Cisco ASA 5500 シリーズ コマンド リファレンス ソフトウェア バージョン 8.3(2)
default コマンド~ dynamic-filter whitelist コマンド
default コマンド~ dynamic-filter whitelist コマンド
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

default コマンド~ dynamic-filter whitelist コマンド

default(crl 設定)

default(インターフェイス)

default(時間範囲)

default-acl

default enrollment

default-domain

default-group-policy

default-group-policy(webvpn)

default-idle-timeout

default-information(EIGRP)

default-information originate(OSPF)

default-information originate(RIP)

default-language

default-metric

delay

delete

deny-message(グループ ポリシー webvpn コンフィギュレーション モード)

deny version

description

dhcp client route distance

dhcp client route track

dhcp-client broadcast-flag

dhcp-client client-id

dhcp-client update dns

dhcp-network-scope

dhcp-server

dhcpd address

dhcpd auto_config

dhcpd dns

dhcpd domain

dhcpd enable

dhcpd lease

dhcpd option

dhcpd ping_timeout

dhcpd update dns

dhcpd wins

dhcprelay enable

dhcprelay server

dhcprelay setroute

dhcprelay timeout

dialog

dir

disable

disable(キャッシュ)

disable service-settings

display

distance eigrp

distance ospf

distribute-list in

distribute-list out

dns domain-lookup

dns-group(トンネル グループ webvpn コンフィギュレーション モード)

dns-guard

dns-server

dns server-group

domain-name

domain-name(DNS サーバ グループ)

downgrade

download-max-size

drop

drop-connection

dtls port

duplex

dynamic-access-policy-config

dynamic-access-policy-record

dynamic-filter ambiguous-is-black

dynamic-filter blacklist

dynamic-filter database fetch

dynamic-filter database find

dynamic-filter database purge

dynamic-filter drop blacklist

dynamic-filter enable

dynamic-filter updater-client enable

dynamic-filter use-database

dynamic-filter whitelist

default コマンド~ dynamic-filter whitelist コマンド

default(crl 設定)

すべての CRL パラメータをシステムのデフォルト値に戻すには、crl 設定コンフィギュレーション モードで default コマンドを使用します。crl 設定コンフィギュレーション モードは、暗号 CA トラストポイント コンフィギュレーション モードからアクセスできます。これらのパラメータは、LDAP サーバで必要な場合のみ使用されます。

default

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

crl 設定コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドの呼び出しは、アクティブなコンフィギュレーションには含まれません。

次に、ca-crl コンフィギュレーション モードを開始し、CRL コマンドの値をデフォルトに戻す例を示します。

hostname(config)# crypto ca trustpoint central
hostname(ca-trustpoint)# crl configure
hostname(ca-crl)# default
hostname(ca-crl)#

 
関連コマンド

コマンド
説明

crl configure

crl 設定コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

protocol ldap

CRL の取得方法として LDAP を指定します。

default(インターフェイス)

インターフェイス コマンドをシステムのデフォルト値に戻すには、インターフェイス コンフィギュレーション モードで default コマンドを使用します。

default command

 
構文の説明

command

デフォルトに設定するコマンドを指定します。次の例を参考にしてください。

default activation key

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは実行時のコマンドです。このコマンドを入力しても、アクティブなコンフィギュレーションには含まれません。

次に、インターフェイス コンフィギュレーション モードを開始し、セキュリティ レベルをデフォルトに戻す例を示します。

hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# default security-level
 

 
関連コマンド

コマンド
説明

interface

インターフェイス コンフィギュレーション モードを開始します。

default(時間範囲)

absolute および periodic コマンドのデフォルト設定を復元するには、時間範囲コンフィギュレーション モードで default コマンドを使用します。

default { absolute | periodic days-of-the-week time to [ days-of-the-week ] time }

 
構文の説明

absolute

時間範囲が有効になる絶対時間を定義します。

days-of-the-week

1 番めの days-of-the-week 引数には、関連付けられている時間範囲が有効になる日または曜日を指定します。2 番めの days-of-the-week 引数には、関連付けられているステートメントの有効期間が終了する日または曜日を指定します。

この引数は、単一の曜日または曜日の組み合わせです(Monday(月曜日)、Tuesday(火曜日)、Wednesday(水曜日)、Thursday(木曜日)、Friday(金曜日)、Saturday(土曜日)、および Sunday(日曜日))。他に指定できる値は、次のとおりです。

daily:月曜日~日曜日

weekdays:月曜日~金曜日

weekend:土曜日と日曜日

終了の曜日が開始の曜日と同じ場合は、終了の曜日を省略できます。

periodic

時間範囲機能をサポートする機能に対して、定期的な(週単位の)時間範囲を指定します。

time

時刻を HH:MM 形式で指定します。たとえば、午前 8 時は 8:00、午後 8 時は 20:00 とします。

to

「開始時刻から終了時刻まで」の範囲を入力するには、 to キーワードを入力する必要があります。

 
デフォルト

このコマンドには、デフォルト設定はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

時間範囲コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

終了の days-of-the-week 値が開始の days-of-the-week 値と同じ場合、終了の days-of-the-week 値を省略できます。

time-range コマンドに absolute 値と periodic 値の両方が指定されている場合、 periodic コマンドは absolute start 時刻を経過した後にのみ評価の対象になり、 absolute end 時刻を経過した後は評価の対象にはなりません。

時間範囲機能は、適応型セキュリティ アプライアンスのシステム クロックに依存しています。ただし、この機能は NTP 同期を使用すると最適に動作します。

次に、 absolute キーワードのデフォルト動作を復元する例を示します。

hostname(config-time-range)# default absolute

 
関連コマンド

コマンド
説明

absolute

時間範囲が有効になる絶対時間を定義します。

periodic

時間範囲機能をサポートする機能に対して、定期的な(週単位の)時間範囲を指定します。

time-range

時間に基づいて適応型セキュリティ アプライアンスのアクセス コントロールを定義します。

default-acl

ポスチャ確認に失敗する NAC Framework セッションのデフォルト ACL として使用する ACL を指定するには、nac ポリシー nac フレームワーク コンフィギュレーション モードで default-acl コマンドを使用します。NAC ポリシーからコマンドを削除するには、このコマンドの no 形式を使用します。

[ no ] default-acl acl-name

 
構文の説明

acl-name

セッションに適用されるアクセス コントロール リストに名前を付けます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

nac ポリシー nac フレームワーク コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.3(0)

コマンド名から「nac-」が削除されました。コマンドが、グループ ポリシー コンフィギュレーション モードから nac ポリシー nac フレームワーク コンフィギュレーション モードに移動されました。

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

各グループ ポリシーは、ポリシーに一致し NAC にアクセスする権利があるホストに適用するデフォルトの ACL を指します。適応型セキュリティ アプライアンスは、ポスチャ確認の前に NAC のデフォルト ACL を適用します。ポスチャ確認に従って、適応型セキュリティ アプライアンスはデフォルトの ACL をリモート ホストの Access Control Server から取得した ACL に置き換えます。ポスチャ確認が失敗した場合は、デフォルト ACL がそのまま使われます。

クライアントレスの認証がイネーブルな場合(デフォルト設定)も、適応型セキュリティ アプライアンスは NAC のデフォルト ACL を適用します。

次に、ポスチャ確認が成功する前に適用する ACL として、acl-1 を指定する例を示します。

hostname(config-group-policy)# default-acl acl-1
hostname(config-group-policy)
 

次に、デフォルト グループ ポリシーから ACL を継承する例を示します。

hostname(config-group-policy)# no default-acl
hostname(config-group-policy)
 

 
関連コマンド

コマンド
説明

nac-policy

Cisco NAC ポリシーを作成してアクセスし、そのタイプを指定します。

nac-settings

NAC ポリシーをグループ ポリシーに割り当てます。

debug nac

NAC Framework イベントのロギングをイネーブルにします。

show vpn-session_summary.db

IPSec セッション、WebVPN セッション、および NAC セッションの数を表示します。

show vpn-session.db

NAC の結果を含む、VPN セッションの情報を表示します。

default enrollment

すべての登録パラメータをシステムのデフォルト値に戻すには、暗号 CA トラストポイント コンフィギュレーション モードで default enrollment コマンドを使用します。

default enrollment

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

暗号 CA トラストポイント コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドの呼び出しは、アクティブなコンフィギュレーションには含まれません。

次に、トラストポイント central の暗号 CA トラストポイント コンフィギュレーション モードを開始し、すべての登録パラメータをトラストポイント central のデフォルト値に戻す例を示します。

hostname<config># crypto ca trustpoint central
hostname<ca-trustpoint># default enrollment
hostname<ca-trustpoint>#

 
関連コマンド

コマンド
説明

clear configure crypto ca trustpoint

すべてのトラストポイントを削除します。

crl configure

CRL コンフィギュレーション モードを開始します。

crypto ca trustpoint

トラストポイント コンフィギュレーション モードを開始します。

default-domain

グループ ポリシーのユーザに対してデフォルトのドメイン名を設定するには、グループ ポリシー コンフィギュレーション モードで default-domain コマンドを使用します。ドメイン名を削除するには、このコマンドの no 形式を使用します。

default-domain {value domain-name | none}

no default-domain [ domain-name ]

 
構文の説明

none

デフォルト ドメイン名がないことを指定します。デフォルト ドメイン名にヌル値を設定することで、デフォルト ドメイン名を非許容にします。デフォルトのグループ ポリシーまたは指定したグループ ポリシーからデフォルトのドメイン名を継承しないようにします。

value domain-name

グループのデフォルト ドメイン名を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

ユーザがドメイン名を継承しないようにするには、 default-domain none コマンドを使用します。

適応型セキュリティ アプライアンスはデフォルトのドメイン名を IPSec クライアントに渡し、ドメイン フィールドを省略した DNS クエリーに追加します。このドメイン名は、トンネリングされたパケットのみに適用されます。デフォルトのドメイン名がない場合、ユーザはデフォルト グループ ポリシーのデフォルト ドメイン名を継承します。

デフォルトのドメイン名には、英数字、ハイフン(-)、およびピリオド(.)のみを使用できます。

次に、FirstGroup という名前のグループ ポリシーに対して、FirstDomain のデフォルト ドメイン名を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# default-domain value FirstDomain

 
関連コマンド

コマンド
説明

split-dns

スプリット トンネルを介して解決されるドメインのリストを提供します。

split-tunnel-network-list

トンネリングが必要なネットワークと不要なネットワークを区別するために、適応型セキュリティ アプライアンスが使用するアクセス リストを指定します。

split-tunnel-policy

IPSec クライアントが条件に応じてパケットを暗号化形式で IPSec トンネルを経由して転送したり、クリアテキスト形式でネットワーク インターフェイスに転送したりできるようにします。

default-group-policy

ユーザがデフォルトで継承するアトリビュートのセットを指定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで default-group-policy コマンドを指定します。デフォルトのグループ ポリシー名を削除するには、このコマンドの no 形式を使用します。

default-group-policy group-name

no default-group-policy group-name

 
構文の説明

group-name

デフォルト グループ名を指定します。

 
デフォルト

デフォルト グループ名は DfltGrpPolicy です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

バージョン
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

default-group-policy コマンドは、webvpn コンフィギュレーション モードでは非推奨のコマンドになりました。トンネル グループ一般アトリビュート モードの default-group-policy コマンドが代替のコマンドになります。

 
使用上のガイドライン

バージョン 7.1(1) では、webvpn コンフィギュレーション モードでこのコマンドを入力した場合、トンネル グループ一般アトリビュート モードの同一のコマンドに変換されます。

デフォルトのグループ ポリシー DfltGrpPolicy では、適応型セキュリティ アプライアンスが初期設定されています。このアトリビュートは、すべてのトンネル グループ タイプに適用できます。

次に、config-general コンフィギュレーション モードを開始し、「standard-policy」という名前の IPSec LAN-to-LAN トンネル グループに、ユーザがデフォルトで継承するアトリビュートのセットを指定する例を示します。このコマンドのセットは、アカウンティング サーバ、認証サーバ、認可サーバおよびアドレス プールを定義します。

hostname(config)# tunnel-group standard-policy type ipsec-ra
hostname(config)# tunnel-group standard-policy general-attributes
hostname(config-tunnel-general)# default-group-policy first-policy
hostname(config-tunnel-general)# accounting-server-group aaa-server123
hostname(config-tunnel-general)# address-pool (inside) addrpool1 addrpool2 addrpool3
hostname(config-tunnel-general)# authentication-server-group aaa-server456
hostname(config-tunnel-general)# authorization-server-group aaa-server78
hostname(config-tunnel-general)#

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

group-policy

グループ ポリシーを作成または編集します。

show running-config tunnel group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

default-group-policy(webvpn)

WebVPN または電子メールのプロキシ設定でグループ ポリシーが指定されていない場合に、使用するグループ ポリシー名を指定するには、さまざまなコンフィギュレーション モードで default-group-policy コマンドを使用します。コンフィギュレーションからアトリビュートを削除するには、このコマンドの no バージョンを使用します。

default-group-policy groupname

no default-group-policy

 
構文の説明

groupname

デフォルトのグループ ポリシーとして、事前に設定済みのグループ ポリシーを指定します。グループ ポリシーを設定するには、 group-policy コマンドを使用します。

 
デフォルト

DfltGrpPolicy という名前のデフォルト グループ ポリシーは、常に適応型セキュリティ アプライアンスに存在します。この default-group-policy コマンドでは、作成したグループ ポリシーを WebVPN および電子メール プロキシ セッションのデフォルト グループ ポリシーとして代用できます。別の方法として、DfltGrpPolicy を編集する方法があります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

imap4s コンフィギュレーション

--

--

--

pop3s コンフィギュレーション

--

--

--

smtps コンフィギュレーション

--

--

--

 
コマンド履歴

バージョン
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

このコマンドは、webvpn コンフィギュレーション モードでは廃止され、トンネル グループ一般アトリビュート コンフィギュレーション モードに移動されました。

 
使用上のガイドライン

WebVPN、IMAP4S、POP3S、および SMTPS セッションには、指定したグループ ポリシーまたはデフォルト グループ ポリシーが必要です。WebVPN では、webvpn モードでこのコマンドを使用します。電子メール プロキシの設定には、適切な電子メール プロキシ モードでこのコマンドを使用します。

バージョン 7.1(1) では、webvpn コンフィギュレーション モードでこのコマンドを入力した場合、トンネル グループ一般アトリビュート モードの同一のコマンドに変換されます。

システムの DefaultGroupPolicy は編集できますが、削除できません。DefaultGroupPolicy の AVP は次のとおりです。

アトリビュート
デフォルト値

wins-server

none

dns-server

none

dhcp-network-scope

none

vpn-access-hours

unrestricted

vpn-simultaneous-logins

3

vpn-idle-timeout

30 minutes

vpn-session-timeout

none

vpn-filter

none

vpn-tunnel-protocol

WebVPN

ip-comp

disable

re-xauth

disable

group-lock

none

pfs

disable

client-access-rules

none

banner

none

password-storage

disabled

ipsec-udp

disabled

ipsec-udp-port

0

backup-servers

keep-client-config

split-tunnel-policy

tunnelall

split-tunnel-network-list

none

default-domain

none

split-dns

none

intercept-dhcp

disable

client-firewall

none

secure-unit-authentication

disabled

user-authentication

disabled

user-authentication-idle-timeout

none

ip-phone-bypass

disabled

leap-bypass

disabled

nem

disabled

webvpn アトリビュート:

filter

none

functions

disabled

homepage

none

html-content-filter

none

port-forward

disabled

port-forward-name

none

url-list

mpme

次に、WebVPN に WebVPN7 という名前のデフォルト グループ ポリシーを指定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# default-group-policy WebVPN7

 

default-idle-timeout

WebVPN ユーザに対してデフォルトのアイドル タイムアウト値を設定するには、webvpn コンフィギュレーション モードで default-idle-timeout コマンドを使用します。デフォルトのアイドル タイムアウト値をコンフィギュレーションから削除してデフォルトにリセットするには、このコマンドの no 形式を使用します。

デフォルトのアイドル タイムアウトによって、失効したセッションの発生を防ぎます。

default-idle-timeout seconds

no default-idle-timeout

 
構文の説明

seconds

アイドル タイムアウトの秒数を指定します。最小値は 60 秒、最大値は 1 日(86400 秒)です。

 
デフォルト

1800 秒(30 分)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0

このコマンドが追加されました。

 
使用上のガイドライン

ユーザのアイドル タイムアウトが定義されていない場合、タイムアウト値が 0 の場合、またはタイムアウト値が有効な範囲に設定されていない場合、適応型セキュリティ アプライアンスはこのコマンドで設定された値を使用します。

このコマンドに短い時間を設定することを推奨します。これは、クッキーがディセーブルに設定されているブラウザ(または、クッキーの要求を拒否するブラウザ)を使用すると、ユーザは接続していないにもかかわらずセッション データベースに表示される場合があるためです。許容する接続の最大数が 1 に設定されている場合( vpn-simultaneous-logins コマンド)、データベースはすでに接続の最大数に達していることを示すため、ユーザはログインし直すことができません。アイドル タイムアウトを低い値に設定すると、実在しないセッションがすぐに削除されるため、ユーザは再びログインできます。

次に、デフォルトのアイドル タイムアウトを 1200 秒(20 分)に設定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# default-idle-timeout 1200

 
関連コマンド

コマンド
説明

vpn-simultaneous-logins

許容する同時 VPN セッションの最大数を設定します。グループ ポリシーまたはユーザ名モードで使用します。

default-information(EIGRP)

EIGRP ルーティング プロセスに使用するデフォルト ルート候補の情報を制御するには、ルータ コンフィギュレーション モードで default-information コマンドを使用します。EIGRP のデフォルト ルート候補の情報が着信アップデートまたは発信アップデートで更新されないようにするには、このコマンドの no 形式を使用します。

default-information { in | out } [ acl-name ]

no default-information { in | out }

 
構文の説明

acl-name

(任意)名前の付いた標準アクセスリスト。

in

外部のデフォルト ルーティング情報を受け入れるように EIGRP を設定します。

out

外部のルーティング情報をアドバタイズするように EIGRP を設定します。

 
デフォルト

外部ルートを受け入れ、送信します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、デフォルト ルーティング候補の情報は受け入れられ送信されるため、このコマンドの no 形式またはアクセス リストを指定した default-information コマンドのみが実行コンフィギュレーションに表示されます。このコマンドの no 形式は acl-name 引数を使用しません。

次に、外部ルートまたはデフォルト ルート候補の情報の受信をディセーブルにする例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# no default-information in
 

 
関連コマンド

コマンド
説明

router eigrp

EIGRP ルーティング プロセスを作成し、このプロセスのコンフィギュレーション モードを開始します。

default-information originate(OSPF)

