Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド リファレンス Software Version 7.1(1)
mac address コマンド~ multicast-routing コマンド
mac address コマンド~ multicast-routing コマンド
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

mac address コマンド~ multicast-routing コマンド

mac address

mac-address-table aging-time

mac-address-table static

mac-learn

mac-list

management-access

management-only

map-name

map-value

mask-syst-reply

match access-list

match any

match default-inspection-traffic

match dscp

match flow ip destination-address

match interface

match ip address

match ip next-hop

match ip route-source

match metric

match port

match precedence

match route-type

match rtp

match tunnel-group

max-failed-attempts

max-header-length

max-object-size

max-uri-length

mcc

media-type

memory caller-address

memory profile enable

memory profile text

memory-size

message-length

mfib forwarding

mgcp-map

min-object-size

mkdir

mode

monitor-interface

more

mroute

mtu

multicast-routing

mac address コマンド~ multicast-routing コマンド

mac address

アクティブ装置およびスタンバイ装置の仮想 MAC アドレスを指定するには、フェールオーバー グループ コンフィギュレーション モードで mac address コマンドを使用します。デフォルトの仮想 MAC アドレスに戻すには、このコマンドの no 形式を使用します。

mac address phy_if [ active_mac ] [ standby_mac ]

no mac address phy_if [ active_mac ] [ standby_mac ]

 
シンタックスの説明

phy_if

MAC アドレスを設定するインターフェイスの物理名。

active_mac

アクティブ装置の仮想 MAC アドレス。MAC アドレスは、h.h.h 形式で入力する必要があります。h は、16 ビットの 16 進数値です。

standby_mac

スタンバイ装置の仮想 MAC アドレス。MAC アドレスは、h.h.h 形式で入力する必要があります。h は、16 ビットの 16 進数値です。

 
デフォルト

デフォルトは次のとおりです。

アクティブ装置のデフォルト MAC アドレス:00a0.c9 physical_port_number . failover_group_id 01

スタンバイ装置のデフォルト MAC アドレス:00a0.c9 physical_port_number . failover_group_id 02

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

フェールオーバー グループ コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

フェールオーバー グループに仮想 MAC アドレスが定義されていない場合、デフォルト値が使用されます。

同じネットワーク上に Active/Active フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上の MAC アドレスを重複させないためには、各物理インターフェイスに必ずアクティブとスタンバイの仮想 MAC アドレスを割り当てるようにしてください。

次の例(抜粋)は、フェールオーバー グループに対して適用可能なコンフィギュレーションを示しています。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# preempt 100
hostname(config-fover-group)# mac address e1 0000.a000.a011 0000.a000.a012
hostname(config-fover-group)# exit
hostname(config)#
 

 
関連コマンド

コマンド
説明

failover group

Active/Active フェールオーバーのためのフェールオーバー グループを定義します。

failover mac address

物理インターフェイスの仮想 MAC アドレスを指定します。

mac-address-table aging-time

MAC アドレス テーブル エントリのタイムアウトを設定するには、グローバル コンフィギュレーション モードで mac-address-table aging-time コマンドを使用します。5 分のデフォルト値に戻すには、このコマンドの no 形式を使用します。

mac-address-table aging-time timeout_value

no mac-address-table aging-time

 
シンタックスの説明

timeout_value

タイムアウトになるまで MAC アドレス テーブルで MAC アドレス エントリを維持する時間は、5 ~ 720 分(12 時間)です。デフォルトは 5 分です。

 
デフォルト

デフォルトのタイムアウトは 5 分です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

使用上のガイドラインはありません。

次の例では、MAC アドレスのタイムアウトを 10 分に設定します。

hostname(config)# mac-address-timeout aging time 10
 

 
関連コマンド

コマンド
説明

arp-inspection

ARP 検査をイネーブルにして、ARP パケットをスタティック ARP エントリと比較します。

firewall transparent

ファイアウォール モードを透過に設定します。

mac-address-table static

MAC アドレス テーブルにスタティック MAC アドレス エントリを追加します。

mac-learn

MAC アドレス ラーニングをディセーブルにします。

show mac-address-table

ダイナミック エントリとスタティック エントリを含め、MAC アドレス テーブルを表示します。

mac-address-table static

MAC アドレス テーブルにスタティック エントリを追加するには、グローバル コンフィギュレーション モードで mac-address-table static コマンドを使用します。スタティック エントリを削除するには、このコマンドの no 形式を使用します。通常、MAC アドレスは、特定の MAC アドレスからトラフィックがインターフェイスに届いたときに、MAC アドレス テーブルに動的に追加されます。MAC アドレス テーブルには、必要に応じてスタティック MAC アドレスを追加できます。スタティック エントリを追加する 1 つの利点は、MAC スプーフィングから保護できることです。スタティック エントリと同じ MAC アドレスを持つクライアントが、スタティック エントリに一致しないインターフェイスにトラフィックを送信しようとすると、セキュリティ アプライアンスはトラフィックをドロップし、システム メッセージを生成します。

mac-address-table static interface_name mac_address

no mac-address-table static interface_name mac_address

 
シンタックスの説明

interface_name

送信元インターフェイス。

mac_address

テーブルに追加する MAC アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例では、MAC アドレス テーブルにスタティック MAC アドレス エントリを追加します。

hostname(config)# mac-address-table static inside 0010.7cbe.6101
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

firewall transparent

ファイアウォール モードを透過に設定します。

mac-address-table aging-time

ダイナミック MAC アドレス エントリのタイムアウトを設定します。

mac-learn

MAC アドレス ラーニングをディセーブルにします。

show mac-address-table

MAC アドレス テーブルのエントリを表示します。

mac-learn

インターフェイスの MAC アドレス ラーニングをディセーブルにするには、グローバル コンフィギュレーション モードで mac-learn コマンドを使用します。MAC アドレス ラーニングを再度イネーブルにするには、このコマンドの no 形式を使用します。デフォルトでは、受信するトラフィックの MAC アドレスを各インターフェイスが自動的にラーニングし、セキュリティ アプライアンスが対応するエントリを MAC アドレス テーブルに追加します。必要に応じて、MAC アドレス ラーニングをディセーブルにできます。

mac-learn interface_name disable

no mac-learn interface_name disable

 
シンタックスの説明

interface_name

MAC ラーニングをディセーブルにするインターフェイス。

disable

MAC ラーニングをディセーブルにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

次の例では、外部インターフェイスの MAC ラーニングをディセーブルにします。

hostname(config)# mac-learn outside disable
 

 
関連コマンド

コマンド
説明

clear configure mac-learn

mac-learn コンフィギュレーションをデフォルトに設定します。

firewall transparent

ファイアウォール モードを透過に設定します。

mac-address-table static

MAC アドレス テーブルにスタティック MAC アドレス エントリを追加します。

show mac-address-table

ダイナミック エントリとスタティック エントリを含め、MAC アドレス テーブルを表示します。

show running-config mac-learn

mac-learn コンフィギュレーションを表示します。

mac-list

MAC ベースの認証で使用する MAC アドレスのリストを指定するには、グローバル コンフィギュレーション モードで mac-list コマンドを使用します。MAC アドレスのリストの使用をディセーブルにするには、このコマンドの no 形式を使用します。 mac-list コマンドは、先頭一致検索を使用して MAC アドレスのリストを追加します。

mac-list id deny | permit mac macmask

no mac-list id deny | permit mac macmask

 
シンタックスの説明

拒否

この基準と一致するトラフィックが MAC リストに含まれず、認証と認可の両方の対象となることを示します。

id

16進数 の MAC アクセスリストの番号を指定します。

mac

12 桁の 16 進数形式(nnnn.nnnn.nnnn)で送信元 MAC アドレスを指定します。

macmask

ネットマスクを mac に指定および適用し、MAC アドレスのグループ化を許可します。

permit

この基準と一致するトラフィックが MAC リストに含まれ、認証と認可の両方の対象から除外されることを示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

MAC アドレスのセットをグループ化するには、同じ ID の値を使用して必要な数だけ mac-list コマンドを入力します。 mac-list コマンドを使用して MAC アクセスリストの番号を設定してから、 aaa mac-exempt コマンドを使用します。

AAA 免除だけが提供されます。認証が免除される MAC アドレスは、自動的に認可が免除されます。 mac-list で他のタイプの AAA はサポートされていません。

次の例は、MAC アドレス リストを設定する方法を示しています。

hostname(config)# mac-list adc permit 00a0.cp5d.0282 ffff.ffff.ffff
hostname(config)# mac-list adc deny 00a1.cp5d.0282 ffff.ffff.ffff
hostname(config)# mac-list ac permit 0050.54ff.0000 ffff.ffff.0000
hostname(config)# mac-list ac deny 0061.54ff.b440 ffff.ffff.ffff
hostname(config)# mac-list ac deny 0072.54ff.b440 ffff.ffff.ffff
 

 
関連コマンド

コマンド
説明

aaa authentication

aaa-server コマンドで指定されたサーバ上での、LOCAL、
TACACS+、または RADIUS のユーザ認証、または ASDM ユーザ認証をイネーブル化、ディセーブル化、または表示します。

aaa authorization

LOCAL または TACACS+ ユーザ認可サービスをイネーブルまたはディセーブルにします。

aaa mac-exempt

MAC アドレスのリストを認証と認可の対象から除外します。

clear configure mac-list

mac-list コマンドですでに指定した MAC アドレスのリストを、表示された MAC リストの番号とともに削除します。

show running-config mac-list

mac-list コマンドですでに指定した MAC アドレスのリストを、表示された MAC リストの番号とともに表示します。

management-access

セキュリティ アプライアンスの内部管理インターフェイスへのアクセスをイネーブルにするには、グローバル コンフィギュレーション モードで management-access コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

management-access mgmt_if

no management-access mgmt_if

 
シンタックスの説明

mgmt_if

内部管理インターフェイスの名前。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

management-access コマンドを使用すると、 mgmt_if で指定したファイアウォール インターフェイスの IP アドレスを使用して、内部管理インターフェイスを定義できます(インターフェイス名は nameif コマンドによって定義され、 show interface コマンドの出力で引用符 " " に囲まれて表示されます)。

management-access コマンドは IPSec VPN トンネルを経由する場合だけ、次の内容をサポートします。また、1 つの管理インターフェイスだけをグローバルに定義できます。

mgmt_if への SNMP ポーリング

mgmt_if への HTTPS 要求

mgmt_if への ASDM アクセス

mgmt_if への Telnet アクセス

mgmt_if への SSH アクセス

mgmt_if への ping

mgmt_if への syslog ポーリング

mgmt_if への NTP 要求

次の例は、「inside」という名前のファイアウォール インターフェイスを管理アクセス インターフェイスとして設定する方法を示しています。

hostname(config)# management-access inside
hostname(config)# show management-access
management-access inside

