使用します。

tunnel-group name general-attributes

no tunnel-group name general- attributes

 
シンタックスの説明

general- attributes

このトンネル グループのアトリビュートを指定します。

name

トンネル グループの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.1(1)

さまざまなアトリビュートが他のトンネル グループ タイプから一般トンネル グループ アトリビュート リストに移され、トンネル グループ一般アトリビュート モードのプロンプトが変更されました。

次の例は、グローバル コンフィギュレーション モードでコマンドを入力し、LAN-to-LAN ピアの IP アドレスを使用してリモート アクセス接続用のリモート アクセス トンネル グループを作成してから、一般アトリビュート コンフィギュレーション モードに入ってトンネル グループ一般アトリビュートを設定します。トンネル グループの名前は、209.165.200.225 です。

hostname(config)# tunnel-group 209.165.200.225 type remote-access
hostname(config)# tunnel-group 209.165.200.225 general-attributes
hostname(config-tunnel-general)#
 

次の例はグローバル コンフィギュレーション モードで入力され、IPSec リモートアクセス接続用の「remotegrp」という名前のトンネル グループを作成してから一般コンフィギュレーション モードに入り、「remotegrp」という名前のトンネル グループ用の一般アトリビュートを設定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp general
hostname(config-tunnel-general)
 

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体、または特定のトンネル グループのみを消去します。

show running-config tunnel-group

指定したトンネル グループまたはすべてのトンネル グループの現在の実行トンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続に固有なレコードのデータベースを作成および管理します。

tunnel-group ipsec-attributes

ipsec アトリビュート コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで tunnel-group ipsec-attributes コマンドを使用します。このモードは、IPSec トンネリング プロトコルに限定される値を設定するために使用されます。

IPSec アトリビュートをすべて削除するには、このコマンドの no 形式を使用します。

tunnel-group name ipsec-attributes

no tunnel-group name ipsec- attributes

 
シンタックスの説明

ipsec- attributes

このトンネル グループのアトリビュートを指定します。

name

トンネル グループの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

7.1(1)

さまざまな IPSec トンネル グループ アトリビュートが一般トンネル グループ アトリビュート リストに移され、トンネル グループ ipsec アトリビュート モードのプロンプトが変更されました。

次の例はグローバル コンフィギュレーションで入力され、remotegrp という名前の IPSec リモートアクセス トンネル グループ用のトンネル グループを作成してから、IPSec グループ アトリビュートを指定します。

hostname(config)# tunnel-group remotegrp type ipsec_ra
hostname(config)# tunnel-group remotegrp ipsec-attributes
hostname(config-tunnel-ipsec)

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体、または特定のトンネル グループのみを消去します。

show running-config tunnel-group

指定したトンネル グループまたはすべてのトンネル グループの現在の実行トンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続に固有なレコードのデータベースを作成および管理します。

tunnel-group ppp-attributes

PPP アトリビュート コンフィギュレーション モードに入り、L2TP over IPSec 接続で使用する PPP を設定するには、グローバル コンフィギュレーション モードで tunnel-group ppp-attributes コマンドを使用します。

PPP アトリビュートをすべて削除するには、このコマンドの no 形式を使用します。

tunnel-group name ppp-attributes

no tunnel-group name ppp- attributes

 
シンタックスの説明

name

トンネル グループの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

  1. PPP 設定は、Layer 2 Tunneling Protocol(L2TP)で使用されます。これは、リモート クライアントがパブリック IP ネットワークにダイヤルアップ接続して、企業のプライベート ネットワーク サーバと安全に通信できるようにする VPN トンネリング プロトコルです。L2TP は、クライアント/サーバ モデルに基づいており、PPP over UDP(ポート 1701)を使用してデータをトンネリングします。トンネル グループのすべての PPP コマンドは、PPPoE トンネル グループ タイプで使用できます。

次の例では、 telecommuters というトンネル グループを作成し、PPP アトリビュート コンフィギュレーション モードに入ります。

hostname(config)# tunnel-group telecommuters type pppoe
hostname(config)# tunnel-group telecommuters ppp-attributes
hostname(tunnel-group-ppp)#

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体、または特定のトンネル グループのみを消去します。

show running-config tunnel-group

指定したトンネル グループまたはすべてのトンネル グループの現在の実行トンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続に固有なレコードのデータベースを作成および管理します。

tunnel-group webvpn-attributes

WebVPN アトリビュート コンフィギュレーション モードに入るには、グローバル コンフィギュレーション モードで tunnel-group webvpn-attributes コマンドを使用します。このモードは WebVPN トンネリングに共通した値を設定します。