OSPF ルーティング ドメインへのデフォルトの外部ルートを生成するには、ルータ コンフィギュレーション モードで default-information originate コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

default-information originate [ always ] [ metric value ] [ metric-type { 1 | 2 }] [ route-map name ]

no default-information originate [[ always ] [ metric value ] [ metric-type { 1 | 2 }] [ route-map name ]]

 
構文の説明

always

(任意)ソフトウェアにデフォルト ルートが設定されているかどうかにかかわらず、常にデフォルト ルートをアドバタイズします。

metric value

(任意)OSPF のデフォルト メトリック値を、0 ~ 16777214 の範囲で指定します。

metric-type {1 | 2}

(任意)OSPF ルーティング ドメインにアドバタイズされたデフォルト ルートに関連付けられた外部リンク タイプ。有効な値は次のとおりです。

1 :タイプ 1 の外部ルート。

2 :タイプ 2 の外部ルート。

route-map name

(任意)適用するルート マップ名。

 
デフォルト

デフォルト値は次のとおりです。

metric value は 1 です。

metric-type は 2 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

オプションのキーワードと引数を指定して、このコマンドの no 形式を使用すると、コマンドのオプション情報だけが削除されます。たとえば、 no default-information originate metric 3 を入力すると、実行コンフィギュレーションのコマンドから metric 3 オプションが削除されます。実行コンフィギュレーションからコマンド全体を削除するには、オプションを指定せずにこのコマンドの no 形式を使用します( no default-information originate )。

次に、オプションのメトリックおよびメトリック タイプを指定して、 default-information originate コマンドを使用する例を示します。

hostname(config-router)# default-information originate always metric 3 metric-type 2
hostname(config-router)#
 

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

default-information originate(RIP)

RIP へのデフォルト ルートを生成するには、ルータ コンフィギュレーション モードで default-information originate コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

default-information originate [ route-map name ]

no default-information originate [ route-map name ]]

 
構文の説明

route-map name

(任意)適用するルート マップ名。ルート マップが満たされる場合、ルーティング プロセスはデフォルト ルートを生成します。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

default-information originate コマンドで参照されるルート マップでは、拡張アクセス リストを使用できません。標準アクセス リストを使用できます。

次に、RIP へのデフォルト ルートを生成する例を示します。

hostname(config)# router rip
hostname(config-router)# network 10.0.0.0
hostname(config-router)# default-information originate

 
関連コマンド

コマンド
説明

router rip

RIP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

default-language

クライアントレス SSL VPN ページに表示されるデフォルトの言語を設定するには、webvpn コンフィギュレーション モードから default-language コマンドを使用します。

default-language language

 
構文の説明

language

事前にインポート済みの変換テーブル名を指定します。

 
デフォルト

デフォルトの言語は en-us(米国で話されている英語)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

適応型セキュリティ アプライアンスでは、ブラウザベースのクライアントレス SSL VPN 接続を開始するユーザに表示されるポータルと画面、および AnyConnect VPN クライアント ユーザに表示されるユーザ インターフェイスで使用される言語を変換できます。

デフォルトの言語は、ログインする前に最初に適応型セキュリティ アプライアンスに接続したときに、クライアントレス SSL VPN ユーザに表示されます。その後、表示される言語はトンネル グループまたはグループ ポリシーの設定、および参照するカスタマイズ内容に影響を受けています。

次に、 Sales という名前の テーブルを使用して、デフォルトの言語を中国語に変更する例を示します。

hostname(config-webvpn)# default-language zh
 

 
関連コマンド

コマンド
説明

import webvpn translation-table

変換テーブルをインポートします。

revert

キャッシュ メモリから変換テーブルを削除します。

show import webvpn translation-table

インポートした変換テーブルに関する情報を表示します。

default-metric

再配布されるルートの EIGRP メトリックを指定するには、ルータ コンフィギュレーション モードで default-metric コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

default-metric bandwidth delay reliability loading mtu

no default-metric bandwidth delay reliability loading mtu

 
構文の説明

bandwidth

ルートの最低限の帯域幅(KB/秒単位)。有効な値は、1 ~ 4294967295 です。

delay

ルートの遅延(10 ms 単位)。有効な値は、1 ~ 4294967295 です。

reliability

0 ~ 255 の数値で表されるパケット転送の成功確率。値 255 は 100 % の信頼性を意味し、0 は信頼性がまったくないことを意味します。

loading

1 ~ 255 の数値で表されるルートの有効帯域幅(255 は 100 % の負荷)。

mtu

許容される MTU の最小値(バイト単位)。有効な値は 1 ~ 65535 です。

 
デフォルト

接続ルートのみ、デフォルト メトリックなしで再配布できます。再配布される接続ルートのメトリックは 0 に設定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

redistribute コマンドで metric キーワードとアトリビュートを使用していない限り、デフォルト メトリックを使用して EIGRP へプロトコルを再配布する必要があります。メトリックのデフォルトは、さまざまなネットワークに対して注意深く設定されています。これらの値を変更するときは細心の注意を払ってください。静的なルートから再配布するときのみ、同一のメトリックの維持をサポートします。

次に、bandwidth = 1000、delay = 100、reliability = 250、loading = 100、および MTU = 1500 の値を使用して、再配布される RIP ルート メトリックを EIGRP メトリックに変換する例を示します。

hostname(config)# router eigrp 100
hostname(config-router)# network 172.16.0.0
hostname(config-router)# redistribute rip
hostname(config-router)# default-metric 1000 100 250 100 1500

 
関連コマンド

コマンド
説明

router eigrp

EIGRP ルーティング プロセスを作成し、このプロセスのルータ コンフィギュレーション モードを開始します。

redistribute(EIGRP)

EIGRP ルーティング プロセスにルートを再配布します。

delay

インターフェイスに遅延値を設定するには、インターフェイス コンフィギュレーション モードで delay コマンドを使用します。デフォルトの遅延値に戻すには、このコマンドの no 形式を使用します。

delay delay-time

no delay

 
構文の説明

delay-time

遅延時間(10 ms 単位)。有効な値は、1 ~ 16777215 です。

 
デフォルト

デフォルトの遅延はインターフェイスのタイプによって異なります。インターフェイスの遅延値を表示するには、 show interface コマンドを使用します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

値は 10 ms 単位で入力します。 show interface の出力で表示される遅延値は ms 単位です。

次に、インターフェイスの遅延をデフォルトの 1000 から 2000 に変更する例を示します。コマンドが遅延値に与える影響を示すため、 delay コマンド前後の show interface コマンドの出力(一部省略)が含まれています。遅延値は、 show interface 出力の 2 行めの DLY ラベルの後ろに表示されます。

遅延値を 2000 に変更する際に入力したコマンドは delay 200 です。 delay 2000 ではないことに注意してください。これは、 delay コマンドで入力される値は 10 ms 単位で、 show interface の出力では ms 単位で表示されるためです。

hostname(config)# interface Ethernet0/0
hostname(config-if)# show interface Ethernet0/0
 
Interface Ethernet0/0 "outside", is up, line protocol is up
Hardware is i82546GB rev03, BW 100 Mbps, DLY 1000 usec
Auto-Duplex(Half-duplex), Auto-Speed(100 Mbps)
MAC address 0013.c480.7e16, MTU 1500
IP address 10.86.194.224, subnet mask 255.255.254.0
! Remainder of the output removed
 
hostname(config-if)# delay 200
hostname(config-if)# show interface Ethernet0/0
 
Interface Ethernet0/0 "outside", is up, line protocol is up
Hardware is i82546GB rev03, BW 100 Mbps, DLY 2000 usec
Auto-Duplex(Half-duplex), Auto-Speed(100 Mbps)
MAC address 0013.c480.7e16, MTU 1500
IP address 10.86.194.224, subnet mask 255.255.254.0
! Remainder of the output removed
 

 
関連コマンド

コマンド
説明

show interface

インターフェイスの統計情報と設定を表示します。

delete

ファイルをフラッシュ メモリから削除するには、特権 EXEC モードで delete コマンドを使用します。

delete [ /noconfirm ] [ /recursive ] [ disk0: | disk1: | flash: ][ path / ] filename

 
構文の説明

/noconfirm

(任意)確認のプロンプトを表示しません。

/ recursive

(任意)指定したファイルをすべてのサブディレクトリで再帰的に削除します。

disk0 :

(任意)内部のフラッシュ メモリを指定します。

disk1:

(任意)外部のフラッシュ メモリ カードを指定します。

filename

削除するファイル名を指定します。

flash:

(任意)内部のフラッシュ メモリを指定します。このキーワードは disk0 と同じです。

path /

(任意)ファイルのパスを指定します。

 
デフォルト

ディレクトリを指定しない場合、ディレクトリはデフォルトで現在の作業ディレクトリになります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

パスが指定されていない場合、ファイルは現在の作業ディレクトリから削除されます。ファイルを削除する際は、ワイルドカードを使用できます。ファイルを削除する際、ユーザはファイル名を入力するように求められ、削除を承認します。

次に、test.cfg という名前のファイルを現在の作業ディレクトリから削除する例を示します。

hostname# delete test.cfg
 

 
関連コマンド

コマンド
説明

cd

現在の作業ディレクトリから、指定したディレクトリに変更します。

rmdir

ファイルまたはディレクトリを削除します。

show file

指定したファイルを表示します。

deny-message(グループ ポリシー webvpn コンフィギュレーション モード)

WebVPN へのログインには成功したが、VPN 特権を持っていないリモート ユーザに配信するメッセージを変更するには、グループ webvpn コンフィギュレーション モードで deny-message value コマンドを使用します。リモート ユーザがメッセージを受信しないようにストリングを削除するには、このコマンドの no 形式を使用します。

deny-message value " string "

no deny-message value

 
構文の説明

string

特殊文字、スペース、および句読点を含む、最大 491 文字の英数字。

 
デフォルト

デフォルトの拒否メッセージは次のとおりです。「Login was successful, but because certain criteria have not been met or due to some specific group policy, you do not have permission to use any of the VPN features. Contact your IT administrator for more information.」

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

7.1(1)

トンネル グループ webvpn コンフィギュレーション モードからグループ webvpn コンフィギュレーション モードにこのコマンドを移動しました。

 
使用上のガイドライン

このコマンドを入力する前に、グローバル コンフィギュレーション モードで group-policy name attributes を入力し、その後、 webvpn コマンドを入力する必要があります(すでにポリシー名 name が作成されていることが前提です)。

no deny-message none コマンドは、グループ webvpn コンフィギュレーションからアトリビュートを削除します。ポリシーはアトリビュート値を継承します。

deny-message value コマンドでストリングを入力するときは、コマンドがラップしても入力を続けてください。

VPN セッションに使用されているトンネル ポリシーに関係なく、ログイン時にテキストがリモート ユーザのブラウザに表示されます。

次に、group2 という名前の内部グループ ポリシーを作成する最初のコマンドの例を示します。後続のコマンドでは、ポリシーと関連して拒否メッセージを変更します。

hostname(config)# group-policy group2 internal
hostname(config)# group-policy group2 attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# deny-message value "Your login credentials are OK. However, you have not been granted rights to use the VPN features. Contact your administrator for more information."
hostname(config-group-webvpn)

 
関連コマンド

コマンド
説明

clear configure group-policy

すべてのグループ ポリシー コンフィギュレーションを削除します。

group-policy

グループ ポリシーを作成します。

group-policy attributes

グループ ポリシー アトリビュート コンフィギュレーション モードを開始します。

show running-config group-policy [ name ]

名前を入力したポリシーの実行グループ ポリシー コンフィギュレーションを表示します。

webvpn (グループ ポリシーまたはユーザ名コンフィギュレーション モード)

グループ ポリシー webvpn コンフィギュレーション モードを開始します。

deny version

SNMP トラフィックの特定のバージョンを拒否するには、グローバル コンフィギュレーション モードで snmp-map コマンドを入力してアクセスできる、SNMP マップ コンフィギュレーション モードで deny version コマンドを使用します。このコマンドをディセーブルにするには、このコマンドの no 形式を使用します。

deny version version

no deny version version

 
構文の説明

version

適応型セキュリティ アプライアンスがドロップする SNMP トラフィックのバージョンを指定します。許容される値は 1 2 2c 、および 3 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

SNMP マップ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

deny version コマンドを使用して、SNMP トラフィックを特定の SNMP バージョンに制限します。古いバージョンの SNMP はセキュリティが低いため、セキュリティ ポリシーによって SNMP トラフィックをバージョン 2 に制限できます。 snmp-map コマンドを使用して設定する SNMP マップ内で、 deny version コマンドを使用します。SNMP マップを作成した後で、 inspect snmp コマンドを使用してマップをイネーブルにし、 service-policy コマンドを使用してマップを 1 つ以上のインターフェイスに適用します。

次に、SNMP トラフィックを識別し、SNMP マップを定義し、ポリシーを定義して、そのポリシーを外部インターフェイスに適用する例を示します。

hostname(config)# access-list snmp-acl permit tcp any any eq 161
hostname(config)# access-list snmp-acl permit tcp any any eq 162
hostname(config)# class-map snmp-port
hostname(config-cmap)# match access-list snmp-acl
hostname(config-cmap)# exit
hostname(config)# snmp-map inbound_snmp
hostname(config-snmp-map)# deny version 1
hostname(config-snmp-map)# exit
hostname(config)# policy-map inbound_policy
hostname(config-pmap)# class snmp-port
hostname(config-pmap-c)# inspect snmp inbound_snmp
hostname(config-pmap-c)# exit
hostname(config-pmap)# exit
hostname(config)# service-policy inbound_policy interface outside
 

 
関連コマンド

コマンド
説明

class-map

セキュリティ アクションを適用するトラフィック クラスを定義します。

inspect snmp

SNMP アプリケーション インスペクションをイネーブルにします。

policy-map

特定のセキュリティ アクションにクラス マップを関連付けます。

snmp-map

SNMP マップを定義し、SNMP マップ コンフィギュレーション モードをイネーブルにします。

service-policy

1 つ以上のインターフェイスにポリシー マップを適用します。

description

名前付きコンフィギュレーション ユニット(たとえば、コンテキスト、オブジェクト グループ、または DAP レコードなど)に説明を追加するには、さまざまなコンフィギュレーション モードで description コマンドを使用します。説明により、役立つ情報がコンフィギュレーションに追加されます。説明を削除するには、このコマンドの no 形式を使用します。

description text

no description

 
構文の説明

text

説明に、最大 200 文字のテキスト ストリングを設定します。ダイナミック アクセス ポリシー レコード モードは、最大 80 文字です。

疑問符(?)をストリングに含める場合、気付かずに CLI ヘルプを起動しないよう、疑問符を入力する前に Ctrl+V を入力する必要があります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

このコマンドはさまざまなコンフィギュレーション モードで使用できます。

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

8.0(2)

ダイナミック アクセス ポリシー レコード モードに対するサポートが追加されました。

次に、「Administration」コンテキスト コンフィギュレーションに説明を追加する例を示します。

hostname(config)# context administrator
hostname(config-context)# description This is the admin context.
hostname(config-context)# allocate-interface gigabitethernet0/0.1
hostname(config-context)# allocate-interface gigabitethernet0/1.1
hostname(config-context)# config-url flash://admin.cfg
 

 
関連コマンド

コマンド
説明

class-map

policy-map コマンドでアクションを適用するトラフィックを指定します。

context

システム コンフィギュレーションにセキュリティ コンテキストを作成し、コンテキスト コンフィギュレーション モードを開始します。

gtp-map

GTP インスペクション エンジンのパラメータを制御します。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

object-group

access-list コマンドに含めるトラフィックを指定します。

policy-map

class-map コマンドで指定したトラフィックに適用するアクションを指定します。

dhcp client route distance

DHCP で学習したルートにアドミニストレーティブ ディスタンスを設定するには、インターフェイス コンフィギュレーション モードで dhcp client route distance コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dhcp client route distance distance

no dhcp client route distance distance

 
構文の説明

distance

DHCP で学習したルートに適用するアドミニストレーティブ ディスタンス。有効な値は、1 ~ 255 です。

 
デフォルト

DHCP で学習したルートには、アドミニストレーティブ ディスタンスに 1 がデフォルトで設定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ルートを DHCP から学習したときのみ、 dhcp client route distance コマンドの確認が実行されます。ルートを DHCP から学習した後に dhcp client route distance コマンドが入力された場合、指定したアドミニストレーティブ ディスタンスは既存の学習したルートに影響を与えません。指定したアドミニストレーティブ ディスタンスが設定されるのは、このコマンドの入力後に学習されたルートだけです。

DHCP でルートを取得するには、 ip address dhcp コマンドで setroute オプションを指定する必要があります。

DHCP を複数のインターフェイスで設定している場合、インストールされたルートの優先度を指定するには、各インターフェイスで dhcp client route distance コマンドを使用する必要があります。

次に、GigabitEthernet0/2 で DHCP によりデフォルト ルートを取得する例を示します。このルートは、トラッキング エントリ オブジェクト 1 によって追跡されます。SLA 動作によって、outside インターフェイスからの 10.1.1.1 ゲートウェイの可用性がモニタされます。SLA 動作が失敗した場合、GigabitEthernet0/3 で DHCP により取得したバックアップ ルートが使用されます。バックアップ ルートには、アドミニストレーティブ ディスタンスに 254 が割り当てられます。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# timeout 1000
hostname(config-sla-monitor-echo)# frequency 3
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
hostname(config)# interface GigabitEthernet0/2
hostname(config-if)# dhcp client route track 1
hostname(config-if)# ip address dhcp setroute
hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# dhcp client route track 1
hostname(config-if)# dhcp client route distance 254
hostname(config-if)# ip address dhcp setroute
 

 
関連コマンド

コマンド
説明

dhcp client route track

DHCP で学習したルートをトラッキング エントリ オブジェクトに関連付けます。

ip address dhcp

指定したインターフェイスに DHCP で取得した IP アドレスを設定します。

sla monitor

SLA モニタリング動作を定義します。

track rtr

SLA をポーリングするためのトラッキング エントリを作成します。

dhcp client route track

DHCP クライアントを設定して、追加されたルートを、指定した追跡対象オブジェクト番号に関連付けるには、インターフェイス コンフィギュレーション モードで dhcp client route track コマンドを使用します。DHCP クライアントのルート トラッキングをディセーブルにするには、このコマンドの no 形式を使用します。

dhcp client route track number

no dhcp client route track

 
構文の説明

number

トラッキング エントリのオブジェクト ID。有効な値は、1 ~ 500 です。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ルートを DHCP から学習したときのみ、 dhcp client route track コマンドの確認が実行されます。ルートを DHCP から学習した後に dhcp client route track コマンドが入力された場合、既存の学習したルートはトラッキング オブジェクトに関連付けられていません。指定したトラッキング オブジェクトに関連付けられるのは、このコマンドの入力後に学習されたルートだけです。

