Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
cache コマンド~ clear compression コマ ンド
cache コマンド~ clear compression コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

cache コマンド~ clear compression コマンド

cache

cache-time

call-agent

call-duration-limit

call-party-numbers

call-home

call-home send

call-home send alert-group

call-home test

capture

cd

cdp-url

certificate

certificate-group-map

chain

changeto

character-encoding

checkheaps

check-retransmission

checksum-verification

cipc security-mode authenticated

class(グローバル)

class(ポリシー マップ)

class-map

class-map type inspect

class-map type management

class-map type regex

clear aaa local user fail-attempts

clear aaa local user lockout

clear aaa-server statistics

clear access-list

clear arp

clear asp drop

clear asp table

clear blocks

clear-button

clear capture

clear compression

cache コマンド~ clear compression コマンド

cache

キャッシュ モードを開始し、キャッシング アトリビュートの値を設定するには、webvpn コンフィギュレーション モードで cache コマンドを入力します。すべてのキャッシュ関連コマンドをコンフィギュレーションから削除し、デフォルト値にリセットするには、このコマンドの no バージョンを入力します。

cache

no cache

 
デフォルト

各キャッシュ アトリビュートのデフォルト設定を使用してイネーブルにします。

 
コマンド モード

次の表は、このコマンドを入力するモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

キャッシングでは、頻繁に再利用されるオブジェクトがシステム キャッシュに格納されます。その結果、コンテンツのリライトや圧縮を反復実行する必要性が低下します。キャッシングにより、WebVPN とリモート サーバおよびエンド ユーザのブラウザの両方の間のトラフィックが削減されて、多くのアプリケーションの実行効率が大幅に向上されます。

次の例では、キャッシュ モードを開始する方法を示します。

hostname(config)# webvpn
hostname(config-webvpn)# cache
hostname(config-webvpn-cache)#

 
関連コマンド

コマンド
説明

cache-static-content

リライトの対象ではないコンテンツをキャッシュします。

disable

キャッシュをディセーブルにします。

expiry-time

オブジェクトを再検証せずにキャッシュする有効期限を設定します。

lmfactor

最終変更時刻のタイムスタンプだけを持つオブジェクトのキャッシュに関する再確認ポリシーを設定します。

max-object-size

キャッシュするオブジェクトの最大サイズを定義します。

min-object-size

キャッシュするオブジェクトの最小サイズを定義します。

cache-time

CRL を失効したと見なす前に、引き続きキャッシュに格納しておく時間を分単位で指定するには、crl 設定コンフィギュレーション モードで cache-time コマンドを使用します。crl 設定コンフィギュレーション モードには crypt ca トラストポイント コンフィギュレーション モードからアクセスできます。デフォルト値に戻すには、このコマンドの no 形式を使用します。

cache-time refresh-time

no cache-time

 
構文の説明

refresh-time

CRL をキャッシュに留める時間を分単位で指定します。指定できる範囲は 1 ~ 1440 分です。CRL に NextUpdate フィールドがない場合、その CRL はキャッシュされません。

 
デフォルト

デフォルト設定は 60 分です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crl 設定コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

次に、ca-crl コンフィギュレーション モードを開始し、トラストポイント central に対してキャッシュ時間リフレッシュ値に 10 分を指定する例を示します。

hostname(configure)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# cache-time 10
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

CRL コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

enforcenextupdate

証明書の NextUpdate CRL フィールドの処理方法を指定します。

call-agent

コール エージェントのグループを指定するには、MGCP マップ コンフィギュレーション モードで call-agent コマンドを使用します。このモードには mgcp-map コマンドを使用してアクセスできます。コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

call-agent ip_address group_id

no call-agent ip_address group_id

 
構文の説明

ip_address

ゲートウェイの IP アドレス。

group_id

コール エージェント グループの ID(0 ~ 2147483647)。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

1 つ以上のゲートウェイを管理できる、コール エージェントのグループを指定するには、 call-agent コマンドを使用します。コール エージェント グループ情報は、グループ内のコール エージェント(ゲートウェイでコマンドを送信するエージェントを除く)の接続を開いて、任意のコール エージェントが応答を送信できるようにするために使用されます。同じ group_id を持つコール エージェントは、同じグループに属します。コール エージェントは複数のグループに属すことができます。 group_id オプションは、0 ~ 4294967295 の数値です。 ip_address オプションは、コール エージェントの IP アドレスを指定します。

次に、コール エージェント 10.10.11.5 および 10.10.11.6 にゲートウェイ 10.10.10.115 の制御を許可し、コール エージェント 10.10.11.7 および 10.10.11.8 にゲートウェイ 10.10.10.116 および 10.10.10.117 の制御を許可する例を示します。

hostname(config)# mgcp-map mgcp_inbound
hostname(config-mgcp-map)# call-agent 10.10.11.5 101
hostname(config-mgcp-map)# call-agent 10.10.11.6 101
hostname(config-mgcp-map)# call-agent 10.10.11.7 102
hostname(config-mgcp-map)# call-agent 10.10.11.8 102
hostname(config-mgcp-map)# gateway 10.10.10.115 101
hostname(config-mgcp-map)# gateway 10.10.10.116 102
hostname(config-mgcp-map)# gateway 10.10.10.117 102
 

 
関連コマンド

コマンド
説明

debug mgcp

MGCP のデバッグ情報の表示をイネーブルにします。

mgcp-map

MGCP マップを定義し、MGCP マップ コンフィギュレーション モードをイネーブルにします。

show mgcp

MGCP のコンフィギュレーションおよびセッションの情報を表示します。

call-duration-limit

H.323 コールのコール期間を設定するには、パラメータ コンフィギュレーション モードで call-duration-limit コマンドを使用します。このモードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

call-duration-limit hh:mm:ss

no call-duration-limit hh:mm:ss

 
構文の説明

hh:mm:ss

時間、分、および秒の単位で期間を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、H 323 コールのコール期間を設定する方法を示します。

hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# call-duration-limit 0:1:0
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

call-party-numbers

H.323 コールを設定するときに発信側番号の送信を必須にするには、パラメータ コンフィギュレーション モードで、 call-party-numbers コマンドを使用します。このモードには、ポリシー マップ コンフィギュレーション モードからアクセスできます。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

call-party-numbers

no call-party-numbers

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

次の例では、H 323 コールのコールを設定するときに、発信側番号を必須にする方法を示します。

hostname(config)# policy-map type inspect h323 h323_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# call-party-numbers

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

call-home

Call Home コンフィギュレーション モードを開始するには、グローバル コンフィギュレーション モードで call-home コマンドを使用します。

call-home

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
コマンドのデフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

call-home コマンドを入力すると、プロンプトが hostname(cfg-call-home)# に変更され、次の Call Home コンフィギュレーション コマンドを利用できます。

[no] alert-group {group name | all}:Smart Call Home グループをイネーブルまたはディセーブルにします。デフォルトは、すべてのアラート グループでイネーブルです。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
group name:syslog、diagnostic、environment、inventory、configuration、snapshot、threat、telemetry、test。

[no] contact-e-mail-addr e-mail-address:カスタマー連絡先の電子メール アドレスを指定します。このフィールドは必須です。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
e-mail-address:127 文字までのカスタマー電子メール アドレス。

[no] contact-name contact name:カスタマー名を指定します。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
e-mail-address:127 文字までのカスタマー名。

copy profile src-profile-name dest-profile-name:既存のプロファイル(src-profile-name)の内容を新しいプロファイル(dest-profile-name)にコピーします。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
src-profile-name:23 文字までの既存プロファイルの名前。
dest-profile-name:23 文字までの新規プロファイルの名前。

rename profile src-profile-name dest-profile-name:既存プロファイルの名前を変更します。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
src-profile-name:23 文字までの既存プロファイルの名前。
dest-profile-name:23 文字までの新規プロファイルの名前。

no configuration all:Smart Call Home コンフィギュレーションをクリアします。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。

[no] customer-id customer-id-string:カスタマー ID を指定します。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
customer-id-string:64 文字までのカスタマー ID。このフィールドは、XML 形式のメッセージで必須です。

[no] event-queue-size queue_size:イベント キュー サイズを指定します。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
queue-size:5 ~ 60 でイベント数を示します。デフォルトは 10 です。

[no] mail-server ip-address | name priority 1-100 all:SMTP メール サーバを指定します。カスタマーは、メール サーバを 5 台まで指定できます。Smart Call Home メッセージの電子メール転送を使用するために、少なくとも 1 台のメール サーバが必要です。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
ip-address:メール サーバの IPv4 アドレスまたは IPv6 アドレス。
name:メール サーバのホスト名。
1-100:メール サーバのプライオリティ。値が小さいほど、プライオリティが高くなります。

[no] phone-number phone-number-string:カスタマー電話番号を指定します。このフィールドはオプションです。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
phone-number-string:電話番号。

[no] rate-limit msg-count:Smart Call Home で 1 分あたりに送信できるメッセージの数を指定します。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
msg-count:1 分あたりのメッセージ数。デフォルトは 10 です。

[no] sender { from e-mail-address | reply-to e-mail-address:電子メール メッセージの from および reply-to の電子メール アドレスを指定します。このフィールドはオプションです。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
e-mail-address:電子メール アドレスの from および reply-to。

[no] site-id site-id-string:カスタマー サイト ID を指定します。このフィールドはオプションです。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
site-id-string:カスタマーの場所を識別するサイト ID。

[no] street-address street-address:カスタマー アドレスを指定します。このフィールドはオプションです。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
street-address:255 文字までの自由書式の文字列。

[no] alert-group-config environment:環境グループ コンフィギュレーション モードを開始します。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。

[no] threshold {cpu | memory} low-high:環境リソースしきい値を指定します。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
low、high:0 ~ 100。デフォルトは 85-90 です。

[no] alert-group-config snapshot:スナップショット グループ コンフィギュレーション モードを開始します。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
system、user:CLI をシステム コンテキストまたはユーザ コンテキストで実行します(マルチ モードだけで使用可能)。

[no] add-command "cli command" [{system | user}]:スナップショット グループ内のキャプチャする CLI コマンドを指定します。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
cli command:実行する CLI コマンド。
system、user:CLI をシステム コンテキストまたはユーザ コンテキストで実行します(マルチ モードだけで使用可能)。system と user のいずれも指定しなかった場合、CLI は、システム コンテキストとユーザ コンテキストの両方で実行されます。デフォルトはユーザ コンテキストです。

[no] profile profile-name | no profile all:プロファイルを作成、削除、編集します。プロファイル コンフィギュレーション モードを開始し、プロンプトを hostname (cfg-call-home-profile)# に変更します。
サポートされているモードは、シングル モードおよびマルチ モードでのシステム コンテキスト、ルーテッドおよびトランスペアレントです。
profile-name:20 文字までのプロファイル名。

[no] active:プロファイルをイネーブルまたはディセーブルにします。デフォルトはイネーブルです。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。

no destination address {e-maile-mail | http} all | [no] destination {address {e-mail | http} e-mail-address | http-url [msg-format short-text | long-text | xml] | message-size-limit max-size | preferred-msg-format short-text | long-text | xml | transport-method e-mail | http}:Smart Call Home メッセージ レシーバの宛先、メッセージ サイズ、メッセージ形式、および転送方式を設定します。デフォルトのメッセージ形式は XML で、デフォルトでイネーブルにされる転送方式は電子メールです。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
e-mail-address:100 文字までの Smart Call Home レシーバの電子メール アドレス。
http-url:HTTP または HTTPS の URL。
max-size:バイト単位の最大メッセージ サイズ。0 は制限なしを意味します。デフォルトは 5 MB です。

[no] subscribe-to-alert-group alert-group-name [severity{catastrophic | disaster | emergencies | alert | critical | errors | warning | notifications | informational | debugging}]:指定した重大度のグループのイベントにサブスクライブします。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
alert-group-name:syslog、diagnostic、environment、または threat です。

[no] subscribe-to-alert-group syslog [{severity{catastrophic | disaster | emergencies | alert | critical | errors | warning | notifications | informational | debugging} | message start [-end]}]:重大度またはメッセージ ID で Syslog にサブスクライブします。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
start-[end]:単一の Syslog メッセージ ID または Syslog メッセージ ID の範囲。