 
関連コマンド

コマンド
説明

clear configure management-access

セキュリティ アプライアンスの管理アクセスのための、内部インターフェイスのコンフィギュレーションを削除します。

show management-access

管理アクセス用に設定されている内部インターフェイスの名前を表示します。

management-only

管理トラフィックだけを受け入れるようにインターフェイスを設定するには、インターフェイス コンフィギュレーション モードで management-only コマンドを使用します。トラフィックの通過を許可するには、このコマンドの no 形式を使用します。

management-only

no management-only

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

ASA 5500 シリーズ適応型セキュリティ アプライアンスの Management 0/0 インターフェイスは、デフォルトで管理専用モードに設定されています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

ASA 適応型セキュリティ アプライアンスには、Management 0/0 と呼ばれる専用の管理インターフェイスが含まれており、このインターフェイスによってセキュリティ アプライアンスへのトラフィックをサポートします。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 の管理専用モードをディセーブルにして、他のインターフェイスと同様にトラフィックを通過させることもできます。


) 透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過させることができます。ただし、ASA 適応型セキュリティ アプライアンスでは、専用の管理インターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にする必要があります。


次の例では、管理インターフェイスの管理専用モードをディセーブルにします。

hostname(config)# interface management0/0
hostname(config-if)# no management-only
 

次の例では、サブインターフェイスの管理専用モードをイネーブルにします。

hostname(config)# interface gigabitethernet0/2.1
hostname(config-subif)# management-only
 

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

map-name

ユーザ定義のアトリビュート名を Cisco アトリビュート名にマッピングするには、ldap-attribute-map コンフィギュレーション モードで map-name コマンドを使用します。

このマッピングを削除するには、このコマンドの no 形式を使用します。

map-name user-attribute-name Cisco-attribute-name

no map-name user-attribute-name Cisco-attribute-name

 
シンタックスの説明

 
シンタックスの説明シンタックスの説明

user-attribute-name

Cisco アトリビュートにマッピングする、ユーザ定義のアトリビュート名を指定します。

Cisco-attribute-name

ユーザ定義の名前にマッピングする、Cisco アトリビュート名を指定します。

 
デフォルト

デフォルトでは、名前のマッピングは存在しません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ldap-attribute-map コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

map-name コマンドを使用して、独自のアトリビュート名を作成し、それを Cisco アトリビュート名にマッピングできます。作成されたアトリビュート マップは、LDAP サーバにバインドすることができます。通常の手順は、次のとおりです。

1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用して、何も入力されていないアトリビュート マップを作成します。このコマンドにより、ldap-attribute-map モードに入ります。

2. ldap-attribute-map モードで map-name コマンドおよび map-value コマンドを使用して、アトリビュート マップに情報を入力します。

3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用して、LDAP サーバにアトリビュート マップをバインドします。このコマンドでは、「ldap」の後にハイフンを入力してください。


) アトリビュート マッピング機能を正しく使用するには、Cisco LDAP アトリビュートの名前と値、およびユーザ定義アトリビュートの名前と値を理解しておく必要があります。


次のコマンド例では、LDAP アトリビュート マップ「myldapmap」内で、ユーザ定義のアトリビュート名「Hours」を、Cisco アトリビュート名「cVPN3000-Access-Hours」にマッピングします。

hostname(config)# ldap attribute-map myldapmap
hostname(config-ldap-attribute-map)# map-name Hours cVPN3000-Access-Hours
hostname(config-ldap-attribute-map)#
 

ldap-attribute-map モードでは、次の例に示すように、「?」を入力して Cisco LDAP アトリビュート名の完全なリストを表示できます。

hostname(config-ldap-attribute-map)# map-name ?
ldap mode commands/options:
cisco-attribute-names:
cVPN3000-Access-Hours
cVPN3000-Allow-Network-Extension-Mode
cVPN3000-Auth-Service-Type
cVPN3000-Authenticated-User-Idle-Timeout
cVPN3000-Authorization-Required
cVPN3000-Authorization-Type
:
:
cVPN3000-X509-Cert-Data
hostname(config-ldap-attribute-map)#

 
関連コマンド

コマンド
説明

ldap attribute-map (グローバル コンフィギュレーション モード)

ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成し、名前を付けます。

ldap-attribute-map (AAA サーバ ホスト モード)

LDAP アトリビュート マップを LDAP サーバにバインドします。

map-value

ユーザ定義のアトリビュート値を、Cisco アトリビュートにマッピングします。

show running-config ldap attribute-map

特定の実行 LDAP アトリビュート マップ、またはすべての実行アトリビュート マップを表示します。

clear configure ldap attribute-map

すべての LDAP アトリビュート マップを削除します。

map-value

Cisco LDAP アトリビュートにユーザ定義の値をマッピングするには、ldap-attribute-map モードで map-value コマンドを使用します。

マップ内のエントリを削除するには、このコマンドの no 形式を使用します。

map-value user-attribute-name user-value-string Cisco-value-string

no map-value user-attribute-name user-value-string Cisco-value-string

 
シンタックスの説明

cisco-value-string

Cisco アトリビュートに対して Cisco 値の文字列を指定します。

user-attribute-name

Cisco アトリビュート名にマッピングする、ユーザ定義のアトリビュート名を指定します。

user-value-string

Cisco アトリビュート値にマッピングする、ユーザ定義の値文字列を指定します。

 
デフォルト

デフォルトでは、Cisco アトリビュートにマッピングされているユーザ定義の値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ldap-attribute-map コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

map-value コマンドを使用して、Cisco アトリビュート名と値に対して独自のアトリビュート値をマッピングできます。作成されたアトリビュート マップは、LDAP サーバにバインドすることができます。通常の手順は、次のとおりです。

1. グローバル コンフィギュレーション モードで ldap attribute-map コマンドを使用して、何も入力されていないアトリビュート マップを作成します。このコマンドにより、ldap-attribute-map モードに入ります。

2. ldap-attribute-map モードで map-name コマンドおよび map-value コマンドを使用して、アトリビュート マップに情報を入力します。

3. AAA サーバ ホスト モードで ldap-attribute-map コマンドを使用して、LDAP サーバにアトリビュート マップをバインドします。このコマンドでは、「ldap」の後にハイフンを入力してください。


) アトリビュート マッピング機能を正しく使用するには、Cisco LDAP アトリビュートの名前と値、およびユーザ定義アトリビュートの名前と値を理解しておく必要があります。


次の例は、ldap-attribute-map モードで入力され、ユーザ アトリビュート「Hours」のユーザ定義値を、workDay というユーザ定義の時間ポリシーと Daytime というシスコ定義の時間ポリシーに設定します。

hostname(config)# ldap attribute-map myldapmap
hostname(config-ldap-attribute-map)# map-value Hours workDay Daytime
hostname(config-ldap-attribute-map)#

 
関連コマンド

コマンド
説明

ldap attribute-map (グローバル コンフィギュレーション モード)

ユーザ定義のアトリビュート名を Cisco LDAP アトリビュート名にマッピングするために、LDAP アトリビュート マップを作成し、名前を付けます。

ldap-attribute-map (AAA サーバ ホスト モード)

LDAP アトリビュート マップを LDAP サーバにバインドします。

map-name

ユーザ定義の LDAP アトリビュート名を、Cisco LDAP アトリビュート名にマッピングします。

show running-config ldap attribute-map

特定の実行 LDAP アトリビュート マップ、またはすべての実行アトリビュート マップを表示します。

clear configure ldap attribute-map

すべての LDAP マップを削除します。

mask-syst-reply

FTP サーバ応答をクライアントから見えないようにするには、FTP マップ コンフィギュレーション モードで mask-syst-reply コマンドを使用します(このモードは、 ftp-map コマンドを使用してアクセスできます)。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

mask-syst-reply

no mask-syst-reply

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

このコマンドは、デフォルトではイネーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

FTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

mask-syst-reply コマンドは、クライアントから FTP サーバ システムを保護するため、厳密な FTP 検査と併せて使用します。このコマンドをイネーブルにすると、 syst コマンドへのサーバ応答は X の連続に置き換えられます。

次の例では、セキュリティ アプライアンスが syst コマンドへの FTP サーバ応答を X の連続に置き換えます。

hostname(config)# ftp-map inbound_ftp
hostname(config-ftp-map)# mask-syst-reply
hostname(config-ftp-map)#
 

 

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

ftp-map

FTP マップを定義し、FTP マップ コンフィギュレーション モードをイネーブルにします。

inspect ftp

アプリケーション検査用に特定の FTP マップを適用します。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

request-command deny

禁止する FTP コマンドを指定します。

match access-list

アクセスリストを使用してクラスマップ内のトラフィックを指定するには、クラスマップ コンフィギュレーション モードで match access-list コマンドを使用します。アクセスリストを削除するには、このコマンドの no 形式を使用します。

match access-list { acl-id...}

no match access-list { acl-id...}

 
シンタックスの説明

acl-id

一致基準として使用する ACL の名前を指定します。パケットが ACL のエントリに一致しない場合、照合の結果は no-match となります。パケットが ACL のエントリに一致し、許可エントリである場合、照合の結果は match となります。それ以外では、パケットが拒否 ACL エントリに一致する場合、照合の結果は no-match となります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラスマップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

match access-list コマンドでは、1 つまたは複数のアクセスリストを指定して特定のトラフィック タイプを指定できます。アクセス コントロール エントリの permit 文はトラフィックを包含し、 deny 文はトラフィック クラスマップからトラフィックを除外します。