DHCP でルートを取得するには、 ip address dhcp コマンドで setroute オプションを指定する必要があります。

DHCP を複数のインターフェイスで設定している場合、インストールされたルートの優先度を指定するには、各インターフェイスで dhcp client route distance コマンドを使用する必要があります。

次に、GigabitEthernet0/2 で DHCP によりデフォルト ルートを取得する例を示します。このルートは、トラッキング エントリ オブジェクト 1 によって追跡されます。SLA 動作によって、outside インターフェイスからの 10.1.1.1 ゲートウェイの可用性がモニタされます。SLA 動作が失敗した場合、GigabitEthernet0/3 で DHCP により取得したバックアップ ルートが使用されます。バックアップ ルートには、アドミニストレーティブ ディスタンスに 254 が割り当てられます。

hostname(config)# sla monitor 123
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho 10.1.1.1 interface outside
hostname(config-sla-monitor-echo)# timeout 1000
hostname(config-sla-monitor-echo)# frequency 3
hostname(config)# sla monitor schedule 123 life forever start-time now
hostname(config)# track 1 rtr 123 reachability
hostname(config)# interface GigabitEthernet0/2
hostname(config-if)# dhcp client route track 1
hostname(config-if)# ip address dhcp setroute
hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# dhcp client route track 1
hostname(config-if)# dhcp client route distance 254
hostname(config-if)# ip address dhcp setroute
 

 
関連コマンド

コマンド
説明

dhcp client route distance

アドミニストレーティブ ディスタンスを DHCP で学習したルートに割り当てます。

ip address dhcp

指定したインターフェイスに DHCP で取得した IP アドレスを設定します。

sla monitor

SLA モニタリング動作を定義します。

track rtr

SLA をポーリングするためのトラッキング エントリを作成します。

dhcp-client broadcast-flag

適応型セキュリティ アプライアンスが DHCP クライアント パケットにブロードキャスト フラグを設定することを許容するには、グローバル コンフィギュレーション モードで dhcp-client broadcast-flag コマンドを使用します。ブロードキャスト フラグを非許容にするには、このコマンドの no 形式を使用します。

dhcp-client broadcast-flag

no dhcp-client broadcast-flag

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、ブロードキャスト フラグはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

ip address dhcp コマンドを使用して、インターフェイスの DHCP クライアントをイネーブルにした場合、DHCP クライアントは IP アドレスを要求する DISCOVER を送信するときに、このコマンドを使用して DHCP パケット ヘッダーのブロードキャスト フラグを 1 に設定できます。DHCP サーバはこのブロードキャスト フラグをリッスンし、フラグが 1 に設定されている場合、応答パケットをブロードキャストします。

no dhcp-client broadcast-flag コマンドを入力した場合、ブロードキャスト フラグが 0 に設定され、DHCP サーバはクライアントに提案する IP アドレスを記載した応答パケットをユニキャストします。

DHCP クライアントは DHCP サーバから、ブロードキャストの OFFER とユニキャストの OFFER の両方を受信できます。

次に、ブロードキャスト フラグをイネーブルにする例を示します。

hostname(config)# dhcp-client broadcast-flag
 

 
関連コマンド

コマンド
説明

ip address dhcp

インターフェイスで DHCP クライアントをイネーブルにします。

interface

IP アドレスを設定するために、インターフェイス コンフィギュレーション モードを開始します。

dhcp-client client-id

DHCP REQUEST パケットのオプション 61 に、インターフェイスの MAC アドレスを含めるように設定します。

dhcp-client update dns

DHCP クライアントで DNS 更新をイネーブルにします。

dhcp-client client-id

DHCP REQUEST パケットのオプション 61 に、内部で生成したデフォルトのストリングの代わりに MAC アドレスを強制的に保存するには、グローバル コンフィギュレーション モードで dhcp-client client-id コマンドを使用します。MAC アドレスを非許容にするには、このコマンドの no 形式を使用します。

dhcp-client client-id interface interface_name

no dhcp-client client-id interface interface_name

 
構文の説明

interface interface_name

オプション 61 に MAC アドレスをイネーブルにするインターフェイスを指定します。

 
デフォルト

デフォルトでは、内部で生成された ASCII ストリングがオプション 61 に使用されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

ip address dhcp コマンドを使用して、インターフェイスの DHCP クライアントをイネーブルにした場合、オプション 61 にインターフェイスの MAC アドレスが記載されていることを期待する ISP が存在します。MAC アドレスが DHCP REQUEST パケットに含まれていない場合、IP アドレスは割り当てられません。 dhcp-client client-id コマンドを使用して、インターフェイスの MAC アドレスをオプション 61 に含めます。

次に、外部インターフェイスに対してオプション 61 の MAC アドレスをイネーブルにする例を示します。

hostname(config)# dhcp-client client-id interface outside
 

 
関連コマンド

コマンド
説明

ip address dhcp

インターフェイスで DHCP クライアントをイネーブルにします。

interface

IP アドレスを設定するために、インターフェイス コンフィギュレーション モードを開始します。

dhcp-client broadcast-flag

DHCP クライアントのパケットにブロードキャスト フラグを設定します。

dhcp-client update dns

DHCP クライアントで DNS 更新をイネーブルにします。

dhcp-client update dns

DHCP クライアントが DHCP サーバに渡す更新パラメータを設定するには、グローバル コンフィギュレーション モードで dhcp-client update dns コマンドを使用します。DHCP クライアントが DHCP サーバに渡すパラメータを削除するには、このコマンドの no 形式を使用します。

dhcp-client update dns [server { both | none }]

no dhcp-client update dns [server { both | none }]

 
構文の説明

both

クライアントは、DHCP サーバが DNS A リソース レコードと PTR リソース レコードの両方を更新するように要求します。

none

クライアントは、DHCP サーバが DDNS を更新しないように要求します。

server

DHCP サーバがクライアントの要求を受信するように指定します。

 
デフォルト

デフォルトでは、適応型セキュリティ アプライアンスは DHCP サーバが PTR RR 更新のみを実行するように要求します。クライアントは FQDN オプションをサーバに送信しません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドはインターフェイス コンフィギュレーション モードでも入力することができますが、その場合はコマンドをハイフンで結びません。 dhcp client update dns を参照してください。インターフェイス モードで入力すると、 dhcp client update dns コマンドはグローバル コンフィギュレーション モードでこのコマンドを使用して構成した設定を上書きします。

次に、クライアントが DHCP サーバに A リソース レコードおよび PTR RR を更新しないように要求するよう設定する例を示します。

hostname(config)# dhcp-client update dns server none
 

次に、クライアントがサーバに A リソース レコードおよび PTR RR の両方を更新するように要求するよう設定する例を示します。

hostname(config)# dhcp-client update dns server both

 
関連コマンド

コマンド
説明

ddns(DDNS アップデート方式モード)

作成済みの DDNS 方式に対して、DDNS アップデート方式のタイプを指定します。

ddns update(インターフェイス コンフィギュレーション モード)

Dynamic DNS(DDNS; ダイナミック DNS)アップデート方式を、適応型セキュリティ アプライアンスのインターフェイスまたは DDNS アップデート ホスト名に関連付けます。

ddns update method(グローバル コンフィギュレーション モード)

DNS のリソース レコードをダイナミックにアップデートするための方式を作成します。

dhcp client update dns

dhcpd update dns

DHCP サーバによる DDNS アップデートの実行をイネーブルにします。

interval maximum

DDNS アップデート方式によるアップデート試行の最大間隔を設定します。

dhcp-network-scope

適応型セキュリティ アプライアンスの DHCP サーバがこのグループ ポリシーのユーザにアドレスを割り当てる際に使用する IP アドレスの範囲を指定するには、グループ ポリシー コンフィギュレーション モードで dhcp-network-scope コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。このオプションを使用すると、他のグループ ポリシーから値を継承できるようになります。値を継承しないようにするには、 dhcp-network-scope none コマンドを使用します。

dhcp-network-scope { ip_address } | none

no dhcp-network-scope

 
構文の説明

ip_address

DHCP サーバがこのグループ ポリシーのユーザに IP アドレスを割り当てる際に使用する IP サブネットワークを指定します。

none

DHCP サブネットワークをヌル値に設定することで、IP アドレスをすべて非許容にします。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

次に、First Group という名前のグループ ポリシーに IP サブネットワーク 10.10.85.0 を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# dhcp-network-scope 10.10.85.0

dhcp-server

VPN トンネルが確立した際にクライアントに IP アドレスを割り当てる DHCP サーバのサポートを設定するには、トンネル グループ一般アトリビュート コンフィギュレーション モードで dhcp-server コマンドを使用します。このコマンドをデフォルトに戻すには、このコマンドの no 形式を使用します。

dhcp-server [link-selection | subnet-selection] <ip1> [<ip2>...<ip10>]

[no] dhcp-server [link-selection | subnet-selection] <ip1> [<ip2>...<ip10>]

 
構文の説明

<ip1>

DHCP サーバのアドレス。

<ip2>-<ip10>

(任意)追加の DHCP サーバ。
1 回のコマンドで最大 10 個まで指定できます。また、複数のコマンドにまたがって指定できます。

link-selection

(任意)適応型セキュリティ アプライアンスが RFC 3527 で規定されている DHCP サブオプション 5「リレー情報オプション 82 のリンク選択サブオプション」を送信するかどうかを指定する設定。この設定は、この RFC をサポートしているサーバのみで使用します。

subnet-selection

(任意)適応型セキュリティ アプライアンスが RFC 3011 で規定されている DHCP オプション 118「IPv4 サブネット選択オプション」を送信するかどうかを指定する設定。この設定は、この RFC をサポートしているサーバのみで使用します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ一般アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

8.0(5)

link-selection オプションおよび subnet-selection オプションを追加しました。

 
使用上のガイドライン

このアトリビュートは、IPSec リモート アクセス トンネル グループ タイプのみに適用できます。

次のコマンドを config-general コンフィギュレーション モードで入力して、3 つの DHCP サーバ(dhcp1、dhcp2、および dhcp3)を IPSec リモートアクセス トンネル グループ「remotegrp」に追加する例を示します。

hostname(config)# tunnel-group remotegrp type ipsec-ra
hostname(config)# tunnel-group remotegrp general
hostname(config-tunnel-general)# default-group-policy remotegrp
hostname(config-tunnel-general)# dhcp-server dhcp1 dhcp2 dhcp3
hostname(config-tunnel-general)

 
関連コマンド

コマンド
説明

clear-configure tunnel-group

設定されているすべてのトンネル グループをクリアします。

show running-config tunnel group

すべてのトンネル グループまたは特定のトンネル グループのトンネル グループ コンフィギュレーションを表示します。

tunnel-group general-attributes

名前付きのトンネル グループの一般アトリビュートを指定します。

dhcpd address

DHCP サーバで使用される IP アドレス プールを定義するには、グローバル コンフィギュレーション モードで dhcpd address コマンドを使用します。既存の DHCP アドレス プールを削除するには、このコマンドの no 形式を使用します。

dhcpd address IP_address 1 [ - IP_address 2 ] interface_name

no dhcpd address interface_name

 
構文の説明

interface_name

アドレス プールが割り当てられているインターフェイス。

IP_address1

DHCP アドレス プールの開始アドレス。

IP_address2

DHCP アドレス プールの終了アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

dhcpd address ip1 [ - ip2 ] interface_name コマンドは、DHCP サーバのアドレス プールを指定します。適応型セキュリティ アプライアンス DHCP サーバのアドレス プールは、そのアドレス プールがイネーブルな適応型セキュリティ アプライアンス インターフェイスと同じサブネット内にある必要があります。また、 interface_name を使用して関連する適応型セキュリティ アプライアンス インターフェイスを指定する必要があります。

適応型セキュリティ アプライアンスのアドレス プールのサイズは、プールあたり 256 アドレスに制限されています。アドレス プールの範囲が 253 アドレスより大きい場合、適応型セキュリティ アプライアンス インターフェイスのネットマスクはクラス C アドレス(例:255.255.255.0)にすることはできず、より大きなネットマスク(例:255.255.254.0)が必要になります。

DHCP クライアントは、物理的に適応型セキュリティ アプライアンス DHCP サーバ インターフェイスのサブネットと接続されている必要があります。

dhcpd address コマンドでは、「-」(ダッシュ)文字がオブジェクト名の一部ではなく範囲指定子として解釈されるため、「-」文字を含むインターフェイス名は使用できません。

no dhcpd address interface_name コマンドは、指定したインターフェイスに設定した DHCP サーバのアドレス プールを削除します。

DHCP サーバ機能を適応型セキュリティ アプライアンスに実装する方法については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

次に、 dhcpd address dhcpd dns 、および dhcpd enable interface_name コマンドを使用して、適応型セキュリティ アプライアンスの dmz インターフェイス上の DHCP クライアントにアドレス プールと DNS サーバを設定する例を示します。

hostname(config)# dhcpd address 10.0.1.100-10.0.1.108 dmz
hostname(config)# dhcpd dns 209.165.200.226
hostname(config)# dhcpd enable dmz
 

次に、内部インターフェイスに DHCP サーバを設定する例を示します。この例では、 dhcpd address コマンドを使用して、内部インターフェイスの DHCP サーバに 10 個の IP アドレスのプールを割り当てます。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping_timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

すべての DHCP サーバ設定を削除します。

dhcpd enable

指定したインターフェイスで、DHCP サーバをイネーブルにします。

show dhcpd

DHCP のバインディング、統計情報、または状態情報を表示します。

show running-config dhcpd

現在の DHCP サーバ コンフィギュレーションを表示します。

dhcpd auto_config

DHCP クライアントまたは PPPoE クライアントが実行されているインターフェイス、または VPN サーバから取得した値に基づいて、適応型セキュリティ アプライアンスによる DHCP サーバの DNS、WINS、およびドメイン名の値の自動設定をイネーブルにするには、グローバル コンフィギュレーション モードで dhcpd auto_config コマンドを使用します。DHCP パラメータの自動設定を解除するには、このコマンドの no 形式を使用します。

dhcpd auto_config client_if_name [[ vpnclient-wins-override] interface if_name]

no dhcpd auto_config client_if_name [[ vpnclient-wins-override] interface if_name]

 
構文の説明

client_if_name

DNS、WINS、およびドメイン名パラメータを提供する DHCP クライアントが実行されているインターフェイスを指定します。

interface if_name

アクションを適用するインターフェイスを指定します。

vpnclient-wins-override

インターフェイス上の DHCP クライアントまたは PPPoE クライアントの WINS パラメータを vpnclient パラメータで上書きします。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

CLI コマンドを使用して DNS、WINS、またはドメイン名パラメータを指定した場合、CLI で設定したパラメータによって、自動設定で取得されたパラメータは上書きされます。

次に、内部インターフェイスに DHCP を設定する例を示します。 dhcpd auto_config コマンドを使用して、外部インターフェイスの DHCP クライアントから取得した DNS、WINS、およびドメイン情報を内部インターフェイスの DHCP クライアントに渡します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd auto_config outside
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

すべての DHCP サーバ設定を削除します。

dhcpd enable

指定したインターフェイスで、DHCP サーバをイネーブルにします。

show ip address dhcp server

DHCP クライアントとして動作するインターフェイスに対して DHCP サーバから提供される、DHCP オプションに関する詳細情報を表示します。

show running-config dhcpd

現在の DHCP サーバ コンフィギュレーションを表示します。

dhcpd dns

DHCP クライアントに対して DNS サーバを定義するには、グローバル コンフィギュレーション モードで dhcpd dns コマンドを使用します。定義されたサーバをクリアするには、このコマンドの no 形式を使用します。

dhcpd dns dnsip1 [ dnsip2 ] [ interface if_name]

no dhcpd dns [ dnsip1 [ dnsip2 ]] [ interface if_name]

 
構文の説明

dnsip1

DHCP クライアントに対するプライマリ DNS サーバの IP アドレス。

dnsip2

(任意)DHCP クライアントに対する代替 DNS サーバの IP アドレス。

interface if_name

サーバに入力した値を適用するインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

dhcpd dns コマンドでは、DHCP クライアントの DNS サーバの IP アドレスを指定できます。2 つの DNS サーバを指定できます。 no dhcpd dns コマンドでは、コンフィギュレーションから DNS IP アドレスを削除できます。

次に、 dhcpd address dhcpd dns 、および dhcpd enable interface_name コマンドを使用して、適応型セキュリティ アプライアンスの dmz インターフェイス上の DHCP クライアントにアドレス プールと DNS サーバを設定する例を示します。

hostname(config)# dhcpd address 10.0.1.100-10.0.1.108 dmz
hostname(config)# dhcpd dns 192.168.1.2
hostname(config)# dhcpd enable dmz
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

すべての DHCP サーバ設定を削除します。

dhcpd address

指定したインターフェイスの DHCP サーバが使用するアドレス プールを指定します。

dhcpd enable

指定したインターフェイスで、DHCP サーバをイネーブルにします。

dhcpd wins

DHCP クライアントに対する WINS サーバを定義します。

show running-config dhcpd

現在の DHCP サーバ コンフィギュレーションを表示します。

dhcpd domain

DHCP クライアントに対する DNS ドメイン名を定義するには、グローバル コンフィギュレーション モードで dhcpd domain コマンドを使用します。DNS ドメイン名をクリアするには、このコマンドの no 形式を使用します。

dhcpd domain domain_name [ interface if_name]

no dhcpd domain [ domain_name ] [ interface if_name]

 
構文の説明

domain_name

DNS ドメイン名(例:example.com)。

interface if_name

サーバに入力した値を適用するインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

dhcpd domain コマンドでは、DHCP クライアントの DNS ドメイン名を指定できます。 no dhcpd domain コマンドでは、コンフィギュレーションから DNS ドメイン サーバを削除できます。

次に、 dhcpd domain コマンドを使用して、適応型セキュリティ アプライアンスの DHCP サーバから DHCP クライアントに提供されるドメイン名を設定する例を示します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping_timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

すべての DHCP サーバ設定を削除します。

show running-config dhcpd

現在の DHCP サーバ コンフィギュレーションを表示します。

dhcpd enable

DHCP サーバをイネーブルにするには、グローバル コンフィギュレーション モードで dhcpd enable コマンドを使用します。DHCP サーバをディセーブルにするには、このコマンドの no 形式を使用します。DHCP サーバは、DHCP クライアントにネットワーク コンフィギュレーション パラメータを提供します。適応型セキュリティ アプライアンス内で DHCP サーバをサポートすることにより、適応型セキュリティ アプライアンスは DHCP を使用して接続されるクライアントを設定できるようになります。

dhcpd enable interface

no dhcpd enable interface

 
構文の説明

interface

DHCP サーバをイネーブルにするインターフェイスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

dhcpd enable interface コマンドでは、DHCP デーモンをイネーブルにして、DHCP がイネーブルなインターフェイス上で DHCP クライアント要求をリッスンできます。 no dhcpd enable コマンドは、指定したインターフェイスの DHCP サーバ機能をディセーブルにします。