[no] subscribe-to-alert-group inventory [periodic {daily | monthly day_of_month | weekly day_of_week [hh:mm]]:インベントリ イベントにサブスクライブします。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
day_of_month:1 ~ 31 の日付。
day_of_week:Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday の曜日。
hh、mm:24 時間形式の時間および分。

[no] subscribe-to-alert-group configuration [export full | minimum] [periodic {daily | monthly day_of_month | weekly day_of_week [hh:mm]]:コンフィギュレーション イベントにサブスクライブします。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
full:実行コンフィギュレーション、スタートアップ コンフィギュレーション、機能リスト、アクセス リスト内の要素数、およびマルチ モードのコンテキスト名をエクスポートするコンフィギュレーション。
minimum:機能リスト、アクセス リスト内の要素数、およびマルチ モードのコンテキスト名だけをエクスポートするコンフィギュレーション。
day_of_month:1 ~ 31 の日付。
day_of_week:Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday の曜日。
hh、mm:24 時間形式の時間および分。

[no] subscribe-to-alert-group telemetry periodic {hourly | daily | monthly day_of_month | weekly day_of_week [hh:mm]:テレメトリ定期イベントにサブスクライブします。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
day_of_month:1 ~ 31 の日付。
day_of_week:Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday の曜日。
hh、mm:24 時間形式の時間および分。

[no] subscribe-to-alert-group <snapshot> periodic {
interval minutes | hourly [mm>] | daily | monthly day_of_month |weekly day_of_week [hh:mm]}:スナップショット定期イベントにサブスクライブします。
サポート モードは、シングル モード、およびマルチ モード、ルーテッド モード、トランスペアレント モードでのシステム コンテキストです。
minutes:分単位の間隔。
day_of_month:1 ~ 31 の日付。
day_of_week:Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday の曜日。
hh、mm:24 時間形式の時間および分。


) Call-Home HTTPS メッセージは、ここで説明する vrf コマンドとは別に、ip http client source-interface コマンドを使用して、指定した VRF 上の送信元インターフェイスを介してだけ送信できます。


次の例では、連絡先情報を設定する方法を示します。

hostname(config)# call-home
hostname(cfg-call-home)# contact-e-mail-addr username@example.com
hostname(cfg-call-home)# customer-id Customer1234
hostname(cfg-call-home)# phone-number +1-800-555-0199
hostname(cfg-call-home)# site-id Site1
hostname(cfg-call-home)# street-address “1234 Any Street, Any city, Any state, 12345”
 

次の例では、Call Home メッセージ レート制限しきい値を構成する方法を示します。

hostname(config)# call-home
hostname(cfg-call-home)# rate-limit 50
 

次の例では、Call Home メッセージ レート制限しきい値をデフォルト設定に設定する方法を示します。

hostname(config)# call-home
hostname(cfg-call-home)# default rate-limit
 

次の例では、既存のプロファイルと同じコンフィギュレーション設定で新しい宛先プロファイルを作成する方法を示します。

hostname(config)# call-home
hostname(cfg-call-home)# copy profile profile1 profile1a
 

次の例では、プライマリおよびセカンダリの電子メール サーバなど、一般電子メール パラメータを設定する方法を示します。

hostname(config)# call-home
hostname(cfg-call-home)# mail-server smtp.example.com priority 1
hostname(cfg-call-home)# mail-server 192.168.0.1 priority 2
hostname(cfg-call-home)# sender from username@example.com
hostname(cfg-call-home)# sender reply-to username@example.com

 
関連コマンド

コマンド
説明

alert-group

アラート グループをイネーブルにします。

profile

Call Home プロファイル コンフィギュレーション モードを開始します。

show call-home

Call Home コンフィギュレーション情報を表示します。

call-home send

CLI コマンドを実行し、コマンド出力を電子メールで送信するには、特権 EXEC モードで call-home send コマンドを使用します。

call-home send <cli command> [email <email>] [service-number <service number>]

 
構文の説明

cli-command

実行する CLI コマンドを指定します。コマンド出力は電子メールで送信されます。

email email

CLI コマンド出力の送信先の電子メール アドレスを指定します。電子メール アドレスを指定していない場合、コマンド出力は Cisco TAC(attach@cisco.com)に送信されます。

service-number

そのコマンド出力が関連するアクティブ TAC ケース番号を指定します。この番号は、電子メール アドレス(または TAC 電子メール アドレス)を指定していない場合にだけ必要であり、電子メールの件名行に表示されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドにより、指定した CLI コマンドがシステムで実行されます。指定する CLI コマンドは引用符("")で囲む必要がありますが、任意の run コマンドまたは show コマンドを指定できます。これには、すべてのモジュールに対するコマンドを含みます。

次に指定した電子メール アドレスに電子メールでコマンド出力が送信されます。電子メール アドレスを指定していない場合、コマンド出力は Cisco TAC(attach@cisco.com)に送信されます。この電子メールは、サービス番号が指定されていればその番号を件名行に含む、ロング テキスト形式で送信されます。

次の例では、CLI コマンドを送信し、コマンド出力を電子メールで送信する方法を示します。

hostname# call-home send "show diagnostic result module all" email support@example.com

 
関連コマンド

call-home(グローバル コンフィギュレーション)

Call Home コンフィギュレーション モードを開始します。

call-home test

定義した Call Home テスト メッセージを送信します。

service call-home

Call Home をイネーブルまたはディセーブルにします。

show call-home

Call Home コンフィギュレーション情報を表示します。

call-home send alert-group

特定のアラート グループ メッセージを送信するには、特権 EXEC モードで call-home send alert-group コマンドを使用します。

call-home send alert-group { configuration | telemetry | inventory | group snapshot} [ profile profile-name ]

 
構文の説明

configuration

コンフィギュレーション アラート グループ メッセージを宛先プロファイルに送信します。

group snapshot

スナップショット グループを送信します。

inventory

インベントリ Call-Home メッセージを送信します。

profile profile-name

(任意) 宛先 プロファイルの名前を指定します。

telemetry

特定のモジュール、スロット/サブスロット、またはスロット/ベイ番号に関する診断アラート グループ メッセージを宛先プロファイルに送信します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

profile profile-name を指定しなかった場合、メッセージは、サブスクライブされたすべての宛先プロファイルに送信されます。

コンフィギュレーション、診断、およびインベントリ アラート グループだけを手動で送信できます。宛先プロファイルは、そのアラート グループにサブスクライブする必要はありません。

次の例では、コンフィギュレーション アラート グループ メッセージを宛先プロファイルに送信する方法を示します。

hostname# call-home send alert-group configuration
 

次の例では、特定のモジュール、スロット/サブスロット、またはスロット/ベイ番号に関する診断アラート グループ メッセージを宛先プロファイルに送信する方法を示します。

hostname# call-home send alert-group diagnostic module 3 5/2
 

次の例では、特定のモジュール、スロット/サブスロット、またはスロット/ベイ番号に関する診断アラート グループ メッセージをすべての宛先プロファイルに送信する方法を示します。

hostname# call-home send alert-group diagnostic module 3 5/2 profile Ciscotac1
 

この例では、インベントリ Call-Home メッセージを送信する方法を示します。

hostname# call-home send alert-group inventory

 
関連コマンド

call-home(グローバル コンフィギュレーション)

Call Home コンフィギュレーション モードを開始します。

call-home test

定義した Call Home テスト メッセージを送信します。

service call-home

Call Home をイネーブルまたはディセーブルにします。

show call-home

Call Home コンフィギュレーション情報を表示します。

call-home test

プロファイルのコンフィギュレーションを使用して Call Home テスト メッセージを手動で送信するには、特権 EXEC モードで call-home test コマンドを使用します。

call-home test [ " test-message " ] profile profile-nam e

 
構文の説明

profile profile-name

宛先 プロファイルの名前を指定します。

test-message

(任意)テスト メッセージ テキスト。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、指定された宛先プロファイルにテスト メッセージを送信します。スペースを含むテスト メッセージ テキストを入力する場合は、テキストを引用符("")で囲む必要があります。メッセージを入力しなかった場合は、デフォルトのメッセージが送信されます。

次の例では、Call Home テスト メッセージを手動で送信する方法を示します。

hostname# call-home test “test of the day” profile Ciscotac1

 
関連コマンド

call-home(グローバル コンフィギュレーション)

Call Home コンフィギュレーション モードを開始します。

call-home send alert-group

特定のアラート グループ メッセージを送信します。

service call-home

Call Home をイネーブルまたはディセーブルにします。

show call-home

Call Home コンフィギュレーション情報を表示します。

capture

パケット スニッフィングおよびネットワーク障害の切り分けのためにパケット キャプチャ機能をイネーブルにするには、特権 EXEC モードで capture コマンドを使用します。パケット キャプチャ機能をディセーブルにするには、このコマンドの no 形式を使用します。

capture capture_name [ type { asp-drop all [ drop-code ] | tls-proxy | raw-data | isakmp | decrypted | webvpn user webvpn-user [ url url] }] [ access-list access_list_name ] [ buffer buf_size ] [ ethernet-type type ] [ interface interface_name ] [ packet-length bytes ] [ circular-buffer ] [ trace trace_count ] [ real-time ] [ dump ] [ detail ] [ trace ] [ match prot { host source- ip | source -ip mask | any }{ host destination- ip | destination -ip mask | any } [ operator port ]

no capture capture-name [ type { asp-drop [ drop-code ] | tls-proxy | raw-data | isakmp | decrypted | webvpn user webvpn-user ] [access-list access_list_name ] [circular-buffer] [interface interface_name ] [ real-time ] [ dump ] [ detail ] [ trace ] [ match prot ] { host source- ip | source -ip mask | any }{ host destination- ip | destination -ip mask | any } [ operator port ]

 
構文の説明

access-list access_list_name

(任意)アクセス リストと一致するトラフィックをキャプチャします。マルチ コンテキスト モードでは、コンテキスト内だけで使用可能です。

any

単一の IP アドレスとマスクではなく、すべての IP アドレスを指定します。

all

適応型セキュリティ アプライアンスがドロップするすべてのパケットをキャプチャします。

asp-drop [ drop-code ]

(任意)高速セキュリティ パスによってドロップされたパケットをキャプチャします。 drop-code は、高速セキュリティ パスによってドロップされるトラフィックの種類を指定します。ドロップ コードのリストについては、 show asp drop frame コマンドを参照してください。 drop-code 引数を入力しなかった場合は、ドロップされたすべてのパケットがキャプチャされます。

このキーワードは、 packet-length circular-buffer 、および buffer とともに入力できますが、 interface または ethernet-type とともには入力できません。

buffer buf_size

(任意)パケットの格納に使用されるバッファ サイズをバイト単位で定義します。バイト バッファがフルになるとすぐに、パケット キャプチャは停止されます。

capture_name

パケット キャプチャの名前を指定します。複数の種類のトラフィックをキャプチャする複数の capture ステートメントで同じ名前を使用します。 show capture コマンドを使用してキャプチャ コンフィギュレーションを表示すると、すべてのオプションが 1 行に組み合わされます。

circular-buffer

(任意)バッファがフルになった場合に、先頭からバッファの上書きを開始します。

detail

(任意)各パケットについて、プロトコル情報を追加表示します。

dump

(任意)データ リンク トランスポートを介して転送されるパケットの 16 進ダンプを表示します。

decrypted

(任意)復号化された TCP データが L2 ~ L4 ヘッダーでカプセル化され、キャプチャ エンジンによってキャプチャされます。

ethernet-type type

(任意)キャプチャするイーサネット タイプを選択します。デフォルトは IP パケットです。802.1Q タイプまたは VLAN タイプを選択した場合は、例外が発生します。802.1Q タグは自動的にスキップされ、内部イーサネット タイプが照合に使用されます。

host ip

パケットの送信先であるホストの単一 IP アドレスを指定します。

interface interface_name

パケット キャプチャを使用するインターフェイスの名前を設定します。キャプチャするすべてのパケットに対するインターフェイスを設定する必要があります。同じ名前を指定した複数の capture コマンドを使用して、複数のインターフェイスを設定できます。ASA 5500 シリーズ適応型セキュリティ アプライアンスのデータプレーン上のパケットをキャプチャする場合は、 asa_dataplane をインターフェイスの名前とした interface キーワードを使用できます。

isakmp

(任意)ISAKMP トラフィックをキャプチャします。マルチ コンテキスト モードでは使用不可です。ISAKMP サブシステムでは、上位レイヤのプロトコルを利用できません。このキャプチャは、PCAP パーサーを満たすために、物理レイヤ、IP レイヤ、および UDP レイヤが組み合わされた擬似キャプチャです。ピア アドレスは SA 交換によって取得され、IP レイヤに格納されます。