WebVPN アトリビュートをすべて削除するには、このコマンドの no 形式を使用します。

tunnel-group name webvpn-attributes

no tunnel-group name webvpn- attributes

 
シンタックスの説明

webvpn- attributes

このトンネル グループの WebVPN アトリビュートを指定します。

name

トンネル グループの名前を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンドの履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

次の例はグローバル コンフィギュレーション モードで入力され、LAN-to-LAN ピアの IP アドレスを使用して WebVPN 接続用のトンネル グループを作成してから webvpn コンフィギュレーション モードに入り、WebVPN アトリビュートを設定します。トンネル グループの名前は、209.165.200.225 です。

hostname(config)# tunnel-group 209.165.200.225 type webvpn
hostname(config)# tunnel-group 209.165.200.225 webvpn-attributes
hostname(config-tunnel-webvpn)#
 

次の例はグローバル コンフィギュレーション モードで入力され、WebVPN 接続用の「remotegrp」という名前のトンネル グループを作成してから webvpn コンフィギュレーション モードに入り、「remotegrp」という名前のトンネル グループ用の WebVPN アトリビュートを設定します。

hostname(config)# tunnel-group remotegrp type webvpn
hostname(config)# tunnel-group remotegrp webvpn-attributes
hostname(config-tunnel-webvpn)#
 

 
関連コマンド

コマンド
説明

clear configure tunnel-group

トンネル グループ データベース全体、または特定のトンネル グループのみを消去します。

show running-config tunnel-group

指定したトンネル グループまたはすべてのトンネル グループの現在の実行トンネル グループ コンフィギュレーションを表示します。

tunnel-group

IPSec および WebVPN トンネルの接続に固有なレコードのデータベースを作成および管理します。

tunnel-group-map default-group

tunnel-group-map default-group コマンドは、他の設定済みの方法でトンネル グループ名を判別できなかった場合に、使用するデフォルトのトンネル グループ名を指定します。

tunnel-group-map を削除するには、このコマンドの no 形式を使用します。

tunnel-group-map [ rule-index ] default-group tunnel-group-name

no tunnel-group-map

 
シンタックスの説明

 
シンタックスの説明シンタックスの説明

default-group tunnel-group-name

他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネル グループを指定します。 tunnel-group name は、既存である必要があります。

rule index

オプション。 crypto ca certificate map コマンドで指定したパラメータを参照します。値は、1 ~ 65535 です。

 
デフォルト

tunnel-group-map default-group のデフォルト値は、DefaultRAGroup です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

tunnel-group-map コマンドは、証明書ベースの IKE セッションをトンネル グループにマップするポリシーと規則を設定します。 crypto ca certificate map コマンドを使用して作成された証明書マップ エントリをトンネル グループに関連付けるには、グローバル コンフィギュレーション モードで tunnel-group-map コマンドを使用します。各呼び出しが一意であり、マップ インデックスを 2 回以上参照しない限り、このコマンドを複数回実行できます。

crypto ca certificate map コマンドは、証明書マッピング規則の優先順位付きリストを管理します。定義できるマップは 1 つのみです。ただし、このマップで 65,535 個までの規則を保持できます。詳細については、 crypto ca certificate map コマンドのマニュアルを参照してください。

証明書からトンネル グループ名を取得する処理は、トンネル グループに関連付けられていない証明書マップのエントリを無視します(どのマップ規則もこのコマンドでは識別されません)。

次の例はグローバル コンフィギュレーション モードで入力され、他の設定済みメソッドで名前を取得できない場合に使用されるデフォルトのトンネル グループを指定します。使用するトンネル グループの名前は、group1 です。

hostname(config)# tunnel-group-map default-group group1
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca certificate map

crypto ca 証明書マップ モードに入ります。

subject-name(暗号 CA 証明書マップ)

規則エントリ文字列との比較対象となる、CA 証明書に含まれている DN を指定します。

tunnel-group-map enable

証明書ベースの IKE セッションをトンネル グループにマップするポリシーと規則を設定します。

tunnel-group-map enable

tunnel-group-map enable コマンドは、証明書ベースの IKE セッションをトンネル グループにマップするポリシーと規則を設定します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

tunnel-group-map [ rule-index ] enable policy

no tunnel-group-map enable [ rule-index ]