) マルチ コンテキスト モードでは、複数のコンテキスト(共有 VLAN)で使用されているインターフェイス上で DHCP サーバをイネーブルにできません。


適応型セキュリティ アプライアンスが DHCP クライアント要求に応答するときには、要求を受信したインターフェイスの IP アドレスとサブネット マスクを、デフォルト ゲートウェイの IP アドレスとサブネット マスクとして応答で使用します。


) 適応型セキュリティ アプライアンス DHCP サーバ デーモンは、適応型セキュリティ アプライアンス インターフェイスに直接接続されていないクライアントをサポートしません。


DHCP サーバ機能を適応型セキュリティ アプライアンスに実装する方法については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

次に、 dhcpd enable コマンドを使用して、内部インターフェイスの DHCP サーバをイネーブルにする例を示します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping_timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

debug dhcpd

DHCP サーバのデバッグ情報を表示します。

dhcpd address

指定したインターフェイスの DHCP サーバが使用するアドレス プールを指定します。

show dhcpd

DHCP のバインディング、統計情報、または状態情報を表示します。

show running-config dhcpd

現在の DHCP サーバ コンフィギュレーションを表示します。

dhcpd lease

DHCP リース期間を指定するには、グローバル コンフィギュレーション モードで dhcpd lease コマンドを使用します。リースのデフォルト値に戻すには、このコマンドの no 形式を使用します。

dhcpd lease lease_length [ interface if_name]

no dhcpd lease [ lease_length ] [ interface if_name]

 
構文の説明

interface if_name

サーバに入力した値を適用するインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。

lease_length

DHCP サーバから DHCP クライアントに与えられる、秒単位の IP アドレスのリース期間。有効な値は 300 ~ 1048575 秒です。

 
デフォルト

デフォルトの lease_length は 3600 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

dhcpd lease コマンドでは、DHCP クライアントに与えるリース期間を秒単位で指定できます。このリース期間は、DHCP サーバが割り当てた IP アドレスを DHCP クライアントが使用できる期間を示します。

no dhcpd lease コマンドでは、コンフィギュレーションから指定したリース期間を削除して、この値をデフォルト値の 3600 秒で置き換えます。

次に、 dhcpd lease コマンドを使用して、DHCP クライアントに指定する DHCP 情報のリース期間を指定する例を示します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping_timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside

 
関連コマンド

コマンド
説明

clear configure dhcpd

すべての DHCP サーバ設定を削除します。

show running-config dhcpd

現在の DHCP サーバ コンフィギュレーションを表示します。

dhcpd option

DHCP オプションを設定するには、グローバル コンフィギュレーション モードで dhcpd option コマンドを使用します。オプションをクリアするには、このコマンドの no 形式を使用します。

dhcpd option code { ascii string } | { ip IP_address [ IP_address ]} | { hex hex_string } [ interface if_name]

no dhcpd option code [ interface if_name]

 
構文の説明

ascii

オプション パラメータに ASCII 文字列を指定します。

code

設定されている DHCP オプションを表す番号。有効な値は、0 ~ 255 です(一部の値を除きます)。サポートされていない DHCP オプション コードの一覧については、以下の 項を参照してください。

hex

オプション パラメータに 16 進文字列を指定します。

hex_string

スペースのない偶数桁で 16 進文字列を指定します。0x プレフィクスを使用する必要はありません。

interface if_name

サーバに入力した値を適用するインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。

ip

オプション パラメータに IP アドレスを指定します。 ip キーワードでは、最大で 2 つの IP アドレスを指定できます。

IP_address

ドット付きの 10 進数で IP アドレスを指定します。

string

スペースのない ASCII 文字列を指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

dhcpd option コマンドを使用すると、TFTP サーバ情報を Cisco IP Phone およびルータに提供できます。

DHCP オプション要求が適応型セキュリティ アプライアンス DHCP サーバに到達すると、適応型セキュリティ アプライアンスは dhcpd option コマンドで指定した値をクライアントへの応答に設定します。

dhcpd option 66 および dhcpd option 150 コマンドは、Cisco IP Phone およびルータがコンフィギュレーション ファイルのダウンロードに使用できる TFTP サーバを指定します。次のようにコマンドを使用します。

dhcpd option 66 ascii string では、 string に TFTP サーバの IP アドレスまたはホスト名を入力します。オプション 66 には、TFTP サーバを 1 つだけ指定できます。

dhcpd option 150 ip IP_address [ IP_address ] では、 IP_address に TFTP サーバの IP アドレスを入力します。オプション 150 には、最大 2 つの IP アドレスを指定できます。


dhcpd option 66 コマンドは ascii パラメータのみを使用します。また、dhcpd option 150 コマンドは ip パラメータのみを使用します。


dhcpd option 66 | 150 コマンドに IP アドレスを指定するときには、次のガイドラインに従ってください。

TFTP サーバが DHCP サーバ インターフェイス上にある場合、TFTP サーバのローカル IP アドレスを使用します。

TFTP サーバが DHCP サーバ インターフェイスよりセキュリティが低いインターフェイス上にある場合、一般的な発信ルールが適用されます。DHCP クライアント用の NAT エントリ、グローバル エントリ、および access-list エントリのグループを作成し、TFTP サーバの実際の IP アドレスを使用します。

TFTP サーバがセキュリティの高いインターフェイス上にある場合、一般的な着信ルールが適用されます。TFTP サーバ用のスタティック文および access-list ステートメントのグループを作成し、TFTP サーバのグローバル IP アドレスを使用します。

その他の DHCP オプションについては、RFC 2132 を参照してください。


) セキュリティ アプライアンスは、ユーザが指定したオプション タイプおよび値が RFC 2132 で規定されているオプション コードのタイプおよび値と一致していることを検証しません。たとえば、dhcpd option 46 ascii hello と入力すると、オプション 46 が RFC 2132 では 1 桁の 16 進数の値として規定されているにもかかわらず、セキュリティ アプライアンスはコンフィギュレーションを受け入れます。


dhcpd option コマンドでは、次の DHCP オプションを設定できません。

 

オプション コード
説明

0

DHCPOPT_PAD

1

HCPOPT_SUBNET_MASK

12

DHCPOPT_HOST_NAME

50

DHCPOPT_REQUESTED_ADDRESS

51

DHCPOPT_LEASE_TIME

52

DHCPOPT_OPTION_OVERLOAD

53

DHCPOPT_MESSAGE_TYPE

54

DHCPOPT_SERVER_IDENTIFIER

58

DHCPOPT_RENEWAL_TIME

59

DHCPOPT_REBINDING_TIME

61

DHCPOPT_CLIENT_IDENTIFIER

67

DHCPOPT_BOOT_FILE_NAME

82

DHCPOPT_RELAY_INFORMATION

255

DHCPOPT_END

次に、DHCP オプション 66 に TFTP サーバを指定する例を示します。

hostname(config)# dhcpd option 66 ascii MyTftpServer
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

すべての DHCP サーバ設定を削除します。

show running-config dhcpd

現在の DHCP サーバ コンフィギュレーションを表示します。

dhcpd ping_timeout

DHCP ping のデフォルト タイムアウトを変更するには、グローバル コンフィギュレーション モードで dhcpd ping_timeout コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。アドレスの競合を避けるため、DHCP クライアントにアドレスを割り当てる前に DHCP サーバは 2 つの ICMP ping パケットをアドレスに送信します。このコマンドは ping タイムアウトをミリ秒単位で指定します。

dhcpd ping_timeout number [ interface if_name]

no dhcpd ping_timeout [ interface if_name]

 
構文の説明

interface if_name

サーバに入力した値を適用するインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。

number

ping のタイムアウト値(ミリ秒単位)。最小値は 10、最大値は 10000 です。デフォルトは 50 です。

 
デフォルト

number のデフォルトのミリ秒数は 50 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

適応型セキュリティ アプライアンスは、DHCP クライアントに IP アドレスを割り当てる前に、両方の ICMP ping パケットのタイムアウトを待ちます。たとえば、デフォルト値が使用されている場合、適応型セキュリティ アプライアンスは IP アドレスを割り当てる前に 1500 ミリ秒(各 ICMP ping パケットにつき 750 ミリ秒)待ちます。

長い ping タイムアウト値は、DHCP サーバのパフォーマンスに悪影響を及ぼす可能性があります。

次に、 dhcpd ping_timeout コマンドを使用して、DHCP サーバの ping タイムアウト値を変更する例を示します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping_timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

すべての DHCP サーバ設定を削除します。

show running-config dhcpd

現在の DHCP サーバ コンフィギュレーションを表示します。

dhcpd update dns

DHCP サーバによるダイナミック DNS 更新の実行をイネーブルにするには、グローバル コンフィギュレーション モードで dhcpd update dns コマンドを使用します。DHCP サーバで DDNS をディセーブルにするには、このコマンドの no 形式を使用します。

dhcpd update dns [both] [override] [interface srv_ifc_name ]

no dhcpd update dns [both] [override] [interface srv_ifc_name ]

 
構文の説明

both

DHCP サーバが A リソース レコードと PTR DNS RR の両方を更新するように指定します。

interface

DDNS 更新を適用する適応型セキュリティ アプライアンス インターフェイスを指定します。

override

DHCP サーバが DHCP クライアントの要求を上書きするように指定します。

srv_ifc_name

このオプションを適用するインターフェイスを指定します。

 
デフォルト

デフォルトでは、DHCP サーバは PTR RR 更新のみを実行します。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

DDNS は、DNS で保持されている名前/アドレスおよびアドレス/名前のマッピングを更新します。更新は DHCP サーバと連携して実行されます。 dhcpd update dns コマンドはサーバによる更新をイネーブルにします。

名前とアドレスのマッピングは 2 種類の RR に含まれます。

A リソース レコードには、ドメイン名から IP アドレスへのマッピングが含まれます。

PTR リソース レコードには、IP アドレスからドメイン名へのマッピングが含まれます。

DDNS アップデートを使用して、A RR タイプと PTR RR タイプとの間で一貫した情報を保持できます。

dhcpd update dns コマンドを使用すると、DHCP サーバが A レコードと PTR RR の両方の更新を実行するか、または PTR RR の更新のみを実行するかを設定できます。DHCP クライアントからの更新要求を上書きするように設定することもできます。

次に、A リソース レコードと PTR RR の両方の更新を実行し、DHCP クライアントからの要求を上書きするように DDNS サーバを設定する例を示します。

hostname(config)# dhcpd update dns both override
 

 
関連コマンド

コマンド
説明

ddns(DDNS アップデート方式モード)

作成済みの DDNS 方式に対して、DDNS アップデート方式のタイプを指定します。

ddns update(インターフェイス コンフィギュレーション モード)

DDNS アップデート方式を適応型セキュリティ アプライアンスのインターフェイスまたは DDNS アップデート ホスト名に関連付けます。

ddns update method(グローバル コンフィギュレーション モード)

DNS のリソース レコードをダイナミックにアップデートするための方式を作成します。

dhcp-client update dns

DHCP クライアントが DHCP サーバに渡すアップデート パラメータを設定します。

interval maximum

DDNS アップデート方式によるアップデート試行の最大間隔を設定します。

dhcpd wins

DHCP クライアントに対する WINS サーバを定義するには、グローバル コンフィギュレーション モードで dhcpd wins コマンドを使用します。DHCP サーバから WINS サーバを削除するには、このコマンドの no 形式を使用します。

dhcpd wins server1 [server2] [ interface if_name]

no dhcpd wins [ server1 [ server2 ]] [ interface if_name]

 
構文の説明

interface if_name

サーバに入力した値を適用するインターフェイスを指定します。インターフェイスを指定しない場合、値はすべてのサーバに適用されます。

server1

プライマリの Microsoft NetBIOS ネーム サーバ(WINS サーバ)の IP アドレスを指定します。

server2

(任意)代替の Microsoft NetBIOS ネーム サーバ(WINS サーバ)の IP アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

dhcpd wins コマンドでは、DHCP クライアントに対する WINS サーバのアドレスを指定できます。 no dhcpd wins コマンドは、コンフィギュレーションから WINS サーバの IP アドレスを削除します。

次に、dhcpd wins コマンドを使用して、DHCP クライアントに送信する WINS サーバ情報を指定する例を示します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 198.162.1.2 198.162.1.3
hostname(config)# dhcpd wins 198.162.1.4
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd ping_timeout 1000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

 
関連コマンド

コマンド
説明

clear configure dhcpd

すべての DHCP サーバ設定を削除します。

dhcpd address

指定したインターフェイスの DHCP サーバが使用するアドレス プールを指定します。

dhcpd dns

DHCP クライアントに対する DNS サーバを定義します。

show dhcpd

DHCP のバインディング、統計情報、または状態情報を表示します。

show running-config dhcpd

現在の DHCP サーバ コンフィギュレーションを表示します。

dhcprelay enable

DHCP リレー エージェントをイネーブルにするには、グローバル コンフィギュレーション モードで dhcprelay enable コマンドを使用します。DHCP リレー エージェントをディセーブルにするには、このコマンドの no 形式を使用します。DHCP リレー エージェントでは、指定した適応型セキュリティ アプライアンス インターフェイスから指定した DHCP サーバに DHCP 要求を転送できます。

dhcprelay enable interface_name

no dhcprelay enable interface_name

 
構文の説明

interface_name

DHCP リレー エージェントがクライアント要求を受信するインターフェイス名。

 
デフォルト

DHCP リレー エージェントはディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

dhcprelay enable interface_name コマンドによって適応型セキュリティ アプライアンスが DHCP リレー エージェントを開始するには、 dhcprelay server コマンドがすでにコンフィギュレーションに存在する必要があります。コマンドが存在しない場合、適応型セキュリティ アプライアンスは次のようなエラー メッセージを表示します。

DHCPRA: Warning - There are no DHCP servers configured!
No relaying can be done without a server!
Use the 'dhcprelay server <server_ip> <server_interface>' command
 

次のような場合は、DHCP リレーをイネーブルにできません。

同じインターフェイス上で DHCP リレーと DHCP リレー サーバをイネーブルにできません。

同じインターフェイス上で DHCP リレーと DHCP サーバ( dhcpd enable )をイネーブルにできません。

1 つのコンテキスト内で DHCP サーバと同時に DHCP リレーをイネーブルにできません。

マルチ コンテキスト モードでは、複数のコンテキスト(共有 VLAN)で使用されているインターフェイス上で DHCP リレーをイネーブルにできません。

no dhcprelay enable interface_name コマンドは、 interface_name で指定したインターフェイスの DHCP リレー エージェント コンフィギュレーションのみを削除します。

次に、IP アドレス 10.1.1.1 が設定されている DHCP サーバに対する DHCP リレー エージェントを適応型セキュリティ アプライアンスの外部インターフェイスに設定し、クライアント要求を適応型セキュリティ アプライアンスの内部インターフェイスに設定して、タイムアウト値を 90 秒に設定する例を示します。

hostname(config)# dhcprelay server 10.1.1.1 outside
hostname(config)# dhcprelay timeout 90
hostname(config)# dhcprelay enable inside
hostname(config)# show running-config dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay enable inside
dhcprelay timeout 90
 

次に、DHCP リレー エージェントをディセーブルにする例を示します。

hostname(config)# no dhcprelay enable inside
hostname(config)# show running-config dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay timeout 90
 

 
関連コマンド

コマンド
説明

clear configure dhcprelay

DHCP リレー エージェントの設定をすべて削除します。

debug dhcp relay

DHCP リレー エージェントのデバッグ情報を表示します。

dhcprelay server

DHCP リレー エージェントが DHCP 要求の転送先にする DHCP サーバを指定します。

dhcprelay setroute

DHCP リレー エージェントが DHCP 応答でデフォルト ルータ アドレスとして使用する IP アドレスを定義します。

show running-config dhcprelay

DHCP リレー エージェントの現在のコンフィギュレーションを表示します。

dhcprelay server

DHCP 要求が転送される DHCP サーバを指定するには、グローバル コンフィギュレーション モードで dhcpreplay server コマンドを使用します。DHCP リレー コンフィギュレーションから DHCP サーバを削除するには、このコマンドの no 形式を使用します。DHCP リレー エージェントでは、指定した適応型セキュリティ アプライアンス インターフェイスから指定した DHCP サーバに DHCP 要求を転送できます。

dhcprelay server IP_address interface_name

no dhcprelay server IP_address [ interface_name ]

 
構文の説明

interface_name

DHCP サーバが存在する適応型セキュリティ アプライアンス インターフェイス名。

IP_address

DHCP リレー エージェントがクライアント DHCP 要求の転送先にする DHCP サーバの IP アドレス。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

インターフェイスあたり最大 4 つの DHCP リレー サーバを追加できます。ただし、適応型セキュリティ アプライアンスに設定できる DHCP リレー サーバは全体で 10 個までに制限されています。 dhcprelay enable コマンドを入力する前に、適応型セキュリティ アプライアンス コンフィギュレーションに少なくとも 1 つの dhcprelay server コマンドを追加する必要があります。DHCP リレー サーバが設定されているインターフェイスには、DHCP クライアントを設定できません。

dhcprelay server コマンドは、指定したインターフェイスの UDP ポート 67 を開いて、 dhcprelay enable コマンドがコンフィギュレーションに追加されるとすぐに DHCP リレー タスクを開始します。

no dhcprelay server IP_address [ interface_name ] コマンドを使用すると、インターフェイスはサーバへの DHCP パケットの転送を停止します。

no dhcprelay server IP_address [ interface_name ] コマンドは、 IP_address [ interface_name ] で指定した DHCP サーバに対する DHCP リレー エージェント コンフィギュレーションのみを削除します。

次に、IP アドレス 10.1.1.1 が設定されている DHCP サーバに対する DHCP リレー エージェントを適応型セキュリティ アプライアンスの外部インターフェイスに設定し、クライアント要求を適応型セキュリティ アプライアンスの内部インターフェイスに設定して、タイムアウト値を 90 秒に設定する例を示します。

hostname(config)# dhcprelay server 10.1.1.1 outside
hostname(config)# dhcprelay timeout 90
hostname(config)# dhcprelay enable inside
hostname(config)# show running-config dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay enable inside
dhcprelay timeout 90
 

 
関連コマンド

コマンド
説明

clear configure dhcprelay

DHCP リレー エージェントの設定をすべて削除します。

dhcprelay enable

指定したインターフェイスで、DHCP リレー エージェントをイネーブルにします。

dhcprelay setroute

DHCP リレー エージェントが DHCP 応答でデフォルト ルータ アドレスとして使用する IP アドレスを定義します。

dhcprelay timeout

DHCP リレー エージェントのタイムアウト値を指定します。

show running-config dhcprelay

DHCP リレー エージェントの現在のコンフィギュレーションを表示します。

dhcprelay setroute

DHCP 応答にデフォルト ゲートウェイ アドレスを設定するには、グローバル コンフィギュレーション モードで dhcprelay setroute コマンドを使用します。デフォルト ルータを削除するには、このコマンドの no 形式を使用します。このコマンドを使用すると、DHCP 応答のデフォルト IP アドレスは、指定した適応型セキュリティ アプライアンス インターフェイスのアドレスに置き換えられます。

dhcprelay setroute interface

no dhcprelay setroute interface

 
構文の説明

interface

(DHCP サーバから送信されるパケット内に記載された)最初のデフォルト IP アドレスを interface のアドレスに変更するように DHCP リレー エージェントを設定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

dhcprelay setroute interface コマンドでは、DHCP リレー エージェントが(DHCP サーバから送信されるパケット内にある)最初のデフォルト ルータ アドレスを interface のアドレスに変更できるようにします。