次の例は、クラスマップおよび match access-list コマンドを使用して、トラフィック クラスを定義する方法を示しています。

hostname(config)# access-list ftp_acl extended permit tcp any any eq 21
hostname(config)# class-map ftp_port
hostname(config-cmap)# match access-list ftp_acl
hostname(config-cmap)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

トラフィック マップの定義を削除します。

match any

すべてのトラフィックをクラスマップに含めます。

match port

クラスマップ内の特定のポート番号を指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match any

すべてのトラフィックをクラスマップに含めるには、クラスマップ コンフィギュレーション モードで match any コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match any

no match any

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラスマップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

デフォルトのクラスマップ(class-default)で match any コマンドを使用すると、すべてのパケットが一致します。

次の例は、クラスマップおよび match any コマンドを使用して、トラフィック クラスを定義する方法を示しています。

hostname(config)# class-map cmap
hostname(config-cmap)# match any
hostname(config-cmap)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラスマップ内のアクセスリスト トラフィックを指定します。

match rtp

クラスマップ内の特定の RTP ポートを指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match default-inspection-traffic

クラスマップ内の inspect コマンドに対するデフォルトのトラフィックを指定するには、クラスマップ コンフィギュレーション モードで match default-inspection-traffic コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match default-inspection-traffic

no match default-inspection-traffic

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

各検査のデフォルトのトラフィックについては、「使用上のガイドライン」を参照してください。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラスマップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

match default-inspection-traffic コマンドを使用すると、個々の inspect コマンドのデフォルト トラフィックを一致させることができます。 match default-inspection-traffic コマンドはその他の match コマンドの 1 つと併せて使用できます。このコマンドは、通常、 permit ip src-ip dst-ip 形式のアクセスリストです。

2 番目の match コマンドを match default-inspection-traffic コマンドと組み合せる際、 match default-inspection-traffic コマンドを使用してプロトコルとポート情報を指定し、2 番目の match コマンドを使用して他のすべての情報(IP アドレスなど)を指定するという規則があります。2 番目の match コマンドで指定したプロトコルまたはポート情報は、 inspect コマンドでは無視されます。

たとえば、次の例で指定するポート 65535 は無視されます。

hostname(config)# class-map cmap
hostname(config-cmap)# match default-inspection-traffic
hostname(config-cmap)# match port 65535
 

検査用のデフォルトのトラフィックは次のとおりです。

検査タイプ

プロトコル タイプ

送信元ポート

宛先ポート

ctiqbe

tcp

該当なし

1748

dns

udp

53

53

ftp

tcp

該当なし

21

gtp

udp

2123,3386

2123,3386

h323 h225

tcp

該当なし

1720

h323 ras

udp

該当なし

1718-1719

http

tcp

該当なし

80

icmp

icmp

該当なし

該当なし

ils

tcp

該当なし

389

mgcp

udp

2427,2727

2427,2727

netbios

udp

137-138

該当なし

rpc

udp

111

111

rsh

tcp

該当なし

514

rtsp

tcp

該当なし

554

sip

tcp、udp

該当なし

5060

skinny

tcp

該当なし

2000

smtp

tcp

該当なし

25

sqlnet

tcp

該当なし

1521

tftp

udp

該当なし

69

xdmcp

udp

177

177

次の例は、クラスマップおよび match default-inspection-traffic コマンドを使用して、トラフィック クラスを定義する方法を示しています。

hostname(config)# class-map cmap
hostname(config-cmap)# match default-inspection-traffic
hostname(config-cmap)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラスマップ内のアクセスリスト トラフィックを指定します。

match any

すべてのトラフィックをクラスマップに含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match dscp

クラスマップ内の IETF 定義の DSCP 値(IP ヘッダー内)を指定するには、クラスマップ コンフィギュレーション モードで match dscp コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match dscp { values }

no match dscp { values }

 
シンタックスの説明

values

IP ヘッダー内の最大 8 つの異なる IETF 定義の DSCP 値を指定します。範囲は 0 ~ 63 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラスマップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

match dscp コマンドを使用すると、IP ヘッダー内の IETF 定義の DSCP 値を一致させることができます。

次の例は、クラスマップおよび match dscp コマンドを使用して、トラフィック クラスを定義する方法を示しています。

hostname(config)# class-map cmap
hostname(config-cmap)# match dscp af43 cs1 ef
hostname(config-cmap)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラスマップ内のアクセスリスト トラフィックを指定します。

match port

該当するインターフェイスで受信されるパケットの比較基準として、TCP/UDP ポートを指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match flow ip destination-address

クラスマップ内のフロー IP の宛先アドレスを指定するには、クラスマップ コンフィギュレーション モードで match flow ip destination-address コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match flow ip destination-address

no match flow ip destination-address

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラスマップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

トンネルグループでフローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address match tunnel-group コマンドを class-map policy-map 、および service-policy コマンドと併せて使用します。フローを定義する基準は、宛先 IP アドレスです。一意の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィック クラス全体ではなく各フローに適用されます。 match flow ip destination-address コマンドを使用すると、QoS アクション ポリシングが適用されます。トンネルグループ内の各トンネルを、指定したレートにポリシングするには、 match tunnel-group を使用します。

次の例は、トンネルグループ内でフロー ベースのポリシングをイネーブルにして、各トンネルを指定したレートに制限する方法を示しています。

hostname(config)# class-map cmap
hostname(config-cmap)# match tunnel-group
hostname(config-cmap)# match flow ip destination-address
hostname(config-cmap)# exit
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# police 56000
hostname(config-pmap)# exit
hostname(config)# service-policy pmap global
hostname(config)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラスマップ内のアクセスリスト トラフィックを指定します。

show running-config class-map

クラスマップ コンフィギュレーションに関する情報を表示します。

tunnel-group

VPN の接続固有レコードのデータベースを作成および管理します。

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを配布するには、ルートマップ コンフィギュレーション モードで match interface コマンドを使用します。一致インターフェイスのエントリを削除するには、このコマンドの no 形式を使用します。

match interface interface-name...

no match interface interface-name...

 
シンタックスの説明

interface-name

インターフェイスの名前。物理インターフェイスではありません。複数のインターフェイス名を指定できます。

 
デフォルト

一致インターフェイスは定義されていません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルートマップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

コマンド シンタックスの省略形(...)は、コマンド入力で interface-type interface-number 引数に複数の値を含めることができることを示します。

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で指定できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。 match コマンドで指定したインターフェイスが複数ある場合、 no match interface interface-name を使用して 1 つのインターフェイスを削除できます。

ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。

次の例は、外部にネクストホップを持つルートを配布する方法を示しています。

hostname(config)# route-map name
hostname(config-route-map)# match interface outside
 

 
関連コマンド

コマンド
説明

match ip next-hop

指定したいずれかのアクセスリストによって渡されたネクストホップ ルータ アドレスを持つ、すべてのルートを配布します。

match ip route-source

ルータによってアドバタイジングされ、アクセスリストで指定されたアドレスのサーバにアクセスするルートを再配布します。

match metric

指定したメトリックを持つルートを再配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義します。

set metric

ルートマップの宛先ルーティング プロトコルのメトリック値を指定します。

match ip address

指定したいずれかのアクセスリストによって渡されたルート アドレスまたは一致パケットを持つ、すべてのルートを再配布するには、ルートマップ コンフィギュレーション モードで match ip address コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

match ip address { acl... }

no match ip address { acl... }

 
シンタックスの説明

acl

アクセスリストの名前。複数のアクセスリストを指定できます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルートマップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

次の例は、内部ルートを再配布する方法を示しています。

hostname(config)# route-map name
hostname(config-route-map)# match ip address acl_dmz1 acl_dmz2

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

match ip next-hop

指定したいずれかのアクセスリストによって渡されたネクストホップ ルータ アドレスを持つ、すべてのルートを配布します。

match metric

指定したメトリックを持つルートを再配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義します。

set metric

ルートマップの宛先ルーティング プロトコルのメトリック値を指定します。

match ip next-hop

指定したいずれかのアクセスリストによって渡されたネクストホップ ルータ アドレスを持つ、すべてのルートを再配布するには、ルートマップ コンフィギュレーション モードで match ip next-hop コマンドを使用します。ネクストホップ エントリを削除するには、このコマンドの no 形式を使用します。

match ip next-hop { acl... } | prefix-list prefix_list

no match ip next-hop { acl... } | prefix-list prefix_list

 
シンタックスの説明

acl

ACL の名前。複数の ACL を指定できます。

prefix-list prefix_list

プレフィックス リストの名前。

 
デフォルト

ネクストホップ アドレスに一致する必要なく、ルートが自由に配布されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルートマップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

コマンド シンタックスの省略形(...)は、コマンド入力で acl 引数に複数の値を含めることができることを示します。

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。

ルートマップを通じてルートを渡す場合、ルートマップはいくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。

次の例は、acl_dmz1 または acl_dmz2 のアクセスリストによって渡されたネクストホップ ルータ アドレスを持つルートを配布する方法を示しています。

hostname(config)# route-map name
hostname(config-route-map)# match ip next-hop acl_dmz1 acl_dmz2
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

match ip next-hop

指定したいずれかのアクセスリストによって渡されたネクストホップ ルータ アドレスを持つ、すべてのルートを配布します。

match metric

指定したメトリックを持つルートを再配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義します。

set metric

ルートマップの宛先ルーティング プロトコルのメトリック値を指定します。

match ip route-source

ルータによってアドバタイジングされ、ACL で指定されたアドレスのサーバにアクセスするルートを再配布するには、ルートマップ コンフィギュレーション モードで match ip route-source コマンドを使用します。ネクストホップ エントリを削除するには、このコマンドの no 形式を使用します。

match ip route-source { acl... } | prefix-list prefix_list

no match ip route-source { acl... }

 
シンタックスの説明

acl

ACL の名前。複数の ACL を指定できます。

prefix_list

プレフィックス リストの名前。

 
デフォルト

ルートの送信元では、フィルタリングは実行されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルートマップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

コマンド シンタックスの省略形(...)は、コマンド入力で access-list-name 引数に複数の値を含めることができることを示します。

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。

ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。ルートのネクストホップおよび送信元ルータのアドレスは、状況によって異なります。