mask

IP アドレスのサブネット マスク。ネットワーク マスクを指定する場合に使用する方式は、Cisco IOS ソフトウェア access-list コマンドの方式と異なります。セキュリティ アプライアンスでは、ネットワーク マスク(たとえば、クラス C マスクの 255.255.255.0)を使用します。Cisco IOS マスクではワイルドカード ビット(0.0.0.255 など)を使用します。

match prot

指定したパケットの 5 個のパーツを照合することで、キャプチャするパケットをフィルタリングできます。このキーワードは 1 行で 3 回まで使用できます。

operator

(任意)送信元または宛先で使用されるポート番号を照合します。使用できる演算子は次のとおりです。

lt:より小さい

gt:より大きい

eq:等しい

packet-length bytes

(任意)キャプチャ バッファに保存する各パケットの最大バイト数を設定します。

port

(任意)プロトコルを TCP または UDP に設定する場合、TCP または UDP ポートの番号(整数)または名前を指定します。

raw-data

(任意)1 つ以上のインターフェイスの着信パケットおよび発信パケットをキャプチャします。これがデフォルト設定です。

real-time

キャプチャしたパケットをリアルタイムで継続的に表示します。リアルタイム パケット キャプチャを終了するには、Ctrl + c を押します。このオプションは raw-data キャプチャおよび asp-drop キャプチャだけに適用されます。

tls-proxy

(任意)1 つ以上のインターフェイスで TLS プロキシからの復号化されたインバウンド データおよびアウトバウンド データをキャプチャします。

trace trace_count

(任意)パケット トレース情報およびキャプチャするパケットの数をキャプチャします。アクセス リストと組み合わせて、パケットが想定どおりに処理されているかどうかを判別するためのトレース パケットをデータ パスに挿入するために使用されます。

type

(任意)キャプチャするデータの種類を指定します。

url url

(任意)データ キャプチャで照合する URL プレフィクスを指定します。サーバへの HTTP トラフィックをキャプチャするには、http:// server / path という URL 形式を使用します。サーバに対する HTTPS トラフィックをキャプチャするには、https:// server / path を使用します。

user webvpn-user

(任意)WebVPN キャプチャのユーザ名を指定します。

webvpn

(任意)特定の WebVPN 接続の WebVPN データをキャプチャします。

 
デフォルト

デフォルトは次のとおりです。

デフォルトの type raw-data です

デフォルトの buffer サイズ 512 KB です

デフォルトのイーサネット タイプは IP です。

デフォルトの packet-length 1518 バイトです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

6.2(1)

このコマンドが追加されました。

7.0(1)

このコマンドが変更されて、キーワード type asp-drop type isakmp type raw-data 、および type webvpn が組み込まれました。

7.0(8)

適応型セキュリティ アプライアンスがドロップするすべてのパケットをキャプチャする all オプションが追加されました。

7.2(1)

このコマンドが変更されて、オプション trace trace_count、 match prot、 real-time、host ip、 any mask 、および operator が組み込まれました。

8.0(2)

このコマンドは、内容をキャプチャするパスを更新するように変更されました。

8.0(4)

このコマンドが変更されて、キーワード type decrypted が組み込まれました。

 
使用上のガイドライン

パケットをキャプチャすると、接続の問題をトラブルシューティングしたり、疑わしい動作をモニタリングしたりするために役立ちます。キャプチャは複数作成できます。パケット キャプチャを表示するには、 show capture name コマンドを使用します。キャプチャをファイルに保存するには、 copy capture コマンドを使用します。パケット キャプチャ情報を Web ブラウザで参照するには、 https:// 適応型セキュリティ アプライアンス-ip-address / admin /capture/ capture_name [ / pcap ] コマンドを使用します。オプションの pcap キーワードを指定した場合は、libpcap 形式のファイルが Web ブラウザにダウンロードされ、Web ブラウザを使用して保存できます。(libcap ファイルは、TCPDUMP または Ethereal を使用して表示できます)。

バッファ内容を ASCII 形式で TFTP サーバにコピーした場合は、ヘッダーのみが表示されて、詳細およびパケットの 16 進ダンプは表示されません。詳細および 16 進ダンプを参照するには、PCAP 形式でバッファを転送し、TCPDUMP または Ethereal を使用して参照する必要があります。


) WebVPN キャプチャをイネーブルにすると、適応型セキュリティ アプライアンスのパフォーマンスに影響します。トラブルシューティングに必要なキャプチャ ファイルを生成した後は、必ず、キャプチャをディセーブルにしてください。


オプションのキーワードなしで no capture を入力すると、キャプチャが削除されます。オプションの access-list キーワードを指定した場合は、キャプチャからアクセス リストが削除されますが、キャプチャは保持されます。 interface キーワードを指定した場合は、指定したインターフェイスからキャプチャが分離されますが、キャプチャは保持されます。キャプチャ自体をクリアする場合でなければ、オプションの access-list キーワードまたは interface キーワードを付けて no capture コマンドを入力してください。

リアルタイム表示の進行中はキャプチャに対するいずれの操作も実行できません。コンソール接続が低速な場合に real-time キーワードを使用すると、パフォーマンス上の理由から表示されないパケットが大量になりすぎるおそれがあります。固定のバッファ制限は 1000 パケットです。バッファがフルになっても、カウンタはキャプチャしたパケットの数を引き続き示します。別のセッションを開けば、 no capture real-time コマンドを入力してリアルタイム表示をディセーブルにできます。


capture コマンドはコンフィギュレーションに保存されず、フェールオーバー時にスタンバイ ユニットにコピーされません。


capture out type isakmp ikev2 interface outside コマンドを使用すると、ポート 4500 の IKEv2 パケットをキャプチャできますが、ポート 500 のデータであると表示されます。これは設計によるものです。

適応型セキュリティ アプライアンスでは、通過するすべての IP トラフィックを追跡でき、すべての管理トラフィック(SSH トラフィック、Telnet トラフィックなど)を含む、着信するすべての IP トラフィックをキャプチャできます。

適応型セキュリティ アプライアンスのアーキテクチャは、パケット処理のための異なる 3 セットのプロセッサで構成されています。このアーキテクチャに起因して、キャプチャ機能の性能に一定の制限が加わります。通常は、適応型セキュリティ アプライアンスのパケット転送機能の大部分が 2 個のフロントエンド ネットワーク プロセッサで処理され、アプリケーション インスペクションが必要なパケットに限り、コントロール プレーン汎用プロセッサに送信されます。パケットがセッション管理パス ネットワーク プロセッサに送信されるのは、高速パス プロセッサで処理されないセッションがある場合だけです。

適応型セキュリティ アプライアンスによって転送またはドロップされるすべてのパケットがこの 2 つのフロントエンド ネットワーク プロセッサを通るため、パケット キャプチャ機能はこれらのネットワーク プロセッサに実装されています。したがって、該当するトラフィック インターフェイス用の適切なキャプチャが設定されていれば、適応型セキュリティ アプライアンスを通過するすべてのパケットをこれらのフロントエンド プロセッサでキャプチャできます。入力側では、適応型セキュリティ アプライアンス インターフェイスに到着した時点でパケットがキャプチャされ、出力側では、ネットワークに送信される直前でパケットがキャプチャされます。

次に、キャプチャ機能の制限の一部を示します。制限の大部分は、適応型セキュリティ アプライアンスのアーキテクチャが本質的に分散型であることと、適応型セキュリティ アプライアンスで使用するハードウェア アクセラレータを原因としています。

1 つのインターフェイスに複数のキャプチャを設定することはできません。ただし、キャプチャ アクセス リストに ACE を複数設定して柔軟なコンフィギュレーションにすることはできます。

IP トラフィックだけをキャプチャできます。ARP など IP 以外のパケットは、キャプチャ機能でキャプチャできません。

共有 VLAN には、次の制限が適用されます。

VLAN ごとに設定できるキャプチャは 1 つだけです。共有 VLAN の複数のコンテキストでキャプチャを設定した場合は、最後に設定したキャプチャだけが使用されます。

最後に設定した(アクティブ)キャプチャを削除した場合は、別のコンテキストで事前に設定したキャプチャがあっても、アクティブになるキャプチャはありません。キャプチャをアクティブにするには、キャプチャを削除して追加し直す必要があります。

キャプチャを指定したインターフェイス(キャプチャ アクセス リストと一致するインターフェイス)に着信するすべてのトラフィックがキャプチャされます。これには、共有 VLAN の他のコンテキストへのトラフィックが含まれます。

したがって、コンテキスト B でも使用される VLAN のコンテキスト A でキャプチャをイネーブルにすると、コンテキスト A とコンテキスト B の両方で入力トラフィックがキャプチャされます。

出トラフィックの場合は、アクティブ キャプチャのあるコンテキストのトラフィックだけがキャプチャされます。唯一の例外は、ICMP インスペクションをイネーブルにしない(したがって、ICMP トラフィックのセッションが高速パスにない)場合です。この場合は、共有 VLAN のすべてのコンテキストで入力と出力の ICMP トラフィックがキャプチャされます。

キャプチャを設定する場合、通常は、キャプチャする必要のあるトラフィックを照合するアクセス リストを設定します。トラフィック パターンを照合するアクセス リストの設定が終われば、キャプチャを定義し、キャプチャを設定するインターフェイスとともに、このアクセス リストをキャプチャに関連付ける必要があります。キャプチャは、アクセス リストおよびインターフェイスと、IPv4 トラフィックをキャプチャするためのキャプチャを関連付けた場合に限り機能することに注意してください。IPv6 トラフィックの場合、アクセス リストは不要です。

パケットをキャプチャするには、次のコマンドを入力します。

hostname# capture captest interface inside
hostname# capture captest interface outside
 

発行した capture コマンドの内容「captest」は、Web ブラウザを使用して次の場所で参照できます。

https://171.69.38.95/admin/capture/captest
 

libpcap ファイル(Web ブラウザで使用)をローカル マシンにダウンロードするには、次のコマンドを入力します。

https://171.69.38.95/capture/http/pcap
 

次に、外部ホスト 171.71.69.234 から内部 HTTP サーバへのトラフィックをキャプチャする例を示します。

hostname# access-list http permit tcp host 10.120.56.15 eq http host 171.71.69.234
hostname# access-list http permit tcp host 171.71.69.234 host 10.120.56.15 eq http
hostname# capture http access-list http packet-length 74 interface inside
 

次の例では、ARP パケットをキャプチャする方法を示します。

hostname# capture arp ethernet-type arp interface outside
 

次に、5 個のトレース パケットをデータ ストリームを挿入する例を示します。ここで、 access-list 101 は TCP プロトコル FTP と一致するトラフィックを定義しています。

hostname# capture ftptrace interface outside access-list 101 trace 5
 

トレースされたパケットおよびパケット処理に関する情報を参照しやすい形式で表示するには、 show capture ftptrace コマンドを使用します。

次の例では、キャプチャされたパケットをリアルタイムで表示する方法を示します。

hostname# capture test interface outside real-time
Warning: Using this option with a slow console connection may result in an excess amount of non-displayed packets due to performance limitations.
Use ctrl-c to terminate real-time capture.
 