パケット内にデフォルト ルータ オプションがない場合、適応型セキュリティ アプライアンスは interface のアドレスを含むデフォルト ルータ オプションを追加します。この動作により、クライアントのデフォルト ルートが適応型セキュリティ アプライアンスを指すように設定できます。

dhcprelay setroute interface コマンドを設定しない場合(かつパケット内にデフォルト ルータ オプションがある場合)、パケットはルータ アドレスが変更されずに適応型セキュリティ アプライアンスを通過します。

次に、 dhcprelay setroute コマンドを使用して、DHCP 応答のデフォルト ゲートウェイを外部 DHCP サーバから適応型セキュリティ アプライアンスの内部インターフェイスに設定する例を示します。

hostname(config)# dhcprelay server 10.1.1.1 outside
hostname(config)# dhcprelay timeout 90
hostname(config)# dhcprelay setroute inside
hostname(config)# dhcprelay enable inside
 

 

 
関連コマンド

コマンド
説明

clear configure dhcprelay

DHCP リレー エージェントの設定をすべて削除します。

dhcprelay enable

指定したインターフェイスで、DHCP リレー エージェントをイネーブルにします。

dhcprelay server

DHCP リレー エージェントが DHCP 要求の転送先にする DHCP サーバを指定します。

dhcprelay timeout

DHCP リレー エージェントのタイムアウト値を指定します。

show running-config dhcprelay

DHCP リレー エージェントの現在のコンフィギュレーションを表示します。

dhcprelay timeout

DHCP リレー エージェントのタイムアウト値を設定するには、グローバル コンフィギュレーション モードで dhcprelay timeout コマンドを使用します。タイムアウト値をデフォルト値に戻すには、このコマンドの no 形式を使用します。

dhcprelay timeout seconds

no dhcprelay timeout

 
構文の説明

seconds

DHCP リレー アドレスのネゴシエーションに許容される秒数を指定します。

 
デフォルト

dhcprelay timeout のデフォルト値は 60 秒です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

dhcprelay timeout コマンドでは、DHCP サーバからの応答を DHCP クライアントにリレー バインディング構造で渡すために許容されている時間を秒単位で設定できます。

次に、IP アドレス 10.1.1.1 が設定されている DHCP サーバに対する DHCP リレー エージェントを適応型セキュリティ アプライアンスの外部インターフェイスに設定し、クライアント要求を適応型セキュリティ アプライアンスの内部インターフェイスに設定して、タイムアウト値を 90 秒に設定する例を示します。

hostname(config)# dhcprelay server 10.1.1.1 outside
hostname(config)# dhcprelay timeout 90
hostname(config)# dhcprelay enable inside
hostname(config)# show running-config dhcprelay
dhcprelay server 10.1.1.1 outside
dhcprelay enable inside
dhcprelay timeout 90
 

 
関連コマンド

コマンド
説明

clear configure dhcprelay

DHCP リレー エージェントの設定をすべて削除します。

dhcprelay enable

指定したインターフェイスで、DHCP リレー エージェントをイネーブルにします。

dhcprelay server

DHCP リレー エージェントが DHCP 要求の転送先にする DHCP サーバを指定します。

dhcprelay setroute

DHCP リレー エージェントが DHCP 応答でデフォルト ルータ アドレスとして使用する IP アドレスを定義します。

show running-config dhcprelay

DHCP リレー エージェントの現在のコンフィギュレーションを表示します。

dialog

WebVPN ユーザに表示されるダイアログ メッセージをカスタマイズするには、webvpn カスタマイゼーション コンフィギュレーション モードで dialog コマンドを使用します。コンフィギュレーションからコマンドを削除して、値が継承されるようにするには、このコマンドの no 形式を使用します。

dialog { title | message | border } style value

no dialog { title | message | border } style v alue

 
構文の説明

border

ボーダーを変更することを指定します。

message

メッセージを変更することを指定します。

style

スタイルを変更することを指定します。

title

タイトルを変更することを指定します。

value

実際に表示するテキスト(最大 256 文字)、または CSS パラメータ(最大 256 文字)です。

 
デフォルト

デフォルトのタイトルのスタイルは、background-color:#669999;color:white です。

デフォルトのメッセージのスタイルは、background-color:#99CCCC;color:black です。

デフォルトのボーダーのスタイルは、border:1px solid black;border-collapse:collapse です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn カスタマイゼーション コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

style オプションは、任意の有効な CSS パラメータとして表されます。これらのパラメータについては、このマニュアルでは説明しません。CSS パラメータの詳細については、World Wide Web Consortium の Web サイト(www.w3.org)の CSS 仕様を参照してください。『CSS 2.1 Specification』の「Appendix F」には、CSS パラメータの使いやすいリストがあります。この付録は www.w3.org/TR/CSS21/propidx.html で入手できます。

ここでは、WebVPN ページに対する変更で最もよく行われるページの配色を変更するためのヒントを紹介します。

カンマ区切りの RGB 値、HTML の色値、または色の名前(HTML で認識される場合)を使用できます。

RGB 形式は 0,0,0 で、各色(赤、緑、青)を 0 ~ 255 の範囲の 10 進値で入力します。このカンマ区切りのエントリは、他の 2 色と組み合わせる各色の明度レベルを示します。

HTML 形式は #000000 で、16 進形式の 6 桁の数値です。先頭と 2 番めは赤を、3 番めと 4 番めは緑を、5 番めと 6 番めは青を表しています。


) WebVPN ページを簡単にカスタマイズするには、ASDM を使用することを推奨します。ASDM には、色見本やプレビュー機能など、スタイルの要素を設定するための便利な機能があります。


次に、ダイアログ メッセージをカスタマイズして、最前面のカラーを青に変更する例を示します。

F1-asa1(config)# webvpn
F1-asa1(config-webvpn)# customization cisco
F1-asa1(config-webvpn-custom)# dialog message style color:blue

 
関連コマンド

コマンド
説明

application-access

WebVPN ホームページの [Application Access] ボックスをカスタマイズします。

browse-networks

WebVPN ホームページの [Browse Networks] ボックスをカスタマイズします。

web-bookmarks

WebVPN ホームページの [Web Bookmarks] タイトルまたはリンクをカスタマイズします。

file-bookmarks

WebVPN ホームページの [File Bookmarks] タイトルまたはリンクをカスタマイズします。

dir

ディレクトリの内容を表示するには、特権 EXEC モードで dir コマンドを使用します。

dir [ /all ] [ all-filesystems ] [/recursive] [ flash: | system:] [ path ]

 
構文の説明

/all

(任意)すべてのファイルを表示します。

/recursive

(任意)ディレクトリの内容を再帰的に表示します。

all-filesystems

(任意)すべてのファイル システムのファイルを表示します。

disk0:

(任意)内部フラッシュ メモリを指定し、続けてコロンを入力します。

disk1:

(任意)外部フラッシュ メモリ カードを指定し、続けてコロンを入力します。

flash:

(任意)デフォルト フラッシュ パーティションのディレクトリの内容を表示します。

path

(任意)特定のパスを指定します。

system:

(任意)ファイル システムのディレクトリの内容を表示します。

 
デフォルト

ディレクトリを指定しない場合、ディレクトリはデフォルトで現在の作業ディレクトリになります。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

キーワードまたは引数を指定せずに dir コマンドを使用すると、現在のディレクトリの内容が表示されます。

次に、ディレクトリの内容を表示する例を示します。

hostname# dir
Directory of disk0:/
 
1 -rw- 1519 10:03:50 Jul 14 2003 my_context.cfg
2 -rw- 1516 10:04:02 Jul 14 2003 my_context.cfg
3 -rw- 1516 10:01:34 Jul 14 2003 admin.cfg
60985344 bytes total (60973056 bytes free)
 

次に、すべてのファイル システムの内容を再帰的に表示する例を示します。

hostname# dir /recursive disk0:
Directory of disk0:/*
1 -rw- 1519 10:03:50 Jul 14 2003 my_context.cfg
2 -rw- 1516 10:04:02 Jul 14 2003 my_context.cfg
3 -rw- 1516 10:01:34 Jul 14 2003 admin.cfg
60985344 bytes total (60973056 bytes free)

 
関連コマンド

コマンド
説明

cd

現在の作業ディレクトリから、指定したディレクトリに変更します。

pwd

現在の作業ディレクトリを表示します。

mkdir

ディレクトリを作成します。

rmdir

ディレクトリを削除します。

disable

特権 EXEC モードを終了して非特権 EXEC モードに戻るには、特権 EXEC モードで disable コマンドを使用します。

disable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

特権モードを開始するには、 enable コマンドを使用します。 disable コマンドを使用すると、特権モードを終了し、非特権モードに戻ることができます。

次に、特権モードを開始する例を示します。

hostname> enable
hostname#
 

次に、特権モードを終了する例を示します。

hostname# disable
hostname>

 
関連コマンド

コマンド
説明

enable

特権 EXEC モードをイネーブルにします。

disable(キャッシュ)

WebVPN のキャッシュをディセーブルにするには、キャッシュ コンフィギュレーション モードで disable コマンドを使用します。キャッシュを再びイネーブルにするには、このコマンドの no 形式を使用します。

disable

no disable

 
デフォルト

各キャッシュ アトリビュートのデフォルト設定では、キャッシュはイネーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力するモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

キャッシュ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

キャッシングでは、頻繁に再利用されるオブジェクトがシステム キャッシュに格納されます。その結果、コンテンツのリライトや圧縮を反復実行する必要性が低下します。キャッシングにより、WebVPN とリモート サーバおよびエンド ユーザのブラウザの両方の間のトラフィックが削減されて、多くのアプリケーションの実行効率が大幅に向上されます。

次に、キャッシュをディセーブルにし、その後再びイネーブルにする例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# cache
hostname(config-webvpn-cache)# disable
hostname(config-webvpn-cache)# no disable
hostname(config-webvpn-cache)#

 
関連コマンド

コマンド
説明

cache

WebVPN キャッシュ モードを開始します。

cache-compressed

WebVPN キャッシュの圧縮を設定します。

expiry-time

オブジェクトを再検証せずにキャッシュする有効期限を設定します。

lmfactor

最終変更時刻のタイムスタンプだけを持つオブジェクトのキャッシュに関する再確認ポリシーを設定します。

max-object-size

キャッシュするオブジェクトの最大サイズを定義します。

min-object-size

キャッシュするオブジェクトの最小サイズを定義します。

disable service-settings

Phone Proxy 機能を使用する際に IP 電話のサービス設定をディセーブルにするには、Phone-Proxy コンフィギュレーション モードで disable service-settings コマンドを使用します。IP 電話の設定を保持するには、このコマンドの no 形式を使用します。

disable service-settings

no disable service-settings

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

サービス設定は、デフォルトではディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

Phone-Proxy コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(4)

このコマンドが追加されました。

 
使用上のガイドライン

デフォルトでは、次のような設定が IP 電話でディセーブルになっています。

PC Port

gratuitous ARP

音声 VLAN アクセス

Web Access

PC Port へのスパン

設定された各 IP 電話の CUCM 上に設定されている設定を保持するには、 no disable service-settings コマンドを設定します。

次に、 disable service-settings コマンドを使用して、ASA の Phone Proxy 機能を使用する IP 電話の設定を保持する例を示します。

hostname(config-phone-proxy)# no disable service-settings
 

 
関連コマンド

コマンド
説明

phone-proxy

Phone Proxy インスタンスを設定します。

show phone-proxy

Phone Proxy 固有の情報を表示します。

display

適応型セキュリティ アプライアンスが DAP アトリビュート データベースに書き込むアトリビュート値のペアを表示するには、DAP テスト アトリビュート モードで display コマンドを入力します。

display

 
コマンド デフォルト

デフォルトの値や動作はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

DAP テスト アトリビュート

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

通常、適応型セキュリティ アプライアンスは AAA サーバからユーザ認可アトリビュートを取得し、Cisco Secure Desktop、Host Scan、CNA または NAC からエンドポイント アトリビュートを取得します。test コマンドの場合、ユーザ認可アトリビュートとエンドポイント アトリビュートをこのアトリビュート モードで指定します。適応型セキュリティ アプライアンスは、これらのアトリビュートを、DAP サブシステムが DAP レコードの AAA 選択アトリビュートおよびエンドポイント選択アトリビュートを評価するときに参照するアトリビュート データベースに書き込みます。 display コマンドでは、これらのアトリビュートをコンソールに表示できます。

 
関連コマンド

コマンド
説明

attributes

アトリビュート値のペアを設定できるアトリビュート モードを開始します。

dynamic-access-policy-record

DAP レコードを作成します。

test dynamic-access-policy attributes

アトリビュート サブモードを開始します。

test dynamic-access-policy execute

DAP を生成するロジックを実行し、生成されたアクセス ポリシーをコンソールに表示します。

distance eigrp

内部 EIGRP ルートおよび外部 EIGRP ルートのアドミニストレーティブ ディスタンスを設定するには、ルータ コンフィギュレーション モードで distance eigrp コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

distance eigrp internal-distance external-distance

no distance eigrp

 
構文の説明

external-distance

EIGRP 外部ルートのアドミニストレーティブ ディスタンス。外部ルートは、ネイバー外部システムから自律システムに対して最適パスが学習されるルートです。有効な値は、1 ~ 255 です。

internal-distance

EIGRP 内部ルートのアドミニストレーティブ ディスタンス。内部ルートは、同一の自律システム内の別のエンティティから学習するルートです。有効な値は、1 ~ 255 です。

 
デフォルト

デフォルト値は次のとおりです。

external-distance は 170 です。

internal-distance は 90 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

すべてのルーティング プロトコルは他のルーティング プロトコルとは異なるアルゴリズムに基づいたメトリックを持っているため、異なるルーティング プロトコルから生成された、同じ宛先に向かう 2 つのルートに対して常に「最適パス」を決定できるわけではありません。アドミニストレーティブ ディスタンスは、適応型セキュリティ アプライアンスが 2 つの異なるルーティング プロトコルから生成された、同じ宛先に向かう 2 つ以上の異なるルートが存在する場合に最適パスの選択に使用するルート パラメータです。

複数のルーティング プロトコルが適応型セキュリティ アプライアンスで実行されている場合、 distance eigrp コマンドを使用して、他のルーティング プロトコルに対して EIGRP ルーティング プロトコルで検出されるルートのデフォルト アドミニストレーティブ ディスタンスを調整できます。 表 10-1 では、適応型セキュリティ アプライアンスでサポートされているルーティング プロトコルのデフォルト アドミニストレーティブ ディスタンスの一覧を示します。

 

表 10-1 デフォルト アドミニストレーティブ ディスタンス

ルート送信元
デフォルト アドミニストレーティブ ディスタンス

接続されたインターフェイス

0

スタティック ルート

1

EIGRP 集約ルート

5

内部 EIGRP

90

OSPF

110

RIP

120

EIGRP 外部ルート

170

不明

255

このコマンドの no 形式はキーワードまたは引数を使用しません。このコマンドの no 形式を使用すると、内部 EIGRP ルートと外部 EIGRP ルートの両方のデフォルト アドミニストレーティブ ディスタンスを復元します。

次に、 distance eigrp コマンドを使用して、すべての EIGRP 内部ルートのアドミニストレーティブ ディスタンスを 80 に設定し、すべての EIGRP 外部ルートのアドミニストレーティブ ディスタンスを 115 に設定する例を示します。EIGRP 外部ルートのアドミニストレーティブ ディスタンスを 115 に設定することで、RIP で検出されたルートに比べて(OSPF は対象外)、EIGRP で検出された同一のルートに特定の宛先プリファレンスを与えます。

hostname(config)# router eigrp 100
hostname(config-router)# network 192.168.7.0
hostname(config-router)# network 172.16.0.0
hostname(config-router)# distance eigrp 90 115
 

 
関連コマンド

コマンド
説明

router eigrp

EIGRP ルーティング プロセスを作成し、このプロセスのコンフィギュレーション モードを開始します。

distance ospf

ルート タイプに基づいて OSPF ルートのアドミニストレーティブ ディスタンスを定義するには、ルータ コンフィギュレーション モードで distance ospf コマンドを使用します。デフォルト値に戻すには、このコマンドの no 形式を使用します。

distance ospf [ intra-area d1 ] [ inter-area d2 ] [ external d3 ]

no distance ospf

 
構文の説明

d1 d2 、および d3

各ルート タイプのディスタンス。有効な値の範囲は 1 ~ 255 です。

external

(任意)別のルーティング ドメインから再配布により学習したルートのディスタンスを設定します。

inter-area

(任意)エリア間のすべてのルートのディスタンスを設定します。

intra-area

(任意)エリア内のすべてのルートのディスタンスを設定します。

 
デフォルト

d1 d2 、および d3 のデフォルト値は 110 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

少なくとも 1 つのキーワードおよび引数を指定する必要があります。各タイプのアドミニストレーティブ ディスタンスに対して、個別にコマンドを入力できます。ただし、コンフィギュレーションでは、1 つのコマンドとして表示されます。アドミニストレーティブ ディスタンスを再入力した場合、指定したルート タイプのアドミニストレーティブ ディスタンスのみが変更されます。他のルート タイプのアドミニストレーティブ ディスタンスは影響を受けません。

このコマンドの no 形式はキーワードまたは引数を使用しません。このコマンドの no 形式を使用すると、すべてのルート タイプのデフォルト アドミニストレーティブ ディスタンスを復元します。複数のルート タイプを設定している場合に 1 つのルート タイプのデフォルト アドミニストレーティブ ディスタンスを復元する場合、次のいずれか 1 つを実行します。

対象のルート タイプを手動でデフォルト値に設定する。

このコマンドの no 形式を使用し、コンフィギュレーション全体を削除して、維持するルート タイプのコンフィギュレーションを再入力する。

次に、外部ルートのアドミニストレーティブ ディスタンスを 150 に設定する例を示します。

hostname(config-router)# distance ospf external 105
hostname(config-router)#
 

次に、各ルート タイプに個別でコマンドを入力すると、ルータ コンフィギュレーションで 1 つのコマンドとして表示される例を示します。

hostname(config-router)# distance ospf intra-area 105 inter-area 105
hostname(config-router)# distance ospf intra-area 105
hostname(config-router)# distance ospf external 105
hostname(config-router)# exit
hostname(config)# show running-config router ospf 1
!
router ospf 1
distance ospf intra-area 105 inter-area 105 external 105
!
hostname(config)#
 