次の例は、ルータによってアドバタイジングされ、acl_dmz1 および acl_dmz2 の ACL で指定されたアドレスのサーバにアクセスするルートを配布する方法を示しています。

hostname(config)# route-map name
hostname(config-route-map)# match ip route-source acl_dmz1 acl_dmz2
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

match ip next-hop

指定したいずれかの ACL によって渡されたネクストホップ ルータ アドレスを持つ、すべてのルートを配布します。

match metric

指定したメトリックを持つルートを再配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義します。

set metric

ルートマップの宛先ルーティング プロトコルのメトリック値を指定します。

match metric

指定したメトリックを持つルートを再配布するには、ルートマップ コンフィギュレーション モードで match metric コマンドを使用します。エントリを削除するには、このコマンドの no 形式を使用します。

match metric number

no match metric number

 
シンタックスの説明

number

ルート メトリック(5 つの部分からなる IGRP のメトリックにすることができます)。有効値は 0 ~ 4294967295 です。

 
デフォルト

メトリック値では、フィルタリングは実行されません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルートマップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で指定できます。また、 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。

ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。

次の例は、メトリック 5 を持つルートを再配布する方法を示しています。

hostname(config)# route-map name
hostname(config-route-map)# match metric 5
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

match ip next-hop

指定したいずれかのアクセスリストによって渡されたネクストホップ ルータ アドレスを持つ、すべてのルートを配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義します。

set metric

ルートマップの宛先ルーティング プロトコルのメトリック値を指定します。

match port

クラスマップ内の特定のポート番号を指定するには、クラスマップ コンフィギュレーション モードで match port コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match port { tcp | udp } { eq eq_id | range beg_id end_id }

no match port { tcp | udp } { eq eq_id | range beg_id end_id }

 
シンタックスの説明

eq eq_id

ポート名を指定します。

range beg_id end_id

ポート範囲の開始値と終了値(1 ~ 65535)を指定します。

tcp

TCP ポートを指定します。

udp

UDP ポートを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラスマップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

ポートの範囲を指定するには、 match port コマンドを使用します。

次の例は、クラスマップおよび match port コマンドを使用して、トラフィック クラスを定義する方法を示しています。

hostname(config)# class-map cmap
hostname(config-cmap)# match port tcp eq 8080
hostname(config-cmap)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラスマップ内のアクセスリスト トラフィックを指定します。

match any

すべてのトラフィックをクラスマップに含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match precedence

クラスマップ内の優先順位値を指定するには、クラスマップ コンフィギュレーション モードで match precedence コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match precedence value

no match precedence value

 
シンタックスの説明

value

スペースで区切った最大 4 つの優先順位値を指定します。範囲は 0 ~ 7 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラスマップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

IP ヘッダー内の TOS バイトで表現された値を指定するには、 match precedence コマンドを使用します。

次の例は、クラスマップおよび match precedence コマンドを使用して、トラフィック クラスを定義する方法を示しています。

hostname(config)# class-map cmap
hostname(config-cmap)# match precedence 1
hostname(config-cmap)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラスマップ内のアクセスリスト トラフィックを指定します。

match any

すべてのトラフィックをクラスマップに含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match route-type

指定したタイプのルートを再配布するには、ルートマップ コンフィギュレーション モードで match route-type コマンドを使用します。ルート タイプ エントリを削除するには、このコマンドの no 形式を使用します。

match route-type { local | internal | { external [ type-1 | type-2 ]} | { nssa-external [ type-1 | type-2 ]}}

no match route-type { local | internal | { external [ type-1 | type-2 ]} | { nssa-external [ type-1 | type-2 ]}}

 
シンタックスの説明

local

ローカルに生成された BGP ルート。

internal

OSPF のエリア内ルートおよびエリア間ルート、または EIGRP の内部ルート。

external

OSPF の外部ルートまたは EIGRP の外部ルート。

type-1

(オプション)ルート タイプ 1 を指定します。

type-2

(オプション)ルート タイプ 2 を指定します。

nssa-external

外部 NSSA を指定します。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

ルートマップ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

route-map グローバル コンフィギュレーション コマンド、 match コンフィギュレーション コマンド、および set コンフィギュレーション コマンドを使用すると、あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義できます。各 route-map コマンドには、 match コマンドと set コマンドが関連付けられます。 match コマンドは、一致基準、つまり現在の route-map コマンドについて再配布を許可する条件を指定します。 set コマンドには、設定アクション、つまり match コマンドで指定した基準を満たしている場合に実行する、個々の再配布アクションを指定します。 no route-map コマンドを実行すると、ルートマップが削除されます。

match ルートマップ コンフィギュレーション コマンドには、複数の形式があります。 match コマンドは任意の順序で入力できます。 set コマンドで指定した設定アクションに従ってルートの再配布を実行するには、すべての match コマンドに一致する必要があります。 match コマンドを no 形式で実行すると、指定した一致基準が削除されます。

ルートマップは、いくつかの部分に分かれることがあります。 route-map コマンドに関連付けられているどの match 節にも一致しないルートは、すべて無視されます。一部のデータのみを修正するには、2 番目のルートマップ セクションを設定して、正確に一致する基準を指定する必要があります。

OSPF の場合、 external type-1 キーワードはタイプ 1 外部ルートにだけ一致し、 external type-2 キーワードはタイプ 2 外部ルートにだけ一致します。

次の例は、内部ルートを再配布する方法を示しています。

hostname(config)# route-map name
hostname(config-route-map)# match route-type internal
 

 
関連コマンド

コマンド
説明

match interface

指定したいずれかのインターフェイスの外部にネクストホップを持つ、すべてのルートを再配布します。

match ip next-hop

指定したいずれかのアクセスリストによって渡されたネクストホップ ルータ アドレスを持つ、すべてのルートを配布します。

match metric

指定したメトリックを持つルートを再配布します。

route-map

あるルーティング プロトコルから別のルーティング プロトコルにルートを再配布するための条件を定義します。

set metric

ルートマップの宛先ルーティング プロトコルのメトリック値を指定します。

match rtp

クラスマップ内の偶数ポートの UDP ポート範囲を指定するには、クラスマップ コンフィギュレーション モードで match rtp コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match rtp starting_port range

no match rtp starting_port range

 
シンタックスの説明

starting_port

偶数の UDP 宛先ポートの下限を指定します。範囲は、2000 ~ 65535 です。

range

RTP ポートの範囲を指定します。範囲は、0 ~ 16383 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラスマップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

RTP ポート( starting_port starting_port range を加えた範囲の UDP の偶数ポート番号)に一致させるには、 match rtp コマンドを使用します。

次の例は、クラスマップおよび match rtp コマンドを使用して、トラフィック クラスを定義する方法を示しています。

hostname(config)# class-map cmap
hostname(config-cmap)# match rtp 20000 100
hostname(config-cmap)#
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラスマップ内のアクセスリスト トラフィックを指定します。

match any

すべてのトラフィックをクラスマップに含めます。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

match tunnel-group

すでに定義されているトンネルグループに属するクラスマップ内のトラフィックに一致させるには、クラスマップ コンフィギュレーション モードで match tunnel-group コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

match tunnel-group name

no match tunnel-group name

 
シンタックスの説明

name

トンネルグループ名のテキスト。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

クラスマップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

各種の match コマンドを使用して、クラスマップのトラフィック クラスに含まれるトラフィックを指定します。これらのコマンドは、クラスマップに含まれるトラフィックを定義するためのさまざまな基準を保持しています。トラフィック クラスは、モジュラ ポリシー フレームワークを使用したセキュリティ機能を設定するときに、その一環として class-map グローバル コンフィギュレーション コマンドを使用して定義します。クラスマップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。

トラフィック クラスをインターフェイスに適用すると、そのインターフェイス上で受信したパケットは、クラスマップの match 文で定義した基準と比較されます。指定した基準にパケットが一致すると、パケットはトラフィック クラスに包含され、そのトラフィック クラスに関連付けられているアクションの対象になります。どのトラフィック クラスのどの基準にも一致しないパケットは、デフォルトのトラフィック クラスに割り当てられます。

フローベースのポリシー アクションをイネーブルにするには、 match flow ip destination-address match tunnel-group コマンドを class-map policy-map 、および service-policy コマンドと併せて使用します。フローを定義する基準は、宛先 IP アドレスです。一意の IP 宛先アドレスに向かうトラフィックは、すべてフローと見なされます。ポリシーのアクションは、トラフィック クラス全体ではなく各フローに適用されます。 police コマンドを使用すると、QoS アクション ポリシングが適用されます。トンネルグループ内の各トンネルを、指定したレートにポリシングするには、 match tunnel-group match flow ip destination-address と併せて使用します。

次の例は、トンネルグループ内でフロー ベースのポリシングをイネーブルにして、各トンネルを指定したレートに制限する方法を示しています。

hostname(config)# class-map cmap
hostname(config-cmap)# match tunnel-group
hostname(config-cmap)# match flow ip destination-address
hostname(config-cmap)# exit
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# police 56000
hostname(config-pmap)# exit
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class-map

トラフィック クラスをインターフェイスに適用します。

clear configure class-map

すべてのトラフィック マップ定義を削除します。

match access-list

クラスマップ内のアクセスリスト トラフィックを指定します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

tunnel-group

IPSec および L2TP の接続固有レコードのデータベースを作成および管理します。

max-failed-attempts

サーバ グループ内のある特定のサーバに対して許容される失敗数(失敗数がこれを超えるとそのサーバが無効になる)を指定するには、AAA サーバ グループ モードで max-failed-attempts コマンドを使用します。この指定を削除し、デフォルト値に戻すには、このコマンドの no 形式を使用します。

max-failed-attempts number

no max-failed-attempts

 
シンタックスの説明

number

1 ~ 5 の範囲の整数。前の aaa-server コマンドで指定したサーバ グループ内の所定のサーバで許可される失敗数を指定します。

 
デフォルト

number のデフォルト値は 3 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

AAA サーバ グループ

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドを発行する前に、AAA サーバ/グループを設定しておく必要があります。

hostname(config)# aaa-server svrgrp1 protocol tacacs+
hostname(config-aaa-server-group)# max-failed-attempts 4
hostname(config-aaa-server-group)#
 