10 packets displayed
12 packets not displayed due to performance limitations
 

次の例では、キャプチャする必要のある IPv4 トラフィックを照合する拡張アクセス リストを設定する方法を示します。

hostname (config)# access-list capture extended permit ip any any
 

次の例では、キャプチャを設定する方法を示します。

hostname (config)# capture name access-list acl_name interface interface_name
 

デフォルトでは、キャプチャを設定すると、512 KB のサイズのリニア キャプチャ バッファが作成されます。オプションで循環バッファを設定できます。デフォルトでは、パケットの 68 バイトだけがバッファにキャプチャされます。オプションでこの値を変更できます。

次に、事前に設定されたキャプチャ アクセス リストを使用し、外部インターフェイスに適用される「ip-capture」というキャプチャを作成する例を示します。

hostname (config)# capture ip-capture access-list capture interface outside
 

次の例では、キャプチャを表示する方法を示します。

hostname (config)# show capture name
 

次の例では、キャプチャを終了する一方でバッファを保持する方法を示します。

hostname (config)# no capture name access-list acl_name interface interface_name
 

次の例では、キャプチャを終了し、バッファを削除する方法を示します。

hostname (config)# no capture name
 

 
関連コマンド

コマンド
説明

clear capture

キャプチャ バッファをクリアします。

copy capture

キャプチャ ファイルをサーバにコピーします。

show capture

オプションが指定されていない場合は、キャプチャ コンフィギュレーションを表示します。

cd

現在の作業ディレクトリを指定したディレクトリに変更するには、特権 EXEC モードで cd コマンドを使用します。

cd [disk0: | disk1: | flash:] [ path ]

 
構文の説明

disk0 :

内部フラッシュ メモリを指定し、続けてコロンを入力します。

disk1:

着脱式外部フラッシュ メモリ カードを指定し、続けてコロンを入力します。

flash:

内部フラッシュ メモリを指定し、続けてコロンを入力します。ASA 5500 シリーズの場合は、 flash キーワードのエイリアスが disk0 になっています。

path

(任意)変更後ディレクトリの絶対パス。

 
デフォルト

ディレクトリを指定しなかった場合、ディレクトリはルート ディレクトリに変更されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

この例では、「config」ディレクトリに変更する方法を示します。

hostname# cd flash:/config/

 
関連コマンド

コマンド
説明

pwd

現在の作業ディレクトリを表示します。

cdp-url

ローカル CA によって発行される証明書に組み込む CDP を指定するには、CA サーバ コンフィギュレーション モードで cdp-url コマンドを使用します。デフォルト CDP に戻すには、このコマンドの no 形式を使用します。

[no] cdp-url url

 
構文の説明

url

ローカル CA によって発行された証明書の失効ステータスを検証者が取得する URL を指定します。この URL は英数字 500 文字未満である必要があります。

 
デフォルト

デフォルトの CDP URL は、ローカル CA を含む適応型セキュリティ アプライアンスの URL です。デフォルト URL は http://hostname.domain/+CSCOCA+/asa_ca.crl という形式です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

CA サーバ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

CDP は、証明書の失効ステータスを検証者が取得できる場所を指定するために、発行された証明書に組み込むことができる拡張機能です。一度に設定できる CDP は 1 つだけです。


) CDP URL を指定する場合、その場所から現在の CRL にアクセスできるようにする責任を管理者が負います。


次に、ローカル CA サーバによって発行された証明書の CDP に 10.10.10.12 を設定する例を示します。

hostname(config)# crypto ca server
hostname(config-ca-server)# cdp-url http://10.10.10.12/ca/crl
hostname(config-ca-server)#

 
関連コマンド

コマンド
説明

crypto ca server

CA サーバ コンフィギュレーション モードの CLI コマンド セットにアクセスできるようにします。これらのコマンドを使用することで、ローカル CA を設定および管理できます。

crypto ca server crl issue

CRL を強制的に発行します。

crypto ca server revoke

ローカル CA サーバによって発行された証明書を証明書データベースおよび CRL で無効であるとマークします。

crypto ca server unrevoke

ローカル CA サーバによって発行され、事前に無効にされた証明書の無効を撤回します。

lifetime crl

証明書失効リストのライフタイムを指定します。

certificate

指定された証明書を追加するには、暗号 CA 証明書チェーン コンフィギュレーション モードで certificate コマンドを使用します。このコマンドを発行すると、適応型セキュリティ アプライアンスでは、コマンドに含まれているデータを 16 進形式の証明書であると解釈します。文字列 quit は証明書の末尾を示します。証明書を削除するには、このコマンドの no 形式を使用します。

certificate [ ca | ra-encrypt | ra-sign | ra-general ] certificate-serial-number

no certificate certificate-serial-number

 
構文の説明

 
構文の説明構文の説明

certificate-serial-number

単語 quit で終了される 16 進形式で証明書のシリアル番号を指定します。

ca

証明書が CA によって発行される証明書であることを示します。

ra-encrypt

証明書が、SCEP で使用される RA キー暗号証明書であることを示します。

ra-general

証明書が、デジタル署名および SCEP メッセージングのキー暗号で使用される RA 証明書であることを示します。

ra-sign

証明書が、SCEP メッセージングで使用される RA デジタル署名証明書であることを示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA 証明書チェーン コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

CA は、セキュリティ クレデンシャルおよびメッセージ暗号化用の公開キーを発行および管理するネットワーク内の機関です。公開キー インフラストラクチャの一部である CA では、RA と連携して、デジタル証明書の要求者から提示された情報を検証します。RA によって要求者の情報が検証されると、CA が証明書を発行できます。

次に、シリアル番号 29573D5FF010FE25B45 で CA 証明書を追加する例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crypto ca certificate chain central
hostname(ca-cert-chain)# certificate ca 29573D5FF010FE25B45
30820345 308202EF A0030201 02021029 572A3FF2 96EF854F D0D6732F E25B4530
0D06092A 864886F7 0D010105 05003081 8F311630 1406092A 864886F7 0D010901
16076140 622E636F 6D310B30 09060355 04061302 55533116 30140603 55040813
0D6D6173 73616368 75736574 74733111 300F0603 55040713 08667261 6E6B6C69
6E310E30 0C060355 040A1305 63697363 6F310F30 0D060355 040B1306 726F6F74
6F75311C 301A0603 55040313 136D732D 726F6F74 2D736861 2D30362D 32303031
301E170D 30313036 32363134 31313430 5A170D32 32303630 34313430 3133305A
30818F31 16301406 092A8648 86F70D01 09011607 6140622E 636F6D31 0B300906
03550406 13025553 31163014 06035504 08130D6D 61737361 63687573 65747473
3111300F 06035504 07130866 72616E6B 6C696E31 0E300C06 0355040A 13056369
73636F31 0F300D06 0355040B 1306726F 6F746F75 311C301A 06035504 0313136D
732D726F 6F742D73 68612D30 362D3230 3031305C 300D0609 2A864886 F70D0101
01050003 4B003048 024100AA 3EB9859B 8670A6FB 5E7D2223 5C11BCFE 48E6D3A8
181643ED CF7E75EE E77D83DF 26E51876 97D8281E 9F58E4B0 353FDA41 29FC791B
1E14219C 847D19F4 A51B7B02 03010001 A3820123 3082011F 300B0603 551D0F04
04030201 C6300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604
14E0D412 3ACC96C2 FBF651F3 3F66C0CE A62AB63B 323081CD 0603551D 1F0481C5
3081C230 3EA03CA0 3A86386C 6461703A 2F2F7732 6B616476 616E6365 64737276
2F436572 74456E72 6F6C6C2F 6D732D72 6F6F742D 7368612D 30362D32 3030312E
63726C30 3EA03CA0 3A863868 7474703A 2F2F7732 6B616476 616E6365 64737276
2F436572 74456E72 6F6C6C2F 6D732D72 6F6F742D 7368612D 30362D32 3030312E
63726C30 40A03EA0 3C863A66 696C653A 2F2F5C5C 77326B61 6476616E 63656473
72765C43 65727445 6E726F6C 6C5C6D73 2D726F6F 742D7368 612D3036 2D323030
312E6372 6C301006 092B0601 04018237 15010403 02010130 0D06092A 864886F7
0D010105 05000341 0056221E 03F377B9 E6900BF7 BCB3568E ADBA146F 3B8A71F3
DF9EB96C BB1873B2 B6268B7C 0229D8D0 FFB40433 C8B3CB41 0E4D212B 2AEECD77
BEA3C1FE 5EE2AB6D 91
quit

 
関連コマンド

コマンド
説明

clear configure crypto map

すべての暗号マップのすべてのコンフィギュレーションをクリアします。

show running-config crypto map

暗号マップのコンフィギュレーションを表示します。

crypto ca certificate chain

証明書暗号 CA 証明書チェーン モードを開始します。

crypto ca trustpoint

CA トラストポイント モードを開始します。

show running-config crypto map

すべての暗号マップのすべてのコンフィギュレーションを表示します。

certificate-group-map

証明書マップのルール エントリをトンネル グループと関連づけるには、webvpn コンフィギュレーション モードで certificate-group-map コマンドを使用します。現在のトンネル グループ マップ アソシエーションをクリアするには、このコマンドの no 形式を使用します。

certificate-group-map certificate_map_name index tunnel_group_name

no certificate-group-map

 
構文の説明

certificate_map_name

証明書マップの名前。

index

証明書マップ内のマップ エントリの整数 ID。index 値に指定できる範囲は 1 ~ 65535 です。

tunnel_group_name

マップ エントリが証明書と一致する場合に選択されるトンネル グループの名前。 tunnel-group name はすでに存在している必要があります。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

certificate-group-map コマンドが有効であれば、WebVPN クライアントから受け取った証明書がマップ エントリと対応する場合、結果のトンネル グループはその接続と関連付けられ、ユーザが選択したいずれのトンネル グループよりも優先されます。

certificate-group-map コマンドを複数インスタンス使用することにより、複数のマッピングを指定できます。

次の例では、tgl というトンネル グループのルール 6 を関連付ける方法を示します。

hostname(config)# webvpn

hostname(config-webvpn)# certificate-group-map map1 6 tg1
hostname(config-webvpn)#

 
関連コマンド

コマンド
説明

crypto ca certificate map

証明書発行者およびサブジェクト Distinguished Name(DN; 識別名)に基づいてルールを設定するための CA 証明書マップ コンフィギュレーション モードを開始します。

tunnel-group-map

証明書ベースの IKE セッションをトンネル グループにマップするときのポリシーおよびルールを設定します。

chain

証明書チェーンの送信をイネーブルにするには、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで chain コマンドを使用します。このアクションには、ルート証明書および転送内のすべての下位 CA 証明書が含まれます。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。

chain

no chain

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

このコマンドのデフォルト設定は、ディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ ipsec アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このアトリビュートは、すべての IPSec トンネル グループ タイプに適用できます。

次に、トンネル グループ ipsec アトリビュート コンフィギュレーション モードで入力されて、IP アドレス 209.165.200.225 の IPSec LAN-to-LAN トンネル グループのチェーン送信をイネーブルにする例を示します。送信には、ルート証明書およびすべての下位 CA 証明書が含まれます。

hostname(config)# tunnel-group 209.165.200.225 type IPSec_L2L
hostname(config)# tunnel-group 209.165.200.225 ipsec-attributes
hostname(config-tunnel-ipsec)# chain
hostname(config-tunnel-ipsec)#

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel-group

現在のトンネル グループ コンフィギュレーションを表示します。

tunnel-group ipsec-attributes

このグループのトンネル グループ ipsec アトリビュートを設定します。

changeto

セキュリティ コンテキストとシステムで切り替えるには、特権 EXEC モードで changeto コマンドを使用します。

changeto { system | context name }

 
構文の説明

context name

指定された名前のコンテキストに変更します。

system

システム実行スペースに変更します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

システム実行スペースまたは管理コンテキストにログインしているときに、コンテキストを切り替えて、各コンテキストでコンフィギュレーション タスクおよびモニタリング タスクを実行できます。コンフィギュレーション モードで編集したり、 copy コマンドまたは write コマンドで使用したりする「実行」コンフィギュレーションは、現在の実行スペースによって変わります。システム実行スペースの場合、実行コンフィギュレーションはシステム コンフィギュレーションだけで構成されます。コンテキスト実行スペースの場合、実行コンフィギュレーションは、そのコンテキストだけで構成されます。たとえば、 show running-config コマンドを入力してすべての実行コンフィギュレーション(システムおよびすべてのコンテキスト)を表示することはできません。現在のコンフィギュレーションだけが表示されます。

次に、特権 EXEC モードで、コンテキストとシステムを切り替える例を示します。

hostname/admin# changeto system
hostname# changeto context customerA
hostname/customerA#
 

次の例では、インターフェイス コンフィギュレーション モードで、システムと管理コンテキストを切り替えます。コンフィギュレーション サブモードのときに実行スペース間で切り替える場合、新しい実行スペースのモードは、グローバル コンフィギュレーション モードに変更されます。

hostname(config-if)# changeto context admin
hostname/admin(config)#

 
関連コマンド

コマンド
説明

admin-context

コンテキストを管理コンテキストに設定します。

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

show context

コンテキストのリスト(システム実行スペース)または現在のコンテキストに関する情報を表示します。

character-encoding

WebVPN ポータル ページのグローバル文字符号化を指定するには、webvpn コンフィギュレーション モードで character-encoding コマンドを使用します。character-encoding アトリビュートの値を削除するには、このコマンドの no 形式を使用します。

character-encoding charset

no character-encoding [ charset ]