次に、各アドミニストレーティブ ディスタンスを 105 に設定して、その後外部アドミニストレーティブ ディスタンスのみ 150 に変更する例を示します。 show running-config router ospf コマンドを使用することで、外部ルート タイプの値のみが変更され、他のルート タイプは以前設定した値を保持していることが確認できます。

hostname(config-router)# distance ospf external 105 intra-area 105 inter-area 105
hostname(config-router)# distance ospf external 150
hostname(config-router)# exit
hostname(config)# show running-config router ospf 1
!
router ospf 1
distance ospf intra-area 105 inter-area 105 external 150
!
hostname(config)#

 
関連コマンド

コマンド
説明

router ospf

ルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

distribute-list in

ルーティング アップデートで受信するネットワークをフィルタリングするには、ルータ コンフィギュレーション モードで distribute-list in コマンドを使用します。フィルタリングを削除するには、このコマンドの no 形式のコマンドを使用します。

distribute-list acl in [ interface if_name ]

no distribute-list acl in [ interface if_name ]

 
構文の説明

acl

標準アクセス リスト名。

if_name

(任意) nameif コマンドで指定したインターフェイス名。インターフェイスを指定すると、指定したインターフェイスで受信するルーティング アップデートのみにアクセス リストが適用されます。

 
デフォルト

着信アップデートに対して、ネットワークはフィルタリングされません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

インターフェイスが指定されていない場合、アクセス リストはすべての着信アップデートに適用されます。

次に、外部インターフェイスで受信した RIP ルーティング アップデートをフィルタリングする例を示します。この例では、10.0.0.0 ネットワークのルートを受け入れ、他のすべてのルートを廃棄します。

hostname(config)# access-list ripfilter permit 10.0.0.0
hostname(config)# access-list ripfilter deny any
hostname(config)# router rip
hostname(config-router)# network 10.0.0.0
hostname(config-router)# distribute-list ripfilter in interface outside
 

次に、外部インターフェイスで受信した EIGRP ルーティング アップデートをフィルタリングする例を示します。この例では、10.0.0.0 ネットワークのルートを受け入れ、他のすべてのルートを廃棄します。

hostname(config)# access-list eigrp_filter permit 10.0.0.0
hostname(config)# access-list eigrp_filter deny any
hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# distribute-list eigrp_filter in interface outside
 

 
関連コマンド

コマンド
説明

distribute-list out

ルーティング アップデートでアドバタイズする情報から、ネットワークをフィルタリングします。

router eigrp

EIGRP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。

router rip

RIP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

distribute-list out

ルーティング アップデートで送信する情報から特定のネットワークをフィルタリングするには、ルータ コンフィギュレーション モードで distribute-list out コマンドを使用します。フィルタリングを削除するには、このコマンドの no 形式のコマンドを使用します。

distribute-list acl out [ interface if_name | eigrp as_number | rip | ospf pid | static | connected ]

no distribute-list acl out [ interface if_name | eigrp as_number | rip | ospf pid | static | connected ]

 
構文の説明

acl

標準アクセス リスト名。

connected

(任意)接続されたルートのみフィルタリングします。

eigrp as_number

(任意)指定した自律システム番号からの EIGRP ルートのみをフィルタリングします。 as_number は、適応型セキュリティ アプライアンスの EIGRP ルーティング プロセスの自律システム番号です。

interface if_name

(任意) nameif コマンドで指定したインターフェイス名。インターフェイスを指定すると、指定したインターフェイスから送信するルーティング アップデートのみにアクセス リストが適用されます。

ospf pid

(任意)指定した OSPF プロセスで検出された OSPF ルートのみをフィルタリングします。

rip

(任意)RIP ルートのみフィルタリングします。

static

(任意)スタティック ルートのみフィルタリングします。

 
デフォルト

送信するアップデートに対して、ネットワークはフィルタリングされません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

ルータ コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

8.0(2)

eigrp キーワードが追加されました。

 
使用上のガイドライン

インターフェイスが指定されていない場合、アクセス リストはすべての発信アップデートに適用されます。

次に、すべてのインターフェイスから送信される RIP アップデートで、10.0.0.0 ネットワークをアドバタイズしないようにする例を示します。

hostname(config)# access-list ripfilter deny 10.0.0.0
hostname(config)# access-list ripfilter permit any
hostname(config)# router rip
hostname(config-router)# network 10.0.0.0
hostname(config-router)# distribute-list ripfilter out
 

次に、EIGRP ルーティング プロセスが外部インターフェイスから 10.0.0.0 ネットワークをアドバタイズしないようにする例を示します。

hostname(config)# access-list eigrp_filter deny 10.0.0.0
hostname(config)# access-list eigrp_filter permit any
hostname(config)# router eigrp 100
hostname(config-router)# network 10.0.0.0
hostname(config-router)# distribute-list eigrp_filter out interface outside
 

 
関連コマンド

コマンド
説明

distribute-list in

ルーティング アップデートで受信するネットワークをフィルタリングします。

router eigrp

EIGRP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。

router rip

RIP ルーティング プロセスのルータ コンフィギュレーション モードを開始します。

show running-config router

グローバル ルータ コンフィギュレーションのコマンドを表示します。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにするには、グローバル コンフィギュレーション モードで dns domain-lookup コマンドを使用します。DNS ルックアップをディセーブルにするには、このコマンドの no 形式を使用します。

dns domain-lookup interface_name

no dns domain-lookup interface_name

 
構文の説明

interface_name

DNS ルックアップをイネーブルにするインターフェイスを指定します。複数のインターフェイスで DNS ルックアップをイネーブルにするために、このコマンドを複数回入力した場合、適応型セキュリティ アプライアンスは各インターフェイスから応答を受信するまで順番に試行します。

 
デフォルト

DNS ルックアップは、デフォルトではディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

dns name-server コマンドを使用して、DNS 要求を送信する DNS サーバ アドレスを設定します。DNS ルックアップをサポートするコマンドのリストについては、 dns name-server コマンドを参照してください。

適応型セキュリティ アプライアンスは、動的に学習したエントリで構成される名前解決のキャッシュを維持します。ホスト名/IP アドレスの変換が必要になるたびに外部 DNS サーバに問い合わせる代わりに、適応型セキュリティ アプライアンスは外部 DNS 要求から返される情報をキャッシュします。適応型セキュリティ アプライアンスはキャッシュに存在しない名前に対してのみ、DNS 要求を実行します。キャッシュ エントリは DNS レコードの期限切れ、または 72 時間後のいずれか早い方に合わせて自動的にタイムアウトします。

次に、内部インターフェイスで DNS ルックアップをイネーブルにする例を示します。

hostname(config)# dns domain-lookup inside
 

 
関連コマンド

コマンド
説明

dns name-server

DNS サーバ アドレスを設定します。

dns retries

適応型セキュリティ アプライアンスが応答を受信しないときに、DNS サーバのリストを再試行する回数を指定します。

dns timeout

次の DNS サーバを試行するまでに待機する時間を指定します。

domain-name

デフォルトのドメイン名を設定します。

show dns-hosts

DNS キャッシュを表示します。

dns-group(トンネル グループ webvpn コンフィギュレーション モード)

WebVPN トンネル グループに使用する DNS サーバを指定するには、トンネル グループ webvpn コンフィギュレーション モードで dns-group コマンドを使用します。デフォルトの DNS グループに戻すには、このコマンドの no 形式を使用します。

dns-group name

no dns-group

 
構文の説明

name

トンネル グループに使用する DNS サーバ グループ コンフィギュレーションの名前を指定します。

 
デフォルト

デフォルト値は DefaultDNS です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

トンネル グループ webvpn アトリビュート コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

名前には、任意の DNS グループを指定できます。dns-group コマンドは、トンネル グループの適切な DNS サーバに対して、ホスト名の解決を実行します。

dns server-group コマンドを使用して、DNS グループを設定します。

次に、「dnsgroup1」という名前の DNS グループの使用を指定するカスタマイゼーション コマンドの例を示します。

hostname(config)# tunnel-group test type webvpn
hostname(config)# tunnel-group test webvpn-attributes
hostname(config-tunnel-webvpn)# dns-group dnsgroup1
hostname(config-tunnel-webvpn)#

 
関連コマンド

コマンド
説明

clear configure dns

DNS コマンドをすべて削除します。

dns server-group

DNS サーバ グループを設定できる DNS サーバ グループ モードを開始します。

show running-config dns-server group

1 つまたはすべての既存の DNS サーバ グループ コンフィギュレーションを表示します。

tunnel-group webvpn-attributes

WebVPN トンネル グループ アトリビュートを設定する config-webvpn モードを開始します。

dns-guard

クエリーごとに 1 つの DNS 応答を強制する DNS ガード機能をイネーブルにするには、パラメータ コンフィギュレーション モードで dns-guard コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

dns-guard

no dns-guard

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

DNS ガードは、デフォルトでイネーブルになっています。この機能は、 policy-map type inspect dns を定義していなくても、 inspect dns を設定していれば、イネーブルにできます。ディセーブルにするには、ポリシー マップ コンフィギュレーションで no dns-guard が明示的に記述されている必要があります。 inspect dns が設定されていない場合、DNS ガードの動作は global dns-guard コマンドによって決定されます。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

パラメータ コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

DNS ヘッダーの ID フィールドは、DNS ヘッダーと DNS 応答を照合するために使用されます。セキュリティ アプライアンスでは、クエリーごとに 1 つの応答を返すことができます。

次に、DNS インスペクション ポリシー マップ内で DNS ガードをイネーブルにする例を示します。

hostname(config)# policy-map type inspect dns preset_dns_map
hostname(config-pmap)# parameters
hostname(config-pmap-p)# dns-guard
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

dns-server

プライマリ DNS サーバとセカンダリ DNS サーバの IP アドレスを設定するには、グループ ポリシー コンフィギュレーション モードで dns-server コマンドを使用します。実行コンフィギュレーションからアトリビュートを削除するには、このコマンドの no 形式を使用します。

dns-server { value ip_address [ ip_address ] | none }

no dns-server

 
構文の説明

none

dns-server をヌル値に設定することで、DNS サーバをすべて非許容にします。デフォルトのグループ ポリシーまたは指定されているグループ ポリシーから値を継承しないようにします。

value ip_address

プライマリ DNS サーバおよびセカンダリ DNS サーバの IP アドレスを指定します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

このオプションでは、別のグループ ポリシーから DNS サーバを継承できます。サーバを継承しないようにするには、 dns-server none コマンドを使用します。

dns-server コマンドを発行するたびに、既存の設定が上書きされます。たとえば、DNS サーバ x.x.x.x を設定し、その後 DNS サーバ y.y.y.y を設定した場合、2 番めのコマンドが最初のコマンドを上書きし、y.y.y.y が唯一の DNS サーバになります。複数のサーバを設定する場合も同様です。以前に設定したサーバを上書きせずに DNS サーバを追加するには、このコマンドを入力する際にすべての DNS サーバの IP アドレスを入力します。

次に、FirstGroup という名前のグループ ポリシーの DNS サーバに、IP アドレス 10.10.10.15、10.10.10.30、および 10.10.10.45 を設定する例を示します。

hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# dns-server value 10.10.10.15 10.10.10.30 10.10.10.45

dns server-group

トンネル グループに使用する DNS サーバのドメイン名、ネーム サーバ、リトライの数、およびタイムアウト値を指定できる DNS サーバ グループ モードを開始するには、グローバル コンフィギュレーション モードで dns server-group コマンドを使用します。特定の DNS サーバ グループを削除するには、このコマンドの no 形式を使用します。

dns server -group name

no dns server-group

 
構文の説明

name

トンネル グループに使用する DNS サーバ グループ コンフィギュレーションの名前を指定します。

 
デフォルト

デフォルト値は DefaultDNS です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドが追加されました。

 
使用上のガイドライン

名前には、任意の DNS グループを指定できます。 dns server-group コマンドを使用して、DNS グループを設定します。

次に、「eval」という名前の DNS サーバ グループを設定する例を示します。

hostname(config)# dns server-group eval
hostname(config-dns-server-group)# domain-name cisco.com
hostname(config-dns-server-group)# name-server 192.168.10.10
hostname(config-dns-server-group)# retries 5
hostname(config-dns-server-group)# timeout 7
hostname(config-dns-server-group)#
 

 
関連コマンド

コマンド
説明

clear configure dns

DNS コマンドをすべて削除します。

show running-config dns server-group

現在の実行中の DNS サーバ グループ コンフィギュレーションを表示します。

domain-name

デフォルト ドメイン名を設定するには、グローバル コンフィギュレーション モードで domain-name コマンドを使用します。ドメイン名を削除するには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスは、修飾子を持たない名前のサフィクスとしてドメイン名を付加します。たとえば、ドメイン名を「example.com」に設定し、syslog サーバを修飾子を持たない名前の「jupiter」に指定した場合、セキュリティ アプライアンスによって名前は「jupiter.example.com」に修飾されます。

domain-name name

no domain-name [ name ]

 
構文の説明

name

ドメイン名を最大 63 文字で設定します。

 
デフォルト

デフォルト ドメイン名は default.domain.invalid です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

 
コマンド履歴

リリース
変更内容

既存

このコマンドは既存です。

 
使用上のガイドライン

マルチ コンテキスト モードでは、システム実行スペース内だけではなく、各コンテキストに対してドメイン名を設定できます。

次に、ドメインを example.com に設定する例を示します。

 
hostname(config)# domain-name example.com
 

 
関連コマンド

コマンド
説明

dns domain-lookup

適応型セキュリティ アプライアンスによるネーム ルックアップの実行をイネーブルにします。

dns name-server

DNS サーバ アドレスを設定します。

hostname

適応型セキュリティ アプライアンスのホスト名を設定します。

show running-config domain-name

ドメイン名のコンフィギュレーションを表示します。

domain-name(DNS サーバ グループ)

デフォルトのドメイン名を設定するには、DNS サーバ グループ コンフィギュレーション モードで domain-name コマンドを使用します。ドメイン名を削除するには、このコマンドの no 形式を使用します。適応型セキュリティ アプライアンスは、修飾子を持たない名前のサフィクスとしてドメイン名を付加します。たとえば、ドメイン名を「example.com」に設定し、syslog サーバを修飾子を持たない名前の「jupiter」に指定した場合、セキュリティ アプライアンスによって名前は「jupiter.example.com」に修飾されます。

domain-name name

no domain-name [ name ]

 
構文の説明

name

ドメイン名を最大 63 文字で設定します。

 
デフォルト

デフォルト ドメイン名は default.domain.invalid です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

DNS サーバ グループ コンフィギュレーション

 
コマンド履歴

リリース
変更内容

7.1(1)

このコマンドは、廃止された dns domain-lookup コマンドの代替コマンドです。

 
使用上のガイドライン

マルチ コンテキスト モードでは、システム実行スペース内だけではなく、各コンテキストに対してドメイン名を設定できます。

次に、「dnsgroup1」のドメインを「example.com」に設定する例を示します。

hostname(config)# dns server-group dnsgroup1
hostname(config-dns-server-group)# domain-name example.com
hostname(config-dns-server-group)#
 

 
関連コマンド

コマンド
説明

clear configure dns

DNS コマンドをすべて削除します。

dns server-group

DNS サーバ グループを設定できる DNS サーバ グループ モードを開始します。

domain-name

グローバルなデフォルト ドメイン名を設定します。

show running-config dns-server group

現在の 1 つまたはすべての DNS サーバ グループ コンフィギュレーションを表示します。

downgrade

ソフトウェア バージョンをダウングレードするには、グローバル コンフィギュレーション モードで downgrade コマンドを使用します。

downgrade [ /noconfirm ] old_image_url old_config_url [ activation-key old_key ]

 
構文の説明

activation-key old_key

(任意)アクティベーション キーを元に戻す必要がある場合、古いアクティベーション キーを入力します。

old_config_url

保存されている移行前のコンフィギュレーションのパスを指定します(デフォルトでは disk0 に保存されています)。

old_image_url

disk0、disk1、tftp、ftp、または smb にある古いイメージのパスを指定します。

/noconfirm

(任意)プロンプトを出さずにダウングレードします。

 
コマンド デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.3(1)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、次の機能を完了するためのショートカットです。

1. ブート イメージ コンフィギュレーションのクリア( clear configure boot )。

2. 古いイメージへのブート イメージの設定( boot system )。

3. (任意)新たなアクティベーション キーの入力( activation-key )。

4. 実行コンフィギュレーションのスタートアップ コンフィギュレーションへの保存( write memory )。これにより、BOOT 環境変数を古いイメージに設定します。このため、リロードすると古いイメージがロードされます。

5. 古いコンフィギュレーションのスタートアップ コンフィギュレーションへのコピー( copy old_config_url startup-config )。

6. リロード( reload )。

次に、確認なしのダウングレードを実行する例を示します。

hostname(config)# downgrade /noconfirm disk0:/asa821-k8.bin disk0:/8_2_1_0_startup_cfg.sav

 
関連コマンド

コマンド
説明

activation-key

アクティベーション キーを入力します。

boot system

ブートするイメージを設定します。

clear configure boot

ブート イメージ コンフィギュレーションをクリアします。

copy startup-config

コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

download-max-size

ダウンロードするオブジェクトに許容する最大サイズを指定するには、グループ ポリシー webvpn コンフィギュレーション モードで download-max-size コマンドを使用します。このオブジェクトをコンフィギュレーションから削除するには、このコマンドの no バージョンを使用します。

download-max-size < size >

no download-max-size

 
構文の説明

size

ダウンロードするオブジェクトに許容する最大サイズを指定します。指定できる範囲は 0 ~ 2147483647 です。

 
デフォルト

デフォルトのサイズは 2147483647 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グループ ポリシー webvpn コンフィギュレーション モード

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

サイズを 0 に設定すると、実質的にオブジェクトのダウンロードは許可されません。

次に、ダウンロードするオブジェクトの最大サイズを 1500 バイトに設定する例を示します。

hostname(config)# group-policy test attributes
hostname(config-group-policy)# webvpn
hostname(config-group-webvpn)# download-max-size 1500
 

 
関連コマンド

コマンド
説明

post-max-size

ポストするオブジェクトの最大サイズを指定します。

upload-max-size

アップロードするオブジェクトの最大サイズを指定します。

webvpn

グループ ポリシー コンフィギュレーション モードまたはユーザ名コンフィギュレーション モードで使用します。webvpn モードを開始して、グループ ポリシーまたはユーザ名に適用するパラメータを設定できるようにします。

webvpn

グローバル コンフィギュレーション モードで使用します。WebVPN のグローバル設定を設定できます。

drop

match コマンドまたは class コマンドに一致するすべてのパケットをドロップするには、一致コンフィギュレーション モードまたはクラス コンフィギュレーション モードで drop コマンドを使用します。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。

drop [ send-protocol-error ] [ log ]

no drop [ send-protocol-error ] [ log ]