 
関連コマンド

コマンド
説明

aaa-server server-tag protocol protocol

AAA サーバ グループ コンフィギュレーション モードに入って、グループ内のすべてのホストに共通する、グループ固有の AAA パラメータを設定できるようにします。

clear configure aaa-server

AAA サーバのコンフィギュレーションをすべて削除します。

show running-config aaa

すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。

max-header-length

HTTP ヘッダー長に基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで max-header-length コマンドを使用します(このモードは、 http-map コマンドを使用してアクセスできます)。このコマンドを削除するには、このコマンドの no 形式を使用します。

max-header-length { request bytes [ response bytes ] | response bytes } action { allow | reset | drop } [ log ]

no max-header-length { request bytes [ response bytes ] | response bytes } action { allow | reset | drop } [ log ]

 
シンタックスの説明

action

メッセージがこのコマンド検査に合格しなかったときに実行されるアクション。

allow

メッセージを許可します。

drop

接続を終了します。

bytes

バイト数(範囲は 1 ~ 65,535)。

log

(オプション)syslog を生成します。

request

要求メッセージ。

reset

TCP リセット メッセージをクライアントとサーバに送信します。

response

(オプション)応答メッセージ。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

HTTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

max-header-length コマンドをイネーブルにすると、セキュリティ アプライアンスは、設定された制限内の HTTP ヘッダーを持つメッセージだけを許可します。それ以外の場合は、指定されたアクションを実施します。セキュリティ アプライアンスが TCP 接続をリセットして syslog エントリをオプションで作成するようにするには、 action キーワードを使用します。

次の例では、HTTP 要求を 100 バイト以下の HTTP ヘッダーを持つものに限定します。ヘッダーが大きすぎる場合、セキュリティ アプライアンスが TCP 接続をリセットし、syslog エントリを作成します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# max-header-length request bytes 100 action log reset
hostname(config-http-map)#
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug appfw

高度な HTTP 検査に関連付けられているトラフィックに関する詳細情報を表示します。

http-map

高度な HTTP 検査を設定するための HTTP マップを定義します。

inspect http

アプリケーション検査用に特定の HTTP マップを適用します。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

max-object-size

セキュリティ アプライアンスが、WebVPN セッションに対してキャッシュできるオブジェクトの最大サイズを設定するには、キャッシュ モードで max-object-size コマンドを使用します。サイズを変更するには、このコマンドを再度使用します。

max-object-size integer range

 
シンタックスの説明

integer range

0 ~ 10000 KB

 
デフォルト

1000 KB

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

キャッシュ モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

最大オブジェクト サイズは、最小オブジェクト サイズよりも大きくする必要があります。キャッシュ圧縮がイネーブルである場合、セキュリティ アプライアンスは、オブジェクト圧縮後のサイズを計算します。

次の例では、最大オブジェクト サイズである 4000 KB に設定する方法を示します。

hostname(config)# webvpn
hostname(config-webvpn)# cache
hostname(config-webvpn-cache)# max-object-size 4000
hostname(config-webvpn-cache)#

 
関連コマンド

コマンド
説明

cache

WebVPN キャッシュ モードに入ります。

cache-compressed

WebVPN キャッシュの圧縮を設定します。

disable

キャッシングをディセーブルにします。

expiry-time

オブジェクトのキャッシングが、オブジェクトの再確認なしで期限切れになる時刻を設定します。

lmfactor

最終変更時刻のタイムスタンプだけを持つオブジェクトのキャッシングに関する再確認ポリシーを設定します。

min-object-size

キャッシュするオブジェクトの最小サイズを定義します。

max-uri-length

HTTP 要求メッセージの URI 長に基づいて HTTP トラフィックを制限するには、HTTP マップ コンフィギュレーション モードで max-uri-length コマンドを使用します(このモードは、 http-map コマンドを使用してアクセスできます)。このコマンドを削除するには、このコマンドの no 形式を使用します。

max-uri-length bytes action { allow | reset | drop } [ log ]

no max-uri-length bytes action { allow | reset | drop } [ log ]

 
シンタックスの説明

action

メッセージがこのコマンド検査に合格しなかったときに実行されるアクション。

allow

メッセージを許可します。

drop

接続を終了します。

bytes

バイト数(範囲は 1 ~ 65,535)。

log

(オプション)syslog を生成します。

reset

TCP リセット メッセージをクライアントとサーバに送信します。

 
デフォルト

このコマンドは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

HTTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

max-uri-length コマンドをイネーブルにすると、セキュリティ アプライアンスは、設定された制限内の URI を持つメッセージだけを許可します。それ以外の場合は、指定されたアクションを実施します。セキュリティ アプライアンスが TCP 接続をリセットして syslog エントリを作成するようにするには、 action キーワードを使用します。

設定した値以下の長さを持つ URI が許可されます。それ以外の場合は、指定されたアクションが実施されます。

次の例では、HTTP 要求を 100 バイト以下の URI を持つものに限定します。URI が大きすぎる場合、セキュリティ アプライアンスが TCP 接続をリセットし、syslog エントリを作成します。

hostname(config)# http-map inbound_http
hostname(config-http-map)# max-uri-length 100 action reset log
hostname(config-http-map)#
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用する先のトラフィック クラスを定義します。

debug appfw

高度な HTTP 検査に関連付けられているトラフィックに関する詳細情報を表示します。

http-map

高度な HTTP 検査を設定するための HTTP マップを定義します。

inspect http

アプリケーション検査用に特定の HTTP マップを適用します。

policy-map

クラス マップを特定のセキュリティ アクションに関連付けます。

mcc

IMSI プレフィックス フィルタリングのモバイル国番号とモバイル ネットワーク番号を指定するには、GTP マップ コンフィギュレーション モードで mcc コマンドを使用します。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

mcc country_code mnc network_code

no mcc country_code mnc network_code

 
シンタックスの説明

country_code

モバイル国番号を指定する 0(ゼロ)以外の 3 桁の値。1 桁または 2 桁のエントリは先頭に 0 が追加され、3 桁の値に生成されます。

network_code

ネットワーク番号を指定する 2 桁または 3 桁の値。

 
デフォルト

デフォルトでは、セキュリティ アプライアンスは有効な MCC/MNC の組み合せをチェックしません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドは、IMSI プレフィックス フィルタリング用に使用します。受信されたパケットの IMSI 内の MCC と MNC が、このコマンドで設定した MCC/MNC と比較され、一致しない場合にドロップされます。

IMSI プレフィックス フィルタリングをイネーブルにするには、このコマンドを使用する必要があります。許可された MCC と MNC の組み合せを指定するのに、複数のインスタンスを設定できます。デフォルトでは、セキュリティ アプライアンスが MNC と MCC の組み合せの有効性をチェックしないので、設定された組み合せの有効性を確認する必要があります。MCC と MNC 番号の詳細については、ITU E.212 の推奨事項である『 Identification Plan for Land Mobile Stations 』を参照してください。

次の例では、111 の MCC と 222 の MNC で IMSI プレフィックス フィルタリングのトラフィックを指定します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# mcc 111 mnc 222
hostname(config-gtpmap)#
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバル GTP 統計情報を消去します。

debug gtp

GTP 検査に関する詳細情報を表示します。

gtp-map

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション検査用に特定の GTP マップを適用します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。

media-type

メディア タイプを銅線またはファイバ ギガビット イーサネットに設定するには、インターフェイス コンフィギュレーション モードで media-type コマンドを使用します。ファイバ SFP コネクタは、ASA 5500 シリーズ適応型セキュリティ アプライアンスの 4GE SSM で使用できます。メディア タイプの設定をデフォルトに戻すには、このコマンドの no 形式を使用します。

media-type { rj45 | sfp }

no media-type [ rj45 | sfp ]

 
シンタックスの説明

rj45

(デフォルト)メディア タイプを RJ-45 銅線コネクタに設定します。

sfp

メディア タイプをファイバ SFP コネクタに設定します。

 
デフォルト

デフォルトは rj45 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)(4)

このコマンドが導入されました。

 
使用上のガイドライン

sfp 設定は固定速度(1,000 Mbps)を使用するので、 speed コマンドを使用すると、インターフェイスがリンク パラメータをネゴシエートするかどうかを設定できます。 duplex コマンドは、 sfp ではサポートされていません。

次の例では、メディア タイプを SFP に設定します。

hostname(config)# interface gigabitethernet1/1
hostname(config-if)# media-type sfp
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown

 
関連コマンド

コマンド
説明

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードに入ります。

show interface

インターフェイスのランタイム ステータスと統計情報を表示します。

show running-config interface

インターフェイスのコンフィギュレーションを表示します。

speed

インターフェイスの速度を設定します。

memory caller-address

メモリ問題を分離できるように、コール トレース用のプログラム メモリ(発信者 PC)の特定の範囲を設定するには、特権 EXEC モードで memory caller-address コマンドを使用します。発信者 PC は、メモリ割り当てプリミティブを呼び出したプログラムのアドレスです。アドレスの範囲を削除するには、このコマンドの no 形式を使用します。

memory caller-address startPC endPC

no memory caller-address

 
シンタックスの説明

endPC

メモリ ブロックの終了アドレス範囲を指定します。

startPC

メモリ ブロックの開始アドレス範囲を指定します。

 
デフォルト

実際の発信者 PC が、メモリ トレース用に記録されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

メモリ問題を特定のメモリ ブロックに分離するには、 memory caller-address コマンドを使用します。

場合によっては、メモリ割り当てプリミティブの実際の発信者 PC が、プログラムの多くの場所で使用されている既知のライブラリ機能になります。プログラムの個々の場所を分離するには、ライブラリ機能の開始および終了プログラム アドレスを設定して、ライブラリ機能のプログラムの発信者アドレスが記録されるようにします。


) 発信者アドレスのトレースをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下することがあります。


  • 次の例は、 memory caller-address コマンドで設定したアドレス範囲、および show memory-caller address コマンドの出力を示しています。
hostname# memory caller-address 0x00109d5c 0x00109e08
hostname# memory caller-address 0x009b0ef0 0x009b0f14
hostname# memory caller-address 0x00cf211c 0x00cf4464
 
hostname# show memory-caller address
Move down stack frame for the addresses:
pc = 0x00109d5c-0x00109e08
pc = 0x009b0ef0-0x009b0f14
pc = 0x00cf211c-0x00cf4464