 
構文の説明

charset

http://www.iana.org/assignments/character-sets で指定されている有効な文字セットの 1 つと等しい、40 文字までの文字列。このページに示されている文字セットの名前またはエイリアスのいずれかを使用できます。たとえば、iso-8859-1、shift_jis、ibm850 などです。

この文字列では、大文字と小文字が区別されません。適応型セキュリティ アプライアンス コンフィギュレーション内では、コマンド インタプリタによって大文字が小文字に変換されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

文字符号化 は、「文字コード化」および「文字セット」とも呼ばれ、生データ(0 と 1 の組み合わせなど)とそのデータを表す文字を対にすることを意味します。使用する文字符号化方式は言語によって決まります。複数の言語で同じ方式を使用する場合もありますが、言語ごとに異なる場合もあります。通常は、地理的な地域によってブラウザで使用するデフォルトの符号化方式が決まりますが、ユーザによる変更が可能です。ページに指定されている符号化をブラウザで検出し、その符号化に従って文書をレンダリングすることもできます。character-encoding アトリビュートを使用すると、WebVPN ポータル ページに含める文字符号化方式の値をユーザが指定して、ユーザがブラウザを使用している地域やブラウザに設定されている変更にかかわらず、そのページがブラウザによって必ず適切にレンダリングされるようにすることができます。

character-encoding アトリビュートはグローバル設定であり、デフォルトですべての WebVPN ポータル ページに継承されます。ただし、character-encoding アトリビュートの値と異なる文字符号化を使用する Common Internet File System サーバの場合、ユーザは、file-encoding アトリビュートを上書きできます。異なる文字符号化を必要とする CIFS サーバの場合は、異なる file-encoding 値を使用してください。

CIFS サーバから WebVPN ユーザにダウンロードされた WebVPN ポータル ページは、サーバを識別する WebVPN file-encoding アトリビュートの値を符号化します。符号化が行われなかった場合は、character-encoding アトリビュートの値を継承します。リモート ユーザのブラウザは、この値を文字エンコーディング セットのエントリにマッピングして、使用する適切な文字セットを決定します。WebVPN コンフィギュレーションで CIFS サーバ用の file-encoding エントリが指定されず、character-encoding アトリビュートも設定されていない場合、WebVPN ポータル ページは値を指定しません。WebVPN ポータル ページが文字エンコーディングを指定しない場合、またはブラウザがサポートしていない文字エンコーディング値を指定した場合、リモート ブラウザはブラウザ自体のデフォルト エンコーディングを使用します。

CIFS サーバに適切な文字エンコーディングを、広域的には webvpn character-encoding アトリビュートによって、個別的には file-encoding の上書きによってマッピングすることで、ページと同様にファイル名やディレクトリ パスを適切にレンダリングすることが必要な場合には、CIFS ページの正確な処理と表示が可能になります。


) character-encoding の値および file-encoding の値は、ブラウザによって使用されるフォント ファミリを排除するものではありません。日本語 Shift_JIS 文字符号化を使用するユーザは、次の例に示すように、webvpn カスタマイゼーション コマンド モードで page style コマンドを使用して、この 1 つの値の設定を補完することにより、フォント ファミリを置換する必要があり、フォント ファミリを削除するには、webvpn カスタマイゼーション コマンド モードで no page style コマンドを入力する必要があります。


このアトリビュートに値が設定されていない場合は、リモート ブラウザに設定されている符号化タイプによって、WebVPN ポータル ページの文字セットが決まります。

次に、日本語 Shift_JIS 文字をサポートする character-encoding アトリビュートを設定し、フォント ファミリを削除し、デフォルトの背景色を保持する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# character-encoding shift_jis
F1-asa1(config-webvpn)# customization DfltCustomization
F1-asa1(config-webvpn-custom)# page style background-color:white
F1-asa1(config-webvpn-custom)#

 
関連コマンド

コマンド
説明

file-encoding

このアトリビュートの値を上書きする CIFS サーバおよび関連する文字符号化を指定します。

show running-config [ all ] webvpn

WebVPN の実行コンフィギュレーションを表示します。デフォルト コンフィギュレーションを組み込むには all キーワードを使用します。

debug webvpn cifs

CIFS に関するデバッグ メッセージを表示します。

checkheaps

チェックヒープ検証間隔を設定するには、グローバル コンフィギュレーション モードで checkheaps コマンドを使用します。デフォルト値を設定するには、このコマンドの no 形式を使用します。チェックヒープは、ヒープ メモリ バッファの正常性およびコード領域の完全性を検証する定期的なプロセスです(ダイナミック メモリはシステム ヒープ メモリ領域から割り当てられます)。

checkheaps { check-interval | validate-checksum } seconds

no checkheaps { check-interval | validate-checksum } [ seconds ]

 
構文の説明

check-interval

バッファ検証間隔を設定します。バッファ検証プロセスでは、ヒープ(割り当てられて解放されるメモリ バッファ)の正常性が検査されます。このプロセスが起動されるたびに、適応型セキュリティ アプライアンスがヒープ全体を検査し、各メモリ バッファを検証します。矛盾が存在する場合、適応型セキュリティ アプライアンスは「割り当てバッファ エラー」または「バッファ解放エラー」を出します。エラーが存在する場合は、可能であればトレースバック情報がダンプされ、適応型セキュリティ アプライアンスがリロードされます。

validate-checksum

コード スペース チェックサムの検証間隔を設定します。適応型セキュリティ アプライアンスでは、適応型セキュリティ アプライアンスの初回起動時にコード全体のハッシュを計算します。適応型セキュリティ アプライアンスでは、その後の定期的な検査のときに新しいハッシュを生成し、元のハッシュと比較します。不一致がある場合、適応型セキュリティ アプライアンスは、「テキスト チェックサム チェックヒープ エラー」を出します。エラーが存在する場合、適応型セキュリティ アプライアンスは、可能であればトレースバック情報をダンプして、リロードします。

seconds

1 ~ 2147483 の秒数で間隔を設定します。

 
デフォルト

デフォルトの間隔は、それぞれ 60 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、バッファ割り当て間隔に 200 秒を設定し、コード スペース チェックサム間隔に 500 秒を設定する例を示します。

hostname(config)# checkheaps check-interval 200
hostname(config)# checkheaps validate-checksum 500
 

 
関連コマンド

コマンド
説明

show checkheaps

チェックヒープ統計を表示します。

check-retransmission

TCP 再送信型の攻撃を防ぐには、TCP マップ コンフィギュレーション モードで check-retransmission コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

check-retransmission

no check-retransmission

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。エンドシステムの矛盾した再送信の解釈によって発生する TCP 再送信型の攻撃を防ぐには、TCP マップ コンフィギュレーション モードで check-retransmission コマンドを使用します。

適応型セキュリティ アプライアンスでは、再送信に含まれているデータと元のデータが同一であることを確認しようとします。データが一致しない場合、適応型セキュリティ アプライアンスは接続をドロップします。この機能がイネーブルにされている場合、TCP 接続のパケットは、順序どおりの場合にだけ許可されます。詳細については、 queue-limit コマンドを参照してください。

次に、すべての TCP フローで TCP check-retransmission 機能をイネーブルにする例を示します。

hostname(config)# access-list TCP extended permit tcp any any
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# check-retransmission
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
hostname(config)# service-policy pmap global
 

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

help

policy-map コマンド、 class コマンド、および description コマンドの構文ヘルプを表示します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

set connection

接続値を設定します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

checksum-verification

TCP チェックサム検証をイネーブルまたはディセーブルにするには、TCP マップ コンフィギュレーション モードで checksum-verification コマンドを使用します。この指定を削除するには、このコマンドの no 形式を使用します。

checksum-verification

no checksum-verification

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

チェックサム検証は、デフォルトでディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

TCP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

tcp-map コマンドはモジュラ ポリシー フレームワーク インフラストラクチャと一緒に使用されます。 class-map コマンドを使用してトラフィックのクラスを定義し、 tcp-map コマンドで TCP インスペクションをカスタマイズします。 policy-map コマンドを使用して、新しい TCP マップを適用します。 service-policy コマンドで、TCP インスペクションをアクティブにします。

tcp-map コマンドを使用して、TCP マップ コンフィギュレーション モードを開始します。TCP チェックサム検証をイネーブルにするには、TCP マップ コンフィギュレーション モードで checksum-verification コマンドを使用します。チェックに失敗した場合、パケットはドロップされます。

次に、10.0.0.0 ~ 20.0.0.0 の TCP 接続の TCP チェックサム検証をイネーブルにする例を示します。

hostname(config)# access-list TCP1 extended permit tcp 10.0.0.0 255.0.0.0 20.0.0.0 255.0.0.0
hostname(config)# tcp-map tmap
hostname(config-tcp-map)# checksum-verification
 
hostname(config)# class-map cmap
hostname(config-cmap)# match access-list TCP1
 
hostname(config)# policy-map pmap
hostname(config-pmap)# class cmap
hostname(config-pmap)# set connection advanced-options tmap
 
hostname(config)# service-policy pmap global

 
関連コマンド

コマンド
説明

class

トラフィック分類に使用するクラス マップを指定します。

help

policy-map コマンド、 class コマンド、および description コマンドの構文ヘルプを表示します。

policy-map

ポリシーを設定します。これは、1 つのトラフィック クラスと 1 つ以上のアクションのアソシエーションです。

set connection

接続値を設定します。

tcp-map

TCP マップを作成して、TCP マップ コンフィギュレーション モードにアクセスできるようにします。

cipc security-mode authenticated

音声およびデータの VLAN シナリオに CIPC ソフトフォンを配置する場合に Cisco IP Communicator(CIPC)ソフトフォンを必ず認証モードで動作させるには、Phone-Proxy コンフィギュレーション モードで cipc security-mode authenticated コマンドを使用します。

CIPC ソフトフォンが暗号化をサポートする場合にこのコマンドをオフにするには、このコマンドの no 形式を使用します。

cipc security-mode authenticated

no cipc security-mode authenticated

 
構文の説明

このコマンドのキーワードには引数はありません。

 
デフォルト

このコマンドは、デフォルトでは、このコマンドの no 形式を使用してディセーブルにされています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Phone-Proxy コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

データ VLAN への侵入を試みるセキュリティの脅威から音声ストリームを隠すために、VLAN を使用して音声トラフィックとデータ トラフィックを分離することが、セキュリティ上のベスト プラクティスです。一方、Cisco IP Communicator(CIPC)ソフトフォン アプリケーションでは、音声 VLAN にある対応する IP 電話に接続する必要があります。SIP プロトコルおよび SCCP プロトコルでは、広い範囲のポートで RTP/RTCP ポートをダイナミックにネゴシエーションするため、この要件に従って音声とデータの VLAN を分ける上で問題になります。このダイナミック ネゴシエーションでは、2 つの VLAN の間で一連のポートが開かれている必要があります。


) 認証モードをサポートしない旧バージョンの CIPC では、Phone Proxy に対応していません。


データ VLAN 上の CIPC ソフトフォンが広い範囲のポートで VLAN 間のアクセスを必要とすることなく、音声 VLAN 上の対応する IP 電話に接続できるようにするには、 cipc security-mode authenticated コマンドを使用して Phone Proxy を設定できます。

現在のバージョンの CIPC では暗号化モードがサポートされていないため、このコマンドを使用すると Phone Proxy が CIPC コンフィギュレーション ファイルを検索して、CIPC ソフトフォンは暗号化モードではなく必ず認証モードになります。

このコマンドをイネーブルにした場合、Phone Proxy では電話コンフィギュレーション ファイルを解析して、電話が CIPC ソフトフォンかどうかを判別し、セキュリティ モードを認証モードに変更します。また、CIPC ソフトフォンでは、Phone Proxy の場合に限って認証モードをサポートし、デフォルトでは、すべての電話を必ず暗号化モードにします。

次に、 cipc security-mode authenticated コマンドを使用して、Cisco IP Communicator(CIPC)ソフトフォンを音声およびデータの VLAN シナリオに配置する場合に、CIPC ソフトフォンを必ず認証モードで動作させる例を示します。

hostname(config)# phone-proxy asa_phone_proxy
hostname(config-phone-proxy)#cipc security-mode authenticated
 