 
構文の説明

send-protocol-error

プロトコル エラー メッセージを送信します。

log

一致をログに記録します。システム ログ メッセージの番号は、アプリケーションによって異なります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

一致コンフィギュレーションおよびクラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

モジュラ ポリシー フレームワークを使用する場合に、 match コマンドまたはクラス マップに一致するパケットをドロップするには、一致コンフィギュレーション モードまたはクラス コンフィギュレーション モードで drop コマンドを使用します。このドロップ アクションは、アプリケーション トラフィックに対してインスペクション ポリシー マップ( policy-map type inspect コマンド)で使用可能です。ただし、すべてのアプリケーションでこの動作が許可されているわけではありません。

インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを識別した後で( class コマンドは、さらに match コマンドを含んでいる既存の class-map type inspect コマンドを参照する)、 drop コマンドを入力して match コマンドまたは class コマンドに一致するすべてのパケットをドロップできます。

パケットがドロップされると、インスペクション ポリシー マップで他のアクションは実行されません。たとえば、最初のアクションがパケットのドロップである場合は、それ以降のどの match コマンドまたは class コマンドも照合されません。最初のアクションがパケットのロギングである場合は、パケットのドロップなどの別のアクションが発生する可能性があります。同じ match コマンドまたは class コマンドに対して、 drop および log アクションを両方設定できます。その場合、パケットは特定のマッチングでドロップされる前にログに記録されます。

レイヤ 3/4 ポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにする場合、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は、インスペクション ポリシー マップの名前です。

次に、パケットが http-traffic クラス マップと一致する場合にパケットをドロップし、ログを送信する例を示します。同じパケットが 2 番めの match コマンドにも一致する場合、そのパケットはすでにドロップされているため、処理されません。

hostname(config-cmap)# policy-map type inspect http http-map1
hostname(config-pmap)# class http-traffic
hostname(config-pmap-c)# drop log
hostname(config-pmap-c)# match req-resp content-type mismatch
hostname(config-pmap-c)# reset log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

drop-connection

モジュラ ポリシー フレームワークを使用する場合に、 match コマンドまたはクラス マップに一致するトラフィックのパケットをドロップして接続を閉じるするには、一致コンフィギュレーション モードまたはクラス コンフィギュレーション モードで drop-connection コマンドを使用します。適応型セキュリティ アプライアンスの接続データベースから接続が削除されます。ドロップされた接続で適応型セキュリティ アプライアンスに入る、後続のすべてのパケットは廃棄されます。この接続をドロップするアクションは、アプリケーション トラフィックに対してインスペクション ポリシー マップ( policy-map type inspect コマンド)で使用可能です。ただし、すべてのアプリケーションでこの動作が許可されているわけではありません。このアクションをディセーブルにするには、このコマンドの no 形式を使用します。

drop-connection [ send-protocol-error ] [ log ]

no drop-connection [ send-protocol-error ] [ log ]

 
構文の説明

send-protocol-error

プロトコル エラー メッセージを送信します。

log

一致をログに記録します。システム ログ メッセージの番号は、アプリケーションによって異なります。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

一致コンフィギュレーションおよびクラス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

インスペクション ポリシー マップは、1 つ以上の match コマンドと class コマンドで構成されます。インスペクション ポリシー マップで使用できる実際のコマンドは、アプリケーションによって異なります。 match コマンドまたは class コマンドを入力してアプリケーション トラフィックを識別した後で( class コマンドは、さらに match コマンドを含んでいる既存の class-map type inspect コマンドを参照する)、 drop-connection コマンドを入力して、 match コマンドまたは class コマンドに一致するトラフィックに対するパケットをドロップし、接続を閉じることができます。

パケットがドロップして接続を閉じると、インスペクション ポリシー マップで他のアクションは実行されません。たとえば、最初のアクションがパケットをドロップして接続を閉じるアクションの場合は、それ以降のどの match コマンドまたは class コマンドも照合されません。最初のアクションがパケットのロギングである場合は、パケットのドロップなどの別のアクションが発生する可能性があります。同じ match コマンドまたは class コマンドに対して、 drop-connection および log アクションを両方設定できます。その場合、パケットは特定のマッチングでドロップされる前にログに記録されます。

レイヤ 3/4 ポリシー マップ( policy-map コマンド)で inspect コマンドを使用してアプリケーション インスペクションをイネーブルにする場合、このアクションを含むインスペクション ポリシー マップをイネーブルにできます。たとえば、 inspect http http_policy_map コマンドを入力します。http_policy_map は、インスペクション ポリシー マップの名前です。

次に、パケットが http-traffic クラス マップと一致する場合にパケットをドロップし、接続を閉じて、ログを送信する例を示します。同じパケットが 2 番めの match コマンドにも一致する場合、そのパケットはすでにドロップされているため、処理されません。

hostname(config-cmap)# policy-map type inspect http http-map1
hostname(config-pmap)# class http-traffic
hostname(config-pmap-c)# drop-connection log
hostname(config-pmap-c)# match req-resp content-type mismatch
hostname(config-pmap-c)# reset log
 

 
関連コマンド

コマンド
説明

class

ポリシー マップのクラス マップ名を指定します。

class-map type inspect

アプリケーション固有のトラフィックを照合するためのインスペクション クラス マップを作成します。

policy-map

レイヤ 3/4 のポリシー マップを作成します。

policy-map type inspect

アプリケーション インスペクションの特別なアクションを定義します。

show running-config policy-map

現在のポリシー マップ コンフィギュレーションをすべて表示します。

dtls port

DTLS 接続用のポートを指定するには、webvpn コンフィギュレーション モードで dtls port コマンドを使用します。コンフィギュレーションからコマンドを削除するには、このコマンドの no 形式を使用します。

dtls port number

no dtls port number

 
構文の説明

number

UDP ポート番号(1 ~ 65535)。

 
デフォルト

デフォルトのポート番号は 443 です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

webvpn コンフィギュレーション

--

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドは、DTLS を使用した SSL VPN 接続に使用される UDP ポートを指定します。

DTLS は、SSL 接続に関係する遅延と帯域幅の問題を解消し、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスを改善します。

次に、webvpn コンフィギュレーション モードを開始して、ポート 444 を DTLS に指定する例を示します。

hostname(config)# webvpn
hostname(config-webvpn)# dtls port 444

 
関連コマンド

コマンド
説明

dtls enable

インターフェイスに対して DTLS をイネーブルにします。

svc dtls

SSL VPN 接続を確立するグループまたはユーザに対して、DTLS をイネーブルにします。

vpn-tunnel-protocol

適応型セキュリティ アプライアンスがリモート アクセス用に許可する VPN プロトコル(SSL を含む)を指定します。

duplex

銅線(RJ-45)のイーサネット インターフェイスのデュプレックスを設定するには、インターフェイス コンフィギュレーション モードで duplex コマンドを使用します。デュプレックス設定をデフォルトに戻すには、このコマンドの no 形式を使用します。

duplex { auto | full | half }

no duplex

 
構文の説明

auto

デュプレックス モードを自動検出します。

full

デュプレックス モードを全二重に設定します。

half

デュプレックス モードを半二重に設定します。

 
デフォルト

デフォルトは auto(自動検出)です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

インターフェイス コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

7.0(1)

このコマンドは、 interface コマンドのキーワードからインターフェイス コンフィギュレーション モード コマンドに移されました。

 
使用上のガイドライン

デュプレックス モードは物理インターフェイスのみに設定します。

duplex コマンドはファイバー メディアには使用できません。

ネットワークが自動検出をサポートしていない場合、デュプレックス モードを特定の値に設定します。

ASA 5500 シリーズの適応型セキュリティ アプライアンスの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。

PoE ポートでデュプレックスを auto 以外に設定した場合(可能な場合)、IEEE 802.3af をサポートしていない Cisco IP Phone および Cisco ワイヤレス アクセス ポイントは検出されず、電源が供給されません。

次に、デュプレックス モードを全二重に設定する例を示します。

hostname(config)# interface gigabitethernet0/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 

 
関連コマンド

コマンド
説明

clear configure interface

インターフェイスのコンフィギュレーションをすべてクリアします。

interface

インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

show interface

インターフェイスの実行時ステータスと統計情報を表示します。

show running-config interface

インターフェイス コンフィギュレーションを表示します。

speed

インターフェイスの速度を設定します。

dynamic-access-policy-config

DAP レコードと、DAP レコードに関連付けられたアクセス ポリシー アトリビュートを設定するには、グローバル コンフィギュレーション モードで dynamic-access-policy-config コマンドを使用します。既存の DAP コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

DAP 選択コンフィギュレーション ファイルをアクティブにするには、activate 引数を付加した dynamic-access-policy-config コマンドを使用します。

dynamic-access-policy-config name | activate

no dynamic-access-policy-config

name

DAP レコードの名前を指定します。名前は 64 文字以内で指定できます。スペースを含めることはできません。

activate

DAP 選択コンフィギュレーション ファイルをアクティブ化します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

name:グローバル コンフィギュレーション

activate:特権 EXEC

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

1 つ以上の DAP レコードを作成するには、グローバル コンフィギュレーション モードで dynamic-access-policy-config コマンドを使用します。このコマンドを使用するには、ダイナミック アクセス ポリシー レコード モードを開始します。このモードでは、指定した DAP レコードのアトリビュートを設定できます。ダイナミック アクセス ポリシー レコード モードで使用できるコマンドは、次のとおりです。

action

description

network-acl

priority

user-message

webvpn

次に、user1 という名前の DAP レコードを設定する例を示します。

hostname(config)# dynamic-access-policy-config user1
hostname(config-dynamic-access-policy-record)#

 
関連コマンド

コマンド
説明

dynamic-access-policy-record

DAP レコードにアクセス ポリシー アトリビュートを読み込みます。

show running-config dynamic-access-policy-record [ name ]

すべての DAP レコードまたは指定した DAP レコードの実行コンフィギュレーションを表示します。

dynamic-access-policy-record

DAP レコードを作成してアクセス ポリシー アトリビュートに読み込むには、グローバル コンフィギュレーション モードで dynamic-access-policy-record コマンドを使用します。既存の DAP レコードを削除するには、このコマンドの no 形式を使用します。

dynamic-access-policy-record name

no dynamic-access-policy-record name

 
構文の説明

name

DAP レコードの名前を指定します。名前は 64 文字以内で指定できます。スペースを含めることはできません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

--

 
コマンド履歴

リリース
変更内容

8.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

1 つ以上の DAP レコードを作成するには、グローバル コンフィギュレーション モードで dynamic-access-policy-record コマンドを使用します。このコマンドを使用するには、ダイナミック アクセス ポリシー レコード モードを開始します。このモードでは、指定した DAP レコードのアトリビュートを設定できます。ダイナミック アクセス ポリシー レコード モードで使用できるコマンドは、次のとおりです。

action(continue、terminate、または quarantine)

description

network-acl

priority

user-message

webvpn

次に、Finance という名前の DAP レコードを作成する例を示します。

hostname(config)# dynamic-access-policy-record Finance
hostname(config-dynamic-access-policy-record)#

 
関連コマンド

コマンド
説明

clear config dynamic-access-policy-record [ name ]

すべての DAP レコードまたは指定された DAP レコードを削除します。

dynamic-access-policy-config url

DAP 選択コンフィギュレーション ファイルを設定します。

show running-config dynamic-access-policy-record [ name ]

すべての DAP レコードまたは指定した DAP レコードの実行コンフィギュレーションを表示します。

dynamic-filter ambiguous-is-black

ボットネット トラフィック フィルタのグレイリストに登録されているトラフィックに対して、ブラックリストに登録されているトラフィックと同様のドロップ処理を実行するには、グローバル コンフィギュレーション モードで dynamic-filter ambiguous-is-black コマンドを使用します。グレイリストに登録されているトラフィックを許可するには、このコマンドの no 形式を使用します。

dynamic-filter ambiguous-is-black

no dynamic-filter ambiguous-is-black

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

dynamic-filter enable コマンドを設定し、その後 dynamic-filter drop blacklist コマンドを設定した場合、このコマンドはグレイリストに登録されているトラフィックに対して、ブラックリストに登録されているトラフィックと同様のドロップ処理を実行します。このコマンドをイネーブルにしない場合、グレイリストに登録されているトラフィックはドロップされません。

あいまいなアドレスとは、複数のドメイン名が関連付けられているが、ドメイン名がすべてブラックリストに登録されているわけではないアドレスのことです。これらのアドレスは greylist 上にあります。

次に、外部インターフェイスの 80 番ポートのトラフィックをすべてモニタし、脅威レベルが moderate 以上のブラックリストに登録されているトラフィックとグレイリストに登録されているトラフィックをドロップする例を示します。

hostname(config)# access-list dynamic-filter_acl extended permit tcp any any eq 80
hostname(config)# dynamic-filter enable interface outside classify-list dynamic-filter_acl
hostname(config)# dynamic-filter drop blacklist interface outside
hostname(config)# dynamic-filter ambiguous-is-black
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集するには、グローバル コンフィギュレーション モードで dynamic-filter blacklist コマンドを使用します。ブラックリストを削除するには、このコマンドの no 形式を使用します。スタティック データベースを使用して、ブラックリストに登録するドメイン名または IP アドレスをダイナミック データベースに追加できます。

dynamic-filter blacklist

no dynamic-filter blacklist

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ダイナミック フィルタ ブラックリスト コンフィギュレーション モードを開始した後に、 address コマンドおよび name コマンドを使用して、不正なレコードとしてタグ付けするドメイン名または IP アドレス(ホストまたはサブネット)をブラックリストに手動で入力できます。名前または IP アドレスをホワイトリストに入力することもできます( dynamic-filter whitelist コマンドを参照してください)。ダイナミック ブラックリストとダイナミック ホワイトリストの両方に記載されている名前またはアドレスは、syslog メッセージおよびレポートではホワイトリストのアドレスとしてのみ識別されます。アドレスがダイナミック ブラックリストに登録されていない場合でも、syslog メッセージではホワイトリストに登録されているアドレスとして表示されることに注意してください。

スタティック ブラックリスト エントリは、常に Very High の脅威レベルに指定されています。

スタティック データベースにドメイン名を追加すると、適応型セキュリティ アプライアンスは 1 分待機してから、そのドメイン名の DNS 要求を送信し、ドメイン名と IP アドレスのペアを DNS ホスト キャッシュ に追加します(この処理はバックグランドで行われます。この処理による影響を受けることなく、適応型セキュリティ アプライアンスの設定を継続できます)。ボットネット トラフィック フィルタ スヌーピングによる DNS パケット インスペクションもイネーブルにすることを推奨します( inspect dns dynamic-filter-snooping コマンドを参照してください)。適応型セキュリティ アプライアンスは、次のような状況で標準的な DNS ルックアップの代わりにボットネット トラフィック フィルタ スヌーピングを使用して、スタティック ブラックリストのドメイン名を解決します。

適応型セキュリティ アプライアンスの DNS サーバが利用できない。

適応型セキュリティ アプライアンスが標準 DNS 要求を送信する前の 1 分間の待機時間の間に接続を開始した。

DNS スヌーピングを使用する場合、感染ホストがスタティック データベースの名前に対する DNS 要求を送信するときに、適応型セキュリティ アプライアンスは DNS パケット内のドメイン名と関連付けられた IP アドレスを調べ、DNS 逆ルックアップ キャッシュに名前と IP アドレスを追加します。

ボットネット トラフィック フィルタ スヌーピングをイネーブルにしない場合、および上記の状況のいずれかにあてはまる場合、ボットネット トラフィック フィルタは対象のトラフィックをモニタしません。


) このコマンドは、適応型セキュリティ アプライアンスが DNS サーバを使用することが必須です。dns domain-lookup コマンドおよび dns server-group コマンドを参照してください。


次に、ブラックリストおよびホワイトリストのエントリを作成する例を示します。

hostname(config)# dynamic-filter blacklist
hostname(config-llist)# name bad1.example.com
hostname(config-llist)# name bad2.example.com
hostname(config-llist)# address 10.1.1.1 255.255.255.0
 
hostname(config-llist)# dynamic-filter whitelist
hostname(config-llist)# name good.example.com
hostname(config-llist)# name great.example.com
hostname(config-llist)# name awesome.example.com
hostname(config-llist)# address 10.1.1.2 255.255.255.255
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースのダウンロードをテストするには、特権 EXEC モードで dynamic-filter database fetch コマンドを使用します。

dynamic-filter database fetch

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

実際のデータベースは適応型セキュリティ アプライアンスには保存されません。ダウンロードされた後は廃棄されます。このコマンドはテスト専用で使用してください。

次に、ダイナミック データベースのダウンロードをテストする例を示します。

hostname# dynamic-filter database fetch
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

dynamic-filter database find

ドメイン名または IP アドレスがボットネット トラフィック フィルタのダイナミック データベースに含まれているかどうかを確認するには、特権 EXEC モードで dynamic-filter database find コマンドを使用します。

dynamic-filter database find string

 
構文の説明

string

string には完全なドメイン名または IP アドレスを入力するか、または最小 3 文字の検索ストリングを指定した一部の名前またはアドレスを入力できます。データベース検索では、正規表現はサポートされていません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

複数のレコードが一致する場合、最初の 2 つが表示されます。より限定された検索結果にするには、より長いストリングを入力します。

次に、ストリング「example.com」で検索して、1 つのレコードが一致する例を示します。

hostname# dynamic-filter database find bad.example.com
 
bad.example.com
Found 1 matches
 

次に、ストリング「bad」で検索して、3 つ以上のレコードが一致する例を示します。

hostname# dynamic-filter database find bad
 
bad.example.com
bad.example.net
Found more than 2 matches, enter a more specific string to find an exact
match
 

 
関連コマンド

コマンド
説明

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

dynamic-filter database purge

実行中のメモリからボットネット トラフィック フィルタのダイナミック データベースを手動で削除するには、特権 EXEC モードで dynamic-filter database purge コマンドを使用します。

dynamic-filter database purge

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

特権 EXEC

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

データベース ファイルは実行中のメモリに保存されます。フラッシュ メモリには保存されません。データベースを削除する必要がある場合、 dynamic-filter database purge コマンドを使用します。

データベース ファイルを消去する前に、 no dynamic-filter use-database コマンドを使用して、データベースの使用をディセーブルにします。

次に、データベースの使用をディセーブルにして、その後データベースを消去する例を示します。

hostname(config)# no dynamic-filter use-database
hostname(config)# dynamic-filter database purge
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

dynamic-filter drop blacklist

ボットネット トラフィック フィルタを使用して、ブラックリストに登録されているトラフィックを自動的にドロップするには、グローバル コンフィギュレーション モードで dynamic-filter drop blacklist コマンドを使用します。自動ドロップをディセーブルにするには、このコマンドの no 形式を使用します。

dynamic-filter drop blacklist [ interface name ] [ action-classify-list subset_access_list ] [ threat-level { eq level | range min max }]

no dynamic-filter drop blacklist [ interface name ] [ action-classify-list subset_access_list ] [ threat-level { eq level | range min max }]