 
関連コマンド

コマンド
説明

memory profile enable

メモリ使用状況のモニタリング(メモリ プロファイリング)をイネーブルにします。

memory profile text

プロファイルするメモリのテキスト範囲を設定します。

show memory

物理メモリの最大量とオペレーティング システムで現在使用可能な空きメモリ量について、要約を表示します。

show memory binsize

特定のバイナリ サイズに割り当てられているチャンクの要約情報を表示します。

show memory profile

セキュリティ アプライアンスのメモリ使用状況に関する情報(プロファイリング)を表示します。

show memory-caller address

セキュリティ アプライアンス上に設定されているアドレスの範囲を表示します。

memory profile enable

メモリ使用状況のモニタリング(メモリ プロファイリング)をイネーブルにするには、特権EXEC モードで memory profile enable コマンドを使用します。メモリ プロファイリングをディセーブルにするには、このコマンドの no 形式を使用します。

memory profile enable peak peak_value

no memory profile enable peak peak_value

 
シンタックスの説明

peak_value

メモリ使用状況のスナップショットがピーク使用状況のバッファに保存される、メモリ使用状況のしきい値を指定します。このバッファの内容は後で分析して、ピーク時のシステム メモリの必要量を判別できます。

 
デフォルト

メモリのプロファイリングは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

メモリ プロファイリングをイネーブルにする前に、 memory profile text コマンドを使用してメモリ テキストの範囲をプロファイルに設定する必要があります。

clear memory profile コマンドを入力するまで、メモリの一部はプロファイリング システムにより保持されます。 show memory status コマンドの出力を参照してください。


) メモリのプロファイリングをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下することがあります。


次の例では、メモリ プロファイリングをイネーブルにします。

hostname# memory profile enable

 
関連コマンド

コマンド
説明

memory profile text

プロファイルするメモリのテキスト範囲を設定します。

show memory profile

セキュリティ アプライアンスのメモリ使用状況に関する情報(プロファイリング)を表示します。

memory profile text

プロファイルにメモリのプログラム テキスト範囲を設定するには、特権 EXEC モードで memory profile text コマンドを使用します。ディセーブルにするには、このコマンドの no 形式を使用します。

memory profile text { startPC endPC | all resolution }

no memory profile text { startPC endPC | all resolution }

 
シンタックスの説明

all

メモリ ブロックのテキスト範囲全体を指定します。

endPC

メモリ ブロックのテキスト範囲終了点を指定します。

resolution

ソース テキスト領域に対するトレースの精度を指定します。

startPC

メモリ ブロックのテキスト範囲開始点を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

テキスト範囲が小さい場合、通常、「4」の精度で命令へのコールをトレースします。テキスト範囲が大きい場合、通常、最初のパスは粗精度で十分ですが、次のパスで範囲がより小さい領域セットに絞り込まれる可能性があります。

memory profile text コマンドにテキスト範囲を入力したら、 memory profile enable コマンドを入力して、メモリ プロファイリングを開始する必要があります。メモリのプロファイリングは、デフォルトではディセーブルになっています。


) メモリのプロファイリングをイネーブルにすると、セキュリティ アプライアンスのパフォーマンスが一時的に低下することがあります。


次の例は、プロファイルにメモリのテキスト範囲を 4 の精度で設定する方法を示しています。

hostname# memory profile text 0x004018b4 0x004169d0 4
 

次の例では、テキスト範囲のコンフィギュレーションおよびメモリ プロファイリングのステータス(OFF)を表示します。

hostname# show memory profile
InUse profiling: OFF
Peak profiling: OFF
Profile:
0x004018b4-0x004169d0(00000004)

) メモリ プロファイリングを開始するには、memory profile enable コマンドを入力する必要があります。メモリのプロファイリングは、デフォルトではディセーブルになっています。


 
関連コマンド

コマンド
説明

clear memory profile

メモリ プロファイリング機能によって保持されているバッファをクリアします。

memory profile enable

メモリ使用状況のモニタリング(メモリ プロファイリング)をイネーブルにします。

show memory profile

セキュリティ アプライアンスのメモリ使用状況に関する情報(プロファイリング)を表示します。

show memory-caller address

セキュリティ アプライアンス上に設定されているアドレスの範囲を表示します。

memory-size

WebVPN のさまざまなコンポーネントがアクセスするセキュリティ アプライアンス上にメモリ量を設定するには、WebVPN モードで memory-size コマンドを使用します。メモリ量は、KB 単位の設定量または全メモリのパーセンテージのいずれでも設定できます。設定されたメモリ サイズを削除するには、このコマンドの no 形式を使用します。


) 新しいメモリ サイズの設定を有効にするには、リブートが必要です。


memory-size { percent | kb } size

no memory-size [{ percent | kb } size ]

 
シンタックスの説明

kb

メモリ量を KB 単位で指定します。

percent

メモリ量を、セキュリティ アプライアンス上の全メモリのパーセンテージとして指定します。

size

メモリ量を、KB 単位または全メモリのパーセンテージで指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

WebVPN モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

次の例は、WebVPN のメモリ サイズを 30 パーセントに設定する方法を示しています。

hostname(config)# webvpn
hostname(config-webvpn)# memory-size percent 30
hostname(config-webvpn)#
hostname(config-webvpn)# reload
 

 
関連コマンド

コマンド
説明

show memory webvpn

WebVPN メモリ使用状況の統計情報を表示します。

message-length

設定した最大および最小の長さを満たしていない GTP パケットをフィルタリングするには、GTP マップ コンフィギュレーション モードで message-length コマンドを使用します。このモードは、 gtp-map コマンドを使用してアクセスします。このコマンドを削除するには、 no 形式を使用します。

message-length min min_bytes max max_bytes

no message-length min min_bytes max max_bytes

 
シンタックスの説明

max

UDP ペイロードで許可される最大バイト数を指定します。

max_bytes

UDP ペイロードの最大バイト数。範囲は、1 ~ 65,536 です。

min

UDP ペイロードで許可される最小バイト数を指定します。

min_bytes

UDP ペイロードの最小バイト数。範囲は、1 ~ 65,536 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

GTP マップ コンフィギュレーション

No

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

このコマンドで指定される長さは、GTP ヘッダーと残りのメッセージ部分(UDP パケットのペイロード)を合わせたものです。

次の例では、20 ~ 300 バイトの長さのメッセージを許可します。

hostname(config)# gtp-map qtp-policy
hostname(config-gtpmap)# permit message-length min 20 max 300
 

 
関連コマンド

コマンド
説明

clear service-policy inspect gtp

グローバル GTP 統計情報を消去します。

debug gtp

GTP 検査に関する詳細情報を表示します。

debug gtp

GTP マップを定義し、GTP マップ コンフィギュレーション モードをイネーブルにします。

inspect gtp

アプリケーション検査用に特定の GTP マップを適用します。

show service-policy inspect gtp

GTP コンフィギュレーションを表示します。

mfib forwarding

インターフェイス上で MFIB 転送を再度イネーブルにするには、インターフェイス コンフィギュレーション モードで mfib forwarding コマンドを使用します。インターフェイス上で MFIB 転送をディセーブルにするには、このコマンドの no 形式を使用します。

mfib forwarding

no mfib forwarding

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

multicast-routing コマンドは、デフォルトではすべてのインターフェイスの MFIB 転送をイネーブルにします。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

マルチキャスト ルーティングをイネーブルにすると、デフォルトでは、MFIB 転送はすべてのインターフェイスでイネーブルになります。特定のインターフェイス上で MFIB 転送をディセーブルにするには、このコマンドの no 形式を使用します。実行コンフィギュレーションに表示されるのは、このコマンドの no 形式のみです。

MFIB 転送をインターフェイス上でディセーブルにすると、他の方法で特別に設定しないかぎり、そのインターフェイスはマルチキャスト パケットを受け付けません。MFIB 転送がディセーブルになると、IGMP パケットも妨げられます。

次の例では、指定されたインターフェイスでの MFIB 転送をディセーブルにします。

hostname(config)# interface GigabitEthernet 0/0
hostname(config-if)# no mfib forwarding
 

 
関連コマンド

コマンド
説明

multicast-routing

マルチキャスト ルーティングをイネーブルにします。

pim

インターフェイスで PIM をイネーブルにします。

mgcp-map

MGCP 検査のパラメータを定義するときに使用する、特定のマップを指定するには、グローバル コンフィギュレーション モードで mgcp-map コマンドを使用します。マップを削除するには、このコマンドの no 形式を使用します。

mgcp-map map_name

no mgcp-map map_name

 
シンタックスの説明

map_name

MGCP マップの名前。最大文字数は 64 です。

 
デフォルト

MGCP コマンド キューのデフォルトは 200 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

MGCP 検査のパラメータを定義するときに使用する、特定のマップを指定するには、mgcp-map コマンドを使用します。このコマンドを入力すると、システムがコンフィギュレーション モードに入って、個々のマップを定義するためのさまざまなコマンドを入力できるようになります。MGCP マップを定義したら、inspect mgcp コマンドを使用してマップをイネーブルにします。モジュラ ポリシー フレームワークを使用して、定義したトラフィック クラスに inspect コマンドを適用し、特定のインターフェイスにポリシーを適用します。MGCP マップ コンフィギュレーション モードで使用できるコマンドは、次のとおりです。

call-agent :コール エージェントのグループを指定します。

command-queue :キューに入れることができる MGCP コマンドの最大数を指定します。

gateway :特定のゲートウェイを管理しているコール エージェントのグループを指定します。

no :コマンドを否定するか、パラメータをデフォルト値に設定します。

次の例は、mgcp-map コマンドを使用して、MGCP 検査のパラメータを定義するときに使用する特定のマップ(mgcp-policy)を指定する方法を示しています。

hostname(config)# mgcp-map mgcp-policy
hostname(config-mgcp-policy)#
 

次の例は、MGCP トラフィックを識別し、MGCP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する方法を示しています。