 
関連コマンド

コマンド
説明

phone-proxy

Phone Proxy インスタンスを設定します。

class(グローバル)

セキュリティ コンテキストを割り当てるリソース クラスを作成するには、グローバル コンフィギュレーション モードで class コマンドを使用します。クラスを削除するには、このコマンドの no 形式を使用します。

class name

no class name

 
構文の説明

name

20 文字までの文字列で名前を指定します。デフォルト クラスの制限を設定するには、名前に default を入力します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、コンテキストごとの上限値が適用されていない限り、すべてのセキュリティ コンテキストが適応型セキュリティ アプライアンスのリソースに無制限にアクセスできます。ただし、1 つ以上のコンテキストがリソースを大量に使用しており、他のコンテキストが接続を拒否されている場合は、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。

適応型セキュリティ アプライアンスでは、リソース クラスにコンテキストを割り当てることによって、リソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。

クラスを作成しても、そのクラスに割り当てたコンテキストごとに適応型セキュリティ アプライアンスでリソースを分割して確保するのではありません。適応型セキュリティ アプライアンスでは、コンテキストに対する最大制限を設定するだけです。リソースをオーバーサブスクライブした場合、またはリソースの一部を無制限にする場合、少数のコンテキストがリソースを「使い果たす」可能性があり、他のコンテキストへのサービスに影響を与える場合があります。クラスのリソースを設定するには、 limit-resource コマンドを参照してください。

別のクラスに割り当てられていないすべてのコンテキストがデフォルト クラスに属します。コンテキストをデフォルト クラスに別途割り当てる必要はありません。

コンテキストがデフォルト クラス以外のクラスに属している場合は、そのクラスの設定により、デフォルト クラスの設定が必ず上書きされます。ただし、デフォルト以外のクラスに定義されていない設定がある場合、メンバー コンテキストでは、デフォルト クラスを使用して、該当する制限を設定します。たとえば、すべての同時接続について 2 % の制限を持ち、他の制限を持たないクラスを作成した場合、同時接続以外のすべての制限はデフォルト クラスから継承されます。逆に、すべてのリソースに関する制限を持つクラスを作成した場合、そのクラスでは、デフォルト クラスの設定を使用しません。

デフォルト クラスでは、デフォルトでは、すべてのコンテキストで制限なしにリソースを利用できます。ただし、コンテキストあたりに許可される最大限にデフォルト設定されている次の制限を除きます。

Telnet セッション:5 セッション。

SSH セッション:5 セッション。

MAC アドレス:65,535 エントリ。

次に、接続のデフォルト クラスの制限に、無制限ではなく 10 % を設定する例を示します。

hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
 

他のリソースはすべて無制限のままです。

gold というクラスを追加するには、次のコマンドを入力します。

hostname(config)# class gold
hostname(config-class)# limit-resource mac-addresses 10000
hostname(config-class)# limit-resource conns 15%
hostname(config-class)# limit-resource rate conns 1000
hostname(config-class)# limit-resource rate inspects 500
hostname(config-class)# limit-resource hosts 9000
hostname(config-class)# limit-resource asdm 5
hostname(config-class)# limit-resource ssh 5
hostname(config-class)# limit-resource rate syslogs 5000
hostname(config-class)# limit-resource telnet 5
hostname(config-class)# limit-resource xlates 36000
 

 
関連コマンド

コマンド
説明

clear configure class

クラス コンフィギュレーションをクリアします。

context

セキュリティ コンテキストを設定します。

limit-resource

クラスのリソース制限を設定します。

member

コンテキストをリソース クラスに割り当てます。

show class

クラスに割り当てられているコンテキストを表示します。

class(ポリシー マップ)

クラス マップをポリシー マップに割り当てて、アクションをクラス マップ トラフィックに割り当てることができるようにするには、ポリシー マップ コンフィギュレーション モードで class コマンドを使用します。ポリシー マップからクラス マップを削除するには、このコマンドの no 形式を使用します。

class classmap_name

no class classmap_name

 
構文の説明

classmap_name

クラス マップの名前を指定します。レイヤ 3/4 ポリシー マップ( policy-map コマンド)の場合は、レイヤ 3/4 クラス マップ名( class-map コマンドまたは class-map type management コマンド)を指定する必要があります。インスペクション ポリシー マップ( policy-map type inspect コマンド)の場合は、インスペクション クラス マップ名( class-map type inspect コマンド)を指定する必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ポリシー マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

class コマンドを使用するには、モジュラ ポリシー フレームワークを使用します。レイヤ 3/4 ポリシー マップ内のクラスを使用するには、次のコマンドを入力します。

1. class-map :アクションを実行するトラフィックを識別します。

2. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するクラス マップを指定します。

b. commands for supported features :特定のクラス マップについて、QoS、アプリケーション インスペクション、CSC または AIP SSM、TCP 接続と UDP 接続の制限とタイムアウト、TCP 正規化など、さまざまな機能の多数のアクションを設定できます。各機能で使用可能なコマンドの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

3. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

インスペクション ポリシー マップ内のクラスを使用するには、次のコマンドを入力します。

1. class-map type inspect :アクションを実行するトラフィックを識別します。

2. policy-map type inspect :各クラス マップと関連付けられているアクションを識別します。

a. class :アクションを実行するインスペクション クラス マップを識別します。

b. commands for application types :各アプリケーション タイプで使用可能なコマンドについては、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。インスペクション ポリシー マップのクラス コンフィギュレーション モードでは、次のようなアクションがサポートされています。

パケットのドロップ

接続のドロップ

接続のリセット

ロギング

メッセージのレート制限

内容のマスキング

c. parameters :インスペクション エンジンに影響するパラメータを設定します。CLI は、パラメータ コンフィギュレーション モードになります。使用可能なコマンドについては、『 Cisco ASA 5500 Series Configuration Guide using the CLI を参照してください。

3. class-map :アクションを実行するトラフィックを識別します。

4. policy-map :各クラス マップに関連付けるアクションを指定します。

a. class :アクションを実行するレイヤ 3/4 クラス マップを識別します。

b. inspect application inspect_policy_map :アプリケーション インスペクションをイネーブルにし、特別なアクションを実行するインスペクション ポリシー マップを呼び出します。

5. service-policy :ポリシー マップをインターフェイスごとに、またはグローバルに割り当てます。

コンフィギュレーションには、すべてのトラフィックと一致する class-default というクラス マップが常に含まれています。コンフィギュレーションでは、すべてのレイヤ 3/4 ポリシー マップの最後に、アクションが定義されていない class-default クラス マップが含まれています。別のクラス マップを作成する手間を省いてすべてのトラフィックと一致させる場合は、このクラス マップを使用できます。実際のところ、 shape コマンドなど一部の機能は、 class-default クラス マップに限って設定可能です。

class-default クラス マップを含めて、1 つのポリシー マップに class コマンドおよび match コマンドを 63 個まで設定できます。

class コマンドを含む接続ポリシーの policy-map コマンドの例を次に示します。この例では、Web サーバ 10.1.1.1 に許可される接続の数を制限しています。

hostname(config)# access-list http-server permit tcp any host 10.1.1.1
hostname(config)# class-map http-server
hostname(config-cmap)# match access-list http-server
 
hostname(config)# policy-map global-policy
hostname(config-pmap)# description This policy map defines a policy concerning connection to http server.
hostname(config-pmap)# class http-server
hostname(config-pmap-c)# set connection conn-max 256
 

次の例では、ポリシー マップでの複数一致の動作方法を示します。

hostname(config)# class-map inspection_default
hostname(config-cmap)# match default-inspection-traffic
hostname(config)# class-map http_traffic
hostname(config-cmap)# match port tcp eq 80
 
hostname(config)# policy-map outside_policy
hostname(config-pmap)# class inspection_default
hostname(config-pmap-c)# inspect http http_map
hostname(config-pmap-c)# inspect sip
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:10:0
 

次に、使用可能な最初のクラス マップとトラフィックが一致し、同じ機能ドメインのアクションを指定する後続のいずれのクラス マップとも一致しない様子を示す例を示します。

hostname(config)# class-map telnet_traffic
hostname(config-cmap)# match port tcp eq 23
hostname(config)# class-map ftp_traffic
hostname(config-cmap)# match port tcp eq 21
hostname(config)# class-map tcp_traffic
hostname(config-cmap)# match port tcp range 1 65535
hostname(config)# class-map udp_traffic
hostname(config-cmap)# match port udp range 0 65535
hostname(config)# policy-map global_policy
hostname(config-pmap)# class telnet_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:0:0
hostname(config-pmap-c)# set connection conn-max 100
hostname(config-pmap)# class ftp_traffic
hostname(config-pmap-c)# set connection timeout tcp 0:5:0
hostname(config-pmap-c)# set connection conn-max 50
hostname(config-pmap)# class tcp_traffic
hostname(config-pmap-c)# set connection timeout tcp 2:0:0
hostname(config-pmap-c)# set connection conn-max 2000
 

Telnet 接続が開始されると、 class telnet_traffic と照合されます。同様に、FTP 接続が開始されると、 class ftp_traffic と照合されます。Telnet と FTP 以外の TCP 接続の場合は、 class tcp_traffic と照合されます。Telnet または FTP 接続が class tcp_traffic と一致するとしても、すでに他のクラスと一致しているため、適応型セキュリティ アプライアンスはこの照合を実行しません。

 
関連コマンド

コマンド
説明

class-map

レイヤ 3/4 のクラス マップを作成します。

class-map type management

管理トラフィック用のレイヤ 3/4 クラス マップを作成します。

clear configure policy-map

service-policy コマンドで使用されるすべてのポリシー マップ以外のすべてのポリシー マップ コンフィギュレーションを削除します。

match

トラフィック照合パラメータを定義します。

policy-map

1 つ以上のトラフィック クラスのアソシエーションであり、それぞれが 1 つ以上のアクションを持つポリシーを設定します。

class-map

モジュラ ポリシー フレームワークを使用する場合は、グローバル コンフィギュレーション モードで class-map コマンド( type キーワードなし)を使用して、アクションを適用するレイヤ 3 または 4 のトラフィックを識別します。クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map class_map_name

no class-map class_map_name

 
構文の説明

class_map_name

40 文字までの長さのクラス マップ名を指定します。「class-default」という名前および「_internal」または「_default」で始まる任意の名前は予約されています。クラス マップのすべてのタイプで同じネーム スペースを使用するため、すでに別のクラス マップ タイプで使用されている名前は再利用できません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このタイプのクラス マップは、レイヤ 3/4 通過トラフィック専用です。適応型セキュリティ アプライアンス宛ての管理トラフィックについては、 class-map type management コマンドを参照してください。

レイヤ 3/4 クラス マップは、アクションを適用するレイヤ 3 および 4 のトラフィックを識別します。各レイヤ 3/4 ポリシー マップに対して複数のレイヤ 3/4 クラス マップを作成できます。

デフォルト クラス マップ

このコンフィギュレーションには、デフォルト グローバル ポリシーで適応型セキュリティ アプライアンスによって使用されるデフォルトのレイヤ 3/4 クラス マップが含まれています。このクラス マップは、 inspection_default という名前であり、デフォルトのインスペクション トラフィックと一致します。

class-map inspection_default
match default-inspection-traffic
 

デフォルト コンフィギュレーションには class-default という別のクラス マップもあり、これは、すべてのトラフィックと一致します。

class-map class-default
match any
 

このクラス マップは、すべてのレイヤ 3/4 ポリシー マップの終わりに配置されており、基本的に、他のすべてのトラフィックについてはアクションを実行しないことを適応型セキュリティ アプライアンスに指示します。 すべてと一致する 独自のクラス マップを作成するのではなく、必要に応じて、class-default クラス マップを使用できます。実際、QoS トラフィック シェーピングなど一部の機能は、class-default だけで使用可能です。

クラス マップの最大数

すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプが含まれます。

class-map

class-map type management

class-map type inspection

class-map type regex

ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。

コンフィギュレーションの概要

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドまたは class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。

class-map コマンドを使用してクラス マップ コンフィギュレーション モードを開始します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。レイヤ 3/4 クラス マップには、クラス マップに含まれるトラフィックを識別する、最大 1 個の match コマンド( match tunnel-group コマンドおよび match default-inspection-traffic コマンドを除く)が含まれています。