 
シンタックスの説明

 
シンタックスの説明シンタックスの説明

policy

証明書からトンネル グループ名を取得するポリシーを指定します。 policy は、次のいずれかになります。

ike-id :トンネル グループが規則の検索に基づいて決定されない、または ou から取得されない場合、 証明書ベースの IKE セッションはフェーズ 1 IKE ID のコンテンツに基づいたトンネル グループにマップされることを示します。

ou :トンネル グループが規則の検索に基づいて決定されない場合、サブジェクト認定者名(DN)の組織ユニット(OU)の値を使用することを示します。

peer-ip :トンネル グループが規則の検索に基づいて決定されないか、ou または ike-id メソッドから取得されない場合、確立されたピア IP アドレスを使用することを示します。

rules :証明書ベースの IKE セッションは、このコマンドにより設定された証明書マップ結合に基づいてトンネル グループにマップされることを示します。

rule index

オプション。 crypto ca certificate map コマンドで指定したパラメータを参照します。値は、1 ~ 65535 です。

 
デフォルト

tunnel-group-map コマンドのデフォルト値は、 enable ou で、 default-group は、DefaultRAGroup に設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

crypto ca certificate map コマンドは、証明書マッピング規則の優先順位付きリストを管理します。定義できるマップは 1 つのみです。ただし、このマップで 65,535 個までの規則を保持できます。詳細については、 crypto ca certificate map コマンドのマニュアルを参照してください。

次の例では、フェーズ 1 IKE ID のコンテンツに基づいて、トンネル グループへの証明書ベースの IKE セッションのマッピングをイネーブルにします。

hostname(config)# tunnel-group-map enable ike-id
hostname(config)#
 

次の例では、確立されたピアの IP アドレスに基づいて、トンネル グループへの証明書ベースの IKE セッションのマッピングをイネーブルにします。

hostname(config)# tunnel-group-map enable peer-ip
hostname(config)#
 

次の例では、サブジェクト認定者名(DN)の組織ユニット(OU)に基づいて証明書ベースの IKE セッションのマッピングをイネーブルにします。

hostname(config)# tunnel-group-map enable ou
hostname(config)#
 

次の例では、確立した規則に基づいて、証明書ベースの IKE セッションのマッピングをイネーブルにします。

hostname(config)# tunnel-group-map enable rules
hostname(config)#

 
関連コマンド

コマンド
説明

crypto ca certificate map

CA 証明書マップ モードを開始します。

subject-name(暗号 CA 証明書マップ)

規則エントリ文字列との比較対象となる、CA 証明書に含まれている DN を指定します。

tunnel-group-map default-group

既存のトンネル グループ名をデフォルト トンネル グループとして指定します。

tunnel-limit

セキュリティ アプライアンスでアクティブになることを許可されている GTP トンネルの最大数を指定するには、GTP マップ コンフィギュレーション モードで tunnel limit コマンドを使用します。このモードには、 gtp-map コマンドを使用してアクセスできます。トンネル制限をデフォルトに戻すには、 no を使用します。

tunnel-limit max_tunnels

no tunnel-limit max_tunnels

 
シンタックスの説明

max_tunnels

これは、トンネルの許容最大数です。グローバルなトンネル制限全体の範囲は、1 ~ 4,294,967,295 です。

 
デフォルト

トンネル制限のデフォルトは 500 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドで指定されたトンネル数に到達すると、新しい要求はドロップされます。

次の例では、GTP トラフィックに最大 10,000 トンネルを指定します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# tunnel-limit 10000
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバル GTP 統計情報を消去します。

debug gtp

GTP 検査に関する詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション検査に使用する特定の GTP マップを適用します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。

tx-ring-limit

プライオリティ キューの深さを指定するには、プライオリティ キュー モードで tx-ring-limit コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

tx-ring-limit number-of-packets

no tx-ring-limit number-of-packets

 
シンタックスの説明

number-of-packets

イーサネット送信ドライバが許容できる低遅延パケットまたは標準の優先順位のパケットの最大数を指定します。このパケットの処理が終わると、イーサネット送信ドライバは輻輳が解消するまで、インターフェイス上のパケットをバッファしているキューの処理に戻ります。値の範囲の上限は、実行時に動的に決まります。この上限値を表示するには、コマンドラインで help または ? と入力します。主な決定要素は、キューのサポートに必要となるメモリと、デバイス上で使用可能なメモリの量です。

 
デフォルト

デフォルトの tx-ring-limit は、128 パケットです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

プライオリティ キュー コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

セキュリティ アプライアンスは、2 つのクラスのトラフィックを許可します。1 つは優先順位が高く、遅延に影響されやすいトラフィック(音声やビデオなど)用の Low-Latency Queuing(LLQ; 低遅延キューイング)で、もう 1 つは、それ以外のすべてのトラフィック用のベストエフォート(デフォルト)です。セキュリティ アプライアンスは、優先トラフィックを認識し、適切な Quality of Service(QoS; サービス品質)ポリシーを適用します。プライオリティ キューのサイズと項目数を設定することで、トラフィック フローを微調整できます。