次の例のように、MGCP 検査エンジンをイネーブルにします。ここでは、デフォルトのポート(2427)の MGCP トラフィックに一致するクラスマップを作成します。このサービス ポリシーが、外部インターフェイスに適用されます。

hostname(config)# class-map mgcp-port
hostname(config-cmap)# match port tcp eq 2427
hostname(config-cmap)# exit
hostname(config)# mgcp-map mgcp_inbound
hostname(config-mgcp-map)# call-agent 10.10.11.5 101
hostname(config-mgcp-map)# call-agent 10.10.11.6 101
hostname(config-mgcp-map)# call-agent 10.10.11.7 102
hostname(config-mgcp-map)# call-agent 10.10.11.8 102
hostname(config-mgcp-map)# gateway 10.10.10.115 101
hostname(config-mgcp-map)# gateway 10.10.10.116 102
hostname(config-mgcp-map)# gateway 10.10.10.117 102
hostname(config-mgcp-map)# command-queue 150
hostname(config)# policy-map mgcp_policy
hostname(config-pmap)# class mgcp-port
hostname(config-pmap-c)# inspect mgcp mgcp_inbound
hostname(config-pmap-c)# exit
hostname(config)# service-policy mgcp_policy interface outside
 
  1. ここでは、コール エージェント 10.10.11.5 と 10.10.11.6 がゲートウェイ 10.10.10.115 を制御できるようにし、コール エージェント 10.10.11.7 と 10.10.11.8 がゲートウェイ 10.10.10.116 と 10.10.10.117 の両方を制御できるようにしています。キューに入れることができる MGCP コマンドの最大数は、150 です。

すべてのインターフェイスの MGCP 検査をイネーブルにするには、 interface outside の代わりに global パラメータを使用します。

 
関連コマンド

コマンド
説明

debug mgcp

MGCP に関するデバッグ情報の表示をイネーブルにします。

show mgcp

MGCP のコンフィギュレーションおよびセッション情報を表示します。

timeout mgcp

MGCP メディア接続のアイドル タイムアウトを設定します。このタイムアウト後、その MGCP メディア接続が終了します。

timeout mgcp-pat

MGCP PAT xlate のアイドル タイムアウトを設定します。このタイムアウト後、その MGCP PAT xlate が削除されます。

min-object-size

セキュリティ アプライアンスが、WebVPN セッションに対してキャッシュできるオブジェクトの最小サイズを設定するには、キャッシュ モードで min-object-size コマンドを使用します。サイズを変更するには、このコマンドを再度使用します。最小オブジェクト サイズを設定しない場合は、値としてゼロ(0)を入力します。

min-object-size integer range

 
シンタックスの説明

integer range

0 ~ 10000 KB

 
デフォルト

デフォルト サイズは 0 KB です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

キャッシュ モード

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが導入されました。

 
使用上のガイドライン

最小オブジェクト サイズは、最大オブジェクト サイズよりも小さくする必要があります。キャッシュ圧縮がイネーブルである場合、セキュリティ アプライアンスは、オブジェクト圧縮後のサイズを計算します。

次の例では、最大オブジェクト サイズである 40 KB に設定する方法を示します。

hostname(config)# webvpn
hostname(config-webvpn)# cache
hostname(config-webvpn-cache)# min-object-size 40
hostname(config-webvpn-cache)#

 
関連コマンド

コマンド
説明

cache

WebVPN キャッシュ モードに入ります。

cache-compressed

WebVPN キャッシュの圧縮を設定します。

disable

キャッシングをディセーブルにします。

expiry-time

オブジェクトのキャッシングが、オブジェクトの再確認なしで期限切れになる時刻を設定します。

lmfactor

最終変更時刻のタイムスタンプだけを持つオブジェクトのキャッシングに関する再確認ポリシーを設定します。

max-object-size

キャッシュするオブジェクトの最大サイズを定義します。

mkdir

新しいディレクトリを作成するには、特権 EXEC モードで mkdir コマンドを使用します。

mkdir [/noconfirm] [disk0: | disk1: | flash:] path

 
シンタックスの説明

noconfirm

(オプション)確認プロンプトを表示しないようにします。

disk0 :

(オプション)内部フラッシュ メモリを指定し、続けてコロン(:)を入力します。

disk1:

(オプション)外部フラッシュ メモリ カードを指定し、続けてコロン(:)を入力します。

flash:

(オプション)内部フラッシュ メモリを指定し、続けてコロン(:)を入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。

path

作成するディレクトリの名前とパス。

 
デフォルト

パスを指定しない場合、ディレクトリは現在の作業ディレクトリに作成されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

同じ名前のディレクトリがすでに存在する場合、新しいディレクトリは作成されません。

次の例は、「backup」という新しいディレクトリを作成する方法を示しています。

hostname# mkdir backup

 
関連コマンド

コマンド
説明

cd

現在の作業ディレクトリから、指定したディレクトリに移動します。

dir

ディレクトリの内容を表示します。

rmdir

指定したディレクトリを削除します。

pwd

現在の作業ディレクトリを表示します。

mode

セキュリティ コンテキスト モードをシングルまたはマルチに設定するには、グローバル コンフィギュレーション モードで mode コマンドを使用します。1 つのセキュリティ アプライアンスを、セキュリティ コンテキストと呼ばれる複数の仮想装置に分割できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立した装置のように動作します。複数のコンテキストは、複数の独立型アプライアンスを持つことに相当します。シングルモードでは、セキュリティ アプライアンスは、1 つのコンフィギュレーションを保有し、1 つの装置のように動作します。マルチモードでは、独自のコンフィギュレーションを持つ複数のコンテキストを作成できます。作成できるコンテキスト数は、ライセンスに応じて異なります。

mode { single | multiple } [ noconfirm ]

 
シンタックスの説明

multiple

マルチ コンテキスト モードを設定します。

noconfirm

(オプション)確認用のプロンプトを表示することなく、モードを設定します。このオプションは、自動スクリプトに役立ちます。

single

コンテキスト モードをシングルに設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

マルチ コンテキスト モードでは、セキュリティ アプライアンスに、セキュリティ ポリシー、インターフェイス、および独立型装置で設定できるほとんどのオプションを指定するコンテキストごとのコンフィギュレーションが含まれます(コンテキスト コンフィギュレーションの場所の指定については、 config-url コマンドを参照してください)。システム管理者は、システム コンフィギュレーションにコンテキストを設定することによって、コンテキストを追加したり管理したりします。これは、シングルモードの場合のコンフィギュレーションと同様、スタートアップ コンフィギュレーションです。システム コンフィギュレーションは、セキュリティ アプライアンスの基本的な設定を指定します。システム コンフィギュレーションには、システム自体のネットワーク インターフェイスまたはネットワークの設定は含まれません。ネットワーク リソースにアクセスする必要がある場合(サーバからコンテキストをダウンロードする場合など)、システム コンフィギュレーションは、管理コンテキストとして指定されているコンテキストの 1 つを使用します。

mode コマンドを使用してコンテキスト モードを変更する場合、リブートするためのプロンプトが表示されます。

コンテキスト モード(シングルまたはマルチ)は、リブート時も保持されますが、コンフィギュレーション ファイルには保存されません。別の装置にコンフィギュレーションをコピーする必要がある場合は、 mode コマンドを使用して、新しい装置のモードが一致するように設定してください。

シングルモードからマルチモードに変換すると、セキュリティ アプライアンスが実行コンフィギュレーションを 2 つのファイルに変換します。システム コンフィギュレーションを構成する新しいスタートアップ コンフィギュレーションと、管理コンテキストを構成する admin.cfg (内部フラッシュ メモリのルート ディレクトリ内)です。元の実行コンフィギュレーションは、old_running.cfg(内部フラッシュ メモリのルート ディレクトリ内)として保存されます。元のスタートアップ コンフィギュレーションは保存されません。セキュリティ アプライアンスは、システム コンフィギュレーションに「admin」という名前で管理コンテキストのエントリを自動的に追加します。

マルチモードからシングルモードに変換する場合、必要に応じて、最初にスタートアップ コンフィギュレーション全体(可能な場合)をセキュリティ アプライアンスにコピーすることができます。マルチモードから継承されたシステム コンフィギュレーションは、シングルモードの装置では完全に機能するコンフィギュレーションではありません。

マルチ コンテキスト モードでは、すべての機能はサポートされていません。詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。

次の例では、モードをマルチに設定します。

hostname(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm] y
Convert the system configuration? [confirm] y
Flash Firewall mode: multiple
 
***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
*** change mode
 
Rebooting....
 
Booting system, please wait...
 

次の例では、モードをシングルに設定します。

hostname(config)# mode single
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm] y
Flash Firewall mode: single
 
***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
*** change mode
 
 
 
Rebooting....
 
Booting system, please wait...
 

 
関連コマンド

コマンド
説明

context

システム コンフィギュレーションにコンテキストを設定し、コンテキスト コンフィギュレーション モードに入ります。

show mode

現在のコンテキスト モード(シングルまたはマルチ)を表示します。

monitor-interface

特定のインターフェイスでヘルス モニタリングをイネーブルにするには、グローバル コンフィギュレーション モードで monitor-interface コマンドを使用します。インターフェイス モニタリングをディセーブルにするには、このコマンドの no 形式を使用します。

monitor-interface if_name

no monitor-interface if_name

 
シンタックスの説明

if_name

監視対象にするインターフェイスの名前を指定します。

 
デフォルト

物理インターフェイスのモニタリングは、デフォルトでイネーブルになっています。論理インターフェイスのモニタリングは、デフォルトではディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

セキュリティ アプライアンスで監視できるインターフェイスの数は 250 です。hello メッセージは、各インターフェイスのポーリング間隔の間にセキュリティ アプライアンスのフェールオーバー ペア間で交換されます。フェールオーバー インターフェイスのポーリング間隔は、3 ~ 15 秒です。たとえば、ポーリング間隔が 5 秒に設定されている場合は、hello メッセージが 5 回続けて(25 秒)そのインターフェイスで聴取されないと、インターフェイスでテストが開始します。