次に、レイヤ 3/4 クラス マップを 4 つ作成する例を示します。

hostname(config)# access-list udp permit udp any any
hostname(config)# access-list tcp permit tcp any any
hostname(config)# access-list host_foo permit ip any 10.1.1.1 255.255.255.255
 
hostname(config)# class-map all_udp
hostname(config-cmap)# description "This class-map matches all UDP traffic"
hostname(config-cmap)# match access-list udp
 
hostname(config-cmap)# class-map all_tcp
hostname(config-cmap)# description "This class-map matches all TCP traffic"
hostname(config-cmap)# match access-list tcp
 
hostname(config-cmap)# class-map all_http
hostname(config-cmap)# description "This class-map matches all HTTP traffic"
hostname(config-cmap)# match port tcp eq http
 
hostname(config-cmap)# class-map to_server
hostname(config-cmap)# description "This class-map matches all traffic to server 10.1.1.1"
hostname(config-cmap)# match access-list host_foo
 

 
関連コマンド

コマンド
説明

class-map type management

適応型セキュリティ アプライアンス方向のトラフィック用のクラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスと関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

class-map type inspect

モジュラ ポリシー フレームワーク を使用する場合に、グローバル コンフィギュレーション モードで class-map type inspect コマンドを使用して、インスペクション アプリケーション固有の基準を照合します。インスペクション クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map type inspect application [ match-all | match-any] class_map_name

no class-map [ type inspect application [ match-all | match-any ]] class_map_name

 
構文の説明

application

照合するアプリケーション トラフィックのタイプを指定します。利用可能なタイプは次のとおりです。

dns

ftp

h323

http

im

sip

class_map_name

40 文字までの長さのクラス マップ名を指定します。「class-default」という名前および「_internal」または「_default」で始まる任意の名前は予約されています。クラス マップのすべてのタイプで同じネーム スペースを使用するため、すでに別のクラス マップ タイプで使用されている名前は再利用できません。

match-all

(任意)トラフィックがクラス マップと一致するためには、すべての基準で一致する必要があることを指定します。オプションを指定しない場合のデフォルトは、 match-all です。

match-any

(任意)1 つ以上の基準と一致するトラフィックをクラス マップと一致したと見なすことを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

match-any キーワードが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを使用すると、多くのアプリケーション インスペクションに対して特別なアクションを設定できます。レイヤ 3/4 ポリシー マップでインスペクション エンジンをイネーブルにするときは、 インスペクション ポリシー マップ で定義されているアクションを必要に応じてイネーブルにすることもできます( policy-map type inspect コマンドを参照)。

インスペクション ポリシー マップにインスペクション クラス マップを作成することにより、対象のトラフィックを識別できます。このクラス マップは、1 つ以上の match コマンドを含みます(または、単一の基準とアクションを対にする場合に、インスペクション ポリシー マップで match コマンドを直接使用することもできます)。アプリケーション固有の基準を照合できます。たとえば、DNS トラフィックの場合は、DNS クエリーのドメイン名を照合できます。

クラス マップは、複数のトラフィック照合をグループ化します(match-all クラス マップ)。あるいはクラス マップで、照合リストのいずれかを照合できます(match-any クラス マップ)。クラス マップを作成すると、インスペクション ポリシー マップにトラフィック照合を直接定義する場合と異なり、複数の match コマンドをグループ化できます。クラス マップは、再使用できる点も異なります。このクラス マップで識別するトラフィックについて、インスペクション ポリシー マップで接続をドロップ、リセット、および/またはロギングするなどのアクションを指定できます。

すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプが含まれます。

class-map

class-map type management

class-map type inspection

class-map type regex

ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。詳細については、 class-map コマンドを参照してください。

次に、すべての基準と一致する必要のある HTTP クラス マップを作成する例を示します。

hostname(config-cmap)# class-map type inspect http match-all http-traffic
hostname(config-cmap)# match req-resp content-type mismatch
hostname(config-cmap)# match request body length gt 1000
hostname(config-cmap)# match not request uri regex class URLs
 

次に、いずれかの基準と一致すればよい HTTP クラス マップを作成する例を示します。

hostname(config-cmap)# class-map type inspect http match-any monitor-http
hostname(config-cmap)# match request method get
hostname(config-cmap)# match request method put
hostname(config-cmap)# match request method post
 

 
関連コマンド

コマンド
説明

class-map

通過トラフィック用のレイヤ 3/4 クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスと関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

class-map type management

モジュラ ポリシー フレームワーク を使用する場合は、グローバル コンフィギュレーション モードで class-map type management コマンドを使用して、アクションを適用する適応型セキュリティ アプライアンス方向のレイヤ 3 または 4 の管理トラフィックを識別します。クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map type management class_map_name

no class-map type management class_map_name

 
構文の説明

class_map_name

40 文字までの長さのクラス マップ名を指定します。「class-default」という名前および「_internal」または「_default」で始まる任意の名前は予約されています。クラス マップのすべてのタイプで同じネーム スペースを使用するため、すでに別のクラス マップ タイプで使用されている名前は再利用できません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

適応型セキュリティ アプライアンス方向の管理トラフィックについて、レイヤ 3/4 管理クラス マップ用の set connection コマンドが使用可能になりました。 conn-max キーワードおよび embryonic-conn-max キーワードだけが使用可能です。

 
使用上のガイドライン

このタイプのクラス マップは、管理トラフィック専用です。通過トラフィックについては、 class-map コマンド( type キーワードなし)を参照してください。

適応型セキュリティ アプライアンス方向の管理トラフィックについて、トラフィック固有のアクションを実行する必要がある場合があります。ポリシー マップ内の管理クラス マップで使用可能なアクションのタイプは、管理トラフィック用に特化されています。たとえば、このタイプのクラス マップでは、RADIUS アカウンティング トラフィックを検査でき、接続制限を設定できます。

レイヤ 3/4 クラス マップは、アクションを適用するレイヤ 3 および 4 のトラフィックを識別します。すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。

各レイヤ 3/4 ポリシー マップに対して複数のレイヤ 3/4 クラス マップ(管理トラフィックまたは通過トラフィック)を作成できます。

モジュラ ポリシー フレームワークの設定手順は、次の 4 つの作業で構成されます。

1. class-map コマンドおよび class-map type management コマンドを使用して、アクションの適用対象となるレイヤ 3 と 4 のトラフィックを指定します。

2. (アプリケーション インスペクションのみ) policy-map type inspect コマンドを使用して、アプリケーション インスペクション トラフィックの特別なアクションを定義します。

3. policy-map コマンドを使用して、レイヤ 3 と 4 のトラフィックにアクションを適用します。

4. service-policy コマンドを使用して、インターフェイスでのアクションをアクティブにします。

class-map type management コマンドを使用してクラス マップ コンフィギュレーション モードを開始します。クラス マップ コンフィギュレーション モードから、 match コマンドを使用して、クラスに含めるトラフィックを定義できます。アクセス リストまたは TCP または UDP のポートと照合できる管理クラス マップを指定できます。レイヤ 3/4 クラス マップには、クラス マップに含まれるトラフィックを識別する最大 1 個の match コマンドが含まれています。

すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプが含まれます。

class-map

class-map type management

class-map type inspection

class-map type regex

ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。詳細については、 class-map コマンドを参照してください。

次に、レイヤ 3/4 管理クラス マップを作成する例を示します。

hostname(config)# class-map type management radius_acct
hostname(config-cmap)# match port tcp eq 10000
 

 
関連コマンド

コマンド
説明

class-map

通過トラフィック用のレイヤ 3/4 クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスと関連付けることによって、セキュリティ ポリシーを作成します。

show running-config class-map

クラス マップ コンフィギュレーションに関する情報を表示します。

class-map type regex

モジュラ ポリシー フレームワーク を使用する場合は、グローバル コンフィギュレーション モードで class-map type regex コマンドを使用して、テキストの照合に使用する正規表現をグループ化します。正規表現クラス マップを削除するには、このコマンドの no 形式を使用します。

class-map type regex match-any class_map_name

no class-map [ type regex match-any ] class_map_name

 
構文の説明

class_map_name

40 文字までの長さのクラス マップ名を指定します。「class-default」という名前および「_internal」または「_default」で始まる任意の名前は予約されています。クラス マップのすべてのタイプで同じネーム スペースを使用するため、すでに別のクラス マップ タイプで使用されている名前は再利用できません。

match-any

トラフィックがいずれか 1 つの正規表現と一致するだけで、クラス マップと一致するとして扱うことを指定します。 match-any が唯一のオプションです。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを使用すると、多くのアプリケーション インスペクションに対して特別なアクションを設定できます。レイヤ 3/4 ポリシー マップでインスペクション エンジンをイネーブルにするときは、 インスペクション ポリシー マップ で定義されているアクションを必要に応じてイネーブルにすることもできます( policy-map type inspect コマンドを参照)。

インスペクション ポリシー マップでは、1 つ以上の match コマンドを含んだインスペクション クラス マップを作成することで、アクションの実行対象となるトラフィックを識別できます。または、 match コマンドをインスペクション ポリシー マップ内で直接使用することもできます。一部の match コマンドでは、パケット内のテキストを正規表現を使用して識別できます。たとえば、HTTP パケット内の URL 文字列を照合できます。正規表現クラス マップで正規表現をグループ化できます。

正規表現クラス マップを作成する前に regex コマンドを使用して正規表現を作成してください。次に、クラス マップ コンフィギュレーション モードで match regex コマンドを使用して、指定した正規表現を識別します。

すべてのタイプのクラス マップの最大数は、シングル モードでは 255 個、マルチ モードではコンテキストごとに 255 個です。クラス マップには、次のタイプが含まれます。

class-map

class-map type management

class-map type inspection

class-map type regex

ポリシー マップ タイプの match コマンドでは、コンフィギュレーション モードを検査します。

この制限にはすべてのタイプのデフォルト クラス マップも含まれます。詳細については、 class-map コマンドを参照してください。

次の例では、正規表現を 2 つ作成して正規表現クラス マップに追加します。「example.com」または「example2.com」と一致する文字列を含むトラフィックがこのクラス マップと一致します。

hostname(config)# regex url_example example\.com
hostname(config)# regex url_example2 example2\.com
hostname(config)# class-map type regex match-any URLs
hostname(config-cmap)# match regex example
hostname(config-cmap)# match regex example2
 

 
関連コマンド

コマンド
説明

class-map type inspect

アプリケーション固有のトラフィックと照合するインスペクション クラス マップを作成します。

policy-map

トラフィック クラスを 1 つ以上のアクションと関連付けることによって、ポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

service-policy

ポリシー マップを 1 つ以上のインターフェイスと関連付けることによって、セキュリティ ポリシーを作成します。

regex

正規表現を作成します。

clear aaa local user fail-attempts

ユーザのロックアウト ステータスを変更しないで、失敗したユーザ認証試行の回数をゼロにリセットするには、特権 EXEC モードで clear aaa local user fail-attempts コマンドを使用します。

clear aaa local user authentication fail-attempts { username name | all }

 
構文の説明

all

すべてのユーザについて、失敗試行カウンタを 0 にリセットします。

name

失敗試行カウンタを 0 にリセットする特定のユーザ名を指定します。

username

続くパラメータが、失敗試行カウンタを 0 にリセットするユーザのユーザ名であることを示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

複数回の試行で認証に失敗するユーザに対してこのコマンドを使用します。

設定されている回数だけ認証の試行を失敗したユーザはシステムからロックアウトされて、システム管理者がそのユーザ名をロック解除するか、システムが再起動されないうちは、正常にログインできません。ユーザが正常に認証されるか、適応型セキュリティ アプライアンスが再起動されると、失敗試行回数はゼロにリセットされ、ロックアウト ステータスは No にリセットされます。コンフィギュレーションが変更された直後の場合にも、このカウンタはゼロにリセットされます。

ユーザ名のロックまたはアンロックにより、システム ログ メッセージが生成されます。特権レベル 15 のシステム管理者はロックアウトできません。

次に、 clear aaa local user authentication fail-attempts コマンドを使用して、ユーザ名 anyuser の失敗試行カウンタを 0 にリセットする例を示します。

hostname(config)# clear aaa local user authentication fail-attempts username anyuser
hostname(config)#
 

次に、 clear aaa local user authentication fail-attempts コマンドを使用して、すべてのユーザの失敗試行カウンタを 0 にリセットする例を示します。

hostname(config)# clear aaa local user authentication fail-attempts all
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