プライオリティ キューイングを有効にするには、 priority-queue コマンドを使用して、インターフェイスのプライオリティ キューをあらかじめ作成しておく必要があります。1 つの priority-queue コマンドを、 nameif コマンドで定義できるすべてのインターフェイスに対して適用できます。

priority-queue コマンドを使用すると、プライオリティ キュー モードに入ります。モードはプロンプトに表示されます。プライオリティ キュー モードでは、いつでも送信キューに入れることができるパケットの最大数( tx-ring-limit コマンド)、およびバッファに入れることのできる両タイプ(優先またはベストエフォート)のパケット数を設定できます( queue-limit コマンド)。queue-limit の数を超えると、以後のパケットはドロップされます。


) インターフェイスのプライオリティ キューイングをイネーブルにするには、priority-queue コマンドを設定する必要があります


指定する tx-ring-limit および queue-limit は、優先順位の高い低遅延キューとベストエフォート キューの両方に適用されます。tx-ring-limit は、ドライバが許容できる両タイプのパケットの数です。このパケットの処理が終わると、ドライバは輻輳が解消するまで、インターフェイスの先頭にある、パケットをバッファしているキューの処理に戻ります。一般に、これらの 2 つのパラメータを調整することによって、低遅延トラフィックのフローを最適化できます。

キューは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これが「 テール ドロップ 」です。キューがいっぱいになることを避けるには、 queue-limit コマンドを使用して、キューのバッファ サイズを大きくします。

次の例では、test というインターフェイスのプライオリティ キューを設定して、キューの上限を 240 パケット、送信キューの上限を 3 パケットと指定しています。

hostname(config)# priority-queue test
hostname(priority-queue)# queue-limit 240
hostname(priority-queue)# tx-ring-limit 3
 

 
関連コマンド

コマンド
説明

clear configure priority-queue

指定したインターフェイスの現在のプライオリティ キュー コンフィギュレーションを削除します。

priority-queue

インターフェイスにプライオリティ キューイングを設定します。

queue-limit

プライオリティ キューに入れることができるパケットの最大数を指定します。この数を超えると、以後のデータはドロップされます。

show priority-queue statistics

指定したインターフェイスのプライオリティ キュー統計情報を表示します。

show running-config priority-queue

現在のプライオリティ キュー コンフィギュレーションを表示します。 all キーワードを指定すると、このコマンドは現在のすべての priority-queue queue-limit 、および tx-ring-limit コマンドのコンフィギュレーション値を表示します。

type echo

SLA オペレーションをエコー応答時間プローブ オペレーションとして設定するには、SLA モニタ コンフィギュレーション モードで type echo コマンドを使用します。このタイプの SLA オペレーションをコンフィギュレーションから削除するには、このコマンドの no 形式を使用します。

type echo protocol ipIcmpEcho target interface if-name

no type echo protocol ipIcmpEcho target interface if-name

 
シンタックスの説明

interface if-name

nameif コマンドで指定したように、エコー要求パケットを送信するインターフェイスの名前を指定します。インターフェイスの送信元アドレスが、エコー要求パケットで送信元アドレスとして使用されます。

protocol

プロトコルを指定するキーワード。 ipIcmpEcho という値しか指定できません。この値は、エコー オペレーションで IP/ICMP エコー要求を使用することを指定します。

target

監視するオブジェクトの IP アドレスまたはホスト名。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

SLA モニタ コンフィギュレーション

--

 
コマンドの履歴

リリース
変更内容

7.2(1)

このコマンドが導入されました。

 
使用上のガイドライン

ICMP パケットのペイロードのデフォルト サイズは 28 バイトです。ICMP パケットの合計サイズは 64 バイトになります。ペイロードのサイズを変更するには、 request-data-size コマンドを使用します。

次の例では、ICMP エコー要求/応答時間プローブ オペレーションを使用する、ID が 123 の オペレーションを設定しています。ID が 1 のトラッキング エントリを作成し、SLA の到達可能性を追跡します。SLA オペレーションの頻度を 10 秒、しきい値を 2,500 ミリ秒、タイムアウト値を 4,000 ミリ秒に設定しています。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# threshold 2500
hostname(config-sla-monitor-echo)# timeout 4000
hostname(config-sla-monitor-echo)# frequency 10
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
 

 
関連コマンド

コマンド
説明

num-packets

オペレーション中に送信する要求パケットの数を指定します。

request-data-size

オペレーションの要求パケットのペイロードのサイズを指定します。

sla monitor

監視オペレーションを定義します。