監視対象のフェールオーバー インターフェイスのステータスは、次のいずれかになります。

Unknown:初期ステータス。また、このステータスは、ステータスを判別できないことを意味します。

Normal:インターフェイスがトラフィックを受信しています。

Testing:5 ポーリング間隔の間、hello メッセージがインターフェイスで聴取されていません。

Link Down:インターフェイスまたは VLAN が管理上ダウンしています。

No Link:インターフェイスの物理リンクがダウンしています。

Failed:インターフェイスでトラフィックが受信されておらず、ピア インターフェイスでもトラフィックが聴取されていません。

Active/Active フェールオーバーでは、このコマンドはコンテキスト内でのみ有効です。

次の例では、「inside」という名前のインターフェイスでモニタリングをイネーブルにします。

hostname(config)# monitor-interface inside
hostname(config)#
 

 
関連コマンド

コマンド
説明

clear configure monitor-interface

すべてのインターフェイスに対してデフォルトのインターフェイス ヘルス モニタリングを復元します。

failover interface-policy

フェールオーバーが発生する基準となる、監視対象のインターフェイスの障害数またはパーセンテージを指定します。

failover polltime

インターフェイスの hello メッセージ間の間隔を指定します(Active/Standby フェールオーバー)。

polltime interface

インターフェイスの hello メッセージ間の間隔を指定します(Active/Active フェールオーバー)。

show running-config monitor-interface

実行コンフィギュレーション内の monitor-interface コマンドを表示します。

more

ファイルの内容を表示するには、 more コマンドを使用します。

more { /ascii | /binary| /ebcdic | disk0: | disk1: | flash: | ftp: | http: | https: | system: | tftp: }filename

 
シンタックスの説明

/ascii

(オプション)バイナリ モードでバイナリ ファイルと ASCII ファイルを表示します。

/binary

(オプション)バイナリ モードでファイルを表示します。

/ebcdic

(オプション)EBCDIC のバイナリ ファイルを表示します。

disk0 :

(オプション)内部フラッシュ メモリのファイルを表示します。

disk1:

(オプション)外部フラッシュ メモリ カードのファイルを表示します。

flash:

(オプション)内部フラッシュ メモリを指定し、続けてコロン(:)を入力します。ASA 5500 シリーズでは、 flash キーワードは disk0 のエイリアスです。

ftp:

(オプション)FTP サーバのファイルを表示します。

http:

(オプション)Web サイトのファイルを表示します。

https:

(オプション)セキュア Web サイトのファイルを表示します。

system:

(オプション)ファイル システムを表示します。

tftp:

(オプション)TFTP サーバのファイルを表示します。

filename

表示するファイルの名前を指定します。

 
デフォルト

ACSII モード

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

more filesystem: コマンドは、ローカル ディレクトリまたはファイル システムのエイリアスを入力するためのプロンプトを表示します。

次の例は、「test.cfg」という名前のローカル ファイルの内容を表示する方法を示しています。

hostname# more test.cfg
: Saved
: Written by enable_15 at 10:04:01 Apr 14 2005
 
XXX Version X.X(X)
nameif vlan300 outside security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname test
fixup protocol ftp 21
fixup protocol h323 H225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
access-list deny-flow-max 4096
access-list alert-interval 300
access-list 100 extended permit icmp any any
access-list 100 extended permit ip any any
pager lines 24
icmp permit any outside
mtu outside 1500
ip address outside 172.29.145.35 255.255.0.0
no asdm history enable
arp timeout 14400
access-group 100 in interface outside
!
interface outside
!
route outside 0.0.0.0 0.0.0.0 172.29.145.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h3
23 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
snmp-server host outside 128.107.128.179
snmp-server location my_context, USA
snmp-server contact admin@my_context.com
snmp-server community public
no snmp-server enable traps
floodguard enable
fragment size 200 outside
no sysopt route dnat
telnet timeout 5
ssh timeout 5
terminal width 511
gdb enable
mgcp command-queue 0
Cryptochecksum:00000000000000000000000000000000
: end

 
関連コマンド

コマンド
説明

cd

指定したディレクトリに変更します。

pwd

現在の作業ディレクトリを表示します。

mroute

スタティック マルチキャスト ルートを設定するには、グローバル コンフィギュレーション モードで mroute コマンドを使用します。スタティック マルチキャスト ルートを削除するには、このコマンドの no 形式を使用します。

mroute src smask in_if_name [ dense output_if_name ] [ distance ]

no mroute src smask in_if_name [ dense output_if_name ] [ distance ]

 
シンタックスの説明

dense output_if_name

(オプション)稠密モード出力用のインターフェイス名。

dense output_if_name キーワードと引数のペアは、SMR スタブ マルチキャスト ルーティング(igmp フォワーディング)でのみサポートされています。

distance

(オプション)ルートの管理ディスタンス。より短い距離のルートが選択されます。デフォルトは 0 です。

in_if_name

mroute 用の着信インターフェイス名を指定します。

smask

マルチキャスト送信元ネットワーク アドレス マスクを指定します。

src

マルチキャスト送信元の IP アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

このコマンドを使用すると、マルチキャスト送信元の場所をスタティックに設定できます。セキュリティ アプライアンスは、特定の送信元にユニキャスト パケットを送信するときと同じインターフェイス上で、マルチキャスト パケットを受信すると予想します。マルチキャスト ルーティングをサポートしていないルートをバイパスする場合など、場合によっては、マルチキャスト パケットがユニキャスト パケットとは異なるパスを通ることがあります。

スタティック マルチキャスト ルートは、アドバタイジングまたは再配布されません。

マルチキャスト ルーティング テーブルの内容を表示するには、 show mroute コマンドを使用します。実行コンフィギュレーションの mroute コマンドを表示するには、 show running-config mroute コマンドを使用します。

次の例は、 mroute コマンドを使用して、スタティック マルチキャスト ルートを設定する方法を示しています。

hostname(config)# mroute 172.16.0.0 255.255.0.0 inside
 

 
関連コマンド

コマンド
説明

clear configure mroute

mroute コマンドをコンフィギュレーションから削除します。

show mroute

IPv4 マルチキャスト ルーティング テーブルを表示します。

show running-config mroute

コンフィギュレーション内の mroute コマンドを表示します。

mtu

インターフェイスの最大伝送ユニットを指定するには、グローバル コンフィギュレーション モードで mtu コマンドを使用します。イーサネット インターフェイスの MTU ブロック サイズを 1,500 にリセットするには、このコマンドの no 形式を使用します。このコマンドは、IPv4 トラフィックと IPv6 トラフィックをサポートしています。

mtu interface_name bytes

no mtu interface_name bytes

 
シンタックスの説明

bytes

MTU のバイト数を指定します。有効値は 64 ~ 65,535 バイトです。

interface_name

内部または外部のネットワーク インターフェイスの名前。

 
デフォルト

イーサネット インターフェイスの場合、デフォルトの bytes は 1500 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存のものです。

 
使用上のガイドライン

mtu コマンドを使用すると、接続で送信されるデータのサイズを設定できます。MTU 値より大きなデータは、送信前にフラグメント化されます。

セキュリティ アプライアンスは RFC 1191 で定義されている IP Path MTU Discovery をサポートしています。IP Path MTU Discovery によって、ホストは、パスに沿ったさまざまなリンクの最大許容 MTU サイズでの相違を動的に検出して対応できます。パケットがインターフェイスに設定された MTU よりも大きいが、「don't fragment」(DF)ビットが設定されているため、セキュリティ アプライアンスがデータグラムを転送できないことがあります。ネットワーク ソフトウェアは、発信元ホストに対してこの問題を警告しながらメッセージを送信します。ホスト側では、宛先用にパケットをフラグメント化して、パスに沿ったリンクすべての最小パケット サイズに合せる必要があります。

イーサネット インターフェイスの場合、デフォルトの MTU は 1 ブロック 1,500 バイトで、これは最大値でもあります。これはほとんどのアプリケーションで十分な値ですが、ネットワークの条件で必要とされる場合はこれより低い数値を選択できます。

Layer 2 Tunneling Protocol(L2TP)を使用している場合は、MTU サイズを 1,380 に設定することを推奨します。このサイズは、L2TP ヘッダー長と IPSec ヘッダー長に相当するためです。

次の例は、インターフェイスの MTU を指定する方法を示しています。

hostname(config)# show running-config mtu
mtu outside 1500
mtu inside 1500
hostname(config)# mtu inside 8192
hostname(config)# show running-config mtu
mtu outside 1500
mtu inside 8192
 

 
関連コマンド

コマンド
説明

clear configure mtu

すべてのインターフェイスの設定済み最大伝送ユニット(maximum transmission unit; MTU)値を消去します。

show running-config mtu

現在の最大伝送ユニットのブロック サイズを表示します。

multicast-routing

セキュリティ アプライアンスの IP マルチキャスト ルーティングをイネーブルにするには、グローバル コンフィギュレーション モードで multicast-routing コマンドを使用します。IP マルチキャスト ルーティングをディセーブルにするには、このコマンドの no 形式を使用します。

multicast-routing

no multicast-routing

 
シンタックスの説明

このコマンドには、引数もキーワードもありません。

 
デフォルト

multicast-routing コマンドは、デフォルトではすべてのインターフェイスの PIM と IGMP をイネーブルにします。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが導入されました。

 
使用上のガイドライン

multicast-routing コマンドは、すべてのインターフェイスの PIM と IGMP をイネーブルにします。


) PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してのみ動作します。

セキュリティ アプライアンスが PIM RP の場合は、セキュリティ アプライアンスの未変換の外部アドレスを、RP アドレスとして使用します。


マルチキャスト ルーティング テーブルのエントリ数は、システムの RAM 量によって制限されます。 表20-1 に、セキュリティ アプライアンスの RAM 量に基づいた特定のマルチキャスト テーブルの最大エントリ数を示します。これらの制限値に達すると、新しいエントリはすべて廃棄されます。

 

表20-1 マルチキャスト テーブル エントリの制限値

テーブル
16 MB
128 MB
128 MB以上
MFIB

1000

3000

5000

IGMP グループ

1000

3000

5000

PIM ルート

3000

7000

12000

次の例では、セキュリティ アプライアンスの IP マルチキャスト ルーティングをイネーブルにします。

hostname(config)# multicast-routing
 

 
関連コマンド

コマンド
説明

igmp

インターフェイスで IGMP をイネーブルにします。

pim

インターフェイスで PIM をイネーブルにします。