許可される失敗ユーザ認証試行の回数制限を設定します。

clear aaa local user lockout

ユーザのロックアウト ステータスを変更することなく、失敗ユーザ認証試行の回数をゼロにリセットします。

show aaa local user [locked]

現在ロックされているユーザ名のリストを表示します。

clear aaa local user lockout

指定したユーザのロックアウト ステータスをクリアし、失敗試行カウンタに 0 を設定するには、特権 EXEC モードで clear aaa local user lockout コマンドを使用します。

clear aaa local user lockout { username name | all}

 
構文の説明

all

すべてのユーザについて、失敗試行カウンタを 0 にリセットします。

name

失敗試行カウンタを 0 にリセットする特定のユーザ名を指定します。

username

続くパラメータが、失敗試行カウンタを 0 にリセットするユーザのユーザ名であることを示します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

username オプションを使用して単一のユーザを指定するか、 all オプションを使用してすべてのユーザを指定できます。

このコマンドは、ロックアウトされているユーザのステータスだけに影響します。

管理者をデバイスからロックアウトすることはできません。

ユーザ名をロックするかロック解除すると、Syslog メッセージが出されます。

次に、 clear aaa local user lockout コマンドを使用して、ユーザ名 anyuser のロックアウト状態をクリアし、失敗試行カウンタを 0 にリセットする例を示します。

hostname(config)# clear aaa local user lockout username anyuser
hostname(config)#
 

 
関連コマンド

コマンド
説明

aaa local authentication attempts max-fail

許可される失敗ユーザ認証試行の回数制限を設定します。

clear aaa local user fail-attempts

ユーザのロックアウト ステータスを変更することなく、失敗ユーザ認証試行の回数をゼロにリセットします。

show aaa local user [locked]

現在ロックされているユーザ名のリストを表示します。

clear aaa-server statistics

AAA サーバの統計情報をリセットするには、特権 EXEC モードで clear aaa-server statistics コマンドを使用します。

clear aaa-server statistics [ LOCAL | groupname [ host hostname ] | protocol protocol ]

 
構文の説明

LOCAL

(任意)ローカル ユーザ データベースの統計情報をクリアします。

groupname

(任意)グループ内のサーバの統計情報をクリアします。

host hostname

(任意)グループ内の特定のサーバに関する統計情報をクリアします。

protocol protocol

(任意)サーバの統計情報のうち、指定したプロトコルの統計情報をクリアします。

kerberos

ldap

nt

radius

sdi

tacacs+

 
デフォルト

すべてのグループにまたがってすべての AAA サーバ統計情報を削除します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

CLI ガイドラインに沿うように、このコマンドが変更されました。プロトコル値 nt で以前の nt-domain が置換され、 sdi で以前の rsa-ace が置換されました。

次のコマンドでは、グループ内の特定のサーバについて AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics svrgrp1 host 1.2.3.4
 

次のコマンドでは、1 つのサーバ グループ全体について AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics svrgrp1
 

次のコマンドでは、すべてのサーバ グループについて AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics
 

次のコマンドでは、特定のプロトコル(この場合は、TACACS+)について AAA 統計情報をリセットする方法を示します。

hostname(config)# clear aaa-server statistics protocol tacacs+

 
関連コマンド

コマンド
説明

aaa-server protocol

AAA サーバ接続データのグループ化を指定および管理します。

clear configure aaa-server

デフォルト以外のすべての AAA サーバ グループを削除するか、指定したグループをクリアします。

show aaa-server

AAA サーバの統計情報を表示します。

show running-config aaa-server

現在の AAA サーバ コンフィギュレーション値を表示します。

clear access-list

アクセス リスト カウンタをクリアするには、グローバル コンフィギュレーション モードで clear access-list コマンドを使用します。

clear access-list [ id ] counters

 
構文の説明

counters

アクセス リストのカウンタをクリアします。

id

(任意)アクセス リストの名前または番号。

 
デフォルト

すべてのアクセス リスト カウンタがクリアされます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

clear access-list コマンドを入力するときに id を指定しなかった場合は、すべてのアクセス リスト カウンタがクリアされます。

次の例では、特定のアクセス リスト カウンタをクリアする方法を示します。

hostname# clear access-list inbound counters
 

 
関連コマンド

コマンド
説明

access-list extended

アクセス リストをコンフィギュレーションに追加し、ファイアウォールを通過する IP トラフィック用のポリシーを設定します。

access-list standard

OSPF ルートの宛先 IP アドレスを識別するアクセス リストを追加します。このアクセス リストは、OSPF 再配布のルート マップで使用できます。

clear configure access-list

実行コンフィギュレーションからアクセス リストをクリアします。

show access-list

アクセス リストのエントリを番号別に表示します。

show running-config access-list

セキュリティ アプライアンスで実行されているアクセス リスト コンフィギュレーションを表示します。

clear arp

ダイナミック ARP エントリまたは ARP 統計情報をクリアするには、特権 EXEC モードで clear arp コマンドを使用します。

clear arp [ statistics ]

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

次に、すべての ARP 統計情報をクリアする例を示します。

hostname# clear arp statistics
 

 
関連コマンド

コマンド
説明

arp

スタティック ARP エントリを追加します。

arp-inspection

トランスペアレント ファイアウォール モードで、ARP パケットを調査し、ARP スプーフィングを防止します。

show arp statistics

ARP 統計情報を表示します。

show running-config arp

ARP タイムアウトの現在のコンフィギュレーションを表示します。

clear asp drop

高速セキュリティ パス ドロップ統計情報をクリアするには、特権 EXEC モードで clear asp drop コマンドを使用します。

clear asp drop [ flow type | frame type ]

 
構文の説明

flow

(任意)ドロップされたフロー統計情報をクリアします。

frame

(任意)ドロップされたパケット統計情報をクリアします。

type

(任意)特定のプロセスのドロップされたフロー統計情報またはパケット統計情報をクリアします。タイプのリストについては、「 使用上のガイドライン 」を参照してください。

 
デフォルト

デフォルトでは、このコマンドは、すべてのドロップ統計情報をクリアします。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

次のプロセス タイプが含まれます。

acl-drop
audit-failure
closed-by-inspection
conn-limit-exceeded
fin-timeout
flow-reclaimed
fo-primary-closed
fo-standby
fo_rep_err
host-removed
inspect-fail
ips-fail-close
ips-request
ipsec-spoof-detect
loopback
mcast-entry-removed
mcast-intrf-removed
mgmt-lockdown
nat-failed
nat-rpf-failed
need-ike
no-ipv6-ipsec
non_tcp_syn
out-of-memory
parent-closed
pinhole-timeout
recurse
reinject-punt
reset-by-ips
reset-in
reset-oout
shunned
syn-timeout
tcp-fins
tcp-intecept-no-response
tcp-intercept-kill
tcp-intercept-unexpected
tcpnorm-invalid-syn
tcpnorm-rexmit-bad
tcpnorm-win-variation
timeout
tunnel-pending
tunnel-torn-down
xlate-removed

次に、すべてのドロップ統計情報をクリアする例を示します。

hostname# clear asp drop
 

 
関連コマンド

コマンド
説明

show asp drop

ドロップされたパケットの高速セキュリティ パス カウンタを示します。

clear asp table

asp arp テーブルまたは classify テーブルのいずれかまたは両方のヒット カウンタをクリアするには、特権 EXEC モードで clear asp table コマンドを使用します。

clear asp table [ arp | classify ]

 
構文の説明

arp

asp arp テーブルのヒット カウンタだけをクリアします。

classify

classify テーブルのヒット カウンタだけをクリアします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.2(4)

このコマンドが追加されました。

 
使用上のガイドライン

clear asp table コマンドにあるオプションは arp と classify の 2 つだけです。

次に、すべてのドロップ統計情報をクリアする例を示します。

hostname# clear asp table
 
Warning: hits counters in asp arp and classify tables are cleared, which might impact the hits statistic of other modules and output of other "show" commands! hostname#clear asp table arp
Warning: hits counters in asp arp table are cleared, which might impact the hits statistic of other modules and output of other "show" commands! hostname#clear asp table classify
Warning: hits counters in classify tables are cleared, which might impact the hits statistic of other modules and output of other "show" commands! hostname(config)# clear asp table
Warning: hits counters in asp tables are cleared, which might impact the hits statistics of other modules and output of other "show" commands! hostname# sh asp table arp
 
Context: single_vf, Interface: inside 10.1.1.11 Active 00e0.8146.5212 hits 0
 
Context: single_vf, Interface: identity :: Active 0000.0000.0000 hits 0 0.0.0.0 Active 0000.0000.0000 hits 0

 
関連コマンド

コマンド
説明

show asp table arp

高速セキュリティ パスの内容を表示します。この情報は、問題のトラブルシューティングで役立つことがあります。

clear blocks

最低水準点や履歴情報などのパケット バッファ カウンタをリセットするには、特権 EXEC モードで clear blocks コマンドを使用します。

clear blocks

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

最低水準点カウンタを各プールで現在使用可能なブロック数にリセットします。このコマンドでは、最後に失敗したバッファ割り当てで保管された履歴情報もクリアします。

次の例では、ブロックをクリアします。

hostname# clear blocks
 

 
関連コマンド

コマンド
説明

blocks

ブロック診断に割り当てるメモリを増やします。

show blocks

システム バッファの使用状況を表示します。

clear-button

WebVPN ユーザがセキュリティ アプライアンスに接続するときに表示される WebVPN ページの [login] フィールドの [Clear] ボタンをカスタマイズするには、カスタマイゼーション コンフィギュレーション モードで clear-button コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

clear-button { text | style } value

no clear-button [{ text | style }] value

 
構文の説明

style

スタイルを変更することを指定します。

text

テキストを変更することを指定します。

value

実際に表示するテキスト(最大 256 文字)、または Cascading Style Sheet(CSS)パラメータ(最大 256 文字)です。

 
デフォルト

デフォルトのテキストは「Clear」です。

デフォルトのスタイルは
border:1px solid black;background-color:white;font-weight:bold;font-size:80% です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

カスタマイゼーション コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

style オプションは有効な Cascading Style Sheet(CSS)パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium(W3C)の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。


次に、[Clear] ボタンのデフォルトの背景色を黒から青に変更する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# customization cisco
hostname(config-webvpn-custom)# clear-button style background-color:blue

 
関連コマンド

コマンド
説明

login-button

WebVPN ページの [Login] フィールドの [login] ボタンをカスタマイズします。

login-title

WebVPN ページの [Login] フィールドのタイトルをカスタマイズします。

group-prompt

WebVPN ページの [Login] フィールドのグループ プロンプトをカスタマイズします。

password-prompt

WebVPN ページの [Login] フィールドのパスワード プロンプトをカスタマイズします。

username-prompt

WebVPN ページの [Login] フィールドのユーザ名プロンプトをカスタマイズします。

clear capture

キャプチャ バッファをクリアするには、特権 EXEC コンフィギュレーション モードで clear capture capture_name コマンドを使用します。

clear capture capture_name

 
構文の説明

capture_name

パケット キャプチャの名前。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドがサポートされるようになりました。

 
使用上のガイドライン

いずれのパケット キャプチャも誤って破損しないために、 clear capture の短縮形( cl cap clear cap など)は サポートされていません。

この例では、キャプチャ バッファ「example」のキャプチャ バッファをクリアする方法を示します。

hostname(config)# clear capture example
 

 
関連コマンド

コマンド
説明

capture

パケット スニッフィングおよびネットワーク障害の切り分けのためにパケット キャプチャ機能をイネーブルにします。

show capture

オプションが指定されていない場合は、キャプチャ コンフィギュレーションを表示します。

clear compression

すべての SVC 接続および WebVPN 接続の圧縮統計情報をクリアするには、特権 EXEC モードで clear compression コマンドを使用します。

clear compression { all | svc | http-comp }

 
構文の説明

all

すべての圧縮統計情報をクリアします。

http-comp

HTTP-COMP 統計情報をクリアします。

svc

SVC 圧縮統計情報をクリアします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

次の例では、ユーザの圧縮コンフィギュレーションをクリアします。

hostname# clear configure compression

 
関連コマンド

コマンド
説明

compression

すべての SVC 接続および WebVPN 接続の圧縮をイネーブルにします。

svc compression

特定のグループまたはユーザに対して SVC 接続を介するデータの圧縮をイネーブルにします。