 
構文の説明

action-classify-list sub_access_list

(任意)ドロップするトラフィックのサブセットを指定します。アクセス リストの作成については、 access-list extended コマンドを参照してください。

ドロップされるトラフィックは、常に dynamic-filter enable コマンドで指定したモニタ トラフィックと同じか、またはモニタ トラフィックのサブセットである必要があります。たとえば、 dynamic-filter enable コマンドに対するアクセス リストを指定して、このコマンドに対して action-classify-list を指定する場合、そのリストは dynamic-filter enable アクセス リストのサブセットである必要があります。

interface name

(任意)特定のインターフェイスにモニタを限定します。ドロップされるトラフィックは、常に dynamic-filter enable コマンドで指定したモニタ トラフィックと同じか、またはモニタ トラフィックのサブセットである必要があります。

インターフェイス固有のコマンドはすべて、グローバル コマンドよりも優先されます。

threat-level { eq level | range min max }

(任意)脅威レベルを設定して、ドロップするトラフィックを限定します。脅威レベルを明示的に設定しない場合、使用される脅威レベルは threat-level range moderate very-high になります。

(注) 設定を変更する重大な理由がない限り、デフォルト設定の使用を強く推奨します。

level min 、および max オプションは次のとおりです。

very-low

low

moderate

high

very-high

(注) スタティック ブラックリスト エントリは、常に Very High の脅威レベルに指定されています。

 
デフォルト

デフォルトでは、このコマンドはディセーブルになっています。

デフォルトの脅威レベルは threat-level range moderate very-high です。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(2)

このコマンドが追加されました。

 
使用上のガイドライン

ドロップするすべてのトラフィックに対して、必ず最初に dynamic-filter enable コマンドを設定してください。ドロップされるトラフィックは、常にモニタ トラフィックと同じか、またはモニタ トラフィックのサブセットである必要があります。

各インターフェイスおよびグローバル ポリシーに対して、このコマンドを複数回入力できます。特定のインターフェイスまたはグローバル ポリシーに対して、複数のコマンドで重複するトラフィックを指定していないことを確認してください。ユーザはコマンドを一致させる正確な順番を制御できないため、重複するトラフィックを指定すると、どのコマンドに一致しているのかがわからなくなります。たとえば、特定のインターフェイスに対して、すべてのトラフィックに一致するコマンド( action-classify-list キーワードを指定しないコマンド)と action-classify-list キーワードを指定したコマンドの両方を指定してはいけません。この場合、トラフィックは action-classify-list キーワードを指定したコマンドには一致しません。同様に、 action-classify-list キーワードを指定した複数のコマンドを指定した場合、各アクセス リストが固有で、ネットワークが重複していないことを確認してください。

次に、外部インターフェイスの 80 番ポートのトラフィックをすべてモニタし、脅威レベルが moderate 以上のトラフィックをドロップする例を示します。

hostname(config)# access-list dynamic-filter_acl extended permit tcp any any eq 80
hostname(config)# dynamic-filter enable interface outside classify-list dynamic-filter_acl
hostname(config)# dynamic-filter drop blacklist interface outside
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

dynamic-filter enable

ボットネット トラフィック フィルタをイネーブルにするには、グローバル コンフィギュレーション モードで dynamic-filter enable コマンドを使用します。ボットネット トラフィック フィルタをディセーブルにするには、このコマンドの no 形式を使用します。ボットネット トラフィック フィルタは、初回の各接続パケット内の発信元 IP アドレスと宛先 IP アドレスを、ダイナミック データベース、スタティック データベース、DNS 逆ルックアップ キャッシュ、および DNS ホスト キャッシュの IP アドレスと比較し、syslog メッセージを送信するか、または一致するトラフィックをドロップします。

dynamic-filter enable [ interface name ] [ classify-list access_list ]

no dynamic-filter enable [ interface name ] [ classify-list access_list ]

 
構文の説明

classify-list access_list

拡張アクセス リストを使用してモニタするトラフィックを指定します( access-list extended コマンドを参照してください)。アクセス リストを作成しない場合、デフォルトですべてのトラフィックをモニタします。

interface name

特定のインターフェイスにモニタを限定します。

 
デフォルト

ボットネット トラフィック フィルタは、デフォルトでディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

マルウェアは、未知のホストにインストールされた悪意のあるソフトウェアです。プライベートなデータ(パスワード、クレジット カード番号、キー ストローク、または機密データ)の送信などのネットワーク活動を試みるマルウェアは、既知の不正な IP アドレスへの接続をマルウェアが開始する時点で、ボットネット トラフィック フィルタによって検出できます。ボットネット トラフィック フィルタは、既知の不正なドメイン名および IP アドレスのダイナミック データベースに対して着信接続と発信接続をチェックし、不審な活動をすべてログに記録します。ローカル「ブラックリスト」またはローカル「ホワイトリスト」に IP アドレスまたはドメイン名を入力することで、スタティック データベースを使用してダイナミック データベースを補足することもできます。

DNS スヌーピングは個別にイネーブルに設定されます( inspect dns dynamic-filter-snoop コマンドを参照してください)。一般的に、ボットネット トラフィック フィルタを最大限に活用するには、DNS スヌーピングをイネーブルにする必要があります。ただし、必要に応じてボットネット トラフィック フィルタ ロギングを個別にイネーブルにすることもできます。ダイナミック データベースの DNS スヌーピングを実行しない場合、ボットネット トラフィック フィルタは、スタティック データベース エントリとダイナミック データベースの IP アドレスのみを使用します。ダイナミック データベースのドメイン名は使用しません。

ボットネット トラフィック フィルタ アドレスのカテゴリ

ボットネット トラフィック フィルタでモニタされるアドレスには、次のアドレスが含まれます。

既知のマルウェア アドレス:これらのアドレスは「ブラックリスト」上にあります。

既知の許可アドレス:これらのアドレスは「ホワイトリスト」上にあります。

あいまいなアドレス:これらのアドレスには複数のドメイン名が関連付けられていますが、ドメイン名がすべてブラックリストに登録されているわけではありません。これらのアドレスは「グレイリスト」上にあります。

リストにないアドレス:これらのアドレスは未知であり、どのリストにも含まれていません。

既知のアドレスに対するボットネット トラフィック フィルタの動作

dynamic-filter enable コマンドを使用して、不審な活動をログに記録するようにボットネット トラフィック フィルタを設定できます。また、任意で dynamic-filter drop blacklist コマンドを使用して、不審なトラフィックを自動的にブロックするように設定できます。

リストにないアドレスは syslog メッセージを生成しません。ただし、ブラックリスト、ホワイトリスト、およびグレイリスト上のアドレスは、タイプ別に syslog メッセージを生成します。ボットネット トラフィック フィルタは、338 nnn の番号が付いた詳細な syslog メッセージを生成します。メッセージは、着信接続と発信接続、ブラックリスト、ホワイトリスト、またはグレイリストのアドレス、および他のさまざまな変数によって識別されます(グレイリストには、複数のドメイン名が関連付けられているが、ドメイン名がすべてブラックリストに登録されているわけではないアドレスが含まれています)。

syslog メッセージの詳細については、『 Cisco ASA 5500 Series System Log Messages 』を参照してください。

次に、外部インターフェイスの 80 番ポートのトラフィックをすべてモニタし、脅威レベルが moderate 以上のトラフィックをドロップする例を示します。

hostname(config)# access-list dynamic-filter_acl extended permit tcp any any eq 80
hostname(config)# dynamic-filter enable interface outside classify-list dynamic-filter_acl
hostname(config)# dynamic-filter drop blacklist interface outside
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

dynamic-filter updater-client enable

ボットネット トラフィック フィルタのダイナミック データベースを Cisco アップデート サーバからダウンロードできるようにするには、グローバル コンフィギュレーション モードで dynamic-filter updater-client enable コマンドを使用します。ダイナミック データベースのダウンロードをディセーブルにするには、このコマンドの no 形式を使用します。

dynamic-filter updater-client enable

no dynamic-filter updater-client enable

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

ダウンロードは、デフォルトではディセーブルになっています。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

データベースがまだ適応型セキュリティ アプライアンスにインストールされていない場合、約 2 分後にデータベースがダウンロードされます。アップデート サーバでは、適応型セキュリティ アプライアンスが今後のアップデートをサーバにポーリングする頻度(通常は 1 時間おき)を決定します。

ボットネット トラフィック フィルタは、Cisco アップデート サーバからダイナミック データベースの定期的なアップデートを受信できます。

このデータベースには、何千もの既知の不正なドメイン名および IP アドレスが含まれています。DNS 応答内のドメイン名がダイナミック データベースの名前と一致するときは、ボットネット トラフィック フィルタは名前と IP アドレスを DNS 逆ルックアップ に追加します。感染したホストがマルウェア サイトの IP アドレスに対して接続を開始すると、適応型セキュリティ アプライアンスは syslog メッセージを送信し、不審な活動をユーザに知らせます。

データベースを使用するには、URL にアクセスできるよう、必ず適応型セキュリティ アプライアンスにドメイン ネーム サーバを設定してください。ダイナミック データベースのドメイン名を使用するには、ボットネット トラフィック フィルタ スヌーピングによる DNS パケット インスペクションをイネーブルにする必要があります。適応型セキュリティ アプライアンスは DNS パケット内のドメイン名と関連付けられた IP アドレスを調べます。

IP アドレス自体がダイナミック データベースに提供されている場合もあります。この場合、ボットネット トラフィック フィルタは DNS 要求を調べることなく、この IP アドレスに対するすべてのトラフィックをログに記録します。

データベース ファイルは実行中のメモリに保存されます。フラッシュ メモリには保存されません。データベースを削除する必要がある場合、 dynamic-filter database purge コマンドを使用します。


) このコマンドは、適応型セキュリティ アプライアンスが DNS サーバを使用することが必須です。dns domain-lookup コマンドおよび dns server-group コマンドを参照してください。


次に、マルチ モードでダイナミック データベースのダウンロードをイネーブルにし、context1 および context2 のデータベースの使用をイネーブルにする例を示します。

hostname(config)# dynamic-filter updater-client enable
hostname(config)# changeto context context1
hostname/context1(config)# dynamic-filter use-database
hostname/context1(config)# changeto context context2
hostname/context2(config)# dynamic-filter use-database
 

次に、シングル モードでダイナミック データベースのダウンロードをイネーブルにし、データベースの使用をイネーブルにする例を示します。

hostname(config)# dynamic-filter updater-client enable
hostname(config)# dynamic-filter use-database
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns name-server

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

dynamic-filter use-database

ボットネット トラフィック フィルタのダイナミック データベースの使用をイネーブルにするには、グローバル コンフィギュレーション モードで dynamic-filter use-database コマンドを使用します。ダイナミック データベースの使用をディセーブルにするには、このコマンドの no 形式を使用します。ダウンロードしたデータベースの使用をディセーブルにすると、マルチ コンテキスト モードでコンテキスト単位にデータベースの使用を設定できるため便利です。

dynamic-filter use-database

no dynamic-filter use-database

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

データベースの使用は、デフォルトではディセーブルです。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ダイナミック データベースのダウンロードをイネーブルにするには、 dynamic-filter updater-client enable コマンドを参照してください。

次に、マルチ モードでダイナミック データベースのダウンロードをイネーブルにし、context1 および context2 のデータベースの使用をイネーブルにする例を示します。

hostname(config)# dynamic-filter updater-client enable
hostname(config)# changeto context context1
hostname/context1(config)# dynamic-filter use-database
hostname/context1(config)# changeto context context2
hostname/context2(config)# dynamic-filter use-database
 

次に、シングル モードでダイナミック データベースのダウンロードをイネーブルにし、データベースの使用をイネーブルにする例を示します。

hostname(config)# dynamic-filter updater-client enable
hostname(config)# dynamic-filter use-database
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集します。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。

dynamic-filter whitelist

ボットネット トラフィック フィルタのホワイトリストを編集するには、グローバル コンフィギュレーション モードで dynamic-filter whitelist コマンドを使用します。ホワイトリストを削除するには、このコマンドの no 形式を使用します。スタティック データベースを使用して、ホワイトリストに登録するドメイン名または IP アドレスをダイナミック データベースに追加できます。

dynamic-filter whitelist

no dynamic-filter whitelist

 
構文の説明

このコマンドには、引数またはキーワードはありません。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

次の表は、このコマンドを入力できるモードを示しています。

 

コマンド モード
ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランスペアレント
シングル
マルチ
コンテキスト
システム

グローバル コンフィギュレーション

--

 
コマンド履歴

リリース
変更内容

8.2(1)

このコマンドが追加されました。

 
使用上のガイドライン

ダイナミック フィルタ ホワイトリスト コンフィギュレーション モードを開始した後に、 address コマンドおよび name コマンドを使用して、優良なレコードとしてタグ付けするドメイン名または IP アドレス(ホストまたはサブネット)をホワイトリストに手動で入力できます。ダイナミック ブラックリストおよびスタティック ホワイトリストの両方に記載されている名前またはアドレスは、syslog メッセージまたはレポートではホワイトリストのアドレスとしてのみ識別されます。アドレスがダイナミック ブラックリストに登録されていない場合でも、syslog メッセージではホワイトリストに登録されているアドレスとして表示されることに注意してください。 dynamic-filter blacklist コマンドを使用して、名前または IP アドレスをスタティック ブラックリストに入力できます。

スタティック データベースにドメイン名を追加すると、適応型セキュリティ アプライアンスは 1 分待機してから、そのドメイン名の DNS 要求を送信し、ドメイン名と IP アドレスのペアを DNS ホスト キャッシュ に追加します(この処理はバックグランドで行われます。この処理による影響を受けることなく、適応型セキュリティ アプライアンスの設定を継続できます)。ボットネット トラフィック フィルタ スヌーピングによる DNS パケット インスペクションもイネーブルにすることを推奨します( inspect dns dynamic-filter-snooping コマンドを参照してください)。適応型セキュリティ アプライアンスは、次のような状況で標準的な DNS ルックアップの代わりにボットネット トラフィック フィルタ スヌーピングを使用して、スタティック ブラックリストのドメイン名を解決します。

適応型セキュリティ アプライアンスの DNS サーバが利用できない。

適応型セキュリティ アプライアンスが標準 DNS 要求を送信する前の 1 分間の待機時間の間に接続を開始した。

DNS スヌーピングを使用する場合、感染ホストがスタティック データベースの名前に対する DNS 要求を送信するときに、適応型セキュリティ アプライアンスは DNS パケット内のドメイン名と関連付けられた IP アドレスを調べ、DNS 逆ルックアップ キャッシュに名前と IP アドレスを追加します。

ボットネット トラフィック フィルタ スヌーピングをイネーブルにしない場合、および上記の状況のいずれかにあてはまる場合、ボットネット トラフィック フィルタは対象のトラフィックをモニタしません。


) このコマンドは、適応型セキュリティ アプライアンスが DNS サーバを使用することが必須です。dns domain-lookup コマンドおよび dns server-group コマンドを参照してください。


次に、ブラックリストおよびホワイトリストのエントリを作成する例を示します。

hostname(config)# dynamic-filter blacklist
hostname(config-llist)# name bad1.example.com
hostname(config-llist)# name bad2.example.com
hostname(config-llist)# address 10.1.1.1 255.255.255.0
 
hostname(config-llist)# dynamic-filter whitelist
hostname(config-llist)# name good.example.com
hostname(config-llist)# name great.example.com
hostname(config-llist)# name awesome.example.com
hostname(config-llist)# address 10.1.1.2 255.255.255.255
 

 
関連コマンド

コマンド
説明

address

IP アドレスをブラックリストまたはホワイトリストに追加します。

clear configure dynamic-filter

実行ボットネット トラフィック フィルタ コンフィギュレーションをクリアします。

clear dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピング データをクリアします。

clear dynamic-filter reports

ボットネット トラフィック フィルタのレポート データをクリアします。

clear dynamic-filter statistics

ボットネット トラフィック フィルタの統計情報をクリアします。

dns domain-lookup

サポートされているコマンドに対してネーム ルックアップを実行するために、適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信できるようにします。

dns server-group

適応型セキュリティ アプライアンスの DNS サーバを指定します。

dynamic-filter ambiguous-is-black

グレイリストに登録されているトラフィックをブラックリストに登録されているトラフィックと同様のアクションで処理します。

dynamic-filter blacklist

ボットネット トラフィック フィルタのブラックリストを編集します。

dynamic-filter database fetch

ボットネット トラフィック フィルタのダイナミック データベースを手動で取得します。

dynamic-filter database find

ダイナミック データベースからドメイン名または IP アドレスを検索します。

dynamic-filter database purge

ボットネット トラフィック フィルタのダイナミック データベースを手動で削除します。

dynamic-filter drop blacklist

ブラックリストに登録されているトラフィックを自動でドロップします。

dynamic-filter enable

アクセス リストを指定しない場合に、トラフィックのクラスまたはすべてのトラフィックのボットネット トラフィック フィルタをイネーブルにします。

dynamic-filter updater-client enable

ダイナミック データベースのダウンロードをイネーブルにします。

dynamic-filter use-database

ダイナミック データベースの使用をイネーブルにします。

inspect dns dynamic-filter-snoop

ボットネット トラフィック フィルタ スヌーピングによる DNS インスペクションをイネーブルにします。

name

ブラックリストまたはホワイトリストに名前を追加します。

show asp table dynamic-filter

高速セキュリティ パスにインストールされているボットネット トラフィック フィルタ ルールを表示します。

show dynamic-filter data

ダイナミック データベースが最後にダウンロードされた日時、データベースのバージョン、データベースに含まれるエントリの数、10 個のサンプル エントリなど、ダイナミック データベースについての情報を表示します。

show dynamic-filter dns-snoop

ボットネット トラフィック フィルタの DNS スヌーピングの概要を表示します。 detail キーワードを指定した場合は、実際の IP アドレスおよび名前を表示します。

show dynamic-filter reports

上位 10 個のボットネット サイト、ポート、および感染したホストに関するレポートを生成します。

show dynamic-filter statistics

ボットネット トラフィック フィルタでモニタされた接続の数、およびこれらの接続のうち、ホワイトリスト、ブラックリスト、グレイリストに一致する接続の数を表示します。

show dynamic-filter updater-client

サーバ IP アドレス、適応型セキュリティ アプライアンスが次にサーバに接続するタイミング、最後にインストールされたデータベース バージョンなど、アップデータ サーバの情報を表示します。

show running-config dynamic-filter

ボットネット トラフィック フィルタの実行コンフィギュレーションを表示します。